Apple IOS, OAUTH und Exchange Online

Mit der Abschaltung der "LegacyAuth" in Exchange Online bzw. der Einführung von Azure Security Defaults können sich auch IOS-Geräte mit der nativen Apple Mailapp nicht mehr an Exchange Online allein mit Benutzername/Kennwort anmelden. Die Anmeldung muss per OAUTH mit einer ApplicationID erfolgen und dazu muss der Administrator aktiv werden.

Sie können als Tenant-Administrator über den Kurzlink https://aka.ms/ConsentAppleApp direkt die erforderliche App samt Berechtigungen und Admin Consent eintragen. Die Zusammenhänge stehen dann auf dieser Seite.

OAUTH Support

Apple hat den Wechsel auf OAUTH lange ignoriert und wenn Sie als Administrator diese Änderung früh erzwungen haben, mussten die Anwender ihr Mailprofil neu einrichten. IOS konnte anfangs nicht damit umgehen, dass die Gegenseite keine "BasicAuth" mehr angeboten hat sondern eine "Bearer"-Antwort geliefert hat. Es hat schon mal bis zu IOS11 (Sep 17) gedauert, bis Apple OAUTH als Anmeldeverfahren addiert hat:


Quelle: Apple

OAUTH Migration

Aber auch dann hat es noch einige Zeit benötigt, bis Apple auch eine automatische Umstellung der bestehenden Mail-Profile implementiert hat. Erst mit IOS 15.6 (Juli 2022) kam diese Funktion. Microsoft hat am Okt 2022 angefangen, BasicAuth abzuschalten, d.h. nur Anwender, die IOS 15.6 zügig installiert hatten, konnten davon profitieren. Microsoft war darüber wohl so froh, dass Sie das extra auf einem Blog verkündet haben,

 Apple will be adding support for this grant and the associated workflow in an iOS 15.6 update. A few days after a device is updated, the Mail app will use the credentials it already has in a new flow to authenticate to the Identity Provider (in this case, Azure Active Directory), receive OAuth access and refresh tokens in return, remove the stored Basic auth credentials from the device, and then reconfigure the settings on the account to use OAuth. From then on, the account uses OAuth to authenticate to Exchange Online, and the user doesn’t even have to know this happened.
Quelle: https://techcommunity.microsoft.com/t5/exchange-team-blog/microsoft-and-apple-working-together-to-improve-exchange-online/ba-p/3513846 

Aber ganz alleine funktioniert es noch nicht, denn der Tenant Administrator muss immer noch aktiv werden

Tenant Konfiguration

Schön, dass IOS nun sich auch per OAUTH am Tenant anmelden kann. Allerdings gehört dazu auch eine Authentifizierung als "App". Apple hat dazu eine Enterprise Application bereitgestellt, für deren Zugriff natürlich noch "Consent" erteilt werden muss. In einem Tenant mit Standardkonfiguration können alle Benutzer "Consent" für ihre eigener Konto erteilen und daher ist es wahrscheinlich, dass es in ihrem Tenant sogar schon eine App mit dem Namen " Apple Internet Accounts" oder "iOS Accounts" mit der AppID "f8d98a96-0999-43f5-8af3-69971c7bb423" gibt. Wen Sie meine Checkliste Tenant Einrichtung durchgearbeitet haben, dann haben Sie genau diese "Eigenzulassung" unterbunden.  Sollte die App noch nicht vorhanden sein, dann brauchen Sie ihren Tenantnamen oder die TenantID, um dann die URL zu vervollständigen und aufzurufen:

https://aka.ms/ConsentAppleApp

Im Hintergrund wird die bekannte URL aufgerufen:

https://login.microsoftonline.com/<TenantID>/oauth2/authorize?client_id=f8d98a96-0999-43f5-8af3-69971c7bb423&response_type=code&redirect_uri=https://example.com&prompt=admin_consent

z.B. 
https://login.microsoftonline.com/msxfaqdev.onmicrosoft.com/oauth2/authorize?client_id=f8d98a96-0999-43f5-8af3-69971c7bb423&response_type=code&redirect_uri=https://example.com&prompt=admin_consent

Wenn Sie als Firma in ihrem Tenant eine Nutzung von Apple Mail per ActiveSync erlauben wollen, dann sollten Sie als Administrator dazu ihren "Consent" erteilen, indem Sie unter https://portal.azure.com auf Enterprise Applications gehen und die bearbeiten und dann die folgenden Rechte gewähren:

EAS.AccessAsUserAll
EWS.AccessAsUserAll
User.Read

Wenn die Liste bei ihnen leer ist, dann prüfen Sie bei "User consent", ob schon ein Anwender seine Zustimmung erteilt hat und addieren Sie von dort aus die Rechte über die "Grant admin content for <companyname>" und den folgenden Dialog:

Danach sollten die drei Berechtigungen direkt im Azure Portal ersichtlich sein.

Danach werden die Anwender nicht mehr individuell gefragt.

MDM/Intune

Wenn sie die Konfiguration auf dem IOS-Device nicht den Anwender überlassen, sondern per MDM vorschreiben, dann sollten Sie das entsprechende Profil aktualisieren oder durch ein neues Profil ersetzen. So kann ein Profil in Intune aussehen: 

Der für ActiveSync richtige Hostname lautet laut Microsoft "outlook.office365.com". Achtung vor zu viel eingegebenen Leerzeichen etc.
Siehe auch https://learn.microsoft.com/de-de/exchange/troubleshoot/administration/incorrect-settings#solution

iOS Device Email Profile-Microsoft Intune
https://www.youtube.com/watch?v=iVfpV7hd5Lc

Weitere Links