Quando um usuário altera a senha da sua conta por qualquer motivo (leia-se: expirado), e a senha antiga é armazenada em seu dispositivo móvel conectado por meio do EAS. Isso fará com que sua conta seja bloqueada quase imediatamente - como deveria, de acordo com a política de bloqueio definida no AD. Foi fácil descobrir essa parte. A parte difícil é impedir que isso aconteça. Eu olhei em todos os lugares. Nada. Basicamente, existem quatro partes para o quebra-cabeça: o dispositivo EAS, o servidor TMG (ISA), o protocolo EAS e, finalmente, o AD. Nenhum deles tem uma maneira de impedir que o dispositivo EAS falhe na autenticação. Então imaginei que teria que criar uma solução inteligente. E a única coisa que posso fazer é criar um grupo para todos os usuários EAS e excluí-los da política de bloqueio, o que obviamente anula todo o propósito da política, ou para instruir os usuários a atualizarem seus dispositivos com as novas senhas, o que é impossível.
A pergunta: você consegue pensar em alguma outra maneira de evitar que o EAS bloqueie as contas?
Ambiente: Principalmente dispositivos iOS em todo o EAS. TMG 2010. Exchange 2007. AD 2008 R2.
Normalmente, o que informamos aos usuários é colocar o dispositivo no modo "flight" ou "airplane", interrompendo o acesso à rede quando eles estiverem prontos para alterar a senha, assim que eles alterarem a senha no Desktop / Laptop. nova senha no dispositivo e se conectar de volta à rede.
É claro que também enviamos a notificação de expiração para que eles estejam bem preparados para a expiração da senha.
Eu fui desafiado por essa questão também. Como uma opção séria, estou considerando a autenticação ActiveSync baseada em certificado. Juntamente com a política EAS para exigir um código de senha para desbloquear o dispositivo móvel, isso deve contar como autenticação de dois fatores (algo que você tem: certificado em seu dispositivo móvel, algo que você sabe: código de senha para seu dispositivo móvel). Desta forma, não há problema quando a senha expirar. Espero que isto ajude. link
É até o dispositivo para informar ao usuário que a autenticação falhou. Acho que uma resposta melhor é usar algo como Good messaging for enterprise nos dispositivos ios, que acredito que ofereça suporte EAS corporativo.
Esta é uma boa pergunta. Infelizmente, não encontrei uma maneira de impedir que o dispositivo tente autenticar até que a senha seja atualizada. A única coisa que você pode fazer é excluir o usuário da política de senha ou documentar como alterar a senha em seu dispositivo e lembrá-lo sempre que a senha expirar e precisar desbloquear sua conta.
Você também pode usar um script ou um programa para enviar por e-mail às pessoas que as senhas expirarão em x dias e incluir um lembrete de que elas precisam alterar a senha em seus telefones.
Eu esperava ter esse problema no meu atual empregador desde que implementei uma política de senhas em novembro, mas até agora, meus usuários de dispositivos móveis parecem espertos o suficiente para alterar suas senhas sem serem lembrados.
Você pode querer testar como a autenticação do dispositivo tenta se comportar quando não estiver usando a funcionalidade "Sempre atualizado". Se um dispositivo estiver configurado para pesquisar a cada cinco minutos em vez de usar Sempre em dia, e isso não acarreta a taxa de falhas de autenticação que aciona o bloqueio de conta, isso pode ser uma solução viável.
Este parece ser um problema de dispositivo com o iPhone, que tenta muitas vezes usar a senha antiga, por enquanto incorreta. A Apple publicou uma nota técnica sobre este problema, prometendo uma melhor experiência com dispositivos no iOS7: link
Bloqueie o endereço IP de origem no firewall em frente ao servidor Exchange