EXO Client Zugriff mit F1/F3
Exchange kann über viele Optionen lizenziert werden. Nicht jedes Paket enthält dabei Outlook als Lizenz. Aber das bedeutet nicht, das Sie Outlook über eine andere Lizenz nutzen dennoch können. Hier hat Microsoft einen Regel vorgeschoben.
Outlook und Exchange Lizenzdschungel
Für die Nutzung eines Postfachs bedarf es dreier Komponenten:
- Exchange Postfach Lizenz
Damit die Mails auch einen Speicherplatz haben. In Zeiten von Teams wird das Postfach immer unwichtiger, so dass F1 z.B. gar kein Postfach mehr enthält. - Outlook Lizenz
Wer nicht per Browser oder mobiler App sondern mit dem "richtigen Outlook" seine Mails bearbeiten will, benötigt natürlich ein lizenziertes Outlook für Windows. Dies ist nicht in allen Paketen enthalten und sie könnten Outlook auch anderweitig lizenzieren oder z.B. eine ältere unterstützte Version weiter nutzen. - Outlook Verbindung
Wenig bekannt ist aber, dass Sie als Administrator als auch als Anbieter steuern können, welche Anwender welchen Weg nutzen können. Der Zugriff per OWA, MAPI, EWS etc. kann pro Anwender individuell gesteuert werden. Nicht jedes Paket erlaubt alle Optionen.
Hier geht es insbesondere um den Zugriff per Outlook auf ein Exchange Online Postfach, der nicht immer möglich ist.
Lizenzpaket | Exchange Postfach | Outlook Verbindung | EWS | OWA | EAS | REST | POP3 | IMAP4 | Outlook Lizenz |
---|---|---|---|---|---|---|---|---|---|
Microsoft 365 F1 |
Nein |
Nein! |
Nein! |
Ja |
Ja |
Ja? |
Ja |
Nein! |
Nein |
Microsoft 365 F3 |
2GB |
Nein! |
Nein! |
Ja |
Ja |
Ja? |
Ja |
Nein! |
Nein |
Office 365 F3 (vormals F1) |
2GB |
Nein! |
Nein! |
Ja |
Ja |
Ja? |
Ja |
Nein! |
Nein |
Office 365 ProPlus |
Nein |
Nein |
Nein |
Nein |
Nein |
Nein |
Nein |
Nein |
Ja |
Office 365 E1 |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Nein |
Microsoft 365 E3/Office 365 E3 |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Exchange Plan 1 |
50 GB + Archiv |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Nein |
Exchange Plan 2 |
100 GB + Archiv |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Nein |
Insbesondere die "F1/F3"-Pläne sind hiervon betroffen. Eine noch ausführlichere Tabelle findet sich wieder mal in den "Exchange Online service description". Ich bin aber sicher, dass das kein Administrator oder Einkäufer so genau hinschaut.
Quell Exchange Online service description - Feature availability:
https://docs.microsoft.com/en-us/office365/servicedescriptions/exchange-online-service-description/exchange-online-service-description?redirectedfrom=MSDN#feature-availability
- Microsoft 365 Lizenzauswahl
- Microsoft 365 F1
- Microsoft 365 für Mitarbeiter in Service und Produktion
https://www.microsoft.com/de-de/microsoft-365/enterprise/frontline?market=de - Exchange Online-Pläne vergleichen
https://www.microsoft.com/de-de/microsoft-365/exchange/compare-microsoft-exchange-online-plans?market=de
Fehlermeldung auf dem Client
Auslöser war eigentlich "wieder einmal" ein Support-Ticket eines Anwenders, der sein Postfach nicht in ein vorhandenes Outlook einbinden konnte. Der Zugriff per Mobiltelefon (ActiveSync) oder Browser (OWA) war hingegen problemlos möglich. Auf dem Client scheiterte schon die Einrichtung des Profils in Outlook.
Allerdings ist die Fehlermeldung alles andere als hilfreich. Anstatt hier klar und deutlich auf eine fehlende Lizenz oder Berechtigung hinzuweisen, wird der Anwender sogar genötigt eine unverschlüsselte Verbindung zu versuchen.
