Eine Einführung in die Microsoft Exchange ActiveSync-Quarantäne-Funktion

Seit Microsoft Exchange 2010 lässt sich mit der ActiveSync Quarantäne kontrollieren, welche Smartphones und Tablets sich mit Exchange verbinden.

Da die Zahl mobiler Mitarbeiter stetig wächst, ist es wichtig zu kontrollieren, welche Geräte sich mit dem Exchange Server via ActiveSync verbinden. Seit Microsoft Exchange 2010 unterstützt sie die ActiveSync-Quarantäne-Funktion dabei und hilft, neue Geräte aufzuspüren. Wenn die Funktion allerdings einmal implementiert ist, kann sie Probleme bei früher zugelassenen Verbindungen verursachen. Lesen Sie in diesem Beitrag die wichtigsten Tipps zu dieser viel zu wenig genutzten – doch äußerst hilfreichen – Funktion.

ActiveSync einsetzen

Es ist ziemlich einfach, ein Gerät so zu konfigurieren, dass es über ActiveSync mit dem Exchange Server kommuniziert. Wenn Exchange AutoDiscover ordnungsgemäß funktioniert, braucht der Benutzer hierfür lediglich seine E-Mail-Adresse und Anmeldeinformationen. 

Mehr zum Thema Microsoft Exchange:

E-Handbook: Microsoft Exchange Server 2013.

Häufige Probleme des Microsoft Exchange Hub-Transport-Servers beheben.

Microsoft Exchange: Probleme mit der Frei/Gebucht-Funktion beheben.

Erste Schritte in Exchange Server Datenbankverfügbarkeitsgruppen.

So bauen Sie sich ein virtuelles Exchange-Testlabor auf.

Auch wenn Sie Exchange AutoDiscover nicht verwenden, können versierte Anwender die erforderlichen Details auf Grundlage ihrer Outlook Web App (OWA) oder Outlook-Anywhery-Konfiguration leicht herausfinden und sich mit Exchange verbinden.

In diesem Beitrag geht es darum, dass Unternehmensmitarbeiter Smartphones und Tablets in der Regel privat kaufen und damit auf Firmeninformationen zugreifen. Viele finden es einfach – vielleicht zu einfach – ihre Geräte mit Ihrem Exchange-Server zu verbinden und Unternehmensinformationen herunterzuladen. Es ist daher nur verständlich, wenn man dies unter Kontrolle haben möchte.

In Exchange 2010 und Exchange 2013 können Sie die ActiveSync-Quarantäne-Funktion nutzen, um zu kontrollieren, welche neuen Geräte sich mit Exchange verbinden. Diese Funktion gibt es schon länger. Trotzdem scheinen die meisten Administratoren diesen Weg der Client-Identifizierung noch gar nicht zu kennen oder scheuen die Umsetzung.

Der ActiveSync Quarantäne Workflow

Vor der Implementierung der ActiveSync Quarantäne ist es wichtig zu verstehen, welche Auswirkungen diese hat. Dies gilt allerdings für jede andere Exchange-Funktion auch. Um das zu überprüfen, checken Sie diese Funktion am besten in einer Testumgebung, so dass Sie damit Erfahrungen sammeln können. Sie haben außerdem die Möglichkeit, die ActiveSync Quarantäne mit einem Office-365-Testabonnement auszuprobieren. Werfen wir einen kurzen Blick darauf, wie die Exchange ActiveSync Quarantäne in der Praxis funktioniert.

Abbildung 1: Nach der Aktivierung der Exchange ActiveSync Quarantäne erhalten Nutzer die Meldung, dass sie keine Verbindung herstellen können.

Sobald die ActiveSync Quarantäne aktiviert ist und Nutzer versuchen, ein Gerät mit Exchange ActiveSync zu verbinden, erhalten sie eine Nachricht ähnlich der in Abbildung 1 gezeigten.

An diesem Punkt wird das Gerät auch in Ihrer Exchange-Systemsteuerung im Abschnitt Geräte unter Quarantäne angezeigt. Zudem erhalten Sie eine E-Mail mit der Nachricht, dass ein neues Gerät versucht hat, sich zu verbinden. Wenn Sie die Exchange-Systemsteuerung (Exchange Control Panel, ECP) öffnen, wird Ihnen das Gerät angezeigt. Von der Systemsteuerung aus können Sie das Gerät zulassen oder ablehnen (Abbildung 2).

Abbildung 2: Über die Exchange-Systemsteuerung können Sie neue Mobilgeräteverbindungen ablehnen oder zulassen.

Wenn Sie sich entschließen, das Gerät zuzulassen, beginnt die Synchronisierung mit dem Exchange Server. Hinter den Kulissen wird die Geräte-ID immer als autorisiertes Gerät erfasst.

Abbildung 3: Sie können sich die ActiveSync Geräte-ID für ein autorisiertes Gerät ganz einfach anzeigen lassen.

Hinweis: Wenn Sie mithilfe des Cmdlets Get-CASMailbox in die Mailbox des Benutzers schauen, können Sie erkennen, dass es einen Bereich gibt, um ein Array – oder eine Liste – von autorisierten Geräten zu speichern (Abbildung 3).

