Grundlegendes zur Verwaltung mobiler Geräte

 

Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Letztes Änderungsdatum des Themas: 2014-03-05

MicrosoftExchange Server 2010 Service Pack 1 (SP1) und MicrosoftExchange ActiveSync bieten viele verschiedene Funktionen für Benutzer und Administratoren. Als Administrator können Sie Zulassungslisten, Sperrlisten und Quarantänelisten erstellen, die angeben, auf welche mobilen Geräte die Exchange-Postfächer zugreifen können. Mithilfe einer Quarantäneliste können Sie zulassen, dass nur ein einem Benutzer zugewiesenes Gerät eine Verbindung mit dem Exchange-Server herstellt.

Hinweis

In diesem Thema bezieht sich der Begriff "mobiles Gerät" auf mobile Geräte mit oder ohne Mobilfunkdienst. Von allen Mobiltelefonen und mobilen Geräten wird eine Art Internetverbindung angenommen, entweder mit Datenplänen oder mit Internetzugriff per Funk.

Inhalt

Bestimmen des Zugriffsstatus eines mobilen Geräts

Grundlegendes zum Gerätezugriffsstatus

Steuern des Gerätezugriffs

Konfigurieren von Strategien für die allgemeine Zugriffsverwaltung

Bestimmen des Zugriffsstatus eines mobilen Geräts

Exchange 2010 SP1-Server befolgen eine einfache, logische Folge, um den Zugriffsstatus eines mobilen Geräts zu bestimmen. Jedes Gerät kann entweder zugelassen, blockiert oder unter Quarantäne gestellt sein. Sie können den Zugriffsstatus jedes Geräts über eine Organisationsregel oder eine Ausnahme definieren. Eine Ausnahme ist eine Regel, die auf einen einzelnen Benutzer oder auf ein einzelnes Gerät angewendet wird. Sie tritt immer dann auf, wenn eine Exchange ActiveSync-Anforderung von einem mobilen Gerät empfangen wird, das versucht, Daten von einem auf einem Exchange 2010-Server gespeicherten Postfach zu synchronisieren. Die Folge von Herausforderungen umfasst die folgenden Schritte:

  1. Ist das mobile Gerät authentifiziert?   Falls nicht, stellen Sie die korrekten Anmeldeinformationen fest. Fahren Sie andernfalls mit dem nächsten Schritt fort.

  2. Ist Exchange ActiveSync für den aktuellen Benutzer aktiviert?   Falls nicht, wird ein Fehler "Eingeschränkter Zugriff" auf dem Gerät zurückgegeben. Fahren Sie andernfalls mit dem nächsten Schritt fort.

  3. Entspricht das aktuelle mobile Gerät den Kriterien mobiler Richtliniendurchsetzung?   Falls nicht, blockieren Sie den Zugriff. Fahren Sie andernfalls mit dem nächsten Schritt fort.

  4. Ist das mobile Gerät durch eine persönliche Ausnahme für den Benutzer blockiert?   Falls ja, blockieren Sie den Zugriff. Fahren Sie andernfalls mit dem nächsten Schritt fort.

  5. Ist das mobile Gerät durch eine persönliche Ausnahme für den Benutzer zugelassen?   Falls ja, erteilen Sie Vollzugriff. Fahren Sie andernfalls mit dem nächsten Schritt fort.

  6. Ist das mobile Gerät durch eine Gerätezugriffsregel blockiert?   Falls ja, blockieren Sie den Zugriff. Fahren Sie andernfalls mit dem nächsten Schritt fort.

  7. Wurde das mobile Gerät aufgrund einer Gerätezugriffsregel unter Quarantäne gestellt?   Falls ja, stellen Sie das Gerät unter Quarantäne. Fahren Sie andernfalls mit dem nächsten Schritt fort.

  8. Ist das mobile Gerät durch eine Gerätezugriffsregel zugelassen?   Falls ja, erteilen Sie Vollzugriff. Fahren Sie andernfalls mit dem nächsten Schritt fort.

  9. Anwenden des Standardzugriffsstatus entsprechend den Exchange ActiveSync-Organisationseinstellungen.   Dadurch wird Zugriff erteilt oder blockiert oder das aktuelle Gerät unter Quarantäne gestellt, abhängig von den Organisationseinstellungen.

Zurück zum Seitenanfang

Grundlegendes zum Gerätezugriffsstatus

Ein Gerätezugriffsstatus ist der Status eines bestimmten Geräts. Der Zugriffsstatus eines Geräts kann einer der folgenden sein: "Zugelassen", "Blockiert" oder "In Quarantäne". Sie können den Gerätezugriffsstatus auf mehrere Arten steuern. Ein mobiles Gerät verhält sich in jedem Zugriffsstatus unterschiedlich.

