Apple IOS, OAUTH und Exchange Online
Mit der Abschaltung der "LegacyAuth" in Exchange Online bzw. der Einführung von Azure Security Defaults können sich auch IOS-Geräte mit der nativen Apple Mailapp nicht mehr an Exchange Online allein mit Benutzername/Kennwort anmelden. Die Anmeldung muss per OAUTH mit einer ApplicationID erfolgen und dazu muss der Administrator aktiv werden.
Sie können als Tenant-Administrator über den Kurzlink https://aka.ms/ConsentAppleApp direkt die erforderliche App samt Berechtigungen und Admin Consent eintragen. Die Zusammenhänge stehen dann auf dieser Seite.
OAUTH Support
Apple hat den Wechsel auf OAUTH lange ignoriert und wenn Sie als Administrator diese Änderung früh erzwungen haben, mussten die Anwender ihr Mailprofil neu einrichten. IOS konnte anfangs nicht damit umgehen, dass die Gegenseite keine "BasicAuth" mehr angeboten hat sondern eine "Bearer"-Antwort geliefert hat. Es hat schon mal bis zu IOS11 (Sep 17) gedauert, bis Apple OAUTH als Anmeldeverfahren addiert hat:
Quelle: Apple
- Authenticating users with Sign in with
Apple
https://developer.apple.com/documentation/sign_in_with_apple/sign_in_with_apple_rest_api/authenticating_users_with_sign_in_with_apple
OAUTH Migration
Aber auch dann hat es noch einige Zeit benötigt, bis Apple auch eine automatische Umstellung der bestehenden Mail-Profile implementiert hat. Erst mit IOS 15.6 (Juli 2022) kam diese Funktion. Microsoft hat am Okt 2022 angefangen, BasicAuth abzuschalten, d.h. nur Anwender, die IOS 15.6 zügig installiert hatten, konnten davon profitieren. Microsoft war darüber wohl so froh, dass Sie das extra auf einem Blog verkündet haben,
Apple will be adding support for
this grant and the associated workflow in an iOS 15.6
update. A few days after a device is updated, the Mail app
will use the credentials it already has in a new flow to
authenticate to the Identity Provider (in this case, Azure
Active Directory), receive OAuth access and refresh tokens
in return, remove the stored Basic auth credentials from the
device, and then reconfigure the settings on the account to
use OAuth. From then on, the account uses OAuth to
authenticate to Exchange Online, and the user doesn’t even
have to know this happened.
Quelle:
https://techcommunity.microsoft.com/t5/exchange-team-blog/microsoft-and-apple-working-together-to-improve-exchange-online/ba-p/3513846
Aber ganz alleine funktioniert es noch nicht, denn der Tenant Administrator muss immer noch aktiv werden
- iOS & iPadOS 15.6 Release Notes
https://developer.apple.com/documentation/ios-ipados-release-notes/ios-ipados-15_6-release-notes - Microsoft and Apple Working Together to
Improve Exchange Online Security
https://techcommunity.microsoft.com/t5/exchange-team-blog/microsoft-and-apple-working-together-to-improve-exchange-online/ba-p/3513846 - Upgrade Mail App Profiles for Modern
Authentication
https://practical365.com/microsoft-auto-update-apple-mail-app-profiles/ - Microsoft Plans Automatic Upgrade of Apple Mail App Profiles Post
author
https://practical365.com/microsoft-auto-update-apple-mail-app-profiles/ - iOS 15.6 update will migrate iPhones on
basic authentication to modern
authentication
https://techcommunity.microsoft.com/t5/office-365/ios-15-6-update-will-migrate-iphones-on-basic-authentication-to/m-p/3583865 - Device Management Profile
ExchangeActiveSync The payload for
configuring Exchange ActiveSync accounts.
