Perangkat ActiveSync menyebabkan akun terkunci

12

Ketika seorang pengguna mengubah kata sandi akunnya untuk alasan apa pun (baca: kedaluwarsa), dan kata sandi lama disimpan di perangkat selulernya yang terhubung melalui EAS. Ini akan menyebabkan akunnya terkunci segera - sebagaimana mestinya sesuai dengan kebijakan penguncian yang ditentukan dalam AD. Mudah untuk mengetahui bagian itu. Bagian yang sulit adalah mencegahnya terjadi. Saya mencari kemana-mana. Tidak ada. Pada dasarnya ada empat bagian teka-teki: perangkat EAS, server TMG (ISA), protokol EAS dan akhirnya AD. Tak satu pun dari mereka memiliki cara untuk menghentikan perangkat EAS dari gagal untuk mengotentikasi. Jadi saya pikir saya harus datang dengan solusi cerdas. Dan satu-satunya hal yang bisa saya pikirkan adalah membuat grup untuk semua pengguna EAS dan mengeluarkan mereka dari kebijakan penguncian, yang jelas-jelas mengalahkan seluruh tujuan kebijakan,

Pertanyaannya: Dapatkah Anda memikirkan cara lain untuk mencegah EAS mengunci akun?

Lingkungan: Sebagian besar perangkat iOS semuanya melalui EAS. TMG 2010. Exchange 2007. AD 2008 R2.

active-directory exchange group-policy activesync microsoft-ftmg-2010 Abdullah
sumber
pertanyaan bagus, serius.
SpacemanSpiff
2
Kebijakan penguncian harus antara 10 dan 50 menurut Manajer Kepatuhan Keamanan Microsoft. Apa yang Anda tentukan?
TristanK
Pertanyaan bagus, saya ingin tahu apakah akan ada solusi yang layak.
TheCleaner
Anda bisa pandai-uber dan mengimplementasikan proksi maju yang membentuk upaya otentikasi. AFAIK EAS berbasis HTTPS. closedsrc.org/2010/11/...
Grizly

Jawaban:

3

Biasanya yang kami beri tahu pengguna adalah menempatkan perangkat dalam mode "penerbangan" atau "pesawat", memutus akses jaringan ketika mereka siap untuk mengubah kata sandi, begitu mereka mengubah kata sandi di Desktop / Laptop, maka mereka dapat memasukkan kata sandi baru di perangkat dan terhubung kembali ke jaringan.

Tentu saja kami juga mengirimkan pemberitahuan kadaluwarsa sehingga mereka dipersiapkan dengan baik untuk kadaluwarsa kata sandi.

KAP
sumber
Itu ide yang bagus tetapi dari pengalaman saya, tergantung pada pengguna untuk memecahkan masalah akan membuat lebih banyak masalah. Kami sudah memiliki prosedur tentang cara mengubah kata sandi tanpa terkunci tetapi tidak ada yang mengikutinya.
Abdullah
Saya lupa menambahkan, pengguna akan memiliki waktu untuk memperbarui kata sandi mereka tanpa terkunci karena otentikasi terjadi setiap 15 menit.
Abdullah
ini adalah masalah "orang-orang" dan mencoba menyelesaikan menggunakan teknologi akan mengurangi keamanan lingkungan karena tidak ada cara untuk mencapai skenario ideal. Jika ini adalah BlackBerry, ini tidak akan menjadi masalah :)
KAPes
1

TMG SP2 sekarang memiliki Fitur Penguncian Akun untuk mencegah masalah ini. Lihat: Di sini , di sini dan di sini .

Pierro222
sumber
Sementara ini secara teoritis dapat menjawab pertanyaan, akan lebih baik untuk memasukkan bagian-bagian penting dari jawaban di sini, dan menyediakan tautan untuk referensi.
Scott Pack
Sementara fitur Penguncian Akun TMG mungkin berguna untuk banyak kasus penggunaan, itu hanya mencakup otentikasi berbasis formulir. ActiveSync tampaknya tidak menggunakan auth berbasis-form, jadi sepertinya tidak akan berhasil dalam skenario poster asli.
the-wabbit
1

Saya juga ditantang oleh pertanyaan ini. Sebagai opsi serius saya sedang mempertimbangkan otentikasi ActiveSync berbasis sertifikat. Bersama dengan kebijakan EAS untuk meminta kode kata sandi untuk membuka kunci perangkat seluler, ini harus dihitung sebagai otentikasi dua faktor (sesuatu yang Anda miliki: sertifikat pada perangkat seluler Anda, sesuatu yang Anda tahu: kode kata sandi untuk perangkat seluler Anda). Dengan cara ini tidak ada masalah saat kata sandi berakhir. Semoga ini membantu. http://blogs.technet.com/b/exchange/archive/2012/11/28/configure-certificate-based-authentication-for-exchange-activesync.aspx

Reinto
sumber
0

Terserah perangkat untuk memberi tahu pengguna bahwa otentikasi gagal. Saya pikir jawaban yang lebih baik adalah dengan menggunakan sesuatu seperti pesan yang baik untuk perusahaan pada perangkat ios yang saya percaya memberikan dukungan EAS perusahaan.

