Outlook Profil Policies

Outlook unterstützt nicht nur einen Mailserver, sondern kann über MAPI-Profile unterschiedliche Transportprovider und Storageprovider einbinden. Diese Seite beschäftigst sich mit den Richtlinien, über die Ein Administrator auf diese Konfiguration Einfluss nehmen kann. Vielleicht ist es ja gerade nicht gewünscht, dass ein Anwender neben deinem Exchange Postfach in der Firma noch ein privates IMAP4-Postfach einbindet und damit über den Client eine Brücke zwischen dem Firmennetzwerk und dem Internet schafft.

Profileinrichtung

Der normale Anwender einer Firma mit Exchange On-Premises oder Exchange Online kann eigentlich nicht viel falsch machen. Er startet Outlook und über den "Autodiscover"-Mechanismus liest Outlook das Feld "mail" zum Benutzerobjekt aus dem Active Directory aus. Basierend auf der Domain der Mailadresse startet dann Autodiscover um einen Postfach-Server zu finden. Wenn alles korrekt konfiguriert ist, findet Outlook einen Weg zum Exchange Server, authentifiziert sich und bekommt eine XML-Datei mit den Zugangspunkten und natürlich dem eigenen Postfach aber auch z.B. Office Groups, öffentliche Ordner oder gemeinsame Postfächer. Der Zugriff ist aber auf eine Exchange-Topologie der Firma beschränkt, die auch die SMTP-Domäne verwaltet.

Risikobetrachtung

Nun ist es aber möglich, dass ein Anwender in Outlook weitere Dienste in sein bestehendes Profil addiert. Ergeht einfach über Datei - Informationen - Konteneinstellungen und addiert ein weiteres Konto.

Der Anwender gibt einfach die Mailadresse Adresse ein und Outlook versucht wieder per Autodiscover eine Verbindung zu finden. Ein Anwender kann aber auch eine manuelle Konfiguration durchführen und sieht dann folgende Auswahl (Outlook 365, Nov 2021).

Für verschiedene Firmen ist das natürlich ein Risiko, wenn ein Anwender neben dem primären Postfach auch noch ein anderes Postfach einbinden und damit z.B. Mails empfangen und sogar ins Firmenpostfach verlagern kann, die nicht durch den Spamfilter, Archivlösungen etc. der Firma gelaufen sind. Für einige Firmen ist die Gegenrichtung noch kritischer, wenn ein Anwender eine Firmenmail über ein anderes Postfach ausleitet.

Natürlich können Sie z.B. IMAP und POP3 auf einer Firmenfirewall sperren und die Anwender im Homeoffice mit einem "AlwaysOn-VPN" gängeln. Sogar lokale Desktoplösungen (Windows Firewall, Defender for Endpoint, etc.) können unerwünschte Zugriffe auch ohne Netzwerkfirewall unterbinden und z.B. Outlook nur mit dem Exchange-Endpunkt in der Firma sprechen lassen.

Dies hilft aber nicht, wenn das Firmenpostfach und das zusätzliche Postfach beide in Exchange Online liegen und beide unter der Adresse https://outlook.office365com erreichbar sind.

Gruppenrichtlinien

Wir wissen, dass ich auf dem Exchange Server aktuell dem Outlook Client leider keine Richtlinien mitgeben kann. Ein "Inband-Provisioning", wie wir es von Skype for Business, Microsoft Teams und zum Teil mit ActiveSync kennen, ist in Outlook nicht vorhanden.

Ich frage mich natürlich schon lange, warum Exchange und Outlook hier nicht besser "Hand in Hand"-Spielen und Outlook z.B. eine Einstellung aus dem Postfach oder per Autodiscover beziehen kann.

Aber es gibt ja noch lokale Office Gruppenrichtlinien, die die ein oder andere Einstellung bereithalten. Folgende Einstellungen, die Sie per Registrierung importieren oder per Gruppenrichtlinien setzen können, steuern das Verhalten von Outlook.

Ersetzen Sie die 16.0 bitte durch die passende Versionsnummer

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Outlook\Options]
"disableexchange"=dword:00000001
"disablepop3"=dword:00000001
"disableimap"=dword:00000001
"disableothertypes"=dword:00000001
"disableeas"=dword:00000001
"DisableGoogle"=dword:00000001

"disableexchange" blockiert die Nutzung von lokalen Exchange Servern aber nicht Outlook.com (Consumere) oder Exchange Online.

