Implementare iPhone e iPad Exchange ActiveSync
Transcript
Implementare iPhone e iPad Exchange ActiveSync
Implementare iPhone e iPad Exchange ActiveSync iPhone e iPad comunicano direttamente con il tuo Microsoft Exchange Server tramite Microsoft Exchange ActiveSync (EAS), attivando la tecnologia push per e-mail, calendari, contatti e task. Exchange ActiveSync fornisce inoltre agli utenti l’accesso alla consultazione dell’elenco indirizzi globale (Global Address List, GAL) e permette agli amministratori di imporre criteri per il codice di accesso e la cancellazione remota. iOS supporta sia l’autenticazione di base sia quella via certificato per Exchange ActiveSync. Se nella tua azienda è attivo Exchange ActiveSync, disponi dei servizi necessari per supportare iPhone e iPad e non occorre un’ulteriore configurazione. Se hai Exchange Server 2003, 2007 o 2010, ma la tua azienda non conosce Exchange ActiveSync, leggi i passaggi che seguono. Configurazione di Exchange ActiveSync Panoramica della configurazione di rete • Verifica che la porta 443 del firewall sia aperta. Se l’azienda consente l’utilizzo di Outlook Web Access, la porta 443 è probabilmente già aperta. Criteri di protezione Exchange ActiveSync • Cancellazione a distanza • Password richiesta sul dispositivo • Lunghezza minima password • Numero massimo di tentativi falliti per la password (prima della cancellazione locale) • Numeri e lettere entrambi richiesti • Tempo di inattività in minuti (da 1 a 60 minuti) Altri criteri di Exchange ActiveSync (solo per Exchange 2007 e 2010) • Concessione o divieto di password semplice • Scadenza della password • Cronologia delle password • Intervallo di aggiornamento dei criteri • Numero minimo di caratteri complessi nella password • Richiesta di sincronizzazione manuale durante il roaming • Videocamera consentita • Navigazione web consentita • Sul server front-end, verifica che sia installato un certificato del server e attiva SSL per la directory virtuale di Exchange ActiveSync in IIS. • Se utilizzi un server Microsoft Internet Security and Acceleration (ISA), verifica che sia installato un certificato del server e aggiorna il DNS pubblico per risolvere le connessioni in arrivo. • Verifica che il DNS della tua rete restituisca un unico indirizzo instradabile esternamente al server Exchange ActiveSync per i client intranet e internet. Questo è necessario per consentire al dispositivo di utilizzare lo stesso indirizzo IP per comunicare con il server quando sono attivi entrambi i tipi di connessione. • Se utilizzi un server Microsoft ISA, crea un listener web e una regola di pubblicazione per l’accesso al client web di Exchange. Per maggiori informazioni, consulta la documentazione Microsoft. • Per tutti i firewall e i dispositivi di rete, imposta su 30 minuti il timeout della sessione inattiva. Per informazioni sugli intervalli di heartbeat e timeout, consulta la documentazione Microsoft Exchange all’indirizzo http://technet.microsoft.com/en-us/ library/cc182270.aspx. • Configura le impostazioni di protezione dei dispositivi, criteri e funzioni mobili utilizzando il Gestore di sistema di Exchange. Per quanto riguarda Exchange Server 2007 e 2010, questa operazione viene effettuata in Exchange Management Console. • Scarica e installa lo strumento Microsoft Exchange ActiveSync Mobile Administration Web Tool, necessario per avviare operazioni di cancellazione remota. Per quanto riguarda Exchange Server 2007 e 2010, la cancellazione remota può essere inizializzata anche utilizzando Outlook Web Access o Exchange Management Console. 2 Autenticazione base (nome utente e password) • Attiva Exchange ActiveSync per utenti o gruppi specifici utilizzando il servizio Active Directory. In Exchange Server 2003, 2007 e 2010 è abilitato per impostazione predefinita su tutti i dispositivi portatili a livello organizzativo. Per quanto riguarda Exchange Server 2007 e 2010, fai riferimento a “Configurazione destinatario” in Exchange Management Console. • Per impostazione predefinita, l’autenticazione degli utenti di Exchange ActiveSync è quella di base. È consigliabile attivare SSL per l’autenticazione base per assicurarsi che le credenziali vengano crittografate durante l’autenticazione. Autenticazione