Jim B
sumber
iOS memang menampilkan pesan sembulan untuk memperbarui kata sandi tetapi pada saat itu akun sudah dikunci. Perpesanan yang bagus sepertinya berlebihan, saya pikir.
Abdullah
0

Ini pertanyaan yang bagus. Sayangnya, saya belum menemukan cara untuk mencegah perangkat mencoba mengotentikasi hingga kata sandi telah diperbarui. Satu-satunya hal yang dapat Anda lakukan adalah mengecualikan pengguna dari kebijakan kata sandi atau mendokumentasikan cara mengubah kata sandi pada perangkat mereka dan mengingatkan mereka setiap kali kata sandi mereka kedaluwarsa dan mereka perlu membuka kunci akun mereka.

Anda juga dapat menggunakan skrip atau program untuk mengirim email kepada orang-orang bahwa kata sandi mereka akan kedaluwarsa dalam beberapa hari x dan menyertakan pengingat bahwa mereka perlu mengubah kata sandi di telepon mereka.

Saya berharap memiliki masalah ini di perusahaan saya saat ini sejak saya menerapkan kebijakan kata sandi pada bulan November, tetapi sejauh ini, pengguna ponsel saya tampaknya cukup pintar untuk mengubah kata sandi mereka tanpa diingatkan.

smassey
sumber
Mengecualikan para pengguna sepertinya satu-satunya solusi tetapi bukan yang sangat bagus. Pengguna kami sudah mendapatkan pemberitahuan sebelum kata sandi mereka kedaluwarsa dengan langkah-langkah lengkap tentang cara memperbarui kata sandi dengan benar untuk menghindari kunci tetapi tidak ada yang membaca. Saya sarankan Anda menguji kebijakan Anda, mungkin itu bahkan tidak berfungsi kecuali Anda bekerja untuk NASA dan bahkan kemudian saya ragu.
Abdullah
0

Anda mungkin ingin menguji bagaimana perilaku otentikasi perangkat berusaha ketika tidak menggunakan fungsionalitas "Selalu Diperbarui". Jika suatu perangkat dikonfigurasikan untuk melakukan polling setiap lima menit alih-alih menggunakan Always Up To Date, dan itu tidak menyebabkan tingkat kegagalan otentikasi yang memicu penguncian akun, ini mungkin merupakan solusi yang dapat dilakukan.

Greg Askew
sumber
Saya mencobanya, server TMG dikonfigurasi untuk meminta otentikasi setiap 15 menit. Pengguna akan memiliki waktu untuk memperbarui kata sandi mereka sebelum otentikasi berikutnya terjadi tetapi kami tidak dapat bergantung pada pengguna. Saya juga mencoba mencari tahu berapa kali iOS mencoba untuk mengotentikasi sebelum menyerah tetapi tidak bisa, baik dengan menguji atau melihat ke dokumentasi Apple yang tidak berguna.
Abdullah
Sepertinya akan cukup mudah untuk menentukan jumlah upaya otentikasi dengan memeriksa log IIS.
Greg Askew
Yap, setelah memposting komentar saya kemarin saya menyadari saya bisa memeriksa log untuk info, jadi saya melakukan hal itu. Saya tidak menemukan apa yang saya cari tetapi saya akan terus mencari.
Abdullah
0

Ini tampaknya menjadi masalah perangkat dengan iPhone yang mencoba terlalu sering menggunakan kata sandi lama, sementara itu salah. Apple memposting teknik tentang masalah ini menjanjikan pengalaman yang lebih baik dengan perangkat di iOS7: http://support.apple.com/kb/TS4583

cbrandlehner
sumber
-1

Blokir alamat IP asal pada firewall di depan server Exchange

Kevin
sumber
1
Kami berbicara tentang pengguna yang sah yang sedang dalam proses mengubah pasangan kata sandi saat ini, tidak memblokir pengguna jahat.
Grizly