Genehmigung vorhandener ActiveSync-Geräte

Viele Administratoren haben bereits zahlreichen Exchange-Benutzern erlaubt, eine Verbindung herzustellen, möchten aber nachträglich die ActiveSync Quarantäne aktivieren. Zwar ist dies grundsätzlich möglich, doch besteht dabei auch eine Einschränkung.

Auch wenn Geräte bereits vor der Aktivierung von ActiveSync Quarantäne mit Exchange verbunden sind, werden sie standardmäßig nicht überprüft, nachdem Sie die ActiveSync Quarantäne aktiviert haben. Sie müssen dann durch das gleiche Freigabeverfahren gehen wie bei neuen Geräten. Glücklicherweise gibt es hierfür eine Lösung.

Mit ein paar Zeilen PowerShell-Code können Sie Geräte vorab freigeben, so dass Sie damit einen Schutzmechanismus erstellen und die Funktion nur für neue User-Endgeräte aktivieren.

Dazu müssen Sie zunächst Ihre Umgebung nach bereits vorhandenen Geräten absuchen. Um die Liste der ActiveSync-Geräte zu sammeln, geben Sie die folgenden Cmdlets in die Exchange-Verwaltungsshell ein:

Get-CASMailbox -Filter {hasactivesyncdevicepartnership -eq $true -and -not displayname -like "CAS_{*"} -ResultSize Unlimited;

Anschließend nehmen Sie die Ergebnisse und fügen die zugelassenen Geräte den Benutzern hinzu. Für einen einzelnen Benutzer sieht der Code wie folgt aus:

$DeviceIDs=@()
Get-ActiveSyncDeviceStatistics -Mailbox "Benutzername"|%{ $DeviceIDs+=$_.DeviceID } Set-CasMailbox "Benutzername" -ActiveSyncAllowedDeviceIDs $DeviceIDs

Wenn Sie EMS verwenden, können Sie den Prozess mit einem kleinen Skript automatisieren, das mehrere Geräte findet und frei gibt. Das folgende Skript sucht nach allen Benutzern mit einem ActiveSync-Gerät, und fügt dann das Gerät der Freigabeliste dieses Benutzers hinzu:

Hinweis: Testen Sie dieses Skript, bevor Sie es in der Produktivumgebung einsetzen.

# Retrieve mailboxes of users who have a connected ActiveSync Device $CASMailboxes = Get-CASMailbox -Filter {hasactivesyncdevicepartnership -eq $true -and -not displayname -like "CAS_{*"} -ResultSize Unlimited;

# Approve each device 

foreach ($CASMailbox in $CASMailboxes) {          

                  # Array to store devices                 

                  $DeviceIDs = @();             

                  # Retrieve the ActiveSync Device Statistics for the associated user mailbox

                  [array]$ActiveSyncDeviceStatistics = Get-ActiveSyncDeviceStatistics -Mailbox $CASMailbox.Identity;                  

                  # Use the information retrieved above to store information one by one about each ActiveSync Device                 

                  foreach ($Device in $ActiveSyncDeviceStatistics)             {                                  

                                    $DeviceIDs += $Device.DeviceID              

                  }                

                  Set-CasMailbox $CASMailbox -ActiveSyncAllowedDeviceIDs $DeviceIDs

        

                  # Display Useful Output that can be piped to Export-CSV or just shown as the script runs    

$Output = New-Object Object   

$Output | Add-Member NoteProperty DisplayName $Mailbox.DisplayName   

$Output | Add-Member NoteProperty AllowedDeviceIDs $DeviceIDs   

$Output

}

ActiveSync-Quarantäne-Funktionen aktivieren

Nach der Freigabe der Geräte besteht der letzte Schritt darin, die Quarantäne-Funktionen zu aktivieren.

Abbildung 4: Bearbeiten von ActiveSync-Quarantäne-Einstellungen

Loggen Sie sich in die Exchange-Verwaltungsshell ein und gehen Sie zum Bereich Mobile Geräte und ActiveSync Access. Bei einem Klick auf Bearbeiten werden Ihnen die verfügbaren Quarantäne-Optionen angezeigt (Abbildung 4).

Prüfen Sie die verfügbaren Optionen. Die Einstellungen umfassen die E-Mail-Adresse für die Benachrichtigung sowie alle Nachrichten, von denen Sie möchten, dass sie die Endbenutzer sehen, wenn sie versuchen, ein neues Gerät hinzuzufügen (Abbildung 5).

Abbildung 5: Wählen Sie Ihre ActiveSync-Quarantäne-Optionen.

Klicken Sie auf Speichern, um die Exchange ActiveSync Quarantäne zu aktivieren.

Ab diesem Zeitpunkt werden neue ActiveSync Geräte, die eine Verbindung zu Exchange 2010 oder 2013 aufnehmen, in Quarantäne gestellt, bis sie freigegeben werden. Bereits vorhandene Exchange ActiveSync Geräte können wie gewohnt weiterhin auf Microsoft Exchange zugreifen.

Folgen Sie SearchEnterpriseSoftware.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Collaboration-Software