Distribuire iPhone e iPad Exchange ActiveSync
Transcript
Distribuire iPhone e iPad Exchange ActiveSync
Distribuire iPhone e iPad Exchange ActiveSync iPhone e iPad comunicano direttamente con il tuo server Microsoft Exchange tramite Microsoft Exchange ActiveSync (EAS), attivando la tecnologia push per e-mail, calendari, contatti e task. Exchange ActiveSync fornisce inoltre agli utenti l’accesso alla consultazione dell’elenco indirizzi globale (GAL) dell’azienda e permette agli amministratori di imporre criteri per il codice di accesso e la cancellazione remota. iOS supporta sia l’autenticazione di base sia quella via certificato per Exchange ActiveSync. Se nella tua azienda è attivo Exchange ActiveSync, disponi già dei servizi necessari per supportare iPhone e iPad e non occorre un’ulteriore configurazione. Se hai Exchange Server 2003, 2007 o 2010, ma la tua azienda non conosce Exchange ActiveSync, leggi i passaggi che seguono. Configurazione di Exchange ActiveSync Panoramica della configurazione di rete • Verifica che la porta 443 del firewall sia aperta. Se l’azienda consente l’utilizzo di Outlook Web Access, probabilmente la porta 443 è già aperta. Criteri di protezione Exchange ActiveSync supportati • Cancellazione dati in remoto • Password richiesta sul dispositivo • Lunghezza minima password • Numero massimo di tentativi falliti per la password (prima della cancellazione locale) • Numeri e lettere entrambi richiesti • Tempo di inattività in minuti (da 1 a 60 minuti) Altri criteri di Exchange ActiveSync (solo per Exchange 2007 e 2010) • Possibilità di accettare/vietare password semplici • Scadenza della password • Cronologia delle password • Intervallo di aggiornamento dei criteri • Numero minimo di caratteri complessi nella password • Sincronizzazione manuale richiesta in roaming • Uso della fotocamera consentito • Navigazione web consentita • Sul server front-end verifica che sia installato un certificato del server e attiva SSL per la directory virtuale di Exchange ActiveSync in IIS. • Se utilizzi un server Microsoft Internet Security and Acceleration (ISA), verifica che sia installato un certificato del server e aggiorna il DNS pubblico per risolvere le connessioni in arrivo. • Verifica che il DNS della tua rete restituisca un unico indirizzo instradabile esternamente al server Exchange ActiveSync per i client intranet e internet. Questo è necessario per consentire al dispositivo di utilizzare lo stesso indirizzo IP per comunicare con il server quando sono attivi entrambi i tipi di connessione. • Se utilizzi un server Microsoft ISA, crea un listener web e una regola di pubblicazione per l’accesso al client web di Exchange. Per maggiori informazioni consulta la documentazione Microsoft. • Imposta su 30 minuti il timeout della sessione inattiva per tutti i firewall e i dispositivi di rete. Per informazioni sugli intervalli di heartbeat e timeout, consulta la documentazione Microsoft Exchange all’indirizzo http://technet.microsoft.com/en-us/library/cc182270. aspx (in inglese). • Utilizza Exchange System Manager per configurare le funzioni, i criteri e le impostazioni di sicurezza per i dispositivi mobili. Per Exchange Server 2007 e 2010, questa operazione viene effettuata in Exchange Management Console. • Scarica e installa lo strumento Microsoft Exchange ActiveSync Mobile Administration Web Tool, necessario per avviare le operazioni di cancellazione remota. Per Exchange Server 2007 e 2010, la cancellazione remota può essere avviata anche da Outlook Web Access o Exchange Management Console. 2 Autenticazione di base (nome utente e password) • Abilita Exchange ActiveSync per utenti/gruppi specifici usando il servizio Active Directory. In Exchange Server 2003, 2007 e 2010 è abilitato per impostazione predefinita su tutti i dispositivi portatili a livello organizzativo. Per quanto riguarda Exchange Server 2007 e 2010, fai riferimento a “Configurazione destinatario” in Exchange Management Console. • Per impostazione predefinita l’autenticazione degli utenti di Exchange ActiveSync è quella di base. Consigliamo di attivare SSL per l’autenticazione di base per garantire che le credenziali siano criptate durante l’autenticazione. Autenticazione