none
Throttling Policy | EAS Max-Device | System Message RRS feed

  • Frage

  • Moin,

    Wir haben seit wenigen Tagen zu Test Zwecken eine neue Throttling Policy erstellt, die den Zugriff der EAS Patnerschaften auf 1 beschränkt.

    Diese funktioniert einwandfrei, jedoch bekommt der User eine Mail, in dem beschrieben wird, wie er seine aktuelle Patnerschaft löschen kann (ECP - Telefone usw.)

    Wir wollen nicht, dass er beschrieben bekommt, wie man diese Patnerschaft löschen kann. Allerdings soll er weiterhin Zugriff auf die Telefonoption im ECP haben.

    Meine Frage: Gibt es die Möglichkeit, diese Systemmessage anzupassen damit nicht erläutert wird, wie man die EAS Verbindung löscht?

    Oder gibt es irgendeine Option, wie die Funktion im ECP für das Löschen der EAS Partnerschaft unterbunden werden kann? Z.b. durch entziehen spezieller Rechte auf ein AD Attribut oder ähnlichem. Der Einsatz von RBAC fällt weg, da der User im ECP die Möglichkeit haben soll, seine Geräte zu sehen, jedoch nicht bearbeiten zu können.

    3rd Party Tools sind auch keine Option für uns. Vielleicht kenn ja einer von euch einen Weg.

    Freitag, 16. Dezember 2011 13:48

Antworten

  • Hi,

    danke für die Idee jedoch war das auch nicht das, was ich gesucht habe.

    Allerdings sind wir jetzt durch Zufall auf die Lösung gestoßen.

    Man kann in der Throttling Policy zuätzlich einen Wert setzen der sich "EASMaxDeviceDeletesPerMonth" nennt. Wenn man diesen Nullt kann der Anwender keine Devices löschen.

    • Als Antwort markiert marcel1987 Freitag, 10. Februar 2012 10:26
    Freitag, 10. Februar 2012 10:26

Alle Antworten

  • Moin,

    ich vermute mal du möchtest verhindern, das jemand sein Partnerschaft mit dem Firmen Device aufhebt und dafür ein privates Gerät hinzufügt ....

    Das würde ich nicht über eine Policy machen. Der sicherste Weg dazu ist die zertifikatsbasierte Anmeldung der mobilen Geräte. In diesem Fall bekommt jedes Gerät ein Zertifikat für die Anmeldung, welches der Benutzer nicht vom Gerät runter kopieren kann. Es lässt sich also auch nicht auf ein anderes Gerät übertragen. Da du die Zertifikate verteilst, hast du die volle Kontrolle darüber, welche Geräte EAS machen dürfen.

    Nebenbei werden dann auch keine Kennwörter mehr auf dem Gerät gespeichert. Der Weg dahin ist allerdings nicht ganz so einfach. Es ist aber ohne 3rd Party Tool zu realisieren.

    Hier gibt es eine Link-Sammlung zu dem Thema:
    http://www.msxfaq.de/mobil/eascert.htm

     


    Viele Grüße Carsten
    Montag, 19. Dezember 2011 07:59
  • Hi marcel1987,

    ich Carstens Vorschlage am Besten, aber du könntest auch die Emails mit einer Transportregel abfangen. Die Systemnachrichten kannst du IMHO nicht abfängen und ich habe auch keine Einstellungen gefunden, um sie abzuschalten.


    Viele Grüße
    Christian

    Montag, 19. Dezember 2011 17:35
    Moderator
  • Hallo Marcel,

    ist das Problem durch die Antworten gelöst?

    --
    Gruß Malte Schoch
    www.msblog.eu

    Dienstag, 20. Dezember 2011 17:44
  • Hallo Malte,

    nein ist es leider nicht.

    Es gibt doch best. die Möglichkeit iwo die Systemnachricht anzupassen, oder?

    Diese muss doch iwo als Standard Text hinterlegt sein.

    Mittwoch, 21. Dezember 2011 07:16
  • Hallo Marcel,

    also mir ist z.Z. keine Möglichkeit bekannt, die Systemnachrichten zu verändern. Was spricht denn gegen Carstens Vorschlag oder dagegen diese abzufangen?

