Главная Exchange/UC, Новое Управление устройствами в Exchange Server: Часть II. ActiveSync в Exchange Server 2007
  • Управление устройствами в Exchange Server: Часть II. ActiveSync в Exchange Server 2007

    HTC_HD_2BT8282

    Продолжая тему Exchange ActiveSync, начатую в прошлой статье, хочу рассказать о возможностях Exchange Server 2007 в области управления мобильными устройствами.

    Что нового?

     

    В конце 2006 года была выпущена новая версия Exchange – Exchange Server 2007. Эта платформа привнесла много нового для всех, кто использует почтовые сервера от Microsoft. В частности, одним из новшеств стали политики ActiveSync. В отличии от версии 2003, новые политики ActiveSync стали позволять более гибко управлять паролями на устройствах, появились управление почтовыми сообщениями, вложениями, использованием SMIME. Также появилась возможность назначения обязательного шифрования карты памяти, управление доступом к общим папкам и ресурсам служб SharePoint.

    Еще одним изменением по сравнению с Exchange Server 2003 стал принцип назначения политик пользователям – если раньше назначенные политики применялись ко всем пользователям в организации Exchange,то в Exchange 2007 появилась возможность назначения политик только к определенным пользователям.

    Примерно через год после выпуска Exchange Server 2007 RTM стал доступен SP1 для него, и количество доступных настроек в EAS 2007 стало еще больше – появились политики по управлению “периферией” устройств (wi-fi- , bluetooth- и ИК-адаптеры,  видеокамеры), требование по обязательному шифрованию устройства и обязательному требованию ручной синхронизации в роуминге и т.д. На данный момент для Exchange Server 2007 доступен SP2, но больших изменений для ActiveSync он не принес. Т.к. установка Service Pack не предполагает дополнительных материальных затрат и является рекомендованной процедурой, то все, описанное ниже, будет относиться к Exchange Server 2007 с SP1 и выше.

    Из других нововведений EAS хочется отметить следующие:

    1. Оптимизация протокола ActiveSync, в том числе и улучшения в работе Direct Push
    2. Функционал Remote Wipe стал доступен простым пользователям через Outlook Web Access
    3. Возможность очистки карт памяти при выполнении Remote Wipe
    4. Создание списков разрешенных и запрещенных к запуску программ
    5. Поддержка автоматического обнаружения

    Пользовательские лицензии и ActiveSync

    Также, с появлением Exchange 2007 появились новые разновидности пользовательских лицензий – Standard CAL и Enterprise CAL, при этом использование лицензий Enterprise предполагает наличие лицензий Standard – т.е. Standard CAL должен быть приобретен на каждого из пользователей организации в обязательном порядке, а дополнительно должны быть куплены Enterprise CAL для тех, кто использует соответствующий функционал. На ActiveSync это отражается следующим – часть настроек доступны с использованием лицензий Standard, а часть только с использованием Enterprise, при этом большая часть этих настроек появились с выходом SP1.

    В таблице ниже приведены политики EAS 2007 с описанием и требуемой клиентской лицензией:

     

    Параметр

    Описание

    Тип лицензии

    Включить поддержку электронной почты в формате HTML

    Этот параметр определяет, может ли при синхронизации с устройством электронная почта сохранять формат HTML. Если для параметра установлено значение $false, вся электронная почта преобразуется в обычный текст.

    Standard

    Разрешить неинициализируемые устройства

    Этот параметр определяет, разрешено ли более старым устройствам, которые могут не поддерживать применение всех параметров политики, подключаться к Exchange 2007 с помощью Exchange ActiveSync.

    Standard

    Разрешить простой пароль

    Данный параметр включает или отключает возможность использования простого пароля, такого как «1234». Значение по умолчанию — $true.

    Standard

    Включить поддержку сертификатов программного обеспечения S/MIME

    Этот параметр определяет, разрешены ли на мобильном устройстве сертификаты программного обеспечения S/MIME.

    Standard

    Пароль должен состоять из букв и цифр

    Этот параметр требует, чтобы пароль содержал не только цифры, но и другие знаки.

    Standard

    Вложения включены

    Этот параметр разрешает загрузку вложений на мобильное устройство.

    Standard

    Шифрование для устройства включено

    Этот параметр включает шифрование на устройстве. Не все устройства могут обеспечивать шифрование. Дополнительные сведения см. в документации на устройство и операционную систему.

    Standard

    Пароль включен

    Этот параметр включает пароль устройства.