https://developer.apple.com/documentation/devicemanagement/exchangeactivesync?language=objc
Tenant Konfiguration
Schön, dass IOS nun sich auch per OAUTH am Tenant anmelden kann. Allerdings gehört dazu auch eine Authentifizierung als "App". Apple hat dazu eine Enterprise Application bereitgestellt, für deren Zugriff natürlich noch "Consent" erteilt werden muss. In einem Tenant mit Standardkonfiguration können alle Benutzer "Consent" für ihre eigener Konto erteilen und daher ist es wahrscheinlich, dass es in ihrem Tenant sogar schon eine App mit dem Namen " Apple Internet Accounts" oder "iOS Accounts" mit der AppID "f8d98a96-0999-43f5-8af3-69971c7bb423" gibt. Wen Sie meine Checkliste Tenant Einrichtung durchgearbeitet haben, dann haben Sie genau diese "Eigenzulassung" unterbunden. Sollte die App noch nicht vorhanden sein, dann brauchen Sie ihren Tenantnamen oder die TenantID, um dann die URL zu vervollständigen und aufzurufen:
https://aka.ms/ConsentAppleApp
Im Hintergrund wird die bekannte URL aufgerufen:
https://login.microsoftonline.com/<TenantID>/oauth2/authorize?client_id=f8d98a96-0999-43f5-8af3-69971c7bb423&response_type=code&redirect_uri=https://example.com&prompt=admin_consent z.B. https://login.microsoftonline.com/msxfaqdev.onmicrosoft.com/oauth2/authorize?client_id=f8d98a96-0999-43f5-8af3-69971c7bb423&response_type=code&redirect_uri=https://example.com&prompt=admin_consent
Wenn Sie als Firma in ihrem Tenant eine Nutzung von Apple Mail per ActiveSync erlauben wollen, dann sollten Sie als Administrator dazu ihren "Consent" erteilen, indem Sie unter https://portal.azure.com auf Enterprise Applications gehen und die bearbeiten und dann die folgenden Rechte gewähren:
EAS.AccessAsUserAll EWS.AccessAsUserAll User.Read
Wenn die Liste bei ihnen leer ist, dann prüfen Sie bei "User consent", ob schon ein Anwender seine Zustimmung erteilt hat und addieren Sie von dort aus die Rechte über die "Grant admin content for <companyname>" und den folgenden Dialog:
Danach sollten die drei Berechtigungen direkt im Azure Portal ersichtlich sein.
Danach werden die Anwender nicht mehr individuell gefragt.
- Apple iOS Mail App Might Need Upgraded Configuration for
Modern Authentication
https://office365itpros.com/2021/10/18/old-apple-ios-mail-app-exchange/ - iOS accounts needs permission to access
Office 365 resources
https://office365.thorpick.de/ios-accounts-needs-permission-to-access-office-365-resources - Exchange Online: Apple Internet Accounts
- Administratorgenehmigung erforderlich
https://diecknet.de/de/2020/05/10/Apple-Internet-Accounts-Office365/
MDM/Intune
Wenn sie die Konfiguration auf dem IOS-Device nicht den Anwender überlassen, sondern per MDM vorschreiben, dann sollten Sie das entsprechende Profil aktualisieren oder durch ein neues Profil ersetzen. So kann ein Profil in Intune aussehen:
Der für ActiveSync richtige Hostname lautet laut Microsoft
"outlook.office365.com". Achtung vor zu viel eingegebenen Leerzeichen etc.
Siehe auch
https://learn.microsoft.com/de-de/exchange/troubleshoot/administration/incorrect-settings#solution
- Add e-mail settings for iOS and iPadOS devices in
Microsoft Intune
https://learn.microsoft.com/en-us/mem/intune/configuration/email-settings-ios
iOS Device Email Profile-Microsoft Intune
https://www.youtube.com/watch?v=iVfpV7hd5Lc
Weitere Links
- Outlook für IOS
- Azure Security Defaults
- Bearer Decoding
- Authentifizierung im Wandel der Zeit
- HTTP Authentication
- Graph Berechtigungen
- Phishing mit Consent-Anforderung
- Microsoft and Apple Working Together to
Improve Exchange Online Security
https://techcommunity.microsoft.com/t5/exchange-team-blog/microsoft-and-apple-working-together-to-improve-exchange-online/ba-p/3513846 - Microsoft 365-Benutzer können aufgrund
falscher Diensteinstellungen keine
Verbindung mit Exchange Online herstellen.
https://learn.microsoft.com/de-de/exchange/troubleshoot/administration/incorrect-settings - Apple iOS Mail App Might Need Upgraded
Configuration for Modern Authentication
https://office365itpros.com/2021/10/18/old-apple-ios-mail-app-exchange/ - Authenticating users with Sign in with
Apple
https://developer.apple.com/documentation/sign_in_with_apple/sign_in_with_apple_rest_api/authenticating_users_with_sign_in_with_apple - Apple Mail app integration with Microsoft Exchange
https://hmaslowski.com/macos/f/apple-mail-app-integration-with-microsoft-exchange - Exchange Online: Apple Mail App Clients für Modern Authentication
ertüchtigen
https://www.borncity.com/blog/2021/10/30/exchange-online-apple-mail-app-clients-fr-modern-authentication-ertchtigen/