Exchange OWA Zugriff

[Jaron 3]

Guten Morgen

 

Ich habe folgende Frage betr. Exchange OWA Zugriff mit Smartphones (bin aber nicht sicher ob das hier richtig ist):

 

Ein Kunde hat 400x Devices (PC's, Notebooks) bei 800x Usern. Nun wurden die Logindaten für den OWA Exchange Zugriff frisch fröhlich an alle Mitarbeiter versendet.

Bei der Lizenzierung stellt sich nun die Frage, ob wir 800x User CAL's (Windows/Exchange) oder 400x Device CAL's benötigen.

 

Wir könnten nun jeden Account einzeln abfragen ob ActivSnyc im Einsatz war - bisschen aufwendig. Gibt es eine Möglichkeit zu messen wieviele der Mitarbeiter

OWA mit Smartphones nutzen?

 

Anmerkung:

Einen grossen Teil der Device CAL's sind schon vorhanden.

 

Vielen Dank für Eure Informationen.

Jaron

[Daniel -MSFT- 129]

User-CALs für Windows und Exchange sind hier meistens sinnvoller. Du bräuchtest ja nicht nur für Smartphones, Tablets und private PCs Device CALs, sondern auch für jeden Rechner, von dem via OWA zugegriffen wird. Viel Spass beim potentiellen Lizenzieren von Teilen des Internets.

 

Daher hilft Dir ein Auslesen der Active Sync Geräte allein (was technisch möglich ist) NICHT für eine compliancefeste Lösung.

 

Wenn Du Software Assurance auf den Device CALs hast, kannst Du die unter Umständen umwandeln in User-CALs. Ansonsten bleibt nur der Neukauf, denn die Nutzung ist ja schon erfolgt.

bearbeitet 24. Juli 2014 von Daniel -MSFT-

[Jaron 3]

Na ja übertreiben wollen wir es ja nicht. Der Kunde soll schon compliant sein - sind aber alles keine SuperUser die sich schnell vom Hotelzimmer in Singapur mit dem Exchange verbinden.

Alles sehr einfach - nur wissen wir halt nicht wie viele der Mitarbeiter diesen Dienst überhaupt nutzen. Und nun 800x User CAL's kaufen und dann feststellen dass die Mitarbeiter überhaupt

kein OWA nutzen ist dann auch nicht optimal.

 

Wie prüft das Microsoft bei einem Audit? Von wo und mit welchem Gerät OWA genutzt wurde?

 

Danke

Jaron

[Dukel 455]

Bei 800 Usern und 400 Devices: Wie greifen die anderen 400 User auf die Mails zu?

[Jaron 3]

die Geräte werden von den Mitarbeitern geteilt. Hauptsächlich wird von diesen 400x Geräten auf Exchange zugegriffen. Nur wurde jetzt (da die Lizenzierung nicht bekannt war) die OWA Login Daten

dummerweise an einige Mitarbeiter versendet. Diese wurden dann teilweise weitergegeben. Ob diese dass wirklich nutzen - who knows.

 

Suche nun eine Möglichkeit wie wir dies herausfinden. Falls alle 800x Mitarbeiter OWA nutzen gibts natürlich 800x User Lizenzen. Könnte mir aber vorstellen dass es nur einzelne Mitarbeiter sind.

 

Danke

[NorbertFe 2.063]

Schalte OWA bei allen ab. Die die sich beschweren würden es nutzen. ;)

[Daniel -MSFT- 129]

Die Mitarbeiter herauszusuchen, hilft Dir aber nicht weiter. Bei Device-Lizenzierung musst Du feststellen, von welchen Geräten zugegriffen wird. Herausfinden kannst Du das zum Beispiel für ActiveSync über Get-ActiveSyncDeviceStatistics: https://www.simple-talk.com/sysadmin/exchange/identifying-exchange-activesync-users-with-powershell/

 

Für OWA-User kannst Du die IIS Logdateien durchforstdn: http://damn.technology/powershell-owa-user-list

 

Nur die Devices kriegst Du darüber nicht sicher raus. Im Webserverlog findest Du nur sowas wie User Agent String und Client-IP. Daraus kann man Korrelationen erstellen, aber nichts genaues weiss man nicht.

 

BTW: Wenn hauptsächlich von diesen 400x Geräten zugegriffen wird, von wievielen Geräten wird nebensächlich zugegriffen? Bei Device-CALs brauchst Du für JEDES Gerät jeweils eigene CALs. Du kannst die nicht poolen für concurrent use.

 

Jedes Gerät, dem der DHCP-Server eine IP-Adresse vergibt. Das den DNS-Server nutzt. Auch für Gäste, die sich kurz ins LAN hängen. Oder Dienstleistungsrechner. Oder Drucker, die auf den Server-Spooler zugreifen. Oder Scanner, die PDFs per Mail einliefern. Oder das Linux-NAS. Alle Geräte brauchen eine CAL und Du kannst CALs nicht unbeschränkt neu zuweisen 90 Tage-Frist). Das zu Verwalten und sauber zu tracken ist ein ziemlicher Aufwand.

 

Device-Lizenzierung lohnt sich nur in Ausnahmefällen und beim Audit musst Du Deine Compliance nachweisen. Nicht Microsoft muss zählen, wieviele CALs Du benutzt, sondern Du musst nachweisen, dass Du technische und organisatorische Vorkehrungen getroffen hast, um das von Dir gewählte Lizenzmodell compliant zu betreiben.

bearbeitet 24. Juli 2014 von Daniel -MSFT-

[Jaron 3]

Abschalten finde ich eigentlich eine gute Idee,)

 

Vielen Dank für die Informationen! Das hat mir genau gefehlt resp. habe nichts gefunden - tolle links danke Daniel.

 

Noch die letzte Frage: Wie macht das nun Microsoft bei einem Audit?

[Daniel -MSFT- 129]

Hab meinen Beitrag gerade ergänzt. Du bist da ziemlich tief in der ... Abschalten allein heilt keine Lizenzverletzung. Der Kunde muss nachweisen können, welche Geräte wann womit lizenziert waren/sind und wie er den Zugriff von unlizenzierten Geräten verhindert. Ist das bei dem Kunden der Fall? Beispiele für oft 'vergessene' Lizenzen habe ich oben aufgeführt. Zwar haftet der GF des Kunden persönlich für Complianceverletzungen aber Regressforderungen gegenüber Dienstleistern und Beratungshäusern sind da auch möglich. Da würde ich mich sehr genau absichern gegenüber dem Kunden, wenn der bei Gerätelizenzierung kein striktestes Management hat.

bearbeitet 24. Juli 2014 von Daniel -MSFT-