ActiveSync设备导致帐户锁定

当用户出于任何原因更改其帐户密码（读取：已过期）时，旧密码存储在通过EAS连接的移动设备中。这将导致其帐户几乎立即被锁定-就像根据广告中定义的锁定策略一样。很容易弄清楚那部分。困难的部分是阻止它发生。我到处看。没有。基本上，这个难题包括四个部分：EAS设备，TMG（ISA）服务器，EAS协议以及最后是AD。他们都没有办法阻止EAS设备无法通过身份验证。所以我认为我必须想出一个聪明的解决方法。我唯一能想到的就是为所有EAS用户创建一个组，并将他们从锁定策略中排除，这显然违反了策略的整个目的，

问题：您能想到其他方法来防止EAS锁定帐户吗？

环境：大多数iOS设备都通过EAS。TMG2010。Exchange2007。AD2008 R2。

通常，我们告诉用户的是将设备置于“飞行”或“飞机”模式，准备更改密码时切断网络访问，一旦他们在台式机/笔记本电脑上更改了密码，便可以在设备并重新连接到网络。

当然，我们还会发送过期通知，以便为密码过期做好充分的准备。

TMG SP2现在具有帐户锁定功能来防止此问题。请参阅： 这里，这里和这里。

我也受到这个问题的挑战。作为一个严肃的选择，我正在考虑基于证书的ActiveSync身份验证。与要求提供用于解锁移动设备的密码的EAS策略一起，这应视为两步验证（您拥有的东西：移动设备上的证书，某些您知道的东西：移动设备的密码）。这样，密码过期时就没有问题。希望这可以帮助。 http://blogs.technet.com/b/exchange/archive/2012/11/28/configure-certificate-based-authentication-for-exchange-activesync.aspx

由设备决定是否通知用户身份验证失败。我认为一个更好的答案是在ios设备上使用诸如企业良好消息传递之类的东西，我相信它可以提供企业EAS支持。

这是一个很好的问题。不幸的是，在更新密码之前，我还没有找到防止设备尝试进行身份验证的方法。您唯一可以做的就是将用户从密码策略中排除，或者记录如何在其设备上更改密码，并在密码每次过期并且需要解锁帐户时提醒他们。

您还可以使用脚本或程序向人们发送电子邮件，告知他们密码将在x天后过期，并提醒他们需要更改手机上的密码。

自从我在11月实施密码政策以来，我一直希望当前的雇主遇到这个问题，但是到目前为止，我的移动用户似乎足够聪明，可以在不被提醒的情况下更改密码。

您可能需要测试在不使用“始终保持最新”功能时设备身份验证尝试的行为。如果将设备配置为每五分钟轮询一次而不是使用“始终保持最新状态”，并且不会引起触发帐户锁定的身份验证失败率，那么这可能是一个可行的解决方法。

这似乎是设备问题，因为iPhone经常尝试使用旧的同时不正确的密码进行尝试。苹果公司发布了有关此问题的技术说明，承诺可以在iOS7上使用更好的设备体验：http : //support.apple.com/kb/TS4583

阻止Exchange服务器前面的防火墙上的原始IP地址