Seit längerem gibt es in Exchange die Möglichkeit den Geräten den Zugriff auf ActiveSync zu verbieten. Dies geschieht über sogenannte ActiveSync Device Access Policies. Wird nun einem Gerät der Zugriff verweigert, musste man meist die Regel Punkt für Punkt durchgehen um herauszufinden warum das Gerät abgewiesen wird und diesen Punkt dann ändern. Mit Exchange 2010 ist dies nun anders.Hier wurde die sogenannte ABQ-Liste eingeführt. ABQ steht hier für Allow/Block/Quarantine. Hierdurch kann man nun einzelne Geräte in eine separate Liste aufnehmen. Allen Geräten auf dieser Liste ist der Zugriff auf ActiveSync dann erlaubt, auch wenn sie die ActiveSync Device Access Policies nicht erfüllen.

Die OWA

Um das Folgende richtig verwalten zu können, benötigen wir einen Benutzer, der die Rolle Recipient Management des Exchange besitzt. Mit diesem öffnen wir nun den administrativen-Bereich der OWA unter: https://CAS-SERVER/ecp (Hierbei muss natürlich CAS-SERVER durch den entsprechenden Namen ersetzt werden)

Unter Telefon und Voice finden man nun eine Übersicht der ActiveSync-Zugriffe und Richtlinien.

Die OWA-List

Unter dem obersten Punkt Einstellungen für den Exchange ActiveSync-Zugriff kann man über Bearbeiten nun konfigurieren, was mit Geräten passieren soll, die laut einer Regel nicht erlaubt sind. Zugriff zulassen und Zugriff blockieren ist hierbei recht selbsterklärend. Der spannende Punkt ist Isolieren: Hier wird das Gerät auf eine separate Liste gesetzt, die vom Administrator dann bearbeitet werden kann. Der Administrator kann hier für jedes Gerät einzeln entscheiden, ob diesen der Zugriff erlaubt oder verweigert werden soll

E-Mail-Benachrichtigungen

In die mittlere Liste kann man nun Benutzer hinzufügen, die eine E-Mail bekommen sollen, wenn ein Benutzer isoliert wird. Gerade bei größeren Umgebungen bietet es sich an diese Möglichkeit der Verwaltung an mehrere Benutzer abzugeben. Dies geschieht über die Rolle Recipient Management. Unten kann man nun noch den Text angeben, der einem Benutzer angezeigt werden soll, dessen Gerät auf der Isolieren-Liste steht.

Raus aus der Quarantäne

Sobald ein Gerät, das nicht den Richtlinine entspricht, versucht auf ActiveSync zuzugreifen, wird es auf die ABQ-List verschoben und dem entsprechenden Admin wird eine Mail geschickt. Auf der ActiveSync-Zugriff Seite in der OWA sollte dann unter Geräte in Quarantäne das Gerät auftauchen. Über Zulassen und Blockieren kann man dann für jedes Gerät separat entscheiden, was damit geschehen soll.