Exchange Server 2007 Service Pack 1 (SP1) снабжен
улучшениями, касающимися Exchange ActiveSync (EAS). Как вы
увидите в этой статье, тут содержится новая политика EAS по
умолчанию. Также представлены несколько новых настроек
Exchange ActiveSync. Кроме того, команда Exchange Front End в
группе Exchange Product обеспечила отправку подтверждающего
электронного сообщения соответствующему пользователю после
успешного завершения вытеснения так, что пользователь будет
предупрежден, что настройки его мобильного устройства были
сброшены на настройки по умолчанию. И, наконец, был улучшен
протокол Direct Push. В сущности, объем данных, пересылаемых
между мобильными устройствами и сервером Client Access, был
уменьшен даже больше, чем в случае с версией Exchange Server
2007 RTM.
Замечание: Новые свойства мобильных устройств
Windows, обсуждаемые в этой статье, требуют Windows Mobile
6.0.
Замечание: Эта статья основывается на Exchange
Server 2007 SP1 Beta 2. Это значит, что свойства EAS,
описываемые в статье, все еще могут измениться до выпуска
Exchange Server 2007 SP1 RTM.
Представленная новая политика по умолчанию Exchange
ActiveSync.
В Exchange Server 2007 SP1 новая политика по умолчанию
Exchange ActiveSync добавляется автоматически в процессе
установки серверной роли Client Access (Рисунок 1). Как
большинство из вас, наверное, знает, вы должны вручную создать
и приписать политику EAS почтовым ящикам пользователей в
версии Exchange 2007 RTM, а из-за того, что это не
соответствует общей стратегии secure-by-default, используемой
в группе Exchange product, политика по умолчанию EAS теперь
встроена в продукт.
Рисунок 1. Политика по умолчанию Exchange
ActiveSync
Заметьте, что, даже когда вы обновляете существующий сервер
Exchange 2007 установкой роли Client Access в Exchange Server
2007 SP1, новая политика по умолчанию Exchange ActiveSync
будет создана и автоматически приписана всем почтовым ящикам
пользователей Exchange 2007, которые еще не имеют приписанной
политики EAS (Рисунок 2)
Рисунок 2. Политика по умолчанию Exchange
ActiveSync приписана почтовому ящику пользователя.
Новая политика по умолчанию EAS конфигурируется довольно
поверхностно, то есть она не обеспечивает надежности,
требуемой в большинстве коммерческих организаций IT (она
позволяет даже non-provisionable устройствам
синхронизироваться с почтовым ящиком), но это лучше, чем
полное отсутствие политики по умолчанию. Политика по умолчанию
EAS конфигурируется настройками, показанными в Таблице
1. Как вы можете видеть, множество настроек политики в
таблице являются новыми политиками, введенными в Exchange
Server 2007 SP1, и мы посмотрим поближе на них в следующей
секции.
