ActiveSyncデバイスによりアカウントがロックアウトされる
ユーザーが何らかの理由でアカウントのパスワードを変更した場合(読み取り:期限切れ)、古いパスワードはEAS経由で接続されたモバイルデバイスに保存されます。これにより、ADで定義されたロックアウトポリシーに従って、彼のアカウントがほぼ即座にロックアウトされます。その部分を理解するのは簡単でした。難しいのは、それが起こらないようにすることです。私はどこを見ても。何もない。基本的に、パズルには4つの部分があります。EASデバイス、TMG(ISA)サーバー、EASプロトコル、そして最後にADです。 EASデバイスが認証に失敗するのを防ぐ方法はありません。だから私は私が賢い回避策を考え出す必要があると考えました。そして、私が思いつくことができる唯一のことは、すべてのEASユーザーのグループを作成し、それらをロックアウトポリシーから除外することです。これは、ポリシーの目的全体を明らかに無効にするか、新しいパスワードでデバイスを更新するようにユーザーを教育することです。それは不可能です。
質問:EASがアカウントをロックアウトしないようにする他の方法を考えられますか?
環境:主にEASを介したiOSデバイス。 TMG2010。Exchange2007。AD2008 R2。
通常、ユーザーに伝えるのは、デバイスを「フライト」または「飛行機」モードにして、パスワードを変更する準備ができたらネットワークアクセスを遮断し、デスクトップ/ラップトップでパスワードを変更したら、新しいパスワードを入力できるようにすることです。デバイスとネットワークに再接続します。
もちろん、有効期限切れの通知も送信するので、パスワードの有効期限の準備が整っています。
私もこの質問に挑戦しました。深刻なオプションとして、証明書ベースのActiveSync認証を検討しています。モバイルデバイスのロックを解除するためのパスワードコードを要求するEASポリシーと一緒に、これは2要素認証(ユーザーが持っているもの:モバイルデバイスの証明書、知っているもの:モバイルデバイスのパスワードコード)として数える必要があります。この方法では、パスワードの有効期限が切れても問題は発生しません。お役に立てれば。 http://blogs.technet.com/b/exchange/archive/2012/11/28/configure-certificate-based-authentication-for-exchange-ActiveSync.aspx
これは良い質問です。残念ながら、パスワードが更新されるまで、デバイスが認証を試行するのを防ぐ方法を知りませんでした。できる唯一のことは、ユーザーをパスワードポリシーから除外するか、デバイスのパスワードを変更する方法を文書化し、パスワードの有効期限が切れてアカウントのロックを解除する必要があるたびに通知することです。
スクリプトまたはプログラムを使用して、パスワードがx日で期限切れになることをユーザーに電子メールで送信し、電話でパスワードを変更する必要があることを通知することもできます。
11月にパスワードポリシーを導入して以来、現在の雇用主でこの問題が発生すると予想していましたが、これまでのところ、モバイルユーザーは気づかれることなくパスワードを変更することに精通しているようです。
これはデバイスの問題のようで、iPhoneが古い、一方で間違ったパスワードを頻繁に使用しようとしています。 Apple iOS7のデバイスでのより良いエクスペリエンスを約束するこの問題に関する技術情報を投稿しました: http://support.Apple.com/kb/TS458
「常に最新」の機能を使用していない場合に、デバイスの認証試行がどのように動作するかをテストすることができます。 Always Up To Dateを使用する代わりに5分ごとにポーリングするようにデバイスが構成されていて、アカウントロックアウトをトリガーする認証失敗の割合が発生しない場合、これは実行可能な回避策である可能性があります。
認証が失敗したことをユーザーに通知するのはデバイス次第です。より良い答えは、企業のEASサポートを提供していると私が信じているiOSデバイスで、企業向けの適切なメッセージングのようなものを使用することだと思います。