Für den Exchange Provider selbst gibt es noch weitere Einstellmöglichkeiten, um die Anzahl der parallel eingerichteten Exchange Verbindungen zu unterschiedlichen Servern und die Anzahl der eingebundenen Postfächer pro Verbindung zu steuen:

[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\exchange]
"disablemultipleexchange"=dword:00000001
"maxnumexchange"=dword:00000010

Hinweis: maxnumexchange beschränkt auch die Einbindung von "Shared Mailboxen" auch mit Automapping. Der Standardwert 10 sollte daher nur mit Bedacht reduziert werden.

Outlook selbst kann angewiesen werden, gleich alle "Consumer"-Mailsysteme auszuschließen und auch die PST-Datei können Sie unterbinden, um qualifizierte Exports zu verhindern. Damit blockieren Sie natürlich nicht einen Export als EML/MSG-Datei.

[HKEY_CURRENT_USER\Software\Policies\Microsoft\office\16.0\outlook]
"disableexchangeconsumeraccounts"=dword:00000001
"disablepst"=dword:00000001

Diese Einstellung verhindert gleich ganz, dass ein Anwender in die Profileinstellungen kommt.

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\outlook\setup]
"modifyaccounts"=dword:00000001

Achtung: Dies sind sehr restriktive Einstellungen, die quasi alles wegnehmen, auch die PST-Dateien. Für "sensible" Firmen aber sicher wünschenswert.

Wenn ich die Werte wie abgebildet setze, dann sind die meisten Optionen ausgegraut. Ein Neustart von Outlook ist nicht erforderlich.

Allerdings sehen Sie auch, dass Microsoft 365 und Exchange 2013 und früher noch vorhanden sind. Das ist im Prinzip ja auch richtig, da das Profil z.B. leer sein könnte und zumindest ein Exchange Server addiert werden könnte. Durch die Einstellung von "maxnumexchange=1" wird aber die Einrichtung eines zweiten Kontos mit einer nur bedingt aussagekräftigen Meldunge unterbunden:

Bereits im Profil hinterlegte mehrere Postfächer werden aber nicht deaktiviert. Wer hier "Aufräumen" will, sollte bestehende Profile löschen und neu anlegen.

Einschätzung

Es ist immer noch schade, dass die Konfiguration von Einschränkungen in Outlook nicht vom Exchange Server vorgegeben werden kann, sondern weiterhin über lokale Gruppenrichtlinien oder per Intune o.ä. gesetzte Registrierungsschlüssel erfolgen muss. Dennoch ist dies besser als nichts, wenn Sie die richtigen Einstellungen für ihre Umgebung vorgeben und auf ihre "Managed Devices" anwenden. Dennoch müssen Sie hier dann auch noch überlegen, wie die auf diesen verwalteten Geräten weiterhin mögliche Nebenpfade verhindern, z.B. Export in EML/MSG. Die Herausforderung besteht natürlich auch bei anderen Lösungen wie Zugriff per Browser auf Webmail o.a.

Sie müssen sich dann noch Gedanken um die "nicht verwalteten" Geräte machen, die ihre Gruppenrichtlinien gar nicht bekommen, z.B. BYOD-Umgebungen. Hier ist dann Conditional Access eine mögliche Antwort, um nur noch verwalteten Geräten einen Zugriff zu erlauben. Wer den Schutz noch höher treiben möchte, schützt alle Informationen über Rights Management/Information Protection. Dann kann ein Anwender eine Information zwar ausleiten aber der Zugriff ist dennoch auf berechtigte Personen beschränkt.

So zugestopft könnte der Anwender nur noch über ein weiteres Profil einen anderen Postfachdienst einbinden. Daher ist das Verbot einer PST-Nutzung zu überlegen.

Ich würde mir schon wünschen, dass man mehrere Postfächer erlaubt, wen die in bestimmten Tenants liegen. Ich würde mir eine GPO-Einstellung wünschen, die z.B. den Domainnamen oder Tenant als "Allowlist" ermöglicht und natürlich ein InBand-Provisioning.

Weitere Links