OAUTH und 3PIP

Nutzen Sie Skype for Business Online mit Telefonen von Audiocodes, Yealink, Poly, Crestron?. Dann müssen Sie bis 15. Jan 2020 eine aktuelle Firmware verteilen und die Applikation im Office 365 Tenant zulassen. Ansonsten können sich die Telefone nicht mehr anmelden.

Achtung: Deadline 15. Jan 2020

Auslöser

Lange Zeit konnten sich Benutzer einfach mit "Benutzername und Kennwort" an Cloud-Diensten anmelden. Das öffnet aber Tür und Tor für Angriffe auf Konten mit kennwortlisten (Password Spray, Phising etc.) und viele Administratoren müssen den Zugang auf die Daten z.B. auf bestimmte Geräte beschränken. Aus dem Grund gibt es schon lange mit OAUTH ein Verfahren, bei dem sich ein Anwender mit einem Geräte oder Programm anmeldet. Genau das passiert nun ebenfalls mit den Telefonen.

Jeder Hersteller hat dazu den Code entsprechend erweitert, dass er bei der Anmeldung nicht nur die übergebenen Benutzernamen und Kennwort übermittelt, sondern auch das Gerät bzw. der Code sich gegen die Cloud legitimiert. Entsprechend können Sie als Administrator und Microsoft als Betreiber sehr viel feiner erkennen und steuern, welche Anmeldungen erlaubt sind.

Einstellungen

Damit genau dies aber nach dem 15. Januar 2020 auch noch weiter funktioniert, müssen Sie als Tenant-Administrator aktiv werden und die "Telefone" in ihrem Tenant als legitime Clients freischalten. Die jeweiligen Applikationen sind in Office 365 schon hinterlegt aber eben auf ihrem Tenant noch nicht zugelassen.

Microsoft hat diese Information schon am 25. April 2019 veröffentlicht. Ich bin aber sicher, dass es noch gar nicht alle Administratoren umgesetzt haben.

All certified Skype for Business IP phones must be updated by January 15, 2020.
Quelle: https://techcommunity.microsoft.com/t5/Skype-for-Business-Blog/OAuth-2-0-and-third-party-application-ID/ba-p/482876

Zum Glück hat hier jeder Hersteller entsprechende Seiten bereitgestellt. Der erste Link ist die Anleitung des Herstellers und der zweite Link führt direkt zur Freischaltung in dem Tenant, in dem Sie als Administrator im entsprechenden  Browser gerade angemeldet sind.

Ich bin sicher, dass die gleichen Einstellungen auch per Azure PowerShell möglich sein sollten, aber ich habe die Befehle dazu nicht ermittelt. Bei der Vergabe von Berechtigungen ist eine visuelle Kontrolle über eine Webseite ratsam. Interessant ist, dass die verschiedenen Hersteller unterschiedliche Berechtigungen einfordern.

Es kann durchaus sein, dass die Geräte zukünftig weitere Funktionen implementieren und dazu zusätzliche Rechte benötigen.

Kontrolle

Die soeben neu addierten Applikationen finden Sie im Azure-Portal (https://portal.azure.com) unter den Enterprise Applications. Direkt nach dem addieren finden Sie Änderungen einfach im Audit-Log

Testen?

Die Eintragungen werden sehr schnell aktiv. Damit ihre Telefone auch davon profitieren, müssen Sie natürlich auch eine entsprechend aktuelle Firmware vorweisen können. Erst dann senden die Clients an den Service ein "Authorization:Bearer" mit, was die Gegenstelle dann als Indikator für einen "Modern Authentication"-Support bewertet und die OAuth-Url ausliefert. Es liegt dann natürlich am Client dies auch anzuwenden.

Übe den Punkt "Sign-Ins" sehen Sie die letzen Anmeldungen der Apps samt Username, ClientIP und eventuell angewendete "Conditional Access"-Regeln-,

Über die Punkt "Users and Groups" sehen Sie alle Anwender, die die App bislang genutzt haben.

Die App ist so eingestellt, dass sich Anwender "selbst registrieren" können. Allerdings ist Sie auch so eingestellt, dass die App im Portal der Anwender angezeigt wird, was eigentlich keinen Sinn macht. Das können Sie in den Properties schnell korrigieren. Hier einmal am Beispiel von Polycom dargestellt

Stellen Sie diesen Wert einfach auf "No", damit die App nicht im Portal erscheint.

Weitere Links