Exchange ActiveSync

Aus DRK-Sachsen-Wiki
Wechseln zu: Navigation, Suche

Exchange ActiveSync

Exchange ActiveSync (EAS) ist ein XML-basiertes Protokoll, das über HTTP oder HTTPS kommuniziert. Es wurde entwickelt, um E-Mails, Kontakte, Kalendereinträge, Aufgaben und Notizen von einem Nachrichten-Server mit einem mobilen Endgerät zu synchronisieren. Mit dem Protokoll können unter anderem auch Geräte-Policies sowie Geräteeigenschaften ein-gestellt werden.
Quelle: http://de.wikipedia.org

Sicherheit in EAS

EAS wurde so konfigurieren, dass für die Kommunikation zwischen dem Exchange-Server und dem Mobiltelefonclient eine SSL-Verschlüsselung (Secure Sockets Layer) verwendet wird. Zertifikatbasierte Authentifizierung arbeitet mit einem selbstsignierten Zertifikat, einem Zertifikat aus einem kommerziellen Zertifikat eines Drittanbieters. Die zertifikatbasierte Au-thentifizierung wurde in Kombination mit anderen Sicherheitsfunktionen, wie etwa der lokalen Gerätezurücksetzung und einem Gerätekennwort, verwendet, um das Mobiltelefon als SmartCard zu verwenden. Der private Schlüssel und das Zertifikat für die Clientauthentifizie-rung werden im Speicher des Mobiltelefons gespeichert. Wenn ein nicht autorisierter Benutzer versucht, das Mobiltelefonkennwort zu umgehen, werden alle Benutzerdaten gelöscht. Dies schließt das Zertifikat und den privaten Schlüssel ein. Auf eine noch höhere Sicherheit, die Zwei-Faktor-Authentifizierung mittels RSA SecurID auf dem Server mit Exchange bereit-stellen, wurde verzichtet.
Quelle: http://technet.microsoft.com

EAS im DRK Zentrum Sachsen

Im Zuge der weiteren Umsetzung des Datenschutz- und IT-Sicherheitskonzeptes im DRK Zentrum Sachsen wird ab dem 01.09.2012 die Exchange ActiveSync-Postfachrichtlinie in Kraft treten.

Wenn Sie die Funktionen der Synchronisierung Ihres Handys bzw. Smartphones mit dem Mailserver des DRK Zentrum Sachsen nutzen, z.B. für den Abgleich der Kontakte oder das Abrufen von Mails aus ihrem Postfach, werden die in dieser Richtlinie festgeschriebenen Regelungen an den von ihnen eingerichteten Geräten automatisch übernommen und aktiviert.
Dies gilt gleichermaßen für dienstlich bereitgestellte als auch rein private Geräte. Entscheidend ist lediglich, ob an diesem Gerät die Synchronisierung mit dem Mailserver des DRK Zentrum Sachsen eingerichtet wurde.

Eine Erklärungen zu den Einstellungen für EAS finden Sie unter Richtlinien

Sofern Sie mit den durch die Richtlinie bedingten Änderungen bzw. Konfiguration an ihrem Telefon nicht einverstanden sind, möchten wir Sie bitten, die Synchronisierung mit unserem Mailserver an Ihren Geräten bis spätestens 31.08.2012 wieder abzuschalten bzw. zu deaktivieren. Ab dem 01.09.2012 wird dann die Richtlinie bei der ersten Synchronisation auf Ihr Telefon übertragen und am Telefon aktiviert.

Richtlinien

Die folgende Tabelle zeigt die derzeit konfigurierten Standard-Richtlinieneinstellung, welche angewendet werden, wenn keine andere Richtline diesem Benutzer zugewiesen wurde.
Derzeit ist die Standard-Richtlinie für alle Benutzer gültig. Weitere Exchange ActiveSync-Richtlinien wurden bisher nicht eingerichtet.

