Gerätezugriffsregeln festlegen

Exchange 2013 - Richtlinien für Smartphones richtig einsetzen

Thomas Joos ist freiberuflicher IT-Consultant und seit 20 Jahren in der IT tätig. Er schreibt praxisnahe Fachbücher und veröffentlicht in zahlreichen IT-Publikationen wie TecChannel.de und PC Welt. Das Blog von Thomas Joos finden Sie unter thomasjoos.wordpress.com.
Mit Gerätezugriffsregeln bestimmen Sie, welche Smartphones Zugriff auf Exchange erhalten - und welche nicht. Ebenso kann man festlegen, wie sich Exchange bei neuen, unbekannten Geräten verhält. Mit der richtigen Richtlinienkonfiguration lässt sich die Anbindung von mobilen Endgeräten sicherer gestalten.

Der mobile Zugriff auf ein Postfach ist in Exchange Server 2013 standardmäßig für alle Benutzer aktiviert. Hat ein Anwender mit seinem Endgerät Verbindung zum Netzwerk oder Internet, und steht der Client-Access-Server zur Verfügung, kann er seine E-Mails entsprechend synchronisieren.

Wie gehabt: Anpassungen von Exchange ActiveSync für Postfächer nehmen Sie auch in Exchange Server 2013 in der Exchange-Verwaltungskonsole vor.
Wie gehabt: Anpassungen von Exchange ActiveSync für Postfächer nehmen Sie auch in Exchange Server 2013 in der Exchange-Verwaltungskonsole vor.

Admins können über die Exchange-Verwaltungskonsole für einzelne Benutzer Exchange ActiveSync aktivieren oder deaktivieren:

  1. Klicken Sie dazu auf Empfänger/Postfächer.

  2. Rufen Sie die Eigenschaften des entsprechenden Benutzerkontos auf.

  3. Klicken Sie auf Postfachfunktionen.

  4. Über die Schaltfläche Details anzeigen im Bereich Mobile Geräte können Sie eine Exchange-ActiveSync-Postfachrichtlinie zuweisen und Einstellungen anpassen. Diesem Thema widmen wir uns später detailliert.

Wollen Sie für Benutzer Exchange ActiveSync deaktivieren, können Sie auch die Exchange-Verwaltungs-Shell und den folgenden Befehl verwenden:

Set-CASMailbox -Identity <Benutzername> -ActiveSyncEnabled $false

Wenn Sie einen Benutzer aktivieren wollen, verwenden Sie:

Set-CASMailbox -Identity <Benutzername> -ActiveSyncEnabled $true

Auf die gleiche Art und Weise deaktivieren und aktivieren Sie auch Outlook Web App. Verwenden Sie dazu die beiden Befehle:

Set-CASMailbox -Identity <Benutzername> -OWAEnabled $false

und

Set-CASMailbox -Identity <Benutzername> -OWAEnabled $true

Exchange-ActiveSync-Postfachrichtlinien

In Exchange Server 2013 können Sie über Richtlinien steuern, welche Geräte der Server zur Synchronisierung zulässt und welche Einstellungen für die Geräte gesetzt sein müssen. Zusätzlich steuern Sie über Exchange-ActiveSync-Postfachrichtlinien Sicherheitseinstellungen für Benutzer. Sobald sich ein Endgerät mit dem Postfach verbindet, überträgt der Server die Einstellungen.

Regelwerk: Eine neue Postfachrichtlinie für mobile Geräte erstellen Sie in der Exchange-Verwaltungskonsole.
Regelwerk: Eine neue Postfachrichtlinie für mobile Geräte erstellen Sie in der Exchange-Verwaltungskonsole.

Benutzer müssen diese bestätigen, auf den Geräten umsetzen und dürfen sich erst dann mit ihrem Postfach synchronisieren. Das heißt, beim Einsatz von eigenen Geräten können Benutzer selbst entscheiden, ob eine Verbindung gewünscht ist. Die Exchange-ActiveSync-Postfachrichtlinien steuern die Sicherheitseinstellungen auf den Endgeräten.

Die Richtlinien konfigurieren Sie in der Exchange-Verwaltungskonsole über Mobil\Postfachrichtlinien für mobile Geräte. Wenn Sie auf das Pluszeichen klicken, erstellen Sie eine neue Richtlinie. Diese Richtlinien können Sie dann den Anwendern zuweisen.

Nach der Installation von Exchange Server 2013 finden Sie in diesem Bereich eine Richtlinie mit der Bezeichnung Default. Über deren Eigenschaften können Sie die Einstellungen anpassen. Sie können unterschiedlichen Benutzern auch verschiedene Richtlinien zuordnen. Bestätigt der Anwender die Richtlinien, setzt das entsprechende Endgerät die Einstellungen um.

