Freitag, 18. Januar 2013

Mobile Device Management mit Exchange 2010

Die Verwaltung von mobilen Geräten ist immer wieder ein Thema und vor allem Sicherheitstechnisch relevant. Schliesslich tragen unsere User ihre möglicherweise sensitiven Daten mit ihren mobilen Geräten permanent mit sich herum und die Gefahr ein solches mobiles Gerät zu verlieren ist sehr hoch. Darum ist es wichtig eine gewisse Kontrolle über die verwendeten mobilen Geräte zu haben.

Exchange 2010 gibt uns hier die Möglichkeit zu bestimmen welche Typen von mobilen Geräten wir in unserer Organisation zulassen wollen und welche nicht. In diesem Beitrag zeige ich wie dies konfiguriert werden kann.


Welche mobilen Geräte sind vorhanden?

Interessant ist sicher mal, welche mobilen Geräte im Moment mit der Exchange Organisation verbunden sind. Dies lässt sich mit folgenden Befehl feststellen:

Get-ActiveSyncDevice -result unlimited | Get-ActiveSyncDeviceStatistics | Export-Csv "C:\MobileDeviceList.csv"

Dieser Befehl erzeugt ein .csv File welches in Excel importiert werden kann und sämtliche vorhandenen Informationen zu allen mobilen Geräten enthält. Nicht alle Informationen sine dabei wirklich interessant. Mit folgenden Befehl kann ich angeben, welche Informationen ich wirklich in meiner Liste haben will:

Get-ActiveSyncDevice -result unlimited | Get-ActiveSyncDeviceStatistics | Select-Object FirstSyncTime,LastSuccessSync,DeviceType,Identity | Export-Csv "C:\MobileDeviceList_filtred.csv"

Nicht mehr aktive mobile Geräte entfernen

Wenn ihr bei euch einmal eine Liste aller mobilen Geräte erzeugt habt werdet ihr feststellen, dass es Geräte gibt die schon lange nicht mehr mit dem dazugehörigen Postfach synchronisiert wurden (LastSuccessSync). In der Regel sind dies alte mobile Geräte, welche von den Usern nicht mehr verwendet werden. Denn Exchange "vergisst" kein mobiles Gerät welches je mit dem Postfach verbunden war. Wenn also ein User ein neues Smartphone kauft bleibt das alte in der Konfiguration des Postfaches und verweist. Um inaktive Geräte aus der Konfiguration zu entfernen kann folgender Befehl verwendet werden:

Zuerst schreiben wir alle mobilen Geräte die sich mehr als 30 Tage nicht mehr erfolgreich synchronisiert haben in eine Variable:

$DevicesToRemove = Get-ActiveSyncDevice -result unlimited | Get-ActiveSyncDeviceStatistics | where {$_.LastSuccessSync -le (Get-Date).AddDays("-30")}

Danach werden alle mobilen Geräte in der Variable gelöscht:

$DevicesToRemove | remove-activesyncdevice

Und schon haben wir nur noch mobile Geräte mit der Exchange Organisation verbunden, die sich zumindest in den letzten 30 Tagen erfolgreich mit den dazugehörigen Postfach synchronisiert haben.

Kontrollieren welche mobilen Geräte verbunden werden

Um die Kontrolle zu haben, welche mobilen Geräte mit der Exchange Organisation verbunden werden, kann die Exchange Organisation so konfiguriert werden, dass neue mobile Geräte beim ersten Verbinden mit dem Postfach zuerst einmal in einer Quarantäne landen. Ein Administrator oder Helpdesk Mitarbeiter kann per Mail informiert werden wenn ein mobiles Gerät in der Quarantäne gelandet ist und kann dann die Verbindung mit dem neuen mobilen Gerät erlauben oder verbieten.

Ein Problem, welches sich aber vor dem einschalten der Quarantäne stellt, ist das alle vorhandenen mobilen Geräte erst mal auch in die Quarantäne verschoben werden. Dies ist etwas unschön, denn alle User die ein aktives mobiles Gerät besitzen und mit ihrem Postfach verbunden haben können ihre mobilen Geräte nicht mehr synchronisieren und müssen zuerst wieder freigeschaltet werden.

Dies lässt sich mit einem Script, welches alle vorhandenen Geräte ausliest und zu den erlaubten Geräten hinzufügt, verhindern. Da ich mich hier nicht mit fremden Federn schmücken will, poste ich hier den Link zu der Site auf welcher ich das Script gefunden habe:

http://www.msxfaq.de/mobil/easquarantine.htm

Im übrigen findet ihr dort auch weitere interessante Informationen zum Thema.

Nachdem ihr alle vorhandenen mobilen Geräte mit dem Script zu den erlaubten Geräten hinzugefügt habt, könnt ihr mit folgendem Befehl die Quarantäne für alle neuen mobilen Geräte einschalten:

Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Quarantine –AdminMailRecipients helpdesk@meinefirma.com

Nachden ihr die Quarantäne eingeschaltet habt, werden erst mal alle neuen mobile Geräte in die Quarantäne verschoben und es wird ein Mail an die E-Mailadresse gesendet, die ihr nach "–AdminMailRecipients " angegeben habt.

Delegieren der Berechtigung neue mobile Geräte frei zu schalten

Wenn ihr nun dem einem Helpdesk Mitarbeiter die Berechtigung geben wollt, mobile Geräte in der Quarantäne frei zu schalten, könnt ihr mittels RBAC die nötigen Rechte vergeben. Der einfachste Weg dazu ist es, der Berechtigungsgruppe "Help Desk" die Berechtigung "Organization Client Access" hinzuzufügen. Nun müsst ihr nur noch den Helpdesk Mitarbeiter als Mitglied zu der Berechtigungsgruppe "Help Desk" hinzuzufügen.


Keine Kommentare:

Kommentar posten