Distribuire iPhone e iPad Exchange ActiveSync

Distribuire iPhone e iPad
Exchange ActiveSync
iPhone e iPad comunicano direttamente con il tuo server Microsoft Exchange tramite
Microsoft Exchange ActiveSync (EAS), attivando la tecnologia push per e-mail, calendari,
contatti e task. Exchange ActiveSync fornisce inoltre agli utenti l’accesso alla
consultazione dell’elenco indirizzi globale (GAL) dell’azienda e permette agli
amministratori di imporre criteri per il codice di accesso e la cancellazione remota. iOS
supporta sia l’autenticazione di base sia quella via certificato per Exchange ActiveSync.
Se nella tua azienda è attivo Exchange ActiveSync, disponi già dei servizi necessari per
supportare iPhone e iPad e non occorre un’ulteriore configurazione. Se hai Exchange
Server 2003, 2007 o 2010, ma la tua azienda non conosce Exchange ActiveSync, leggi
i passaggi che seguono.
Configurazione di Exchange ActiveSync
Panoramica della configurazione di rete
• Verifica che la porta 443 del firewall sia aperta. Se l’azienda consente l’utilizzo di
Outlook Web Access, probabilmente la porta 443 è già aperta.
Criteri di protezione Exchange
ActiveSync supportati
• Cancellazione dati in remoto
• Password richiesta sul dispositivo
• Lunghezza minima password
• Numero massimo di tentativi falliti per la
password (prima della cancellazione locale)
• Numeri e lettere entrambi richiesti
• Tempo di inattività in minuti (da 1 a 60
minuti)
Altri criteri di Exchange ActiveSync
(solo per Exchange 2007 e 2010)
• Possibilità di accettare/vietare password
semplici
• Scadenza della password
• Cronologia delle password
• Intervallo di aggiornamento dei criteri
• Numero minimo di caratteri complessi
nella password
• Sincronizzazione manuale richiesta
in roaming
• Uso della fotocamera consentito
• Navigazione web consentita
• Sul server front-end verifica che sia installato un certificato del server e attiva SSL per la
directory virtuale di Exchange ActiveSync in IIS.
• Se utilizzi un server Microsoft Internet Security and Acceleration (ISA), verifica che sia
installato un certificato del server e aggiorna il DNS pubblico per risolvere le connessioni
in arrivo.
• Verifica che il DNS della tua rete restituisca un unico indirizzo instradabile esternamente
al server Exchange ActiveSync per i client intranet e internet. Questo è necessario
per consentire al dispositivo di utilizzare lo stesso indirizzo IP per comunicare con il
server quando sono attivi entrambi i tipi di connessione.
• Se utilizzi un server Microsoft ISA, crea un listener web e una regola di pubblicazione
per l’accesso al client web di Exchange. Per maggiori informazioni consulta la
documentazione Microsoft.
• Imposta su 30 minuti il timeout della sessione inattiva per tutti i firewall e i dispositivi di
rete. Per informazioni sugli intervalli di heartbeat e timeout, consulta la documentazione
Microsoft Exchange all’indirizzo http://technet.microsoft.com/en-us/library/cc182270.
aspx (in inglese).
• Utilizza Exchange System Manager per configurare le funzioni, i criteri e le impostazioni
di sicurezza per i dispositivi mobili. Per Exchange Server 2007 e 2010, questa operazione
viene effettuata in Exchange Management Console.
• Scarica e installa lo strumento Microsoft Exchange ActiveSync Mobile Administration
Web Tool, necessario per avviare le operazioni di cancellazione remota. Per Exchange
Server 2007 e 2010, la cancellazione remota può essere avviata anche da Outlook Web
Access o Exchange Management Console.
2
Autenticazione di base (nome utente e password)
• Abilita Exchange ActiveSync per utenti/gruppi specifici usando il servizio Active
Directory. In Exchange Server 2003, 2007 e 2010 è abilitato per impostazione
predefinita su tutti i dispositivi portatili a livello organizzativo. Per quanto riguarda
Exchange Server 2007 e 2010, fai riferimento a “Configurazione destinatario” in
Exchange Management Console.
• Per impostazione predefinita l’autenticazione degli utenti di Exchange ActiveSync
è quella di base. Consigliamo di attivare SSL per l’autenticazione di base per garantire
che le credenziali siano criptate durante l’autenticazione.
