iPhone per le aziende Microsoft Exchange

iPhone per le aziende
Microsoft Exchange
iPhone comunica direttamente con il tuo Microsoft Exchange Server attraverso
Microsoft Exchange ActiveSync (EAS), attivando e-mail push, calendario e contatti.
Exchange ActiveSync fornisce inoltre agli utenti l'accesso alla consultazione dell'elenco
indirizzi globale (Global Address Lookup, GAL) e permette agli amministratori di
imporre criteri per il codice di accesso e di cancellazione remota. iPhone supporta sia
l'autenticazione di base sia quella via certificato per Exchange ActiveSync.
Se nella tua azienda è attivo Exchange ActiveSync, disponi dei servizi necessari per il
supporto dell'iPhone e non occorre un'ulteriore configurazione. Se hai Exchange Server
2003 o 2007, ma la tua azienda non conosce Exchange ActiveSync, leggi i passaggi che
seguono.
Configurazione di Exchange ActiveSync
Panoramica della configurazione di rete
Criteri di protezione Exchange
ActiveSync
• Cancellazione remota
• Password richiesta sul dispositivo
• Lunghezza minima password
• Numero massimo di tentativi falliti per la
password (prima della cancellazione locale)
• Numeri e lettere entrambi richiesti
• Tempo di inattività in minuti (da 1 a 60
minuti)
Altri criteri di Exchange ActiveSync (solo
per 2007)
• Concessione o divieto di password
semplice
• Scadenza password
• Cronologia password
• Intervallo di aggiornamento criterio
• Numero minimo di caratteri complessi
nella password
• Richiesta di sincronizzazione manuale
durante il roaming
• Fotocamera consentita
• Verifica che la porta 443 del firewall sia aperta. Se l'azienda consente l'utilizzo di
Outlook Web Access, la porta 443 è probabilmente già aperta.
• Sul server front-end, verifica che sia installato un certificato del server e attiva SSL per la
directory virtuale di Exchange ActiveSync in IIS.
• Se utilizzi un server Microsoft Internet Security and Acceleration (ISA), verifica che
sia installato un certificato del server e aggiorna il DNS pubblico per risolvere le
connessioni in arrivo.
• Verifica che il DNS della tua rete restituisca un unico indirizzo instradabile esternamente
al server Exchange ActiveSync per i client intranet e internet. Questo è necessario per
consentire al dispositivo di utilizzare lo stesso indirizzo IP per comunicare con il server
quando sono attivi entrambi i tipi di connessione.
• Se utilizzi un server Microsoft ISA, crea un listener web e una regola di pubblicazione
per l’accesso al client web di Exchange. Per maggiori informazioni, consulta la
documentazione Microsoft.
• Per tutti i firewall e i dispositivi di rete, imposta su 30 minuti il timeout della
sessione inattiva. Per informazioni sugli intervalli di heartbeat e timeout, consulta la
documentazione di Microsoft Exchange all'indirizzo http://technet.microsoft.com/en-us/
library/cc182270.aspx.
• Configura le impostazioni di protezione dei dispositivi, criteri e funzioni mobili
utilizzando il Gestore di sistema di Exchange. Per quanto riguarda Exchange Server 2007,
questa operazione viene effettuata in Exchange Management Console.
• Scarica e installa lo strumento Microsoft Exchange ActiveSync Mobile Administration
Web Tool, necessario per inizializzare operazioni di cancellazione remota. Per quanto
riguarda Exchange Server 2007, la cancellazione remota può essere inizializzata anche
utilizzando Outlook Web Access o Exchange Management Console.
2
Autenticazione di base (nome utente e password)
• Attiva Exchange ActiveSync per utenti o gruppi specifici utilizzando il servizio
Active Directory. In Exchange Server 2003 ed Exchange Server 2007 è abilitato per
impostazione predefinita su tutti i dispositivi portatili a livello organizzativo. Per quanto
riguarda Exchange Server 2007, fai riferimento a "Configurazione destinatario" in
Exchange Management Console.
• Per impostazione predefinita, l’autenticazione degli utenti di Exchange ActiveSync è
quella di base. È consigliabile attivare SSL per l'autenticazione base per assicurarsi che le
credenziali vengano crittografate durante l'autenticazione.
