Implementare iPhone e iPad Exchange ActiveSync

Implementare iPhone e iPad
Exchange ActiveSync
iPhone e iPad comunicano direttamente con il tuo Microsoft Exchange Server
tramite Microsoft Exchange ActiveSync (EAS), attivando la tecnologia push per e-mail,
calendari, contatti e task. Exchange ActiveSync fornisce inoltre agli utenti l’accesso alla
consultazione dell’elenco indirizzi globale (Global Address List, GAL) e permette agli
amministratori di imporre criteri per il codice di accesso e di cancellazione remota. iOS
supporta sia l’autenticazione di base sia quella via certificato per Exchange ActiveSync.
Se nella tua azienda è attivo Exchange ActiveSync, disponi dei servizi necessari per
supportare iPhone e iPad e non occorre un’ulteriore configurazione. Se hai Exchange
Server 2003, 2007 o 2010, ma la tua azienda non conosce Exchange ActiveSync, leggi i
passaggi che seguono.
Configurazione di Exchange ActiveSync
Supported Exchange ActiveSync
security policies
• Remote wipe
• Enforce password on device
• Minimum password length
• Maximum failed password attempts
(before local wipe)
• Require both numbers and letters
• Inactivity time in minutes (1 to 60 minutes)
Additional Exchange ActiveSync policies
(for Exchange 2007 and 2010 only)
• Allow or prohibit simple password
• Password expiration
• Password history
• Policy refresh interval
• Minimum number of complex characters
in password
• Require manual syncing while roaming
• Allow camera
• Allow web browsing
Panoramica della configurazione di rete
• Verifica che la porta 443 del firewall sia aperta. Se l’azienda consente l’utilizzo di Outlook
Web Access, la porta 443 è probabilmente già aperta.
• Sul server front-end, verifica che sia installato un certificato del server e attiva SSL per la
directory virtuale di Exchange ActiveSync in IIS.
• Se utilizzi un server Microsoft Internet Security and Acceleration (ISA), verifica che sia
installato un certificato del server e aggiorna il DNS pubblico per risolvere le connessioni
in arrivo.
• Verifica che il DNS della tua rete restituisca un unico indirizzo instradabile esternamente
al server Exchange ActiveSync per i client intranet e internet. Questo è necessario per
consentire al dispositivo di utilizzare lo stesso indirizzo IP per comunicare con il server
quando sono attivi entrambi i tipi di connessione.
• Se utilizzi un server Microsoft ISA, crea un listener web e una regola di pubblicazione
per l’accesso al client web di Exchange. Per maggiori informazioni, consulta la
documentazione Microsoft.
• Per tutti i firewall e i dispositivi di rete, imposta su 30 minuti il timeout della
sessione inattiva. Per informazioni sugli intervalli di heartbeat e timeout, consulta la
documentazione Microsoft Exchange all’indirizzo http://technet.microsoft.com/en-us/
library/cc182270.aspx.
• Configura le impostazioni di protezione dei dispositivi, criteri e funzioni mobili
utilizzando il Gestore di sistema di Exchange. Per quanto riguarda Exchange Server 2007
e 2010, questa operazione viene effettuata in Exchange Management Console.
• Scarica e installa lo strumento Microsoft Exchange ActiveSync Mobile Administration
Web Tool, necessario per avviare operazioni di cancellazione remota. Per quanto riguarda
Exchange Server 2007 e 2010, la cancellazione remota può essere inizializzata anche
utilizzando Outlook Web Access o Exchange Management Console.
2
Autenticazione base (nome utente e password)
• Abilita Exchange ActiveSync per utenti/gruppi specifici usando il servizio Active
Directory. In Exchange Server 2003, 2007 e 2010 è abilitato per impostazione
predefinita su tutti i dispositivi portatili a livello organizzativo. Per quanto riguarda
Exchange Server 2007 e 2010, fai riferimento a “Configurazione destinatario” in
Exchange Management Console.
• Per impostazione predefinita, l’autenticazione degli utenti di Exchange ActiveSync è
quella di base. Consigliamo di attivare SSL per l’autenticazione di base per garantire
che le credenziali siano criptate durante l’autenticazione.
