Einbindung eines G-Suite-Mail-Kontos in Outlook, trotz aktivierter “Advanced Protection”-Option

Anknüpfend zu dem letzten Artikel von Oliver Posselt, möchte ich euch den folgenden Tipp präsentieren: Normalerweise ist es mit einer aktivierten Advanced-Protection-Option aus Sicherheitsgründen nicht möglich, G-Suite-Daten mit Drittanbieter-Apps (hier: Outlook) zu verbinden. Mit den vorhandenen App- bzw. API-Zugriffssteuerungsmöglichkeiten innerhalb von G Suite ist dies dennoch möglich – auf Basis einer anpassbaren Whitelist.

Technische Voraussetzung:

Neuere Versionen von Outlook, die den OAuth-2.0-Standard nativ unterstützen – dies sind:
Outlook 2016, Outlook 2019 und Outlook for Office 365.

Folgende Vorbereitungen sind im G-Suite-Adminbereich notwendig:

1. Veränderung der „Advanced protection“-Einstellung („Sicherheitscodes zulassen“¹)
2. Security-Härtung deiner Google-Dienste
3. Hinzufügung von Outlook zur Liste „Vertrauenswürdige Apps von Drittanbietern“

1. Google-Admin-Startseite > Erweitertes Sicherheitsprogramm > Aktivierung von „Sicherheitscodes ohne Remote-Zugriff zulassen“ oder „Sicherheitscodes mit Remote-Zugriff“ zulassen (die genauen Unterschiede werden auf der Seite erklärt):

2. Aufruf des Google-Admin-Hauptmenüs (die drei horizontalen Striche oben links) > Sicherheit > API-Steuerung > Klick auf „Google-Dienste verwalten“.

An dieser Stelle ist meine Empfehlung – zumindest für alle Sicherheitsliebhaber – eure Google-Dienste mit dem Zugriffstyp „Eingeschränkt“ zu versehen. Damit können nur vertrauenswürdige Apps – die wir im nächsten Punkt definieren – auf die jeweiligen Dienste zugreifen:

3. Klickt nun oben auf „Apps“ und fügt über „App hinzufügen“ Outlook per folgender Client-ID hinzu:

Outlook (lokal) for Office 365:
445112211283-61c9mrk8i55mfr882g61p37m8j2nga3q.apps.googleusercontent.com

Outlook Web:
445112211283-sk04feuogpcjd3dq8eshrdnr4bpm1sfk.apps.googleusercontent.com

Die Zugriffsart der App sollte in diesem Fall auf „Vertrauenswürdig“ gesetzt werden:

Voilà! Ihr habt es geschafft
G Suite ist nun imstande mit eurem lokalen Outlook zu kommunizieren. Ich erspare euch an dieser Stelle ein weiteres HowTo zur Einrichtung eines E-Mail-Accounts in Outlook. Die IMAP-Daten von Google sind jedenfalls hier aufgelistet: https://support.google.com/mail/answer/7126229?hl=de

Ein wichtiger Punkt noch:
Es erscheint bei der Anmelde-Einrichtung in Outlook der typische Google-Screen „Bestätigung in zwei Schritten“. Scrollt dort nach unten und klickt auf „Mit anderer Anmeldemöglichkeit versuchen“ > „Einmaligen Sicherheitscode erhalten“ > Aufruf der Website https://g.co.sc über ein separates Chrome-Fenster > Identitätsbestätigung mit eurem G Suite-Passwort > Kopieren des angezeigten 6-stelligen Codes > Zurück nach Outlook und… genau: den Code einfügen.

¹ „Die Verwendung von Sicherheitscodes mit Sicherheitsschlüsseln beeinträchtigt den Schutz. Möglicherweise hat Ihre Organisation aber wichtige Workflows, bei denen Sicherheitsschlüssel nicht direkt verwendet werden können. Dann brauchen Sie Sicherheitscodes. Die Verwendung dieser beiden Faktoren ist zwar nicht die sicherste Option, aber immerhin besser als gar keine Sicherheitsschlüssel.“ (https://support.google.com/a/answer/9378686)

Quellen:

• https://docs.microsoft.com/de-de/exchange/clients-and-mobile-in-exchange-online/enable-or-disable-modern-authentication-in-exchange-online
• https://www.msoutlook.info/question/902
• https://developers.google.com/identity/protocols/oauth2/scopes
• https://developers.google.com/gmail/api/auth/scopes
• https://support.google.com/a/answer/7281227?hl=de
• https://support.google.com/a/answer/9378686
• https://support.google.com/mail/answer/7126229?hl=de

Über den Gastautor:

Bin der Christian, Berliner und seit einigen Jahren in München zu Hause. ITler im Bereich des Supports und der Administration. Folgt mir gerne auf Twitter.