Altri servizi Exchange ActiveSync
• Ricerca mail su Exchange Server 2007
• Accettazione e creazione di inviti di
calendario
• Consultazione elenco globale degli indirizzi
• Autenticazione basata su certificati
• E-mail push alle cartelle selezionate
• Rilevamento automatico
Autenticazione con certificati
• Installa i servizi certificati aziendali su un server membro o un controller di dominio nel
tuo dominio (che sarà il tuo server Autorità di certificazione). Per maggiori informazioni
sui servizi certificati, fai riferimento alle risorse disponibili presso Microsoft. • Configura IIS sul tuo server Client Access o front-end di Exchange per accettare
l'autenticazione con certificati per la directory virtuale di Exchange ActiveSync. • Per consentire o richiedere i certificati per tutti gli utenti, disattiva “Autenticazione di
base” e seleziona “Accetta certificati dei client” o “Richiedi certificati dei client”. • Genera i certificati client utilizzando il server Autorità di certificazione. Esporta la chiave
pubblica e configura IIS in modo che usi tale chiave. Esporta la chiave privata e utilizza
l'utilità di configurazione dell'iPhone o l'iscrizione e la configurazione over-the-air per
fornire questa chiave all'iPhone.
3
Scenario di implementazione di Exchange ActiveSync
Questo esempio mostra come iPhone si collega a una tipica implementazione di Microsoft Exchange Server 2003 o 2007.
Chiave privata
(certificato)
Firewall
Server di
certificati
Firewall
iPhone
Utilità di configurazione
443
Active Directory
Chiave pubblica
(certificato)
3
1
2
Server Microsoft ISA
Server Accesso client o
front-end di Exchange
Internet
4
6
Gateway di posta o
server Trasporto Edge*
Server testa di ponte o
Trasporto Hub
5
Cassetta postale di Exchange
o
server back-end
*A seconda della configurazione di rete, il gateway di posta o il server Trasporto Edge potrebbe risiedere nella rete perimetrale (DMZ, Demilitarized Zone, zona
demilitarizzata).
1
iPhone richiede l’accesso ai servizi Exchange ActiveSync tramite la porta 443 (HTTPS). Si tratta della stessa porta utilizzata per Outlook Web
Access e per altri servizi web protetti, quindi in molte implementazioni questa porta è già aperta e configurata per consentire il traffico HTTPS
crittografato con SSL.
2
Il server ISA fornisce l'accesso al server Client Access o front-end di Exchange. ISA è configurato come proxy oppure, in molti casi, come proxy
inverso per indirizzare il traffico al server Exchange.
3
Il server Exchange autentica l'utente in arrivo utilizzando il servizio Active Directory e il server di certificati (se è attiva l'autenticazione con
certificati).
4
Se l'utente fornisce le adeguate credenziali e accede ai servizi Exchange ActiveSync, il server front-end stabilisce una connessione con la
cassetta postale appropriata sul server back-end (tramite il catalogo globale di Active Directory).
5
La connessione Exchange ActiveSync viene stabilita. Gli aggiornamenti e le modifiche vengono trasmessi all'iPhone over-the-air, e le modifiche
apportate sull'iPhone vengono riportate sul server di Exchange.
6
Anche i messaggi e-mail inviati sull'iPhone vengono sincronizzati con il server Exchange tramite Exchange ActiveSync (passaggio 5). Per
indirizzare i messaggi e-mail in uscita a destinatari esterni, la posta viene generalmente inviata tramite un server testa di ponte (o Trasporto
Hub) a un gateway di posta (o server Trasporto Edge) esterno tramite SMTP. A seconda della configurazione di rete, il gateway di posta o il
server Trasporto Edge esterno potrebbero risiedere nella rete perimetrale o all'esterno del firewall.
© 2009 Apple Inc. Tutti i diritti riservati. Apple e il logo Apple sono marchi di Apple Inc., registrati negli USA e in altri Paesi. iPhone è un marchio di Apple Inc. Altri nomi di prodotti e aziende citati
nel presente documento possono essere marchi delle rispettive aziende. Le specifiche del prodotto sono soggette a modifiche senza preavviso. Il materiale viene fornito esclusivamente a scopo
informativo; Apple non si assume alcuna responsabilità in relazione all'utilizzo dello stesso. Giugno 2009 L372756C