Устройства за контрол на достъп до Exchange ActiveSync, прозорци него реше
Откакто Microsoft пусна Exchange ActiveSync (EAS), като част от Microsoft Mobile Information Server, популярността на решения нараства постоянно. Благодарение на комбинация от успешни бизнес решения и възможности за технически EAS стана най-разпространената достъпа протокол за мобилни устройства за Microsoft Exchange Server
Изпрати заявка за материал
EAS разлика IMAP и POP - в достъпа на протокол сливане с управлението на електронна поща и контролни устройства. Спецификацията на EAS протокол се описва как да изпращате и получавате електронна поща, търсене, извличане и прилагат правила и т.н. Любопитен факт: ако ви свършат протокола за интернет ключови думи за търсенето EAS, можете да получите много информация за системата на спешна американското правителство предупреждение - система за аварийно предупреждение.
В основата на решението се основава на три понятия, свързани с СВД.
- В протокола спецификация обяснява как се обменят данни между устройства и Exchange сървъра: който може да издава заповеди, които са валидни отговор за всяка команда и т.н.
- В Exchange EAS протокол се изпълнява на сървъра страна. В допълнение към кода, който всъщност изпраща и получава данни чрез СВД, има код, който позволява на администраторите да преглеждате и задавате EAS политика чрез Конзолата за управление на Exchange (EMC) конзолата и черупка Exchange Management Shell (ЕПС) на, кодът за сеч и код за устройства за контрол могат да се свързват, и техните действия след връзката.
- EAS се реализира и клиенти. Те имат право да изпращате и получавате имейл съобщения, управление на съществуващ имейл елементи (операции като отстраняване или назначаването на отчети за етикетите) и да получават или да зададете настройките за правилата, идващи от сървъра.
политика EAS
В много протоколи предостави някои средства за хармонизиране на начина на комуникация между клиента и сървъра. EAS не се отнася за такива протоколи. По време на първия сървър устройство синхронизация и клиента преговаря EAS версия; резултат - най-високата версия поддържа и от двете устройства. Това се случва, когато клиентът изпраща заявка за подготовка на сървъра, който в отговор осигурява временен ключ синхронизация и политика. Клиентът трябва да отговори, че е готов да се прилага политика, предвидена от сървъра. След това клиентът получава ключ постоянна синхронизация, така и в бъдеще всякакви проверки и ограничения за обратна връзка с клиентите на разположение. Сървърът EAS диалоговия Exchange изпраща политиката на клиента, и се предполага, че клиентът ще го изпълни.
Налице е механизъм, чрез който клиентът съобщава невъзможността да се приложи част от политиката. Можете да направите това по два начина: Клиентът има право да се уточни, че част от политиката не се прилага (например, деактивиране на Bluetooth устройство, което не разполага с тази функция), или не може да се използва в този момент (например, невъзможно търсенето за шифроване на устройството). В допълнение, валиден информацията постъпва в сървърът няма механизъм за проверка, че от страна на клиента. Например, на някои версии на Apple IOS предоставила невярна информация за да може да се извърши за криптиране, както се изисква от EAS политика. Следователно, може да се окаже, че подготвената от политиката се извършва само част от устройството, което се синхронизира със сървъра, и можете да го разбера, точно проследяване на разположение устройства и те подкрепят елементите на политиката.
Изключения от правилата и състоянието на устройството за достъп
Първо, можете да използвате Set-CASMailbox команда с -ActiveSyncEnabled опция за забрана на EAS достъп до пощенската кутия на потребителя. Разбира се, ако забраните СВД, потребителят няма да може да се синхронизира всяко устройство (вероятно това и постига администратор). Тъй като много компании са отрязани EAS мерки за сигурност за всички пощенски кутии, а след това го включват само за потребители, които имат разрешение за синхронизиране на устройството си.
Второ, можете да се създаде ясна лични изключения, които позволяват или блокират устройството за тази пощенска кутия. Например, можете да конфигурирате вашата пощенска кутия за директор синхрон Ipad и iPhone, но не и други устройства. Тези изключения са назначени с помощта на Set-CASMailbox команда, за да -ActiveSyncAllowedDeviceIDs и -ActiveSyncBlockedDeviceIDs клавиши, за да разрешите или блокирате устройства, съответно. идентифициране на устройството е уникална за това устройство; то може да се оприличи РЪКОВОДСТВО за конкретна притурка. Най-лесният начин да получите тези документи за самоличност - позволите на устройството си, за да синхронизирате, и след това въведете командата Get-CASMailbox, например:
Този конвейер има таблица, съдържаща всички свързани устройства и идентификаторите им. Ако просто трябва да свържете устройството си с идентификатори една пощенска кутия, можете да използвате командата -ActiveSyncDeviceStatistics, както е показано в следния пример:
Третият начин да се разреши или откаже достъп е да се създадат правила за достъп до устройствата. Това заглавие е малко неточно; мисли за правилата на борсата, повечето от нас си спомня неща, като правилата на Outlook или транспортни правила, които обикновено съдържат условие, действие, както и набор от изключения. ABQ Правила за EAS показват семейство от устройства и модел устройство. Предварително определеното семейство като iPhone, IPAD, Ipod, Android и Windows Phone. След като потребителят е синхронизирано с устройството, което трябва да послужи като основа за правило за достъп до устройства, можете да създадете правило със следните стъпки.
- Отворете Exchange Control Panel (ECP) и да започне страница Управление на моята организация ( «Управление на организацията").
- Изберете потребители и групи ( «потребители и групи"), да намерите на потребителя да целта устройство, и отварят свойства на потребителя.
