Мобильные сообщения и Exchange Server 2007. Часть 2: Управление мобильными устройствами.

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

• Мобильные сообщения и Exchange Server 2007. Часть 1: Усовершенствования и новые возможности мобильных устройств.

Введение

В первой части этой серии из двух статей по мобильной передаче сообщений с Exchange Server 2007 мы обнаружили новые свойства мобильного устройства и улучшения, доступные в комбинации устройств Windows Mobile 6.0 и Exchange Server 2007. Во второй части мы посмотрим на новые свойства и улучшения, которые стали доступны в управляющих мобильных устройствах и Exchange ActiveSync.

Exchange ActiveSync (EAS) доступен по умолчанию после того, как в вашей организации был установлен Exchange 2007 Client Access Server (CAS). К тому же, EAS доступен для почтовых ящиков всех пользователей. Это значит, что как только вы использовали сертификат SSL , то есть связались с помощью мобильного устройства с Default Web Site (Web-сайт по умолчанию) в IIS, ваши пользователи мобильных устройств могут создать EAS профиль и сразу начать синхронизировать устройство с их соответствующим почтовым ящиком. Как и Exchange 2003, Exchange 2007 по-прежнему использует виртуальную службу, называемую Microsoft-Server-ActiveSync в IIS, как точку соединения для мобильных устройств.

Хотя не многое изменилось со времени появления технологии direct push, я решил, что было бы неплохо освежить нашу память( на всякий случай). Рисунок 1 внизу показывает вам, как Exchange 2007 CAS соединяется с Windows mobile 5.0 с MSFP или 6.0.

Как вы можете видеть, Direct Push работает с помощью поддержания постоянного HTTPS соединения между мобильным устройством и Exchange 2007 CAS. Так как технология Direct Push использует длительные HTTPS запросы, то очень важно, чтобы и ваш мобильный курьер и ваш брандмауэр были настроены со временем максимальной задержки от 15 до 30 минут по умолчанию. Если задано короткое время задержки, в этом случае устройство чаще принимает новый HTTPS запрос, что может не только укоротить жизнь батарейки вашего устройства, но также быть более дорогим, так как может оказаться передано большее количество данных. Если в вашей организации используют брандмауэр, основанный на серверах ISA 2004 или 2006, то следующие шаги описаны в MS KB article 905013.

Замечание: Для более полного охвата технологии Direct Push смотрите статью Обмен мобильными сообщениями в Exchange 2003.

Политики Exchange ActiveSync

В отличии от Exchange Server 2003, где установки политики безопасности мобильных устройств применялись ко всем пользователям EAS в организации Exchange (кроме добавленных в лист исключений), Exchange Server 2007 поддерживает множество EAS политик почтовых ящиков. Это позволяет вам, как Exchange администратору определять EAS политики почтовых ящиков набору пользователей, например, на уровне страны или области, или даже основываясь на распределении групп членств.

Чтобы создать EAS политику почтовых ящиков используется Exchange Management Console (EMC) (Управляющая Обменная Консоль), выбирается Client Access node (узел клиентского доступа) под Organization Configuration ( конфигурацию организации) в навигационном дереве. Теперь щелкним New Exchange ActiveSync Mailbox Policy в Action panel (панели действия), как это показано на Рисунке 2.

Появится мастер по New Exchange ActiveSync Mailbox Policy (Рисунок 3). Теперь нам необходимо установить название для политики, и затем выбрать, позволять ли синхронизировать non-provisionable устройства. Что по сути значит, позволять ли синхронизировать устройствам наследства, которые не поддерживают AutoDiscover service (служба автообнаружения) для связи с Exchange 2007 Client Access Server (CAS). К тому же, мы можем определить, стоит ли загружать приложения к устройству.

Затем мы должны определить параметры настройки конфигурации пароля. Некоторые из них должны быть знакомы тем из вас, кто использует мобильную передачу сообщений, основанную на Exchange Server 2003 SP2.

Require alphanumeric password(Требование буквенно-цифрового пароля)

Включенная эта опция требует буквенно-цифровой пароль, который содержит числовые и нечисловые символы.

