Exchange: Sperren der „Microsoft Outlook“ Mobile App

Prolog:

 

Ausgangslage:

Wer den oberen acompli Link bereits angeschaut hat stiesst auf folgende Aussage:

What information do we collect and why?
Account Information. If you decide to sign up to use the service, you will need to create an account. That requires that you provide the email address(es) that you want to access with our service. Some email accounts (ones that use Microsoft Exchange, for example) also require that you provide your email login credentials, including your username, password, server URL, and server domain.

Dies wird auch vom Microsoft Supportern besätigt:
http://blogs.office.com/2015/01/29/deeper-look-outlook-ios-android/ in den Kommentaren;

Fragen von: larrycl:

In the linked blog post, it said the new Outlook app is based on the Acompli code base.
Acompli had a design issue whereby your usernames & passwords were stored on Acompli’s servers, and all your email was downloaded and cached by Acompli. This, IMHO, made Acompli a non-starter for business use, as it violated most corporate security policies.

Does the new Outlook app remove this “feature”, or will all your email still be routed through acompli/microsoft’s servers?

Antwort von Microsoft Support (Jon Orton – MSFT):

@larrycl – Yes, that architecture remains in place with the new app. It uses cloud components to improve app performance and enable some features, such as predictive search, recent attachments, and large attachment handling.

 

Lösung:

 

Überprüfung:

Wenn die Richtlinie korrekt angewendet wird, sollte die Mailbox beim versuch folgendes E-Mail erhalten:

EASPolicy

 

 

Zusatz Info:

Benutzer die bereits das App verwenden, erhalten danach ständig die Aufforderung zur Anmeldung, die leider nicht als Fehlerhaft zurückgewiesen wird (erst bei der nächsten Aktion erneut auftaucht)
Der verdacht, dass zu diesem Zeitpunkt die Benutzerdaten bereits an die Server von acompli gesendet wurden ist jedoch gross. – Diese Lösung ist nicht mit einer MDM Lösung zu vergleichen. Ebenfalls besteht die möglichkeit, dass Personen mit der vorgänger Acompli App arbeiten. Leider konnte ich diese nicht zu 100% Identifizieren. Einzig auffälliger Eintrag konnte ich mit folgender Kombination ausfindig machen:

Ich habe dafür folgende Abfrage verwendet:

 

Damit die bestehenden Personen angesprochen werden können, kann mit folgenden Befehlen eine Liste mit E-Mail Adressen generiert werden.

Okay, Exchange 2007 ist hier etwas umständlich, da leider keine Liste mit Mailadressen zurück kommt – da es in meiner Exchange 2007 Umgebung zu wenig treffer gab, hab ich dann auch nicht mehr weiter geamcht.
Ebenfalls hatte ich keine Benutzer die mehrere ActiveSync Verknüpfungen mit dem App aufweisten (z.B: zweites Device), somit habe ich auf eine überprüfung nach Verdoppelung verzichtet.

 

Aufweichung – AllowDeviceIDs:

Es kann natürlich auch pro Mailbox die Freischaltung gemacht werden, wir kennen ja unsere Benutzer und eine wichtige Person möchte nicht auf das App verzichten. Hiermit lässt sich auch mit dem Block via ActiveSyncDeviceAccessRule das App pro Mailbox freischalten:

 

Aufweichung – Quarantäne:

Es kann natürlich auch anstelle des Block auch der Quarantäne-Modus verwendet werden. Dieser wird wie folgt eingestellt.

In diesem Modus kommt das ECP für die Freischaltung der Devices zum Einsatz.
Der Administrator muss somit die Anfragen der Benutzer entsprechend freischalten.
Hierfür lässt sich mit folgendem Befehl eine administrative Mailadresse erfassen, die eine jeweils ein E-Mail erhält sobald ein Device freigeschaltet werden muss.

 

Ansicht ECP – Admin:
Quarantined_ECP

 

Mailbenachrichtigung – Benutzer:
Quarantined_Mail

Ansicht ECP – Benutzer (Detail):

Quarantined_ECP_user
Status ist bereits Ok, im Detail ist jedoch der Quarantäne-Status erkennbar.

 

Löschen der App:

Hat man erst einmal ein Postfach mit der App synchronisiert, so wurden die Daten an die Cloud-Server übetragen. Diese bleiben dort auch nach einem löschen für eine gewisse Zeit erhalten (z.B.: Wenn von Device 1 zu Device 2 gewechselt wird, muss nicht mehr die komplette Mailbox in die Cloud übertragen werden.). Damit diese Daten ebenfalls entfernt werden sollte vor der deinstallation des Apps in den Kontoeinstellungen das Konto inkl. der Remote Daten entfernt werden.


App_Remove
Die Daten auf dem Mailsystem werden dabei nicht gelöscht.

2 comments

  1. aedi sagt:

    Danke 😉

  2. ARO sagt:

    Klasse! Besten Dank dafür!!!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.