Таблица 1. Конфигурационные настройки политики
Exchange ActiveSync
Exchange ActiveSync Policy Settings |
Configured Value |
AllowNonProvisionableDevices |
True |
AlphanumericDevicePasswordRequired |
False |
AttachmentsEnabled |
True |
DeviceEncryptionEnabled |
False |
RequireStorageCardEncryption |
False |
DevicePasswordEnabled |
True |
PasswordRecoveryEnabled |
True |
DevicePolicyRefreshInterval |
Unlimited |
AllowSimpleDevicePassword |
True |
MaxAttachmentSize |
Unlimited |
WSSAccessEnabled |
True |
UNCAccessEnabled |
True |
MinDevicePasswordLength |
4 |
MaxInactivityTimeDeviceLock |
00:30:00 |
MaxDevicePasswordFailedAttempts |
8 |
DevicePasswordExpiration |
Unlimited |
DevicePasswordHistory |
0 |
IsDefaultPolicy |
True |
AllowStorageCard |
True |
AllowCamera |
True |
RequireDeviceEncryption |
False |
AllowUnsignedApplications |
True |
AllowUnsignedInstallationPackages |
True |
AllowWiFi |
True |
AllowTextMessaging |
True |
AllowPOPIMAPEmail |
True |
AllowIrDA |
True |
RequireManualSyncWhenRoaming |
False |
AllowDesktopSync |
True |
AllowHTMLEmail |
True |
RequireSignedSMIMEMessages |
False |
RequireEncryptedSMIMEMessages |
False |
AllowSMIMESoftCerts |
True |
AllowBrowser |
True |
AllowConsumerEmail |
True |
AllowRemoteDesktop |
True |
AllowInternetSharing |
True |
AllowBluetooth |
Allow |
MaxCalendarAgeFilter |
All |
MaxEmailAgeFilter |
All |
RequireSignedSMIMEAlgorithm |
SHA1 |
RequireEncryptionSMIMEAlgorithm |
TripleDES |
AllowSMIMEEncryptionAlgorithmNegotiation |
RequireEncryptionSMIMEAlgorithm |
MinDevicePasswordComplexCharacters |
3 |
MaxEmailBodyTruncationSize |
Unlimited |
MaxEmailHTMLBodyTruncationSize |
Unlimited |
UnapprovedInROMApplicationList |
{} |
ApprovedApplicationList |
{} |
ExternallyDeviceManaged |
False |
MailboxPolicyFlags |
0 |
Вы можете просматривать и изменять настройки политики EAS
на вашем сервере Client Access, открыв Exchange Management
Shell и набрав команду
Get-ActiveSyncMailboxPolicy –Identity “Default”
или открыв страницу свойств Default EAS policy в Exchange
Management Console.
Когда у вас будет одна или более настроенных политик EAS в
дополнение к политике по умолчанию EAS, у вас будет
возможность сделать одну из политик политикой по умолчанию,
таким образом, эта политика будет присвоена всем почтовым
ящикам пользователей Exchange 2007 (рисунок 3) вместо
политики по умолчанию.
Рисунок 3. Указание политики по умолчанию
Exchange ActiveSync.
Улучшение настройки политики Exchange ActiveSync
Как уже упоминалось, Exchange Server 2007 SP1 предлагает
несколько новых политик EAS, которые позволяют нам ограничить
функциональность и обеспечить даже большую безопасность
мобильным устройствам, чем это было возможно в версии Exchange
Server 2007 RTM. Мы сделаем обзор страницы свойств политики по
умолчанию EAS и посмотрим, каким образом каждая новая политика
влияет на работу мобильных устройств в вашей организации
Exchange Server 2007. Начнем с запуска Exchange Management
Console, затем щелкнем на узел Client Access под
рабочим центром Organization Configuration
(Конфигурация организации) (см. Рисунок 1). Так как
политики EAS распространяются на всю организацию, именно в
этом месте можно создавать и изменять их. Теперь щелкните
правой кнопкой мыши на Default EAS policy(Политика EAS
по умолчанию), и затем выберите Properties(Свойства) в
контекстном меню. Как вы можете видеть, страница свойств
состоит из пяти вкладок в Exchange Server 2007 SP1, а не двух,
как это было в версии Exchange Server 2007 RTM. Введение трех
дополнительных вкладок показывает, что в Exchange Server 2007
SP1 много улучшений.
Начнем с небольшого обзора вкладки General(Общие)
(Рисунок 4). Здесь не так уж много изменений, разве
только то, что мы теперь можем видеть, является ли
соответствующая политика политикой по умолчанию, и еще то, что
настройка Maximum attachment size (KB)(Максимальны
размер прикрепления) заменена на Refresh interval
(hours)(Интервал обновления (в часах)) (а настройка (the
Maximum attachment size (KB) теперь находится во
вкладке Sync Settings). В настройке Refresh interval
(hours) мы можем указать, насколько часто мобильные
устройства должны синхронизироваться с политикой Exchange
ActiveSync с сервера.
