Das iPhone/iPad bietet eine fast vollständige Kompatibilität für ActiveSync-Postfachrichtlinien in Exchange Server 2007/2010/2013 und Office 365, inklusive Remote Wipe, also das Löschen aus der Ferne. Zwar unterstützen iPhone/iPads auch Exchange Server 2003 und damit Small Business Server 2003 (R2), allerdings ist hier die Kompatibilität nicht so stabil wie bei den neueren Exchange-Versionen.
Auch iPhone/iPad-Anwender, die private Daten verwalten oder wichtige Geschäftsdaten auf dem iPhone/iPad speichern, sollten sich Gedanken machen, wie sie diese vor Verlust schützen. Das iPhone/iPad bietet die Möglichkeit, sich remote löschen zu lassen. Das heißt, sobald Sie das iPhone/iPad verlieren oder es gestohlen wird, können Sie es entweder lokalisieren lassen oder remote löschen. Diese Aufgaben werden in iCloud kostenlos erledigt, Sie müssen die Funktion im iPhone/iPad nur aktivieren (Einstellungen\iCloud\Mein iPhone/iPad suchen). Es besteht aber auch die Möglichkeit, es so einzurichten, dass sich das iPhone/iPad selbst automatisch löscht, etwa wenn ein Anwender ein Kennwort zu oft falsch eingibt.
Wie Sie das iPhone/iPad mit Ihrer Unternehmenssoftware verknüpfen, verrät Ihnen der Workshop iPhone/iPad-Praxis: Anbindung an Exchange und SharePoint Server.
iPhone/iPad, Exchange ActiveSync und Richtlinien
Das iPhone/iPad lässt sich problemlos an Exchange anbinden und synchronisieren. Das gilt natürlich auch für die Anbindung an Office 365. Die Verbindung erfolgt per SSL über den Port 443, ist also sehr sicher. Neben der reinen Möglichkeit, E-Mails, Aufgaben und Kontakte zu synchronisieren, können Administratoren durch diese Anbindung Richtlinien auf das iPhone/iPad übertragen oder ein iPhone/iPad löschen lassen, etwa wenn es verloren gegangen ist.
Wir gehen in den folgenden Abschnitten von der Konfiguration in Exchange Server 2010 aus. Diese Richtlinien steuern die Sicherheitseinstellungen auf den Endgeräten, die Exchange ActiveSync unterstützen. Sie können die Richtlinien aber auch mit Exchange 2013 verwenden. Exchange überträgt Richtlinieneinstellungen auf das Endgerät, sobald sich ein Anwender an Exchange anmeldet, um das Postfach zu synchronisieren. Wenn auf dem Gerät noch keine von Exchange/Office 365 geforderten Einstellungen gesetzt sind, blendet das iPhone/iPad automatisch eine entsprechende Information ein.
Administratoren steuern diese Richtlinien in Exchange Server 2010 in der Exchange-Verwaltungskonsole über Organisationskonfiguration/ClientAccess. Wechseln Sie auf die Registerkarte Exchange-ActiveSync-Postfachrichtlinien. Wenn Sie mit der rechten Maustaste in den Ergebnisbereich klicken, können Sie mit dem Menüpunkt Neue Exchange ActiveSync-Postfachrichtlinie Einstellungen für mobile Geräte vorgeben. In Exchange 2013 und Office 365 gehen Sie analog vor. Auch hier haben Sie die Möglichkeit, Sicherheitsrichtlinien in der Weboberfläche zu setzen.
Beispiel Kennwortwiederherstellung
Über die Registerkarte Kennwort konfigurieren Sie die notwendigen Einstellungen für Kennwörter. Besonders interessant ist hier die Option Kennwortwiederherstellung aktivieren.
Benutzer können bei Aktivierung dieser Option über Outlook Web App ein Wiederherstellungskennwort erhalten und die Sperre für ihr Mobiltelefon selbst aufheben, wenn das Gerät aufgrund falscher Kennworteingaben gesperrt ist. Diese Option ist standardmäßig nicht aktiviert. Anwender finden diese Option, wenn sie in Outlook Web App auf Optionen klicken und dann auf Telefon\Mobiltelefone\Wiederherstellungskennwort.
