Ein Crashkurs zu Exchange ActiveSync-Richtlinien für iOS-Geräte

und Aufgaben auf den Mobilgeräten der Benutzer. Eine Funktion von ActiveSync, mit der viele Exchange-Administratoren nicht ganz so vertraut sind, sind ActiveSync-Richtlinien.

Täglich tauchen neue Geräte auf, und viele Administratoren haben Schwierigkeiten, genau zu verstehen, was passiert, wenn Richtlinien durchgesetzt werden – oder nicht. Immer mehr Mitarbeiter verlassen sich auf persönliche iPhones und iPads um auf Geschäftsinformationen zuzugreifenEs ist wichtig, dass Administratoren verstehen, welche ActiveSync-Richtlinien angewendet werden können und was sie genau tun.

Grundlegende ActiveSync-Richtlinien in Exchange 2013

Sie können ActiveSync-Richtlinien in Exchange 2010 über die EAC implementieren. "

Abbildung 1. Erste Schritte mit ActiveSync-Richtlinien in der EAC.

In Exchange 2013 stellen Administratoren fest, dass die ActiveSync-Richtlinienoptionen in “Postfachrichtlinien für mobile Geräte” umbenannt wurden. Der Zugriff auf sie erfolgt über die mobile Registerkarte des Exchange-Verwaltungscenters (siehe Abbildung 1).
Wenn es um mobile Geräte und vertrauliche Geschäftsinformationen geht, wissen wir, dass Sicherheit von entscheidender Bedeutung ist. Glücklicherweise werden ActiveSync-Kennwortrichtlinien für unterstützt iOS Geräte, und es gibt mehrere zur Verfügung.
Die unten aufgeführten Kennwortrichtlinien werden über das Exchange Administration Center (EAC) aktiviert oder deaktiviert:

  • Benötigen Sie ein Passwort. Diese Option stellt sicher, dass der Benutzer einen Passcode auf dem iOS-Gerät festgelegt hat.
  • Erlaube einfache Passwörter. Diese Option ermöglicht es einem Benutzer, einen einfachen vierstelligen Passcode festzulegen, und ist auf der Website verfügbar Allgemein -> Passcode-Sperre Einstellungsbildschirm auf dem iOS-Gerät unter der Option “Einfacher Passcode”. Wenn der Passcode mit ActiveSync festgelegt wurde, ist die Option für den Endbenutzer ausgegraut.
  • Benötigen Sie ein alphanumerisches Passwort. Diese Option ist selbsterklärend. Benutzer müssen ein komplizierteres Kennwort erstellen, das eine Kombination aus Klein- und Großbuchstaben oder Zahlen und Symbolen usw. enthalten kann. Benutzer werden über die Anforderungen informiert, die in der Richtlinie auf ihren iOS-Geräten festgelegt sind.
  • Verschlüsselung auf dem Gerät erforderlich. Alle iOS-Geräte, die seit dem iPhone 3GS veröffentlicht wurden, verwenden standardmäßig die Verschlüsselung. Wenn Sie sicherstellen möchten, dass nur Geräte dieses Alters und neuer eine Verbindung herstellen können, sollten Sie diese Option aktivieren.
  • Minimale Passwortlänge. Wenn Sie vorhaben, die Mindestkennwortlängen an Ihre lokalen Active Directory-Anforderungen anzupassen, werden Sie erfreut sein zu erfahren, dass diese Richtlinie auf iOS-Geräten unterstützt wird. Wenn Benutzer aufgefordert werden, ein Kennwort (oder einen Passcode) festzulegen, werden sie über die erforderliche Mindestlänge informiert.
  • Anzahl der Anmeldefehler, bevor das Gerät gelöscht wird. So solide Geräteverschlüsselung und Kennwörter auch sind, wenn ein Hacker genügend oft versucht, wird er schließlich einsteigen. Die automatische Gerätelöschung wird nicht durch Remote-Löschung, sondern durch das Gerät selbst initiiert. Diese ActiveSync-Richtlinienoption wird der Standard-iOS-Funktion zugeordnet. Allgemein -> Passcode-Sperre -> Daten löschen.
  • Anmeldung erforderlich, nachdem das Gerät X Minuten lang inaktiv war. Sobald ein Gerät entsperrt ist, können Sie eine Nachfrist festlegen, bevor ein inaktives Gerät die erneute Eingabe des Passcodes erfordert. Diese ActiveSync-Richtlinienoptionen werden dem zugeordnet Allgemein -> Passcode-Sperre -> Passcode erforderlich nach dem wird auf dem iOS-Gerät eingestellt.
  • Passwortlebensdauer erzwingen (Tage) und Anzahl der Kennwortrecycling. Benutzer wählen häufig eine vertraute Buchstaben- oder Zahlenkombination – es kann sich um das Datum ihres Hochzeitstags oder Geburtstages handeln – für ihr Passwort. Daher sollten Sie von ihnen verlangen, dass sie von Zeit zu Zeit ihr Passwort ändern. Wenn Sie diese ActiveSync-Richtlinie implementieren, werden sowohl das Ablaufdatum des Passcodes als auch die Verlaufseinstellungen auf iOS-Geräten wirksam.

