Latest news

Office 365: Outlook in grado di connettersi dopo aver disabilitato ActiveSync

ActiveSync è il protocollo di Microsoft per la sincronizzazione di dispositivi mobile, sviluppato per la prima volta nel 1996. È in grado di comunicare con diversi software, tra i quali la suite Microsoft. Abilitandolo ad esempio su Outlook, permette di sincronizzare email, calendari e contatti, permettendo ai dispositivi mobile connessi di inviare e ricevere email.

Si è notato però che, anche disabilitando il protocollo, alcuni dispositivi mobile erano ancora in grado di connettersi alla mailbox aggiornata, ed effettuare diverse operazioni.

La motivazione

La causa è da ricercarsi nell’architettura dell’applicazione Outlook e dell’infrastruttura a cui si connette. L’app per dispositivi mobile, infatti, utilizza un protocol translator che è sviluppato ed eseguito in Azure. Il componente translator effettua il routing dei dati e traduce i comandi, ma non mantiene in cache i dati degli utenti.

L’applicazione utilizza delle API proprietarie chiamate “Outlook device API” che si occupano della sincronizzazione di dati e istruzioni da e verso l’applicazione. I dati della mailbox sono mantenuti su Exchange Online, che è una piattaforma di scambio di messaggi pensata per le aziende, che può essere ottenuto come servizio standalone, o tramite una sottoscrizione a Office365. Le suddette API, che comunicano con la piattaforma, sono disponibili pubblicamente.

outlook-rest-architecture

credits: technet


Per questo motivo, anche se ActiveSync è disabilitato, le API sono accessibili da Outlook, e per questo motivo la sincronizzazione rimane comunque attiva.

Come disabilitarlo?

Esistono 3 possibili approcci per bloccare questo comportamento.

  • Inserire una device access rule per bloccare Outlook su Android e iOS. Effettuata spesso anche per motivi di sicurezza, questa soluzione implica un blocco a livello dell’intera azienda, e non è quindi adatta se il blocco è necessario per uno solo o per pochi utenti. Nel caso in cui si potesse applicare “globalmente”, è comunque possibile indicare l’eventuale presenza utenti esclusi dal blocco;
  • Inserire una client access rule per bloccare l’accesso alle API. In questo caso, il target è il singolo client (dispositivo). Il blocco, però, non si riflette solo sull’applicazione Outlook, ma sugli accessi a qualsiasi API.
  • Bloccare l’app di Outlook utilizzando una block list EWS (Exchange Web Services). Il protocollo permette infatti di definire un’access policy, sia per una singola mailbox sia per l’intera organizzazione. L’access policy viene definita tramite una block-list.
ewsblock

La rule per il blocco di uno specifico utente in EWS. Credits: practical365.com

Hai bisogno di maggiori informazioni?

I nostri esperti IT sapranno certamente aiutarti!

My Agile Privacy

Questo sito utilizza cookie tecnici e di profilazione. 

Puoi accettare, rifiutare o personalizzare i cookie premendo i pulsanti desiderati. 

Chiudendo questa informativa continuerai senza accettare. 

Inoltre, questo sito installa Google Analytics nella versione 4 (GA4) con trasmissione di dati anonimi tramite proxy. 

Prestando il consenso, l'invio dei dati sarà effettuato in maniera anonima, tutelando così la tua privacy.