Zugriffsstatus "Zugelassen"

Im Zugriffsstatus "Zugelassen" kann sich ein mobiles Gerät über Exchange ActiveSync synchronisieren und eine Verbindung zum Exchange-Server herstellen, um E-Mails abzurufen und Kalenderinformationen, Kontakte, Aufgaben und Notizen zu bearbeiten. Dies bleibt bestehen, solange das Gerät den von Ihnen konfigurierten Exchange ActiveSync-Postfachrichtlinien entspricht.

Weitere Informationen finden Sie unter Anzeigen oder Konfigurieren der Eigenschaften der Exchange ActiveSync-Postfachrichtlinie.

Zugriffsstatus "Blockiert"

Ein aufgrund der von Ihnen konfigurierten Gerätezugriffseinstellungen blockiertes mobiles Gerät kann keine Verbindung zum Exchange-Server herstellen. Fehler der Art "HTTP 403 Verboten" werden angezeigt. Der Benutzer erhält eine E-Mail-Nachricht vom Exchange-Server mit der Mitteilung, dass der Zugriff des mobilen Geräts auf das Postfach blockiert wurde. Sie können einen angepassten Text mit Anweisungen für den Benutzer des blockierten Geräts zu dieser Nachricht hinzufügen.

Ein mobiles Gerät kann auch blockiert werden, weil es den Exchange ActiveSync-Postfachrichtlinien nicht entspricht. Wenn dies der Fall ist, erhält der Benutzer keine E-Mail-Nachricht mit der Mitteilung, dass der Zugriff des mobilen Geräts auf das Postfach blockiert wurde. Die Informationen zum mobilen Gerät in Outlook Web App zeigen jedoch an, dass es aufgrund eines Fehlers bei der Anwendung der Exchange ActiveSync-Postfachrichtlinien blockiert ist.

Zugriffsstatus "In Quarantäne"

Wenn ein mobiles Gerät isoliert wird, ist es zulässig, dass das mobile Gerät eine Verbindung mit dem Exchange-Server herstellt. Es erhält jedoch nur begrenzten Zugriff auf Daten. Der Benutzer kann Inhalte zu den eigenen Ordnern "Kalender", "Kontakte", "Aufgaben" und "Notizen" hinzufügen. Der Server lässt es jedoch nicht zu, dass das Gerät Inhalte aus dem Benutzerpostfach abruft. Der Benutzer erhält eine einzelne E-Mail-Nachricht mit der Mitteilung, dass sich das mobile Gerät in Quarantäne befindet. Diese Nachricht wird vom Gerät empfangen und ist auch im Benutzerpostfach verfügbar. Sie können einen angepassten Text mit Anweisungen für den Benutzer des Geräts in Quarantäne zu dieser Nachricht hinzufügen.

Bei der Konfiguration der Exchange ActiveSync-Organisationseinstellungen können Sie einen oder mehrere Administratoren angeben, die eine E-Mail-Nachricht erhalten, wenn ein Gerät, das sich in Quarantäne befindet, zum ersten Mal versucht, eine Verbindung zum Exchange-Server herzustellen. Die Administratoren können anschließend entscheiden, ob das mobile Gerät aus der Quarantäne entfernt werden soll, indem sie eine persönliche Ausnahme erstellen, ob das Gerät komplett blockiert werden soll, oder ob eine Regel erstellt werden soll, die eine Aktion für das mobile Gerät und ähnliche mobile Geräte durchführt.

Hinweis Ein standardmäßiger Upgradeaktivierungszeitraum ermöglicht Geräten in Quarantäne, die Synchronisierung mit Postfächern fortzusetzen, die von früheren Versionen von Exchange nach Exchange Server 2010 verschoben wurden. Der standardmäßige Upgradeaktivierungszeitraum beträgt sieben (7) Tage; er beginnt mit der Aktualisierung des Synchronisierungsstatus des Geräts. Der Gerätezugriffsstatus wird nur aktualisiert, wenn ein Gerät den Exchange-Server kontaktiert. Der Zugriffsstatus wird also nicht aktualisiert, wenn das Gerät keine Verbindung mit einem Server herstellt.

Auch wenn vor dem Upgrade kein Synchronisierungsstatus für das Gerät erkannt wird, wenn auf diesem die frühere Version von Exchange ausgeführt wird, erhält das Gerät keinen Upgradeaktivierungszeitraum.

Zugriffsstatus "Geräteermittlung"

In dem Moment, in dem ein mobiles Gerät zum ersten Mal eine Verbindung mit Exchange ActiveSync herstellt, befindet sich das Gerät im Zugriffsstatus "Geräteermittlung". In diesem Status befindet sich das Gerät in Quarantäne, bis es vom Server erkannt wird. Dieser Status kann eine bis 14 Minuten andauern. Es wird keine E-Mail-Nachricht an die Administratoren oder den Benutzer gesendet, wenn sich das mobile Gerät in diesem Status befindet.