Enable password recovery(Включить пароль “восстановления” устройства)

Эта функция включает пароль “восстановления” для мобильного устройства. Пользователи могут просмотреть пароль “восстановления”, чтобы отыскать свое устройство, используя Outlook Web Access (OWA) 2007. К тому же, вы, как Exchange администратор, можете просмотреть пароль “восстановления” через EMC.

Require encryption on device(Требование шифрования на устройстве)

Включение этой опции потребует шифрование устройства, что сильно увеличит безопасность устройства. Вся информация, включая любые данные, содержащиеся на накопительной карте, будет зашифровываться.

Allow simple password(Позволить простой пароль)

Включение этой функции позволит пользователям использовать простые численные пароли типа 8888.

Minimum password length(Минимум длины пароля)

Включение этой функции позволит вам, как Exchange администратору, устанавливать минимальную длину пароля. Примите во внимание то, что с увеличением длины пароля увеличивается его безопасность, но при этом уменьшается удобство использования устройства.

Time without user input before password must be re-entered (in minutes)(Время без пользователя, после которого для входа нужно ввести пароль(в минутах))

С помощью включения этой функции вы, как Exchange администратор, будете иметь возможность установки того, после скольких минут в неактивном состоянии устройство блокируется и требует, таким образом, введения пароля для дальнейшего использования устройства. Установка этого значения очень коротким приводит к уменьшению удобства пользования устройством, поэтому используйте ее мудро.

Password expiration(Истечение срока пароля)

Включение этой функции позволит вам, как Exchange администратору, установить после какого количества дней пароль перестает действовать. Не делайте это значение очень коротким, так как это побудит пользователей использовать маленькие пароли.

Enforce password history(Обязательная парольная история)

В заключении рассмотрим опцию, включающую историю паролей и, таким образом, заставляющую пользователей использовать новые пароли, когда их пароли перестают действовать.

Когда вы точно определяете, какие значения вы хотите установить в вашей частной EAS политике почтового ящика, кликните New(Новый) и voila политика будет создана, как это показано на Рисунке 4.

По умолчанию EAS политика позволяет любому пользователю почтового ящика, которому отведена частная политика, иметь доступ к документам в общие папки Windows(File Shares) и сервисам SharePoint во внутренней сети. Чтобы отказать пользователям в доступе к этим документам из Windows мобильного устройства, откройте страничку свойств политики, Windows File Shares и Windows SharePoint Services в Общей закладке(General tab) (Рисунок 5) и затем нажмите OK. Как вы видите, любые другие установки оригинальной конфигурации в EAS политике могут быть так же изменены с помощью Страницы свойств (Property page), если требуется.

Теперь, когда мы создали EAS политику, следующим шагом будет применение ее к соответствующим почтовым ящикам в организации. Это делается с помощью открытия страницы свойств для почтовых ящиков под Recipient Configuration work center node(узлом принимающего конфигурационного рабочего центра). В открытой странице свойств выбираем Mailbox Features tab (Свойства почтовых ящиков). В этой закладке мы можем включать и выключать разные клиентские протоколы для почтовых ящиков, но так как Exchange ActiveSync включен по умолчанию, давайте выберем Exchange ActiveSync и затем нажмем the Properties button(Кнопка “Свойства”) как показано на Рисунке 6. На страничке свойств Exchange ActiveSync нажмем Browse(Обзор), выбранную the EAS политику мы уже создали, и затем гарантируем проверку: Apply an Exchange ActiveSync mailbox policy(Применить Exchange ActiveSync политику к почтовому ящику). Щелкните дважды OK, и EAS политика будет применена к почтовому ящику.

Если вам необходимо применить EAS политику, скажем, к сотням или тысячам пользователей, вам необходимо использовать Set-CASMAilbox cmdlet в Exchange Management Shell (EMC) (Управляющей оболочке). Например, применяя выше указанную EAS политику ко всем пользователям почтовых ящиков, запустим следующую команду:

Get-Mailbox | Set-CASMailbox -ActiveSyncMailboxPolicy (Get-ActiveSyncMailboxPolicy "Exchange Hosting - General").Identity 

Управление мобильными устройствами.

