Diecknet

Welcome to the blog of Andreas Dieckmann

Exchange Online: Apple Internet Accounts - Administratorgenehmigung erforderlich

iOS Zugriff auf Office 365 ermöglichen, 2020-05-10

Administratorgenehmigung erforderlich - Apple Internet Accounts - Apple Internet Accounts benötigt, um auf Ressourcen in Ihrer Organisation zugreifen zu können, eine Berechtigung, die nur ein Administrator erteilen kann. Bitten Sie einen Administrator, die Berechtigung fĂŒr diese App zu erteilen, damit Sie die App verwenden können.

Als sich der erste User mit seinem iPhone an Office 365 angemeldet hat, um seine Kontakte und Kalender zu synchronisieren, wurde ihm folgende Meldung angezeigt:

Administratorgenehmigung erforderlich Apple Internet Accounts Apple Internet Accounts benötigt, um auf Ressourcen in Ihrer Organisation zugreifen zu können, eine Berechtigung, die nur ein Administrator erteilen kann. Bitten Sie einen Administrator, die Berechtigung fĂŒr diese App zu erteilen, damit Sie die App verwenden können.

Die App hieß frĂŒher ĂŒbrigens “iOS Accounts” und wurde anscheinend Anfang 2020 umbenannt. Die bisherige AppID ist allerdings gleich geblieben.

Ursache

Folgende Ursachen haben fĂŒr diese Meldung gesorgt:

  1. Die App “Apple Internet Accounts” wird von Apple iOS fĂŒr den Zugriff auf die Office 365 Ressourcen des Benutzers benötigt. Ein Zugriff auf Ressourcen eines Office 365 Tenants durch eine Drittanbieter App ist nur nach expliziter Genehmigung möglich.
  2. Es wurde bisher noch keine Benutzer- oder Administrator-Genehmigung fĂŒr Apple Internet Accounts in diesem Tenant erteilt.
  3. Die Benutzer-Genehmigung ist tenantweit deaktiviert. Diese empfehlenswerte Einstellung kann gesetzt werden, damit Endanwender nicht einfach Drittanbieter-Apps fĂŒr den Zugriff auf Unternehmensdaten berechtigen können.

Die Einstellung zu 3. ist in Azure AD unter “Enterprise applications” -> “User settings” zu finden. Die Option lautet “Users can consent to apps accessing company data on their behalf”. Diese Einstellung sollte auf “No” belassen werden! Dass der Endanwender nicht einfach irgendwelche Apps erlauben darf (und deshalb hier nicht weiterkommt), ist ja genau was man möchte um die Unternehmensdaten vor unberechtigtem Zugriff zu schĂŒtzen.

Lösung

Es gibt mehrere Lösungsmöglichkeiten, ohne dass einfach alle Drittanbieter-Apps freigeschaltet werden.

Lösungsmöglichkeit 1: Apple Internet Accounts tenantweit erlauben

Schritt 1: TenantID herausfinden

Als Erstes muss die Tenant ID des Azure AD Tenants herausgefunden werden. Diese ist auf “Overview Seite in Azure Active Directory” zu finden (im nachfolgenden Screenshot rot markiert).

Die Tenant ID ist in Azure Active Directory auf der Overview Seite zu finden.

Schritt 2: URL zusammensetzen

Der Platzhalter <TenantID> muss in der nachfolgenden URL durch die Tenant ID aus Schritt 1 ersetzt werden. Anschließend kann die erstellte URL mit Tenant Admin (Global Administrator) Rechten aufgerufen werden. Die in der URL enthaltene client_id ist die ID von Apple Internet Accounts.

https://login.microsoftonline.com/<TenantID>/oauth2/authorize?client_id=f8d98a96-0999-43f5-8af3-69971c7bb423&response_type=code&redirect_uri=https://example.com&prompt=admin_consent

Schritt 3: Berechtigung administrativ fĂŒr den gesamten Tenant erteilen

Die Abfrage “Angeforderte Berechtigungen fĂŒr Ihre Organisation zustimmen - Apple Internet Accounts” muss per “Akzeptieren” bestĂ€tigt werden.

Administrativer Zustimmungsdialog: Angeforderte Berechtigung fĂŒr Ihre Organisation zustimmen - Apple Internet Accounts - Diese Anwendung wird nicht von Microsoft oder Ihrer Organisation veröffentlicht. Diese App benötigt folgende Berechtigungen: Über Exchange Active Sync auf PostfĂ€cher zugreifen, Als angemeldeter Benutzer ĂŒber Exchange-Webdienste auf PostfĂ€cher zugreifen, Anmelden und Benutzerprofil lesen

Anschließend wird ein Fehler angezeigt, da die hinterlegte Redirect URL auf https://example.com verweist. Der Fehler AADSTS900561 kann in diesem Fall ignoriert werden.

