Dispozitivele de control al accesului la Exchange ActiveSync, Windows IT Pro
Inca de la Microsoft a lansat Exchange ActiveSync (EAS), ca parte a Microsoft Mobile Information Server, popularitatea soluțiilor a crescut constant. Datorită unei combinații de soluții de afaceri de succes și posibilitățile tehnice de EAS a devenit cel mai mult acces pe scară largă de protocol pentru dispozitive mobile pentru Microsoft Exchange Server
Trimite o cerere pentru un material
Spre deosebire de EAS IMAP și POP - în Access Protocol fuziune la gestionarea dispozitivelor de e-mail și de control. Specificația de protocol EAS descrie modul de a trimite și primi e-mail, căutare, pentru a prelua și aplică politicile, etc. Un fapt curios: dacă rulați protocolul cuvinte cheie de căutare pe Internet EAS, puteți obține o mulțime de informații despre sistemul de avertizare de urgență a Guvernului SUA - Sistemul de alertă de urgență.
În centrul soluției se bazează pe trei concepte legate de EAS.
- În protocolul caietul de sarcini explică modul în care se face schimb de date între dispozitive și serverul Exchange: pe care le pot emite comenzi, care sunt valabile pentru fiecare răspuns de comandă, etc.
- În Exchange protocolul EAS este implementat pe partea de server. În plus față de codul pe care de fapt trimite și primește date folosind EAS, are un cod care permite administratorilor să vizualizeze, și să alocați politica EAS prin intermediul consolei Exchange Management Console (EMC) și Shell Exchange Management Shell (EMS), codul de logare și codul pentru dispozitivele de control li se permite să se conecteze, iar acțiunile lor, după conexiunea.
- EAS este implementat și clienții. Acestora li se permite să trimită și să primească mesaje e-mail, gestiona elemente de e-mail existente (operațiuni, cum ar fi eliminarea sau numirea rapoarte privind etichetele) și de a primi sau de a seta setările de politică care provin de la un server.
Politica EAS
În multe protocoale de a oferi un mijloc de armonizare a metodei de comunicare între client și server. EAS nu se referă la astfel de protocoale. În timpul primului server de dispozitiv de sincronizare și clientul negociază versiunea EAS; Rezultatul - cea mai mare versiune acceptată de ambele dispozitive. Acest lucru se întâmplă atunci când clientul trimite o cerere pentru a pregăti un server, care ca răspuns oferă o sincronizare cheie temporară și politica. Clientul trebuie să răspundă că este gata să aplice politica furnizată de către server. Clientul primește apoi o cheie de sincronizare constantă, iar în viitor orice control sau restricții cu privire la feedback-ul clientului disponibile. Serverul de EAS de dialog Exchange trimite politica clientului, și se presupune că clientul va îndeplini.
Există un mecanism prin care clientul raportează incapacitatea de a aplica o parte a politicii. Acest lucru se poate face într-una din cele două moduri: clientul poate specifica faptul că o parte din politica nu este aplicabilă (de exemplu, dispozitiv de deconectare Bluetooth fără a avea această funcție) sau pot fi utilizate în acest moment (de exemplu, cererea imposibil dispozitiv de criptare). În plus, informațiile valabile intră serverul nu are un mecanism de verificare, care de la client. De exemplu, pe unele versiuni iOS Apple furnizat informații false cu privire la posibilitatea de a efectua criptare, în conformitate cu politica EAS. Prin urmare, este posibil ca pregătită de politica este efectuată doar o parte a dispozitivului, care este sincronizat cu serverul, și vă puteți da seama, doar dispozitive de urmărire disponibile și sprijină elementele de politică.
Excepții de la regulile și starea dispozitivului de acces
În primul rând, puteți utiliza comanda Set-CASMailbox cu opțiunea -ActiveSyncEnabled pentru a dezactiva accesul EAS la cutia poștală a unui utilizator. Desigur, dacă dezactivați EAS, utilizatorul nu va fi capabil de a sincroniza orice dispozitiv (posibil acest lucru și realizează administrator). Ca multe companii au tăiat măsuri de securitate EAS pentru toate cutiile poștale și apoi să includeți-l numai pentru utilizatorii care au permisiunea de a sincroniza dispozitivul lor.