Рисунок 4. Вкладка General на странице Default
Exchange ActiveSync Property.
Теперь перейдем к вкладке Password(Пароль)
(рисунок 5). Как вы видите, настройки в этой вкладке
остались почти нетронутыми. Только одна новая настройка была
добавлена в этой вкладке. Это Minimum number of complex
characters(Минимальное число комплексных знаков),
настройка, которая позволяет нам указывать минимальное число
знаков, из которых состоит пароль.
Рисунок 5. Вкладка Password на странице свойств
Default Exchange ActiveSync Property.
Поскольку я уже делал обзор всех настроек политики в этой
вкладке в серии
статей о мобильной передаче сообщений с помощью Exchange
Server 2007, нет смысла делать это снова. Давайте перейдем
к следующей вкладке — Sync Settings(Рисунок 6).
Здесь мы можем настроить количество объектов почты и
календаря, которое необходимо синхронизировать с устройством.
Мы также можем указать ограничение на размер сообщений,
позволять ли синхронизацию при роуминге, можно ли читать на
устройстве сообщения в формате html и, наконец, можно ли
загружать прикрепленные файлы и, если да, то какого
максимального размера.
Рисунок 6. Вкладка Sync Settings на странице
Default Exchange ActiveSync Property.
Вкладка Sync Settings — новая, поэтому я привожу
таблицу (Таблица 2) с перечислением всех возможных
настроек с их коротким описанием.
Таблица 2. Конфигурационные настройки политики
Exchange ActiveSync
Настройка политики Exchange ActiveSync |
Описание |
Include Past Calendar items (Включить предшествующие
объекты календаря) |
Здесь вы можете указать, насколько долго должны
храниться объекты календаря на мобильном устройстве.
Выбор между: All (Все), Two Weeks (Двухнедельной
давности), One Month (Месячной давности), Three Months
(Трехмесячной давности) и Six Months (Шестимесячной
давности). |
Include past e-mail items (Включить предшествующие
объекты электронной почты) |
Здесь вы можете указать, насколько долго должны
храниться объекты почты на мобильном устройстве. Выбор
между: All (Все), Two Weeks (Двухнедельной давности),
One Month (Месячной давности), Three Months
(Трехмесячной давности) и Six Months (Шестимесячной
давности). |
Limit message size to (KB) (Ограничение размера
сообщения) |
Здесь вы можете указать максимальный размер почтовых
сообщений, которые вы можете синхронизировать с
мобильным устройством. |
Allow synchronization when roaming (Позволить
синхронизацию при роуминге) |
Здесь вы можете разрешить или запретить
пользователям синхронизировать мобильные устройства при
роуминге. |
Allow html formatted email (Позволить принятие почты
в формате html) |
Здесь вы можете указать, позволять ли пользователям
читать сообщения в формате html. |
Allow attachments to be downloaded to the device and
maximum attachment size (KB) (Разрешить загружать
прикрепленные данные и максимальный размер прикрепленных
данных) |
Здесь вы можете указать, позволять ли пользователям
загружать прикрепленные к сообщению данные на их
мобильное устройство. Кроме того, можно указать
максимальный размер такого
прикрепления. |
Перейдем теперь к вкладке Device(Устройство)
(Рисунок 7). На этой вкладке мы можем отключить
возможности мобильного устройства, такие как: использование
съемных карт памяти, встроенных камер, Wi-Fi, инфракрасного
порта, совместного использования Internet, удаленного рабочего
стола, синхронизация клиента Desktop ActiveSync, а также
Bluetooth.
Рисунок 7. Вкладка Device на странице Default
Exchange ActiveSync Property.
Вкладка
Device —
новая, поэтому я привожу таблицу (
Таблица 3) с
перечислением всех возможных настроек с их коротким описанием.