    Standard

    Срок действия пароля

    Этот параметр позволяет администратору настроить временной интервал, по истечении которого пароль должен быть изменен.

    Standard

    Список использованных паролей

    Этот параметр определяет число использовавшихся паролей, хранящихся в почтовом ящике пользователя. Пользователь не может использовать сохраненный пароль повторно.

    Standard

    Интервал обновления политики

    Этот параметр определяет, как часто устройство обновляет политику Exchange ActiveSync с сервера.

    Standard

    Максимальный размер вложения

    Этот параметр определяет максимальный размер вложений, автоматически загружаемых на устройство.

    Standard

    Фильтр максимального времени хранения календаря

    Этот параметр задает максимальный диапазон дней календаря, который можно синхронизировать с устройством. Значение указывается в днях.

    Standard

    Максимальное число неудачных попыток ввода пароля

    Этот параметр определяет, сколько раз разрешается ошибаться при вводе пароля, прежде чем устройство выполнит стирание всех данных.

    Standard

    Максимальное время простоя до блокировки

    Этот параметр определяет интервал времени до блокировки, в течение которого устройство может продолжать работу без ввода данных пользователем.

    Standard

    Минимальная длина пароля

    Этот параметр определяет минимальную длину пароля.

    Standard

    Фильтр максимального времени хранения электронной почты

    Этот параметр определяет максимальное время хранения (в днях) сообщений электронной почты, для которых выполняется синхронизация с устройством. Значение указывается в днях.

    Standard

    Максимальный размер усечения текста сообщений электронной почты в формате HTML

    Этот параметр задает максимальный размер сообщений электронной почты в формате HTML, до которого они усекаются во время синхронизации с устройством. Значение указывается в килобайтах (КБ).

    Standard

    Минимальное количество сложных знаков в пароле устройства

    Этот параметр задает минимальное количество сложных знаков в пароле устройства. Сложный знак — это любой знак, не являющийся буквой.

    Standard

    Максимальный размер усечения текста сообщений электронной почты

    Этот параметр задает максимальный размер сообщений электронной почты, до которого они усекаются во время синхронизации с устройством. Значение указывается в килобайтах (КБ).

    Standard

    Восстановление пароля

    При включении данного параметра устройство создает пароль для восстановления, который отправляется на сервер. Если пользователь забыл пароль устройства, чтобы разблокировать устройство и позволить пользователю создать новый пароль, можно использовать пароль для восстановления.

    Standard

    Требовать шифрование для устройства

    Этот параметр определяет, необходимо ли шифрование для устройства. Если параметр имеет значение $true, устройство должно поддерживать и применять шифрование для синхронизации с сервером.

    Standard

    Требовать шифрования сообщений S/MIME

    Этот параметр определяет, необходимо ли шифровать сообщения S/MIME.

    Standard

    Требовать при роуминге выполнение синхронизации вручную

    Этот параметр указывает, должно ли устройство синхронизироваться вручную при роуминге. Включение автоматической синхронизации при роуминге может привести к непредвиденным расходам на мобильную связь.

    Standard

    Требовать шифрования карты памяти

    Этот параметр определяет, необходимо ли шифровать карту памяти. Не все операционные системы для мобильных устройств поддерживают шифрование карт памяти. Дополнительные сведения см. в документации на устройство и операционную систему.

    Standard

    Доступ к файлам UNC

    Этот параметр разрешает доступ к файлам, хранящимся в общих папках Windows (UNC).

    Standard

    Доступ к файлам WSS

    Этот параметр разрешает доступ к файлам, хранящимся в библиотеках документов Microsoft Windows SharePoint Services.

    Standard

    Включить поддержку Bluetooth

    Данный параметр определяет, будет ли мобильное устройство принимать подключения Bluetooth. Доступны следующие значения: «Отключить», «Только для громкой связи» и «Разрешить».

    Enterprise

    Разрешить использование обозревателя

    Этот параметр определяет, разрешен ли на мобильном устройстве обозреватель Pocket Internet Explorer. Данный параметр не влияет на веб-обозреватели сторонних производителей, установленные на устройстве.

    Enterprise

    Включить поддержку камеры

    Этот параметр определяет, можно ли использовать камеру мобильного устройства.

    Enterprise

    Включить поддержку электронной почты потребителя

    Этот параметр определяет, может ли пользователь настраивать личную учетную запись электронной почты (POP3 или IMAP4) на мобильном устройстве.

    Enterprise

    Включить поддержку синхронизации с компьютером

    Этот параметр определяет, может ли мобильное устройство синхронизироваться с настольным компьютером через кабель, порт IrDA или Bluetooth.

