web-dev-qa-db-fra.com

Périphériques ActiveSync provoquant des comptes de verrouillage

Lorsqu'un utilisateur modifie le mot de passe de son compte pour une raison quelconque (lecture: expirée) et que l'ancien mot de passe est stocké dans son périphérique mobile connecté via EAS. Cela entraînera le verrouillage de son compte presque immédiatement - comme il se doit en fonction de la politique de verrouillage définie dans la publicité. Il était facile de comprendre cette partie. La partie difficile le maintient de se produire. J'ai regardé partout. Rien. Fondamentalement, il y a quatre parties au puzzle: le dispositif EAS, le serveur TMG (ISA), le protocole EAS et enfin l'annonce. Aucun d'entre eux n'a le moyen d'arrêter le périphérique EAS de ne pas s'authentifier. J'ai donc pensé que je devrais avoir une solution de contournement intelligente. Et la seule chose que je pouvais trouver est de créer un groupe pour tous les utilisateurs de l'EAS et de les exclure de la politique de verrouillage, qui défait évidemment le but de la politique ou d'éduquer les utilisateurs à mettre à jour leurs appareils avec les nouveaux mots de passe, ce qui est impossible.

La question suivante: Pouvez-vous penser à tout autre moyen de vous empêcher de verrouiller les comptes?

Environnement: principalement des appareils iOS tout au long de EAS. TMG 2010. Exchange 2007. AD 2008 R2.

12
Abdullah

Normalement, ce que nous disons aux utilisateurs est de mettre le périphérique dans le mode "vol" ou "avion", coupant l'accès au réseau lorsqu'ils sont prêts à modifier le mot de passe, une fois qu'ils modifient le mot de passe sur le bureau/ordinateur portable, ils peuvent entrer dans le nouveau mot de passe appareil et connectez-vous au réseau.

Bien sûr, nous envoyons également la notification d'expiration afin qu'ils soient bien préparés à l'expiration du mot de passe.

3
KAPes

TMG SP2 a maintenant la fonction de verrouillage de compte pour éviter ce problème. Voir: ICI , ICI et ICI .

1
Pierro222

J'ai également été contestée par cette question. En tant qu'option sérieuse, je considère l'authentification ActiveSync basée sur le certificat. En collaboration avec la stratégie EAS visant à exiger un code de mot de passe de déverrouillage du périphérique mobile, cela devrait compter comme une authentification à deux facteurs (quelque chose que vous avez: certificat sur votre appareil mobile, quelque chose que vous connaissez: Code de mot de passe de votre appareil mobile). De cette façon, il n'y a pas de problème lorsque le mot de passe expire. J'espère que cela t'aides. http://blogs.technet.com/b/exchange/archive/2012/11/28/configure-certificate-based-authentication-for-exchange-activesync.aspx

1
Reinto

C'est une bonne question. Malheureusement, je n'ai pas rencontré un moyen d'empêcher l'appareil d'essayer d'authentifier jusqu'à ce que le mot de passe ait été mis à jour. La seule chose que vous puissiez faire est d'exclure l'utilisateur de la stratégie de mot de passe ou du document Comment modifier le mot de passe sur leur périphérique et le rappeler chaque fois que leur mot de passe expire et ils ont besoin de leur compte déverrouillé.

Vous pouvez également utiliser un script ou un programme pour envoyer des messages électroniques que leurs mots de passe vont expirer en x nombre de jours et inclure un rappel qu'ils doivent changer le mot de passe sur leur téléphone.

J'attendais avoir cette question à mon employeur actuel depuis que j'ai mis en place une politique de mot de passe en novembre, mais jusqu'à présent, mes utilisateurs mobiles semblent suffisamment avertis pour modifier leurs mots de passe sans être rappelé.

0
smassey

Cela semble être un problème d'appareil avec l'iPhone essayant trop souvent à l'aide de l'ancien, en attendant de mot de passe. Apple J'ai posté une technote sur ce problème, promettant une meilleure expérience avec des périphériques sur iOS7: http://support.apple.com/kb/ts458

0
cbrandlehner

Vous voudrez peut-être tester comment les tentatives d'authentification des périphériques (S) se comportent lorsqu'il n'utilise pas la fonctionnalité "toujours à jour". Si un périphérique est configuré pour sonder toutes les cinq minutes au lieu d'utiliser toujours à jour, ce qui n'aboutit pas le taux d'échec de l'authentification qui déclenche le verrouillage de compte, cela peut être une solution de contournement viable.

0
Greg Askew

C'est jusqu'à l'appareil de dire à l'utilisateur que l'authentification a échoué. Je pense qu'une meilleure réponse est d'utiliser quelque chose comme une bonne messagerie pour l'entreprise sur les périphériques iOS, que je pense fournit un support d'entreprise.

0
Jim B