“Bring-your-own-device” ist längst in vielen Unternehmen zum Standard geworden, vieleicht sogar unbewusst. Ein korrekt konfigurierter Exchange Server ist sehr kontaktfreudig und macht es Benutzern einfach, jede Menge Geräte anzubinden. Auch wenig versierte Benutzer schaffen es Ihr privates Smartphone per ActiveSync mit dem Exchange Server des Unternehmens zu synchronisieren.
Allerdings ist das nicht ganz unkritisch. Private Smartphones unterliegen keiner Kontrolle, sie können verloren gehen oder gestohlen werden. Oft sind die Geräte nicht einmal mit einer einfachen PIN geschützt. Ein neugieriger Finder kann somit die Mails, Termine des Unternehmens einsehen.
Exchange 2010 bietet allerdings Möglichkeiten die Flut der Geräte einzudämmen. Sinnvoll ist es zum Beispiel einzustellen das nicht jeder Benutzer ohne zutun des Administrators Smartphones mit seinem Postfach synchronisieren darf. Die Einrichtung ist einfach:
Über das ECP kann eingestellt werden, was passieren soll, wenn ein neues Smartphone angemeldet wird. Das ECP kann über den Browser unter der URL “https://exchangeserver.domain.local/ecp” aufgerufen werden. Rechts findet sich die Schaltfläche “Bearbeiten”
Dort kann die Verbindungseinstellung auf “Isolieren – Selbst entscheiden, ob blockiert oder später zugelassen werden soll” geändert werden, zusätzlich kann ein Benutzer ausgewählt werden, der eine Mail erhalten soll, wenn ein neues Smartphone angemeldet wird.
Das ist schon alles. Versucht nun ein neues Gerät eine Verbindung zu einem Postfach herzustellen, bekommt der ausgewählte User eine Mail mit einem Link in der er das Gerät zulassen oder blockieren kann.
Auch für den Benutzer ist das Vorgehen transparent, er bekommt ebenfalls eine Mail, indem er informiert wird, das sein Smartphone noch nicht zugelassen ist.
Das Gerät landet dann in der Quarantäne Liste und kann dort Blockiert oder Zugelassen werden.
Mit den Gerätezugriffregeln lässt sich außerdem steuern, was für Geräte sich mit Exchange verbinden dürfen. So kann man zum Beispiel nur explizit das von der Firma eingesetzte Smartphone erlauben.
Des weiteren kann über ActiveSync Postfachrichtlinien erzwungen werden, dass das Smartphone mit einem Kennwort gesichert sein muss, die Richtlinien können ebenfalls über das ECP angelegt werden:
Allerdings ist je nach Hersteller und Smartphone Betriebssystem abhängig welche Einstellungen greifen. Hier findet sich eine nette Übersicht über unterstütze Funktionen je nach Software (leider nicht ganz aktuell):
http://en.wikipedia.org/wiki/Comparison_of_Exchange_ActiveSync_Clients
oder hier: