Exchange 2010 - ActiveSync Geräte Quarantäne konfigurieren

- 04.03.2014
von Thomas Windscheif / Microlinc



Auf dieser Seite:
Zu Einrichtung Geräte-Quarantäne ActiveSync
Zu Vorgehen bei neuen Geräten
Zu Verbundene Geräte blockieren
Skripts zur erweiterten Administration via Exchange-Management-Shell


In Zeiten wo Mitarbeiter ihre eigenen privaten Smartphones/Tablets mit in den Betrieb bringen, ist es wichtig den Überblick zu behalten. Ein einfaches Mittel ist die Verwendung der ActiveSync-Quarantäne-Funktion. Vorteil: Wenn ein neues mobiles Endgerät an den Exchange angebunden werden möchte, erhält eine hinterlegbare Person (z. B. Administrator) eine E-Mail. Dieser kann dann über das Exchange Control Panel als Exchange Organisations-Admin (bzw. OWA) das Gerät für den Benutzer freischalten. Von hier aus können Benutzergeräte auch wieder entfernt werden, z. B. bei Diebstahl im Urlaub. Je nach Gerätetyp ist auch Remote-Werkeinstellungsreset (getestet bei WM6.1-Gerät) möglich bzw. Entfernung der synchronisierten Objekte über ActiveSync.

Folgende Schritte müssen hierfür durchgeführt werden:

Einrichtung Geräte-Quarantäne ActiveSync
  1. Öffnen Sie als Administrator das OWA.

  2. Klicken Sie oben rechts auf "Optionen".

  3. Wählen Sie "Alle Optionen anzeigen...".


  4. Das ECP wird nun angezeigt (u. U. dauert es ein wenig bis es erscheint.)

  5. Oben links sollte "E-Mail > Optionen: Mich verwalten" stehen, klicken Sie auf "Mich verwalten" und wählen Sie "Meine Organisation".


  6. Klicken Sie auf der linken Seite den Punkt "Telefon und Voice".


  7. Der Reiter "ActiveSync-Zugriff" sollte bereits geöffnet sein, klicken Sie auf der rechten den Button "Bearbeiten".


  8. Unter Verbindungseinstellungen wählen Sie bitte "Isolieren - Selbst entscheiden, ob blockiert oder später zugelassen werden soll"


    INFO: Bitte beachten Sie, auch bereits in Verwendung befindliche Geräte werden nach Setzen der Einstellung in Quarantäne gestellt.

  9. Unter "Benachrichtigungs-E-Mails für Isolieren" klicken Sie auf "Hinzufügen", wählen Sie hier einen oder mehrere Benutzer oder eine Verteilergruppe aus die über die Quarantäne neuer Geräte informiert werden sollen.

  10. In dem darunter befindlichen Textfeld können Sie den Text definieren, den die Benutzer erhalten sollen, die Ihr neues Gerät an Exchange anbinden wollen.

  11. Klicken Sie abschließend auf "Speichern".



ACHTUNG: Einmal zugelassene Geräte werden durch einfaches Löschen über das ECP trotzdem weiter zugelassen. D. h. wenn Sie z. B. einen Mitarbeiter den Zugriff auf seine Exchange-Daten verweigern wollen und Sie die Partnerschaft vermeintlich löschen, wird das Gerät mit erneuter Synchronisierung trotzdem wieder zugelassen (also es erfolgt nicht vorher eine Quarantäne). Die DeviceID bleibt im CASMailbox unter "ActiveSyncAllowedDeviceIDs" bestehen (siehe http://technet.microsoft.com/de-de/library/bb266947(v=exchg.141).aspx). Um das Gerät richtig zu löschen habe ich ein Exchange-Management-Shell geschrieben (Link: http://microlinc.homeip.net/index.php?lev1=7&lev2=8&lev3=4&id=219).

Vorgehen bei neuen Geräten
  1. Geben Sie wie gewohnt die Exchange-Server-Einstellungen in das Smartphone ein.

  2. Sobald es die erste Synchronisation durchführt (& Benutzername sowie Passwort stimmen) erhält der Smartphone-Benutzer folgende E-Mail von Exchange:


    Wie man hier sehen kann, ist unser in der Anleitung angegebene Text zwischen den zwei Blöcken lesbar.

  3. Der angegebene Administrator erhält nachfolgenden Nachricht via E-Mail:


  4. Nun loggt sich der Administrator via OWA ein und befolgt die Schritte 1 - 6 der ersten Anleitung.

  5. Im unteren Bereich des Fensters sieht man nun unter "Geräte in Quarantäne" das Gerät des Smartphone-Nutzers.


  6. Um dem Gerät die zuzulassen wählt man dieses einfach aus und klickt auf "Zulassen".

  7. Anschließend wird das Gerät im Hintergrund der ActiveSyncAllowedDeviceIDs-Liste des Benutzer hinzugefügt und der Status (DeviceAccessState) des ActiveSyncDevices ändert sich zu "Allowed". Bei dem nächsten automatischen Synchronisierungsversuch wird das Smartphone die Inhalte automatisch synchronisieren.



Verbundene Geräte blockieren
  1. Um Geräte einer aktiven ActiveSync-Partnerschaft zu blockieren, meldet sich der Administrator am OWA an. Befolgen Sie hierzu die Schritte 1 - 6 der ersten Anleitung
  2. Klicken Sie anschließend oben links auf "Benutzer und Gruppen".


  3. Der Reiter "Postfächer" sollte sich automatisch öffnen.

  4. Wählen Sie in der Mitte des Fensters den entsprechenden Benutzer, dessen ActiveSync-Partnerschaft blockiert werden soll.


  5. Klicken Sie auf den Button "Details".

  6. Wählen Sie im neu erscheinenden Fenster unten den Punkt "Telefon- und Sprachfeatures".


  7. Darunter öffnet sich eine Liste, wählen Sie "Exchange ActiveSync" und klicken Sie auf den Button "Bearbeiten".


  8. Es öffnet sich ein neues Fenster. Wählen Sie das entsprechende Gerät, welches Blockiert werden soll und Klicken Sie auf "Blockieren".


  9. Klicken Sie anschließend auf "Speichern".

  10. Das Gerät wird nun blockiert.
    INFO: Die Blockierung kann nur von einem Administrator wieder entfernt werden. Benutzer können Ihr Gerät bei Verlust aber auch selber Sperren.



Skripts zur Administration via Exchange-Management-Shell

Über Feedback würde ich mich freuen.


Quellen:

http://www.msxfaq.de/mobil/easquarantine.htm - Herr Carius geht hier in seinem Blog auch für größere Unternehmen auf Delegierungen ein



MICROL!NC - URL zum Artikel: http://microlinc.homeip.net/index.php?lev1=3&lev2=4&lev3=23&id=214 - Ausdruck vom 26.04.2024