Wie deaktiviere ich das Remote-Löschen für Exchange 2010 ActiveSync?

11

Beim Verbinden von Android-Mobilgeräten mit Exchange ActiveSync müssen für einige Geräte Administratorrechte erteilt werden, mit denen ein Exchange-Administrator das Telefon remote löschen kann. Die Warnmeldungen machen einigen mobilen Benutzern Angst und lehnen sie von der Verwendung von Exchange ActiveSync ab.

Wie kann ich seine Funktionalität unter Exchange Server 2010 deaktivieren? [Sicherheitsverletzungen sind hier kein Thema]

Rory
quelle

Antworten:

9

AKTUALISIERT (wieder)

Die kurze Antwort auf Ihre Frage lautet NEIN .


Outlook / Exchange-Clients können Remote-Löschvorgänge ausführen oder nicht. Die Exchange-Richtlinie erwartet lediglich, dass sie diese Funktion unterstützen. Wenn das Telefon Remote-Wipe unterstützt und Sie die Richtlinie akzeptiert haben (indem Sie ein sogenanntes "vorläufiges Gerät" sind), sendet Exchange möglicherweise eine Anforderung zum Löschen des Telefons ( im Namen des Administrators oder des Benutzers kann es von seinem im Web / PC angemeldeten Konto anfordern.)

Wenn Ihre Benutzer sicherstellen möchten, dass ihre E-Mails nicht gelöscht werden, müssen sie einen Exchange-Client finden, der das Remote-Löschen nicht unterstützt, und Sie davon überzeugen, dies als Anforderung aus Ihrer Richtlinie zu streichen (indem Sie AllowNonProvisionalDevices aktivieren). Zeitraum. Es gibt keine andere Möglichkeit, es auszuschalten.

Funktionen des Clients können vom Server nicht deaktiviert werden, sie können nur von ihm benötigt werden. In diesem Fall scheint die Anforderung generell Teil von Exchange Sync zu sein. :-( Ich sehe sowieso nichts davon.


Die Exchange-Richtlinie lautet "Wenn Sie mit diesen Einstellungen nicht einverstanden sind, erhalten Sie keine E-Mail" und enthält dann eine Liste mit Einstellungen. Sie können auch "AllowNonProvisionalDevices" auf ON setzen, damit Geräte, die die Richtlinie ablehnen, weiterhin E-Mails erhalten.

Wie bereits erwähnt, ist die Nachricht vom Client an den Benutzer auf dem Telefon nicht konfigurierbar, sodass Sie nie wissen, ob sie dadurch NOCH erschreckt werden, obwohl Sie diese Anforderung deaktiviert haben.

http://technet.microsoft.com/en-us/library/bb123484.aspx

Hier finden Sie den Link zum Erstellen und Anwenden einer neuen Richtlinie auf Benutzer: http://technet.microsoft.com/en-us/library/bb124120.aspx

Kennzeichen
quelle
Danke Mark. Ich sehe nirgendwo eine Möglichkeit, "Remote-Wipe als eine der Funktionen der Postfachrichtlinie zu deaktivieren". Ich möchte wissen, wie ich diese Funktionalität deaktivieren kann. AllowNonProvisionableDevices gelten auch für "ältere Telefone, die möglicherweise nicht die Anwendung aller Richtlinieneinstellungen unterstützen, dürfen mithilfe von Exchange ActiveSync eine Verbindung zu Exchange 2010 herstellen." Das Problem tritt bei bereitstellbaren Geräten auf.
Rory
Ich war nicht klar. Alles, was Sie in einer Richtlinie tun können, ist nicht zu verlangen, dass die Geräte Remote-Wipe für den Server anbieten und zulassen - als Bedingung für die Verbindung. Ich werde den Text des Beitrags aktualisieren.
Mark
Ok Mark, aber das Problem ist, dass es (für mich vorerst) unmöglich ist, eine ActiveSync-Richtlinie zu erstellen, die Remote Wipe nicht enthält. Wie kann ich eine solche Richtlinie erstellen? Wenn ich eine solche Richtlinie ohne Remote Wipe erstellen könnte, wäre das großartig, aber das Auslassen scheint keine Option zu sein, die in ActiveSync-Richtlinien verfügbar ist.
Rory
Du hast Recht. Ich habe ein Dokument falsch gelesen. Es scheint, dass Remote-Wipe ein erforderliches Element von "Provisional Device" ist. Ich werde wieder aktualisieren.
Mark
1

Ich denke, Ihr größtes Problem wird nicht darin bestehen, Ihre Fähigkeit zum Remote-Löschen vom Server zu deaktivieren, sondern die Berechtigungen, die die Active Sync-App für Android anfordert. Nach meinem Verständnis fordern viele Apps diese Berechtigung an, unabhängig davon, ob die Richtlinie auf dem Server aktiviert ist oder nicht, da die Richtlinie nach dem Einrichten der Synchronisierung geändert werden kann.

Ich denke, Sie stoßen mehr auf ein politisches / PR-Problem als auf ein technisches.

Driftbauer
quelle
Das ist interessant, DriftPeasant, aber ich denke, es ist ein strittiger Punkt, es sei denn, die Remote-Löschfunktion kann innerhalb einer Richtlinie tatsächlich deaktiviert werden.
Rory
1
Die Art und Weise, wie Sie Ihre Frage formuliert haben, deutete darauf hin, dass Ihre Benutzer ausgeflippt waren, dass sie ActiveSync die Erlaubnis erteilen mussten, ihr Gerät zu löschen. Ich behaupte, dass Sie Ihre Fähigkeit zum Remote-Löschen deaktivieren können, die App diese Berechtigung jedoch weiterhin anfordert. Unabhängig von Ihrer technischen Fähigkeit zum Löschen haben Ihre Benutzer weiterhin die Sorge, dass Sie löschen können. Ich denke also nicht, dass es sich um ein technisches Problem handelt, sondern vielmehr um ein PR-Problem.
Driftpeasant
Klar, Driftpeasant, ich verstehe. Und meine Benutzer werden ausgeflippt. Aber meine Frage ist, wie können Sie "Ihre Fähigkeit deaktivieren, dieses Remote-Löschen durchzuführen"?
Rory
0

Sie können eine Richtlinie erstellen, die das Löschen eines Remote-Geräte-Löschvorgangs für Benutzer deaktiviert, und diese Richtlinie dann der Organisation, Gruppe oder einem anderen geeigneten Element zuweisen.

http://technet.microsoft.com/en-us/library/ff459605.aspx

SBWorks
quelle
Wie können Sie eine Richtlinie erstellen, die das Löschen eines Remote-Geräts deaktiviert? Der Technet-Artikel enthält keine Informationen dazu, obwohl zusätzliche Sicherheitsoptionen für Windows®-Telefonbenutzer erwähnt werden.
Rory