Einbindung eines G-Suite-Mail-Kontos in Outlook, trotz aktivierter “Advanced Protection”-Option
Anknüpfend zu dem letzten Artikel von Oliver Posselt, möchte ich euch den folgenden Tipp präsentieren: Normalerweise ist es mit einer aktivierten Advanced-Protection-Option aus Sicherheitsgründen nicht möglich, G-Suite-Daten mit Drittanbieter-Apps (hier: Outlook) zu verbinden. Mit den vorhandenen App- bzw. API-Zugriffssteuerungsmöglichkeiten innerhalb von G Suite ist dies dennoch möglich – auf Basis einer anpassbaren Whitelist.
Technische Voraussetzung:
Neuere Versionen von Outlook, die den OAuth-2.0-Standard nativ unterstützen – dies sind:
Outlook 2016, Outlook 2019 und Outlook for Office 365.
Folgende Vorbereitungen sind im G-Suite-Adminbereich notwendig:
- Veränderung der „Advanced protection“-Einstellung („Sicherheitscodes zulassen“1)
- Security-Härtung deiner Google-Dienste
- Hinzufügung von Outlook zur Liste „Vertrauenswürdige Apps von Drittanbietern“
1. Google-Admin-Startseite > Erweitertes Sicherheitsprogramm > Aktivierung von „Sicherheitscodes ohne Remote-Zugriff zulassen“ oder „Sicherheitscodes mit Remote-Zugriff“ zulassen (die genauen Unterschiede werden auf der Seite erklärt):
2. Aufruf des Google-Admin-Hauptmenüs (die drei horizontalen Striche oben links) > Sicherheit > API-Steuerung > Klick auf „Google-Dienste verwalten“.
An dieser Stelle ist meine Empfehlung – zumindest für alle Sicherheitsliebhaber – eure Google-Dienste mit dem Zugriffstyp „Eingeschränkt“ zu versehen. Damit können nur vertrauenswürdige Apps – die wir im nächsten Punkt definieren – auf die jeweiligen Dienste zugreifen:
3. Klickt nun oben auf „Apps“ und fügt über „App hinzufügen“ Outlook per folgender Client-ID hinzu:
Outlook (lokal) for Office 365:
445112211283-61c9mrk8i55mfr882g61p37m8j2nga3q.apps.googleusercontent.com
Outlook Web:
445112211283-sk04feuogpcjd3dq8eshrdnr4bpm1sfk.apps.googleusercontent.com
Die Zugriffsart der App sollte in diesem Fall auf „Vertrauenswürdig“ gesetzt werden:
Voilà! Ihr habt es geschafft
G Suite ist nun imstande mit eurem lokalen Outlook zu kommunizieren. Ich erspare euch an dieser Stelle ein weiteres HowTo zur Einrichtung eines E-Mail-Accounts in Outlook. Die IMAP-Daten von Google sind jedenfalls hier aufgelistet: https://support.google.com/mail/answer/7126229?hl=de
Ein wichtiger Punkt noch:
Es erscheint bei der Anmelde-Einrichtung in Outlook der typische Google-Screen „Bestätigung in zwei Schritten“. Scrollt dort nach unten und klickt auf „Mit anderer Anmeldemöglichkeit versuchen“ > „Einmaligen Sicherheitscode erhalten“ > Aufruf der Website https://g.co.sc über ein separates Chrome-Fenster > Identitätsbestätigung mit eurem G Suite-Passwort > Kopieren des angezeigten 6-stelligen Codes > Zurück nach Outlook und… genau: den Code einfügen.
1 „Die Verwendung von Sicherheitscodes mit Sicherheitsschlüsseln beeinträchtigt den Schutz. Möglicherweise hat Ihre Organisation aber wichtige Workflows, bei denen Sicherheitsschlüssel nicht direkt verwendet werden können. Dann brauchen Sie Sicherheitscodes. Die Verwendung dieser beiden Faktoren ist zwar nicht die sicherste Option, aber immerhin besser als gar keine Sicherheitsschlüssel.“ (https://support.google.com/a/answer/9378686)
Quellen:
- https://docs.microsoft.com/de-de/exchange/clients-and-mobile-in-exchange-online/enable-or-disable-modern-authentication-in-exchange-online
- https://www.msoutlook.info/question/902
- https://developers.google.com/identity/protocols/oauth2/scopes
- https://developers.google.com/gmail/api/auth/scopes
- https://support.google.com/a/answer/7281227?hl=de
- https://support.google.com/a/answer/9378686
- https://support.google.com/mail/answer/7126229?hl=de
Über den Gastautor:
Bin der Christian, Berliner und seit einigen Jahren in München zu Hause. ITler im Bereich des Supports und der Administration. Folgt mir gerne auf Twitter.
mir wäre es lieber wenn es mal die Möglichkeit gibt „Gmail“ so wie in der Mail App (win10) oder Outlook-App auf Android (mit Kalender, Kontakte, etc)….
Für reine mails funktioniert es ja so mit IMAP…. aber wenn man mehrere Kalender hat (z.B. Family Kalender) bekomme ich es in Outlook nicht hin und im Inet findet man auch nichts….
Moin Szymon!
Hier kann ich dir folgendes Anbieten – zumindest für die G Suite-Kalendar:
1. Google Admin > Änderung der Option „Externe Freigabeoptionen für primäre Kalender“ auf „Alle Informationen sind frei abrufbar und externe Nutzer können Kalenderänderungen durchführen.“ oder „Alle Informationen sind frei abrufbar und Kalender können verwaltet werden“:
https://i.ibb.co/5c0kKyK/24-05-2020-11-23-01-Anwendungseinstellungen-Admin-Konsole.png
2. Anschließend gehst du in das Einstellungsfenster des jeweiligen Kalendars und kopierst die nun sichtbare Privatadresse im iCal-Format („Secret iCal URL“) heraus – diese kannst du anschließend in Outlook einfügen (Kontoeinstellungen > Internetkalendar):
https://i.ibb.co/MhS37k5/24-05-2020-11-17-23-Kalender-Mai-2020.png
https://i.ibb.co/6JWyy83/24-05-2020-11-16-28-Kalender-Kalendereinstellungen-f-r.png
https://i.ibb.co/dWjsYft/24-05-2020-11-20-28-Kalender-Nur-dieser-Computer-Outlook.png
Danke…. aber leider geht es mit einer „normalen“ Gmail Adresse nicht…
Hab mir gerade mal parallel mein privates Gmail angeschaut:
Die Option „Privatadresse im iCal-Format“ ist hier standardmäßig aktiviert – sollte also klappen:
https://i.ibb.co/6JWyy83/24-05-2020-11-16-28-Kalender-Kalendereinstellungen-f-r.png
Bekommst du eine Fehlermeldung?
Schon mal gSyncit von Fieldstonesoftware angeschaut?
Also ich kann den „normalen“ kalender so einbinden… Aber die anderen (z.b. Family kalender) ging damals nicht… Wenn ich mich richtig erinnnere kann man nichts eintragen…
Es wirkt irgendwie wie eine frikel lösung… Wenn man bedenkt wie leicht es in der Win10 Mail-App bzw. Android mit der Outlook App…
Habe aber schon länger nicht mehr nachgeschaut… Falls sich da was geändert hatt
Statt https://g.co.sc/ müsste es https://g.co/sc/ heißen.