Microsoft Exchange-Hybrid / M365 / Android Outlook App

[Salutos]

Hallo Zusammen,

gibt es hier im Forum jemanden der

• seinen Exchange OnPremise betreibt,
• sein AD mit der Azure-AD synchronisiert,
• M365 im Einsatz hat
• Intunes für Mobile Device Management mit VPN ins Intranet nutzt

?

Wir haben ein kurioses Verhalten festgestellt.

• Android Geräte auf denen die Outlook App genutzt wird verbinden sich nicht über den VPN zum Exchange sondern nutzen Microsoft "Proxy-Server" für die Verbindung zum Postfach. Die Anfragen laufen über Microsoft IPs.
• Outlook auf Android fordert keinen zweiten Faktor an (trotz aktiviertem MFA) und lässt sich mit Benutzer und Passwort betreiben. Conditional Access ist konfiguriert und funktioniert bei jeder anderen App (bspw. Teams) nur eben bei der Outlook-App wird es ignoriert.

Gruß
Salutos

 

[Zensai]

Nun, das kommt drauf an wie (und Ob überhaupt) der Hybrid eingerichtet ist.


Nur weil das AD gesynct wird, ist der Exchange noch nicht Hybrid. Wenn du den Hybrid nicht eingrichtet hast, ist dein Onprem Exchange allein verwantwortlich und den Interessiert dann auch nicht, was du für Exchange Online eingerichtet hast (schließlich nutzt du es ja nicht). Das Verhalten spricht aber dafür, dass das ein Hybrid ist, der halt nur die Postfächer onprem liegen hat.

Für Hybrid Konfigurationen läuft aber vieles anders als bei reinen Cloud Konfigruationen und geht dann nicht out of the box. Da ist es öfter mal so, dass es spezielle Anpassungen braucht um verschiedene Services trotzdem zu nutzen. Was sagt denn dein Microsoft Partner zu dem Thema? Oder ist hier noch keiner im Spiel?

Was hat Intune für dich spezifisch mit VPN zu tun? Oder geht es dir hier nur um Conditional Access Policies und dass du es so konfiguriert hast, dass halt nur aus dem Internen Netz auf die Ressourcen zugegriffen werden kann?


Zudem ein paar generelle FYI Dinge obendrauf:

• Bei VPN auf Split Tunneling achten. Traffic zu Microsoft Diensten sollte nicht übers VPN getunnelt werden und direkt vom Gerät zu MS gehen
• Der Exchange sollte auch so kein VPN benötigen, sondern über EWS selbst erreichbar sein (kann aber natürlich bei euch nicht gewünscht sein)

Ist bisschen schwierig das zu greifen, weil da sehr viel eingestellt (oder verstellt) sein kann und nicht klar ist wie euer Setup nun wirklich aussieht, um da eine genauere Aussage treffen zu können.

 

[Dragon0001]

• Android Geräte auf denen die Outlook App genutzt wird verbinden sich nicht über den VPN zum Exchange sondern nutzen Microsoft "Proxy-Server" für die Verbindung zum Postfach. Die Anfragen laufen über Microsoft IPs.

Das ist das normale Verhalten der mobilen Outlook-App und wird seit vielen Jahren kritisiert. Siehe z.B.: https://www.borncity.com/blog/2023/...-bertrgt-anmeldedaten-und-mails-in-die-cloud/

 

[Salutos]

Nun, das kommt drauf an wie (und Ob überhaupt) der Hybrid eingerichtet ist.

Ja Hybrid ist eingerichtet

Was sagt denn dein Microsoft Partner zu dem Thema?

Wir sind mit unserem Partner an dem Thema dran, nach verschiedenen Fehlversuchen das Problem über Conditional Access in den Griff zu bekommen schwindet das Vertrauen.
Nein, es handelt sich nicht um einen kleinen MS Partner.

Was hat Intune für dich spezifisch mit VPN zu tun?

Der Exchange sollte auch so kein VPN benötigen, sondern über EWS selbst erreichbar sein

Unser Exchange war und wird nie über EWS erreichbar sein. Deshalb benötigt es - eigentlich - einen VPN für den Zugriff. Das gilt für alle Endgeräte. Bzw. sollte für alle gelten.

Bisher haben wir Outlook nur auf PC's genutzt, Smartphones sind aktuell noch hauptsächlich über Blackberry UEM verwaltet und abgesichert.
Aber da Microsoft ja "alles kann" haben wir damit begonnen Tests mit deren MDM Lösung Intunes zu fahren.
Dabei sind uns die aktuellen Punkte aufgefallen.

Tatsächlich habe ich mittlerweile die Vermutung, dass sehr viele von dem Problem betroffen sind. Sofern sie den gleichen Aufbau haben wie wir.

@Dr-Rossi-46
Heißt Daumen hoch in diesem Fall "haben wir bei uns auch so am Start" ?