Der mobile Zugriff auf ein Postfach ist in Exchange Server 2013 standardmäßig für alle Benutzer aktiviert. Hat ein Anwender mit seinem Endgerät Verbindung zum Netzwerk oder Internet, und steht der Client-Access-Server zur Verfügung, kann er seine E-Mails entsprechend synchronisieren.
Admins können über die Exchange-Verwaltungskonsole für einzelne Benutzer Exchange ActiveSync aktivieren oder deaktivieren:
1. Klicken Sie dazu auf Empfänger/Postfächer.
2. Rufen Sie die Eigenschaften des entsprechenden Benutzerkontos auf.
3. Klicken Sie auf Postfachfunktionen.
4. Über die Schaltfläche Details anzeigen im Bereich Mobile Geräte können Sie eine Exchange-ActiveSync-Postfachrichtlinie zuweisen und Einstellungen anpassen. Diesem Thema widmen wir uns später detailliert.
Wollen Sie für Benutzer Exchange ActiveSync deaktivieren, können Sie auch die Exchange-Verwaltungs-Shell und den folgenden Befehl verwenden:
Set-CASMailbox -Identity <Benutzername> -ActiveSyncEnabled $false
Wenn Sie einen Benutzer aktivieren wollen, verwenden Sie:
Set-CASMailbox -Identity <Benutzername> -ActiveSyncEnabled $true
Auf die gleiche Art und Weise deaktivieren und aktivieren Sie auch Outlook Web App. Verwenden Sie dazu die beiden Befehle:
Set-CASMailbox -Identity <Benutzername> -OWAEnabled $false
und
Set-CASMailbox -Identity <Benutzername> -OWAEnabled $true
Exchange-ActiveSync-Postfachrichtlinien
In Exchange Server 2013 können Sie über Richtlinien steuern, welche Geräte der Server zur Synchronisierung zulässt und welche Einstellungen für die Geräte gesetzt sein müssen. Zusätzlich steuern Sie über Exchange-ActiveSync-Postfachrichtlinien Sicherheitseinstellungen für Benutzer. Sobald sich ein Endgerät mit dem Postfach verbindet, überträgt der Server die Einstellungen.
Benutzer müssen diese bestätigen, auf den Geräten umsetzen und dürfen sich erst dann mit ihrem Postfach synchronisieren. Das heißt, beim Einsatz von eigenen Geräten können Benutzer selbst entscheiden, ob eine Verbindung gewünscht ist. Die Exchange-ActiveSync-Postfachrichtlinien steuern die Sicherheitseinstellungen auf den Endgeräten.
Die Richtlinien konfigurieren Sie in der Exchange-Verwaltungskonsole über Mobil\Postfachrichtlinien für mobile Geräte. Wenn Sie auf das Pluszeichen klicken, erstellen Sie eine neue Richtlinie. Diese Richtlinien können Sie dann den Anwendern zuweisen.
Nach der Installation von Exchange Server 2013 finden Sie in diesem Bereich eine Richtlinie mit der Bezeichnung Default. Über deren Eigenschaften können Sie die Einstellungen anpassen. Sie können unterschiedlichen Benutzern auch verschiedene Richtlinien zuordnen. Bestätigt der Anwender die Richtlinien, setzt das entsprechende Endgerät die Einstellungen um.
Bei jedem Verbindungsvorgang eines Endgeräts mit Exchange-ActiveSync überprüfen Endgerät und Server, ob die Richtlinien noch übereinstimmen. Ändert ein Administrator die Sicherheitsrichtlinien, übernehmen die Endgeräte Änderungen beim nächsten Synchronisieren. Der Zeitstempel für die letzte erfolgreiche Synchronisierung der Richtlinien ist im Postfach des Benutzers gespeichert. Über verschiedene Optionen können Sie die Einstellung der Richtlinie vornehmen.
