Proč nepoužívat ActiveSync pravidla pro řízení přístupu k Exchange Online

Co jsou Allow/Block/Quarantine seznamy

Allow/Block/Quarantine (ABQ) seznamy jsou k dispozici v Exchange serveru od verze 2010 a umožňují správcům spravovat přístup mobilních ActiveSync zařízení podle konkrétního typu, rodiny výrobků nebo výrobce. Například můžeme nastavit, že se k našemu Exchange serveru mohou připojit pouze telefony iPhone XS a Samsungy S10 a všechna ostatní zařízení budou mít připojení blokováno, případně je Exchange server automaticky zařadí do karantény a správce až následně rozhodne o tom, jestli zařízení bude mít povolen nebo zakázán přístup. To je užitečné, pokud jsme pro naše zaměstnance hromadně pořídili třeba výše uvedené přístroje a nechceme, aby používali jiné.

Obzvláště použití karantény s manuálním „odblokováním“ zařízení je stále docela oblíbený proces, jak spravovat zařízení na vlastním Exchange serveru. U cloudového Exchange Online ale narazíme na řadu nevýhod.

Proč nepoužívat ABQ seznamy

V čem je tedy problém? Tak za prvé to není úplně bezpečné, protože Exchange server důvěřuje informaci, kterou mu o sobě posílá koncové zařízení. Mobilní telefon se nám tedy může hlásit jako nejnovější iPhone právě vybalený z krásné bílé krabičky, ve skutečnosti to však může být postarší počítač testující přístup k našim emailům přes EAS s basic autentizací (když už jsme u toho, v říjnu 2020 bude Microsoftem globálně zakázána basic autentizace u ActiveSync u Exchange Online).

Abychom zabránili výše uvedenému, tak můžeme nasadit podmíněný přístup přes Azure AD a vyžadovat registraci zařízení do správy, což nám zařízení důkladně „proklepne“ a umožní nám lepší kontrolu nad některými jeho nastaveními. Tady na nás ale čeká skrytý kámen úrazu. Pokud je uživatel spravován pravidlem podmíněného přístupu v Azure AD, tak jsou ABQ seznamy na Exchange serveru zcela ignorovány - toto platí i pokud má uživatel nastavenou výjimku v pravidlu v Azure AD, což je zásadní vědět - je obvyklé používat podmíněný přístup na všechny uživatele v AD a vyselektovat si výjimky (hosté, externí spolupracovníci, zaměstnanci s omezenou licencí, apod.). Tato skutečnost je naznačena i v dokumentaci k ABQ seznamům:

V praxi jsme se setkali s případy, kdy klient používá Azure AD pro aplikování pravidel podmíněného přístupu na všechny uživatele a z nich uděluje výjimky externím spolupracovníkům. Pak se domnívá, že dalším nárazníkovým pásmem je Exchange server, kde se aplikují ABQ pravidla. Bohužel tomu tak není a zařízením je automaticky povolen přístup - je úplně jedno, že máme na Exchange serveru nastaveno blokování zařízení bez správy - jakmile je uživatel ovlivněn podmíněným přístupem v Azure AD, což znamená i to, že je uveden ve výjimce v nastavení konkrétního pravidla, je ABQ pravidlo na Exchange serveru zcela ignorováno.

Výše uvedené se samozřejmě dá vyřešit tím, že pravidla podmíněného přístupu budeme nastavovat ne na všechny uživatele, ale pouze na vybrané skupiny tak, abychom nemuseli nastavovat výjimky. Jste si ale jisti, že při tomto pokryjete pravidly skutečně všechny své uživatele v AD? Domnívám se, že prostor pro chybu v nastavení je v tomto případě nezanedbatelný.

Jak povolovat konkrétní typy zařízení v Intune?

Dobře, už víme, že ABQ pravidla jsou při použití podmíněného přístupu nevhodná. Jak tedy omezit, které typy zařízení se dají zapsat do správy v Intune? U iOS můžeme omezit zápis na zařízení podle sériového čísla, u Android telefonů to bohužel možné není, respektive u starého typu zápisu to možné bylo, ale u nových Android 10 zařízení při „fully managed Android Enterprise“ zápisu už to možné není (zápis probíhá na základě QR kódu, který je jeden pro celou organizaci a je neměnný). IT správcům tedy nezbývá nic jiného než zařízení zakoupená v maloobchodní síti zapisovat do správy sami a QR kód si střežit. Toto je nevýhoda, ostatně zatím není v Intune možné spravovat ani Zero-touch deployment od Googlu. Uvidíme, zda v tomto ohledu Microsoft v roce 2020 něco vymyslí, ab