EinstellungRichtlinie
"Standard"
Bemerkung
Bluetooth zulassenZulassenDiese Einstellung gibt an, ob ein Mobiltelefon Bluetooth-Verbindungen zulässt.
Browser zulassenAktiviertDiese Einstellung gibt an, ob Pocket Internet Explorer auf dem Mobiltelefon zulässig ist. Sie hat keine Auswirkungen auf Webbrowser von Drittanbietern, die auf dem Telefon installiert sind.
Kamera zulassenAktiviertDiese Einstellung gibt an, ob die Kamera des Mobiltelefons verwendet werden darf.
Konsumenten-E-Mail zulassenAktiviertDiese Einstellung gibt an, ob der Benutzer des Mobiltelefons darauf ein persönliches E-Mail-Konto (POP3 oder IMAP4) konfigurieren darf.
Desktop-Synchronisierung zulassenAktiviertDiese Einstellung gibt an, ob das Mobiltelefon über eine Kabel-, Bluetooth- oder Infrarotverbindung (IrDA) mit einem Computer synchronisiert werden darf.
HTML-E-Mail zulassenAktiviertDiese Einstellung gibt an, ob mit dem Mobiltelefon synchronisierte E-Mails das HTML-Format aufweisen dürfen. Ist diese Einstellung auf $false festgelegt, werden alle E-Mail-Nachrichten in das Nur-Text-Format konvertiert.
Gemeinsame Nutzung der Internetverbindung zulassenAktiviertDiese Einstellung gibt an, ob das Mobiltelefon als Modem für einen Desktopcomputer oder einen tragbaren Computer verwendet werden darf.
AllowIrDAAktiviertDiese Einstellung gibt an, ob Infrarotverbindungen zu und von dem Mobiltelefon zulässig sind.
Nicht bereitstellbare Geräte zulassenAktiviertDiese Einstellung gibt an, ob ältere Telefone, die eventuell nicht die Anwendung aller Richtlinieneinstellungen unterstützen, mithilfe von Exchange ActiveSync eine Verbindung mit Exchange 2010 herstellen dürfen.
Einfaches Kennwort zulassenAktiviertDiese Einstellung gibt an, ob der Benutzer ein POP3- oder ein IMAP4-E-Mail-Konto auf dem Mobiltelefon konfigurieren darf.
POP-/IMAP-Email zulassenNicht konfiguriertDiese Einstellung gibt an, ob der Benutzer ein POP3- oder ein IMAP4-E-Mail-Konto auf dem Mobiltelefon konfigurieren darf.
Remotedesktop zulassenAktiviertDiese Einstellung gibt an, ob das Mobiltelefon eine Remotedesktopverbindung initiieren darf.
Alphanumerisches Kennwort erforderlichDeaktiviertDiese Einstellung schreibt vor, dass ein Kennwort numerische und nicht-numerische Zeichen enthalten muss.
S/MIME-Softwarezertifikate zulassenNicht konfiguriertDiese Einstellung gibt an, ob S/MIME-Softwarezertifikate auf dem Mobiltelefon zulässig sind.
Speicherkarte zulassenNicht konfiguriertDiese Einstellung gibt an, ob das Mobiltelefon auf Informationen zugreifen darf, die auf einer Speicherkarte abgelegt sind.
Textnachrichten zulassenNicht konfiguriertDiese Einstellung gibt an, ob Textnachrichten vom Mobiltelefon zulässig sind.
Nicht signierte Anwendungen zulassenNicht konfiguriertDiese Einstellung gibt an, ob auf dem Mobiltelefon nicht signierte Anwendungen installiert werden dürfen.
Nicht signierte Installationspakete zulassenNicht konfiguriertDiese Einstellung gibt an, ob auf dem Mobiltelefon ein nicht signiertes Installations-paket ausgeführt werden darf.
WiFi zulassenAktiviertDiese Einstellung gibt an, ob mit dem Mobiltelefon drahtloser Internetzugriff zulässig ist.
Anlagen aktiviertAktiviertDiese Einstellung ermöglicht das Herunterladen von Anlagen auf das Mobiltelefon.
Geräteverschlüsselung aktiviertAktiviertDiese Einstellung aktiviert die Verschlüsselung auf dem Mobiltelefon. Nicht alle Mo-biltelefone können eine Verschlüsselung erzwingen. Weitere Informationen hierzu finden Sie in der Dokumentation zum Mobiltelefon und zum mobilen Betriebssystem.
Filter für maximales KalenderalterAlleDiese Einstellung gibt den maximalen Bereich der Kalendertage an, die auf das Mobiltelefon synchronisiert werden können. Der Wert wird in Tagen angegeben.
Kennwort aktiviertAktiviertDiese Einstellung aktiviert das Kennwort für das Mobiltelefon.