Mit Richtlinien in Exchange 2013 arbeiten
Hier können Sie bestimmen, ob die Richtlinie aktuell als Standard hinterlegt ist. Das heißt, Exchange weist diese Richtlinie jedem neuen Konto nach der Erstellung automatisch zu. Nachträglich können Sie jedem Konto eine andere Richtlinie zuordnen.
Sie können über Richtlinien festlegen, dass Anwender vor der Verwendung des Endgeräts ein Kennwort eingeben müssen. Standardmäßig ist diese Möglichkeit nicht aktiviert, und Anwender können Smartphones ohne Kennwörter verwenden. Wollen Sie festlegen, dass Anwender Kennwörter eingeben sollen, wenn das Smartphone startet oder gesperrt ist, stehen Ihnen verschiedene Möglichkeiten zur Verfügung:
1. Kennwort anfordern - Wenn Sie diese Option aktivieren, müssen Anwender ein Kennwort für das Smartphone festlegen. Mit den anderen Optionen können Sie den Aufbau der Kennwörter steuern.
2. Alphanumerisches Kennwort anfordern - Aktivieren Sie diese Option, dann darf das Kennwort nicht nur Ziffern enthalten, sondern auch normale Zeichen. Diese Option ist standardmäßig nicht aktiv.
3. Verschlüsselung für Gerät anfordern - Wenn Sie diese Option aktivieren, müssen die Speicherkarten im Gerät verschlüsselt sein. Diese Option ist standardmäßig nicht aktiviert.
4. Minimale Kennwortlänge - Diese Option gibt die Mindestlänge des Kennworts an.
5. Sie können Informationen zu Richtlinien auch in der Verwaltungs-Shell abrufen. Dazu verwenden Sie das CMDlet Get-ActiveSyncMailboxPolicy -Identity <Name der Richtlinie>. Mit Set-ActiveSyncMailboxPolicy passen Sie Richtlinien an.
Neue Richtlinien erstellen und zuweisen
Eine neue Richtlinie legen Sie unter Exchange 2013 mit folgendem Befehl an:
New-MobileDeviceMailboxPolicy -Name:"Management" -AllowBluetooth:$true -AllowBrowser:$true -AllowCamera:$true -AllowPOPIMAPEmail:$false -PasswordEnabled:$true -AlphanumericPasswordRequired:$true -PasswordRecoveryEnabled:$true -MaxEmailAgeFilter:10 -AllowWiFi:$true -AllowStorageCard:$true -AllowPOPIMAPEmail:$false
Sinnvoll ist eine Richtlinie natürlich erst dann, wenn Sie diese mehreren, am besten allen, Anwendern zuweisen. Diese Möglichkeit bietet Ihnen die Exchange-Verwaltungs-Shell.
Um eine Richtlinie allen Anwendern zuzuweisen, verwenden Sie den Befehl:
Get-Mailbox | Set-CASMailbox -ActiveSyncMailboxPolicy(Get-ActiveSyncMailboxPolicy <Name der Richtlinie>).Identity
Administratoren können zusätzlich in den Einstellungen eines Benutzers die Einstellungen der Richtlinien anpassen. Exchange überträgt Richtlinieneinstellungen auf das Endgerät, sobald sich ein Anwender an Exchange anmeldet, um das Postfach zu synchronisieren.
Administratoren steuern diese Richtlinien in Exchange in der Exchange-Verwaltungskonsole über Mobil\Postfachrichtlinien für mobile Geräte. Bei jedem Verbindungsvorgang überprüfen Endgerät und Server, ob die Richtlinieneinstellungen noch übereinstimmen. Ändert ein Administrator die Sicherheitsrichtlinien, übernimmt das Endgerät die Änderungen beim nächsten Synchronisieren. Natürlich können nicht nur Administratoren das Mobiltelefon von Anwendern verwalten, sondern auch der Anwender selbst.
Smartphones verwalten
Um Smartphones zu verwalten, rufen Sie zunächst Outlook Web App auf, wenn diese Funktion im Internet zur Verfügung steht. Intern erreichen Sie die Funktion über https://<Servername>/owa, extern normalerweise über den gleichen Servernamen, den Sie auch für Exchange ActiveSync verwenden.
