ActiveSync 设备导致帐户锁定

ActiveSync 设备导致帐户锁定

当用户因某种原因(如过期)更改其帐户密码时,旧密码会存储在通过 EAS 连接的移动设备中。这将导致其帐户几乎立即被锁定 - 根据 AD 中定义的锁定策略,这是理所当然的。解决这一部分很容易。困难的部分是防止这种情况发生。我到处找。一无所获。基本上,这个难题有四个部分:EAS 设备、TMG(ISA)服务器、EAS 协议以及最后的 AD。它们都没有办法阻止 EAS 设备无法进行身份验证。所以我想我必须想出一个聪明的解决方法。我能想到的唯一办法是为所有 EAS 用户创建一个组,并将他们排除在锁定策略之外,这显然违背了策略的整个目的,或者教育用户使用新密码更新他们的设备,这是不可能的。

问题:您能想到其他方法来防止 EAS 锁定账户吗?

环境:大部分 iOS 设备都通过 EAS。TMG 2010。Exchange 2007。AD 2008 R2。

答案1

通常我们会告诉用户将设备置于“飞行”或“飞机”模式,当他们准备更改密码时切断网络访问,一旦他们在桌面/笔记本电脑上更改密码,他们就可以在设备上输入新密码并重新连接到网络。

当然我们也会发送到期通知,以便他们为密码到期做好充分的准备。

答案2

TMG SP2 现在具有帐户锁定功能,可防止出现此问题。请参阅: 这里这里这里

答案3

我也曾被这个问题困扰过。作为一个严肃的选择,我正在考虑基于证书的 ActiveSync 身份验证。结合 EAS 政策要求输入密码来解锁移动设备,这应该算作双因素身份验证(您拥有的东西:移动设备上的证书,您知道的东西:移动设备的密码)。这样,密码过期时就不会出现问题。希望这能有所帮助。 http://blogs.technet.com/b/exchange/archive/2012/11/28/configure-certificate-based-authentication-for-exchange-activesync.aspx

答案4

这是个好问题。不幸的是,我还没有找到一种方法来阻止设备在密码更新之前尝试进行身份验证。您唯一能做的就是将用户排除在密码策略之外,或者记录如何在他们的设备上更改密码,并在每次密码过期且他们需要解锁帐户时提醒他们。

您还可以使用脚本或程序向人们发送电子邮件,告知他们的密码将在 x 天后过期,并提醒他们需要在手机上更改密码。

自从我在 11 月实施了密码策略以来,我就预料到我现在的雇主也会遇到这个问题,但到目前为止,我的移动用户似乎足够精明,不需要提醒就可以更改密码。

相关内容