Autodiscover
Über den Exchange Remote Connectivity Analyzer auf https://testconnectivity.microsoft.com können Sie sehr schnell auch prüfen, welche Autodiscover-Antwort der Cliet bekommt. Hier ist zu sehen, dass Exchange Online dem Client nur "WEB" anbietet.
<?xml version="1.0"?> <Autodiscover xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.microsoft.com/exchange/autodiscover/responseschema/2006"> <Response xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a"> <User> <DisplayName>F3Ue</DisplayName> <LegacyDN>/o=ExchangeLabs/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=xxxxxx-f3user</LegacyDN> <DeploymentId>guid</DeploymentId> </User> <Account> <AccountType>email</AccountType> <Action>settings</Action> <Protocol> <Type>WEB</Type> <Port>0</Port> <DirectoryPort>0</DirectoryPort> <ReferralPort>0</ReferralPort> <Internal> <OWAUrl AuthenticationMethod="LiveIdFba, OAuth">https://outlook.office365.com/owa/</OWAUrl> </Internal> <External> <OWAUrl AuthenticationMethod="Fba">https://outlook.office365.com/owa/msxfaq.onmicrosoft.com/</OWAUrl> </External> </Protocol> </Account> </Response> </Autodiscover>
So kann Outlook natürlich keine Verbindung zum Postfach herstellen. Outlook könnte aber sehr wohl "verstehen", was hier fehlt und dem Anwender einen Hinweis darauf geben, dass er nur per Browser unter eben der angegebene URL sein Postfach öffnen kann.
Get-CAS-Mailbox
Mit dem Wissen um die fehlende EXPR oder MAPI-Konfiguration muss es ein Problem des Servers oder der Konfiguration dieses Postfach sein. Ein Get-Mailbox war noch unverdächtig aber beim Get-CASMailbox haben sich wenige aber wichtige Unterschiede gezeigt:
Eigenschaft | Microsoft 365 F3-Mailbox | Office 365 E3-Mailbox |
---|---|---|
ActiveSyncAllowedDeviceIDs |
{} |
{} |
ActiveSyncBlockedDeviceIDs |
{} |
{} |
ActiveSyncMailboxPolicy |
Default |
Default |
ActiveSyncMailboxPolicyIsDefaulted |
True |
True |
ActiveSyncDebugLogging |
False |
False |
ActiveSyncEnabled |
True |
True |
HasActiveSyncDevicePartnership |
False |
False |
ActiveSyncSuppressReadReceipt |
False |
False |
ExternalImapSettings |
||
InternalImapSettings | ||
ExternalPopSettings | ||
InternalPopSettings | ||
ExternalSmtpSettings | ||
InternalSmtpSettings | ||
OwaMailboxPolicy |
OwaMailboxPolicy-Default |
OwaMailboxPolicy-Default |
OWAEnabled |
True |
True |
OWAforDevicesEnabled |
True |
True |
IsOptimizedForAccessibility |
False |
False |
ECPEnabled |
True |
True |
PopEnabled |
True |
True |
PopMessageDeleteEnabled |
True |
True |
PopUseProtocolDefaults |
True |
True |
PopMessagesRetrievalMimeFormat |
BestBodyFormat |
BestBodyFormat |
PopEnableExactRFC822Size |
False |
False |
PopSuppressReadReceipt |
False |
False |
PopForceICalForCalendarRetrievalOption |
True |
True |
ImapEnabled |
True |
True |
ImapUseProtocolDefaults |
True |
True |
ImapMessagesRetrievalMimeFormat |
BestBodyFormat |
BestBodyFormat |
ImapEnableExactRFC822Size |
False |
False |
ImapSuppressReadReceipt |
False |
False |
ImapForceICalForCalendarRetrievalOption |
False |
False |
MAPIEnabled |
False |
True |
MapiHttpEnabled |
||
MAPIBlockOutlookNonCachedMode |
False |
False |
MAPIBlockOutlookVersions |
||
MAPIBlockOutlookRpcHttp |
False |
False |
PublicFolderClientAccess |
False |
False |
MAPIBlockOutlookExternalConnectivity |
False |
False |
UniversalOutlookEnabled |
True |
True |
OutlookMobileEnabled |
True |
True |
MacOutlookEnabled |
True |
True |
EwsEnabled |
False |
True |
EwsAllowOutlook |
|
|
EwsAllowMacOutlook |
|
|
EwsAllowEntourage |
|
|
EwsApplicationAccessPolicy |
|
|
EwsAllowList |
|
|
EwsBlockList |
|
|
ShowGalAsDefaultView |
True |
True |
SmtpClientAuthenticationDisabled |
|
|
IsValid |
True |
True |
Damit ist natürlich klar, dass der Outlook keine Verbindung zum Exchange Postfach aufbauen kann.