KennwortablaufUnbeschränktDiese Einstellung ermöglicht dem Administrator das Konfigurieren eines Zeitraums, nach dem ein Mobiltelefonkennwort geändert werden muss.
KennwortverlaufDeaktiviertDiese Einstellung gibt die Anzahl der letzten Kennwörter an, die im Postfach eines Benutzers gespeichert werden dürfen. Ein gespeichertes Kennwort kann vom Benutzer nicht erneut verwendet werden.
Aktualisierungsintervall für Richtlinien24 StundenDiese Einstellung definiert, wie häufig das Mobiltelefon die Exchange ActiveSync-Richtlinie vom Server aktualisiert.
Dokumentsuche aktiviertNicht konfiguriert
Maximale Anlagengröße19,9 GBDiese Einstellung gibt die maximale Größe von Anlagen an, die automatisch auf das Mobiltelefon heruntergeladen werden.
Maximale Anzahl fehlerhafter Kennworteingaben10Diese Einstellung gibt an, wie oft ein falsches Kennwort eingegeben werden darf, bevor alle Daten auf dem Mobiltelefon gelöscht werden.
Zeitsperre für maximale Inaktivität15 MinutenDiese Einstellung gibt den Zeitraum an, in dem ein Mobiltelefon ohne Benutzerein-gaben aktiv bleibt, bevor es gesperrt wird.
Minimale Kennwortlänge4 ZeichenDiese Einstellung gibt die minimale Kennwortlänge an.
Filter für maximales E-Mail-AlterEin MonatDiese Einstellung gibt die maximale Anzahl von Tagen an, für die E-Mail-Objekte auf das Mobiltelefon synchronisiert werden. Der Wert wird in Tagen angegeben.
Maximale Größe zum Abschneiden von E-Mail-TextenNicht konfiguriertDiese Einstellung gibt die Größe an, ab der HTML-formatierte E-Mail-Nachrichten bei der Synchronisierung auf das Mobiltelefon abgeschnitten werden. Der Wert wird in Kilobyte (KB) angegeben.
Mindestanzahl komplexer Zeichen im GerätekennwortNicht konfiguriertDiese Einstellung gibt die Mindestanzahl von komplexen Zeichen an, die für das Kennwort des Mobiltelefons erforderlich sind. Komplexe Zeichen sind alle Zeichen, die kein Buchstabe sind.
Maximale Größe zum Abschneiden von HTML-E-Mail-TextenNicht konfiguriertDiese Einstellung gibt die Größe an, ab der E-Mail-Nachrichten bei der Synchronisierung auf das Mobiltelefon abgeschnitten werden. Der Wert wird in Kilobyte (KB) angegeben.
Geräteverschlüsselung anfordernAktiviertDiese Einstellung gibt an, ob eine Geräteverschlüsselung erforderlich ist. Bei Festlegung auf $true muss das Mobiltelefon in der Lage sein, eine Verschlüsselung für die Synchronisation mit dem Server zu unterstützen und zu implementieren.
Verschlüsselte S/MIME-Nachrichten anfordernNicht konfiguriertDiese Einstellung gibt an, ob S/MIME-Nachrichten verschlüsselt werden müssen.
Manuelle Synchronisierung beim Roaming anfordernDeaktiviertDiese Einstellung gibt an, ob das Mobiltelefon beim Roaming manuell synchronisiert werden muss. Das Zulassen der automatischen Synchronisierung beim Roaming führt häufig zu unerwartet höheren Datenkosten beim Mobiltelefontarif.
Verschlüsselung der Speicherkarte anfordernAktiviertDiese Einstellung gibt an, ob die Speicherkarte verschlüsselt werden muss. Nicht alle Betriebssysteme für Mobiltelefone unterstützen die Verschlüsselung von Speicherkarten. Weitere Informationen hierzu finden Sie in der Dokumentation zu Ihrem Mobiltelefon und mobilen Betriebssystem.
Liste nicht genehmigter InROM-AnwendungenNicht konfiguriertDiese Einstellung gibt eine Liste von Anwendungen an, die nicht im ROM ausgeführt werden dürfen.
KennwortwiederherstellungDeaktiviertWenn diese Einstellung aktiviert ist, generiert das Mobiltelefon ein Wiederherstel-lungskennwort, das an den Server gesendet wird. Wenn ein Benutzer sein Mobiltelefonkennwort vergisst, kann die Sperrung des Mobiltelefons mithilfe des Wiederherstellungskennworts aufgehoben werden. Der Benutzer kann dann ein neues Kennwort für das Mobiltelefon erstellen.
UNC-DateizugriffAktiviert
WSS-DateizugriffAktiviert

