2
Intune - Mail - Exchange über Smartphones gesperrt
Hallo Admins,
ich stelle meine Firmeninfrastruktur auf Intunes bzw Microsoft Entra ID um und bin jetzt leider auf ein Problem mit Exchange über Smartphones gestoßen.
Intunes ist derzeit nur in einem kleinen Testnetzwerk für Windows PCs verfügbar, die restliche Firma arbeitet noch über O365 und dem lokalen AD. Leider scheint das bei den Mail-Apps für Smartphones nicht der Fall zu sein, weil ich die gesamte Chefetage "ausgesperrt" habe und diese keinen Zugriff mehr auf ihre Mails über ihre Handys haben.
Wen ich testweise in meinem Handy meine Firmenmail hinterlegen will, müsste ich der Installation einer Admin-App zustimmen, die wirklich absurd krasse Berechtigungen fordert.
Ich kann das Problem also eingrenzen, es liegt an einer "Richtlinie" die die komplette Kontrolle über das Smartphone fordert, bevor die Mails bzw das Postfach wieder erreichbar ist. Ich habe aber so eine Richtlinie nie erstellt oder aktiviert. Es gibt keine Richtlinien im "Bedingter Zugriff" (Entra) oder der Endpunktsicherheit (Intune), außer für Win 10/11 Geräte.
Die Fehlermeldung am iPhone sagt "Error 53003", ein Fehler im bedingten Zugriff. Dadurch das keine Richtlinien vorhanden sind, ist das wohl eher ein Platzhalter für "Gib mir Adminrechte und ich geb dir Mailzugriff".
Im Exchange Center gibt es eine Default Postfachrichtlinie für mobile Geräte, Sicherheitstechnisch eher auf dem untersten Niveau, also kann die auch nicht dafür verantwortlich sein.
Welche Möglichkeit habe ich jetzt, um Smartphones den Zugriff auf Exchange wieder freizuschalten, ohne die Admin-App / Berechtigungen auf den Smartphones aktivieren zu müssen?
Und falls die Frage bzw der Kommentar kommt: MDM kommt irgendwann, aber nicht jetzt, dass ist eine Baustelle zu viel für mich und ich möchte erst die Windows Geräte ordentlich einbinden. Zumal ich dafür gesorgt habe, dass Smartphones nicht mit dem internen Netzwerk in Berührung kommen, außer über die O365 Apps.
ich stelle meine Firmeninfrastruktur auf Intunes bzw Microsoft Entra ID um und bin jetzt leider auf ein Problem mit Exchange über Smartphones gestoßen.
Intunes ist derzeit nur in einem kleinen Testnetzwerk für Windows PCs verfügbar, die restliche Firma arbeitet noch über O365 und dem lokalen AD. Leider scheint das bei den Mail-Apps für Smartphones nicht der Fall zu sein, weil ich die gesamte Chefetage "ausgesperrt" habe und diese keinen Zugriff mehr auf ihre Mails über ihre Handys haben.
Wen ich testweise in meinem Handy meine Firmenmail hinterlegen will, müsste ich der Installation einer Admin-App zustimmen, die wirklich absurd krasse Berechtigungen fordert.
Ich kann das Problem also eingrenzen, es liegt an einer "Richtlinie" die die komplette Kontrolle über das Smartphone fordert, bevor die Mails bzw das Postfach wieder erreichbar ist. Ich habe aber so eine Richtlinie nie erstellt oder aktiviert. Es gibt keine Richtlinien im "Bedingter Zugriff" (Entra) oder der Endpunktsicherheit (Intune), außer für Win 10/11 Geräte.
Die Fehlermeldung am iPhone sagt "Error 53003", ein Fehler im bedingten Zugriff. Dadurch das keine Richtlinien vorhanden sind, ist das wohl eher ein Platzhalter für "Gib mir Adminrechte und ich geb dir Mailzugriff".
Im Exchange Center gibt es eine Default Postfachrichtlinie für mobile Geräte, Sicherheitstechnisch eher auf dem untersten Niveau, also kann die auch nicht dafür verantwortlich sein.
Welche Möglichkeit habe ich jetzt, um Smartphones den Zugriff auf Exchange wieder freizuschalten, ohne die Admin-App / Berechtigungen auf den Smartphones aktivieren zu müssen?
Und falls die Frage bzw der Kommentar kommt: MDM kommt irgendwann, aber nicht jetzt, dass ist eine Baustelle zu viel für mich und ich möchte erst die Windows Geräte ordentlich einbinden. Zumal ich dafür gesorgt habe, dass Smartphones nicht mit dem internen Netzwerk in Berührung kommen, außer über die O365 Apps.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 9310776771
Url: https://administrator.de/contentid/9310776771
Printed on: July 27, 2024 at 12:07 o'clock
2 Comments
Latest comment
Vielleicht hast Du das gleiche Problem wie ein User bei uns. Er hatte ein neues Smartphone und konnte sich mit Outlook nicht anmelden. Im Exchange Portal unter Empfaenger -> Postfaecher -> UserName -> Uebersicht -> Allgemein gibt es ganz unten E-Mail Apps und Mobile Geraete. Dort auf Mobile Geraete verwalten klicken und schauen ob der Status allowed gesetzt ist.
Ansonsten gibt es noch eine Einstellung im der Sharepoint Verwaltung die solche Dinge hervorruft.
Unter den Richtlinien -> Zugriffssteuerung -> Nicht verwaltete Geraete schauen was dort aktiviert ist. Wenn z.B. Eingeschraenkten, reinen Webzugriff zulassen aktiviert ist will Microsoft jedes Geraete mit Intune ausstatten und der User wird in die Verwaltung aufgenommen.
Ansonsten gibt es noch eine Einstellung im der Sharepoint Verwaltung die solche Dinge hervorruft.
Unter den Richtlinien -> Zugriffssteuerung -> Nicht verwaltete Geraete schauen was dort aktiviert ist. Wenn z.B. Eingeschraenkten, reinen Webzugriff zulassen aktiviert ist will Microsoft jedes Geraete mit Intune ausstatten und der User wird in die Verwaltung aufgenommen.
Danke für die Antwort, leider sind in beiden Einstellungen alles auf erlaubt.
Ich habe jetzt eine Ausnahmeregelung für alle Smartphones bei den bedingten Zugriffen eingerichtet.
Lustigerweise funktionieren die eingerichteten Handys wieder, neue Handys bzw Outlook Anmeldungen werden trotzdem nicht zugelassen, die Mail-Apps verlangen weiterhin Administrator-App Berechtigungen.
Meine neue Vermutung ist jetzt unser Hybrid-Exchange, da ich auf einige Einstellungen keinen Zugriff über die Exchange Online Oberfläche habe. Wollte ich sowieso auflösen, also warum nicht gleich diese Woche.
Ich habe jetzt eine Ausnahmeregelung für alle Smartphones bei den bedingten Zugriffen eingerichtet.
Lustigerweise funktionieren die eingerichteten Handys wieder, neue Handys bzw Outlook Anmeldungen werden trotzdem nicht zugelassen, die Mail-Apps verlangen weiterhin Administrator-App Berechtigungen.
Meine neue Vermutung ist jetzt unser Hybrid-Exchange, da ich auf einige Einstellungen keinen Zugriff über die Exchange Online Oberfläche habe. Wollte ich sowieso auflösen, also warum nicht gleich diese Woche.