Android

  • Achtung Exchange 2013 CU8 / Exchange 2010 RU9
    3035227 Android devices can't set up an Exchange account after you install Exchange Server 2010 SP3 RU9 or Exchange Server 2013 CU8

Aus Telefonen mit spezialisierten Betriebssystemen wurden nicht erst seit Windows Mobile und iPhone kleine Computer mit Betriebssystemen und optionalen Zusatzprogrammen. Auch Google wirbelt den Markt der mobilen Betriebssystem durch ihr "Android" durcheinander. Als Linux für Mobilgeräte gestartet ist Android mittlerweile sehr umfangreich verbreitet und auch auf kleinen Mobiltelefonen verfügbar. für einen Exchange Administrator stellt sich da natürlich die Frage, was dies für Exchange bedeutet. Android kann über drei Wege mit Exchange kommunizieren.

  • OWA
    Auf Android gibt es natürlich einen Webbrowser (Gecko Engine) der Outlook WebApp nutzen kann. Suchen Sie doch einfach mal in ihrem IISLog, ob es schon einen passenden "Useragent" gibt.
  • ActiveSync
    Weiterhin kann Android auch mobile über das Active Sync Protokoll mit Exchange kommunizieren, wenn Sie dies als Administrator nicht verbieten.
  • ActiveSync mit 3rd Party
    Wenn ihr Android beschränkt ist oder besondere Anforderungen gefordert sind, kann eine Drittsoftware eine Option sein.
    z.B. Touchdown ( http://www.nitrodesk.com/TouchDown.aspx) oder andere
  • IMAP4/POP3/SMTP
    Zuletzt steht Android wie jedem anderen System natürlich der Zugriff per IMAP/POP3 offen, sofern Sie diesen Zugang auf Exchange aktiviert haben

Von allen drei Wegen ist natürlich der Zugriff per "ActiveSync" der erstrebenswerteste, da hierbei weniger Daten als bei OWA übertragen werden und nicht gleich die Zugriff auf die "Legacy-Protokolle" mit anderen Einschränkungen geöffnet werden müssen. Wenn ActiveSync richtig genutzt wird, dann hat der Client eine sehr leistungsfähige Applikation, die auf das Endgerät optimiert ist und der Client setzt auch die Richtlinien des Server (z.B. RemoteWipe, PIN-Policy) durch). Sogar Termine, Kontakte und Aufgaben könnten damit formattreu abgebildet werden, wenn der Clients die unterstützt. All diese Dinge sind per IMAP4 nicht so einfach möglich.

Android Versionen mit Exchange

Version Bemerkungen

4.4

61785 Failure setting up a "Corporate" email account in KitKat on a Nexus 5
https://code.google.com/p/android/issues/detail?id=61785

2.2

9426 Activesync security features still nonfunctional in 2.2 build FRF85B
http://Code.Google.com/p/android/issues/Detail?ID=9426

Android mit ActiveSync erkennen

Vielleicht haben Sie ja schon Anwender mit Android-Client. Die meisten Administratoren merken das ja nicht einmal, da sie z.B.: ihre IIS-Logs nicht wirklich auswerten. Dort treffen nämlich die Clients als erstes auf. Der Zugang per IMAP4/POP3 ist in der Regel nicht so einfach, da Exchange diese Protokolle mittlerweile per Default nicht aktiviert hat (Dienste stehen auf deaktiviert). Aber da Outlook Web Access und ActiveSync oft schon eingerichtet sind, stehen diese beiden Wege auch für Android-Clients offen. Machen Sie sich doch mal den Spaß und suchen Sie in ihren IISLogs nach "Android".

Ein Android mit ActiveSync erscheint z.B. im IISLog wie folgt.

POST /Microsoft-Server-ActiveSync/default.eas Cmd=FolderSync&User=user&DeviceId=xxxx&DeviceType=htcbuzz&Log=V121_St:S_Lda_ 443 domain\user Android-EAS/0.1 - - 200 0 0
POST /Microsoft-Server-ActiveSync/default.eas Cmd=MeetingResponse&User=user&DeviceId=xxxx&DeviceType=htcbuzz&Log=V121_Ldap_ 443 domain\user Android-EAS/0.1 - - 200 0 0
POST /Microsoft-Server-ActiveSync/default.eas Cmd=GetItemEstimate&User=user&DeviceId=xxxx&DeviceType=htcbuzz&Log=V121_Fc1__ 443 domain\user Android-EAS/0.1 - - 200 0 0

Über Get-ActiveSyncDeviceStatistics sehen Sie dann schon mehr zu dem fraglichen Postfach:

[PS] C:\>Get-ActiveSyncDeviceStatistics -Mailbox username

FirstSyncTime         : 13.08.2010 12:53:22
LastPolicyUpdateTime  : 13.08.2010 12:54:30
LastSyncAttemptTime   : 28.08.2010 23:47:29
LastSuccessSync       : 28.08.2010 23:47:30
DeviceType            : htcbuzz
DeviceID              : 12345678abcdefg98765432188776655
DeviceUserAgent       : Android-EAS/0.1
DeviceWipeSentTime    :
DeviceWipeRequestTime :
DeviceWipeAckTime     :
LastPingHeartbeat     :
RecoveryPassword      : ********
DeviceModel           :
DeviceIMEI            :
DeviceFriendlyName    :
DeviceOS              :
DeviceOSLanguage      :
DevicePhoneNumber     :
Identity              : user@msxfaq.test\AirSync-htcbuzz-12345678abcdefg98765432188776655

Interessant ist, dass Android z.B. keine IMEI zurückmeldet. Zudem habe ich bei einem Kunden schon gesehen, dass er mehrere Geräte hatte, die aber genau aufeinander aufgebaut haben. Es könnte daher sein, dass ein Firmware/Update eine neue DeviceID generiert.

