有關 Exchange 2003 ActiveSync 與 Enforce Password on Device 問題

前一段時間接獲 Exchange 產品經理的回報, 在 TechNet 討論區 上有個 Exchange 2003 ActiveSync 與 Enforce Password on Device 問題尚未有解, 因此, 我尋求微軟技術工程師的支援.

在幾次微軟技術工程師的 Email 往返中, 他們提到了一個微軟官方的 SBS 支援與產品部門的部落格: Remote Wiping a Device With No User Input

由於之前沒有介紹過這個部落格, 因此, 我想也藉由這個機會順便說明一下 Remote Wiping a Device With No User Input 這篇文章.

這篇文章在 2007 年 1 月 11 日發表, 主題是"不需要使用者介入就可以進行遠端連接" (原文: Remote Wiping a Device With No User Input).

文章中提到, 如果您已經安裝了 Exchange 2003 ActiveSync Web Administration Tool, 這表示您想要與遠端連接 (Remote Wipe) 這個功能打交道.您需要注意的是, 使用者需要按 "OK" 來進行裝置連接. 不過這大概不符合使用者的期望. (使用者通常很懶, 且考慮比較沒有 IT 人員這麼多, 例如: Security...) 使用者通常希望當裝置進行連接的時候, 表示 "馬上, 立即" 連接, 而不需要再按任何按鍵.

會造成使用者需要介入的原因是因為硬體裝置預設需要接受 "任何" Exchange Server 的安全政策 (Exchange Server Security Policy), 也就是說必須讓 "Enforce password on device" 這個設定在進行裝置同步的時候也被同步進裝置中.

  

當裝置進行同步時, 使用者會看到下面的訊息:

 

當使用者按 "OK" 後, 這個政策 (policy), 就會被裝置所使用. 這個 policy 會在裝置開始使用時, 要求使用者輸入一個 PIN 碼. (原來如此, 難怪我的手機在一段時間沒用後, 需要輸入密碼. 不過我想這是因為安全的考量吧. 想一想, 萬一手機不見, 螽斯重要的行事曆跟通訊錄不就被偷走了, 萬一裡面又有陳冠希的照片...)

C:\Users\petergal.NORTHAMERICA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook\8S8IIK9V\SnipImage (5).JPG 

 因此, 不想讓使用者 "介入" (intervention) 的話, 就必須將 "Enforce password on device" 這個設定取消. 修改設定後, 使用者必須再同步一次.

 

然後再去將下圖原先灰色的勾勾取消.

C:\Users\petergal.NORTHAMERICA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook\8S8IIK9V\SnipImage (5).JPG

OK, 說明完畢, 這樣大家知道了吧.

不過為了安全的理由著想, 還是鎖著密碼吧. 雖然有點麻煩 (我也這麼覺得), 但是人心隔肚皮啊...