Mapi over HTTP Verbindungen über LogParser zählen

[Lukikum 8]

Umgebung Exchange 2019 on prem neuste CU/SU

Moin zusammen,

wir überlegen momentan Outlook (MAPI over HTTP) für außerhalb dicht zu machen und die User zum VPN zu zwingen (OWA und Active Sync soll mit MFA erhalten bleiben). Nun würde mich interessieren um wie viele User es sich dabei überhaupt handeln würde. Hat jemand eine Idee wie wir das auswerten könnten? Der Log Parser eignet sich bestimmt gut dafür, allerdings funktioniert meine Query nicht, da ich nicht weiß welchen LogType ich wählen muss (Habe leider kaum Erfahrung mit dem Parser):

SELECT COUNT(DISTINCT AuthenticatedUserEmail) AS NumUniqueUsers
FROM '[LOGFILEPATH]'
WHERE ClientIP= 'IP ADRESSE VOM DEDIZIERTEN KEMP LOADBALANCER'

Pfad:
C:\Program Files\Microsoft\Exchange Server\V15\Logging\MapiHttp\Mailbox

Ich habe auch überlegt die IIS logs zu nehmen, allerdings weiß ich dort noch nicht ganz wie ich externe Mapi von internen Mapi unterscheiden kann.

LG
Lukas

[NorbertFe 2.034]

Halb OT: Wie habt ihr denn Active Sync mit MFA realisiert?

[testperson 1.677]

Hi,

 

vor 1 Minute schrieb Lukikum:

(OWA und Active Sync soll mit MFA erhalten bleiben)

hier wäre die Frage, wie du bei Active Sync die MFA derzeit beim On-Premises Exchange implementieren möchtest.

 

Ansonsten würde ich - sofern möglich - eher am Kemp ansetzen.

 

Gruß

Jan

[NorbertFe 2.034]

Wäre auch mein Vorschlag. Im Zweifel zwei verschiedene virtual Services im Kemp nutzen dann sollte man das im IIS Log sogar anhand der VIP des Services erkennen können, welcher Zugriff von extern und welcher von intern kommt.

[Lukikum 8]

Gerade eben schrieb NorbertFe:

Halb OT: Wie habt ihr denn Active Sync mit MFA realisiert?

Wir wollten das über Dualshield von dem Anbieter Deepnet realisieren. Der zweite Faktor wäre dann in dem Fall die Device ID. Habe ich aber noch nicht getestet. Über die Outlook APP soll es wohl nicht gehen, wir benutzen aber eh nur Apple Mail, da soll das funktionieren.

[testperson 1.677]

Evtl. wartet ihr ab, bis modern Auth für Exchange On-Premises da ist. Mit etwas Glück ist das ja schon im nächsten bzw. letzten Exchange 2019 CU drin. ;)

 

Ansonsten sehe ich auf den ersten, schnellen Blick keinen Vorteil gegenüber einer entsprechenden Quarantäne für die mobile Devices am Exchange.

[Dukel 454]

vor 2 Minuten schrieb testperson:

Evtl. wartet ihr ab, bis modern Auth für Exchange On-Premises da ist. Mit etwas Glück ist das ja schon im nächsten bzw. letzten Exchange 2019 CU drin. ;)

 

Ansonsten sehe ich auf den ersten, schnellen Blick keinen Vorteil gegenüber einer entsprechenden Quarantäne für die mobile Devices am Exchange.

 

Ist doch schon da, seit CU13:

https://learn.microsoft.com/en-us/exchange/plan-and-deploy/post-installation-tasks/enable-modern-auth-in-exchange-server-on-premises?view=exchserver-2019

 

Zitat

With the release of Exchange Server 2019 CU13, Exchange Server supports OAuth 2.0 (also known as Modern authentication) for pure on-premises environments using ADFS as a security token service (STS).

 

[Lukikum 8]

vor 3 Minuten schrieb Dukel:

 

Ist doch schon da, seit CU13:

https://learn.microsoft.com/en-us/exchange/plan-and-deploy/post-installation-tasks/enable-modern-auth-in-exchange-server-on-premises?view=exchserver-2019

 

 

Uii das ist völlig an mir vorbei gegangen. Wir haben ADFS halt nicht eingerichtet, dneke aber dass der Aufwand zue iner komplett neuen MFA Lösung nicht viel unterscheiden wird. Hat jemand damit schon Erfahrung gemacht?

vor 11 Minuten schrieb testperson:

Evtl. wartet ihr ab, bis modern Auth für Exchange On-Premises da ist. Mit etwas Glück ist das ja schon im nächsten bzw. letzten Exchange 2019 CU drin. ;)

 

Ansonsten sehe ich auf den ersten, schnellen Blick keinen Vorteil gegenüber einer entsprechenden Quarantäne für die mobile Devices am Exchange.

Wie sieht so eine Quarantäne am Exchange denn aus? Gibt es einen Blog Post darüber?

[testperson 1.677]

vor 16 Minuten schrieb Dukel:

Ist doch schon da, seit CU13:

https://learn.microsoft.com/en-us/exchange/plan-and-deploy/post-installation-tasks/enable-modern-auth-in-exchange-server-on-premises?view=exchserver-2019

Mein Stand ist, dass das bislang nur für OWA / ECP und MAPI over HTTP bzw. auch nur mit bestimmten Clients funktioniert aber eben noch nicht für EAS. Aus dem Link:

Zitat

Note

Support for other clients such as Outlook on Mac, Outlook mobile, iOS mail app, etc., will be added later.

 

vor 10 Minuten schrieb Lukikum:

Wie sieht so eine Quarantäne am Exchange denn aus? Gibt es einen Blog Post darüber?

Guck im ECP doch mal unter dem Punkt "mobile" bzw. "Mobil"

bearbeitet 18. April von testperson

[Lukikum 8]

vor 6 Minuten schrieb testperson:

Guck im ECP doch mal unter dem Punkt "mobile" bzw. "Mobil"

Geil hab ich mir tatsächlich noch nie genauer angeschaut. Schade dass so was im Arbeitsalltag entgeht. Ich schaue mir das mal genauer an, aber das könnte echt eine kostenlose alternative zur active sync mfa sein. Da fehlt zwar vemutlich der SelfService, aber sollte bei uns noch überschaubar sein. Danke !!

[NorbertFe 2.034]

vor einer Stunde schrieb Dukel:

Ist doch schon da, seit CU13:

 

Aber nur für Outlook unter Windows 11 (ok) und nicht für ActiveSync.