ActiveSync-Verbindung schließen
Wird ein Mitarbeiter entlassen oder kommt es zu Passwort-phishing so sollte schnellstmöglich der Zugriff auf die betroffenen Konten unterbunden werden. Folglich wird das Konto deaktiviert, gesperrt oder das Passwort des Kontos wird zurückgesetzt.
Das Problem hierbei besteht darin, dass Geräte die über ActiveSync mit dem Exchange Server verbunden sind, eine aktive Verbindung zum Exchange Server aufrechterhalten können. Der Benutzer hat also weiterhin Zugriff auf Funktionalitäten, die Windows Authentifizierung benötigen und von Exchange bereitgestellt werden. Diese Verbindung kann dabei über mehrere Stunden aufrecht bleiben bis die Kontoänderungen auf dem Gerät wirksam werden.
Wie kommt es zu diesem Aufrechterhalten der Verbindung?
Beim Verbindungsaufbau wird ein Benutzertoken erstellt, welches zur Benutzung verschiedener Dienste verwendet werden kann, ohne jedes Mal das Passwort neu eingeben zu müssen. Dieser Token wird vom IIS (Internet Information Services) im Cache gehalten und genutzt, statt wieder das Active Directory Konto zu überprüfen.
Welche Möglichkeiten bestehen um die Active Sync Verbindung zu schließen?
Alles was nötig ist um die Verbindung zu trennen, ist das betroffene Gerät zu entfernen bzw. zu blockieren und die ActiveSync Funktionalität auszuschalten. Dieser Vorgang kann über das Exchange Admin Center oder die Exchange Management Shell durchgeführt werden
Lösung: Exchange Admin Center
· Über das Exchange Admin Center (EAC) zu Empfänger navigieren.
· Nun kann der betroffene Benutzer gesucht und über die rechte Menüleiste unter Mobile Geräte, die Option Exchange ActiveSync deaktivieren ausgewählt werde.
· Über die Auswahl Details anzeigen öffnet sich ein Verwaltungsfenster in welchem eine Liste von Geräten die dem Benutzer zugeordnet sind angezeigt werden.
· Nun können die gewünschten Geräte blockiert werden.
· Die ActiveSync-Verbindung sollte anschließend unterbrochen worden sein
Lösung: Exchange Management Shell
Zunächst werden über die Exchange Management Shell (EMS) die Geräteinformationen des Benutzers entnommen:
Get-CASMailbox <Benutzer> | Select ActiveSyncAllowedDeviceIDs, ActiveSyncBlockedDeviceIDs.
Mit dem folgendem Befehl werden die gewünschten Geräte blockiert:
Set-CASMailbox -Identity <Benutzer> -ActiveSyncBlockedDeviceIDs "<GerätID_1>,<GerätID_2>"
Anschließend wird ActiveSync für den gewünschten Nutzer deaktiviert:
Set-CASMailbox -Identity <Benutzer> -ActiveSyncEnabled $false
Es ist wichtig anzumerken, dass die Veränderungen einige Minuten brauchen können bis Sie komplett übernommen wurden.
MEHR BLOG-KATEGORIEN
- ASP.NET
- Active Directory
- Administration Tools
- Allgemein
- Backup
- ChatBots
- Configuration Manager
- DNS
- Data Protection Manager
- Deployment
- Endpoint Protection
- Exchange Server
- Gruppenrichtlinien
- Hyper-V
- Intune
- Konferenz
- Künstliche Intelligenz
- Linux
- Microsoft Office
- Microsoft Teams
- Office 365
- Office Web App Server
- Powershell
- Remote Desktop Server
- Remote Server
- SQL Server
- Sharepoint Server
- Sicherheit
- System Center
- Training
- Verschlüsselung
- Virtual Machine Manager
- Visual Studio
- WSUS
- Windows 10
- Windows 8
- Windows Azure
- Windows Client
- Windows Server
- Windows Server 2012
- Windows Server 2012R2
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
- Zertifikate