    Enterprise

    Включить поддержку общего доступа к Интернету

    Этот параметр определяет, может ли мобильное устройство использоваться в качестве модема для настольного или портативного компьютера.

    Enterprise

    AllowIrDA

    Этот параметр определяет, разрешены ли на мобильном устройстве инфракрасные соединения.

    Enterprise

    Включить поддержку POPIMAPEmail

    Этот параметр определяет, может ли пользователь настроить на устройстве учетную запись электронной почты POP3 или IMAP4.

    Enterprise

    Включить поддержку удаленного рабочего стола

    Этот параметр определяет, может ли мобильное устройство инициировать подключение к удаленному рабочему столу.

    Enterprise

    Включить поддержку карт памяти

    Этот параметр определяет, может ли мобильное устройство получать доступ к сведениям, которые хранятся на карте памяти.

    Enterprise

    Включить поддержку текстовых сообщений

    Этот параметр указывает, разрешен ли для устройства обмен текстовыми сообщениями.

    Enterprise

    Разрешить использование неподписанных приложений

    Этот параметр указывает, можно ли устанавливать на устройство неподписанные приложения.

    Enterprise

    Разрешить использование неподписанных установочных пакетов

    Этот параметр указывает, можно ли запускать на устройстве неподписанные установочные пакеты.

    Enterprise

    Включить поддержку Wi-Fi

    Этот параметр указывает, разрешен ли для устройства беспроводной доступ к Интернету.

    Enterprise

    Список одобренных приложений

    Этот параметр содержит список одобренных приложений, которые можно запускать на устройстве.

    Enterprise

    Список недопустимых приложений в ПЗУ

    Этот параметр содержит список приложений, которые нельзя выполнять в ПЗУ.

    Enterprise

    Настройка Exchange ActiveSync

    При установке сервера клиентского доступа (CAS) ActiveSync является включенной по умолчанию. Таким образом, для того, чтобы использовать EAS, после установки необходимо создать новую политику и назначить ее пользователю либо группе пользователей.

    Создание политик ActiveSync в Exchange Server 2007 может быть выполнено (как, впрочем, и подавляющее большинство других операций) как из консоли управления, так и с помощью среды управления Exchange. В первом случае это делается следующим образом:

    1. В дереве консоли разверните узел Конфигурация организации и щелкните элемент Клиентский доступ.
    2. В области действий щелкните Создать политику почтовых ящиков Exchange ActiveSync.
    3. Введите имя в текстовое поле Имя политики почтовых ящиков.
    4. Щелкайте, чтобы установить дополнительные флажки для требований к паролям и для параметров пароля.
    5. Щелкните Создать, чтобы создать политику Exchange ActiveSync.
    6. Необходимо нажать кнопку Готово, чтобы закрыть окно мастера создания политики почтовых ящиков ActiveSync Exchange.

    neweas

    Рис. 1  Создание новой политики ActiveSync

    А для создания политики в среде управления Exchange необходимо использовать команду NewActiveSyncMailboxPolicy. После того, как политика была создана, ее можно изменять либо в консоли управления, либо в среде управления Exchange при помощи команды Set-ActiveSyncMailboxPolicy. При этом необходимо учитывать, что не все параметры политики могут быть заданы через консоль, некоторые можно назначить только в среде управления.

    eas0701gen

    eas0702pas

    eas0703syn

    eas0704dev

    eas0705adv

    Чтобы назначить политику пользователю, необходимо проделать следующие операции в консоли управления:

    1. дереве консоли разверните узел Конфигурация получателя, а затем щелкните Почтовый ящик.
    2. В рабочей области правой кнопкой мыши щелкните пользователя, которого необходимо назначить политике, а затем щелкните диалоговое окно Свойства.
    3. В диалоговом окне Свойства пользователя щелкните Функции почтового ящика.
    4. Щелкните ActiveSync, а затем щелкните Свойства.
    5. Установите флажок Применить политику почтовых ящиков ActiveSync.
    6. Щелкните Обзор, чтобы просмотреть диалоговое окно Выбрать политику почтовых ящиков Exchange ActiveSync.
    7. Выберите доступную политику, а затем нажмите кнопку ОК три раза, чтобы применить выполненные изменения.

    Либо использовать команду Set-CASMailbox в среде управления Exchange. Выполнить назначение политики на нескольких пользователей можно только в среде управления Exchange с использованием команд Get-Mailbox и Set-CASMailbox.

