Urządzenia ActiveSync powodujące blokowanie kont

Gdy użytkownik zmienia hasło do konta z dowolnego powodu (czytaj: wygasł), a stare hasło jest przechowywane w jego urządzeniu mobilnym połączonym za pomocą EAS. Spowoduje to, że jego konto zostanie zablokowane niemal natychmiast - tak jak powinno, zgodnie z zasadami blokowania określonymi w reklamie. Łatwo było zrozumieć tę część. Najtrudniejszą częścią jest powstrzymywanie się przed tym. Szukałem wszędzie. Nic. Zasadniczo układanka składa się z czterech części: urządzenia EAS, serwera TMG (ISA), protokołu EAS i wreszcie AD. Żadne z nich nie ma sposobu, aby powstrzymać urządzenie EAS przed niepowodzeniem uwierzytelnienia. Pomyślałem więc, że muszę wymyślić sprytne obejście. I jedyne, co mogłem wymyślić, to stworzyć grupę dla wszystkich użytkowników EAS i wykluczyć ich z zasad blokowania, co oczywiście przeczy całemu celowi zasad,

Pytanie: Czy możesz wymyślić inny sposób, aby zapobiec blokowaniu kont przez EAS?

Środowisko: głównie urządzenia z systemem iOS przez EAS. TMG 2010. Exchange 2007. AD 2008 R2.

Zwykle mówimy użytkownikom, aby przełączyć urządzenie w tryb „samolotowy” lub „samolotowy”, odcinając dostęp do sieci, gdy będą gotowi zmienić hasło, gdy zmienią hasło na komputerze stacjonarnym / laptopie, a następnie mogą wprowadzić nowe hasło w urządzenie i ponownie podłącz do sieci.

Oczywiście wysyłamy również powiadomienie o wygaśnięciu, aby były one dobrze przygotowane do wygaśnięcia hasła.

TMG SP2 ma teraz funkcję blokady konta, aby zapobiec temu problemowi. Zobacz: tutaj , tutaj i tutaj .

To pytanie również mnie wyzwało. Jako poważną opcję rozważam uwierzytelnianie ActiveSync oparte na certyfikatach. Wraz z zasadą EAS, aby wymagać kodu hasła do odblokowania urządzenia mobilnego, powinno to być liczone jako uwierzytelnianie dwuskładnikowe (coś, co masz: certyfikat na urządzeniu mobilnym, coś, co wiesz: kod hasła do urządzenia mobilnego). W ten sposób nie ma problemu z wygaśnięciem hasła. Mam nadzieję że to pomoże. http://blogs.technet.com/b/exchange/archive/2012/11/28/configure-certificate-based-authentication-for-exchange-activesync.aspx

To urządzenie musi poinformować użytkownika, że ​​uwierzytelnienie nie powiodło się. Myślę, że lepszą odpowiedzią jest użycie czegoś takiego jak dobre wiadomości dla przedsiębiorstw na urządzeniach z systemem iOS, które moim zdaniem zapewniają obsługę EAS dla przedsiębiorstw.

To dobre pytanie. Niestety nie znalazłem sposobu, aby uniemożliwić urządzeniu uwierzytelnianie, dopóki hasło nie zostanie zaktualizowane. Jedyne, co możesz zrobić, to wykluczyć użytkownika z zasad dotyczących haseł lub udokumentować, jak zmienić hasło na swoim urządzeniu i przypominać mu za każdym razem, gdy wygasa hasło, i muszą odblokować swoje konto.

Możesz także użyć skryptu lub programu do wysłania wiadomości e-mail do osób, że ich hasła wygasną za x dni, i dołącz przypomnienie, że muszą zmienić hasło w telefonie.

Spodziewałem się tego problemu u mojego obecnego pracodawcy, odkąd wdrożyłem politykę haseł w listopadzie, ale jak dotąd moi użytkownicy mobilni wydają się wystarczająco bystrzy, aby zmienić swoje hasła bez przypomnienia.

Możesz sprawdzić, jak zachowują się próby uwierzytelnienia urządzenia, gdy nie korzystasz z funkcji „Zawsze na bieżąco”. Jeśli urządzenie jest skonfigurowane do odpytywania co pięć minut zamiast korzystania z Zawsze na bieżąco, a to nie powoduje częstości niepowodzeń uwierzytelniania, które powodują blokadę konta, może to być realne obejście.

Wygląda na to, że jest to problem z urządzeniem, w którym iPhone zbyt często próbuje używać starego, tymczasem niepoprawnego hasła. Firma Apple opublikowała notę ​​techniczną dotyczącą tego problemu, obiecującą lepszą obsługę urządzeń z iOS7: http://support.apple.com/kb/TS4583

Zablokuj źródłowy adres IP w zaporze sieciowej przed serwerem Exchange