Fragen & Antworten

Welche Gerätetypen werden alles unterstützt?

Derzeit haben wir folgende Geräte mit EAS im DRK Zentrum Sachsen testen können:
Samsung GT-I9000, GT-I9100
Nokia E700, C700, E721, E66, E65
Apple iPhone 3G, 3GS, 4 und 4S sowie iPad 1, 2 und 3
... weitere werden sicher noch folgen ...
Generell kann davon ausgegangen werden, dass fast alle Smartphones, welche Exchange ActiveSync bereitstellen auch für diesen Dienst genutzt werden können. Aus Testberichten im Internet konnte ich jedoch erlesen, dass es z.B. beim Nokia Lumia Smartphones Probleme mit ein paar wenigen Richtlinien im Zusammenhang mit Windows 8 geben kann. Wir würden uns freuen, wenn Sie uns Ihre Erfahrungen mit den von Ihnen getesteten Geräten mitteilen.

Wo bekomme ich die Zugangsdaten für EAS her?

Die Zugangsdaten erfragen Sie bitte per Mail unter Angabe Ihrer Person, Funktion im DRK sowie den Typ des Smartphones oder Tablet-PC, welcher eingebunden werden soll.

Wie kann ich mein Passwort ändern?

Das Passwort zu Ihren persönlichen Zugangsdaten können Sie über Outlook Web Access ändern, soweit Ihr Zugang noch aktiv und nicht gesperrt bzw. abgelaufen ist. Melden Sie Sie sich im [Outlook Web Access OWA] an. Unter Optionen finden Sie den Menüpunkt Kennwort ändern. Folgen Sie dort den weiteren Anweisungen zur Änderung Ihres Passwortes.

Sind meine Zugangsdaten zeitlich begrenzt?

Ja. Die Sicherheitsrichtlinien des DRK Zentrum Sachsen schreiben vor, dass das Passwort eine max. Gültigkeitsdauer von 90 Tagen haben darf. Bitte ändern Sie regelmäßig vor Ablauf der Frist Ihr Passwort. Lesen Sie weitere Informationen zur Passwortrichtlinie.

Mein Zugang ist gesperrt, was muss ich tun?

Sofern Ihr Zugang gesperrt sein sollte, wenden Sie sich bitte per Mail an uns.

Darf ich mein privates oder DRK-fremdes Smartphone für EAS verwenden?

Ja, grundsätzlich steht dem nichts im Wege.
Beachten Sie dabei jedoch, dass Sie hier auf das Unternehmensnetzwerk des DRK Zentrum Sachsen zugreifen und somit unseren Sicherheitsrichtlinien und Datenschutzbedingungen zwingend unterliegen.
In jedem Falle ist vor der Einrichtung von EAS mit dem Mailserver des DRK Zentrum Sachsen eine Genehmigung für jedes einzelne einzurichtende Smartphone oder Tablet-PC beim Teamleiter IT des DRK Landesverband Sachsen e.V. einzuholen.

Werde ich ab September 2012 noch mit meinem Telefon an mein Postfach kommen?

Sobald die aus der Richtlinie hervorgehenden Anforderungen am Telefon oder Tablet-PC eingestellt worden sind, ist der Zugriff auf das Postfach weiter möglich. Weitere Informationen finden Sie unter Gibt es Applikationen/Konfigurationen auf meinem iPhone, die dazu führen können, dass es technisch oder rechtlich nicht mehr möglich ist, auf das Postfach zuzugreifen?

Haben die Richtlinien Auswirkungen auf andere Applikationen auf meinem Telefon?

Unsere Tests haben bisher keine Auswirkungen der Richtlinie auf andere Applikationen aufgezeigt.
Unter anderem haben wir z.B. auf einem iPhone 4S unterscheidliche Navigations-Apps getestet, alle konnten problemlos betrieben werden, auch dann, wenn das Gerät in den Sperrmodus überging bzw. wurde dieser Sperrmodus von z.B. der App Navfree wärend der Navigation unterbunden.
Eine Auflistung der von uns getesteten Apps finden Sie unter Apps iOS & Andorid
Sollten Sie eine negative Auswirkung der Richtlinie auf eine bei Ihnen installierte App feststellen, kontaktieren Sie uns bitte.

Gibt es Applikationen/Konfigurationen auf meinem iPhone, die dazu führen können, dass es technisch oder rechtlich nicht mehr möglich ist, auf das Postfach zuzugreifen?

Sobald die Richtlinie auf das Gerät übertragen worden ist, ist der Zugriff auf das Postfach von diesem Gerät erst möglich, wenn am Gerät alle aus dieser Richtlinie hervorgehenden Voraussetzungen erfüllt sind.
Z.B. war am iPhone bisher keine Code-Sperre (Einstellungen/Allgemein/Code-Sperre) eingestellt, wird der Zugriff auf das Postfach von (nur) diesem Gerät so lange geblockt, bis diese Einstellung am Gerät vorgenommen wurde. Der Zugriff auf das Postfach via Webmail Outlook Web Access (OWA) oder aus dem Netzwerk des DRK Zentrum Sachsen heraus ist davon nicht beeinträchtigt.

Welche Alternative habe ich zu EAS?

Möchten Sie EAS nicht nutzen oder ist dies bei Ihren Geräten technisch oder organisatorisch nicht möglich, können Sie auch via Webbrowser auf Ihr Postfach zugreifen. Weitere Informationen hierzu finden Sie unter Outlook Web Access (OWA)

Antwort nicht gefunden?

Haben Sie noch Fragen bei der Einrichtung oder in der Handhabung von Exchange ActiveSync, dann kontaktieren Sie uns einfach.