Hoe activesync op een gecontroleerde manier implementeren

Mij is gevraagd om eens te kijken naar de (on)mogelijkheden rond het synchroniseren van een Windows Mobile PDA/smartphone met: A Exchange-server en B Outlook-client. Het gaat hier om Exchange 2007, Outlook 2007 en Windows Mobile 5/6.

Wireless synchroniseren is geen probleem. Exchange biedt genoeg features om dit op een redelijk veilige manier te doen en wat eisen te stellen aan de beveiliging van het apparaat.

Maar we hebben natuurlijk ook nog de ouderwetse USB-kabel. Zolang ik rechtstreeks met Exchange sync, worden de policies netjes toegepast. Maar je kunt ook syncen met je Outlook-client. En daar kom ik niet uit. Zit nu al een tijdje te googelen naar manieren om dit gecontroleerd toe te staan, maar kan eigenlijk niets bruikbaars vinden. En dan bedoel ik eigenlijk: het is TE bruikbaar.

Zodra je ActiveSync op je PC installeert, kun je (ongeacht de settings in Exchange) onbeperkt syncen met je Outlook-client. Het is eigenlijk niet mogelijk om eisen te stellen aan het apparaat of beperkingen op te leggen. En DAT willen we dus niet.
Is het mogelijk om - bijvoorbeeld via GPO - te regelen, dat via USB alleen de agenda en contactpersonen gesynchroniseerd kunnen worden met de Outlook-client?
Is het mogelijk om - bijvoorbeeld via GPO - te regelen, dat er helemaal NIET gesynchroniseerd kan worden met de Outlook-client?

Het is natuurlijk niet echt handig, dat - als je je Exchange ActiveSync netjes inregelt met policies - de gebruiker zijn PDA via Outlook alsnog onbeperkt kan syncen. Daar moet toch iets voor zijn?

Oogje schreef op donderdag 04 februari 2010 @ 16:56:
Edit: ff wat beter gelezen
ActiveSync niet installeren is geen optie?

Nee, want die heb je ook nodig om te kunnen syncen met de Exchange-server. En die functionaliteit willen we bepaalde gebruikers, met een device wat voldoet aan de voor de betreffende persoon ingestelde Exchange-policy, beschikbaar stellen.

Op de PC's staat nu geen ActiveSync. En voor we voor dit issue een oplossing gevonden hebben, lijkt me dat we dat gewoon vooral zo moeten houden. Ik ben bang dat ik gewoon niet goed zoek, want ik kan me haast niet voorstellen dat hier geen heel eenvoudige oplossing voor is.

Equator schreef op vrijdag 05 februari 2010 @ 09:03:
Je wilt het dus op computerniveau voor bepaalde gebruikers wel, en voor andere gebruikers niet toestaan.

Een policy zou daar mooi voor zijn. Of dit in de office adm zit, zou ik je niet durven melden. Had je daar al in gekeken?

Ja. Maar ik ga hem nog een keer doorspitten. Lijkt mij een Outlook-feature, die ik daar zou moeten kunnen managen.

Mijn voorkeur zou uitgaan naar: Niemand mag syncen met zijn Outlook. Bepaalde personen mogen syncen met Exchange (en dat regelen we dan dus ook op Exchange-niveau).

[ Voor 15% gewijzigd door Anoniem: 39993 op 05-02-2010 09:06 ]

Equator schreef op vrijdag 05 februari 2010 @ 09:03:
Je wilt het dus op computerniveau voor bepaalde gebruikers wel, en voor andere gebruikers niet toestaan.

Een policy zou daar mooi voor zijn. Of dit in de office adm zit, zou ik je niet durven melden. Had je daar al in gekeken?

Misschien kan je hier wat mee.
http://www.microsoft.com/...43-4aee-8f7a-e4bbaeba13e7

Hij zit niet in de ADM's.

Aangezien ik nu geen tijd heb om hier een paar dagen mee aan de slag te gaan, heb ik voor nu het gebruik van Activesync op de desktop (wat betreft synchronisatie) geheel geblokkeerd.

De volgende DWORD-value aanmaken in HKLM\Software\Microsoft\Windows CE Services:
Naam: "GuestOnly"
Value: "1"

En dan in hetzelfde GPO onder Computer Configuration -> Security -> Registry de security op de betreffende registersleutel + subsleutels zo ingesteld, dat alleen de domain admins de waarde mogen wijzigen.

Dit zorgt ervoor, dat Activesync alleen nog maar Guest-relaties aangaat met mobile devices. Ook eventueel al bestaande partnerships zijn niet meer beschikbaar.

Ik vrees dat de gewone gebruiker (ook degenen die local admin zijn op hun PC) nu Activesync helemaal niet meer kan installeren. Better safe than sorry.....

[ Voor 6% gewijzigd door Anoniem: 39993 op 05-02-2010 15:29 ]

Question Mark schreef op vrijdag 05 februari 2010 @ 15:31:
Misschien is het netter om met een GPO de windows firewall zo aan te passen dat communicatie tussen het device en de active sync applicatie niet mogelijk is?

TCP ports required by ActiveSync 4.x

Kan ook. Maar nu kan ik wel nog een PDA aansluiten en bijv. applicaties installeren op de PDA via Activesync of browsen op de storage van de PDA. Ik vrees dat dat ook niet meer mogelijk is, als ik de firewall aan zou passen.