În al doilea rând, puteți crea un scutiri personale clare, care să permită sau să blocheze dispozitivul pentru această cutie poștală. De exemplu, puteți configura căsuța de e-mail pentru sincronizare director iPad și iPhone, dar nu și alte dispozitive. Aceste excepții sunt atribuite folosind comanda Set-CASMailbox la tastele -ActiveSyncAllowedDeviceIDs și -ActiveSyncBlockedDeviceIDs pentru a permite sau a dispozitivelor bloc, respectiv. identificatorul dispozitivului este unic pentru acest dispozitiv; ea poate fi comparată cu GUID pentru un anumit obiect gadget. Cel mai simplu mod de a obține aceste ID-uri - permite aparatului să se sincronizeze și apoi introduceți comanda Get-CASMailbox, de exemplu:
Acest transportor oferă un tabel care conține toate dispozitivele conectate și identificatorii acestora. Dacă aveți nevoie doar de a se asocia identificatorii dispozitivului cu o singură cutie poștală, puteți utiliza -ActiveSyncDeviceStatistics de comandă, așa cum se arată în exemplul următor:
A treia cale de a permite sau refuza accesul este de a crea reguli de acces pentru dispozitivele. Acest titlu este un pic mai imprecisă; gândesc la regulile de schimb, cele mai multe dintre noi isi aminteste lucruri cum ar fi regulile Outlook sau reguli de transport, care conțin de obicei o stare, de acțiune, și un set de excluderi. Reguli ABQ pentru EAS indica familia de dispozitive și model de dispozitiv. cum ar fi familia Predefinită iPhone, iPad, iPod, Android și Windows Phone. După ce utilizatorul a sincronizat dispozitivul, care ar trebui să servească drept bază pentru o regulă de acces pentru dispozitive, puteți crea o regulă cu pașii următori.
- Deschideți Panoul de control Exchange (ECP) și pagina de start Gestionare organizație ( «Organizația de Management").
- Selectați Utilizatori și grupuri ( «Utilizatori și grupuri"), găsiți utilizatorul la dispozitivul țintă și deschideți proprietățile utilizatorului.
- Expand Element Telefon Voce Funcții, selectați Exchange ActiveSync și apoi faceți clic pe Editare.
- Selectați dispozitivul la care doriți să creați o regulă de acces, și apoi faceți clic pe Crearea unei reguli pentru dispozitive similare ( «Crearea unei reguli pentru dispozitive similare"), așa cum se arată în figura 1.
Ecranul 1. Dispozitiv de selecție pentru generarea de reguli
Gestionați regulile de acces pentru dispozitive și pot fi de EMS utilizând comanda * -ActiveSyncDeviceAccessRule. Această metodă este adecvată pentru dispozitivele care nu au dezvoltat încă o familie de dispozitive sau linii. Descrierea metodei prezentate în documentația pentru nou-ActiveSyncDeviceAccessRule: trebuie să specificați numele dispozitivului, șirul UserAgent că ieșirile dispozitivului în timpul formării de cereri HTTP, modelul dispozitivului, etc. Dar, amintiți-vă că valorile pe care le introduceți trebuie să se potrivească exact cu cele raportate de către dispozitiv. Pentru a le găsi, trebuie să sincronizați dispozitivul de testare și a vedea valorile modelului, USERAGENT, etc.
În mecanismul ABQ utilizează, de asemenea, faptul că fiecare dispozitiv EAS asociat cu un server situat într-una dintre cele cinci stări posibile.
Deoarece dispozitivele sunt comutate între state? Toate noile dispozitive (de exemplu, nu înainte de a încerca să se sincronizeze cu o cutie poștală în organizație) sunt într-un dispozitiv de detectare a stării. Dar această condiție continuă, nu mai mult de 14 de minute (în 1 minut este mai mică decât timeout-ul EAS standard). După EAS care un algoritm simplu care determină stat ar trebui să fie utilizat. Punct de vedere tehnic, efectul acestui algoritm începe cu verificarea autenticității dispozitivului. Aparatul nu este autentificat, acesta nu poate cădea în oricare dintre statele, ca server de acces clientul nu comunică cu el. După verificarea autenticității dispozitivului efectuează următoarele acțiuni:
- în cazul în care EAS nu este activat pentru cutia poștală a utilizatorului, serverul de Client Access returnează un dispozitiv de eroare, iar sincronizarea nu se realizează;
- în cazul în care dispozitivul nu îndeplinește criteriul de aplicare a politicii, acesta este blocat, și completează eșecul de sincronizare;
- în cazul în care dispozitivul este blocat pe baza unor excluderi explicite cu caracter personal, eșecul de sincronizare este finalizată;
- în cazul în care dispozitivul este permisă explicit în conformitate cu excepțiile personale explicite, el este dat acces deplin;
- în cazul în care dispozitivul este blocat sau trimis în carantină, pe baza unor reguli de acces pentru dispozitivul, starea sa este modificată în mod corespunzător și se oprește sincronizarea. Termenul „eșec» (eșuează) în această situație este greșită, deoarece aparatul nu este trimis un mesaj de eroare.
