In diesem How-To zeigen wir Ihnen, wie Sie den Conditional Access für Ihre mit Cortado verwalteten mobilen Geräte einrichten können. Dabei werden Scripte verwendet, die Sie am Ende dieses Artikels finden. Conditional Access (Bedingter Zugriff) ist eine Sicherheitsfunktion in Microsoft Entra ID, die darüber entscheidet wer, wann, wie und von wo auf Unternehmensressourcen wie z. B. Exchange, zugreifen darf.
Unsere Conditional-Access-Logik basiert auf dem Exchange Quarantäne-Feature und dem Abgleich der Device IDs mit den Exchange IDs der Endgeräte. Nur verwaltete Geräte, die auf der Allow-List stehen, erhalten Zugriff auf Exchange ActiveSync.
1. Exchange-Quarantäne aktivieren
Im Exchange Admin Center wird die Quarantäne-Funktion aktiviert. Dadurch werden alle ActiveSync-Geräte, die nicht auf der Allow-List stehen, blockiert.
Optional: Bestehende Geräte vorab freigeben
Um bereits aktive Geräte vor Aktivierung der Quarantäne automatisch zuzulassen, kann das Script Eintragen-AllowList_All.ps1 verwendet werden. Dieses Script fügt alle aktuell verbundenen ActiveSync-Geräte der Allow-List hinzu.
2. Voraussetzungen für zukünftige Gerätefreigabe
Um sicherzustellen, dass nur verwaltete Geräte automatisch freigegeben werden, muss ein Abgleich der Device ID aus dem MDM (z. B. Cortado) mit der Exchange Device ID erfolgen.
Wichtig:
- iOS: Nur bei Verwendung eines MDM-gesteuerten Mail-Profils (iOS Mail App) ist die Exchange ID identisch zur MDM-Geräte-ID.
- Android: Gmail oder Samsung Mail mit App-Konfiguration erzeugen passende IDs.
Microsoft Outlook für Android erzeugt abweichende IDs und ist daher nicht geeignet für diesen Abgleich.
3. Manueller Abgleich
Wenn kein automatisierter Prozess vorhanden ist, kann die Freigabe manuell durchgeführt werden:
- In Cortado einen Bericht mit Exchange ID und E-Mail-Adresse exportieren.
- Die Daten werden in die CSV-Vorlage Input-Allow-MobileDevice.csv eingetragen.
Hinweis: Der Dateiname darf nicht geändert werden.
- Die CSV-Datei wird lokal auf dem Exchange Serverunter folgendem Pfad abgelegt: D:\scriptePS\Input-Allow-MobileDevice.csv
- Anschließend wird das Script Liste-Eintragen-Allow-MobileDevice.ps1 ausgeführt.
Dieses Script liest die Datei ein und trägt die entsprechenden Geräte in die Allow-List ein.
Hinweis! Am Anfang der Scripte wird als erstes immer die Exchange Management Shell (EMS) geladen. Das ist bei Ausführung lokal auf dem Exchange Server notwendig. Die Scripte müssen mit Adminrechten ausgeführt werden.