Prolog:
Ausgangslage:
Wer den oberen acompli Link bereits angeschaut hat stiesst auf folgende Aussage:
What information do we collect and why?
Account Information. If you decide to sign up to use the service, you will need to create an account. That requires that you provide the email address(es) that you want to access with our service. Some email accounts (ones that use Microsoft Exchange, for example) also require that you provide your email login credentials, including your username, password, server URL, and server domain.
Dies wird auch vom Microsoft Supportern besätigt:
http://blogs.office.com/2015/01/29/deeper-look-outlook-ios-android/ in den Kommentaren;
Fragen von: larrycl:
In the linked blog post, it said the new Outlook app is based on the Acompli code base.
Acompli had a design issue whereby your usernames & passwords were stored on Acompli’s servers, and all your email was downloaded and cached by Acompli. This, IMHO, made Acompli a non-starter for business use, as it violated most corporate security policies.
Does the new Outlook app remove this “feature”, or will all your email still be routed through acompli/microsoft’s servers?
Antwort von Microsoft Support (Jon Orton – MSFT):
@larrycl – Yes, that architecture remains in place with the new app. It uses cloud components to improve app performance and enable some features, such as predictive search, recent attachments, and large attachment handling.
Lösung:
|
New-ActiveSyncDeviceAccessRule -QueryString "Outlook-iOS-Android/1.0" -Characteristic UserAgent -AccessLevel Block |
Überprüfung:
Wenn die Richtlinie korrekt angewendet wird, sollte die Mailbox beim versuch folgendes E-Mail erhalten:

Zusatz Info:
Benutzer die bereits das App verwenden, erhalten danach ständig die Aufforderung zur Anmeldung, die leider nicht als Fehlerhaft zurückgewiesen wird (erst bei der nächsten Aktion erneut auftaucht)
Der verdacht, dass zu diesem Zeitpunkt die Benutzerdaten bereits an die Server von acompli gesendet wurden ist jedoch gross. – Diese Lösung ist nicht mit einer MDM Lösung zu vergleichen. Ebenfalls besteht die möglichkeit, dass Personen mit der vorgänger Acompli App arbeiten. Leider konnte ich diese nicht zu 100% Identifizieren. Einzig auffälliger Eintrag konnte ich mit folgender Kombination ausfindig machen:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
|
DeviceType : OWA for Devices on iPad DeviceUserAgent : Mozilla/5.0 (iPad; CPU OS 7_0_3 like Mac OS X) AppleWebKit/537.5 DeviceUserAgent : Mozilla/5.0 (iPad; CPU OS 7_0_4 like Mac OS X) AppleWebKit/537.5 DeviceUserAgent : Mozilla/5.0 (iPad; CPU OS 7_1 like Mac OS X) AppleWebKit/537.51. DeviceUserAgent : Mozilla/5.0 (iPad; CPU OS 7_1_1 like Mac OS X) AppleWebKit/537.5 DeviceUserAgent : Mozilla/5.0 (iPad; CPU OS 7_1_2 like Mac OS X) AppleWebKit/537.5 DeviceUserAgent : Mozilla/5.0 (iPad; CPU OS 8_0_2 like Mac OS X) AppleWebKit/600.1 DeviceUserAgent : Mozilla/5.0 (iPad; CPU OS 8_1 like Mac OS X) AppleWebKit/600.1.4 DeviceUserAgent : Mozilla/5.0 (iPad; CPU OS 8_1_2 like Mac OS X) AppleWebKit/600.1 DeviceType : OWA for Devices on iPhone DeviceUserAgent : Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWeb DeviceUserAgent : Mozilla/5.0 (iPhone; CPU iPhone OS 7_0_6 like Mac OS X) AppleWeb DeviceUserAgent : Mozilla/5.0 (iPhone; CPU iPhone OS 7_1_1 like Mac OS X) AppleWeb DeviceUserAgent : Mozilla/5.0 (iPhone; CPU iPhone OS 7_1_2 like Mac OS X) AppleWeb DeviceUserAgent : Mozilla/5.0 (iPhone; CPU iPhone OS 8_0_2 like Mac OS X) AppleWeb DeviceUserAgent : Mozilla/5.0 (iPhone; CPU iPhone OS 8_1 like Mac OS X) AppleWebKi |
Ich habe dafür folgende Abfrage verwendet:
|
#Exchange 2013 $EASDevices = Get-MobileDevice -ResultSize unlimited | where {($_.DeviceType -eq "OWA for Devices on iPad") -AND ($_.DeviceType -eq "OWA for Devices on iPhone")} #Exchange 2010 $EASDevices = Get-ActiveSyncDevice -ResultSize unlimited | where {($_.DeviceType -eq "OWA for Devices on iPad") -AND ($_.DeviceType -eq "OWA for Devices on iPhone")} $EASDevices | Sort DeviceUserAgent | ft DeviceType, DeviceUserAgent -a #Oder $EASDevices | Sort UserDisplayName | ft DeviceType, DeviceUserAgent, DeviceModel, UserDisplayName |
Damit die bestehenden Personen angesprochen werden können, kann mit folgenden Befehlen eine Liste mit E-Mail Adressen generiert werden.
|
#Exchange 2013 $dev = Get-MobileDevice -ResultSize unlimited $dev2 = $dev | where {$_.DeviceUserAgent -like "Outlook-iOS-Android/1.0"} | select UserDisplayName foreach ($guy in $dev2) { write-host $(Get-Mailbox ($guy).UserDisplayName | select PrimarySmtpAddress).PrimarySmtpAddress} #Exchange 2010 $dev = Get-ActiveSyncDevice -ResultSize unlimited $dev2 = $dev | where {$_.DeviceUserAgent -like "Outlook-iOS-Android/1.0"} | select UserDisplayName foreach ($guy in $dev2) { write-host $(Get-Mailbox ($guy).UserDisplayName | select PrimarySmtpAddress).PrimarySmtpAddress} #Exchange 2007 $mbx = Get-Mailbox -ResultSize unlimited foreach ($m in $mbx) { $dev += Get-ActiveSyncDeviceStatistics -Mailbox $m} $dev | where {$_.DeviceUserAgent -like "Outlook-iOS-Android/1.0"} | ft Identity |
Okay, Exchange 2007 ist hier etwas umständlich, da leider keine Liste mit Mailadressen zurück kommt – da es in meiner Exchange 2007 Umgebung zu wenig treffer gab, hab ich dann auch nicht mehr weiter geamcht.
Ebenfalls hatte ich keine Benutzer die mehrere ActiveSync Verknüpfungen mit dem App aufweisten (z.B: zweites Device), somit habe ich auf eine überprüfung nach Verdoppelung verzichtet.
Aufweichung – AllowDeviceIDs:
Es kann natürlich auch pro Mailbox die Freischaltung gemacht werden, wir kennen ja unsere Benutzer und eine wichtige Person möchte nicht auf das App verzichten. Hiermit lässt sich auch mit dem Block via ActiveSyncDeviceAccessRule das App pro Mailbox freischalten:
|
#Syntax Set-CASMailbox -Identity: "tonysmit" -ActiveSyncAllowedDeviceIDs: "<DeviceID_1>","<DeviceID_2>" #Beispiel Set-CASMailbox -Identity: "tonysmit" -ActiveSyncAllowedDeviceIDs: "831C0639F7CAA5FD" |
Aufweichung – Quarantäne:
Es kann natürlich auch anstelle des Block auch der Quarantäne-Modus verwendet werden. Dieser wird wie folgt eingestellt.
|
New-ActiveSyncDeviceAccessRule -QueryString "Outlook-iOS-Android/1.0" -Characteristic UserAgent -AccessLevel Quarantine |
In diesem Modus kommt das ECP für die Freischaltung der Devices zum Einsatz.
Der Administrator muss somit die Anfragen der Benutzer entsprechend freischalten.
Hierfür lässt sich mit folgendem Befehl eine administrative Mailadresse erfassen, die eine jeweils ein E-Mail erhält sobald ein Device freigeschaltet werden muss.
|
Set-ActiveSyncOrganizationSettings -AdminMailRecipients "admin@domain.ch" |
Ansicht ECP – Admin:

Mailbenachrichtigung – Benutzer:

Ansicht ECP – Benutzer (Detail):

Status ist bereits Ok, im Detail ist jedoch der Quarantäne-Status erkennbar.
Löschen der App:
Hat man erst einmal ein Postfach mit der App synchronisiert, so wurden die Daten an die Cloud-Server übetragen. Diese bleiben dort auch nach einem löschen für eine gewisse Zeit erhalten (z.B.: Wenn von Device 1 zu Device 2 gewechselt wird, muss nicht mehr die komplette Mailbox in die Cloud übertragen werden.). Damit diese Daten ebenfalls entfernt werden sollte vor der deinstallation des Apps in den Kontoeinstellungen das Konto inkl. der Remote Daten entfernt werden.

Die Daten auf dem Mailsystem werden dabei nicht gelöscht.