jak wyłączyć zdalne czyszczenie dla Exchange 2010 ActiveSync?

11

Podczas podłączania urządzeń mobilnych z systemem Android do Exchange ActiveSync niektóre wymagają nadania uprawnień administratora urządzenia, które pozwalają administratorowi centrali na zdalne wyczyszczenie telefonu. Ostrzeżenia przerażają niektórych użytkowników mobilnych i całkowicie uniemożliwiają im korzystanie z Exchange ActiveSync.

Jak mogę wyłączyć jego funkcjonalność na Exchange Server 2010? [naruszenia bezpieczeństwa nie są tutaj problemem]

Rory
źródło

Odpowiedzi:

9

AKTUALIZACJA (ponownie)

Krótka odpowiedź na twoje pytanie brzmi NIE .


Klienci programu Outlook / Exchange są albo zdolni do zdalnego czyszczenia. Zasady Exchange po prostu oczekują, że będą obsługiwać tę funkcję. Jeśli telefon obsługuje funkcję czyszczenia zdalnego i użytkownik zaakceptował tę zasadę (będąc tak zwanym „urządzeniem tymczasowym”), wówczas Exchange może wysłać żądanie wyczyszczenia telefonu ( w imieniu administratora lub użytkownik może poprosić o to ze swojego konta zalogowanego na stronie internetowej / komputerze).

Jeśli użytkownicy chcą mieć pewność, że ich e-mail nie zostanie wyczyszczony, muszą znaleźć klienta Exchange, który nie obsługuje zdalnego czyszczenia i przekonać cię, abyś zrezygnował z tego jako wymaganego z zasad (włączając AllowNonProvisionalDevices). Kropka. Nie ma innego sposobu na „wyłączenie”.

Funkcje klienta nie mogą być wyłączone przez serwer, mogą być po prostu przez niego wymagane. W tym przypadku wydaje się, że wymóg jest ogólnie częścią Exchange Sync. :-( I tak tego nie widzę.


Polityka Exchange mówi „jeśli nie zgadzasz się z tymi ustawieniami, nie dostajesz e-maila”, a następnie zawiera listę ustawień. Możesz także ustawić „AllowNonProvisionalDevices” na ON, co pozwoli urządzeniom, które odrzucą zasadę, nadal otrzymywać wiadomości e-mail.

Jak już powiedzieli inni, wiadomość od klienta do użytkownika na telefonie nie jest konfigurowalna, więc nigdy nie wiadomo, czy WCIĄŻ je przestraszy, nawet jeśli wyłączyłeś to żądanie.

http://technet.microsoft.com/en-us/library/bb123484.aspx

a tutaj jest link do sposobu tworzenia nowych zasad i stosowania ich do użytkowników: http://technet.microsoft.com/en-us/library/bb124120.aspx

znak
źródło
Dzięki Mark. Nigdzie nie widzę „wyłączania zdalnego czyszczenia jako jednej z funkcji zasad skrzynki pocztowej”. Chcę wiedzieć, jak mogę wyłączyć tę funkcję. Ponadto AllowNonProvisionableDevices są przeznaczone dla „starszych telefonów, które mogą nie obsługiwać stosowania wszystkich ustawień zasad, mogą łączyć się z Exchange 2010 za pomocą Exchange ActiveSync”. Problem pojawia się w przypadku urządzeń z możliwością udostępniania.
Rory,
Nie byłem jasny. Wszystko, co możesz zrobić w polityce, to nie wymagać, aby urządzenia oferowały i zezwalały na zdalne czyszczenie serwera - jako warunek połączenia. Zaktualizuję treść postu.
Mark
Ok Mark, ale problem polega na tym, że (dla mnie na razie) nie jest możliwe utworzenie zasad ActiveSync, które nie obejmują zdalnego czyszczenia. Jak mogę stworzyć taką polisę? Gdybym mógł utworzyć taką zasadę bez zdalnego czyszczenia, to świetnie, ale pominięcie jej po prostu nie wydaje się być opcją dostępną w ramach zasad ActiveSync.
Rory,
Masz rację. Źle odczytałem dokument. Wygląda na to, że Zdalne czyszczenie jest wymaganym elementem „Urządzenia tymczasowego”. Zaktualizuję ponownie.
Mark
1

Myślę, że Twoim największym problemem nie będzie wyłączenie możliwości zdalnego czyszczenia serwera, ale uprawnień wymaganych przez aplikację Active Sync na Androidzie. Z mojego zrozumienia, wiele aplikacji prosi o pozwolenie, niezależnie od tego, czy zasady są włączone na serwerze, czy nie - ponieważ zasady można zmienić po ustanowieniu synchronizacji.

Więc myślę, że masz problem polityczny / PR bardziej niż techniczny.

Driftpeasant
źródło
To ciekawe DriftPeasant, ale myślę, że jest to kwestia sporna, chyba że funkcja zdalnego czyszczenia może być faktycznie wyłączona w ramach polityki.
Rory,
1
Sposób, w jaki sformułowałeś pytanie, sugerował, że twoi użytkownicy byli przerażeni, że muszą udzielić zezwolenia ActiveSync, aby wyczyścić swoje urządzenie. Uważam, że możesz wyłączyć możliwość zdalnego czyszczenia, ale aplikacja będzie nadal żądać tego uprawnienia. Niezależnie od Twojej technicznej możliwości czyszczenia, użytkownicy nadal będą mieli obawy, które możesz wyczyścić. Więc nie sądzę, że jest to kwestia techniczna tak bardzo jak PR.
Driftpeasant,
Jasne, Driftpeasant, rozumiem. A moi użytkownicy są przerażeni. Ale moje pytanie brzmi: jak możesz „wyłączyć swoją zdolność do zdalnego czyszczenia”?
Rory
0

Można utworzyć zasadę, która wyłącza „Zainicjuj zdalne czyszczenie urządzenia” dla użytkowników, a następnie przypisuje tę zasadę organizacji, grupie lub cokolwiek innego, co jest odpowiednie.

http://technet.microsoft.com/en-us/library/ff459605.aspx

SBWorks
źródło
Jak utworzyć zasadę, która wyłącza „Zainicjuj zdalne czyszczenie urządzenia”? Artykuł Technet nie zawiera na ten temat żadnych informacji, choć wspomniano o dodatkowych opcjach bezpieczeństwa dla użytkowników telefonów z systemem Windows®.
Rory,