Первое время пользователь синхронизиирует свое мобильное устройство, используя EAS, соединение мобильных устройств устанавливается. Когда соединение будет установлено, в Context Menu добавляют новую опцию, называемую Manage Mobile Device. Оно появляется, когда пользователь щелкает правой кнопкой ниже Recipient Configuration work center, как показано на рисунке 7.

При выборе Manage Mobile Device запускается мастер Manage Mobile Device ( Рисунок 8). Здесь вы можете видеть мобильное устройство, которое устанавливает соединение с соответствующим почтовым ящиком. Под Additional device information(информация, добавляемая устройством) мы можем видеть, когда произошла первая синхронизация, когда было извещено о последнем стирании устройства, время подтверждения стирания устройства, когда устройство было последний раз скорректировано в соответствии с политикой, а так же последний прозвоненный сердечный удар (ping heartbeat) (это должно происходить каждые 15-30 минут в зависимости от того, как поддерживаемые сессий были заданы на провайдере вашего мобильного сервиса и на вашем брандмауэре). В заключении, вы можете (если включите) просматривать здесь пароль “восстановления” устройства.

Под Action (Действие) имеется опция перемещения (ака удаления) соединения мобильного устройства, а также выполнения удаленного стирания мобильного устройства. Удаленное стирание мобильного устройства будет выполняться удалением любых данных, содержащихся в памяти , а также на накопительной карте. В другом случае, устройство будет собрано на его фабрике по умолчанию.

Замечание: Удаление соединения мобильного устройства не удаляет никаких данных с самого мобильного устройства. И когда в будущем пользователь попытается синхронизировать устройство с почтовым ящиком, то выполнится новое соединение.

Если вы хотите видеть мобильное устройство и Exchange ActiveSync статистику для пользователя с помощью EMS, то так можно сделать с помощью Get-ActiveSyncDeviceStatistics cmdlet. Например, чтобы получить EAS статистику для почтового ящика с вымышленным именем HEW, нам необходимо набрать:

Get-ActiveSyncDeviceStatistics -Mailbox hew

Это дает нам информацию, показанную на Рисунке 9.

Замечание: Если вы хотите видеть статистику для отдельного соединения, то вам необходимо определить идентичную строку вместо вымышленного почтового ящика.

Как можно видеть из Рисунка 10 пароль “восстановления” возвращается со звездочкой. Если вы хотите продемонстрировать пароль “восстановления”, добавьте - ShowRecoveryPassword $True к команде, которую мы запускали выше.

Соединение перемещается с помощью Remove-ActiveSyncDevice –Identity командлета.

Удаленное стирание устройства использует Clear-ActiveSyncDevice -Identity , как показано на Рисунке 11.

Самостоятельное управление

Чтобы уменьшить загруженность Windows событиями, связанными с мобильными устройствами в организациях, Exchange Product group тоже обзавелась возможностью самостоятельного управления, позволяющая пользователям самим управлять соединением устройства, если требуется. Это свойство самообслуживания использовалось прямо в OWA 2007 UI, как это показано на Рисунке 12. Как вы видите, свойства мобильного управления устройством доступны через Options page(Страница опций).

Обычный пользователь может видеть и исполнять подобные вещи из OWA, как Exchange администратор может из мастера Manage Mobile Device в Exchange Management Console.

Пользователь может даже извлекать информацию о пароле “восстановления” устройства (Рисунок 13 ), если бы он по некоторой причине забыл его.

Заключение

Как можно видеть, на протяжении всей статьи Exchange Product группа фокусировала внимание на многих улучшениях мобильных устройств/пользовательских свойств в Exchange Server 2007. Теперь мы можем создавать множественные политики Exchange ActiveSync почтовых ящиков, также производить все управление мобильными устройствами прямо из Exchange Management Console или Exchange Management Shell. И последнее, пользователи мобильных устройств имеют возможность самостоятельно управлять ими из OWA 2007 , так что загруженность событиями снизилась.

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

• Мобильные сообщения и Exchange Server 2007. Часть 1: Усовершенствования и новые возможности мобильных устройств.