Other Exchange ActiveSync services
• Global Address List lookup
• Accept and create calendar invitations
• Sync tasks
• Flag email messages
• Sync Reply and Forward flags with
Exchange Server 2010
• Mail search on Exchange Server 2007
and 2010
• Support for multiple Exchange ActiveSync
accounts
• Certificate-based authentication
• Email push to selected folders
• Autodiscover
Autenticazione basata su certificati
• Installa i servizi dei certificati aziendali su un server membro o un controller di dominio
nel tuo dominio (che sarà il tuo server Autorità di certificazione).
• Configura IIS sul tuo server front-end o Client Access di Exchange per accettare
l’autenticazione basata su certificati per la directory virtuale di Exchange ActiveSync.
• Per consentire o richiedere certificati per tutti gli utenti, disattiva “Autenticazione di
base” e seleziona “Accetta certificati dei client” o “Richiedi certificati dei client”.
• Genera i certificati client utilizzando il server Autorità di certificazione. Esporta la
chiave pubblica e configura IIS in modo che usi tale chiave. Esporta la chiave privata e
utilizza un profilo di configurazione per fornirla agli iPhone e iPad. L’autenticazione con
certificati può essere configurata unicamente tramite un profilo di configurazione.
Per maggiori informazioni sui servizi certificati, consulta le risorse Microsoft.
3
Scenario di implementazione di Exchange ActiveSync
Questo esempio mostra come iPhone e iPad si collegano a una tipica implementazione di Microsoft Exchange Server 2003,
2007 o 2010.
Chiave privata
(certificato)
Firewall
Server di certificati
Firewall
Profilo di configurazione
443
3
1
Internet
Active Directory
Chiave pubblica
(certificato)
2
Server proxy
Server Client Access o
front-end di Exchange
4
6
Gateway di posta o
server Trasporto Edge*
Server testa di ponte o
Trasporto Hub
5
Cassetta postale di
Exchange o server back-end
*A seconda della configurazione di rete, il gateway di posta o il server Trasporto Edge potrebbe risiedere nella rete perimetrale (DMZ, Demilitarized Zone, zona demilitarizzata).
1
iPhone e iPad richiedono l’accesso ai servizi Exchange ActiveSync tramite la porta 443 (HTTPS). Si tratta della stessa porta utilizzata per Outlook
Web Access e per altri servizi web protetti, quindi in molte implementazioni è già aperta e configurata per consentire il traffico HTTPS criptato
con SSL.
2
Il server ISA fornisce l’accesso al server Client Access o front-end di Exchange. ISA è configurato come proxy oppure, in molti casi, come proxy
inverso per indirizzare il traffico al server Exchange.
3
Il server Exchange autentica l’utente in arrivo utilizzando il servizio Active Directory e il server di certificati (se è attiva l’autenticazione con
certificati).
4
Se l’utente fornisce le adeguate credenziali e accede ai servizi Exchange ActiveSync, il server front-end stabilisce una connessione con la
cassetta postale appropriata sul server back-end (tramite il catalogo globale di Active Directory).
5
La connessione Exchange ActiveSync viene stabilita. Gli aggiornamenti e le modifiche vengono trasmessi over-the-air, e le modifiche apportate
sull’iPhone o iPad vengono riportate sul server Exchange.
6
Anche i messaggi e-mail inviati vengono sincronizzati con il server Exchange tramite Exchange ActiveSync (passaggio 5). Per indirizzare i
messaggi e-mail in uscita a destinatari esterni, la posta viene generalmente inviata tramite un server testa di ponte (o Trasporto Hub) a un
gateway di posta (o server Trasporto Edge) esterno tramite SMTP. A seconda della configurazione di rete, il gateway di posta o il server Trasporto
Edge esterno potrebbero risiedere nella rete perimetrale o all’esterno del firewall.
© 2011 Apple Inc. Tutti i diritti riservati. Apple, il logo Apple, iPhone, iPad e Mac OS sono marchi di Apple Inc., registrati negli USA e in altri Paesi. Tutti gli altri prodotti e nomi di aziende citati potrebbero
essere marchi registrati dei rispettivi proprietari. Le specifiche dei prodotti possono subire modifiche senza preavviso. Il presente materiale è fornito a puro titolo informativo; Apple non si assume alcuna
responsabilità in merito al suo utilizzo. Ottobre 2011 L419822B