Fehler: Leider können wir Sie nicht anmelden. AADSTS900561: The endpoint only accepts POST requests. Received a GET request. Kann in diesem Fall auf Grund der hinterlegten Redirect URL ignoriert werden.

Die App sollte nun in Azure AD unter “Enterprise applications” -> “All applications” aufgelistet sein.

Auflistung erlaubter Enterprise Applications in Azure AD

Schritt 4: Funktion ĂŒberprĂŒfen

Anschließend sollten die Anwender per iOS Kalender/Kontakte auf ihre in Exchange Online hinterlegten Daten zugreifen können.

Lösungsmöglichkeit 2: Administrator-Anfragen aktivieren

Alternativ kann aktiviert werden, dass Anwender die Genehmigung einer App beantragen können. Dies ist auch ergÀnzend zu der einmaligen administrativen Freigabe aus Lösung 1 möglich.

Als Administrator in Azure AD “Enterprise applications” -> “User settings” aufrufen. Unter “Admin consent requests (Preview)” kann die Option “Users can request admin consent to apps they are unable to consent to” aktiviert werden. Anschließend auf “Select admin consent request reviewers” klicken und die Administratoren auswĂ€hlen, die die Requests bestĂ€tigen sollen. Bei Bedarf kann die Benachrichtigung des Administrators per E-Mail deaktiviert/aktiviert werden. StandardmĂ€ĂŸig laufen die Anfragen nach 30 Tagen ab, was bei Bedarf auch angepasst werden kann.

Aktivieren von Enterprise Application Admin Consent Request in Azure AD

Schritt 2: Benutzer fragt Administrator-Zustimmung an

Wenn ein Benutzer nun eine neue Applikation nutzen möchte, erscheint die Meldung “Genehmigung erforderlich”. Die notwendigen Berechtigungen der Applikation werden aufgelistet. Der Benutzer muss eine BegrĂŒndung fĂŒr die Anfrage der Applikation eingeben. Anschließend kann die Genehmigungsanforderung abgesendet werden.

Hinweis fĂŒr Endanwender bei Benutzung der App - Genehmigung erforderlich. Die Rechte der App werden aufgefĂŒhrt. Es muss eine BegrĂŒndung fĂŒr die Anfrage eingegeben werden.

Schritt 3: Administrator prĂŒft die Genehmigungsanforderung

Die ausgewĂ€hlten Administratoren erhalten eine E-Mail, in der Details zur Anforderung aufgefĂŒhrt werden. In der E-Mail kann auf “Anforderung ĂŒberprĂŒfen” geklickt werden, um die Anfrage zu bearbeiten. Falls bis zum Ablaufdatum nicht reagiert wird, wird die Anfrage automatisch zurĂŒckgewiesen.

E-Mail mit einem Enterprise Application - Admin consent requests

Alternativ kann der Administrator auch die Liste der offenen Anfragen in Azure AD aufrufen. Hierzu “Enterprise applications” -> “Admin consent requests” anklicken.

Auflistung von Enterprise Application - Admin consent requests

Es können Details wie Name, Homepage URL, verwendete Reply URLs angezeigt werden. Unter “Requested by” wird angezeigt, welcher Benutzer die App angefragt hat. Der Administrator kann nun wahlweise die Berechtigungen prĂŒfen und genehmigen (“Review permissions and consent”), oder die Anfrage per “Deny” ablehnen. Falls die Applikation dauerhaft gesperrt werden soll, damit keine Anfragen mehr zu dieser App eingereicht werden können, kann “Block” angeklickt werden.

Abruf von Details zum Enterprise Application Admin consent request

Falls die Applikation nicht gestattet wurde, wĂŒrde der Benutzer bei der nĂ€chsten Anmeldung die Meldung AADSTS7000112 erhalten.

Applikation wurde durch den Administrator blockiert oder nicht genehmigt: AADSTS7000112 application is disabled

Schritt 4: Funktion ĂŒberprĂŒfen

Anschließend sollten die Anwender die angefragte und genehmigte App verwenden können.

Deaktivieren einer zuvor erlaubten App

Wenn eine App bereits erlaubt ist, kann sie bei Bedarf auch wieder deaktiviert werden. Hierzu die Applikation aus “Enterprise applications” raussuchen und unter “Properties” die Option “Enabled for users to sign-in” auf “No” setzen. Falls man hier stattdessen auf “Delete” klickt, können die Benutzer wieder erneut eine Genehmigung beantragen.

Deaktivieren einer bereits bestehenden Enterprise App: Enabled for users to sign-in auf No setzen.


Hallo!

Diecknet ist der IT-Blog von Andreas Dieckmann.