comment désactiver l'effacement à distance pour Exchange 2010 ActiveSync?

11

Lors de la connexion d'appareils mobiles Android à Exchange ActiveSync, certains nécessitent l'octroi de privilèges d'administrateur d'appareil qui permettent à un administrateur Exchange d'effacer le téléphone à distance. Les messages d'avertissement font peur à certains utilisateurs mobiles et les empêchent d'utiliser Exchange ActiveSync.

Comment puis-je désactiver ses fonctionnalités sur Exchange Server 2010? [Les failles de sécurité ne sont pas un problème ici]

Rory
la source

Réponses:

9

MIS À JOUR (encore)

La réponse courte à votre question est NON .


Les clients Outlook / Exchange sont capables ou ne peuvent pas effacer à distance. La politique Exchange s'attend simplement à ce qu'elle prenne en charge cette fonctionnalité. Si le téléphone prend en charge le nettoyage à distance et que vous avez accepté la politique (en étant ce que l'on appelle un "appareil provisoire"), Exchange peut envoyer une demande de nettoyage du téléphone ( au nom de l'administrateur ou l'utilisateur peut le demander à partir de son compte connecté Web / PC.)

Si vos utilisateurs veulent être sûrs que leur e-mail ne sera pas effacé, ils doivent trouver un client Exchange qui ne prend pas en charge le nettoyage à distance et vous convaincre de supprimer cela comme une exigence de votre stratégie (en activant AllowNonProvisionalDevices). Période. Il n'y a pas d'autre moyen de "l'éteindre".

Les fonctionnalités du client ne peuvent pas être désactivées par le serveur, elles peuvent simplement être requises par celui-ci. Et dans ce cas, il semble que l'exigence fasse partie d'Exchange Sync en général. :-( Je n'en vois pas de toute façon.


La politique sur Exchange dit "si vous n'êtes pas d'accord avec ces paramètres, vous ne recevez pas de courrier électronique" et a ensuite une liste de paramètres. Vous pouvez également définir "AllowNonProvisionalDevices" sur ON, ce qui permettra aux appareils qui rejettent la stratégie de recevoir des e-mails.

Comme d'autres l'ont dit, le message du client à l'utilisateur du téléphone n'est pas configurable, vous ne savez donc jamais si cela les effrayera TOUJOURS même si vous avez désactivé cette demande.

http://technet.microsoft.com/en-us/library/bb123484.aspx

et voici le lien pour créer une nouvelle stratégie et l'appliquer aux utilisateurs: http://technet.microsoft.com/en-us/library/bb124120.aspx

marque
la source
Merci Mark. Je ne vois nulle part où «désactiver le nettoyage à distance comme l'une des fonctionnalités de la stratégie de boîte aux lettres». Je veux savoir comment désactiver cette fonctionnalité. En outre, AllowNonProvisionableDevices est destiné aux "anciens téléphones qui ne prennent pas en charge l'application de tous les paramètres de stratégie sont autorisés à se connecter à Exchange 2010 à l'aide d'Exchange ActiveSync." Le problème se pose avec les appareils provisionnables.
Rory
Je n'étais pas clair. Tout ce que vous pouvez faire dans une politique n'est pas d'exiger que les appareils offrent et autorisent le nettoyage à distance au serveur - comme condition de connexion. Je mettrai à jour le corps du message.
Mark
Ok Mark, mais le problème est qu'il est impossible (pour moi, pour l'instant) de créer une stratégie ActiveSync qui n'inclut pas d'effacement à distance. Comment puis-je créer une telle politique? Si je pouvais créer une telle politique sans effacement à distance, c'est parfait, mais la laisser de côté ne semble tout simplement pas être une option disponible dans les politiques ActiveSync.
Rory
Vous avez raison. J'ai mal lu un document. Il semble que le nettoyage à distance soit un élément obligatoire du «dispositif provisoire». Je mettrai à jour à nouveau.
Mark
1

Je pense que votre plus gros problème ne va pas désactiver votre capacité à effacer à distance du serveur, mais les autorisations demandées par l'application Active Sync sur Android. D'après ma compréhension, de nombreuses applications demandent cette autorisation, que la stratégie soit activée ou non sur le serveur, car la stratégie peut être modifiée après l'établissement de la synchronisation.

Je pense donc que vous rencontrez un problème politique / RP plus qu'un problème technique.

Driftpeasant
la source
C'est intéressant DriftPeasant mais je pense que c'est un point discutable à moins que la fonctionnalité d'effacement à distance ne puisse être désactivée dans une politique.
Rory
1
La façon dont vous avez formulé votre question suggère que vos utilisateurs ont été flippés de devoir autoriser ActiveSync à effacer leur appareil. Je pense que vous pouvez désactiver votre capacité à effectuer ce nettoyage à distance, mais l'application demandera toujours cette autorisation. Donc, quelle que soit votre capacité technique à effacer, vos utilisateurs auront toujours le souci que vous puissiez effacer. Je ne pense donc pas que ce soit un problème technique autant qu'un problème de relations publiques.
Driftpeasant
Bien sûr, Driftpeasant, je comprends. Et mes utilisateurs paniquent. Mais ma question est comment pouvez-vous "désactiver votre capacité à effectuer cet effacement à distance"?
Rory
0

Vous pouvez créer une stratégie qui désactive "Lancer un nettoyage de périphérique distant" pour les utilisateurs, puis attribuer cette stratégie à l'organisation, au groupe ou à tout ce qui est approprié.

http://technet.microsoft.com/en-us/library/ff459605.aspx

SBWorks
la source
Comment pouvez-vous créer une stratégie qui désactive le "Lancer un nettoyage de périphérique distant"? L'article Technet ne contient aucune information à ce sujet, bien qu'il mentionne des options de sécurité supplémentaires pour les utilisateurs de téléphones Windows®.
Rory