Linux и Windows: помощь админам и пользователям

Администрируем и настраиваем Windows, Linux.



Управление подключением Activesync устройств к Exchange Server 2010

Рубрика: Exchange Server
Метки: | |
Вторник, 26 февраля 2013 г.
Просмотров: 13740
Подписаться на комментарии по RSS


В Exchange Server 2010 администраторы могут очень гибко контролировать подключение новых устройств через к почтовым ящикам через ActiveSync. Администратор может выставлять политики, действующие при подключении устройства нового типа по протоколу ActiveSync. Это особенно актуально в свете недавних проблем с IOS.

Значением по умолчанию (с точки зрения безопасности это плохое решение) является “Allow” (Разрешать доступ). Вы можете проверить это с помощью командлета Get-ActiveSyncOrganizationSettings.

[PS] C:\>Get-ActiveSyncOrganizationSettings | select DefaultAccessLevel | fl
DefaultAccessLevel : Allow

При данном значении любое новое устройство без каких-либо проблем может подключиться к серверу.

Управление глобальными настройками ActiveSync

Администратор может изменить уровень безопасности на более приемлемый уровень - "Quarantine" (Карантин), в котором для доступа требуется подтверждение от администратора.

Помимо указания уровня безопасности нам также необходимо использовать два дополнительных важных параметра:

  • AdminMailRecipients определяет адрес электронной почты администратора, подтверждающего подключение новых устройств.
  • UserMailInsert определяет дополнительную текстовую строку, которая будет отображаться в письме пользователю после стандартного текста оповещения. Это делает возможным сделать для конечных пользователей более дружелюбную и понятную инструкцию.

Пример команды:

[PS] C:\>Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Quarantine -AdminMailRecipients administrator@exchangeserverpro.net -UserMailInsert "Your mobile device type has not yet been approved for use. Please contact the Help Desk for further assistance."

Также вы можете выполнить данную настройку через ECP в разделе Phone & Voice.

Теперь давайте посмотрим, что произойдет при данных настройках. Допустим пользователь Vik Kirby пытается подключиться к Exchange ActiveSync с нового мобильного под управление Windows Phone 7.

Vik получит оповещение по электронной почте о временной блокировке синхронизации его мобильного телефона с Exchange. Данное оповещение придет в его почтовый ящик, по прежнему доступный через Outlook или OWA, а также данное сообщение будет единственным, которое синхронизируется на его мобильный телефон.

Вы можете заметить текстовую строку, которую мы задавали в настройках в параметре UserMailInsert.

Администратор, определенный параметров AdminMailRecipients также получит уведомление.

Одобрение находящихся в карантине устройств

Нажмите на ссылку “To perform an action for this device…” в письме и откроется Exchange Control Panel. Это можно сделать и самостоятельно залогинившись в ECP и опять перейдя в раздел Phone & Voice section.

Если вы нажмите Allow и затем Save то Вик сможет использовать свой мобильный. Посмотреть ID устройства, которому вы дали доступ можно с помощью команды Get-CASMailbox.

[PS] C:\>Get-CASMailbox vik.kirby | select displayname,ActiveSyncAllowedDeviceIDs | fl
DisplayName : Vik Kirby
ActiveSyncAllowedDeviceIDs : {F04016EDD8F2DD3BD6A9DA5137583C5A}

Однако другой пользователь с таким же устройством по прежнему не сможет подключиться и будет помещен в карантин.

Если вы решите пропустить данный вид устройств целиком, то вы можете создать правило доступа устройств.

Для этого нажмите кнопку “Create a rule for similar devices…”.

Тип устройств и модели будут выбраны автоматически на основе того, устройства, которые первоначально было вами выбрано.

Сохраните политику и все последующие мобильные устройства, подпадающие под данные критерии будут получать доступ к Exchange автоматически.

Полезная информация

Нашел и подписался на отличный блог. Всегда свежие ссылки на прямые трансляции с презентаций Apple - блог djvan.ru

twitter.com facebook.com vkontakte.ru odnoklassniki.ru mail.ru ya.ru rutvit.ru myspace.com technorati.com digg.com friendfeed.com pikabu.ru blogger.com liveinternet.ru livejournal.ru memori.ru google.com bobrdobr.ru mister-wong.ru yahoo.com yandex.ru del.icio.us

Оставьте комментарий!

Используйте нормальные имена.

Имя и сайт используются только при регистрации

Если вы уже зарегистрированы как комментатор или хотите зарегистрироваться, укажите пароль и свой действующий email. При регистрации на указанный адрес придет письмо с кодом активации и ссылкой на ваш персональный аккаунт, где вы сможете изменить свои данные, включая адрес сайта, ник, описание, контакты и т.д., а также подписку на новые комментарии.

(обязательно)