Offiziell unterstützt das iPhone/iPad folgende Einstellungen in den Exchange-ActiveSync-Postfachrichtlinien:
Fernlöschen (Remote Wipe)
Erzwingung eines Codes zum Sperren des Gerätes
Mindestlänge für Kennwörter
Mindestanzahl/Maximale Anzahl falscher Eingaben, bis sich das Gerät selbst löscht oder sperrt
Kennwort muss Ziffern und Buchstaben erhalten
Inaktivitätszeit
Einfaches Kennwort zulassen
Kennwortablauf und Kennwortverlauf
Aktualisierungsintervall für Richtlinien
Mindestanzahl komplexer Zeichen im Kennwort
Kamera zulassen oder sperren
Mit Richtlinien arbeiten
Diese Richtlinien können Sie dann bei den Anwendern als Richtlinie hinterlegen. Dabei lassen sich mehrere Richtlinien einsetzen und verschiedenen Anwendern zuordnen. Bei Apple können Sie sich eine PDF-Datei herunterladen, die alle Möglichkeiten aufzeigt, die das iPhone/iPad mit Exchange ActiveSync bietet.
Das bedeutet: Für verschiedene Anwender lassen sich auch verschiedene Richtlinien hinterlegen. Nach der Installation von Exchange Server 2010 finden Sie in diesem Bereich bereits eine Richtlinie mit der Bezeichnung Default. Diese können Sie problemlos für Anwender verwenden.
Bei jedem Verbindungsvorgang eines Endgeräts, auch von iPhone/iPads mit Exchange-ActiveSync, überprüfen Endgerät und Server, ob die Richtlinieneinstellungen noch übereinstimmen. Ändert ein Administrator die Sicherheitsrichtlinien, übernimmt das Endgerät die Änderungen beim nächsten Synchronisieren. Allerdings unterstützt das iPhone/iPad nicht alle Richtlinieneinstellungen in Exchange Server 2010. Hier sind Tests angesagt, wenn Unternehmen iPhone/iPads mit Exchange verbinden. Haben Sie Richtlinien erstellt oder angepasst, müssen Sie diese noch den entsprechenden Anwendern zuweisen.
Leider kann das iPhone/iPad nicht alle Einstellungen so übernehmen, wie Sie diese einrichten. So lässt sich zum Beispiel in den meisten Fällen die maximale Sperrzeit nur auf bis zu fünf Minuten erhöhen, unabhängig davon, welchen Wert Sie bei der Exchange-ActiveSync-Richtlinie vorgeben.
Standardmäßig ist nach der Installation von Exchange Server 2010 die Richtlinie Default allen Anwendern zugewiesen, für die Sie Exchange ActiveSync aktivieren. Sie können diese Einstellungen aber jederzeit anpassen:
Rufen Sie dazu die Eigenschaften des Benutzerkontos in der Exchange-Verwaltungskonsole unter Empfängerkonfiguration/Postfach auf.
Wechseln Sie auf die Registerkarte Postfachfeatures.
Markieren Sie den Eintrag Exchange ActiveSync, und klicken Sie auf Eigenschaften. Sie können an dieser Stelle Exchange ActiveSync für einen Benutzer auch deaktivieren, sodass sich dieser nicht mehr mit dem iPhone/iPad oder einem anderen Gerät synchronisieren kann.
Klicken Sie auf Durchsuchen.
Wählen Sie die entsprechende Richtlinie aus.
Bestätigen Sie alle Fenster mit OK.
Richtlinien zuweisen, iPhone/iPad-Daten löschen
Wirklich sinnvoll ist eine Richtlinie natürlich erst dann, wenn Sie diese mehreren, am besten allen, Anwendern zuweisen. Die ideale Möglichkeit dazu bietet die Exchange-Verwaltungs-Shell. Um eine Richtlinie allen Anwendern zuzuweisen, verwenden Sie den Befehl Get-Mailbox | Set-CASMailbox -ActiveSyncMailboxPolicy(Get-ActiveSyncMailboxPolicy <Name der Richtlinie>).Identity.
Administratoren haben zusätzlich die Möglichkeit, über das Kontextmenü eines Benutzers den Befehl Mobiltelefon verwalten aufzurufen. Anschließend öffnet sich ein neues Fenster, und Sie sehen, mit welchem Mobilgerät sich der Anwender verbindet, wann seine letzte Synchronisierung war und wann sich das Gerät das erste Mal mit dem Server synchronisiert hat. In Office 365 ist das ebenfalls zu sehen. Hier muss der Benutzer auf das Zahnradsymbol oben rechts klicken und dann die Einstellungen aufrufen. Über den Menüpunkt Telefon sind die Smartphones und Tablets zu sehen, die an Office 365 angebunden sind.
