¿Por qué Outlook está bloqueado cuando accede un usuario seleccionado para el acceso a Exchange condicional?

El acceso condicional a Exchange (CEA) permite a los administradores de TI controlar el acceso de Exchange ActiveSync (EAS) a los buzones de correo de Exchange desde dispositivos no autorizados. Si bien CEA es compatible con la aplicación de correo electrónico nativo en dispositivos iOS y Windows y con la aplicación Gmail en dispositivos Android, CEA no se puede ofrecer para Outlook debido a su arquitectura de servicio en la nube y porque utiliza un identificador de dispositivo EAS específico de la cuenta.

En el caso de un cliente de correo electrónico nativo, el ID del dispositivo EAS es específico del dispositivo. Por lo tanto, cuando un usuario intenta acceder al buzón de correo de Exchange desde un dispositivo diferente, se emitirá una nueva ID de dispositivo. Mientras que en el caso de la aplicación Outlook, el identificador del dispositivo es específico del usuario o de la cuenta. Debido a la arquitectura de la nube, las conexiones de Outlook aparecen como un único identificador de dispositivo en Exchange incluso cuando se accede desde diferentes dispositivos. Esto significa que el control de acceso para cada usuario se aplica a todos los dispositivos conectados a esta ID de dispositivo, lo que hace que sea imposible administrar el acceso de dispositivos individuales ya que la política CEA bloquea o permite el dispositivo según la ID de dispositivo.

Arquitectura de la aplicación Outlook

Outlook es una aplicación respaldada en la nube que se ejecuta en Microsoft Cloud. En la arquitectura de Outlook para iOS y Android, Exchange Online actúa como un proxy entre la aplicación de Outlook y el servidor de Exchange local. Outlook utiliza el protocolo de sincronización nativo de Microsoft y el protocolo EAS para la sincronización de datos con el fin de proporcionar acceso a los datos en los buzones de correo de Exchange.

Como se muestra en la imagen, el servicio Outlook se está conectando a Exchange en nombre del dispositivo para buscar el buzón.

Identificadores de dispositivos y control de acceso

Como se explica en la arquitectura, al usar Outlook para iOS y la aplicación de Android, Microsoft genera un único identificador de dispositivo EAS para la combinación de credenciales y FQDN del servidor Exchange. Esto funciona por usuario, en lugar de por dispositivo. A partir de entonces, cada vez que un usuario use sus credenciales de Exchange para iniciar sesión en una aplicación de Outlook en cualquier dispositivo, se utilizará el mismo identificador de dispositivo EAS de forma permanente.

Un identificador de dispositivo EAS es el único mecanismo a través del cual un servidor Exchange reconoce y registra un cliente de correo electrónico que recibe correos a través del protocolo EAS. El CEA de MDM bloquea o permite un dispositivo marcando un identificador de dispositivo EAS como bloqueado o permitido para el buzón de un usuario. Dado que la aplicación de Outlook comparte el mismo identificador de dispositivo EAS para los dispositivos con las mismas credenciales, no es posible segregar una aplicación de Outlook instalada en un dispositivo inscrito en MDM y la de un dispositivo que no está inscrito. Si CEA marca el identificador de dispositivo EAS de la aplicación de Outlook como permitido, también se permitirá la aplicación de Outlook en un dispositivo no registrado. Esto permitiría que cualquier dispositivo no administrado obtuviera acceso al buzón de correo de Exchange, presentando así riesgos de seguridad. Por otro lado, si bloqueamos el identificador de dispositivo EAS de una aplicación de Outlook, también se bloqueará en un dispositivo inscrito en MDM. Por lo tanto, por razones de seguridad, la aplicación Outlook no puede acceder al buzón de Exchange una vez que se aplica la política.