Outlook für IOS

Erst konnte das IPad selbst ActiveSync sprechen, dann kam von Microsoft ein "OWA für IPad" und nun gibt es "Outlook für IPad". Zum Zugang per Safari auf OWA (mit Offline Funktion) ganz zu schweigen. Irgendwie schon seltsam, wie viele Clients es für die IOS-Plattform gibt. Diese neue App gibt es als Outlook für Android auch für Googles Plattform.

Schaut man aber mal genauer hin, dann ist die App nicht neu, sondern war vorher unter dem Namen Acompli bekannt. Microsoft hat die Firma nämlich Ende 2014 übernommen.

Microsoft hat angekündigt, dass diese App quasi monatlich aktualisiert wird. Die hier beschriebenen Daten sind daher nicht zwingend noch aktuell.

Mittlerweile ist die Middleware von Amazon AWD auf Azure umgezogen
https://technet.microsoft.com/en-us/library/mt465746(v=exchg.150).aspx
Outlook for iOS and Android is now fully powered by the Microsoft Cloud
https://www.microsoft.com/en-us/microsoft-365/blog/2016/09/26/outlook-for-ios-and-android-is-now-fully-powered-by-the-microsoft-cloud/

Wichtig: Datenschutz!

Die Verbindung von "Outlook für IPad" zum Exchange Server erfolgt über ActiveSync. Allerdings verbindet sich die Applikation nicht direkt mit dem Exchange Server, sondern geht zum Server von Acompli, die dann auf den Exchange Server zugreifen. Die Acompli-Server stehen anscheinend in den USA und über den Weg kommt der Anbieter natürlich an die Anmeldedaten ihres Domänen-Kontos.

Acompli beschreibt dies auch in den Datenschutzbedingungen, aber ich kann mich nicht erinnern, die bei der Installation bestätigt zu haben. Dieser "Umweg" soll es angeblich erleichtern, dass eingehende Mails schneller zugestellt und Push-Benachrichtigungen möglich werden. Bislang konnte ich mich nicht beschweren, dass mein Mobiltelefon die Mail zu langsam bekommt.

If you decide to sign up to use the service, you will need to create an account. That requires that you provide the email address(es) that you want to access with our service. Some email accounts (ones that use Microsoft Exchange, for example) also require that you provide your email login credentials, including your Username, password, server URL, and server domain
Quelle: https://www.acompli.com/privacy-policy/

Wer als Firma die Nutzung unterbinden will, kann dies ab Exchange 2010 mit der Quarantäne erreichen.

New-ActiveSyncDeviceAccessRule `
   -AccessLevel Block `
   -Characteristic DeviceModel `
   -QueryString "Outlook für iOS and Android"

Wer heute schon seinen ActiveSync Zugang mit einer Mobile Device Management Software oder Zertifikaten absichert, sperrt damit auch diesen neuen Client aus.

Diese Vorkehrungen verhindern aber nicht, dass der Anwender sein Kennwort schon eingegeben und an die Cloud übermittelt hat. Es ist sicher kein Problem für den "Anbieter" zu erkennen, dass der Zugriff nicht aufgrund falscher Anmeldedaten fehlgeschlagen ist. Wenn er denn "böse" wäre, dann sollte man besser den Zugriff in der Quarantäne auffangen und den Anwender auf seinen Fehler hinweisen.

Installation und Konfiguration

Typisch für IOS ist, dass man die App einfach im AppStore sucht und herunter lädt.

Hier am Beispiel Apple sieht man noch "OWA für IPad".

 

Nach der Installation fragt ein Assistent gleich, welches Konto eingerichtet werden soll. Die Auswahl ist aktuell noch sehr umfangreich.

 

Ich könnte mir aber vorstellen, das diese Liste vielleicht den ein oder anderen Eintrag verliert. Microsoft hat schon angedeutet, dass die App fast im Wochentakt "optimiert" werden soll.

Bei der Auswahl von Exchange wird erst einmal nur nach Mailadresse und Kennwort gefragt. Leider konnte bei mir die Software das Postfach nicht mittels Autodiscover finden, so dass ich in einem zweiten Schritt doch noch den Server, Benutzername, Domäne und Kennwort eingeben musste.