basata su certificati • Installa i servizi dei certificati aziendali su un server membro o un controller di dominio nel tuo dominio (che sarà il tuo server Autorità di certificazione). • Configura IIS sul tuo server front-end o Client Access di Exchange per accettare l’autenticazione basata su certificati per la directory virtuale di Exchange ActiveSync. Altri servizi di Exchange ActiveSync • Consultazione elenco globale degli indirizzi (GAL) • Accettazione e creazione di inviti di calendario • Sincronizzazione task • Contrassegni messaggi e-mail • Sincronizzazione contrassegni Rispondi e Inoltra con Exchange Server 2010 • Ricerca mail su Exchange Server 2007 e 2010 • Supporto per più account Exchange ActiveSync • Autenticazione basata su certificati • E-mail push alle cartelle selezionate • Autodiscover • Per consentire o richiedere certificati per tutti gli utenti, disattiva “Autenticazione di base” e seleziona “Accetta certificati dei client” o “Richiedi certificati dei client”. • Genera i certificati client utilizzando il server Autorità di certificazione. Esporta la chiave pubblica e configura IIS in modo che usi tale chiave. Esporta la chiave privata e utilizza un profilo di configurazione per fornirla agli iPhone e iPad. L’autenticazione con certificati può essere configurata unicamente tramite un profilo di configurazione. Per maggiori informazioni sui servizi di certificati, consulta le risorse Microsoft. 3 Scenario di distribuzione con Exchange ActiveSync Questo esempio mostra come iPhone e iPad si collegano a una tipica distribuzione di Microsoft Exchange Server 2003, 2007 o 2010. Chiave privata (certificato) Firewall Server di certificati Firewall Profilo di configurazione 443 3 1 Internet Active Directory Chiave pubblica (certificato) 2 Server proxy Server Client Access o front-end di Exchange 4 6 Gateway di posta o server Trasporto Edge* 5 Server testa di ponte o Trasporto Hub Casella di posta Exchange o server back-end *Depending on your network configuration, the Mail Gateway or Edge Transport Server may reside within the perimeter network (DMZ). 1 iPhone e iPad richiedono l’accesso ai servizi Exchange ActiveSync tramite la porta 443 (HTTPS). Si tratta della stessa porta utilizzata per Outlook Web Access e per altri servizi web protetti, quindi in molte implementazioni è già aperta e configurata per consentire il traffico HTTPS criptato con SSL. 2 Il server ISA fornisce l’accesso al server Client Access o front-end di Exchange. ISA è configurato come un proxy, oppure in molti casi come un proxy inverso, per indirizzare il traffico al server Exchange. 3 Il server Exchange autentica l’utente in arrivo utilizzando il servizio Active Directory e il server di certificati (se è attiva l’autenticazione con certificati). 4 Se l’utente fornisce le adeguate credenziali e accede ai servizi Exchange ActiveSync, il server front-end stabilisce una connessione con la casella di posta appropriata sul server back-end (tramite il catalogo globale di Active Directory). 5 Viene stabilita la connessione Exchange ActiveSync. Gli aggiornamenti e le modifiche vengono trasmessi over-the-air, e le modifiche apportate sull’iPhone o iPad vengono riportate sul server Exchange. 6 Anche i messaggi e-mail inviati vengono sincronizzati con il server Exchange tramite Exchange ActiveSync (passaggio 5). Per indirizzare i messaggi e-mail in uscita a destinatari esterni, la posta viene generalmente inviata via SMTP tramite un server testa di ponte (o Trasporto Hub) a un gateway di posta (o server Trasporto Edge) esterno. A seconda della configurazione di rete, il gateway di posta o il server Trasporto Edge esterno potrebbero risiedere nella rete perimetrale o all’esterno del firewall. © 2012 Apple Inc. Tutti i diritti riservati. Apple, il logo Apple, iPhone, iPad e Mac OS sono marchi di Apple Inc., registrati negli USA e in altri Paesi. Tutti gli altri prodotti e nomi di aziende citati sono marchi dei rispettivi proprietari. Le specifiche dei prodotti possono subire modifiche senza preavviso. Il presente materiale è fornito a puro titolo informativo; Apple non si assume alcuna responsabilità in merito al suo utilizzo. Settembre 2012