Click on the Category button to get more articles regarding that product.
Exchange Tenant, EXO, EWS Security change (Fehlervermeidung Security)
Microsoft verbessert die Sicherheit von EWS und löst das Problem bei der Kombination von “per Tenant” und “per User” Rechten.
Dies erleichtert es insbesondere grossen Unternehmen, Compliance-Vorgaben konsequent durchzusetzen.
Ein wesentlicher Grund für diese Änderung ist, dass viele Personen im M365-Portal oder über Graph API Änderungen vornehmen, ohne die Konsequenzen vollständig zu überblicken. Auch externe Dienstleister oder Drittanbieter-Software können unbewusst EWS-Zugriff für Benutzer aktivieren, da dies oft als schnelle und einfache Lösung betrachtet wird.
Bisheriges Problem:
- Wurde der EWS-Zugriff auf Tenant-Ebene durch das Compliance-Team deaktiviert (denied), galt dies grundsätzlich für die gesamte Organisation.
- Allerdings konnte ein M365-Administrator oder eine Drittsoftware, die EWS benötigt, diese Einstellung für einzelne Benutzerkonten manuell überschreiben.
Dadurch war es möglich, dass ein Benutzer trotz unternehmensweiter Deaktivierung weiterhin über EWS auf bestimmte Funktionen zugreifen konnte.
Aktuelles Verhalten
Der EWSEnabled-Schalter kann sowohl auf Organisationsebene als auch auf Benutzerpostfachebene konfiguriert werden. Derzeit hat die Benutzereinstellung Vorrang vor der Organisationseinstellung. Ist die Einstellung auf Benutzer- oder Organisationsebene nicht gesetzt (Nullwert), wird sie an dieser Stelle nicht erzwungen. Falls beide Ebenen auf Null stehen, ist der Zugriff standardmässig erlaubt. Dies bedeutet, dass selbst wenn EWS auf Organisationsebene deaktiviert ist, eine Aktivierung auf Benutzerebene weiterhin den Zugriff ermöglicht.
Aktuelles Entscheidungsverhalten:
|
Organisationsebene |
Benutzerebene |
EWS-Anfragen |
|
True oder |
True oder |
Erlaubt |
|
True oder |
False |
Nicht erlaubt |
|
False |
True |
Erlaubt (BAD) |
|
False |
False oder |
Nicht erlaubt |
Diese Struktur hat in der Vergangenheit zu inkonsistenten Richtlinien und Sicherheitsrisiken geführt, insbesondere in großen oder komplexen IT-Umgebungen, in denen Administratoren eine einheitliche Durchsetzung der Richtlinien sicherstellen müssen.
Neues Verhalten
Um diese Herausforderungen zu beheben, wird das Verhalten von EWS geändert. Künftig wird der Zugriff nur noch erlaubt sein, wenn sowohl die Organisationseinstellung als auch die Benutzereinstellung auf “True” gesetzt sind.
Neue Entscheidungslogik:
|
Organisationsebene |
Benutzerebene |
EWS-Anfragen |
|
True oder |
True oder |
Erlaubt |
|
True oder |
False |
Nicht erlaubt |
|
False |
True oder |
Nicht erlaubt (Besser) |
|
False |
False |
Nicht erlaubt |
Zusammengefasst bedeutet dies, dass EWS nur noch genutzt werden kann,
wenn sowohl auf Organisationsebene als auch auf Benutzerebene der Zugriff explizit erlaubt wird.
Dadurch erhalten Administratoren eine bessere Kontrolle über den EWS-Zugriff und können Richtlinien konsistenter durchsetzen.
Diese Änderung wird weltweit ab April 2025 eingeführt.
Überprüfung der Organisationseinstellung
Um den aktuellen Status der EWS-Aktivierung für Ihre Organisation zu prüfen, führen Sie folgenden Befehl in Exchange Online PowerShell aus:
Get-OrganizationConfig | fl EWSEnabled
Falls der EWSEnabled-Schalter leer (Standardwert) oder auf “True” gesetzt ist, wird sich für Sie nichts ändern. Dennoch empfehlen wir Ihnen, die Benutzereinstellungen zu überprüfen, um sicherzustellen, dass sie Ihren Erwartungen entsprechen.
Wenn der Wert auf “False” gesetzt ist, kann es zu Einschränkungen kommen, sobald die neue Logik umgesetzt wird. Wir empfehlen Ihnen daher, die Benutzereinstellungen zu überprüfen und gegebenenfalls den unternehmensweiten Schalter auf “True” zu setzen, um eine unterbrechungsfreie Nutzung von EWS für Ihre Benutzer und Anwendungen sicherzustellen.
Überprüfung der Benutzereinstellung
Auch wenn EWS auf Organisationsebene deaktiviert ist, kann es aktuell noch genutzt werden, sofern die benutzerspezifische Einstellung auf “True” steht (was für jedes Postfach standardmäßig der Fall ist).
Um zu überprüfen, ob EWS für ein bestimmtes Postfach aktiviert oder deaktiviert ist, nutzen Sie folgenden Befehl:
Get-CASMailbox User1 | fl EWSEnabled
Beispiel:
EwsEnabled : True
Auswirkungen der Änderung
Organisationen, die bislang auf das bisherige Verhalten angewiesen waren, sollten ihre Einstellungen überprüfen.
Falls auf Organisationsebene EWS deaktiviert ist, aber einzelne Benutzer weiterhin Zugriff haben, wird dieser mit der neuen Regelung blockiert.
Falls Sie EWS nur für bestimmte Postfächer freigeben möchten, müssen Sie sicherstellen, dass nur diese Postfächer den Wert True haben,
während alle anderen auf “False” gesetzt werden. Anschliessend kann die unternehmensweite Einstellung auf “True” gesetzt werden, um den Zugriff gezielt zu steuern.