Когда пользователь меняет пароль своей учетной записи по какой-либо причине (читай: истек), а старый пароль сохраняется на его мобильном устройстве, подключенном через EAS. Это приведет к тому, что его учетная запись будет заблокирована почти немедленно - как и должно быть в соответствии с политикой блокировки, определенной в AD. Разобраться в этой части было легко. Самое сложное - не допустить этого. Я везде искал. Ничего. По сути, головоломка состоит из четырех частей: устройство EAS, сервер TMG (ISA), протокол EAS и, наконец, AD. Ни у одного из них нет способа предотвратить сбой аутентификации EAS-устройства. Поэтому я подумал, что мне придется придумать умный обходной путь. И единственное, что я мог придумать, - это создать группу для всех пользователей EAS и исключить их из политики блокировки, что, очевидно, сводит на нет всю цель политики, или научить пользователей обновлять свои устройства с новыми паролями, что невозможно.
Вопрос: можете ли вы придумать какой-либо другой способ предотвратить блокировку учетных записей EAS?
Окружающая среда: в основном устройства iOS через EAS. TMG 2010. Exchange 2007. AD 2008 R2.
Обычно мы говорим пользователям перевести устройство в режим «полета» или «в самолете», отключив доступ к сети, когда они будут готовы сменить пароль. После изменения пароля на рабочем столе или ноутбуке они могут ввести новый пароль в устройство и подключитесь обратно к сети.
Конечно, мы также отправляем уведомление об истечении срока действия, чтобы они были хорошо подготовлены к истечению срока действия пароля.
Меня тоже поставил под сомнение этот вопрос. В качестве серьезного варианта я рассматриваю аутентификацию ActiveSync на основе сертификатов. Вместе с политикой EAS, требующей кода пароля для разблокировки мобильного устройства, это должно считаться двухфакторной аутентификацией (то, что у вас есть: сертификат на вашем мобильном устройстве, что-то, что вы знаете: код пароля для вашего мобильного устройства). Таким образом не возникнет проблем, когда срок действия пароля истечет. Надеюсь это поможет. http://blogs.technet.com/b/exchange/archive/2012/11/28/configure-certificate-based-authentication-for-exchange-activesync.aspx
TMG SP2 теперь имеет функцию блокировки учетной записи, чтобы предотвратить эту проблему. Видеть: Вот, Вот и Вот.
Устройство должно сообщить пользователю, что аутентификация не удалась. Я думаю, что лучший ответ - использовать что-то вроде Good Messaging for Enterprise на устройствах ios, которые, как я считаю, обеспечивают поддержку EAS для предприятий.
Это хороший вопрос. К сожалению, я не нашел способа предотвратить попытки устройства аутентифицироваться до тех пор, пока пароль не будет обновлен. Единственное, что вы можете сделать, это исключить пользователя из политики паролей или задокументировать, как изменить пароль на его устройстве, и напоминать им каждый раз, когда срок действия их пароля истекает, и им необходимо разблокировать учетную запись.
Вы также можете использовать сценарий или программу, чтобы отправлять людям электронные письма о том, что их пароли истекают через x дней, и включать напоминание о том, что им необходимо изменить пароль на своем телефоне.
Я ожидал, что у моего нынешнего работодателя возникнет эта проблема, поскольку в ноябре я внедрил политику паролей, но пока что мои мобильные пользователи кажутся достаточно сообразительными, чтобы менять свои пароли без напоминаний.
Вы можете проверить, как ведут себя попытки аутентификации устройств, когда не используется функция «Всегда актуальна». Если устройство настроено на опрос каждые пять минут вместо использования «Всегда актуальна», и это не приводит к тому количеству сбоев аутентификации, которые вызывают блокировку учетной записи, это может быть жизнеспособным обходным решением.
Похоже, это проблема устройства, поскольку iPhone слишком часто пытается использовать старый, но неверный пароль. Apple опубликовала технический комментарий по этой проблеме, обещая лучший опыт работы с устройствами на iOS7: http://support.apple.com/kb/TS4583
Заблокируйте исходный IP-адрес на брандмауэре перед сервером Exchange