Zugriffsstatus "Postfachupgrade"

Wenn sich ein mobiles Gerät im Zugriffsstatus "Postfachupgrade" befindet, erhält es Vollzugriff auf das Benutzerpostfach. Der Zugriffsstatus "Postfachupgrade" entspricht dem Status "Zugelassen", außer dass er nicht länger als sieben Tage ab der ersten Verbindung des Geräts mit einem Exchange 2010-Server nach dem Verschieben eines Postfachs von einer früheren Version von Microsoft Exchange andauern kann. Dieser Status ist notwendig, um mobilen Geräten ausreichend Zeit zu geben, ihre Informationen und Kommunikationsprotokolle korrekt auf die aktuelle Exchange ActiveSync-Version zu aktualisieren und vom Gerätezugriffsverwaltungssystem erkannt zu werden. Sobald ein mobiles Gerät erkannt wurde, wendet Exchange den geeigneten Zugriff basierend auf der Exchange 2010-Konfiguration an.

Zurück zum Seitenanfang

Steuern des Gerätezugriffs

Sie können den Gerätezugriff durch Konfiguration der folgenden Optionen steuern:

  • Persönliche Ausnahmen für Benutzer.

  • Organisationsweite Regeln für mobile Gerätefamilien oder bestimmte Modelle.

  • Standardzugriffsstatus für alle Geräte, die keiner anderen Kategorie angehören.

Erstellen von persönlichen Ausnahmen

Sie können ein bestimmtes mobiles Gerät einem bestimmten Benutzer zuweisen. Diese Zuweisung ermöglicht es, Zugriff auf bestimmte Gerät explizit zuzulassen oder zu blockieren, unabhängig von Regeln und anderen Gerätezugriffseinstellungen. Wenn ein mobiles Gerät für den bestimmten Benutzer nicht explizit zugelassen oder blockiert wird, wird der Gerätezugriff entsprechend der nummerierten Schritte oben bestimmt.

Hinweis

Anders als unter Microsoft Exchange Server 2007 bedeutet das explizite Zulassen des Zugriffs auf ein Gerät nicht, dass der Zugriff auf andere Geräte implizit verweigert wird. Wenn ein Benutzer versucht, eine Verbindung zu einem anderen Gerät herzustellen, wird der Zugriffsstatus durch die Gerätezugriffseinstellungen der Organisation bestimmt.

Persönliche Ausnahmen können mithilfe des Cmdlets Set-CASMailbox oder der Exchange-Systemsteuerung erstellt werden.

Erstellen von Gerätezugriffsregeln

Gerätezugriffsregeln ermöglichen das Festlegen der für eine bestimmte Gruppe an Geräten verfügbaren Zugriffsart je nach den Geräteeigenschaften, z. B. Modell. Zum Erstellen dieser Regeln müssen Sie über Informationen zum Gerätemodell und der Gerätefamilie verfügen. Diese Informationen sind nach erfolgreicher Synchronisierung mit dem Exchange-Server verfügbar.

Gerätezugriffsregeln können mithilfe des Cmdlets New-ActiveSyncDeviceAccessRule oder der Exchange-Systemsteuerung erstellt werden, wie in der folgenden Abbildung gezeigt.

Erstellen einer neuen Gerätezugriffsregel

Neue Gerätezugriffsregel

Wenn Sie für ein Gerät eine Regel einrichten, müssen Sie den Unterschied zwischen der Gerätefamilie und dem bestimmten Gerät kennen. Diese Informationen werden als Teil des EAS-Protokolls übermittelt und vom Gerät selbst gemeldet. Eine Geräteregel gilt beispielsweise nur für einen bestimmten Gerätetyp. Eine Gerätefamilie stellt mehrere ähnliche Geräte dar, z. B. einen Pocket PC. Diese Unterscheidung ist wichtig, da viele Gerätehersteller ein und dasselbe Gerät unter verschiedenen Namen bei verschiedenen Betreibern herausgeben. Wenn Sie eine Regel erstellen, wählen Sie eine Gerätefamilie oder das spezielle Modell aus, aber nicht beides.

Klicken Sie auf der Seite Neue Gerätezugriffsregel auf Durchsuchen, um eine Liste aller Geräte oder Gerätefamilien anzuzeigen, die kürzlich eine Verbindung mit Ihrem Exchange-Server hergestellt haben. Wählen Sie dann die auszuführende Aktion aus. Sie können eine beliebige der folgenden Aktionen auswählen:

Zugriff zulassen

Zugriff blockieren

Quarantäne

Einrichten des Standardzugriffsstatus der Organisation

Der Standardzugriffsstatus der Organisation für Exchange ActiveSync bestimmt die Zugriffsebene, die mobilen Geräten, die nicht durch Gerätezugriffsregeln oder persönliche Ausnahmen verwaltet werden, gewährt wird. Der Standardzugriffsstatus der Organisation kann mithilfe des Cmdlets Set-ActiveSyncOrganizationSettings eingerichtet werden.