Sobald Sie an OWA angemeldet sind, rufen Sie über den Menüpunkt rechts oben die Einstellungen Ihres Postfachs auf. Sie erreichen die Verwaltung Ihres Telefons über Telefon\Mobiltelefone\<Name des Gerätes>.
Anwender können sich für die einzelnen Telefone auch die Details anzeigen lassen und sehen, ob Richtlinien angewendet wurden beziehungsweise wann der letzte Synchronisierungsvorgang stattgefunden hat. Über die Schaltfläche Geräte zurücksetzen löschen Sie das Endgerät, sobald es sich das nächste Mal mit dem Exchange-Server verbindet.
Auch Administratoren können ein solchen Löschvorgang starten, indem sie in der Exchange-Verwaltungskonsole beim Empfänger auf Postfachfunktionen und dann auf Details anzeigen im Bereich Mobile Geräte klicken.
Sie können sich die verbundenen Smartphones von Anwendern auch in der Exchange-Verwaltungsshell anzeigen lassen. Dazu verwenden Sie das CMDlet Get-MobileDevice -Mailbox <Benutzername>.
ActiveSync-Gerätezugriffsregeln
Exchange Server 2013 bietet die Möglichkeit Regeln festzulegen, die bestimmen, welche Geräte über das Internet eine Synchronisierung mit dem Postfach durchführen dürfen und welche Exchange sperrt.
Sie haben neben der Option der Weitergabe von Richtlinien für Sicherheitseinstellungen der Geräte daher auch die Möglichkeit Richtlinien festzulegen, welche Smartphones und Endgeräte Sie im Unternehmen bei der Anbindung an Exchange Server 2013 zulassen.
Die Einstellungen dazu nehmen Sie mit ActiveSync-Gerätezugriffsregeln vor. Die entsprechenden Einstellungen rufen Sie in der Exchange-Verwaltungs-Shell mit dem CMDlet Get-ActiveSyncOrganizationSettings ab. Die Einstellungen selbst setzen Sie am einfachsten in der Exchange-Verwaltungskonsole, die Sie über https://<Servername>/ecp aufrufen. Die Einstellungen finden Sie über Mobil und Zugriff auf mobile Geräte.
Über Gerätezugriffsregeln legen Sie fest, welche Geräte Sie generell blockieren oder isolieren wollen. Dazu klicken Sie auf Neu und erstellen eine neue Richtlinie.
Über Gerätefamilie oder Nur dieses Modell legen Sie fest, welche Art von Geräten Sie berücksichtigen wollen. Anschließend können Sie über die Schaltfläche Zugriff blockieren die entsprechenden Geräte blockieren. Blockierte Geräte lassen sich auf diese Weise auch wieder freischalten, indem Sie die Option bei Zugriff zulassen setzen.
Zusätzlich haben Sie die Möglichkeit, bestimmte Geräte in einen isolierten Bereich zu setzen. Die Benutzer können wiederum den Einstellungen für ihre eigenen Smartphones die entsprechenden Geräte freischalten oder blockieren. Darüber hinaus können Sie in diesem Bereich auch Regeln erstellen, wie sich Exchange künftig verhalten soll, wenn sich der Anwender mit einem ähnlichen Gerät verbindet. Im Bereich Status sehen Sie den aktuellen Blockierungszustand.
Gerätezugriffsregeln konfigurieren
Über den Link Bearbeiten oben nehmen Sie Einstellungen bezüglich der Benachrichtigungen vor. Hier legen Sie fest, was mit Geräten passieren soll, die Exchange noch nicht kennt, und wie Exchange Anwender hinsichtlich gesperrter Geräte benachrichtigt.
Sie können zum Beispiel neue Geräte automatisch blockieren oder isolieren lassen, bevor sich Anwender mit diesen synchronisieren dürfen. Standardmäßig lassen Exchange Server 2013 und Office 365 neue Geräte zu.