- în cazul în care dispozitivul este permis în mod expres de regula de acces pentru un dispozitiv care se acordă acces deplin;
- în cazul în care starea dispozitivului nu este schimbat în oricare dintre etapele anterioare, apoi se aplică starea implicită a accesului, având în vedere parametrii de organizare EAS.
Cele mai importante dintre setările instituționale care gestionează evenimentele care apar la conectarea unui dispozitiv care nu are setări ABQ. În mod implicit, aceste dispozitive sunt lăsate să se conecteze; adică dispozitivul este permisă în cazul în care nu există nici o interdicție explicită. Schimbarea acest comportament, puteți utiliza setările prezentate în figura 2.
Ecranul 2. Modificarea setărilor dispozitivului standard de
Blocarea, carantină și dispozitive de rezoluție
Știind exact cum să pună în aplicare mecanismul de ABQ în EAS, puteți pune o întrebare: modul de configurare pentru a specifica care dispozitivele sunt lăsate să se conecteze. Interesul sunt doar câteva opțiuni.
- Dacă doriți să blocați toate, indiferent de dispozitivele utilizate, cu câteva excepții, sunt specificate precis, atribuiți politica organizațională EAS pentru a bloca dispozitivul, și apoi specificați excepții pentru utilizatorii privați și dispozitivele care au nevoie să fie sincronizate.
- Dacă doriți să fiți notificat înainte ca utilizatorul să sincronizeze orice dispozitiv, se aplică politica de carantină, care este proiectat tocmai pentru astfel de situații. Include carantină politica de organizare EAS, și fiecare utilizator, conexiunea dispozitiv va fi transmis în carantină până permisiuni administrative suplimentare.
- Dacă aveți nevoie pentru a permite unele (sau toate) utilizatorii să lucreze numai cu anumite dispozitive, se pregătească politica EAS de organizare pentru a bloca sau a dispozitivelor de carantină, și apoi să creați o regulă de acces pentru dispozitivul, permițând dispozitive și de familie adecvate. Dacă doriți să excludeți unii utilizatori pur și simplu deconectați EAS pentru anumite cutii poștale.
- Dacă aveți nevoie pentru a permite unele (sau toate) utilizatorii pentru a sincroniza toate tipurile de dispozitive, dar au nevoie de permise de la alți utilizatori, organizarea de carantină. Dispozitivul, care a fost anterior nu se sincronizează, dar încearcă să stabilească o legătură va fi trimisă în carantină, cu excepția cazului în excepțiile personale.
ABQ viitor
Lumea corporativă, în cazul în care dispozitivele mobile microbiști. Cele mai multe companii nu doresc să plătească pentru dispozitivele mobile ale angajaților, iar accentul sa mutat la metodele de control al accesului acestor dispozitive la resursele companiei, inclusiv servere Exchange. Prin urmare, infrastructura ABq existentă este foarte utilă: oferă instrumentele necesare pentru a permite sau a dispozitivelor bloc în funcție de tipul lor sau proprietarul dispozitivului.
Built-în Windows Mail aplicație în Windows 8 utilizează EAS EAS și poate aplica politica. Este prea devreme pentru a spune dacă EAS de ajutor pentru a consolida această tendință, dar Outlook oriunde dezavantaj principal - lipsa unui mod convenabil de a controla dispozitivele cu care utilizatorii se pot conecta. Disponibilitate EAS mecanism bazat de a aplica politici de securitate pentru computerele care rulează Outlook va fi un important pas înainte, precum și funcții avansate de schimb pentru a determina dispozitivele criterii de autorizare, bloc, sau de carantină.
Partajați imagini cu prietenii și colegii