Implementare iPhone e iPad Exchange ActiveSync

Implementare iPhone e iPad
Exchange ActiveSync
iPhone e iPad comunicano direttamente con il tuo Microsoft Exchange Server
tramite Microsoft Exchange ActiveSync (EAS), attivando la tecnologia push per e-mail,
calendari, contatti e task. Exchange ActiveSync fornisce inoltre agli utenti l’accesso alla
consultazione dell’elenco indirizzi globale (Global Address List, GAL) e permette agli
amministratori di imporre criteri per il codice di accesso e la cancellazione remota. iOS
supporta sia l’autenticazione di base sia quella via certificato per Exchange ActiveSync.
Se nella tua azienda è attivo Exchange ActiveSync, disponi dei servizi necessari per
supportare iPhone e iPad e non occorre un’ulteriore configurazione. Se hai Exchange
Server 2003, 2007 o 2010, ma la tua azienda non conosce Exchange ActiveSync, leggi i
passaggi che seguono.
Configurazione di Exchange ActiveSync
Panoramica della configurazione di rete
• Verifica che la porta 443 del firewall sia aperta. Se l’azienda consente l’utilizzo di Outlook
Web Access, la porta 443 è probabilmente già aperta.
Criteri di protezione
Exchange ActiveSync
• Cancellazione a distanza
• Password richiesta sul dispositivo
• Lunghezza minima password
• Numero massimo di tentativi falliti per la
password (prima della cancellazione locale)
• Numeri e lettere entrambi richiesti
• Tempo di inattività in minuti (da 1 a 60
minuti)
Altri criteri di Exchange ActiveSync (solo
per Exchange 2007 e 2010)
• Concessione o divieto di password
semplice
• Scadenza della password
• Cronologia delle password
• Intervallo di aggiornamento dei criteri
• Numero minimo di caratteri complessi
nella password
• Richiesta di sincronizzazione manuale
durante il roaming
• Videocamera consentita
• Navigazione web consentita
• Sul server front-end, verifica che sia installato un certificato del server e attiva SSL per la
directory virtuale di Exchange ActiveSync in IIS.
• Se utilizzi un server Microsoft Internet Security and Acceleration (ISA), verifica che sia
installato un certificato del server e aggiorna il DNS pubblico per risolvere le connessioni
in arrivo.
• Verifica che il DNS della tua rete restituisca un unico indirizzo instradabile esternamente
al server Exchange ActiveSync per i client intranet e internet. Questo è necessario per
consentire al dispositivo di utilizzare lo stesso indirizzo IP per comunicare con il server
quando sono attivi entrambi i tipi di connessione.
• Se utilizzi un server Microsoft ISA, crea un listener web e una regola di pubblicazione
per l’accesso al client web di Exchange. Per maggiori informazioni, consulta la
documentazione Microsoft.
• Per tutti i firewall e i dispositivi di rete, imposta su 30 minuti il timeout della
sessione inattiva. Per informazioni sugli intervalli di heartbeat e timeout, consulta la
documentazione Microsoft Exchange all’indirizzo http://technet.microsoft.com/en-us/
library/cc182270.aspx.
• Configura le impostazioni di protezione dei dispositivi, criteri e funzioni mobili
utilizzando il Gestore di sistema di Exchange. Per quanto riguarda Exchange Server 2007
e 2010, questa operazione viene effettuata in Exchange Management Console.
• Scarica e installa lo strumento Microsoft Exchange ActiveSync Mobile Administration
Web Tool, necessario per avviare operazioni di cancellazione remota. Per quanto riguarda
Exchange Server 2007 e 2010, la cancellazione remota può essere inizializzata anche
utilizzando Outlook Web Access o Exchange Management Console.
2
Autenticazione base (nome utente e password)
• Attiva Exchange ActiveSync per utenti o gruppi specifici utilizzando il servizio
Active Directory. In Exchange Server 2003, 2007 e 2010 è abilitato per impostazione
predefinita su tutti i dispositivi portatili a livello organizzativo. Per quanto riguarda
Exchange Server 2007 e 2010, fai riferimento a “Configurazione destinatario” in
Exchange Management Console.
• Per impostazione predefinita, l’autenticazione degli utenti di Exchange ActiveSync è
quella di base. È consigliabile attivare SSL per l’autenticazione base per assicurarsi che
le credenziali vengano crittografate durante l’autenticazione.
