joe2017
Goto Top

Office 365 Firewall - Problem bei Device Registrierung

Schönen guten Morgen zusammen,

ich habe eine Problem mit Office 365 und der Firewall. Weiß zufällig jemand welche Anwendung (exe) für die Anmeldung (Device Registrierung) zuständig ist?

Wenn ich eine Firewall Rule mit TCP 443/80 für alle Anwendungen freigebe, funktioniert die Anmeldung und Registrierung des Devices. Das Device ist anschließend in dem Azure Active Directory admin Center unter Geräte zu sehen.
Wenn ich diese auf Bsp. die WINWORD.exe beschränke, kann ich mich teilweise anmelden. Jedoch erhalte ich anschließend eine Fehlermeldung (Fehlercode: 80072EFD - Das Gerät konnte nicht registriert und zu Ihrem Konto zu Windows hinzugefügt werden). Das Gerät wird nicht zu meinem Benutzer in dem Azure Active Directory admin Center angelegt.

Hat jemand eine Idee welche exe hierfür zuständig ist und welche die Freigabe (TCP 443/80) ins Internet benötigt?

Vielen Dank

Content-Key: 666507

Url: https://administrator.de/contentid/666507

Ausgedruckt am: 29.03.2024 um 12:03 Uhr

Mitglied: 7Gizmo7
7Gizmo7 07.05.2021 um 18:00:57 Uhr
Goto Top
Hi,

einfach den Zugriff auf die Endpunkte freigeben.
https://docs.microsoft.com/de-de/microsoftteams/office-365-urls-ip-addre ...

Welche Firewall hast du den, viele haben das schon dynamisch als Vorauswahl.

Mit freundlichen Grüßen
Mitglied: mbehrens
mbehrens 07.05.2021 um 18:16:21 Uhr
Goto Top
Zitat von @joe2017:

ich habe eine Problem mit Office 365 und der Firewall. Weiß zufällig jemand welche Anwendung (exe) für die Anmeldung (Device Registrierung) zuständig ist?

Für eine erste Analyse sind Office 365 URLs and IP address ranges und Network endpoints for Microsoft Intune sicherlich gute Anlaufpunkte aus der MS Dokumentation.
Mitglied: joe2017
joe2017 07.05.2021 um 19:37:48 Uhr
Goto Top
Mir geht es aktuell um die Windows Firewall von meinem Client.
Hier möchte ich lediglich die Anwendung freigeben, welche die Verbindung aufbaut.

Bei Microsoft bekommt man derartige Informationen nicht wirklich!
Man bekommt IP Adressen, Domains, und Ports. Aber nicht welche Anwendung die Verbindung aufbaut.
Mitglied: NordicMike
NordicMike 10.05.2021 um 12:18:28 Uhr
Goto Top
Man bekommt IP Adressen, Domains, und Ports. Aber nicht welche Anwendung die Verbindung aufbaut.
Wenn es die Windows Firewall ist, dann gebe doch die IP Adressen und Ports nach aussen frei?!?
Mitglied: joe2017
joe2017 10.05.2021 um 15:54:06 Uhr
Goto Top
Ich möchte aber nicht, dass jede Anwendung zu diesen IP´s kommunizieren darf.
Daher meine Frage welche Anwendung (exe) freigegeben werden muss.

Wie könnte man noch herausfinden welche EXE die Verbindung Bockt?
Mit dem Windows Firewall Log erhällt man ja nur Ports und IP´s...

Es kann doch nicht sein, dass man diese Information nicht findet. Microsoft macht hier mal wiederr keine Angaben und ist wie immer eine Blackbox.
Ich weiß schon warum ich immer mehr Abstand von Microsoft nehme!

Wäre toll wenn jemand noch eine Info hierzu hätte.
Mitglied: NordicMike
NordicMike 11.05.2021 aktualisiert um 08:14:47 Uhr
Goto Top
Ich weiß schon warum ich immer mehr Abstand von Microsoft nehme!
Weil du dir zu viel Gedanken darüber machst.

Ich möchte aber nicht, dass jede Anwendung zu diesen IP´s kommunizieren darf.
Genau, das meine ich mir zu viel Gedanken. Ich denke nicht, dass noch irgendeine andere Anwendung zu den Microsoft Activation Servern kommunizieren "möchte". Die Exe kann sich ja auch mal mit einem Update ändern, dann bist du ständig am hinterher arbeiten.

Wie könnte man noch herausfinden welche EXE die Verbindung Bockt?
Mit Zone Alarm, installier eine Test-VM mit Zone Alarm und mach alles dicht. Dan bekommst du ein Alarm mit der Info welche Anwendung nach draussen telefonieren möchte.
Mitglied: joe2017
joe2017 11.05.2021 um 09:04:59 Uhr
Goto Top
Genau, das meine ich mir zu viel Gedanken. Ich denke nicht, dass noch irgendeine andere Anwendung zu den Microsoft Activation Servern kommunizieren "möchte". Die Exe kann sich ja auch mal mit einem Update ändern, dann bist du ständig am hinterher arbeiten.

Ich glaube du hast den Hintergrund hierzu nicht ganz verstanden. Wenn ich einfach nur den Port 443/80 Öffne, darf jede Anwendung diese Ports verwenden. Unter anderm auch Scripts, Bots usw. Natürlich kann ich dies auf IP Adressen von Microsoft eingrenzen. Aber in der Vergangenheit hat sich gezeigt, dass sich diese Dinge öffter mal geändert haben.
Ich denke wenn ich die zuständige Anwendung finde und verwende wird das definitiv sicherer sein.
Mitglied: NordicMike
NordicMike 11.05.2021 um 09:12:52 Uhr
Goto Top
So habe ich es auch nicht gemeint, natürlich musst du es auf die Microsoft Server eingrenzen, nicht einfach den Port öffnen :c)

Aber ich denke du kommst schon zurecht.
Mitglied: joe2017
joe2017 12.05.2021 aktualisiert um 10:13:47 Uhr
Goto Top
Ich hab das ganze jetzt hinbekommen. Für alle die es interessiert.

Folgende Anwendungen müssen für TCP 443 Freigeschaltet werden:
C:\Windows\SystemApps\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\Microsoft.AAD.BrokerPlugin.exe
C:\Windows\System32\RuntimeBroker.exe

Wenn Ihr zusätzlich noch folgende Anwendung freischaltet, könnt Ihr euch nach einem Abmelden in einer Anwendung (Bsp. Word) auch wieder anmelden.
C:\Windows\System32\backgroundTaskHost.exe

Zusätzlich müssen natürlich die gewünschten Office 365 Anwendungen für TCP 443 Freigeschaltet werden.
C:\Program Files\Microsoft\Office\root\Office16\Winword.exe
C:\Program Files\Microsoft\Office\root\Office16\Excel.exe
usw.
Mitglied: NordicMike
NordicMike 12.05.2021 um 10:12:47 Uhr
Goto Top
Ich hätte schwören können, dass ospp.vbs auch dazu zählt, aber man steckt ja nicht drinnen, deswegen habe ich lieber nichts geraten :c)
Mitglied: joe2017
joe2017 12.05.2021 um 10:14:49 Uhr
Goto Top
Ich hab folgenden Eintrag noch raus genommen:
C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeClickToRun.exe

Dieser wurde doch nicht benötigt.