“Bring-your-own-device” ist längst in vielen Unternehmen zum Standard geworden, vieleicht sogar unbewusst. Ein korrekt konfigurierter Exchange Server ist sehr kontaktfreudig und macht es Benutzern einfach, jede Menge Geräte anzubinden. Auch wenig versierte Benutzer schaffen es Ihr privates Smartphone per ActiveSync mit dem Exchange Server des Unternehmens zu synchronisieren.
Allerdings ist das nicht ganz unkritisch. Private Smartphones unterliegen keiner Kontrolle, sie können verloren gehen oder gestohlen werden. Oft sind die Geräte nicht einmal mit einer einfachen PIN geschützt. Ein neugieriger Finder kann somit die Mails, Termine des Unternehmens einsehen.
Exchange 2010 bietet allerdings Möglichkeiten die Flut der Geräte einzudämmen. Sinnvoll ist es zum Beispiel einzustellen das nicht jeder Benutzer ohne zutun des Administrators Smartphones mit seinem Postfach synchronisieren darf. Die Einrichtung ist einfach:
Über das ECP kann eingestellt werden, was passieren soll, wenn ein neues Smartphone angemeldet wird. Das ECP kann über den Browser unter der URL “https://exchangeserver.domain.local/ecp” aufgerufen werden. Rechts findet sich die Schaltfläche “Bearbeiten”
Dort kann die Verbindungseinstellung auf “Isolieren – Selbst entscheiden, ob blockiert oder später zugelassen werden soll” geändert werden, zusätzlich kann ein Benutzer ausgewählt werden, der eine Mail erhalten soll, wenn ein neues Smartphone angemeldet wird.
Das ist schon alles. Versucht nun ein neues Gerät eine Verbindung zu einem Postfach herzustellen, bekommt der ausgewählte User eine Mail mit einem Link in der er das Gerät zulassen oder blockieren kann.
Auch für den Benutzer ist das Vorgehen transparent, er bekommt ebenfalls eine Mail, indem er informiert wird, das sein Smartphone noch nicht zugelassen ist.
Das Gerät landet dann in der Quarantäne Liste und kann dort Blockiert oder Zugelassen werden.
Mit den Gerätezugriffregeln lässt sich außerdem steuern, was für Geräte sich mit Exchange verbinden dürfen. So kann man zum Beispiel nur explizit das von der Firma eingesetzte Smartphone erlauben.
Des weiteren kann über ActiveSync Postfachrichtlinien erzwungen werden, dass das Smartphone mit einem Kennwort gesichert sein muss, die Richtlinien können ebenfalls über das ECP angelegt werden:
Allerdings ist je nach Hersteller und Smartphone Betriebssystem abhängig welche Einstellungen greifen. Hier findet sich eine nette Übersicht über unterstütze Funktionen je nach Software (leider nicht ganz aktuell):
http://en.wikipedia.org/wiki/Comparison_of_Exchange_ActiveSync_Clients
oder hier:
Hi, 1A Seite!
Bitte unbedingt weiter so! Hier findet man echt fast alles ;) und das auch noch auf Deutsch.
Frage: Welche Rechte muss ein Nutzer haben um Geräte die in Quarantäne liegen freizugeben?
Hallo Frank,
bei mir gibt es seit neuestem nicht mehr im ECP isolieren wie du auch im Screen beschrieben hast sondern unter Quarantäne stellen. Ich dachte erst kein Problem aber es kommen seitdem keine E-Mails mehr an die Admins zur Information das ein Gerät isoliert wurde.
Hast Du ne Idee ob das durch ein UP Paket oder Update geändert wurde.
Danke und LG Frank
Hallo Frank,
Deine Beschreibung ist hervorragend und wir möchten die Isolation von Smartphones u.Ä. gerne im Unternehmen umsetzen. Natürlich gibt es bereits eine große Anzahl Smartphones, die ActiveSync nutzen. Meine Frage: Wenn ich die Isolation aktiviere, werden dann auch die Geräte in Quarantäne genommen, die vor Aktivierung der Regel bereits aktiv waren oder bleiben diese unbehelligt und nur neue Geräte werden isoliert?
Grüße
Bernd
Hallo Bernd,
bereits verbundene ActiveSync Geräte landen in der Quarantäne und müssen dann genehmigt werden. Die Benutzer erhalten also eine entsprechende Mail. Man kann den Vorgang aber für vorhandene Gerät per Script automatisieren.
Gri0, Frank
Set-CASMailbox username -ActiveSyncAllowedDeviceIDs $null
Sorry das wurde im Vorpost geschluckt.
Hallo Frank,
Das Script ist ja schon mal super :)
Mir ging es darum Geräte die einmal Allowed waren wieder zu sperren so das sie beim nächsten Versuch wieder in der Quarantäne landen.
Das ist ja so über ECP oder EMC nicht möglich.
MS sagt dazu „Approved once, approved forever.“ ^^
Allerdings kann man wohl in der EMS mit
„Set-CASMailbox -ActiveSyncAllowedDeviceIDs $null“
die AllowedDeviceID löschen so das ein vorher bestätigtes Gerät wieder in die Quarantäne fällt und neu bestätigt werden muss.
Gruß
Sven
Hallo Sven,
hatte ich ganz vergessen zu erwähnen: Beim Einrichten der Bestätigung für Active Sync Geräte werden alle bisherigen Active Sync Geräte in Qurantäne gesetzt. Nachträglich lässt sich das genauso wie du es beschrieben hast lösen. Danke für die Rückmeldung.
Grüße, Frank
Hallo Frank,
erstmal ganz großes Lob für deine Seite :) Hat mir schon des öfteren viel Zeit gespart :)
Zu der ActiveSync Genehmigung hab ich allerdings noch eine Frage…
Gibt es ein menü wo ich alle Zugelassenen Geräte sehe und die Genehmigung wieder zurückziehen kann?
Gruß
Sven
Hallo Sven,
danke für das Lob. Im ECP gibt es keine Übersichtz darüber, aber das lässt sich über die Shell lösen, ein beispiel Script dafür habe ich erstellt:
https://www.frankysweb.de/?p=1369
Gruss, Frnak