Thiết bị ActiveSync khiến tài khoản bị khóa

Khi người dùng thay đổi mật khẩu tài khoản của mình vì bất kỳ lý do gì (đọc: hết hạn) và mật khẩu cũ được lưu trữ trong thiết bị di động của anh ấy được kết nối qua EAS. Điều này sẽ khiến tài khoản của anh ta bị khóa gần như ngay lập tức - vì nó phải tuân theo chính sách khóa được xác định trong AD. Thật dễ dàng để tìm ra phần đó. Phần khó là giữ cho nó không xảy ra. Tôi đã nhìn mọi nơi. Không có gì. Về cơ bản có bốn phần của câu đố: thiết bị EAS, máy chủ TMG (ISA), giao thức EAS và cuối cùng là AD. Không ai trong số họ có cách ngăn thiết bị EAS không xác thực. Vì vậy, tôi nghĩ rằng tôi sẽ phải đưa ra một cách giải quyết thông minh. Và điều duy nhất tôi có thể đưa ra là tạo một nhóm cho tất cả người dùng EAS và loại trừ họ khỏi chính sách khóa, điều này rõ ràng đánh bại toàn bộ mục đích của chính sách,

Câu hỏi: Bạn có thể nghĩ ra cách nào khác để ngăn EAS khóa tài khoản không?

Môi trường: Chủ yếu là các thiết bị iOS thông qua EAS. TMG 2010. Trao đổi năm 2007 AD 2008 R2.

Thông thường những gì chúng tôi nói với người dùng là đặt thiết bị ở chế độ "máy bay" hoặc "máy bay", cắt quyền truy cập mạng khi họ sẵn sàng thay đổi mật khẩu, sau khi họ thay đổi mật khẩu trên Máy tính để bàn / Máy tính xách tay, sau đó họ có thể nhập mật khẩu mới vào thiết bị và kết nối trở lại mạng.

Tất nhiên chúng tôi cũng gửi thông báo hết hạn để họ chuẩn bị tốt cho việc hết hạn mật khẩu.

Hiện tại, SP2 SP2 đã có Tính năng khóa tài khoản để ngăn chặn sự cố này. Xem: Đây , đây và đây .

Tôi cũng đã bị thách thức bởi câu hỏi này. Là một tùy chọn nghiêm túc, tôi đang xem xét chứng thực dựa trên xác thực ActiveSync. Cùng với chính sách EAS yêu cầu mã mật khẩu để mở khóa thiết bị di động, điều này sẽ được tính là xác thực hai yếu tố (thứ bạn có: chứng chỉ trên thiết bị di động, thứ bạn biết: mã mật khẩu cho thiết bị di động của bạn). Cách này không có vấn đề gì khi mật khẩu hết hạn. Hi vọng điêu nay co ich. http://bloss.technet.com/b/exchange/archive/2012/11/11/cool-certert-basing-authentication-for-exchange-activesync.aspx

Tùy thuộc vào thiết bị để thông báo cho người dùng rằng xác thực thất bại. Tôi nghĩ rằng một câu trả lời tốt hơn là sử dụng một cái gì đó như nhắn tin tốt cho doanh nghiệp trên các thiết bị ios mà tôi tin rằng nó cung cấp hỗ trợ EAS cho doanh nghiệp.

Đây là một câu hỏi hay. Thật không may, tôi đã không tìm ra cách ngăn thiết bị cố gắng xác thực cho đến khi mật khẩu được cập nhật. Điều duy nhất bạn có thể làm là loại trừ người dùng khỏi chính sách mật khẩu hoặc tài liệu về cách thay đổi mật khẩu trên thiết bị của họ và nhắc nhở họ mỗi khi mật khẩu hết hạn và họ cần mở khóa tài khoản.

Bạn cũng có thể sử dụng tập lệnh hoặc chương trình để gửi email cho mọi người rằng mật khẩu của họ sẽ hết hạn sau x số ngày và bao gồm một lời nhắc rằng họ cần thay đổi mật khẩu trên điện thoại của họ.

Tôi đã mong đợi có vấn đề này tại nhà tuyển dụng hiện tại của mình kể từ khi tôi thực hiện chính sách mật khẩu vào tháng 11, nhưng cho đến nay, người dùng di động của tôi có vẻ đủ hiểu biết để thay đổi mật khẩu mà không bị nhắc nhở.

Bạn có thể muốn kiểm tra cách các xác thực của thiết bị hoạt động khi không sử dụng chức năng "Luôn cập nhật". Nếu một thiết bị được định cấu hình để thăm dò cứ năm phút một lần thay vì sử dụng Luôn cập nhật và điều đó không phát sinh tỷ lệ lỗi xác thực gây ra khóa tài khoản, đây có thể là một cách giải quyết khả thi.

Đây dường như là một vấn đề thiết bị với iPhone cố gắng quá thường xuyên sử dụng mật khẩu cũ, trong khi đó, không chính xác. Apple đã đăng một Technote về vấn đề này hứa hẹn mang lại trải nghiệm tốt hơn với các thiết bị trên iOS7: http://support.apple.com/kb/TS4583

Chặn địa chỉ IP ban đầu trên tường lửa trước máy chủ Exchange