- Разширете Телефон елемент Гласови функции, изберете Exchange ActiveSync и натиснете Edit.
- Изберете устройството, с което искате да създадете правило за достъп и след това върху Създаване на правило за подобни устройства ( «Създаване на правило за подобни устройства"), както е показано на фигура 1.
Екран 1. устройство за избор за генериране на правила
Управление на правилата за достъп на устройства и може да бъде на ЕПС, като използвате команда * -ActiveSyncDeviceAccessRule на. Този метод е подходящ за устройства, които все още не са развили фамилия устройства или линии. Описание на метода, даден в документацията за Ню-ActiveSyncDeviceAccessRule: трябва да посочите името на устройството, низ UserAgent, че изходите на устройството по време на формирането на искания HTTP, модела на устройството и т.н. Но не забравяйте, че въведените от Вас стойности трябва да съответстват точно на тези, съобщени от устройството. За да ги намерите, трябва да се синхронизира тест устройството и да видим стойностите на модела, UserAgent и т.н.
В механизъм ABQ също използва факта, че всяка EAS устройство, свързано с сървър, намиращ се в един от петте възможни състояния.
Както устройства са включени между държави? Всички нови устройства (т.е. никога преди да се опитате да се синхронизира с пощенската кутия в организацията) са в състояние устройство откриване. Но това състояние продължава дълго, не повече от 14 минути (за 1 минута е по-малка от стандартната EAS изчакване). След СВД, че един прост алгоритъм определя коя държава трябва да се използва. Технически, ефектът от този алгоритъм започва с проверка на автентичността на устройството. Устройството не е идентифициран, той може да не попадат в нито една от държавите, тъй като сървър за клиенти не общуват с него. След проверка на автентичността на устройството изпълнява следните действия:
- ако EAS не е активиран за пощенската кутия на потребителя, сървърът на Client Access връща устройство за грешка, и синхронизация не се извършва;
- ако устройството не отговаря на критерия за прилагането на политиката, той е заключен, и завършва провала на синхронизация;
- ако устройството е заключено, въз основа на лични изричните изключения, провал синхронизация е приключило;
- ако устройството е изрично разрешено съгласно изричните лични изключения, той е даден пълен достъп;
- ако устройството е заключено или се изпращат на карантината въз основа на правила за достъп до устройството, неговото състояние се променя съответно и спира синхронизация. Терминът "провал» В (не успее) в тази ситуация е погрешно, тъй като устройството не е изпратено съобщение за грешка.
- ако устройството е изрично разрешено от правилото за достъп на устройство, което се предоставя пълен достъп;
- ако състоянието на устройството не се променя във всеки един от предишните стъпки, а след това се прилага по подразбиране състоянието на достъпа, като се имат предвид организационни EAS параметри.
Най-важното сред институционалните настройки, които управляват събития, настъпили при свързване на устройство, което не се налага настройки АВ. По подразбиране, тези устройства могат да се свързват; т.е. устройството е разрешено, ако няма изрична забрана. Променете това поведение, можете да използвате настройките, показани на фигура 2.
Екран 2. Промяна на стандартните настройки на устройството,
Блокиране, карантина и за разрешаване на устройства
Знаейки как точно да се приложи механизмът на ABQ в СВД, можете да задам един въпрос: как да конфигурирате да се уточни кои устройства да се направи връзка. Интерес представляват само няколко опции.
- Ако искате да блокирате всички, независимо от използваните устройства, с малки изключения, точно определен, да възложат организационна политика EAS за заключване на устройството, и след това определете изключения за частни потребители и устройства, които трябва да бъдат синхронизирани.
- Ако искате да бъдете уведомени преди потребителят да синхронизира и да е устройство, се прилага политиката на карантина, която е предназначена точно за такива ситуации. Включи карантина EAS организационна политика, както и на всеки потребител, връзката с устройството ще бъде предадена на карантината до допълнителни административни разрешения.
- Ако трябва да се даде възможност на някои (или всички) на потребителите да работи само с определени устройства, подготви организационна политика EAS да блокира или карантинни устройства, както и след това да създадете правило за достъп до устройството, което позволява на подходящи устройства и семейството си. Ако искате да се изключат някои потребители просто извадете СВД за конкретни пощенски кутии.
- Ако трябва да се даде възможност на някои (или всички) на потребителите да синхронизират всички видове устройства, но изискват разрешителни от други потребители, да организирате карантина. Устройството, което беше преди това не се синхронизира, но се опитва да установи връзка ще бъде изпратен на карантината, освен личните изключения.
бъдещата ABQ
В корпоративния свят, където футбол треска мобилни устройства. Повечето компании не искат да плащат за мобилните устройства на служителите, а акцентът се измества към методите на контрол на достъпа на тези устройства до фирмените ресурси, включително Exchange сървъри. Поради това, съществуващата инфраструктура ABQ е много полезна: тя предоставя инструментите, които позволяват или блокови устройства, базирани на техния тип или на собственика на устройството.
Вграден Windows приложение Mail в Windows 8 използва EAS EAS и може да се прилага политика. Все още е твърде рано да се каже дали EAS помощ, за да се засили тази тенденция, но Outlook Anywhere главен недостатък - липсата на удобен начин за контролиране на устройствата, с които потребителите могат да се свържат. Наличност EAS базиран механизъм за прилагане на политики за сигурност, за да компютри, работещи Outlook ще бъде важна стъпка напред, както и разширени функции за обмен да определи критерии за разрешение, да блокирате, или карантинни устройства.
Сподели снимки с приятели и колеги