ActiveSyncデバイスが原因でアカウントがロックアウトされる


12

ユーザーが何らかの理由でアカウントのパスワードを変更した場合(読み取り:期限切れ)、古いパスワードはEASを介して接続されたモバイルデバイスに保存されます。これにより、ADで定義されたロックアウトポリシーに従って、彼のアカウントはほぼ即座にロックアウトされます。その部分を理解するのは簡単でした。難しいのは、それが起こらないようにすることです。私はいたるところを見ました。なし。基本的に、パズルには4つの部分があります。EASデバイス、TMG(ISA)サーバー、EASプロトコル、そして最後にADです。EASデバイスが認証に失敗するのを防ぐ方法はありません。だから、私は賢い回避策を考え出さなければならないと思った。そして、私が思いつく唯一のことは、すべてのEASユーザーのグループを作成し、それらをロックアウトポリシーから除外することです。これは明らかにポリシーの目的全体を無効にします。

質問:EASがアカウントをロックアウトするのを防ぐ他の方法はありますか?

環境:ほとんどすべてEASを介したiOSデバイス。TMG2010。Exchange2007。AD2008 R2。


素晴らしい質問です。
SpacemanSpiff

2
Microsoft Security Compliance Managerによると、ロックアウトポリシーは10〜50の間でなければなりません。あなたの設定は何ですか?
-TristanK

良い質問です。価値ある解決策があるかどうか興味があります。
TheCleaner

あなたは非常に賢く、認証試行を形作るフォワードプロキシを実装することができます。AFAIK EASはHTTPSベースです。closedsrc.org/2010/11/...
Grizly

回答:


3

通常、ユーザーに伝えることは、デバイスを「フライト」または「飛行機」モードにして、パスワードを変更する準備ができたらネットワークアクセスを遮断し、デスクトップ/ラップトップでパスワードを変更したら、新しいパスワードを入力できるようにすることですデバイスとネットワークに接続します。

もちろん、パスワードの有効期限が切れる準備ができるように、有効期限通知も送信します。


それは良い考えですが、私の経験から、問題を解決するためにユーザーに依存することは、より多くの問題を作成します。ロックアウトされることなくパスワードを変更する方法についてはすでに手順がありますが、誰もそれに従いません。
アブドラ

追加するのを忘れましたが、ユーザーは15分ごとに認証が行われるため、ロックアウトされることなくパスワードを更新する時間があります。
アブドラ

これは「人」の問題であり、テクノロジを使用して解決しようとすると、理想的なシナリオを達成する方法がないため、環境のセキュリティが低下します。これがBlackBerryの場合、これは問題ではなかったでしょう:)
KAPes

1

TMG SP2には、この問題を防ぐためのアカウントロックアウト機能があります。参照してください: ここではここここ


これは理論的には質問に回答するかもしれませんが、回答の重要な部分をここに含め、参照用のリンクを提供することが望ましいでしょう
スコットパック

TMGアカウントロックアウト機能は多くのユースケースに便利ですが、フォームベースの認証のみを対象としています。ActiveSyncはフォームベースの認証を使用していないようですので、元のポスターのシナリオではうまくいかないようです。
the-wabbit

1

私もこの質問に挑戦しました。深刻なオプションとして、証明書ベースのActiveSync認証を検討しています。モバイルデバイスのロックを解除するためのパスワードコードを要求するEASポリシーと併せて、これは2要素認証としてカウントする必要があります(モバイルデバイスの証明書、知っていること:モバイルデバイスのパスワードコード)。この方法では、パスワードの有効期限が切れても問題はありません。お役に立てれば。 http://blogs.technet.com/b/exchange/archive/2012/11/28/configure-certificate-based-authentication-for-exchange-activesync.aspx


0

認証が失敗したことをユーザーに伝えるのはデバイス次第です。より良い答えは、iOSデバイスでエンタープライズ向けの良いメッセージングのようなものを使用することだと思います。これは、エンタープライズEASサポートを提供すると信じています。


iOSはパスワードを更新するポップアップメッセージを表示しますが、それまでにアカウントは既にロックアウトされています。良いメッセージはやり過ぎのように思えます。
アブドラ

0

これはいい質問です。残念ながら、パスワードが更新されるまで、デバイスが認証を試行するのを防ぐ方法はありません。できることは、ユーザーをパスワードポリシーから除外するか、デバイスでパスワードを変更する方法を文書化し、パスワードの有効期限が切れてアカウントのロックを解除する必要があるたびに通知することです。

また、スクリプトまたはプログラムを使用して、パスワードがx日後に期限切れになることをユーザーにメールで送信し、携帯電話でパスワードを変更する必要があることを通知することもできます。

11月にパスワードポリシーを実装して以来、現在の雇用主にこの問題が発生することを期待していましたが、これまでのところ、モバイルユーザーは気付かれずにパスワードを変更するのに十分に精通しているようです。


ユーザーを除外することが唯一の解決策のように思えますが、あまり良い解決策ではありません。ユーザーは、パスワードの有効期限が切れる前にすでに通知を受け取り、ロックを回避するためにパスワードを適切に更新する方法についての完全な手順を説明していますが、誰も読み取りません。ポリシーをテストすることをお勧めします。NASAで働いていない限り、機能していないかもしれません。
アブドラ

0

「常に最新」機能を使用しない場合のデバイス認証試行の動作をテストすることができます。デバイスがAlways Up To Dateを使用する代わりに5分ごとにポーリングするように構成されており、アカウントロックアウトをトリガーする認証エラーの割合が発生しない場合、これは実行可能な回避策です。


TMGサーバーは、15分ごとに認証を要求するように構成されています。ユーザーは次の認証が行われる前にパスワードを更新する時間がありますが、ユーザーに依存することはできません。また、Appleの役に立たないドキュメントをテストしたり調べたりすることによって、iOSが認証を試行する回数をfindめましたが、できませんでした。
アブドラ

IISログを調べることで認証の試行回数を判断するのはかなり簡単なようです。
グレッグアスキュー

うん、昨日コメントを投稿した後、ログで情報を調べることができることに気づいたので、それをやった。探しているものが見つかりませんでしたが、探し続けます。
アブドラ

0

これは、iPhoneが古いパスワードを間違って使用しているため、デバイスの問題であるようです。Appleは、iOS7上のデバイスでのより良い体験を約束するこの問題に関する技術情報を投稿しました:http : //support.apple.com/kb/TS4583


-1

Exchangeサーバーの前のファイアウォールで発信元IPアドレスをブロックします


1
悪意のあるユーザーをブロックするのではなく、現在のパスワードメイトを変更している正当なユーザーについて話しています。
グリズリー
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.