Table 3: Exchange ActiveSync Policy Configuration
Settings
Настройка политики Exchange ActiveSync |
Описание |
Allow removable storage (Позволить съемное
хранилище) |
Вы можете указать, могут ли пользователи мобильного
устройства использовать съемные устройства хранения
(карты памяти mini SD) в качестве хранилища данных в их
мобильном устройстве. |
Allow camera (Позволить использование камеры) |
Вы можете запретить пользователям использовать
камеры, которые включаются в большинство мобильных
устройств Windows. |
Allow Wi-Fi (Позволить использовать сетевую карту
Wi-Fi) |
Этой настройкой вы можете запретить пользователям
использовать Wi-Fi (беспроводную сетевую карту), которая
включается в большинство мобильных устройств
Windows. |
Allow infrared (Позволить инфракрасную связь) |
Этой настройкой вы можете запретить пользователям
использовать порт инфракрасной связи, который включается
в большинство мобильных устройств Windows. |
Allow Internet sharing from the device (Позволить
совместное использование Internet с этого устройства) |
Вы можете запретить пользователям использовать
свойство совместного использования Internet,
поставляющееся с устройствами Windows mobile 6.0. Это
свойство позволяет подсоединять ноутбук к Internet через
мобильное устройство. |
Allow remote desktop from the device (Позволить
подключение к удаленному рабочему столу с устройства) |
Запрещение пользователям использовать свойство
подключения к удаленному рабочему столу, которое
включено во многие мобильные устройства Windows mobile.
Это свойство позволяет удаленно подключаться к клиенту
Windows XP/Vista или серверу Windows 2003/2008. |
Allow synchronization from a desktop (Позволить
синхронизацию с рабочим столом) |
Разрешение и запрещение пользователям использовать
клиент Desktop ActiveSync для синхронизации с мобильным
устройством. При запрете пользователи могут
реализовывать синхронизацию только беспроводным
образом. |
Allow Bluetooth (Позволить Bluetooth) |
Позволение и запрещение пользователям использовать
соединение Bluetooth. Вы также можете указать, должны ли
пользователи использовать Bluetooth только при
громкоговорящей связи. |
Замечание: Все настройки на вкладке Device
являются премиум-свойствами, что означает, что вы обязаны
иметь Exchange Enterprise CAL (Client Access License —
Клиентская лицензия доступа) для использования их.
Перейдем к последней вкладке —
Advanced(Дополнительно). Как можно видеть на Рисунке
8, мы можем указывать, разрешено ли пользователям
мобильных устройств использовать браузер Internet, абонентскую
почту, неподписанные приложения, устанавливать неподписанные
инсталляционные пакеты. Кроме того, существует возможность
разрешать или блокировать конкретные приложения.
Рисунок 8. Вкладка Advanced на странице Default
Exchange ActiveSync Property.
Вкладка Advanced— также новая, поэтому я привожу
таблицу (Таблица 4) с перечислением всех возможных
настроек с их коротким описанием.
Таблица 4. Конфигурационные настройки политики
Exchange ActiveSync
Настройка политики Exchange ActiveSync |
Описание |
Allow browser (Разрешить браузер) |
Разрешить или запретить пользователям использовать
браузер на их мобильных устройствах. |
Allow consumer mail (Разрешить абонентскую почту) |
Разрешить или запретить пользователям получать их
абонентскую почту на мобильные устройства. |
Allow unsigned applications (Разрешить неподписанные
приложения) |
При включенной настройке пользователи мобильных
устройств могут запускать приложения, не подписанные
доверяемым сертификатом |
Allow unsigned installation packages (Разрешить
неподписанные инсталляционные пакеты) |
При включенной настройке пользователи мобильных
устройств могут устанавливать приложения, не подписанные
доверяемым сертификатом |
Кроме настроек, указанных в Таблице 4, вы можете еще
вносить любые приложения в списки Allowed(Разрешенные) и
Blocked(Заблокированные).
Замечание: Все настройки на вкладке Advanced
являются премиум-свойствами, что означает, что вы обязаны
иметь Exchange Enterprise CAL (Client Access License —
Клиентская лицензия доступа) для использования их.
