Eine Übersicht über die Exchange 2010 ActiveSync-Quarantänefunktion

Da die mobile Belegschaft weiter wächst, ist es wichtig zu steuern, welche Geräte über …

ActiveSync. Die ActiveSync-Quarantänefunktion von Exchange 2010 hilft beim Verfolgen neuer Geräte. Wenn sie jedoch implementiert ist, kann dies zu Problemen bei zuvor zulässigen Verbindungen führen. Lesen Sie in diesem Tipp alle Details der nicht ausreichend genutzten und dennoch äußerst hilfreichen Funktion.
Es ist ziemlich einfach, ein Gerät für die Kommunikation mit Exchange über ActiveSync zu konfigurieren. Wenn Exchange AutoDiscover ordnungsgemäß funktioniert, benötigt der Benutzer nur seine E-Mail-Adresse und seine Anmeldeinformationen. Selbst wenn Sie Exchange AutoDiscover nicht verwenden, können die meisten einigermaßen versierten Benutzer die Details basierend auf ihrer OWA- oder Outlook Anywhere-Konfiguration ermitteln.
Mein Punkt ist, dass es für Benutzer beim Kauf von Smartphones und Tablets für den Heimgebrauch einfach – möglicherweise zu einfach – ist, ihre Geräte an Ihren Exchange-Server anzuschließen und Unternehmensinformationen herunterzuladen.
In Exchange 2010 und Exchange 2013 können Sie mithilfe der ActiveSync-Quarantänefunktion steuern, welche neuen Geräte eine Verbindung zu Exchange herstellen.

Der ActiveSync-Quarantäne-Workflow

Exchange 2010 ActiveSync-Quarantäne-Workflow

Abbildung 1: Eine Übersicht über den ActiveSync-Quarantäneprozess

Bevor Sie eine Exchange-Funktion implementieren, müssen Sie wissen, wie sich diese auf Endbenutzer auswirkt. Testen Sie dazu diese Funktion in einer Laborumgebung, damit Sie einige echte Erfahrungen sammeln können. Sie haben auch die Möglichkeit, die ActiveSync-Quarantänefunktion mithilfe eines Office 365-Testabonnements zu testen.

Die ActiveSync-Quarantäne hat eingeschränkten Zugriff.

Abbildung 2: Nach dem Aktivieren der Exchange 2010 ActiveSync-Quarantäne erhalten Benutzer eine Nachricht, dass sie keine Verbindung herstellen können.

Lassen Sie uns einen kurzen Blick darauf werfen, wie die ActiveSync-Quarantäne von Exchange 2010 in praktischer Hinsicht funktioniert. Abbildung 1 zeigt den Workflow der ActiveSync-Quarantänefunktion.

Ein Blick auf die ActiveSync-Zugriffseinstellungen

Abbildung 3: Verwenden Sie die Exchange-Systemsteuerung, um eine neue Verbindung für mobile Geräte zuzulassen oder abzulehnen.

Sobald die ActiveSync-Quarantäne aktiviert ist, erhalten Benutzer eine ähnliche Nachricht wie in Abbildung 2, wenn sie versuchen, ein Gerät mit Exchange ActiveSync zu verbinden.
Zu diesem Zeitpunkt wird das Gerät auch in der Exchange-Systemsteuerung angezeigt Geräte unter Quarantäne Sektion. Sie erhalten außerdem eine E-Mail mit dem Hinweis, dass ein neues Gerät versucht hat, eine Verbindung herzustellen. Öffnen Sie die Exchange-Systemsteuerung (ECP) und Sie sehen das Gerät. Im ECP können Sie auswählen, ob das Gerät genehmigt oder abgelehnt werden soll (Abbildung 3).
Wenn Sie das Gerät genehmigen möchten, beginnt der Benutzer mit der Synchronisierung mit Exchange Server. Hinter den Kulissen wird die Geräte-ID immer als autorisiertes Gerät gegen den Benutzer aufgezeichnet.

PowerShell-Code zum Identifizieren von ActiveSync-Geräte-IDs

Abbildung 4: Sie können die ActiveSync-Geräte-ID für ein autorisiertes Gerät einfach anzeigen

Hinweis: Wenn Sie sich das Postfach des Benutzers mit dem ansehen Get-CASMailbox Mit dem Cmdlet können Sie sehen, dass ein Feld zum Speichern eines Arrays oder einer Liste autorisierter Geräte vorhanden ist (Abbildung 4).