Mithilfe von Quarantänebenachrichtigungen können Sie angeben, wer eine E-Mail-Benachrichtigung erhält, wenn ein Gerät in Quarantäne verschoben wird. Sie können der Liste Administratoren, Benutzer oder Verteilergruppen hinzufügen. Alle, die sich auf der Liste befinden, erhalten eine E-Mail-Benachrichtigung mit Informationen zum Gerät, zu der Person, die das Gerät zu verbinden versuchte, und zum Zeitpunkt, zu dem dieser Versuch stattfand.

Zurück zum Seitenanfang

Konfigurieren von Strategien für die allgemeine Zugriffsverwaltung

Bevor Sie die Zugriffsebene für mobile Geräte angeben, sollten Sie eine Liste mit allen Mobiltelefonen und mobilen Geräten in Ihrer Organisation erstellen. Sie können diese Liste mithilfe der Cmdlets Get-CASMailbox und Get-ActiveSyncDeviceStatistics erstellen. Weitere Informationen finden Sie unter Get-ActiveSyncDeviceStatistics.

Erstellen einer Zulassungsliste

Sie können eine Zulassungsliste verwenden, um einer Liste von Geräten Zugriff zu gewähren und allen anderen Geräten zu verweigern. Dazu müssen Sie Regeln erstellen, sodass die gewünschten Geräte Zugriff auf Benutzerpostfächer erhalten. Sobald Sie eine solche Regel erstellt haben, müssen Sie den Standardzugriffsstatus der Organisation so einrichten, dass alle anderen Geräte blockiert werden. Zum Hinzufügen eines neuen Geräts zur Zulassungsliste, müssen Sie eine neue Regel erstellen.

Erstellen einer Sperrliste

Sie können eine Sperrliste verwenden, um allen Geräten standardmäßig Zugriff zu gewähren. Der Zugriff für Geräte, die nicht auf die Organisation zugreifen sollen, wird jedoch blockiert. Sie erstellen eine Sperrliste, indem Sie Sperrregeln für die Geräte erstellen, die keine Synchronisierung mit den Postfächern der Organisation durchführen sollen. Die Einstellungen der Organisation sollten allen Geräten Zugriff gewähren, die nicht durch die bestehenden Regeln explizit blockiert werden. Zum Hinzufügen eines neuen Geräts oder mehrerer neuer Geräte zur Sperrliste, müssen Sie eine neue Regel erstellen.

Umgebungen mit Zulassungs- und Sperrliste

Zusätzlich zum Erstellen von Zulassungs- und Sperrlisten können Sie neue mobile Geräte in Quarantäne setzen, solange Sie sie evaluieren. Wenn Sie beispielsweise eine Sperrliste für mobile Geräte haben, die nicht in der Organisation zugelassen sind, und eine Zulassungsliste für mobile Geräte, die in der Organisation zugelassen sind, können Sie die Standardzugriffseinstellungen der Organisation auf "In Quarantäne" setzen. Alle anderen Geräte werden automatisch in Quarantäne gesetzt, wodurch Sie neue Geräte beim Eintritt in die Organisation erkennen und entscheiden können, ob sie zur Zulassungs- oder Sperrliste hinzugefügt werden sollen. Die folgende Abbildung zeigt ein mobiles Gerät, das sich für einen bestimmten Benutzer in Quarantäne befindet.

Ein mobiles Gerät eines Benutzers befindet sich in Quarantäne

Ein Gerät wurde für diesen Benutzer isoliert

Live-Überwachung

Sie können mithilfe der Live-Überwachung alle Geräte erkennen, die derzeit eine Synchronisierung mit dem Exchange-Server in Ihrer Organisation durchführen. Sie können eine Live-Überwachung einrichten, indem Sie die Standardzugriffseinstellungen der Organisation auf "In Quarantäne" setzen.

Eine Liste der Geräte in Quarantäne wird innerhalb weniger Minuten generiert, während die Standardzugriffseinstellungen der Organisation auf "In Quarantäne" gesetzt werden. Sie können diese Liste verwenden, um Zulassungs- und Sperrlisten zu erstellen. Bis die Zulassungs- und Sperrlisten erstellt wurden, werden alle Benutzer daran gehindert, eine Synchronisierung mit dem Exchange-Server durchzuführen.

Zurück zum Seitenanfang

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.