Dispositivos ActiveSync causando bloqueio de contas

Quando um usuário altera a senha da sua conta por qualquer motivo (leia-se: expirou), e a senha antiga é armazenada em seu dispositivo móvel conectado por meio do EAS. Isso fará com que sua conta seja bloqueada quase imediatamente - como deveria, de acordo com a política de bloqueio definida no AD. Foi fácil descobrir essa parte. A parte difícil é impedir que isso aconteça. Eu olhei em todos os lugares. Nada. Basicamente, existem quatro partes do quebra-cabeça: o dispositivo EAS, o servidor TMG (ISA), o protocolo EAS e, finalmente, o AD. Nenhum deles possui uma maneira de impedir que o dispositivo EAS falhe na autenticação. Então imaginei que teria que apresentar uma solução inteligente. E a única coisa que eu poderia criar é criar um grupo para todos os usuários do EAS e excluí-los da política de bloqueio, o que obviamente derrota todo o objetivo da política,

A pergunta: você pode pensar em outra maneira de impedir o EAS de bloquear as contas?

Ambiente: Principalmente dispositivos iOS por todo o EAS. TMG 2010. Exchange 2007. AD 2008 R2.

Normalmente, o que dizemos aos usuários é colocar o dispositivo no modo "voo" ou "avião", cortando o acesso à rede quando eles estiverem prontos para alterar a senha, uma vez que alterem a senha no Desktop / Laptop, eles poderão inserir a nova senha em dispositivo e conecte-o novamente à rede.

É claro que também enviamos a notificação de expiração para que eles estejam bem preparados para a expiração da senha.

O TMG SP2 agora possui o recurso de bloqueio de conta para evitar esse problema. Veja: Aqui , aqui e aqui .

Fui desafiado por essa pergunta também. Como uma opção séria, estou considerando a autenticação ActiveSync baseada em certificado. Juntamente com a política do EAS para exigir um código de senha para desbloquear o dispositivo móvel, isso deve contar como autenticação de dois fatores (algo que você possui: certificado no seu dispositivo móvel, algo que você sabe: código de senha para o seu dispositivo móvel). Dessa forma, não há problema quando a senha expira. Espero que isto ajude. http://blogs.technet.com/b/exchange/archive/2012/11/28/configure-certificate-based-authentication-for-exchange-activesync.aspx

Cabe ao dispositivo informar ao usuário que a autenticação falhou. Penso que uma resposta melhor é usar algo como Boas mensagens para empresas nos dispositivos iOS, que acredito oferecer suporte a EAS corporativo.

Essa é uma boa pergunta. Infelizmente, não encontrei uma maneira de impedir que o dispositivo tente se autenticar até que a senha seja atualizada. A única coisa que você pode fazer é excluir o usuário da política ou documento de senha como alterá-la no dispositivo e lembrá-lo sempre que a senha expirar e eles precisarem ter a conta desbloqueada.

Você também pode usar um script ou programa para enviar por e-mail às pessoas que suas senhas expirarão em x número de dias e incluir um lembrete de que elas precisam alterar a senha no telefone.

Esperava ter esse problema no meu atual empregador desde que implementei uma política de senhas em novembro, mas até agora meus usuários móveis parecem inteligentes o suficiente para alterar suas senhas sem serem lembrados.

Convém testar como as tentativas de autenticação do (s) dispositivo (s) se comportam quando não estiver usando a funcionalidade "Sempre atualizado". Se um dispositivo estiver configurado para pesquisar a cada cinco minutos, em vez de usar Sempre atualizado, e isso não incorrer na taxa de falhas de autenticação que acionam o bloqueio de conta, isso pode ser uma solução viável.

Esse parece ser um problema no dispositivo, com o iPhone tentando usar com muita freqüência a senha antiga, entretanto incorreta. A Apple publicou uma nota técnica sobre esse problema, prometendo uma melhor experiência com dispositivos no iOS7: http://support.apple.com/kb/TS4583

Bloquear o endereço IP de origem no firewall na frente do servidor Exchange