Set-CAS-Mailbox
Anfang war ich nicht sicher, ob es vielleicht nur ein Provisioning-Problem ist, den IMAP und POP3 schalten wir bei dem Kunden sowieso generell aus. Also habe ich die Einstellung per Set-CASMailbox wieder korrigieren wollen. Die Fehlermeldung ist aber eindeutig:
[PS] C:\>set-casMailbox f3user@msxfaq.de -EwsEnabled $true -MAPIEnabled $true Lizenzüberprüfungsfehler: Aktion 'Set-CASMailbox', 'EwsEnabled', kann nicht für Benutzer 'F3User' mit Lizenz 'BPOS_S_Deskless' ausgeführt werden. + CategoryInfo : NotSpecified: (:) [Set-CASMailbox], RuleValidationException + FullyQualifiedErrorId : [Server=AM5PR0801MB1667,RequestId=c6302827-ec2a-404b-9448-09e9ab16824a,TimeStamp=26.05.2 021 10:06:03] [FailureCategory=Cmdlet-RuleValidationException] F93214C6,Microsoft.Exchange.Management.RecipientTas ks.SetCASMailbox + PSComputerName : outlook.office365.com
Ich kann bei dem Benutzer die Funktion "EWS" und "MAPI" nicht aktivieren, da er nur eine "'BPOS_S_Deskless"-Lizenz hat.
Sobald Sie dem Benutzer eine Lizenz zuweisen, die auch MAPI/EWS-Zugriff enthält, dann stellt Exchange Online alleine die Werte für "MAPIEnabled" und "EwsEnabled" wieder auf $True.
Zwischenstand
Das war das erste Mal, dass ich eine direkte aktive Steuerung über die zugewiesene Office 365 Lizenz bemerkt habe. Eine "Fabrikam"-Lizenz enthält keine Outlook Lizenz aber verhindert auch aktiv eine Arbeit mit einer vorhandenen Outlook-Version oder mit IMAP4. Diese Anwender können also nur per mobilem Client, Browser oder POP3 arbeiten. Selbst das bessere IMAP4 bleibt ihnen verbaut.
Weitere Links
- Microsoft 365 Lizenzauswahl
- Microsoft 365 F1
- Microsoft 365
- Exchange - Autodiscover
- Microsoft 365 für Mitarbeiter in Service und Produktion
https://www.microsoft.com/de-de/microsoft-365/enterprise/frontline?market=de - Exchange Online-Pläne vergleichen
https://www.microsoft.com/de-de/microsoft-365/exchange/compare-microsoft-exchange-online-plans?market=de - Exchange Online service description - Feature availability
https://docs.microsoft.com/en-us/office365/servicedescriptions/exchange-online-service-description/exchange-online-service-description?redirectedfrom=MSDN#feature-availability - Trouble in O365 powershell while applying EWS restriction Organisation wide?
https://answers.microsoft.com/en-us/msoffice/forum/msoffice_o365admin/trouble-in-o365-powershell-while-applying-ews/7700f554-e3f4-44d0-aa8e-d376ef9707ee - The Exchange Online Kiosk License
https://www.easy365manager.com/exchange-online-kiosk/