Те из вас, которые обратили особое внимание на Таблицу
1, заметили, что не все новые настройки политики в
Exchange Server 2007 SP1 показаны в GUI EMC. Следующие
политики должны управляться из среды Exchange Management
Shell:
- AllowTextMessaging(Разрешить отправку текстовых
сообщений)
- AllowPOPIMAPEmail(Разрешить почту POP/IMAP)
- RequireSignedSMIMEMessages(Требовать сообщений,
подписанных S/MIME)
- RequireEncryptedSMIMEMessages(Требовать сообщений,
зашифрованных S/MIME)
- AllowSMIMESoftCerts(Разрешить SoftCerts S/MIME)
- RequireSignedSMIMEAlgorithm(Требовать алгоритма,
подписанного S/MIME)
- RequireEncryptionSMIMEAlgorithm(Требовать алгоритма,
зашифрованных S/MIME)
- AllowSMIMEEncryptionAlgorithmNegotiation(Разрешить
согласование алгоритмов шифрования S/MIME)
- MaxEmailBodyTruncationSize(Максимальный размер усечения
тела почты)
- MaxEmailHTMLBodyTruncationSize(Максимальный размер
усечения html тела почты)
- UnapprovedInROMApplicationList(Список приложений
неутвержденных в ROM)
- ExternallyDeviceManaged(Управляемое внешнее устройство)
- MailboxPolicyFlags(Флаги политики почтового ящика)
Время покажет, будут ли эти настройки включены в GUI в RTM
версии Exchange Server 2007 SP1.
Подтверждение удаленного обнуления
Кроме новой политики по умолчанию EAS и введения некоторых
новых настроек политики, Exchange Server 2007 SP1 также
включает в себя улучшения, связанные со свойством удаленного
обнуления, которое используется для удаленного сброса настроек
мобильного устройства на настройки по умолчанию в случае
потери устройства. Так как это свойство хорошо работает,
изменилось немногое, но теперь на почтовый ящик пользователя
высылается подтверждение после того, как произошло удаленное
обнуление. Это происходит и в том случае, если обнуление было
инициировано администратором Exchange через Exchange
Management Console или Exchange Management Shell, также как и
пользователем на странице Mobile Devices в Options(Опции) в
Outlook Web Access 2007(Рисунок 9).
Рисунок 9. Успешное удаленное обнуление через OWA
2007
Подтверждение удаленного обнуления выглядит следующим
образом (Рисунок 10)
Рисунок 10. Подтверждение удаленного
обнуления.
In addition, you now have the option of cancelling a remote
wipe both from OWA 2007 and the Exchange Management
Console/Shell.
Предварительная обработка данных протокола Direct
Push
Команда Front End группы Exchange product также улучшила
протокол Direct Push — протокол, используемый Exchange
ActiveSync.Команде удалось еще больше уменьшить размер
заголовков https запроса и ответа, что уменьшает общий объем
данных, пересылаемых между устройствами и серверами Client
Access. Хотя это улучшение и незаметно для обычных
пользователей, оно достаточно важно: это значит, что
организации Enterprise, где большинство конечных пользователей
синхронизируют свои мобильные устройства с почтовыми ящиками,
смогут уменьшить расходы на беспроводную передачу данных.
Заключение
IT организации, требующие строго определенной политики для
всех типов клиентов в организации, выиграют от использования
новых настроек политики Exchange ActiveSync, доступных в
Exchange Server 2007 SP1, так как они позволяют вам запрещать
или позволять большинство возможностей на мобильных
устройствах. Также, новая политика по умолчанию EAS стала
намного умнее, что отражает общую стратегию “надежность по
умолчанию”, принятую в группе Exchange Product. И, наконец,
улучшения, сделанные в протоколе Direct Push с целью
уменьшения объема пересылаемых между мобильными устройствами и
серверами данных, будут приветствоваться любым техническим
директором, ответственным за общий IT бюджет
организации.