"Bring-your-own-device" has long since become the standard in many companies, perhaps even unconsciously. A correctly configured Exchange Server is very sociable and makes it easy for users to connect any number of devices. Even inexperienced users can synchronize their private smartphone with the company's Exchange server via ActiveSync.
However, this is not entirely uncritical. Private smartphones are not subject to any control, they can be lost or stolen. The devices are often not even protected with a simple PIN. A curious finder can therefore view the company's emails and appointments.
Exchange 2010 does, however, offer options to stem the flood of devices. For example, it makes sense to set that not every user is allowed to synchronize smartphones with their mailbox without the administrator's intervention. The setup is simple:
The ECP can be used to set what should happen when a new smartphone is registered. The ECP can be accessed via the browser at the URL "https://exchangeserver.domain.local/ecp". The "Edit" button is located on the right
There, the connection setting can be changed to "Isolate - Decide for yourself whether to block or allow later", and a user can also be selected to receive an e-mail when a new smartphone is registered.
That is all. If a new device now attempts to connect to a mailbox, the selected user receives an email with a link in which they can allow or block the device.
The procedure is also transparent for the user, who also receives an e-mail informing them that their smartphone is not yet authorized.
The device then ends up in the quarantine list and can be blocked or authorized there.
The device access rules can also be used to control which devices are allowed to connect to Exchange. For example, you can only explicitly allow the smartphone used by the company.
Furthermore, ActiveSync mailbox policies can be used to enforce that the smartphone must be secured with a password; the policies can also be created via the ECP:
However, the settings that apply depend on the manufacturer and smartphone operating system. Here you can find a nice overview of supported functions depending on the software (unfortunately not completely up-to-date):
http://en.wikipedia.org/wiki/Comparison_of_Exchange_ActiveSync_Clients
or here:
Hi, 1A Seite!
Bitte unbedingt weiter so! Hier findet man echt fast alles ;) und das auch noch auf Deutsch.
Frage: Welche Rechte muss ein Nutzer haben um Geräte die in Quarantäne liegen freizugeben?
Hallo Frank,
bei mir gibt es seit neuestem nicht mehr im ECP isolieren wie du auch im Screen beschrieben hast sondern unter Quarantäne stellen. Ich dachte erst kein Problem aber es kommen seitdem keine E-Mails mehr an die Admins zur Information das ein Gerät isoliert wurde.
Hast Du ne Idee ob das durch ein UP Paket oder Update geändert wurde.
Danke und LG Frank
Hallo Frank,
Deine Beschreibung ist hervorragend und wir möchten die Isolation von Smartphones u.Ä. gerne im Unternehmen umsetzen. Natürlich gibt es bereits eine große Anzahl Smartphones, die ActiveSync nutzen. Meine Frage: Wenn ich die Isolation aktiviere, werden dann auch die Geräte in Quarantäne genommen, die vor Aktivierung der Regel bereits aktiv waren oder bleiben diese unbehelligt und nur neue Geräte werden isoliert?
Grüße
Bernd
Hallo Bernd,
bereits verbundene ActiveSync Geräte landen in der Quarantäne und müssen dann genehmigt werden. Die Benutzer erhalten also eine entsprechende Mail. Man kann den Vorgang aber für vorhandene Gerät per Script automatisieren.
Gri0, Frank
Set-CASMailbox username -ActiveSyncAllowedDeviceIDs $null
Sorry das wurde im Vorpost geschluckt.
Hallo Frank,
Das Script ist ja schon mal super :)
Mir ging es darum Geräte die einmal Allowed waren wieder zu sperren so das sie beim nächsten Versuch wieder in der Quarantäne landen.
Das ist ja so über ECP oder EMC nicht möglich.
MS sagt dazu „Approved once, approved forever.“ ^^
Allerdings kann man wohl in der EMS mit
„Set-CASMailbox -ActiveSyncAllowedDeviceIDs $null“
die AllowedDeviceID löschen so das ein vorher bestätigtes Gerät wieder in die Quarantäne fällt und neu bestätigt werden muss.
Gruß
Sven
Hallo Sven,
hatte ich ganz vergessen zu erwähnen: Beim Einrichten der Bestätigung für Active Sync Geräte werden alle bisherigen Active Sync Geräte in Qurantäne gesetzt. Nachträglich lässt sich das genauso wie du es beschrieben hast lösen. Danke für die Rückmeldung.
Grüße, Frank
Hallo Frank,
erstmal ganz großes Lob für deine Seite :) Hat mir schon des öfteren viel Zeit gespart :)
Zu der ActiveSync Genehmigung hab ich allerdings noch eine Frage…
Gibt es ein menü wo ich alle Zugelassenen Geräte sehe und die Genehmigung wieder zurückziehen kann?
Gruß
Sven
Hallo Sven,
danke für das Lob. Im ECP gibt es keine Übersichtz darüber, aber das lässt sich über die Shell lösen, ein beispiel Script dafür habe ich erstellt:
https://www.frankysweb.de/?p=1369
Gruss, Frnak