Alle diese Richtlinien sind auch in Exchange Server 2010 unter dem Kennwort verfügbar Registerkarte auf der Eigenschaftenseite jeder ActiveSync-Richtlinie.

Zusätzliche ActiveSync-Richtlinien in Exchange 2010 und Exchange 2013

Wie Sie sehen, gibt es eine Fülle von iOS-Geräteunterstützung für ActiveSync-Kennwortrichtlinien. Wenn es um die restlichen verfügbaren Richtlinien von ActiveSync geht, schneiden iOS-Geräte jedoch besser ab als die meisten anderen (mit Ausnahme von Windows Mobile 6.5). Leider ist die Unterstützung immer noch relativ spärlich.

Verwalten Sie ActiveSync-Richtlinien in Exchange 2010 mit der EMC.

Abbildung 2. Verwalten von ActiveSync-Richtlinien in Exchange 2010 über die EMV.

Wenn Sie mit Exchange 2010 arbeiten, werden ActiveSync-Richtlinien über die Exchange-Verwaltungskonsole (EMC) verwaltet. Einfach navigieren zu Organisationskonfiguration -> Clientzugriff, dann zum Einstellungen synchronisieren Tab (siehe Abbildung 2).

Mit dem EMS können Sie andere ActiveSync-Richtlinien festlegen.

Abbildung 3. Verwenden Sie das EMS, um andere ActiveSync-Richtlinien festzulegen.

Wenn Sie Exchange 2013 verwenden oder einfach die Exchange-Verwaltungsshell (Exchange Management Shell, EMS) in Exchange 2010 bevorzugen, können Sie über das auf diese Funktionen zugreifen Get-ActiveSyncMailboxPolicy und Set-ActiveSyncMailboxPolicy Cmdlets (siehe Abbildung 3).
Beginnen wir mit den erweiterten Funktionen, die für iOS-Geräte verfügbar sind:

  • Vergangene E-Mail-Elemente (Tage) einschließen. Wenn Sie diese Richtlinie nicht festlegen, können Benutzer festlegen, wie weit das iOS-Gerät in der Vergangenheit Nachrichten herunterladen soll. Dies umfasst das Herunterladen aller Nachrichten in einem Ordner. Normalerweise können Benutzer ihre Einstellungen festlegen, indem sie die App iOS-Einstellungen öffnen und zu navigieren Mail -> Kontakte und Kalender -> Exchange-Kontoname -> Mail-Tage für die Synchronisierung. Wenn diese Richtlinie festgelegt ist, ist sie die einzige verfügbare Option.

Benutzer, die ältere Nachrichten anzeigen möchten, können dies weiterhin. Sie müssen jedoch den Ordner über die Mail-App durchsuchen und dann auswählen Setzen Sie die Suche auf dem Server fort.

Die PowerShell, die Sie hier benötigen, ist: Set-ActiveSyncMailboxPolicy-Parameter -MaxEmailAgeFilter All (Standard), OneDay, ThreeDays, OneWeek, TwoWeeks

  • Ermöglichen Sie direktes Drücken während des Roamings. Datenroaming-Gebühren können kostspielig sein. Wenn Sie sicherstellen möchten, dass Benutzer eine bewusste Entscheidung zum Herunterladen von E-Mails treffen, sollten Sie Direct Push deaktivieren. Apple iOS erlaubt Direct Push beim Roaming standardmäßig.

