iOS Mail App Freischaltung für Exchange Online mit Modern Authentication
Im Zuge der Abschaffung der Basic Authentication für Exchange Online (EWS, EAS, IMAP, POP und RPS) ab Mitte Oktober 2020 habe ich frühzeitig meinen Tenant auf Modern Authentication umgestellt.
Hat man keine entsprechenden Vorbereitungen in seinem Tenant vorgenommen schlägt, die Anmeldung über die native iOS Mail App fehl, sobald man die Authentifizierung von Basic auf Modern umgestellt hat:
Hintergrund ist, dass mit der Modern Authentication zukünftig alle Zugriffe auf Enterprise Application Ebene im Azure AD konfiguriert werden müssen, selbst wenn der Zugriff auf die Mailbox per ActiveSync über die Exchange Admin Konsole eigentlich ja konfiguriert ist. Mit dieser Konfiguration lässt sich der Zugriff auf die Tenant Ressourcen jedoch noch granularer steuern. So ist es z.B. möglich, per Outlook for iOS App an seine Mails zu kommen, nicht jedoch über native iOS Mail App.
Die dafür notwendige Konfiguration ist über das Azure AD Portal vorzunehmen.
Enterprise Applications Einstellungen
Die native iOS Mail App gilt aus Sicht von Microsoft als 3rd-Party App, d.h. als App, die nicht von Microsoft veröffentlicht wird. Standardmäßig ist generell jeglicher Zugriff auf Daten des Tenants per 3rd-Party App nicht zugelassen und muss explizit freigeschaltet werden.
Azure Active Directory Enterprise applications – All applications
User setttings
Enterprise applications
Users can consent to apps access compancy data on their behalf Yes
Enterprise Applications -> User Settings
Enterprise Applications Einstellungen: Apple Internet Accounts
Im ersten Schritt wurde global erlaubt, dass die Nutzung von 3rd-Party Apps überhaupt erst möglich ist. Im zweiten Schritt ist pro App zu konfigurieren, ob ein Benutzer mit der App auf Daten des Tenants zugreifen kann, ggf. welcher User und in welchem Umfang.
Für die native iOS Mail App ist die Enterprise Application Apple Internet Accounts zuständig und zu konfigurieren.
Azure Active Directory Enterprise applications – All applications All applications Apple Internet Accounts
Properties
Enabled for users to sign-in Yes
User assignment required: Yes
alternativ: No – falls der Zugriff per nativer iOS App für alle User verfügbar sein soll
Visible to users No
durch die Option wird die Enterprise Application nicht in der App Gallery oder unter MyApps angezeigt
Enterprise Applications -> All Applications -> Apple Internet Accounts -> Properties
Users and groups
Wurde in den Properties die Option User assignment required auf Yes gesetzt, müssen unter Users and groups noch die User/Gruppen eingetragen werden, für die der Zugriff auf Exchange Online per nativer iOS App erlaubt werden soll.
