Inaktive ActiveSync-Geräte aus Exchange und Office 365 entfernen

Exchange-User können ihr Post­fach mit mobi­len Geräten ver­binden. Solche ActiveSync-Partner­schaften bleiben aber nach dem Aus­mustern von Geräten oft be­stehen. Benutzer können dann irgend­wann keine Geräte mehr registrieren. Mit Power­Shell lassen sich inaktive Devices entfernen.

In Exchange gibt es festgelegte Grenz­werte für die Zahl der Geräte, die Benutzer für ActiveSync (EAS) mit ihrem Postfach verbinden können. In der Version 2013 und höher sowie bei Office 365 sind es standard­mäßig bis zu 100 Geräte, welche ein User registrieren darf.

EAS-Partnerschaften aufräumen

Um zu verhindern, dass dieser Rahmen mit der Zeit aus­geschöpft wird, ist eine Pflege des Exchange-Servers notwendig. Das bevorzugte Vorgehen besteht darin, nicht mehr benutzte Devices zu löschen.

Alternativ kann man die Ober­grenze mit Hilfe der Throttling Policy hochsetzen, die aber irgendwann ebenfalls erreicht wird und zudem die Zahl der inaktiven EAS-Geräte weiter erhöht. Daher empfiehlt sich diese Variante nur bei Benutzern, welche viele Geräte aktiv nutzen müssen, wie zum Beispiel Entwickler.

Insgesamt sollte die Pflege aber nicht dadurch hinaus­gezögert werden, indem man die Policy höher setzt. Ein aufgeräumter Bestand an EAS-Geräten hilft auch bei der Einführung einer MDM-Lösung, weil sich dann die Zahl der erforderlichen Lizenzen genau bestimmen lässt.

Verbundene Geräte anzeigen

Um einen Überblick darüber zu bekommen, wie viele Devices für ein Postfach registriert sind, bietet sich folgender Befehl an. Er eignet sich sowohl für Exchange 2013 bis 2019 als auch für Exchange Online.

Get-MobileDeviceStatistics -Mailbox <Mailboxname> | fl DeviceModel, LastSyncAttemptTime, Identity, DeviceID

Hier ist zu sehen, dass für den ausgewählten Account zwei Geräte registriert sind. Anhand der Eigenschaft LastSyncAttempTime ist zu erkennen, wann das Gerät sich zum letzten Mal mit der Mailbox verbunden bzw. E-Mails abgefragt hat.

Inaktive EAS-Geräte entfernen

Damit nun aufgeräumt werden kann, muss man alle Devices, welche seit einer bestimmten Zeit keine Verbindung mehr aufgebaut haben, herausfiltern und löschen. Am besten geht dies wieder mit PowerShell:

$deletedate = (get-date).AddDays(-5).ToString('MM/dd/yyyy') $mobile = Get-MobileDeviceStatistics -Mailbox | ? {$_.LastSyncAttemptTime -lt $deletedate} foreach ($m in $mobile){ Remove-MobileDevice -Identity $m.identity }

Die erste Zeile des Scripts legt fest, nach welcher Zeit Geräte als inaktiv gelten. In meinem Beispiel sind es fünf Tage. Der nächste Befehl ermittelt alle Mobilgeräte einer Mailbox, die sich innerhalb dieser Zeitspanne nicht gemeldet haben. Die anschließende Foreach-Schleife löscht diese Partnerschaften.

In größeren Organisationen macht es natürlich Sinn, mit einer Schleife gleich über eine größere Zahl von Postfächern zu iterieren.

Das beschriebene Vorgehen hat den Vorteil, dass die nicht mehr aktiven EAS-Partnerschaften sofort entfernt werden und dass es auch in Exchange Online funktioniert.

Inaktive Partnerschaften automatisch entfernen

Microsoft bietet darüber hinaus seit Exchange 2013 ein Verfahren, das inaktive Geräte automatisch löscht, allerdings erst dann, wenn der User eine neue Partnerschaft erzeugt (dies funktioniert nicht in Exchange Online).

Zu diesem Zweck ändert man die standard­mäßige Throttling Policy oder definiert eine neue:

Get-ThrottlingPolicy | ? IsDefault -eq $true |
Set-ThrottlingPolicy -EasMaxInactivityForDeviceCleanup 30

Dieses Kommando würde alle EAS-Partnerschaften für sämtliche User nach mehr als 30 Tagen Inaktivität entfernen. Diesen Beispiel­wert sollte man natürlich an die Gegeben­heiten des Unter­nehmens anpassen.

Möchte man diesen Automatismus nur auf ausgewählte Postfächer anwenden, dann definiert man dafür eine eigene Policy und weist sie den gewünschten Mailboxen zu:

New-ThrottlingPolicy -Name myTP -EasMaxInactivityForDeviceCleanup 30

Diese Richtlinie würde EAS-Partnerschaften nach 30 Tagen ohne Verbindung des Geräts mit dem Exchange-Server als inaktiv festlegen. Anschließend weist man sie den betreffenden Postfächern zu:

Set-Mailbox <Mailboxname> -ThrottlingPolicy myTP

Limit erhöhen

Falls man, wie oben angesprochen, für bestimmte User die Zahl der maximal zulässigen EAS-Partner­schaften ändern möchte, dann kann man das ebenfalls über eine neue Throttling-Policy erledigen. Das Vorgehen folgt dem gleichen Muster wie eben gezeigt:

New-Throttlingpolicy -Name "more EAS Devices" -EasMaxDevices 150 -EasMaxConcurrency 15

Set-Mailbox <Mailboxname> -ThrottlingPolicy "more EAS Devices"