Danach hat sich der Client authentifiziert aber ist dann in der Quarantäne hängen geblieben. Auch diese hat er wie erwartet als Mail im Posteingang und per Information an den hinterlegen Administrator kund getan:

Kurz nachdem das Gerät freigeschaltet wurde, konnten die ersten Mails auch schon eingesehen werden.

Anwendung

Bilder und Hinweise zum Einsatz reiche ich nach, wenn ich einen Testaccount aufgesetzt habe. Ich habe es doch vorgezogen erst mal wieder mein Benutzerkennwort zu ändern. Nur gut, dass ich für jedes Konto eigene Zugangsdaten habe.

 

Fragen

Aber beim ersten Einsatz sind schon ein paar Fragen offen geblieben:

  • Exchange Kennwort
    Wir wissen nun, dass das Kennwort "auch" auf der Cloud gespeichert wird. Technisch könnte die Software damit auf ein lokales Kennwort komplett verzichten, wenn quasi eine "Partnerschaft" zwischen App und Cloud-Service erstellt wird. Es scheint auch ein "Dvice-Token" hierzu zu geben. Tiefer habe ich aber noch nicht in das Protokoll geschaut. Wenn aber der Anwender sein AD-Kennwort ändert, muss die App erneut die Anmeldedaten erfragen. Hinweis: eine Änderung des AD-Kennworts unterbricht nicht sofort die Verbindung. Selbst wenn das iPad neu gestartet wird, was ein Hinweis darauf ist, dass die Verbindung des Cloud-Dienst zum Exchange auch dann bestehen bleibt. Erst wenn diese TCP-Connection abgebaut wird (z.B. IISRESET auf Exchange) kommt eine neue Anmeldung zum Tragen.
  • App-Kennwort
    Wer das Tablet hat und sich anmelden kann, ist "drin". Da gefällt mit der Ansatz von "OWA für IPad" besser. Hier kann man ein App-Kennwort als Schutz nutzen. UPDATE: Version von Mitte Feb 2015 hat dieses Feature
  • Policies und Remote Wipe
    Bei einem Wipe wird nicht das komplette Tablet geleert, sondern nur die Daten dieses Konto in der App. Angeblich muss man aber doch die App danach neu installieren um ein neues Device-Token zu erhalten. Da die App selbst aber kein Kennwort hat, und ich auf meinem Tablet auch OWA für Ipad und Apple Mail habe, sind die Mindestvorgaben zu Kennwort und Sperrung natürlich gesetzt. Bei Gelegenheit muss ich noch mal nachprüfen, was bei einem ungesicherten Tablet kommt.
    UPDATE: Version von Mitte Feb 2015 hat dieses Feature
  • Debugging (Autodiscover ?)
    Natürlich habe ich erst mal nur "Mailadresse + Kennwort" eingegeben. Da bei uns "Autodiscover" korrekt konfiguriert ist, hätte ich erwartet, dass damit alles "durch" ist. Das war aber nicht der Fall. Warum auch immer musste ich manuell doch den Servernamen, die Domäne und den Usernamen samt Kennwort hinterlegen.

Es bleibt also noch einiges zu prüfen.

Einschätzung

Die alternative Oberfläche, die auf Touch-Gesten sehr gut eingeht, die Integration mit OneDrive, DropBox etc. die Ansicht aller Anlagen in einem eigenen Reiter sind schon sehr hübsch anzusehen. Der Name "Outlook" ist aber sicher etwas überzogen, denn Outlook kann durchaus noch einige Dinge mehr, die hier komplett fehlen. Aber es ist ein Anfang, der noch interessanter wäre, wenn die App einfach "ActiveSync" mit meinem Heimatserver spricht.

Solange aber die Verbindung über einen Proxy geleitet wird, sehe ich persönlich erst einmal davon ab, mein Kennwort aus der Hand zu geben. Das wird sicher etwas anders, wenn die Anmeldung per ADFS oder Applikationskennwort möglich sein wird. Ich kann aber problemlos mit OWA für IPAD oder der IOS-Mail/Kalender/Kontakte-Lösung leben, die zudem sich auch im Betriebssystem als Ziel für Fotos, Links etc. integriert.

Weitere Links