Einfache MDM-Funktionen nutzen mit Exchange 2016 ActiveSync

Die wichtigste Aufgabe von ActiveSync besteht darin, von unterwegs den Zugang zu E-Mails des Unter­nehmens bereit­zustellen. Es bietet zudem einige Features für das Mobile Device Managements (MDM), kann aber kein ausgewachsenes Produkt aus dieser Kategorie ersetzen.

So kann ActiveSync keine Anwendungen auf Endgeräte verteilen oder Benutzern den Zugriff auf bestimmte Ressourcen gewähren bzw. verweigern. Hinzu kommt, dass nicht alle Hersteller die volle Unterstützung für ActiveSync in ihre Geräte integrieren.

EDV-Abteilungen erhalten daher leider keine Garantie dafür, dass alle Geräte die gleichen Anforderungen erfüllen und dass alle gesetzten Einstellungen auch korrekt auf sämtlichen Devices umgesetzt werden.

Remote Wipe, Regeln für PIN-Code

Trotzdem bietet ActiveSync eine gewisse Sicherheit, sollten Sie ihr Endgerät einmal verloren haben. Hier besteht die Möglichkeit, über Outlook on the Web (OWA), die Kopplung Ihres Postfachs mit dem Endgerät zu löschen. Meistens lässt sich mit diesem Feature das Endgerät sogar zurücksetzen.

Zudem kann man über die Richtlinien auf dem Exchange Server einige kleinere Sicherheits­richtlinien festgelegen. Dazu gehören zum Beispiel die Festlegung des PIN-Codes bzw. Länge des Passworts oder der Timeout auf dem Bildschirm nach einer gewissen Frist an Inaktivität.

Per Default ist ActiveSync nach der Installation von Microsoft Exchange bei allen Benutzern aktiviert. Für öffentliche Ordner und Postfachregeln werden meistens zusätzliche Apps benötigt. Ich selbst nutze es für E-Mail, Kalender und Co. auf dem iPhone und iPad.

Richtlinien für ActiveSync erstellen

In der Exchange Verwaltungskonsole unter Mobil => Zugriff auf mobile Geräte und Postfachrichtlinien für mobile Geräte können kleinere Richtlinien definiert werden. Ich demonstriere hier den Einsatz  am Beispiel vom Zurücksetzen eines Geräts, das verloren oder entwendet wurde.

Dabei gibt es 2 Möglichkeiten, die Verbindung vom mobilen Gerät zum Postfach des Benutzers zu unterbrechen.

Durch die EDV-Abteilung: Hierzu wird das Postfach des Benutzers aufgerufen, wofür man den Menüpunkt Postfachfunktionen => Mobile Geräte => Details anzeigen öffnet. Hier scheinen alle mobilen Endgeräte auf, die der Benutzer mit seinem Postfach verbunden hat.

Das mobile Endgerät kann nun aus der Übersicht entfernt werden, indem man auf den kleinen Papierkorb in der Menüleiste klickt. Der Administrator hat hier allerdings auch noch andere Möglichkeiten, wie etwa das Gerät zu blockieren oder es zurück­zusetzen.

Durch den Benutzer: Da die EDV-Abteilung evtl. am Wochenende nicht erreicht werden kann, besteht auch für den Benutzer die Möglichkeit, das verloren gegangene Gerät von seinem Postfach zu trennen. Hierzu muss dieser sich an OWA anmelden.

Unter Einstellungen => Optionen => Allgemein => Mobile Geräte sieht er seine mit dem Postfach verbundenen Endgeräte.

Klickt man hier auf das Minus-Zeichen, dann wird das mobile Endgerät entfernt.

Diese Funktion ist allerdings weitgehend unwirksam, da derjenige, welcher evtl. das Endgerät in den Händen hält, das Postfach einfach wieder­verbinden kann. Effektiver ist das Radiergummi-Symbol rechts neben dem Minuszeichen.

Danach schaut der Zustand wie folgt aus:

Das Endgerät wurde jetzt komplett zurückgesetzt, dies bietet beim Verlust eines Smartphones einen maximalen Schutz der Daten.

Fazit

Ein adäquater Ersatz zu einem richtigen Mobile Device Management ist Exchange 2016 ActiveSync leider nicht. Es bietet allerdings für die Sicherheit Ihres Postfachs einige wichtige Funktionen, welche nicht unterschätzt werden sollten.