Implementieren von Best Practices für Exchange ActiveSync-Postfachrichtlinien

außerordentlich kritisch gewachsen. ActiveSync-Postfachrichtlinien sind der Hauptmechanismus für die Verwaltung der Sicherheit mobiler Geräte in Exchange Server. Unterschiedliche Richtlinieneinstellungen und die Bestimmung, welche Richtlinien wann verwendet werden sollen, können sich jedoch als problematisch erweisen. Es gibt keinen “richtigen” oder “falschen” Weg, wenn es um Exchange ActiveSync-Postfachrichtlinien geht, aber es gibt bestimmte bewährte Methoden, die Sie befolgen sollten.

Exchange ActiveSync-Postfachrichtlinien: Eine Größe passt nicht für alle

Unterschiedliche Benutzer haben unterschiedliche Anforderungen. Daher ist es weder sinnvoll, eine ActiveSync-Postfachrichtlinie “Einheitsgröße” zu verwenden, noch sollten Sie die Standardrichtlinie verwenden. Seien Sie stattdessen umsichtig und erstellen Sie eine Reihe spezialisierter Richtlinien und weisen Sie diese nach Bedarf zu.
Nachdem Sie sich entschieden haben, mit speziellen Exchange ActiveSync-Postfachrichtlinien fortzufahren, müssen Sie zunächst die verschiedenen Richtlinien erstellen, die Sie benötigen (dazu später mehr). Der nächste Schritt besteht darin, die ActiveSync-Verwendung für alle Postfächer zu deaktivieren. Dadurch wird sichergestellt, dass keines der Postfächer weiterhin die Standardrichtlinie für ActiveSync verwendet und dass ActiveSync für neu erstellte Benutzerkonten standardmäßig deaktiviert ist. Der einfachste Weg, ActiveSync zu deaktivieren, besteht darin, die Exchange-Verwaltungsshell (EMS) zu öffnen und den folgenden Befehl einzugeben:
Get-Mailbox | Set-CASMailbox –ActiveSyncEnabled $ False
Der nächste Schritt besteht darin, eine benutzerdefinierte ActiveSync-Richtlinie auf eine Teilmenge Ihrer Exchange Server-Postfächer anzuwenden. Es gibt verschiedene Kriterien, die Sie hier berücksichtigen können. Ein gängiger Ansatz besteht jedoch darin, die Zuweisung der ActiveSync-Postfachrichtlinie auf die Mitgliedschaft in einer Active Directory-Gruppe zu stützen.
Angenommen, Sie möchten ActiveSync aktivieren und eine ActiveSync-Postfachrichtlinie mit dem Namen “FullUse” auf alle Mitglieder einer Active Directory-Gruppe mit dem Namen “Executives” anwenden. Kurz gesagt, Sie möchten den Führungskräften in Ihrer Organisation die uneingeschränkte Verwendung von ActiveSync ermöglichen, und zwar über das folgende PowerShell-Skript:
$ GroupMembers = Get-DistributionGroupMember -Identity ‘Executives’
ForEach ($ member in $ GroupMembers)
{
$ member | Set-CASMailbox -ActiveSyncEnabled $ true
$ member | Set-CASMailbox -ActiveSyncMailboxPolicy “FullUse”
}}

Exchange ActiveSync-Postfachrichtlinienkriterien

Wenn Sie mit PowerShell vertraut sind, können Sie relativ einfach eine ActiveSync-Postfachrichtlinie erstellen und sie Mitgliedern verschiedener Active Directory-Gruppen zuweisen. Die größte Herausforderung besteht darin, zu entscheiden, welche Richtlinien Sie erstellen und wem Sie diese Richtlinien zuweisen möchten.
Die gute Nachricht ist, dass es wirklich keinen richtigen oder falschen Weg gibt, um ActiveSync-Postfachrichtlinien zu erstellen. Jede Organisation hat ihre eigenen Anforderungen und es ist am besten, den Prozess der Richtlinienerstellung und -zuweisung so anzupassen, dass er den Anforderungen Ihrer Organisation am besten entspricht. Das heißt, hier sind einige Techniken, die ich empfehle.
Unterschiedliche Marken und Gerätemodelle unterstützen unterschiedliche Richtlinieneinstellungen. Daher entscheiden sich einige Organisationen dafür, Richtlinien basierend auf den Funktionen des Geräts zu erstellen. Sie können beispielsweise eine Richtlinie für Windows Phone 8-Geräte und eine separate Richtlinie für iOS-Geräte erstellen. Dies ist wichtig zu verstehen, da iOS nicht alle verfügbaren Richtlinieneinstellungen unterstützt.
Einige Organisationen stützen ihre Richtlinien auch auf die Unterscheidung zwischen unternehmenseigenen Geräten und persönlichen Geräten der Benutzer. Sie können eine Richtlinie für unternehmenseigene Geräte erstellen, die Kameras und Bluetooth-Konnektivität deaktiviert, und dann eine andere Richtlinie für die persönlichen Geräte der Benutzer festlegen, die wesentlich zulässiger ist.
Viele Unternehmen verwenden außerdem ActiveSync-Richtlinieneinstellungen, um die Hardware mobiler Geräte zu deaktivieren, die für den Job eines Benutzers nicht explizit erforderlich ist.
Beispielsweise verfügen Mitarbeiter in der Forschungs- und Entwicklungsabteilung wahrscheinlich über viel vertraulichere Informationen auf ihren Mobilgeräten als die meisten anderen. Daher ist es ratsam, eine Richtlinie zu erstellen, die wesentlich komplexere Kennwörter für die Geräte dieser Mitarbeiter erfordert.
Über den Autor
Brien Posey ist ein zehnmaliger Microsoft MVP mit zwei Jahrzehnten IT-Erfahrung. Bevor er freiberuflicher technischer Redakteur wurde, arbeitete Brien als Chief Information Officer in einer nationalen Kette von Krankenhäusern und Gesundheitseinrichtungen. Er war auch als Netzwerkadministrator für einige der größten Versicherungsunternehmen des Landes und für das Verteidigungsministerium in Fort Knox tätig.

Similar Posts

Leave a Reply