Inaktive ActiveSync-Geräte aus Exchange und Office 365 entfernen

    , 28.08.2019
    Tags: , ,

    Microsoft ActiveSyncExchange-User können ihr Post­fach mit mobi­len Geräten ver­binden. Solche ActiveSync-Partner­schaften bleiben aber nach dem Aus­mustern von Geräten oft be­stehen. Benutzer können dann irgend­wann keine Geräte mehr registrieren. Mit Power­Shell lassen sich inaktive Devices entfernen.

    In Exchange gibt es festgelegte Grenz­werte für die Zahl der Geräte, die Benutzer für ActiveSync (EAS) mit ihrem Postfach verbinden können. In der Version 2013 und höher sowie bei Office 365 sind es standard­mäßig bis zu 100 Geräte, welche ein User registrieren darf.

    EAS-Partnerschaften aufräumen

    Um zu verhindern, dass dieser Rahmen mit der Zeit aus­geschöpft wird, ist eine Pflege des Exchange-Servers notwendig. Das bevorzugte Vorgehen besteht darin, nicht mehr benutzte Devices zu löschen.

    Alternativ kann man die Ober­grenze mit Hilfe der Throttling Policy hochsetzen, die aber irgendwann ebenfalls erreicht wird und zudem die Zahl der inaktiven EAS-Geräte weiter erhöht. Daher empfiehlt sich diese Variante nur bei Benutzern, welche viele Geräte aktiv nutzen müssen, wie zum Beispiel Entwickler.

    Insgesamt sollte die Pflege aber nicht dadurch hinaus­gezögert werden, indem man die Policy höher setzt. Ein aufgeräumter Bestand an EAS-Geräten hilft auch bei der Einführung einer MDM-Lösung, weil sich dann die Zahl der erforderlichen Lizenzen genau bestimmen lässt.

    Verbundene Geräte anzeigen

    Um einen Überblick darüber zu bekommen, wie viele Devices für ein Postfach registriert sind, bietet sich folgender Befehl an. Er eignet sich sowohl für Exchange 2013 bis 2019 als auch für Exchange Online.

    Get-MobileDeviceStatistics -Mailbox <Mailboxname> | fl DeviceModel, LastSyncAttemptTime, Identity, DeviceID

    Mobile Geräte mit PowerShell anzeigen, welche mit einer bestimmten Mailbox verbunden sind. 

    Hier ist zu sehen, dass für den ausgewählten Account zwei Geräte registriert sind. Anhand der Eigenschaft LastSyncAttempTime ist zu erkennen, wann das Gerät sich zum letzten Mal mit der Mailbox verbunden bzw. E-Mails abgefragt hat.

    Inaktive EAS-Geräte entfernen

    Damit nun aufgeräumt werden kann, muss man alle Devices, welche seit einer bestimmten Zeit keine Verbindung mehr aufgebaut haben, herausfiltern und löschen. Am besten geht dies wieder mit PowerShell:

    Die erste Zeile des Scripts legt fest, nach welcher Zeit Geräte als inaktiv gelten. In meinem Beispiel sind es fünf Tage. Der nächste Befehl ermittelt alle Mobilgeräte einer Mailbox, die sich innerhalb dieser Zeitspanne nicht gemeldet haben. Die anschließende Foreach-Schleife löscht diese Partnerschaften.

    In größeren Organisationen macht es natürlich Sinn, mit einer Schleife gleich über eine größere Zahl von Postfächern zu iterieren.

    Das beschriebene Vorgehen hat den Vorteil, dass die nicht mehr aktiven EAS-Partnerschaften sofort entfernt werden und dass es auch in Exchange Online funktioniert.

    Inaktive Partnerschaften automatisch entfernen

    Microsoft bietet darüber hinaus seit Exchange 2013 ein Verfahren, das inaktive Geräte automatisch löscht, allerdings erst dann, wenn der User eine neue Partnerschaft erzeugt (dies funktioniert nicht in Exchange Online).

    Zu diesem Zweck ändert man die standard­mäßige Throttling Policy oder definiert eine neue:

    Get-ThrottlingPolicy | ? IsDefault -eq $true |
    Set-ThrottlingPolicy -EasMaxInactivityForDeviceCleanup 30

    Dieses Kommando würde alle EAS-Partnerschaften für sämtliche User nach mehr als 30 Tagen Inaktivität entfernen. Diesen Beispiel­wert sollte man natürlich an die Gegeben­heiten des Unter­nehmens anpassen.

    Möchte man diesen Automatismus nur auf ausgewählte Postfächer anwenden, dann definiert man dafür eine eigene Policy und weist sie den gewünschten Mailboxen zu:

    New-ThrottlingPolicy -Name myTP -EasMaxInactivityForDeviceCleanup 30

    Diese Richtlinie würde EAS-Partnerschaften nach 30 Tagen ohne Verbindung des Geräts mit dem Exchange-Server als inaktiv festlegen. Anschließend weist man sie den betreffenden Postfächern zu:

    Set-Mailbox <Mailboxname> -ThrottlingPolicy myTP

    Limit erhöhen

    Falls man, wie oben angesprochen, für bestimmte User die Zahl der maximal zulässigen EAS-Partner­schaften ändern möchte, dann kann man das ebenfalls über eine neue Throttling-Policy erledigen. Das Vorgehen folgt dem gleichen Muster wie eben gezeigt:

    New-Throttlingpolicy -Name "more EAS Devices" -EasMaxDevices 150 -EasMaxConcurrency 15

    Set-Mailbox <Mailboxname> -ThrottlingPolicy "more EAS Devices"

    Maximal zulässige Zahl an EAS-Geräten über eine Throttling-Policy festlegen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Roland Eich

    Roland Eich ist gelernter Fach­infor­matiker für System­inte­gration und in der IT seit über 14 Jahren zu Hause. Roland deckt auf­grund seiner Erfah­rungen ein breites Spek­trum der Microsoft-Produkt­palette ab.Zudem besitzt er ver­schiedene Zertifi­zierungen (MCITP, MCSA und MCSE, ITIL, PRINCE2).
    // Kontakt: E-Mail //

    Ähnliche Beiträge

    Weitere Links