Exchange 2007 ActiveSync Richtlinien

Für Exchange 2003 finden Sie die Einstellungen auf der Seite Exchange 2003 ActiveSync Richtlinien

Während bei Exchange 2003 nur genau eine ActiveSync-Richtlinie für die gesamte Organisation konfigurierbar war, erlaubt Exchange 2007 die Pflege von mehreren Richtlinien, von denen genau eine pro Postfach angewendet wird.

Richtlinien in der Organisation

In der MMC sieht man die verschiedenen Richtlinien auf der Organisation.

Exchange 2007 ActiveSync Policies

Seit Exchange 2007 können Sie mehrere Richtlinien konfigurieren, von denen genau eine beim jeweiligen Postfach zugeweisen werden muss. Das Verfahren unterscheidet sich also von dem Filterverfahren der Empfängerrichtlinien.

Richtlinien konfigurieren

In den Richtlinien können auch viel mehr Einstellungen durchgeführt werden, die teilweise aber eine bestimmte Version des Clients voraussetzen.

Allgemein

Seit Windows Mobile 6 und Exchange 2007 ist sogar ein Zugriff auf interne Sharepoint Webseiten und Dateifreigaben möglich. So kann ein Anwender auch Links in Mails erreichen.

Unter "Nicht bereitstellbare Geräte" versteht PDAs, die noch nicht die Sicherheitsrichtlinien anwenden (Windows Mobile 5 und älter). Diese dürfen per Default auch eine Verbindung aufbauen

Aus Sicherheitsaspekten würde ich diese Einstellung natürlich besser deaktivieren.

Kennworte

Über den Reiter "Kennwort" kann (und sollte) der Administrator Richtlinien zur Sperrung des Geräts vorschreiben.

Die "Default"-Einstellung erzwingt keine Kennworte. Bedenken Sie aber, dass alphanumerische Kennworte auf Smartphone nicht immer einfach eingegeben werden können.

Dieses Kennwort ist nicht mit dem Active Directory Kennwort zu verwechseln.

Synchronisierungseinstellungen

Über diese Parameter kann der Administrator den umgang der zu replizierenden Mails beschränken. So können Obergrenzen für die Anlagen und Nachrichten gesetzt werden.

Geräteeinstellungen

Gerade sicherheitsrelevante Bereiche möchten gerne das Endgerät abschotten, so dass kein Firmendaten über diese Schnittstellen das unternehmen verlasse oder erreichen.

Für diese Steuerungen benötigen Sie eine Enterprise Cal pro Endgerät. Exchange prüft und zählt diese Lizenzen nicht, so dass sie selbst deren Nutzung überwachen müssen.

Erweitert

Über diese Einstellungen können Sie die Anwendungen auf dem PDA kontrollieren. So können Sie den Webbrowser abschalten oder die Einrichtung von POP3/IMAP4-Konten verhindern.

Auch können Sie die erlaubten und verbotenen Programme pflegen, so dass die Anwender keine sonstigen Programme installieren können.

Alle Einstellungen gelten, solange der PDA mit ActiveSync für den Server konfiguriert ist. Die Einstellungen werden wieder entfernt, wenn die ActiveSync Konfiguration gelöscht wird. Dieser Schritt löscht aber auch alle Mails und Inhalte, die durch die Replikation auf den PDA synchronisiert werden

Richtlinie dem Postfach zuweisen

Damit die gewünschte Richtlinie auf dem Postfach aktiv wird, muss Sie explizit zugewiesen werden. Die kann nachträglich bei über die Konsole erfolgen.

Das geht natürlich auch per PowerShell zur massenhaften Änderung der Richtlinie bei verschiedenen Postfächern.

Set-CASMailbox username -ActiveSyncMailboxPolicy <policyname>

In Kombination mit Get-Recipient und Filtern kann man die passenden Mailboxen meist erhalten und per PIPE an SET-CAS-Mailbox übergeben. Bei der Neuanlage eines Benutzers kann die ActiveSync Policy ebenfalls gleich mit angegeben werden.

EAs Richtlinie bei Neuanlage

Per Default wird die Standardrichtlinie zugewiesen.

Weitere Links