Sophos Mobile Control - Secure Email

Moin moin an die Gemeinschaft,

 

ich habe ein kleines Problem mit dem Secure Email Container.

Ich habe es bei IOS wie auch bei Android getestet.

Erstellt wurde eine Sophos-Container-Richtlinie mit Unternehmens-Email und den Standartwerden bzw. Variablen %_USERNAME_% und %_EMAILADDRESS_%.

Wenn ich das Profil per Auftragspaket übertrage kommt immer ein Fehler bei raus, der besagt, das ein Referenzwert nicht korrekt sei. Ganz genau lautet die Fehlermeldung auf dem Gerät unter Richtlinien dann: Ein durch einen Platzhalter referenzierter Wert ist nicht vorhanden.

Es wird ja wohl nicht by design sein, dass ich für jeden Nutzer eine eigene Richtlinie anlegen muss.

 

Kann hier jemand Licht ins Dunkel bringen? Die Dokumentation zu dem Thema ist, nennen wir es mal dürftig.

 

Thanks

  • Hallo Melchor,

    Grundsätzlich können die Platzhalter matürlich auch in der Policy verwendet werden.

    Es gibt hier denke ich drei mögliche Ursachen:

    1. Einer der Platzhalter ist falsch geschrieben.

    2. Das betroffene Gerät hat keinen Benutzer hinterlegt und deshalb kann  die Variable nicht ersetzt werden

    3. Das Benutzerobjekt hat für eine der Variablen im entsprechenden Objektfeld keinen Wert hinterlegt.

    Wird Sophos Central verwendet oder wurde Sophos Mobile in der Firmenungebubg installiert?

    Je nach Installationsart gibt es unterschiedliche Vorgehen, was geprüft werden müsste, wenn einer der drei obigen Punkte nicht zur Lösung führt.

    Grüße

    Stefan

  • In reply to SDU:

    Hi,

    an den Platzhaltern habe ich nichts geändert.

    1. Diese sind ja beim Profilanlegen vorausgefüllt und lauten:

    %_USERNAME_% und %_EMAILADDRESS_%. Das steht so auch in der Anleitung, daher gehe ich davon aus, dass diese korrekt sind.

     

    2/3 Hier stellt sich mir die Frage, welches Feld hier der %_USERNAME_% ist. Ist es der "Name" oder der "Benutzer"?

    Der Benutzer ist eingetragen und kommt aus einem Active Directory. Die Emailadresse ist natürlich eingetragen.

    Wir nutzen Sophos mit einer eigenen Installation. Die aktuelle Version 8.1 wurde auch bereits installiert.

    Ich bin zu allen Taten bereit, um das Problem zu finden, denn auf "Handmade" und einzelne Profile habe ich mal so gar keinen Bock.

     

    Gruß

    Marcus

  • In reply to Melchor:

    Hi Marcus,

    die Werte werden direkt aus dem angebundenen LDAP-Verzeichnis gezogen.

    Standardmäßig werden hier die Werte für den Benutzernamen aus dem "sAMAccountName" und für die Email-Adresse aus dem "mail"-Feld entnommen.

    Der SMC-Server schaut also zunächst, zu welchem Benutzer das Gerät verlinkt ist. Im Anschluss schaut der Server im LDAP nach den entsprechenden Werten für diesen Benutzer und versucht diese zu ersetzen.

    Zusätzliche Informationen hierzu findet man auch in diesem Artikel.


    Gruß
    Stefan

  • In reply to SDU:

    Hi,

    Ja wir haben ein externes Verzeichnis konfiguriert welches per LDAP das AD Abfragen kann. Die Nutzerauswahl auf dem Gerät funktioniert auch, wenn ich mit meinem sAMAccountName Suche. Die Emailadresse ist ebenfalls im AD eingetragen.

    Gibt es irgendein Log, in dem eventuell steht, warum die Abfrage anscheinend nicht klappt?

     

    Gruß

    Marcus

  • In reply to SDU:

    Hi,

    ist das Problem nachvollziehbar oder sind wir hier ein Einzelfall?

    Ich kann auch ein Supportticket öffnen, wollte es aber erstmal übers Forum versuchen.

     

    Gruß

    Marcus

  • In reply to Melchor:

    Hi Marcus,

    grundsätzlich sollte das schon mit den Variablen funktionieren.

    Man kann auf dem SMC-Server mal in das  "status.log" oder "server.log" schauen.

    Zu finden sind die Logs in %MDM_HOME%\wildfly\standalone\log

    Am besten vorher die Container Policy nochmal entfernen und neu hinzufügen und im Anschluss die SMC App synchronisieren.

    Dann sollte es eigentlich am Ende der Logs auftauchen.

    Wenn hier der Grund nicht ersichtlich ist, bitte einen Supportfall eröffnen, dann schauen die Kollegen sich das an.

    Grüße

    Stefan

  • In reply to SDU:

    Hi,

    ich habe im Status.log und Server.log nachgeschaut. Dort steht leider kein Fehler.

    Das Ticket ist geöffnet und wenn wir den Grund gefunden haben, werde ich es posten.

     

    In der Zwischenzeit habe ich es in Sophos Central ausprobiert und hier gibt es ein extra Feld, für den Exchange Anmeldenamen.

    Ich vermute das wäre in unserer OnPrem Installation genauso, wenn wir die LDAP Verbindung entfernen würden.

    Allerdings würde ich das nur als letzte Maßnahme ergreifen.

     

    Gruß

    Marcus

  • In reply to Melchor:

    Hi,

    der Support hat sich nun gemeldet und das Problem war schnell gefunden.

    In der LDAP Konfiguration, gibt es mittlerweile mehrere Suchfelder, die man verknüpfen muss.

    Da unsere LDAP Konfiguration mittlerweile Jahre her ist, waren diese Felder noch nicht gefüllt.

    Vermutlich gab es die damals noch nicht und nach den Updates vom SMC Server wurde nie danach gefragt.

    Dieses ist unter Punkt 5 im folgenden KB Artikel zu finden: https://community.sophos.com/kb/en-us/118783

     

    Kleine Ursache, große Wirkung. Auf jeden Fall lüppt das jetzt mit den Variablen.

    Also einfach mal die LDAP Konfiguration durchklicken, falls Ihr ein ähnliches Problem habt.

    Zu finden unter "Einstellungen -> Einrichtung -> Systemeintellungen -> Benutzerverzeichnis -> Externes Benutzerverzeichnis (LDAP) konfigurieren"

     

    Gruß

    Marcus