Vorhandene ActiveSync-Geräte vorab genehmigen

Viele Administratoren erlauben bereits zahlreichen Exchange 2010-Benutzern, eine Verbindung herzustellen, möchten jedoch möglicherweise ActiveSync-Quarantäne aktivieren. Während dies möglich ist, gibt es eine Einschränkung.
Obwohl die Geräte bereits verbunden sind, werden sie nach dem Aktivieren der ActiveSync-Quarantäne standardmäßig nicht genehmigt. Sie müssen dann denselben Genehmigungsprozess wie neue Geräte durchlaufen. Glücklicherweise gibt es eine Problemumgehung.
Mit etwas PowerShell-Code können Sie Geräte vorab genehmigen, sodass Sie effektiv eine Linie in den Sand ziehen und die Funktion nur für neue Benutzergeräte aktivieren können.
Zunächst müssen Sie Ihre Umgebung nach vorhandenen Geräten durchsuchen. Geben Sie die folgenden Cmdlets in die Exchange-Verwaltungsshell (EMS) ein, um die Liste der ActiveSync-Geräte zu erfassen:
Get-CASMailbox -Filter {hasactivesyncdevicepartnership -eq $ true -und -nicht Anzeigename -wie “CAS _ {*”} -ResultSize Unlimited;
Nehmen Sie als Nächstes die Ergebnisse und fügen Sie den Benutzern die genehmigten Geräte hinzu. Für einen einzelnen Benutzer sieht der Code wie folgt aus:
[email protected]()
Get-ActiveSyncDeviceStatistics -Mailbox “Steve Goodman” |% {$ DeviceIDs + = $ _. DeviceID} Set-CasMailbox “Steve Goodman” -ActiveSyncAllowedDeviceIDs $ DeviceIDs
Mit dem EMS können Sie den Prozess in ein kleines Skript automatisieren, das mehrere Geräte findet und genehmigt. Das folgende Skript sucht nach allen Benutzern mit einem ActiveSync-Gerät und fügt das Gerät dann der Genehmigungsliste dieses einzelnen Benutzers hinzu:
Hinweis: Testen Sie dieses Skript, bevor Sie es in Ihre Produktionsumgebung einfügen.

# Retrieve mailboxes of users who have a connected ActiveSync Device
$CASMailboxes = Get-CASMailbox -Filter {hasactivesyncdevicepartnership -eq $true -and -not displayname -like "CAS_{*"} -ResultSize Unlimited;
# Approve each device 
foreach ($CASMailbox in $CASMailboxes)
{
    # Array to store devices
    $DeviceIDs = @();
    # Retrieve the ActiveSync Device Statistics for the associated user mailbox
    [array]$ActiveSyncDeviceStatistics = Get-ActiveSyncDeviceStatistics -Mailbox $CASMailbox.Identity;
    # Use the information retrieved above to store information one by one about each ActiveSync Device
    foreach ($Device in $ActiveSyncDeviceStatistics)
    {
        $DeviceIDs += $Device.DeviceID
    }
    Set-CasMailbox $CASMailbox -ActiveSyncAllowedDeviceIDs $DeviceIDs
    
    # Display Useful Output that can be piped to Export-CSV or just shown as the script runs
    $Output = New-Object Object
    $Output | Add-Member NoteProperty DisplayName $Mailbox.DisplayName
    $Output | Add-Member NoteProperty AllowedDeviceIDs $DeviceIDs
    $Output
}

Aktivieren der ActiveSync-Quarantänefunktionen

Bearbeiten Sie die ActiveSync-Zugriffseinstellungen.

Abbildung 5: Bearbeiten der ActiveSync-Quarantäneeinstellungen

Nach der Genehmigung der Geräte besteht der letzte Schritt darin, die Quarantänefunktionen zu aktivieren.

Erfolgreiches Hinzufügen eines ActiveSync-Geräts

Abbildung 6: Wählen Sie Ihre ActiveSync-Quarantäneoptionen aus.

Melden Sie sich beim ECP an und navigieren Sie zu Telefon & Sprache -> ActiveSync Access. Klicken Bearbeiten und Sie finden die verfügbaren Quarantäneoptionen (Abbildung 5).
Überprüfen Sie unbedingt die verfügbaren Optionen, einschließlich des Festlegens der Benachrichtigungs-E-Mail-Adresse sowie aller benutzerdefinierten Nachrichten, die Endbenutzer sehen sollen, wenn sie versuchen, ein neues Gerät hinzuzufügen (Abbildung 6).
Klicken speichern Aktivieren der Exchange 2010 ActiveSync-Quarantäne.
Ab diesem Zeitpunkt werden neue ActiveSync-Geräte, die eine Verbindung zu Exchange 2010 herstellen, unter Quarantäne gestellt, bis sie genehmigt werden. Bestehende Exchange ActiveSync-Geräte greifen weiterhin wie gewohnt auf Exchange zu.
Über den Autor
Steve Goodman ist ein Exchange MVP und arbeitet als technischer Architekt für einen der führenden britischen Microsoft Gold-Partner, die Phoenix IT Group. Goodman ist seit 14 Jahren in der IT-Branche tätig und arbeitet seit Version 5.5 intensiv mit Microsoft Exchange zusammen.

Similar Posts

Leave a Reply