Andy82Bln 0 Geschrieben 22. Januar Melden Teilen Geschrieben 22. Januar Hallo zusammen, wir würden gerne ein MDM mit Microsoft Intune einführen. Aktuell geht es um iOS Mobile Devices. Hier wollen wir gerne die Apple Mail App verwenden. Herausforderung ist, Active Sync über MFA/2FA zu verbinden. Unsere Umgebung besteht aus Exchange 2019 On-Prem DAG und einem Kemp Loadbalancer davor. Aktuell haben wir eine VPN Verbindung die sich bei Bedarf aufbaut. Damit funktioniert auch der Zugriff und die Mailkonfig kommt durch. Ist aber nicht schön und nicht super stabil. Der Kemp bietet nur Authentifiezierung Benutzername/Passwort ODER Zertifikat an. Keine Kombination. Gibt es Möglichkeiten über Kemp eine MFA/2FA einzurichten, wenn ja wie? Ich habe nur was vom Radius Server und pre-authentication gelesen, weiß aber nicht ob das für Active Sync gilt. Ansonsten hatten wir noch den Entra-Anwendungsproxy im Kopf, das geht bei OWA. Aber auch bei Active Sync? Gibt es sonst noch Ideen, die ich bisher übersehen habe? Vielen Dank schon mal vorab! VG Andreas Zitieren Link zu diesem Kommentar
NorbertFe 1.804 Geschrieben 22. Januar Melden Teilen Geschrieben 22. Januar Hi Andreas, technisch sollte es per Modern Auth am Exchange funktionieren, aber da steh ich aktuell in einem Projekt auch noch auf Kriegsfuß mit. ;) Du brauchst dann eine MFA Lösung, die sich in ADFS integriert. Da hat dann der Loadbalancer nichts mit zu tun. Das was der Kemp an der Stelle bietet wäre Radius oder ebenfalls SAMLs, aber ob man das "sinnvoll" mit Active Sync zum Laufen bringt, kann ich dir mangels Anforderung in bisherigen Projekten nicht sagen. Bye Norbert Zitieren Link zu diesem Kommentar
Nobbyaushb 1.359 Geschrieben 22. Januar Melden Teilen Geschrieben 22. Januar Ich bin da bei Norbert - hast du mal direkt Kemp angetriggert? Die reagieren eigentlich gut auf Anfragen... Zitieren Link zu diesem Kommentar
testperson 1.534 Geschrieben 22. Januar Melden Teilen Geschrieben 22. Januar Hi, vor 3 Minuten schrieb NorbertFe: technisch sollte es per Modern Auth am Exchange funktionieren solange ich rein On-Premises bin, gilt das aber doch nur für OWA bzw. Forms-based und MAPI over HTTP bzw. mit Outlook als Client. "Der Rest" sollte doch für Exchange 2019 noch nachgereicht werden. Oder habe ich das verschlafen? Gruß Jan Zitieren Link zu diesem Kommentar
Andy82Bln 0 Geschrieben 22. Januar Autor Melden Teilen Geschrieben 22. Januar Hi, ich danke euch für die schnellen Antworten! Mir ist auch so, dass die Modern Auth lokal nicht für ActiveSync funktioniert. ADFS haben wir letztes Jahr beerdigt :) gab wohl zu viele Fehler. Bei Kemp habe ich noch nicht angefragt, wäre aber mein nächster Schritt. Hat Jemand Erfahrung mit Entra-Anwendungsproxy? Wenn es irgendwo Neuigkeiten gibt würde ich mich freuen wenn ihr an mich denkt ;) Gruß Andreas Zitieren Link zu diesem Kommentar
NorbertFe 1.804 Geschrieben 22. Januar Melden Teilen Geschrieben 22. Januar Autsch stimmt. :) Hab ich vollkommen vergessen. Sprich Active Sync ist in dem Fall auch mit modern Auth noch nicht möglich: Zitat With the 2023 H1 CU and the required Outlook version (please see documentation), we have added Modern auth support to Outlook on Windows for authentication against Exchange 2019 vor 2 Minuten schrieb Andy82Bln: ADFS haben wir letztes Jahr beerdigt :) gab wohl zu viele Fehler. Hmm, mit Exchange oder generell? Zitieren Link zu diesem Kommentar
testperson 1.534 Geschrieben 22. Januar Melden Teilen Geschrieben 22. Januar vor 5 Minuten schrieb Andy82Bln: Hat Jemand Erfahrung mit Entra-Anwendungsproxy? Kenne ich nur i.V.m. RD Web / RD Gateway. Theoretisch sollte Exchange damit auch veröffentlicht werden können, da modern Hybrid nicht viel anderes macht. Allerdings wirst du da vermutlich auch keine modern Auth für rein On-Premises hinkriegen. Da wäre dann AFAIK nur "Hybrid modern Auth" (HMA) möglich. Zitieren Link zu diesem Kommentar