Android und praktischer Einsatz

Allerdings gibt es wohl noch ein paar andere Einschränkungen, die ich so schon gesehen habe, z.B.

  • Keine Suche in Firmenadressbuch
    Eine Funktion die Windows Mobile 6.x mitbringt und besonders in größeren Firmen interessant ist.
  • Signierung und Verschlüsselung
    Android unterstützt anscheinend noch keine Signierung oder Verschlüsselung von Mails
  • Password Policies
    Android ist zumindest mit Version 2.2.8 kein "Provisionable Device", d.h. Kennwortrichtlinien werden nicht umgesetzt. Damit Sie also überhaupt "synchen" können, müssen Sie entweder global oder per eigener Richtline dann pro Benutzer diese Option zulassen

    Leider meldet das Android Gerät nur eine "kann den Server nicht erreichen"-Meldung die keinen Hinweis darauf gibt, was wirklich passiert ist und auf der Serverseite gibt es per Default auch erst mal keinen eintrag.
  • Aufgaben
    Ich habe noch nicht sehen können, dass Aufgaben repliziert wird. Das konnte Windows Mobile auch auch nicht in den ersten Versionen
  • "Flache Struktur"
    Android zeit den Posteingang an (Inbox). Sie können durchaus auf eine Ordneransicht wählen, aber diese hat keine Hierarchie. Wer in seinem Postfach also mehrere Ordner mit unterordnern hat, wird diese alle schön alphabetisch sortiert in der Ordnerliste sehen.

Die Liste erhebt keinen Anspruch auf Vollständigkeit und Korrektheit.

Risiko Android
Gerade das Fehlen einer Umsetzung der Kennwort-Richtlinien ist für Firmen ein K.O.-Kriterium für Android. Exchange kann dieses Geräte aber deswegen alleine nicht aussperren, da die Handhelds ja "behaupten" wie wären compliant. Allerdings können Sie natürlich über die DeviceID steuern, welcher Benutzer welches Endgerät verwenden darf.
Achtung: Diese Aussage ist noch nicht bestätigt

Android konfigurieren

Die Einrichtung einer Partnerschaft mit Exchange Active Sync ist denkbar einfach. Sie müssen einfach nur "Email" starten und wenn auf dem Android noch nichts eingerichtet ist, werden Sie von einem Assistenten gefragt. Sie müssen ihre Mailadresse und das Kennwort eingeben. Anscheinend macht zumindest mein Android noch kein "Autodisover" und dürfte wohl nach IMAP4 und POP3 gesucht haben.

Aber über den Button "Manual Setup" können Sie den Mailserver auswählen und hier ist natürlich "Exchange" richtig. Interessanterweise muss ich dann nicht weiter eine URL eines Servers o.ä. eingeben, so dass Android wohl doch "Autodiscover" in einer Weise gemacht hat und ich nur noch gefragt wurde, was ich denn nun wie oft synchronisieren will.

Und das war auch schon alles. Unter den Einstellungen können Sie dann noch ein paar weitere Details konfigurieren.

So lassen sich Töne und Vibration einstellen und auch eine Signatur hinterlegen. Das hat aber nichts mit S/MIME zu tun.

Android Emulator

Wenn Sie selbst kein Android-System haben aber die verschiedenen Versionen austesten wollen, dann können Sie dies auf auf ihrem PC machen. Wie für Windows Mobile und iPhone gibt es auch passende Emulatoren, die im Fall von Android aber nicht auf Windows (Windows Mobile) oder MacOS (IPhone) beschränkt sind, sondern gleich für Windows, Mac und Linux von Google bereit gestellt werden. Nach dem Download (ca. 24 MB) müssen Sie das ZIP-Archiv einfach auspacken. Eine gesonderte "Installation", wie dies ein Windows Anwender sonst gewohnt ist, gibt es nicht. Ich habe das SDK nach "C:\Program Files (x86)\android-sdk-windows\" ausgepackt, so dass ich dort die entsprechende Dateistruktur wiederfinde.

Früher haben die SDKs noch alles enthalten. Im Nov 2010 waren es nur noch die Tools. Über den "SDK Manager" sind die erforderlichen Komponenten nach zu holen. Mir reicht eigentlich nur ein passendes Image für den eh schon vorhandenen Emulator, so dass ich einfach die aktuellste Version des SDK anwähle und alles andere abwähle.

Ein Druck auf "Install" holt dann noch die nächsten 73 MB nach. Diese landen erst im TEMP-Ordner der Android Basis. Erst dann könne Sie unter AVD-Devices ein virtuelles Gerät anlegen.

Und dann auch starten. Vergessen Sie nach dem Start des Emulators nicht das virtuelle Gerät auch "Einzuschalten".

Android als VM

Mit dem Projekt Genymotion gibt es mittlerweile einen Android-Emulator, der unter Virtual Box verschiedene Android-Versionen bereit stellt. Mit Android-x86 können Sie Android direkt auf normalen PCs installieren.

Weitere Links