Не знаю, как это делают другие, но основная проблема, с которой мы сталкиваемся, возникает, когда пользователь меняет свой пароль на ПК. Когда они его меняют, ActiveSync на телефоне не обновляется автоматически. Он попытается аутентифицироваться со старым паролем и заблокировать пользователя после трех попыток. Какие есть варианты решения этой проблемы?
Нет хорошего способа сделать это. У вас есть несколько вариантов (которые на самом деле не являются решениями, поскольку они не устраняют фактическую проблему), которые позволят вам уменьшить последствия этого, но ни один из них не решит проблему полностью. Вот что мы сузили и к чему в конечном итоге прибегаем в нашей организации:
A) Increase the threshold of invalid attempts; нам нравится держать наш довольно высоким (50 прямо сейчас), поскольку некоторые люди могут не проверять свой телефон в течение длительного периода (скажем, 4-8 часов или более), и хотя мы не можем гарантировать, что они проверит его до порогового значения блокирует их, мы можем, по крайней мере, попытаться увеличить количество времени, которое у них есть, прежде чем они действительно будут заблокированы, с помощью высокого порога блокировки.
B) Set up a script (VB or PowerShell) that emails users warning them that their passwords are about to expire; вы также можете включить в это электронное письмо напоминание о том, что им нужно будет изменить пароль на своих телефонах, как только они изменят его на своих компьютерах. Опять же, этот метод работает только частично, как я уверен, вы можете догадаться. Я был бы счастлив предоставить вам код PowerShell, который я использовал для этого, если хотите, просто дайте мне знать.
C) Exclude the group of users who use EAS from the lockout policy; Это сводит на нет всю цель политики блокировки и представляет собой серьезную угрозу безопасности, поэтому я бы не рекомендовал это, но, тем не менее, это обходной путь / вариант.
По-видимому, TMG 2010 SP2 и выше теперь имеет функцию блокировки учетной записи. за это, но если вы не используете TMG, это не имеет значения.
Лучший способ решить эту проблему - использовать проверку подлинности сертификата для ваших мобильных устройств. Таким образом, изменение пароля пользователя не повлияет на его способность получать доступ к почте со своего мобильного устройства. Полная настройка этого выходит за рамки единственного ответа, но вам нужно будет хотя бы настроить внутреннюю структуру pki и внести некоторые изменения в настройку вашего Exchange CAS.