Пристрої ActiveSync, які призводять до блокування облікових записів

Коли користувач з будь-якої причини змінює пароль свого облікового запису (прочитано: термін дії), а старий пароль зберігається на своєму мобільному пристрої, підключеному через EAS. Це призведе до блокування його акаунта майже негайно - як слід відповідно до політики блокування, визначеної в AD. Зробити цю частину було легко. Важка частина утримує його від цього. Я дивився скрізь. Нічого. В основному головоломки є чотири частини: пристрій EAS, сервер TMG (ISA), протокол EAS і нарешті AD. Жоден з них не має можливості зупинити пристрій EAS від невдалої автентифікації. Тож я зрозумів, що мені доведеться придумати розумний спосіб вирішення. І єдине, що я міг би придумати, це створити групу для всіх користувачів EAS та виключити їх із політики блокування, яка, очевидно, перешкоджає цілі політики,

Питання: Чи можете ви придумати будь-який інший спосіб запобігти EAS закрити рахунки?

Навколишнє середовище: переважно пристрої iOS через систему EAS. TMG 2010. Обмін 2007. AD 2008 R2.

Зазвичай, що ми говоримо користувачам, це перевести пристрій у режим "польоту" або "літака", відключивши доступ до мережі, коли вони готові змінити пароль, як тільки вони змінять пароль на Desktop / Laptop, щоб вони могли ввести новий пароль у пристрою та підключитися назад до мережі.

Звичайно, ми також надсилаємо повідомлення про закінчення терміну дії, щоб вони були добре підготовлені до закінчення терміну дії пароля.

TMG SP2 тепер має функцію блокування облікових записів, щоб запобігти цій проблемі. Дивіться: Тут , тут і тут .

Мене також оскаржило це питання. Як серйозний варіант я розглядаю сертифікацію ActiveSync на основі сертифікатів. Разом з політикою EAS, щоб вимагати код пароля для розблокування мобільного пристрою, це має розглядатися як двофакторна автентифікація (щось у вас є: сертифікат на мобільному пристрої, щось, що ви знаєте: код пароля для вашого мобільного пристрою). Таким чином не виникає проблем, коли термін дії пароля закінчується. Сподіваюсь, це допомагає. http://blogs.technet.com/b/exchange/archive/2012/11/28/configure-certificate-based-authentication-for-exchange-activesync.aspx

Це залежить від пристрою, щоб повідомити користувачеві, що аутентифікація не вдалася. Я вважаю, що кращою відповіддю є використання чогось на зразок Гарного обміну повідомленнями для підприємств на пристроях ios, які, на мою думку, надають підтримку EAS підприємства.

Це гарне запитання. На жаль, я не натрапив на спосіб заборонити пристрою намагатися пройти автентифікацію до моменту оновлення пароля. Єдине, що ви можете зробити - це виключити користувача з політики щодо паролів або документувати, як змінити пароль на своєму пристрої та нагадувати їм кожного разу, коли термін дії їх пароля закінчується, і їм потрібно розблокувати їх рахунок.

Ви також можете використовувати скрипт або програму, щоб надіслати електронною поштою людям, що термін дії їхніх паролів закінчується через x кількість днів, і включити нагадування про необхідність зміни пароля на телефоні.

Я очікував, що це питання виникне у мого нинішнього роботодавця, оскільки я застосував політику щодо паролів у листопаді, але поки що мої мобільні користувачі здаються достатньо кмітливими, щоб змінити свої паролі без нагадування.

Ви можете перевірити, як поводяться спроби аутентифікації пристроїв (пристроїв), коли не використовується функція "Завжди в курсі". Якщо пристрій налаштовано на опитування кожні п’ять хвилин замість того, щоб використовувати Завжди оновлені дати, і це не спричиняє частоти збоїв аутентифікації, що викликає блокування облікового запису, це може бути життєздатним рішенням.

Здається, це проблема пристрою, коли iPhone надто часто намагається використовувати старий, тим часом неправильний пароль. Apple опублікувала технічну записку щодо цієї проблеми, що обіцяє кращий досвід роботи з пристроями на iOS7: http://support.apple.com/kb/TS4583

Блокуйте початкову IP-адресу на брандмауері перед сервером Exchange