Die PowerShell, die Sie hier benötigen, ist: Set-ActiveSyncMailboxPolicy-Parameter -RequireManualSyncWhenRoaming $ False (Standard), $ True

  • Kamera zulassen. Für die beiden oben genannten Funktionen ist eine zusätzliche Enterprise Client Access License (CAL) erforderlich. Die Funktion Kamera zulassen ist standardmäßig aktiviert. Wenn Sie die Kamera deaktivieren, ist sie nicht für alle iOS-Apps verfügbar, die die zugrunde liegende Programmierschnittstelle oder API der Kameraanwendung verwenden. Dies wird durch Erzwingen der erreicht Einschränkungen für die Kamera Verwenden Sie die Einstellung in den allgemeinen Einstellungen.

Die PowerShell, die Sie hier benötigen, ist: Set-ActiveSyncMailboxPolicy-Parameter -AllowCamera $ True (Standard), $ False

  • Browser zulassen. Die letzte Funktion, die Sie auf iOS-Geräten steuern können, erfordert auch eine Enterprise-CAL. Leider kann es sich dank Browsern von Drittanbietern im App Store wie Google Chrome und Puffin auch als recht schwierig erweisen, sich fortzubewegen. Das Deaktivieren der integrierten Safari erledigt den Job. Dies erfolgt über iOS-Einschränkungen, und der Vorgang ähnelt dem Deaktivieren der Kamera.

Die PowerShell, die Sie hier benötigen, ist:: Set-ActiveSyncMailboxPolicy-Parameter -AllowBrowser $ True (Standard), $ False

Wie Sie sehen, sollten sich die ActiveSync-Richtlinien, die Sie anwenden können, als sehr nützlich erweisen, obwohl dies keine sehr große Liste ist. Die verbleibenden verfügbaren Richtlinien werden nicht unterstützt:

  • Download von Anhängen zulassen
  • Maximale Anhangsgröße
  • Aktivieren Sie die Kennwortwiederherstellung
  • Speicherkarte verschlüsseln
  • Deaktivieren Sie SMS-Nachrichten
  • Deaktiviere WiFi
  • Bluetooth deaktivieren
  • Internetfreigabe vom Gerät zulassen
  • Remotedesktop vom Gerät zulassen
  • Deaktivieren Sie POP3 / IMAP-E-Mails
  • Verbraucherpost zulassen
  • Nicht signierte Anwendungen zulassen
  • Anwendungsblock / Zulassungsliste
  • Signierte S / MIME-Nachrichten erforderlich
  • Verschlüsselte S / MIME-Nachrichten erforderlich
  • Nachrichtenformate konfigurieren (Nur-Text / HTML)
  • Größe des E-Mail-Körperabschneidens
  • Vergangene Kalenderelemente (Tage) einschließen
  • IRM über ActiveSync zulassen

In diesem Tipp haben wir erläutert, welche ActiveSync-Richtlinien auf Apple-Mobilgeräte angewendet werden können und wie sie sich genau auf diese Geräte auswirken, wenn sie implementiert werden. Obwohl die Liste etwas begrenzt ist, bietet sie genügend Funktionen, um nützlich zu sein.
Wenn Sie strenger durchsetzen möchten, was Benutzer auf ihren Apple-Geräten tun können und was nicht, ist möglicherweise ein dediziertes Tool zur Verwaltung mobiler Geräte genau das, was Sie benötigen. Wenn dies nicht der Fall ist, lesen Sie das Apple iPhone-Konfigurationsdienstprogramm, mit dem Sie Profile erstellen und bereitstellen Damit können Sie iOS-spezifische Einschränkungen für Geräte manuell implementieren.
Über den Autor:
Steve Goodman ist ein Exchange MVP und arbeitet als technischer Architekt für einen der führenden britischen Microsoft Gold-Partner, die Phoenix IT Group. Goodman ist seit 14 Jahren in der IT-Branche tätig und arbeitet seit Version 5.5 intensiv mit Microsoft Exchange zusammen.

Similar Posts

Leave a Reply