当用户因任何原因(读取:过期)更改其帐户密码时,旧密码将存储在通过EAS连接的移动设备中。 这将导致他的账户几乎立即被locking – 正如根据AD所定义的locking政策。 很容易弄清楚这一部分。 困难的部分是阻止它发生。 我到处看。 没有。 基本上有四个部分:EAS设备,TMG(ISA)服务器,EAS协议,最后是AD。 他们都没有办法阻止EAS设备无法authentication。 所以我想我必须拿出一个聪明的解决方法。 我唯一能想到的是为所有EAS用户创build一个组,并将其从locking策略中排除,这明显违背了策略的整体目的,或者教育用户使用新密码更新设备,这是不可能的。
问题:你能想出其他方法来阻止EASlocking账户吗?
环境:大部分iOS设备都通过EAS。 TMG 2010. Exchange 2007 AD 2008 R2。
通常情况下,我们告诉用户将设备置于“飞行”或“飞机”模式,当他们准备更改密码时切断networking访问,一旦他们在桌面/笔记本电脑上更改密码,然后他们可以input新密码设备并连接回networking。
当然我们也会发送到期通知,以便他们为密码过期做好准备。
TMG SP2现在有帐户lockingfunction来防止此问题。 看: 在这里 , 在这里和这里 。
我也受到这个问题的挑战。 作为一个严肃的选项,我正在考虑基于证书的ActiveSync身份validation。 与EAS政策一起要求解锁移动设备的密码代码,这应该算作双因素身份validation(您拥有的东西:移动设备上的证书,您知道的东西:移动设备的密码)。 这样密码过期就没有问题了。 希望这可以帮助。 http://blogs.technet.com/b/exchange/archive/2012/11/28/configure-certificate-based-authentication-for-exchange-activesync.aspx
它直到设备告诉用户authentication失败。 我认为一个更好的答案是在ios设备上为企业使用良好的消息传递,我相信它提供企业EAS支持。
这是一个很好的问题。 不幸的是,我还没有遇到阻止设备尝试authentication直到密码更新的方法。 您唯一能做的就是将用户从密码策略中排除,或者在文档中说明如何更改设备上的密码,并在每次密码过期时提醒他们,并且他们需要解锁帐户。
您还可以使用脚本或程序通过电子邮件向他们发送密码将在x天内过期的提示,并提醒他们需要更改手机上的密码。
自从我在11月份实施密码政策以来,我一直希望在现在的雇主面前出现这个问题,但到目前为止,我的移动用户似乎已经足够了,无需提醒即可更改密码。
您可能需要testing设备在不使用“Always Up To Date”function时如何进行validation。 如果将设备configuration为每五分钟轮询一次而不是使用“始终最新”,并且不会导致触发帐户locking的身份validation失败率,则这可能是一种可行的解决方法。
这似乎是一个设备问题与iPhone尝试过于经常使用旧的,同时不正确的密码。 苹果在这个问题上发布了一个技术手册,希望能在iOS7上获得更好的体验: http : //support.apple.com/kb/TS4583
阻止Exchange服务器前防火墙上的始发IP地址