Hallo Leser,

zuletzt habe ich ein sehr merkwürdiges Phänomen betrachten dürfen. Für meine Produktiv-Mail habe ich ein Office 365 Tenant, hauptsächlich für Exchange Online. Nach dem Wechsel des Mobiltelefons konnte ich dieses nicht mit meinem Exchange Online-Account verknüpfen.

Das Gerät war dauerhaft in der Quarantäne und ließ sich auch nicht daraus befreien. Dies betraf jedoch ausschließlich meinen Benutzer. Andere Benutzer waren davon nicht betroffen.

Ich möchte hier nicht auf ABQ-List oder die Funktionsweise von EAS mit Gerätezugriffsrichtlinien eingehen, sondern nur ein Problem beschreiben und eine Lösung dazu anbieten.

Vor etlicher Zeit hatte ich für meinen Benutzer mal Intune aktiviert und auch mit der Mobilen Geräterichtlinie experimentiert. Dies hatte kurzfristig Auswirkungen auf die mobile Gerätesicherheit, auf das Intune-Unternehmensportal und die Geräteregistrierung. Da meine Tests dahingehend jedoch abgeschlossen waren und die Geräteregistrierungsrichtlinien nicht mehr durch Intune, sondern durch Exchange Online definiert werden, war es in Vergessenheit geraten.

Bis gestern. Neues Gerät via EAS-Konfiguration mit meinem Benutzerkonto konfiguriert – NICHTS! Eine Nachricht im Postfach sagte mir, ich müsse meine Geräte-Registrierungen und die Unternehmensportal-App nutzen. Die Registrierung über die App scheitert – klar! Ich habe nämlich a) keine MDM-Lizenz für den Benutzer und b) keine Intune-Lizenz zugewiesen. Eine MDM-Richtlinie ist auch nicht definiert und somit erhalte ich nur eine Fehlermeldung. Vermutlich ist in der Konfiguration bei diesem Benutzer in diesem Tenant etwas durcheinander gekommen.

In der Konfigurationsoberfläche für Exchange Online oder Office 365 konnte ich keine Abweichungen zu einem anderen Benutzer feststellen. Alle Benutzer verwenden die identische Mobile Device Mailbox Policy.

Geholfen hat mir die PowerShell – schnell mit meinem O365 verbunden und los:

Active Sync Device in Quarantäne

Zuerst habe ich das Gerät entfernt und neu hinzugefügt, konnte jedoch leider kein positives Ergebnis erzielen. In der PowerShell habe ich eine Ausgabe des Gerätes in Quarantäne erhalten:

Get-MobileDevice -Mailbox xxxxxxx
Bild 1-Active Sync Device in Quarantäne

Bild 1-Active Sync Device in Quarantäne

 

Hier kann man erkennen, dass sich das Gerät in Quarantäne befindet und der Wert „Device Access State Reason“ auf ExternalEnrollment steht. An der Stelle bin ich stutzig geworden, denn eine Externe MDM-Lösung sollte doch gar nicht mehr konfiguriert sein.

Active Sync Device vollständig entfernen

Zunächst entschied ich mich dazu, das Gerät vollständig vom Benutzerkonto zu entfernen, den Dienst hatte es ja sowieso bereits quittiert.

Damit war das Gerät entfernt und tauchte auch im Portal nirgendwo mehr auf.

 

Bild 2-Active Sync Device gelöscht

Bild 2-Active Sync Device gelöscht

 

CAS-Mailbox vergleichen

Im nächsten Schritt verglich ich zwei CAS-Mailboxen und stellte eine Abweichung fest.

get-CASMailbox | fl *sync*
Bild 3 - Get-CasMailbox

Bild 3 – Get-CasMailbox

 

Der Wert „ActiveSyncMailboxPolicyIsDefaulted“ stand bei meinem Benutzerkonto auf „false“. Und zwar obwohl ich sichergestellt hatte, dass diese eine Richtlinie angewandt wird.

CAS-Mailbox einstellen

Über die PowerShell setzte ich die Richtlinie erneut, jedoch wurden keine Änderungen vorgenommen. Ich setzte anschließend den Wert zurück und siehe da: Richtlinie übernommen und als Standard gesetzt.

Set-CASMailbox xxxxx -ActiveSyncMailboxPolicy $null
Bild 4 - Set-CASMailbox -ActiveSyncMailboxPolicy $null

Bild 4 – Set-CASMailbox -ActiveSyncMailboxPolicy $null

 

Nun funktioniert auch die Synchronisation wieder! :)