Blockiert Exchange ein neues Gerät oder setzt dieses in den isolierten Bereich von Outlook Web App, können Sie an dieser Stelle einen E-Mail-Text eingeben. Diesen erhält der Anwender in sein Postfach zugestellt, wenn er sich mit einem blockierten Gerät synchronisieren will.
Die Einstellungen in diesem Bereich testen Sie zum Beispiel auch mit dem CMDlet Test-ActiveSyncConnectivity. Dieses verhält sich generell wie ein normales Smartphone und lässt sich auch entsprechend sperren. Im ersten Schritt speichern Sie die Benutzerdaten des Users, mit dem Sie den Zugriff testen wollen, in einer Variablen:
$credential = Get-Credential
Anschließend testen Sie den Zugang mit:
Test-ActiveSyncConnectivity -MailboxCredential $credential
Haben Sie ein Gerät gesperrt, erhält der entsprechende Anwender eine E-Mail zugestellt. Den Text legen Sie in den beschriebenen Einstellungen fest.
Wenn Sie auf Postfachrichtlinien für mobile Geräte klicken, können Sie steuern, welche Sicherheitseinstellungen Smartphones verwenden müssen, damit Exchange eine Synchronisierung zulässt.
Standardmäßig legt Exchange eine Standardrichtlinie an, deren Einstellungen Sie mit Details verwalten. Mit Neu kann eine zusätzliche Richtlinie erstellt werden, die Sie dann speziellen Anwendern zuweisen. Sie können Anwendern problemlos unterschiedliche Richtlinien zuweisen.
AutoDiscovery in der Exchange-Verwaltungs-Shell testen
Damit sich Smartphones oder andere Clients nur durch Eingabe von E-Mail-Adresse und Kennwort verbinden können, muss in der Exchange-Organisation AutoDiscovery im Einsatz sein. Sie können sich die Einstellungen für Autodiscover in der Exchange-Verwaltungs-Shell anzeigen lassen.
Verwenden Sie dazu den Befehl Get-AutodiscoverVirtualDirectory. Die Ausgabe zeigt die Client-Access-Server an, die über ein solches Verzeichnis verfügen. Verwenden Sie noch die Option |fl, um ausführlichere Informationen anzuzeigen. Mit dem CMDlet Set-AutodiscoverVirtualDirectory ändern Sie die Einstellungen für Autodiscover.
Auch mit dem CMDlet Get-ClientAccessServer |fl können Sie sich Informationen zu Autodiscover-Einstellungen der einzelnen Server anzeigen lassen. Verwenden Sie den Befehl Get-ClientAccessServer |fl AutoDiscover*, dann zeigt die Konsole nur Informationen zum Thema an.
Verbindungstests durchführen
Auf dem Clientzugriffsserver starten Sie mit dem Cmdlet Test-OutlookConnectivity einen Verbindungstest. Bevor Sie den Test mit dem Cmdlet ausführen, müssen Sie mit dem Skript New-TestCasConnectivityUser.ps1 einen Testbenutzer erstellen.
Um das Skript auszuführen, wechseln Sie in der Exchange-Verwaltungs-Shell in das Verzeichnis C:\Program Files\Microsoft\Exchange Server\V15\Scripts. Geben Sie den Befehl in der Form .\New-TestCasConnectivityUser.ps1 ein. Anschließend fragt Sie das Skript nach einem sicheren Kennwort für den neuen Testbenutzer. Den Namen des Benutzers legt das Skript selbst fest.
Bestätigen Sie das Anlegen mit der Eingabetaste. Sie starten das Skript direkt so, dass ein passender Postfachserver automatisch mitgegeben wird. Die Syntax dazu ist
get-mailboxServer | .\new-TestCasConnectivityUser.ps1
Achten Sie darauf, den Befehl am besten direkt im Verzeichnis C:\Program Files\Microsoft\Exchange Server\V15\Scripts auszuführen. (mje)