Der Befehl steht erst dann zur Verfügung, wenn sich ein Anwender bereits mit seinem Postfach über ein iPhone/iPad oder ein anderes Gerät synchronisiert hat. Außerdem haben Sie in der Konsole die Möglichkeit, durch Auswahl von Remotezurücksetzung ausführen, um Mobiltelefondaten zu entfernen den Inhalt des Gerätes zu löschen und nicht nur die E-Mails auf dem Gerät. Auch das geht in Office 365.
Sobald sich das iPhone/iPad das nächste Mal mit dem Exchange-Server synchronisieren will, erhält es den Befehl, alle Benutzerdaten zu löschen. Diese Funktion unterstützt das iPhone/iPad problemlos. Achten Sie aber auch hier darauf, dass Sie auf den Geräten die aktuellste iOS-Version installieren.
Haben Sie Änderungen in den Richtlinien definiert, erhalten Anwender auf dem iPhone/iPad eine Meldung und können die Vorgaben umsetzen, zum Beispiel einen neuen Code festlegen, der den hinterlegten Richtlinien entspricht. Anwender können die Umsetzung der Richtlinien auch verweigern, sich in diesem Fall aber nicht mit Exchange ActiveSync synchronisieren.
iPhone/iPad-Verwaltung über Outlook Web App
Natürlich können nicht nur Administratoren das iPhone/iPad von Anwendern verwalten, sondern auch der Anwender selbst. Dazu rufen Sie zunächst Outlook Web App auf, wenn diese Funktion im Internet zur Verfügung steht. Intern erreichen Sie die Funktion über https://<Servername>/owa, extern normalerweise über den gleichen Servernamen, den Sie auch für Exchange ActiveSync verwenden. Sobald Sie an OWA angemeldet sind, rufen Sie über den Menüpunkt rechts oben die Einstellungen Ihres Postfachs auf. Sie erreichen die Verwaltung Ihres Telefons über Telefon\Mobiltelefone\<Name des Gerätes>. Über Wiederherstellungskennwort lassen Sie sich das Kennwort anzeigen, das Ihr iPhone/iPad verlangt, wenn es aufgrund falscher Kennworteingaben gesperrt ist. Das funktioniert auch in Exchange Server 2013.
Sie sehen alle mobilen Geräte, die sich per Exchange ActiveSync mit dem Postfach synchronisieren, sowie ausführliche Details zu dieser Verbindung. Für die einzelnen Telefone können Sie sich auch die Details anzeigen lassen und schauen, ob Richtlinien angewendet wurden beziehungsweise wann der letzte Synchronisierungsvorgang stattgefunden hat.
Über die Schaltfläche Geräterücksetzung löschen Sie das iPhone/iPad, sobald es sich das nächste Mal mit dem Exchange-Server verbindet. Auch Administratoren können einen solchen Löschvorgang starten, indem sie über das Kontextmenü des Benutzerpostfachs die Option Mobiltelefone verwalten aufrufen. Wenn Sie auf Wiederherstellungskennwort klicken, erhalten Sie ein Kennwort, mit dem Sie die Sperre eines Mobiltelefons aufheben können, wenn dieses wegen falscher Anmeldedaten gesperrt ist. Diese Sperre und die Anzeige des Kennwortes in OWA müssen aber in Exchange-ActiveSync-Postfachrichtlinien aktiviert und dem Benutzer zugeordnet sein. Erst dann steht das Wiederherstellungskennwort für Benutzer bereit.
Generell ist es empfehlenswert, dass auf den iPhone/iPads, die sich mit Exchange verbinden, immer das neueste iOS installiert ist. Die Installation erfolgt in iTunes über den Menüpunkt Geräte\<Name des iPhone/iPads>. Im Bereich Version sehen Sie den Versionsstand des iPhone/iPads und können auch bequem eine Aktualisierung durchführen.
iCloud und Exchange ActiveSync
Anwender, die keine Anbindung an Exchange wünschen oder parallel mit iCloud arbeiten, sollten sehr vorsichtig mit der Konfiguration umgehen. Vor allem, wenn sie Kalenderdaten synchronisieren, kann es zu Inkonsistenzen kommen, wenn das iPhone/iPad parallel an Exchange angebunden ist und auch hier den Kalender synchronisiert. Das gilt übrigens auch, wenn Sie das iPhone/iPad an andere Dienste angebunden haben, die Kalender synchronisieren können.