Bei jedem Verbindungsvorgang eines Endgeräts mit Exchange-ActiveSync überprüfen Endgerät und Server, ob die Richtlinien noch übereinstimmen. Ändert ein Administrator die Sicherheitsrichtlinien, übernehmen die Endgeräte Änderungen beim nächsten Synchronisieren. Der Zeitstempel für die letzte erfolgreiche Synchronisierung der Richtlinien ist im Postfach des Benutzers gespeichert. Über verschiedene Optionen können Sie die Einstellung der Richtlinie vornehmen.

Mit Richtlinien in Exchange 2013 arbeiten

Foto: Fotolia/Kurhan

Hier können Sie bestimmen, ob die Richtlinie aktuell als Standard hinterlegt ist. Das heißt, Exchange weist diese Richtlinie jedem neuen Konto nach der Erstellung automatisch zu. Nachträglich können Sie jedem Konto eine andere Richtlinie zuordnen.

Sie können über Richtlinien festlegen, dass Anwender vor der Verwendung des Endgeräts ein Kennwort eingeben müssen. Standardmäßig ist diese Möglichkeit nicht aktiviert, und Anwender können Smartphones ohne Kennwörter verwenden. Wollen Sie festlegen, dass Anwender Kennwörter eingeben sollen, wenn das Smartphone startet oder gesperrt ist, stehen Ihnen verschiedene Möglichkeiten zur Verfügung:

  1. Kennwort anfordern - Wenn Sie diese Option aktivieren, müssen Anwender ein Kennwort für das Smartphone festlegen. Mit den anderen Optionen können Sie den Aufbau der Kennwörter steuern.

  2. Alphanumerisches Kennwort anfordern - Aktivieren Sie diese Option, dann darf das Kennwort nicht nur Ziffern enthalten, sondern auch normale Zeichen. Diese Option ist standardmäßig nicht aktiv.

  3. erschlüsselung für Gerät anfordern - Wenn Sie diese Option aktivieren, müssen die Speicherkarten im Gerät verschlüsselt sein. Diese Option ist standardmäßig nicht aktiviert.

  4. Minimale Kennwortlänge - Diese Option gibt die Mindestlänge des Kennworts an.

  5. Sie können Informationen zu Richtlinien auch in der Verwaltungs-Shell abrufen. Dazu verwenden Sie das CMDlet Get-ActiveSyncMailboxPolicy -Identity <Name der Richtlinie>. Mit Set-ActiveSyncMailboxPolicy passen Sie Richtlinien an.

Neue Richtlinien erstellen und zuweisen

Eine neue Richtlinie legen Sie unter Exchange 2013 mit folgendem Befehl an:

New-MobileDeviceMailboxPolicy -Name:"Management" -AllowBluetooth:$true -AllowBrowser:$true -AllowCamera:$true -AllowPOPIMAPEmail:$false -PasswordEnabled:$true -AlphanumericPasswordRequired:$true -PasswordRecoveryEnabled:$true -MaxEmailAgeFilter:10 -AllowWiFi:$true -AllowStorageCard:$true -AllowPOPIMAPEmail:$false

Sinnvoll ist eine Richtlinie natürlich erst dann, wenn Sie diese mehreren, am besten allen, Anwendern zuweisen. Diese Möglichkeit bietet Ihnen die Exchange-Verwaltungs-Shell.

Um eine Richtlinie allen Anwendern zuzuweisen, verwenden Sie den Befehl:

Get-Mailbox | Set-CASMailbox -ActiveSyncMailboxPolicy(Get-ActiveSyncMailboxPolicy <Name der Richtlinie>).Identity

Administratoren können zusätzlich in den Einstellungen eines Benutzers die Einstellungen der Richtlinien anpassen. Exchange überträgt Richtlinieneinstellungen auf das Endgerät, sobald sich ein Anwender an Exchange anmeldet, um das Postfach zu synchronisieren.

Administratoren steuern diese Richtlinien in Exchange in der Exchange-Verwaltungskonsole über Mobil\Postfachrichtlinien für mobile Geräte. Bei jedem Verbindungsvorgang überprüfen Endgerät und Server, ob die Richtlinieneinstellungen noch übereinstimmen. Ändert ein Administrator die Sicherheitsrichtlinien, übernimmt das Endgerät die Änderungen beim nächsten Synchronisieren. Natürlich können nicht nur Administratoren das Mobiltelefon von Anwendern verwalten, sondern auch der Anwender selbst.