Exchange: Bestimmte ActiveSync Geräte blockieren

Als Exchange Administrator hat man im Bereich Mobile Device Management mit ActiveSync die Möglichkeit, bestimmte Geräte oder auch Apps mittels Policies direkt im Vorfeld zu blockieren. So kann man beispielsweise die Outlook for iOS/Android App global verbieten und Benutzer können sie somit nicht mehr verwenden. Warum das eine gute Idee sein sollte? Microsoft synchronisiert die lokalen Exchange Daten in die Office365 Cloud und behält das Klartext-Passwort des Nutzers unter anderem im Arbeitsspeicher. Weitere Informationen dazu gibt es aber in ausführlicher Form in folgendem Post: Exchange: Outlook for iOS/Android Deep Dive.

Weiters hat man die Möglichkeit bestimmte Gerätefamilien wie zum Beispiel iPhones, Samsung-Smartphones oder Androids zu verbieten. Falls eine granularer Aufteilung auf bestimmte Modelle gewünscht ist, ist das ebenfalls mit einer entsprechenden Policy möglich.

 

Gerätezugriffsregel erstellen

Um eine neue Gerätezugriffsregel zu erstellen, wechseln wir in das Exchange Control Panel (ECP) und suchen das Menü „Mobile“ auf. Dort können wir im Sektor „Gerätezugriffsregeln“ eine neue Regel erstellen.

Bei der Regel geben wir das jeweilige Gerät oder Modell an, welches wir anpassen möchten. Darunter können wir nun bestimmen, wie der Exchange mit einem solchen Device umgehen soll. Folgende drei Vorgehensweisen stehen uns zur Verfügung:

  • Zugriff erlauben: der Zugriff wird ohne Weiteres Zutun des Administrators erlaubt. Da das bereits die Standardeinstellung für alle ActiveSync Geräte ist, macht das in diesem Fall keinen Sinn.
  • Zugriff blockieren: der Zugriff wird direkt und ohne weiterer Information blockiert.
  • Quarantäne: der Zugriff wird ausgesetzt. Erst nach einer manuellen Bestätigung eines Administrators darf sich das Gerät mit dem Exchange verbinden. Das ist meine präferierte Option.

Wenn wir die Regel so aktivieren, wie sie oben im Screenshot angegeben ist, setzen wir folgende Policy um: Smartphones, welche die Outlook for iOS/Android App verwenden, werden vorab in Quarantäne gestellt. Der Zugriff wird solange blockiert, bis ein Administrator sein OK gibt.

Sollten bei euch nur wenige Geräte oder Modelle aufscheinen liegt das daran, dass sich noch keine entsprechenden Endgeräte mit dem Exchange verbunden haben. Der Exchange kennt nur jene Modelle, die aktiv verwendet werden/wurden. In diesem Fall hilft es auch, die Outlook for iOS/Android App herunterzuladen und das Postfach einmalig einzurichten.

Achtung: Wird die Policy aktiviert, betrifft das auch alle bereits bestehenden Verbindungen! Solltet ihr euch für die Quarantäne Option entschieden haben, müsst ihr alle Smartphones einmal manuell erlauben. Der Nutzer bekommt dies aber im Normalfall gar nicht mit – zumindest wenn ihr schnell genug seid.

 

Benachrichtigung für Richtlinie aktivieren

Nachdem die Regel aktiviert wurde, fehlt es natürlich noch an einer entsprechenden Benachrichtigung, wenn diese getriggert wird. Damit ihr als Administrator darüber informiert werdet, könnt ihr die notwendige Einstellung mit dem „Bearbeiten“ Button auf der Mobile Seite setzen.

Somit dürfen alle ActiveSync Geräte direkt auf den Exchange zugreifen, außer Nutzer der Outlook for iOS/Android App. Diese werden vorab in Quarantäne gestellt und müssen von einem Administrator manuell freigeschalten werden.

 

You may also like...

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments
0
Hinterlass' doch deine Meinung zu diesem Artikelx