Exchange Activesync 策略 - 我可以让用户不需要它吗?

Exchange Activesync 策略 - 我可以让用户不需要它吗?

Exchange 2010 sp2。

我有一位“C”级高管,他想在他的 Android 平板电脑上查看电子邮件。这很容易。但是,他不希望将任何 Activesync 策略应用于他的设备以进行远程擦除等,甚至不希望使用默认策略,也不想使用 OWA。

我以为我很了解 Exchange,但找不到 Powershell 命令或任何允许设备在不执行某种策略的情况下进行连接的东西。

他使用 Activesync 运气不好吗?我可以为他设置 POP3/IMAP,但我宁愿不这样做。

编辑:提示的屏幕截图(默认策略为“广泛开放”:

在此处输入图片描述

更新:

我应该补充一点,如果有人对如何对单个用户执行此操作感兴趣,我确实发布了一篇关于此问题的简短博客。这并不好,我选择不走那条路,但我确实与微软合作找到了一种“方法”……同样,这并不好,我建议先在测试环境中进行操作,以真正了解是什么/为什么。

http://dittotech.wordpress.com/2012/12/03/disable-exchange-activesync-policy-for-a-single-user/

答案1

对于“我可以不应用任何政策吗?”这个问题的严格回答是

因此,接下来我们必须查看用户认为的策略是什么。他是否不想在添加帐户时弹出安全弹窗?他们不启用导致弹出弹窗的任何选项。

ActiveSync 策略中的单个设置分为两类:仅影响邮件客户端的设置和影响整个设备的设置。只有影响整个设备的设置才会引发安全提示。

为了让用户满意,请为用户创建另一个 ActiveSync 策略并应用它。只要您不配置任何需要系统级安全更改的内容(例如密码规则和远程擦除),那么在平板电脑上设置帐户时,用户就不会收到安全提示。


更新以使我的答案更接近现实:

如果设备支持远程擦除,则无法抑制远程擦除的安全提示。

  • 在初始 ActiveSync 设置期间,Exchange 会询问客户端“您是否支持远程擦除?”
    • 如果设备支持远程擦除,Exchange 会需要它。
    • 如果设备不支持远程擦除,则会查阅“允许不可配置的设备”选项。
      • 如果选中,则表示允许该设备。
      • 如果未选中,则拒绝与该设备建立合作关系。手机将返回错误或仅显示空的收件箱。

没有办法阻止 Exchange 询问其是否支持远程擦除。


发布图片后更新:

您将无法摆脱该安全提示。

我的 Android 手机将仅显示指定策略所请求功能的安全提示。如果策略发生变化,我将收到新的提示。

我老板的手机会显示安全提示全部所支持的安全功能。当策略发生变化时,她不会收到新的提示。

所以你正在与两个问题作斗争,而这两个问题你都无法改变:

  1. 没有办法阻止 Exchange 询问设备是否支持远程擦除。
  2. 看起来您的设备会提示它支持的所有安全功能,无论 Exchange 服务器要求什么。

答案2

如果你真的在做你的工作,真正的答案是,“先生/女士,我们需要执行安全政策,这样我们才不会登上《华盛顿邮报》的头版。”如果他们不能处理这个问题,他们应该被解雇,而不是你……

我不是想装傻,这是真的。你不能将一项政策应用于企业中,但对最敏感的用户除外。这就是违规行为发生的原因。如果 C 不想太频繁地输入密码,我想你可以调整除标准 5 分钟锁定之外的其他政策。但同样,有人在 Morton's 吃牛排时针对 C。我经常争论说我们的高管政策应该更严格,而不是更宽松。他们经常同意我的观点。

站起来做正确的事。至少尝试一下可以保住你的工作,因为有一天 C 的老板会来找你,问为什么该政策不适用于包含最敏感数据的某个子集。

答案3

这是可能的,但我倾向于撒谎并直接告诉用户这是不可能的。计算机不关心你名字后面的缩写(我也不关心)。

对于 Exchange 2007不过,我记得,同样的事情也适用于 Exchange 2010。

使用 Exchange 管理控制台为邮箱用户启用或禁用 Exchange ActiveSync

  1. 启动 Exchange 管理控制台。

  2. 在控制台树中,展开“收件人配置”,然后单击“邮箱”。

  3. 在结果窗格中,选择要为其启用或禁用 Exchange ActiveSync 的邮箱用户。

  4. 在操作窗格中,在邮箱用户的名称下,单击“属性”。

  5. 在“属性”中的“邮箱功能”选项卡上,单击“Exchange ActiveSync”,然后单击“启用”或“禁用”。

  6. 单击“确定”。

使用 Exchange 命令行管理程序为邮箱用户启用或禁用 Exchange ActiveSyncTo use the Exchange Management Shell to enable or disable Exchange ActiveSync for a mailbox user

  • 运行以下命令为用户 John 启用 Exchange ActiveSync:

设置 CASMailbox-Identity John-ActiveSyncEnabled $true

  • 运行以下命令为用户 John 禁用 Exchange ActiveSync:

设置 CASMailbox-Identity John-ActiveSyncEnabled $false

相关内容