Autenticazione basata su certificati
• Installa i servizi certificati aziendali su un server membro o un controller di dominio nel
tuo dominio (che sarà il tuo server Autorità di certificazione).
• Configura IIS sul tuo server Client Access o front-end di Exchange per accettare
l’autenticazione con certificati per la directory virtuale di Exchange ActiveSync.
Altri servizi Exchange ActiveSync
• Consultazione elenco globale degli indirizzi
(GAL)
• Accettazione e creazione di inviti di
calendario
• Sincronizzazione task
• Contrassegni messaggi e-mail
• Sincronizzazione contrassegni Rispondi
e Inoltra con Exchange Server 2010
• Ricerca mail su Exchange Server 2007
e 2010
• Supporto per più account Exchange
ActiveSync
• Autenticazione basata su certificati
• E-mail push alle cartelle selezionate
• Individuazione automatica
• Per consentire o richiedere certificati per tutti gli utenti, disattiva “Autenticazione di
base” e seleziona “Accetta certificati dei client” o “Richiedi certificati dei client”.
• Genera i certificati client utilizzando il server Autorità di certificazione. Esporta la
chiave pubblica e configura IIS in modo che usi tale chiave. Esporta la chiave privata e
utilizza un profilo di configurazione per fornirla agli iPhone e iPad. L’autenticazione con
certificati può essere configurata unicamente tramite un profilo di configurazione.
Per maggiori informazioni sui servizi certificati, consulta le risorse Microsoft.
3
Scenario di implementazione di Exchange ActiveSync
Questo esempio mostra come iPhone e iPad si collegano a una tipica implementazione di Microsoft Exchange Server 2003,
2007 o 2010.
Chiave privata
(certificato)
Firewall
Server di certificati
Firewall
Profilo di configurazione
443
3
1
Internet
Active Directory
Chiave pubblica
(certificato)
2
Server proxy
Server Client Access o
front-end di Exchange
4
6
Gateway di posta o
server Trasporto Edge*
Server testa di ponte o
Trasporto Hub
5
Cassetta postale di
Exchange o server back-end
*A seconda della configurazione di rete, il gateway di posta o il server Trasporto Edge potrebbe risiedere nella rete perimetrale (DMZ, Demilitarized Zone, zona demilitarizzata).
1
iPhone e iPad richiedono l’accesso ai servizi Exchange ActiveSync tramite la porta 443 (HTTPS). Si tratta della stessa porta utilizzata per Outlook
Web Access e per altri servizi web protetti, quindi in molte implementazioni questa porta è già aperta e configurata per consentire il traffico
HTTPS crittografato con SSL.
2
Il server ISA fornisce l’accesso al server Client Access o front-end di Exchange. ISA è configurato come proxy oppure, in molti casi, come proxy
inverso per indirizzare il traffico al server Exchange.
3
Il server Exchange autentica l’utente in arrivo utilizzando il servizio Active Directory e il server di certificati (se è attiva l’autenticazione
con certificati).
4
Se l’utente fornisce le adeguate credenziali e accede ai servizi Exchange ActiveSync, il server front-end stabilisce una connessione con la
cassetta postale appropriata sul server back-end (tramite il catalogo globale di Active Directory).
5
La connessione Exchange ActiveSync viene stabilita. Gli aggiornamenti e le modifiche vengono trasmessi over-the-air, e le modifiche apportate
sull’iPhone o iPad vengono riportate sul server Exchange.
6
Anche i messaggi e-mail inviati vengono sincronizzati con il server Exchange tramite Exchange ActiveSync (passaggio 5). Per indirizzare i
messaggi e-mail in uscita a destinatari esterni, la posta viene generalmente inviata tramite un server testa di ponte (o Trasporto Hub) a un
gateway di posta (o server Trasporto Edge) esterno tramite SMTP. A seconda della configurazione di rete, il gateway di posta o il server Trasporto
Edge esterno potrebbero risiedere nella rete perimetrale o all’esterno del firewall.
© 2012 Apple Inc. Tutti i diritti riservati. Apple, il logo Apple, iPhone, iPad e Mac OS sono marchi di Apple Inc., registrati negli USA e in altri Paesi. Tutti gli altri prodotti e nomi di aziende citati sono marchi dei
rispettivi proprietari. Le specifiche dei prodotti possono subire modifiche senza preavviso. Il presente materiale è fornito a puro titolo informativo; Apple non si assume alcuna responsabilità in merito al
suo utilizzo. Marzo 2012