ActiveSync nur für bestimmte Geräte

[Quackelticki 10]

Hallo!

Mal ne schnelle Frage: Ist es möglich Exchange 2010 ActiveSync nur für bestimmte Geräte zuzulassen? Wenn ja, wie?

 

Gruß,

Quackelticki

[Stefan W 14]

Hi,

das kannst du normalerweise pro benutzer machen.

 

Set-CASMailbox -Identity xxxxx -ActiveSyncAllowedDeviceIDs DeviceID

(beispiel deviceID kannst du mittels Get-ActiveSyncDeviceStatistics -Mailbox xxx | fl deviceID herausfinden)

 

für bestimmte benutzer kannst du es mittels Richtlinie definieren.

lg

[NorbertFe 2.045]

http://blogs.technet.com/b/exchange/archive/2010/11/15/3411539.aspx wäre die schöne Variante. ;)

[Quackelticki 10]

@ NorbertFE: Vielen dank für den Link, das ist wirklich eine schöne Variante. Aber wenn ich das richtig verstanden habe, kann ich maximal das Model/Typ eines Gerätes blockieren oder erlauben. Ich brauche es noch etwas spezifischer. Wie etwa die GeräteID. Bei dieser Variante stelle ich mir das so vor: Wenn jemand an die Zugangsdaten eines Benutzers kommen würde, bräuchte er doch nur ein baugleiches Gerät und könnte sich dann mit EAS verbinden. Oder sehe ich das falsch?

 

@Stefan W: Das sieht doch schonmal recht vielversprechend aus. Sollte ich hier für alle anderen Benutzer ActiveSync deaktivieren. Ich möchte ja, das sich nur bestimmte Benuter mit ihren definierten Geräten verbinden können. Und sonst niemand. Zur Zeit ist EAS ja standardmäßig für alle Benutzer aktiv. Gibt es hier einen Befehl mit dem ich EAS für alle benutzer deaktivieren kann? Und mit welchen Befehl kann ich ein Gerät wieder von der Liste der erlaubten Geräte entfernen?

 

Vielen Dank schonmal...

[Dukel 454]

Benutzt ihr OWA? Dann ist doch schon ein Problem da, wenn der der Username und Passwort korrumpiert sind. Da hilft dann bestimmte Geräte ID's nur zulassen auch nicht.

Geht es dir nur um Sicherheit? Eine alternative dazu sind Z.b. Clientzertifikate (wobei das nur ein Punkt ist, für das Thema braucht man insgesamt ein stimmiges Konzept).

[NorbertFe 2.045]

@ NorbertFE: Vielen dank für den Link, das ist wirklich eine schöne Variante. Aber wenn ich das richtig verstanden habe, kann ich maximal das Model/Typ eines Gerätes blockieren oder erlauben. Ich brauche es noch etwas spezifischer. Wie etwa die GeräteID. Bei dieser Variante stelle ich mir das so vor: Wenn jemand an die Zugangsdaten eines Benutzers kommen würde, bräuchte er doch nur ein baugleiches Gerät und könnte sich dann mit EAS verbinden. Oder sehe ich das falsch?

Du siehst das falsch. Ich hab das bei Kunden im Einsatz und jedes Gerät, welches nicht genehmigt wurde kann keine Verbindung herstellen. Auch wenn alle ein iPhone haben sollten, mußt du natürlich jedes einzeln erlauben.

 

Bye

Norbert

[Quackelticki 10]

@Dukel: Nein, OWA wird nicht benutzt. Bis jetzt ist der Port 443 auf den CAS sowieso zu. Es soll in Zukunft umgestellt werden auf EAS. OWA wird dann wohl aber deaktiviert werden. Und was die Clientzertifikate angeht. Habe ich das ausgiebig versucht. Ich schaffe es aber irgendwie nicht mich mit dem Benutzerzertifikat auf dem iPad zu authetifizieren http://www.mcseboard.de/topic/191654-iphone-activesync-und-zertifikate/

 

@NorbertFe: Nagut, dann werd ich mir das doch nochmal ein wenig genauer anschauen :)

@NorbertFe: Okay, ich muss doch nochmal Fragen... Ich würde bei der ABQ Methode erstmal alle Benutzer in die Quarantäne schicken. Dann würde ich alle Mobilgeräte (sind ja nicht viele, höchstens 10 Stck.) für EAS konfigurieren und sich anmelden lassen (bei meinem Testgerät hat sich erst was getan, nachdem ich dort eine Email hingeschickt habe) und diese Benutzer aus der Quarantäne dann einfach zulassen. Und schon sind sie an ihr Gerät gebunden. Richtig?