Exchange 2013/Office 365: Bestimmte mobile Geräte blocken

Gestern bekam ich eine spannende Anfrage herein: Es soll verhindert werden, dass sich Benutzer mit einem Android Smartphone per Exchange ActiveSync mit dem Exchange Server 2013 verbinden. iOS und Windows Phone sollen aber ganz normal benutzt werden können. Mein erster Gedanke war: das geht nur mit conditional access und einer MDM Lösung. Habe aber sicherheitshalber in das Exchange Admin Center geschaut und bin unter Mobile –> Mobile Device Access auf eine interessante Option gestoßen: Device Access Rules.

Schnell damit herumgespielt und siehe da: Die ursprünglich gestellte Anforderung kann damit erfüllt werden. Mit Bordmitteln.

Was muss dazu getan werden?

Mangels eines Android Gerätes in meinem Gerätepark habe ich als Beispielgerät einen iPod verwendet. Wenn man den blockieren kann, geht es auch mit Android ;) Und ich verwende für die Screenshots einen Office 365 (E3) Account. Exchange Server 2013 ist da aber identisch.

Als erstes werft einen Blick in die bisherigen Einstellungen – nur zur Sicherheit:

image

In meinem Fall existiert noch keine Regel.

Erstellt nun eine neue Device Access Rule (durch klicken auf das + bei Device Access Rules):

image

Im Feld Device family könnt ihr durch browse alle Gerätefamilien auswählen, die sich schon mal mit dem Exchange Server verbunden haben:

image

Für dieses Beispiel wähle ich iPod aus:

image

Außerdem sollen alle iPod Modelle von dieser Regel behandelt werden, deswegen lasse ich All models drin stehen.

Anschließend könnt ihr festlegen, welche Bedingung diese Regel haben soll: Erlauben, Blockieren oder in Quarantäne verschieben.

Ich habe zuerst die Quarantäne Funktion getestet. nach wenigen Minuten bekam ich am iPod folgende eMail:

image

Im Exchange Admin Center taucht der iPod auch sofort unter Mobile –> Quarantined Devices auf:

image

Als erstes fiel mir die Connection Time mit einem Wert vom 16.01.2015 auf. Heute ist der 29.05.2015. Ein Blick in die Details (Klick auf den Bleistift) bringt Licht ins Dunkel:

image

Die Details sind sehr aussagekräftig.

Nun kann ich meinen iPod entweder zulassen oder blockieren. Das geht mittels dieser Buttons:

image

Von Links nach Rechts:

  • Details
  • Erlauben
  • Blockieren
  • Diese Device Family als Vorlage für eine neue Device Access Rule verwenden
  • Refresh

ALs nächstes habe ich über diese Funktion meinen iPod blockiert. Dies ist auch in den Eigenschaften des Benutzers (Recipients) ersichtlich:

image

Ab sofort klappt keine Verbindung mehr vom Mailclient meines iPods zum Exchange Server. Als Benutzer bekam ich noch eine eMail mit einer Information darüber – freilich nicht auf den iPod sondern im normalen Outlook (welches sich ja nicht per Exchange ActiveSync verbindet):

image

Das Ganze geht natürlich auch per PowerShell. Die ist zum Beispiel auch dann notwendig, wenn ihr eine Gerätefamilie verwenden wollt, die sich noch nicht mit dem Exchange Server verbunden hat und somit nicht ausgewählt werden kann. Das dazu notwendige cmdlet lautet: New-ActiveSyncDeviceAccessRule. Eine Dokumentation dazu findet ihr in der Technet. Vielleicht schreibe ich mal einen Blogartikel, um das heutige Beispiel mit PowerShell abzudecken.

Somit konnte ich die ursprüngliche Anfrage positiv beantworten.

Viele Grüße
Dieter


Dieter Rauscher
MVP Enterprise Security