Autenticazione basata su certificati
• Installa i servizi dei certificati aziendali su un server membro o un controller di dominio
nel tuo dominio (che sarà il tuo server Autorità di certificazione).
• Configura IIS sul tuo server front-end o Client Access di Exchange per accettare
l’autenticazione basata su certificati per la directory virtuale di Exchange ActiveSync.
Altri servizi di Exchange ActiveSync
• Consultazione elenco globale degli indirizzi
(GAL)
• Accettazione e creazione di inviti
di calendario
• Sincronizzazione task
• Contrassegni messaggi e-mail
• Sincronizzazione contrassegni Rispondi
e Inoltra con Exchange Server 2010
• Ricerca mail su Exchange Server 2007
e 2010
• Supporto per più account Exchange
ActiveSync
• Autenticazione basata su certificati
• E-mail push alle cartelle selezionate
• Autodiscover
• Per consentire o richiedere certificati per tutti gli utenti, disattiva “Autenticazione
di base” e seleziona “Accetta certificati dei client” o “Richiedi certificati dei client”.
• Genera i certificati client utilizzando il server Autorità di certificazione. Esporta la chiave
pubblica e configura IIS in modo che usi tale chiave. Esporta la chiave privata e utilizza
un profilo di configurazione per fornirla agli iPhone e iPad. L’autenticazione con
certificati può essere configurata unicamente tramite un profilo di configurazione.
Per maggiori informazioni sui servizi di certificati, consulta le risorse Microsoft.
3
Scenario di distribuzione con Exchange ActiveSync
Questo esempio mostra come iPhone e iPad si collegano a una tipica distribuzione di Microsoft Exchange Server 2003, 2007 o 2010.
Chiave privata
(certificato)
Firewall
Server di certificati
Firewall
Profilo di configurazione
443
3
1
Internet
Active Directory
Chiave pubblica
(certificato)
2
Server proxy
Server Client Access o
front-end di Exchange
4
6
Gateway di posta
o server Trasporto Edge*
5
Server testa di ponte o
Trasporto Hub
Casella di posta Exchange
o server back-end
*Depending on your network configuration, the Mail Gateway or Edge Transport Server may reside within the perimeter network (DMZ).
1
iPhone e iPad richiedono l’accesso ai servizi Exchange ActiveSync tramite la porta 443 (HTTPS). Si tratta della stessa porta utilizzata per Outlook
Web Access e per altri servizi web protetti, quindi in molte implementazioni è già aperta e configurata per consentire il traffico HTTPS criptato
con SSL.
2
Il server ISA fornisce l’accesso al server Client Access o front-end di Exchange. ISA è configurato come un proxy, oppure in molti casi
come un proxy inverso, per indirizzare il traffico al server Exchange.
3
Il server Exchange autentica l’utente in arrivo utilizzando il servizio Active Directory e il server di certificati (se è attiva l’autenticazione
con certificati).
4
Se l’utente fornisce le adeguate credenziali e accede ai servizi Exchange ActiveSync, il server front-end stabilisce una connessione con la casella
di posta appropriata sul server back-end (tramite il catalogo globale di Active Directory).
5
Viene stabilita la connessione Exchange ActiveSync. Gli aggiornamenti e le modifiche vengono trasmessi over-the-air, e le modifiche apportate
sull’iPhone o iPad vengono riportate sul server Exchange.
6
Anche i messaggi e-mail inviati vengono sincronizzati con il server Exchange tramite Exchange ActiveSync (passaggio 5). Per indirizzare i
messaggi e-mail in uscita a destinatari esterni, la posta viene generalmente inviata via SMTP tramite un server testa di ponte (o Trasporto Hub)
a un gateway di posta (o server Trasporto Edge) esterno. A seconda della configurazione di rete, il gateway di posta o il server Trasporto Edge
esterno potrebbero risiedere nella rete perimetrale o all’esterno del firewall.
© 2012 Apple Inc. Tutti i diritti riservati. Apple, il logo Apple, iPhone, iPad e Mac OS sono marchi di Apple Inc., registrati negli USA e in altri Paesi. Tutti gli altri prodotti e nomi di aziende citati sono marchi
dei rispettivi proprietari. Le specifiche dei prodotti possono subire modifiche senza preavviso. Il presente materiale è fornito a puro titolo informativo; Apple non si assume alcuna responsabilità in merito
al suo utilizzo. Settembre 2012