ActiveSyncデバイスが原因でアカウントがロックアウトされる

ユーザーが何らかの理由でアカウントのパスワードを変更した場合（読み取り：期限切れ）、古いパスワードはEASを介して接続されたモバイルデバイスに保存されます。これにより、ADで定義されたロックアウトポリシーに従って、彼のアカウントはほぼ即座にロックアウトされます。その部分を理解するのは簡単でした。難しいのは、それが起こらないようにすることです。私はいたるところを見ました。なし。基本的に、パズルには4つの部分があります。EASデバイス、TMG（ISA）サーバー、EASプロトコル、そして最後にADです。EASデバイスが認証に失敗するのを防ぐ方法はありません。だから、私は賢い回避策を考え出さなければならないと思った。そして、私が思いつく唯一のことは、すべてのEASユーザーのグループを作成し、それらをロックアウトポリシーから除外することです。これは明らかにポリシーの目的全体を無効にします。

質問：EASがアカウントをロックアウトするのを防ぐ他の方法はありますか？

環境：ほとんどすべてEASを介したiOSデバイス。TMG2010。Exchange2007。AD2008 R2。

通常、ユーザーに伝えることは、デバイスを「フライト」または「飛行機」モードにして、パスワードを変更する準備ができたらネットワークアクセスを遮断し、デスクトップ/ラップトップでパスワードを変更したら、新しいパスワードを入力できるようにすることですデバイスとネットワークに接続します。

もちろん、パスワードの有効期限が切れる準備ができるように、有効期限通知も送信します。

TMG SP2には、この問題を防ぐためのアカウントロックアウト機能があります。参照してください： ここでは、こことここ。

私もこの質問に挑戦しました。深刻なオプションとして、証明書ベースのActiveSync認証を検討しています。モバイルデバイスのロックを解除するためのパスワードコードを要求するEASポリシーと併せて、これは2要素認証としてカウントする必要があります（モバイルデバイスの証明書、知っていること：モバイルデバイスのパスワードコード）。この方法では、パスワードの有効期限が切れても問題はありません。お役に立てれば。 http://blogs.technet.com/b/exchange/archive/2012/11/28/configure-certificate-based-authentication-for-exchange-activesync.aspx

認証が失敗したことをユーザーに伝えるのはデバイス次第です。より良い答えは、iOSデバイスでエンタープライズ向けの良いメッセージングのようなものを使用することだと思います。これは、エンタープライズEASサポートを提供すると信じています。

これはいい質問です。残念ながら、パスワードが更新されるまで、デバイスが認証を試行するのを防ぐ方法はありません。できることは、ユーザーをパスワードポリシーから除外するか、デバイスでパスワードを変更する方法を文書化し、パスワードの有効期限が切れてアカウントのロックを解除する必要があるたびに通知することです。

また、スクリプトまたはプログラムを使用して、パスワードがx日後に期限切れになることをユーザーにメールで送信し、携帯電話でパスワードを変更する必要があることを通知することもできます。

11月にパスワードポリシーを実装して以来、現在の雇用主にこの問題が発生することを期待していましたが、これまでのところ、モバイルユーザーは気付かれずにパスワードを変更するのに十分に精通しているようです。

「常に最新」機能を使用しない場合のデバイス認証試行の動作をテストすることができます。デバイスがAlways Up To Dateを使用する代わりに5分ごとにポーリングするように構成されており、アカウントロックアウトをトリガーする認証エラーの割合が発生しない場合、これは実行可能な回避策です。

これは、iPhoneが古いパスワードを間違って使用しているため、デバイスの問題であるようです。Appleは、iOS7上のデバイスでのより良い体験を約束するこの問題に関する技術情報を投稿しました：http : //support.apple.com/kb/TS4583

Exchangeサーバーの前のファイアウォールで発信元IPアドレスをブロックします