    --
    Gruß Malte Schoch
    www.msblog.eu

    Mittwoch, 21. Dezember 2011 09:19
  • Hallo Markus,

    Christian hat noch was gutes gefunden :-)

    http://msundis.wordpress.com/2010/05/19/create-view-and-modify-custom-dsn-messages-in-exchange-2007-and-2010/

    Wenn es DSN Nachrichten sind, könntest du sie vielleicht so anpassen? Ich habe es noch nicht getestet aber vll wäre es ein Versuch wert?

    --
    Gruß Malte Schoch
    www.msblog.eu

    Mittwoch, 21. Dezember 2011 09:35
  • Hi,

    Ich hatte mir mal alles Systemnachrichten mit -Original auflisten lassen, jedoch war nichts über EAS Partnerschaft dabei.

    Die Mail sieht auch nicht aus wie eine DSN Nachricht - bei den DSN´s stehen ja in den Mails noch die Error Codes etc....

    Bei Dieser Nachricht leider nicht.

    Allerdings hab ich so jetzt rausgefunden, dass man eig. jeden Standard DSN Text anpassen kann :)

    Also dafür danke, aber für das eig. Thema mit der Throttling Policy hab ich noch keine Lösung.

    Danke

    Gruß

     

    Donnerstag, 22. Dezember 2011 13:09
  • Hi,

    mir erschließt sich nicht genau warum du es nicht über RBAC machen möchtest? In RBAC kann man jedes einzelne cmdlet zu einer Rolle hinzufügen, du könntest beim User also den "get-Activesync..." drinlassen und Clear-Activesync löschen aus der RBAC-Rolle.

    Such dir einfach aus der Liste die richtigen Befehle aus ;-).

    Die RBAC-Rollen gelten für alle Zugriffe, also für MMC, Powershell, ECP.

     

    Warum soll eigentlich ein User sein Device nicht löschen dürfen? Vielleicht kann man das Problem ja ganz anders lösen?

     


    Viele Grüße Walter Steinsdorfer MVP Exchange Server http://msmvps.com/blogs/wstein/
    Sonntag, 8. Januar 2012 16:41
    Moderator
  • Hi,

     

    erstmal vielen Dank für die Idee.

    Es geht darum, dass die User kein privates Device verbinden. Sondern lediglich das FirmenDevice welches von uns eingebunden wird. Im Anschluss soll kein weiteres herstellen einer EAS Partnerschaft möglich sein und zusätzlich soll kein löschen des Devices möglich sein. Einfach um sicherzustellen, dass nur das Firmengerät verbunden wird.

     

    Das mit den CMDLets ist an für sich eine gute Idee - jedoch weiß ich nicht so ganz wie das Konfiguriert wird.

    Dabei handelt es sich jetzt aber um Administrator Roles, oder?

     

    Wie muss ich das dann über die EMS einkippen? über die Rolle direkt? Über RoleGroupMember? Ich hab keine Ahnung und google hat mir auch nichts wirklich hilfreiches ausgegeben.

     

    Danke

    Montag, 9. Januar 2012 14:46
  • Hi,

    ah, gut das du das Problem beschrieben hast, du suchst wahrscheinlich eher das hier:

    http://blogs.technet.com/b/exchange/archive/2010/11/15/3411539.aspx 

    Viel Spass damit.


    Viele Grüße Walter Steinsdorfer MVP Exchange Server http://msmvps.com/blogs/wstein/
    Montag, 9. Januar 2012 14:56
    Moderator
  • Hi,

    danke für die Idee jedoch war das auch nicht das, was ich gesucht habe.

    Allerdings sind wir jetzt durch Zufall auf die Lösung gestoßen.

    Man kann in der Throttling Policy zuätzlich einen Wert setzen der sich "EASMaxDeviceDeletesPerMonth" nennt. Wenn man diesen Nullt kann der Anwender keine Devices löschen.

    • Als Antwort markiert marcel1987 Freitag, 10. Februar 2012 10:26
    Freitag, 10. Februar 2012 10:26