导致帐户锁定的ActiveSync设备

Question

当用户因任何原因更改其帐户密码(读:过期)时，旧密码存储在通过EAS连接的移动设备中。这将使他的帐户几乎立即被锁定--正如它应该根据AD中定义的锁定策略那样。很容易弄明白那部分。最困难的是不让它发生。我到处找。没什么。基本上可以分为四个部分: EAS设备、TMG (ISA)服务器、EAS协议和AD。他们都没有办法阻止EAS设备无法进行身份验证。所以我想我得想个聪明的办法。我唯一能想到的就是为所有EAS用户创建一个组，并将他们排除在锁定策略之外，这显然违背了策略的全部目的，或者教育用户用新密码更新设备，这是不可能的。

问题是:你能想出其他方法来阻止EAS锁定帐户吗？

环境:主要是iOS设备通过EAS。TMG 2010。交流2007。广告2008 R2

Answer 1

通常，我们告诉用户的是将设备置于“飞行”或“飞机”模式，当他们准备更改密码时切断网络访问，一旦他们在桌面/膝上型电脑上更改密码，他们就可以在设备中输入新密码并连接回网络。

当然，我们也发送过期通知，以便他们为密码过期做好充分的准备。

Answer 2

TMG SP2现在有了帐户锁定功能来防止这个问题。见：这里，这里和这里。

Answer 3

我也受到这个问题的挑战。作为一种严肃的选择，我正在考虑基于证书的ActiveSync身份验证。再加上EAS策略，需要一个密码来解锁移动设备，这应该算作双因素身份验证(您拥有的东西:您的移动设备上的证书，您知道的东西:您的移动设备的密码)。这样，当密码过期时就没有问题了。希望这能有所帮助。http://blogs.technet.com/b/exchange/archive/2012/11/28/configure-certificate-based-authentication-for-exchange-activesync.aspx