Устройства ActiveSync, вызывающие блокировку учетных записей
Когда пользователь меняет пароль своей учетной записи по какой-либо причине (читай: истек), и старый пароль сохраняется на его мобильном устройстве, подключенном через EAS. Это приведет к тому, что его учетная запись будет заблокирована почти сразу - как и должно быть в соответствии с политикой блокировки, определенной в AD. Было легко понять эту часть. Самое сложное - не допустить этого. Я посмотрел везде. Ничего такого. По сути, головоломка состоит из четырех частей: устройство EAS, сервер TMG (ISA), протокол EAS и, наконец, AD. Ни у одного из них нет способа остановить аутентификацию устройства EAS. Поэтому я подумал, что мне придется придумать умный обходной путь. И единственное, что я могу придумать, - это создать группу для всех пользователей EAS и исключить их из политики блокировки, которая, очевидно, наносит ущерб всей цели политики, или обучать пользователей обновлять свои устройства новыми паролями, что невозможно.
Вопрос: можете ли вы придумать какой-либо другой способ предотвратить блокировку учетных записей EAS?
Окружающая среда: в основном устройства iOS через EAS. TMG 2010. Exchange 2007. AD 2008 R2.
8 ответов
Обычно мы говорим пользователям о том, чтобы перевести устройство в режим "полета" или "полета", отключив доступ к сети, когда они будут готовы сменить пароль, как только они изменят пароль на настольном компьютере / ноутбуке, они могут ввести новый пароль в устройство и подключиться обратно к сети.
Конечно, мы также отправляем уведомление об истечении срока действия, чтобы они были хорошо подготовлены к истечению срока действия пароля.
Меня тоже оспаривает этот вопрос. В качестве серьезного варианта я рассматриваю проверку подлинности ActiveSync на основе сертификатов. Вместе с политикой EAS требовать код пароля для разблокировки мобильного устройства это должно считаться двухфакторной аутентификацией (то, что у вас есть: сертификат на вашем мобильном устройстве, то, что вы знаете: код пароля для вашего мобильного устройства). Таким образом, нет никаких проблем, когда срок действия пароля истекает. Надеюсь это поможет. http://blogs.technet.com/b/exchange/archive/2012/11/28/configure-certificate-based-authentication-for-exchange-activesync.aspx
Это зависит от устройства, чтобы сообщить пользователю, что аутентификация не удалась. Я думаю, что лучший ответ - это использовать что-то вроде "Хороший обмен сообщениями для предприятий" на устройствах ios, которые, по моему мнению, обеспечивают корпоративную поддержку EAS.
Похоже, это проблема устройства с iPhone, который слишком часто пытается использовать старый, но неверный пароль. Apple опубликовала технический комментарий по этой проблеме, обещающий лучший опыт работы с устройствами на iOS7: http://support.apple.com/kb/TS4583
Возможно, вы захотите проверить, как ведут себя попытки аутентификации устройства, если не использовать функцию "Всегда в курсе". Если устройство настроено на опрос каждые пять минут вместо использования "Всегда в курсе", и это не приводит к частоте ошибок аутентификации, которые вызывают блокировку учетной записи, это может быть приемлемым обходным путем.
Это хороший вопрос. К сожалению, я не нашел способа предотвратить попытки аутентификации устройства до тех пор, пока пароль не будет обновлен. Единственное, что вы можете сделать, это исключить пользователя из политики паролей или документа о том, как сменить пароль на своем устройстве, и напоминать ему каждый раз, когда истекает срок действия пароля и ему нужна разблокированная учетная запись.
Вы также можете использовать сценарий или программу для отправки по электронной почте пользователям сообщения о том, что срок действия их паролей истекает через x дней, и включать напоминание о том, что им нужно сменить пароль на своем телефоне.
Я ожидал, что эта проблема возникнет у моего нынешнего работодателя, поскольку я внедрил политику паролей в ноябре, но пока что мои мобильные пользователи кажутся достаточно опытными, чтобы менять свои пароли без напоминания.
Блокируйте исходный IP-адрес на брандмауэре перед сервером Exchange.