    Управление различными платформами

    Так же, как и в прошлый раз, хотел бы рассказать, точнее показать, как различные платформы управляются при помощи политик ActiveSync в Exchange Server 2007. Для платформы iPhone необходимо сделать два замечания – во-первых, приведенные в таблице данные относятся к iPhone OS версии 3.1 и выше, а для младших версий ОС необходимо уточнение. А во-вторых о специфике выполнения удаленной очистки (Remote Wipe) для данных устройств – длительность очистки моделей iPhone и iPhone 3G составляет 1 час на каждые 8Гб емкости устройства. Для iPhone 3GS подход к данной задаче изменился и очистка занимает гораздо меньше времени.

    Доступные возможности

    WM 6

    WM 6.1

    iPhone OS

    Symbian

    Поддержка Direct Push

    X

    X

    X

    X

    Синхронизация почты, календаря, контактов

    X

    X

    X

    X

    Синхронизация заданий

    X

    X

    X

    Удаленная очистка устройства

    X

    X

    X

    X

    Поддержка SSL

    X

    X

    X

    X

    Поиск адресатов в GAL

    X

    X

    X

    X

    Поддержка аутентификации по сертификатам

    X

    X

    X

    Синхронизация

    Интервал обновления политики

    X

    X

    X

    X

    Максимальный размер вложения

    X

    X

    X

    Вложения разрешены

    X

    X

    X

    Включить поддержку электронной почты в формате HTML

    X

    X

    X

    Фильтр максимального времени хранения электронной почты

    X

    X

    Максимальный размер усечения текста сообщений электронной почты

    X

    X

    Максимальный размер усечения текста в формате HTML

    X

    X

    Фильтр максимального времени хранения календаря

    X

    X

    Требовать при роуминге выполнение синхронизации вручную

    X

    X

    X

    Аутентификация

    Необходимо ввести пароль

    X

    X

    X

    X

    Минимальная длина пароля

    X

    X

    X

    X

    Пароль должен состоять из букв и цифр

    X

    X

    X

    X

    Время ожидания простоя

    X

    X

    X

    X

    Максимальное число неудачных попыток ввода пароля

    X

    X

    X

    X

    Восстановление пароля разрешено

    X

    X

    Разрешить простой пароль устройства

    X

    X

    X

    X

    Срок действия пароля

    X

    X

    X

    X

    История использованных паролей

    X

    X

    X

    X

    Доступ к общим папкам Windows

    X

    X

    Доступ к службам Windows SharePoint Services

    X

    X

    Минимальное количество сложных знаков в пароле устройства

    X

    X

    Шифрование

    Шифрование карты памяти

    X

    X

    Требовать шифрование устройства

    X

    X

    Требовать подпись сообщений S/MIME

    X

    X

    Требовать шифрование сообщений S/MIME

    X

    X

    Требовать подпись алгоритма S/MIME

    X

    X

    Требовать шифрование алгоритма S/MIME

    X

    X

    Включить согласование  алгоритма шифрования SMIME

    X

    X

    Включить поддержку программных сертификатов S/MIME

    X

    X

    Управление устройством

    Включить поддержку карт памяти

    X

    Включить поддержку синхронизации с компьютером (ActiveSync)

    X

    Включить поддержку камеры

    X

    X

    Включить поддержку текстовых сообщений SMS и MMS

    X

    Управление сетевыми настройками

    Включить поддержку Wi-Fi

    X

    Включить поддержку Bluetooth

    X

    Включить поддержку IrDA

    X

    Включить поддержку общего доступа к Интернету

    X

    Включить поддержку удаленного рабочего стола для устройства

    X

    Управление приложениями

    Разрешить электронную почту POP/IMAP

    X

    Включить поддержку пользовательской электронной почты

    X

    Разрешить использование обозревателя

    X

    Разрешить использование неподписанных приложений

    X

    Разрешить использование неподписанных установочных пакетов

    X

    Список одобренных приложений

    X

    Список недопустимых приложений в ПЗУ

    X

    Заключение

    В этот раз я попробовал коротко рассказать о возможностях ActiveSync в Exchange Server 2007. Данный протокол и его реализация в этом продукте позволяют достаточно просто и без лишних затрат организовать эффективное управление корпоративными мобильными устройствами для небольших и средних компаний, что может обеспечить необходимый уровень безопасности информации, находящейся у мобильных пользователей.

    Алексей Ватутин

    • Рубрика: Exchange/UC,Новое
    • Автор: Ватутин Алексей
    • Дата: Среда 28 Окт 2009

Опубликовать

Я не робот.