Block "Microsoft Outlook für iOS und Android" with Exchange Device Access Rule

Hallo zusammen,

 Heute gab es einige bedenkliche Berichte über die neue "Outlook für iOS und Android" App

Microsoft Outlook für iOS und Android mit gefährlicher Funktion
http://www.golem.de/news/datenschutz-microsoft-outlook-fuer-ios-und-android-mit-gefaehrlicher-funktion-1501-112039.html

Warning – Microsofts Outlook app for iOS breaks your company security
https://blog.winkelmeyer.com/2015/01/warning-microsofts-outlook-app-for-ios-breaks-your-company-security/

Privacy Policy Outlook for iOS & Android
https://www.acompli.com/privacy-policy/

Ich habe mir mal die Android App aus dem App Store angeschaut.

Microsoft Outlook Vorschau
https://play.google.com/store/apps/details?id=com.microsoft.office.outlook

Nach dem Installieren musste ich bloss meine Emailadresse und mein Passwort eingeben. Dann habe ich auf dem Exchange Server geschaut, ob man dort ein entsprechendes Device sieht.

Interessant ist, dass sich die App oder der Service mit "AppliedInFull" meldet.

Get-ActiveSyncDeviceStatistics -Mailbox a.bohren | ft DeviceType, DeviceModel, LastSuccessSync, DevicePolicyApplicationStatus

Mit dem folgenden Befehl kann man sich die Details auf einer Mailbox anschauen, auf welcher die App zugreift

Get-ActiveSyncDevice -Mailbox a.bohren | where {$_.FriendlyName -eq "Outlook for iOS and Android"}

Wie dass man einzelne Devices Blockieren kann ist in folgendem Blog Artikel vom Exchange Team erklärt

Controlling Exchange ActiveSync device access using the Allow/Block/Quarantine list
http://blogs.technet.com/b/exchange/archive/2010/11/15/3411539.aspx

Jedoch finde ich dort dieses Device nicht

New-ActiveSyncDeviceAccessRule
https://technet.microsoft.com/en-us/library/dd876923(v=exchg.150).aspx

Mit dem folgenden Befehl kann man sich jedoch eine Device Access Rule dafür erstellen

New-ActiveSyncDeviceAccessRule -Characteristic DeviceOS -QueryString "Outlook for iOS and Android 1.0" -AccessLevel Block

Voila - Gefahr gebannt