Mit iCloud können Anwender ebenfalls iPhone/iPads remote löschen, auch ohne Exchange ActiveSync zu nutzen. Zusätzlich lassen sich ein iPhone/iPad über die Software orten und Nachrichten senden oder ein sehr lauter Ton abspielen, sodass sich Ihr iPhone/iPad im Falle des Falles leichter finden lässt.
iCloud ermöglicht auch die Synchronisierung von Daten wie Kalender und Notizen. Ein Vorteil von iCloud ist sicherlich die Möglichkeit, mehrere iPhones/iPads und Computer synchron zu halten und die Geräte im Notfall remote zu löschen, ohne auf Exchange zu setzen. Auch die Ortung von Endgeräten kann sinnvoll sein.
Der Dienst ist kostenlos, und es gibt eine Erweiterung für Windows 7/8.1 sowie die Möglichkeit, iCloud in Outlook 2010/2013 anzubinden. Haben Sie im Internet einen Account erstellt, müssen Sie Ihr iPhone/iPad über iTunes auf den aktuellsten Stand bringen. iCloud verwalten Sie über Einstellungen\iCloud, die Daten von iCloud über Einstellungen\E-Mail, Kontakte, Kalender\iCloud.
Als Benutzernamen verwenden Sie Ihre Apple-ID. Sie erhalten über diesen Weg auch eine E-Mail-Adresse mit der Domäne icloud.com. Nach der erfolgreichen Anmeldung können Sie auswählen, welche Daten Sie mit dem iPhone/iPad synchronisieren wollen. Im unteren Bereich bei Einstellungen\iCloud müssen Sie außerdem manuell die Funktion Mein iPhone/iPad suchen aktivieren, wenn Sie Ihr verloren gegangenes iPhone/iPads suchen wollen - dies geht dann über die iCloud.com-Webseite. Sie sehen den Standort über eine Kartenseite. Klicken Sie auf Ihr iPhone/iPad in der Karte, dann können Sie es mit einem Mausklick sperren oder löschen oder eine Nachricht abspielen. Oder Sie setzen das iPhone/iPad auf den Verloren-Modus, sodass ein ehrlicher Finder eine Nachricht erhält und Sie informieren kann.
Die Nachricht erscheint sofort auf dem Display. Zusätzlich ertönt ein sehr lauter Ton, damit Sie hören, wo sich Ihr iPhone/iPad genau befindet, falls Sie in der Nähe sind. Wollen Sie auf Nummer sicher gehen, können Sie durch einen Klick das iPhone/iPad ohne weitere Meldungen löschen lassen. In diesem Fall sind auf dem Gerät keinerlei Benutzerdaten mehr verfügbar. Diese Sicherheitsfunktion ist natürlich nur dann sinnvoll, wenn das iPhone/iPad angeschaltet und mit dem Internet verbunden ist.
Lokale Sicherheit erhöhen
Neben den Möglichkeiten, iPhone/iPads über iCloud oder Exchange remote aus der Ferne zu löschen beziehungsweise Richtlinien einzustellen, sollten Sie auch lokal mit Kennwörtern arbeiten, um zumindest Ihre Daten bei Verlust zu schützen. Sie finden diese Möglichkeit über Einstellungen\Code.
Sie können hier eingeben, wann sich das iPhone/iPad sperren soll, ebenso den Code, den Sie benötigen, um das iPhone/iPad zu entsperren. Dieser Code hat nichts mit der PIN des iPhone/iPads zu tun, sondern ist im iPhone/iPad-Speicher hinterlegt.
Legen Administratoren über Exchange ActiveSync Richtlinien fest, die die Kennwortsicherheit betreffen, müssen Sie an dieser Stelle das Kennwort so setzen, wie es die Richtlinie vorgibt. Eine weitere Sicherheitsfunktion des iPhones/iPads löscht alle Daten auf dem Gerät, wenn der Code Kennwort zehnmal falsch eingegeben wird. Dazu aktivieren Sie die Option Daten löschen in dem Fenster, in dem Sie auch den Code eingeben. Diese ist standardmäßig nicht aktiviert.
Die Funktion hat nichts mit dem manuellen Löschen per Remote über iCloud oder Exchange ActiveSync zu tun, sondern ist im iPhone/iPad integriert, sozusagen ein weiterer Schutz vor dem Datenzugriff Fremder für den Fall, dass Sie Ihr iPhone/iPad verlieren. (cvi)