EXO Client Zugriff mit F1/F3

Exchange kann über viele Optionen lizenziert werden. Nicht jedes Paket enthält dabei Outlook als Lizenz. Aber das bedeutet nicht, das Sie Outlook über eine andere Lizenz nutzen dennoch können. Hier hat Microsoft einen Regel vorgeschoben.

Outlook und Exchange Lizenzdschungel

Für die Nutzung eines Postfachs bedarf es dreier Komponenten:

  • Exchange Postfach Lizenz
    Damit die Mails auch einen Speicherplatz haben. In Zeiten von Teams wird das Postfach immer unwichtiger, so dass F1 z.B. gar kein Postfach mehr enthält.
  • Outlook Lizenz
    Wer nicht per Browser oder mobiler App sondern mit dem "richtigen Outlook" seine Mails bearbeiten will, benötigt natürlich ein lizenziertes Outlook für Windows. Dies ist nicht in allen Paketen enthalten und sie könnten Outlook auch anderweitig lizenzieren oder z.B. eine ältere unterstützte Version weiter nutzen.
  • Outlook Verbindung
    Wenig bekannt ist aber, dass Sie als Administrator als auch als Anbieter steuern können, welche Anwender welchen Weg nutzen können. Der Zugriff per OWA, MAPI, EWS etc. kann pro Anwender individuell gesteuert werden. Nicht jedes Paket erlaubt alle Optionen.

Hier geht es insbesondere um den Zugriff per Outlook auf ein Exchange Online Postfach, der nicht immer möglich ist.

Lizenzpaket Exchange Postfach Outlook Verbindung EWS OWA EAS REST POP3 IMAP4 Outlook Lizenz

Microsoft 365 F1

Nein

Nein!

Nein!

Ja

Ja

Ja?

Ja

Nein!

Nein

Microsoft 365 F3

2GB

Nein!

Nein!

Ja

Ja

Ja?

Ja

Nein!

Nein

Office 365 F3 (vormals F1)

2GB

Nein!

Nein!

Ja

Ja

Ja?

Ja

Nein!

Nein

Office 365 ProPlus

Nein

Nein

Nein

Nein

Nein

Nein

Nein

Nein

Ja

Office 365 E1

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Nein

Microsoft 365 E3/Office 365 E3

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Exchange Plan 1

50 GB + Archiv

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Nein

Exchange Plan 2

100 GB + Archiv

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Nein

Insbesondere die "F1/F3"-Pläne sind hiervon betroffen. Eine noch ausführlichere Tabelle findet sich wieder mal in den "Exchange Online service description". Ich bin aber sicher, dass das kein Administrator oder Einkäufer so genau hinschaut.


Quell Exchange Online service description - Feature availability: https://docs.microsoft.com/en-us/office365/servicedescriptions/exchange-online-service-description/exchange-online-service-description?redirectedfrom=MSDN#feature-availability

Fehlermeldung auf dem Client

Auslöser war eigentlich "wieder einmal" ein Support-Ticket eines Anwenders, der sein Postfach nicht in ein vorhandenes Outlook einbinden konnte. Der Zugriff per Mobiltelefon (ActiveSync) oder Browser (OWA) war hingegen problemlos möglich. Auf dem Client scheiterte schon die Einrichtung des Profils in Outlook.

Allerdings ist die Fehlermeldung alles andere als hilfreich. Anstatt hier klar und deutlich auf eine fehlende Lizenz oder Berechtigung hinzuweisen, wird der Anwender sogar genötigt eine unverschlüsselte Verbindung zu versuchen.

Autodiscover

Über den Exchange Remote Connectivity Analyzer auf https://testconnectivity.microsoft.com können Sie sehr schnell auch prüfen, welche Autodiscover-Antwort der Cliet bekommt. Hier ist zu sehen, dass Exchange Online dem Client nur "WEB" anbietet.

<?xml version="1.0"?>
<Autodiscover 
   xmlns:xsd="http://www.w3.org/2001/XMLSchema" 
   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
   xmlns="http://schemas.microsoft.com/exchange/autodiscover/responseschema/2006">
  <Response xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a">
    <User>
      <DisplayName>F3Ue</DisplayName>
      <LegacyDN>/o=ExchangeLabs/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=xxxxxx-f3user</LegacyDN>
      <DeploymentId>guid</DeploymentId>
    </User>
    <Account>
      <AccountType>email</AccountType>
      <Action>settings</Action>
      <Protocol>
      <Type>WEB</Type>
      <Port>0</Port>
      <DirectoryPort>0</DirectoryPort>
      <ReferralPort>0</ReferralPort>
         <Internal>
            <OWAUrl AuthenticationMethod="LiveIdFba, OAuth">https://outlook.office365.com/owa/</OWAUrl>
         </Internal>
         <External>
            <OWAUrl AuthenticationMethod="Fba">https://outlook.office365.com/owa/msxfaq.onmicrosoft.com/</OWAUrl>
         </External>
      </Protocol>
   </Account>
   </Response>
</Autodiscover>

So kann Outlook natürlich keine Verbindung zum Postfach herstellen. Outlook könnte aber sehr wohl "verstehen", was hier fehlt und dem Anwender einen Hinweis darauf geben, dass er nur per Browser unter eben der angegebene URL sein Postfach öffnen kann.

Get-CAS-Mailbox

Mit dem Wissen um die fehlende EXPR oder MAPI-Konfiguration muss es ein Problem des Servers oder der Konfiguration dieses Postfach sein. Ein Get-Mailbox war noch unverdächtig aber beim Get-CASMailbox haben sich wenige aber wichtige Unterschiede gezeigt:

Eigenschaft Microsoft 365 F3-Mailbox Office 365 E3-Mailbox

ActiveSyncAllowedDeviceIDs

{}

{}

ActiveSyncBlockedDeviceIDs

{}

{}

ActiveSyncMailboxPolicy

Default

Default

ActiveSyncMailboxPolicyIsDefaulted

True

True

ActiveSyncDebugLogging

False

False

ActiveSyncEnabled

True

True

HasActiveSyncDevicePartnership

False

False

ActiveSyncSuppressReadReceipt

False

False

ExternalImapSettings

InternalImapSettings

ExternalPopSettings

InternalPopSettings

ExternalSmtpSettings

InternalSmtpSettings

OwaMailboxPolicy

OwaMailboxPolicy-Default

OwaMailboxPolicy-Default

OWAEnabled

True

True

OWAforDevicesEnabled

True

True

IsOptimizedForAccessibility

False

False

ECPEnabled

True

True

PopEnabled

True

True

PopMessageDeleteEnabled

True

True

PopUseProtocolDefaults

True

True

PopMessagesRetrievalMimeFormat

BestBodyFormat

BestBodyFormat

PopEnableExactRFC822Size

False

False

PopSuppressReadReceipt

False

False

PopForceICalForCalendarRetrievalOption

True

True

ImapEnabled

True

True

ImapUseProtocolDefaults

True

True

ImapMessagesRetrievalMimeFormat

BestBodyFormat

BestBodyFormat

ImapEnableExactRFC822Size

False

False

ImapSuppressReadReceipt

False

False

ImapForceICalForCalendarRetrievalOption

False

False

MAPIEnabled

False

True

MapiHttpEnabled

MAPIBlockOutlookNonCachedMode

False

False

MAPIBlockOutlookVersions

MAPIBlockOutlookRpcHttp

False

False

PublicFolderClientAccess

False

False

MAPIBlockOutlookExternalConnectivity

False

False

UniversalOutlookEnabled

True

True

OutlookMobileEnabled

True

True

MacOutlookEnabled

True

True

EwsEnabled

False

True

EwsAllowOutlook

 

EwsAllowMacOutlook

 

EwsAllowEntourage

 

EwsApplicationAccessPolicy

 

EwsAllowList

 

EwsBlockList

 

ShowGalAsDefaultView

True

 True

SmtpClientAuthenticationDisabled

 

IsValid

True

 True

Damit ist natürlich klar, dass der Outlook keine Verbindung zum Exchange Postfach aufbauen kann.

Set-CAS-Mailbox

Anfang war ich nicht sicher, ob es vielleicht nur ein Provisioning-Problem ist, den IMAP und POP3 schalten wir bei dem Kunden sowieso generell aus. Also habe ich die Einstellung per Set-CASMailbox wieder korrigieren wollen. Die Fehlermeldung ist aber eindeutig:

[PS] C:\>set-casMailbox f3user@msxfaq.de -EwsEnabled $true -MAPIEnabled $true

Lizenzüberprüfungsfehler: Aktion 'Set-CASMailbox', 'EwsEnabled', kann nicht für Benutzer 'F3User' mit Lizenz
'BPOS_S_Deskless' ausgeführt werden.
+ CategoryInfo : NotSpecified: (:) [Set-CASMailbox], RuleValidationException
+ FullyQualifiedErrorId : [Server=AM5PR0801MB1667,RequestId=c6302827-ec2a-404b-9448-09e9ab16824a,TimeStamp=26.05.2
021 10:06:03] [FailureCategory=Cmdlet-RuleValidationException] F93214C6,Microsoft.Exchange.Management.RecipientTas
ks.SetCASMailbox
+ PSComputerName : outlook.office365.com

Ich kann bei dem Benutzer die Funktion "EWS" und "MAPI" nicht aktivieren, da er nur eine "'BPOS_S_Deskless"-Lizenz hat.

Sobald Sie dem Benutzer eine Lizenz zuweisen, die auch MAPI/EWS-Zugriff enthält, dann stellt Exchange Online alleine die Werte für "MAPIEnabled" und "EwsEnabled" wieder auf $True.

Zwischenstand

Das war das erste Mal, dass ich eine direkte aktive Steuerung über die zugewiesene Office 365 Lizenz bemerkt habe. Eine "Fabrikam"-Lizenz enthält keine Outlook Lizenz aber verhindert auch aktiv eine Arbeit mit einer vorhandenen Outlook-Version oder mit IMAP4. Diese Anwender können also nur per mobilem Client, Browser oder POP3 arbeiten. Selbst das bessere IMAP4 bleibt ihnen verbaut.

Weitere Links