NorbertFe 1.804 Geschrieben 22. Januar Melden Teilen Geschrieben 22. Januar vor 59 Minuten schrieb testperson: "Der Rest" sollte doch für Exchange 2019 noch nachgereicht werden. Ich hab nicht mal das aus obigem Post rausgelesen (oder übersehen). Aber wenn man mal bedenkt, wie lange die sich für manche Dinge bei MS neuerdings Zeit lassen. :/ Zitieren Link zu diesem Kommentar
testperson 1.534 Geschrieben 22. Januar Melden Teilen Geschrieben 22. Januar vor 2 Minuten schrieb NorbertFe: Aber wenn man mal bedenkt, wie lange die sich für manche Dinge bei MS neuerdings Zeit lassen. :/ Das letzte bisschen Geduld lässt sich doch easy peasy auf der zweiten A*chbacke absitzen. Es bleiben ja nur noch 2 CUs, um das klitzekleine Security Feature nachzureichen. Ich bin aber skeptisch, ob es tatsächlich mit dem nächsten CU passiert. (Oder wird es ein Killer-Argument um auf Exchange vNext zu gehen? ) Zitieren Link zu diesem Kommentar
NorbertFe 1.804 Geschrieben 22. Januar Melden Teilen Geschrieben 22. Januar Gerade eben schrieb testperson: (Oder wird es ein Killer-Argument um auf Exchange vNext zu gehen? ) Eher eins zu ExO zu gehen für viele andere ;) Zitieren Link zu diesem Kommentar
Andy82Bln 0 Geschrieben 22. Januar Autor Melden Teilen Geschrieben 22. Januar vor 56 Minuten schrieb NorbertFe: Hmm, mit Exchange oder generell? Generell. Aber was genau das Problem war, weiß ich nicht. Da war ich dort noch nicht angestellt :) Zitieren Link zu diesem Kommentar
NorbertFe 1.804 Geschrieben 22. Januar Melden Teilen Geschrieben 22. Januar Und was ist jetzt der Ersatz dafür? Zitieren Link zu diesem Kommentar
Andy82Bln 0 Geschrieben 22. Januar Autor Melden Teilen Geschrieben 22. Januar vor 4 Minuten schrieb NorbertFe: Eher eins zu ExO zu gehen für viele andere ;) Ich denke auch MS will Richtung ExO schubsen und vernachlässigt andere Themen So, gerade Sitzung gehabt und es wurde beschlossen auf die Outlook App für iOS zu wechseln. Da gab es meiner Meinung nach eine Lösung mit MFA in unserer Konstellation. vor 2 Minuten schrieb NorbertFe: Und was ist jetzt der Ersatz dafür? Nichts. Aktuell ist es eine Authentifizierung am AD. Hybrid ist ja auch schon aufgebaut und eine Testperson ist auch schon im ExO. Die Planung ist ja auch dieses Jahr da hin zu wechseln. Mein Vorschlag war ja, wenn das so geplant ist, dann erst zu ExO zu wechseln und dann die MDM Lösung umstellen ... dann gibt es auch keine Auth-Herausforderung mehr. Zitieren Link zu diesem Kommentar
NorbertFe 1.804 Geschrieben 22. Januar Melden Teilen Geschrieben 22. Januar vor 5 Minuten schrieb Andy82Bln: So, gerade Sitzung gehabt und es wurde beschlossen auf die Outlook App für iOS zu wechseln. Da gab es meiner Meinung nach eine Lösung mit MFA in unserer Konstellation. Über Outlook for iOS und Android hülle ich lieber den Mantel des Schweigens :) Will ja meist eh niemand hören wie die funktioniert. Dafür ist sie so schön bunt und mit Features. vor 6 Minuten schrieb Andy82Bln: Nichts. Aktuell ist es eine Authentifizierung am AD. ADFS hatte vorher keinen Anwendungszweck, oder wie? vor 6 Minuten schrieb Andy82Bln: Mein Vorschlag war ja, wenn das so geplant ist, dann erst zu ExO zu wechseln und dann die MDM Lösung umstellen ... dann gibt es auch keine Auth-Herausforderung mehr. Das wär jetzt aber echt zu einfach/pragmatisch. ;) Zitieren Link zu diesem Kommentar
Andy82Bln 0 Geschrieben 22. Januar Autor Melden Teilen Geschrieben 22. Januar vor 1 Minute schrieb NorbertFe: Über Outlook for iOS und Android hülle ich lieber den Mantel des Schweigens :) Will ja meist eh niemand hören wie die funktioniert. Dafür ist sie so schön bunt und mit Features. Ohh, jetzt bin ich neugierig. Kläre mich bitte auf :) vor 3 Minuten schrieb NorbertFe: ADFS hatte vorher keinen Anwendungszweck, oder wie? Das weiß ich nicht genau, war vor meiner Zeit. vor 2 Minuten schrieb NorbertFe: Das wär jetzt aber echt zu einfach/pragmatisch. ;) Ja, wieso leicht, wenn es auch schwer geht? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.