basata su certificati • Installa i servizi certificati aziendali su un server membro o un controller di dominio nel tuo dominio (che sarà il tuo server Autorità di certificazione). • Configura IIS sul tuo server Client Access o front-end di Exchange per accettare l’autenticazione con certificati per la directory virtuale di Exchange ActiveSync. Altri servizi Exchange ActiveSync • Consultazione elenco globale degli indirizzi (GAL) • Accettazione e creazione di inviti di calendario • Sincronizzazione task • Contrassegni messaggi e-mail • Sincronizzazione contrassegni Rispondi e Inoltra con Exchange Server 2010 • Ricerca mail su Exchange Server 2007 e 2010 • Supporto per più account Exchange ActiveSync • Autenticazione basata su certificati • E-mail push alle cartelle selezionate • Individuazione automatica • Per consentire o richiedere certificati per tutti gli utenti, disattiva “Autenticazione di base” e seleziona “Accetta certificati dei client” o “Richiedi certificati dei client”. • Genera i certificati client utilizzando il server Autorità di certificazione. Esporta la chiave pubblica e configura IIS in modo che usi tale chiave. Esporta la chiave privata e utilizza un profilo di configurazione per fornirla agli iPhone e iPad. L’autenticazione con certificati può essere configurata unicamente tramite un profilo di configurazione. Per maggiori informazioni sui servizi certificati, consulta le risorse Microsoft. 3 Scenario di implementazione di Exchange ActiveSync Questo esempio mostra come iPhone e iPad si collegano a una tipica implementazione di Microsoft Exchange Server 2003, 2007 o 2010. Chiave privata (certificato) Firewall Server di certificati Firewall Profilo di configurazione 443 3 1 Internet Active Directory Chiave pubblica (certificato) 2 Server proxy Server Client Access o front-end di Exchange 4 6 Gateway di posta o server Trasporto Edge* Server testa di ponte o Trasporto Hub 5 Cassetta postale di Exchange o server back-end *A seconda della configurazione di rete, il gateway di posta o il server Trasporto Edge potrebbe risiedere nella rete perimetrale (DMZ, Demilitarized Zone, zona demilitarizzata). 1 iPhone e iPad richiedono l’accesso ai servizi Exchange ActiveSync tramite la porta 443 (HTTPS). Si tratta della stessa porta utilizzata per Outlook Web Access e per altri servizi web protetti, quindi in molte implementazioni questa porta è già aperta e configurata per consentire il traffico HTTPS crittografato con SSL. 2 Il server ISA fornisce l’accesso al server Client Access o front-end di Exchange. ISA è configurato come proxy oppure, in molti casi, come proxy inverso per indirizzare il traffico al server Exchange. 3 Il server Exchange autentica l’utente in arrivo utilizzando il servizio Active Directory e il server di certificati (se è attiva l’autenticazione con certificati). 4 Se l’utente fornisce le adeguate credenziali e accede ai servizi Exchange ActiveSync, il server front-end stabilisce una connessione con la cassetta postale appropriata sul server back-end (tramite il catalogo globale di Active Directory). 5 La connessione Exchange ActiveSync viene stabilita. Gli aggiornamenti e le modifiche vengono trasmessi over-the-air, e le modifiche apportate sull’iPhone o iPad vengono riportate sul server Exchange. 6 Anche i messaggi e-mail inviati vengono sincronizzati con il server Exchange tramite Exchange ActiveSync (passaggio 5). Per indirizzare i messaggi e-mail in uscita a destinatari esterni, la posta viene generalmente inviata tramite un server testa di ponte (o Trasporto Hub) a un gateway di posta (o server Trasporto Edge) esterno tramite SMTP. A seconda della configurazione di rete, il gateway di posta o il server Trasporto Edge esterno potrebbero risiedere nella rete perimetrale o all’esterno del firewall. © 2012 Apple Inc. Tutti i diritti riservati. Apple, il logo Apple, iPhone, iPad e Mac OS sono marchi di Apple Inc., registrati negli USA e in altri Paesi. Tutti gli altri prodotti e nomi di aziende citati sono marchi dei rispettivi proprietari. Le specifiche dei prodotti possono subire modifiche senza preavviso. Il presente materiale è fornito a puro titolo informativo; Apple non si assume alcuna responsabilità in merito al suo utilizzo. Marzo 2012