Обмен сообщениями с портативных устройств в течение последних нескольких лет снова начал играть важную роль. Теперь смартфоны и планшеты можно встретить везде, поэтому обмен сообщениями с портативных устройств стал функцией, к которой любой бизнес-пользователь рассчитывает получить простой беспрепятственный доступ. Microsoft Exchange Server хорошо подходит для обмена сообщениями с пользователями портативных устройств и выпускается довольно долгое время. Сменилось уже несколько поколений Exchange Server. Поэтому когда пользователи просят, чтобы вы подсоединили их портативные устройства к почтовым ящикам Exchange, наладить обмен сообщениями — не самое важное. Ваша основная задача связана с безопасностью и удобством использования. СамообслуживаниеЧто касается удобства работы, большинство ваших пользователей, скорее всего, не знает, что Exchange Server предоставляет удобные функции самообслуживания, позволяющие самостоятельно управлять своими портативными устройствами. Эти функции можно найти в Exchange Control Panel, хотя полное меню функций может быть немного разным в зависимости от того, какая версия Exchange Server установлена в вашей организации. Чтобы получить доступ к функциям самообслуживания для портативных устройств, можно открыть Outlook Web App и щелкнуть ссылку Options, затем выбрать ссылку See All Options. После этого остается лишь щелкнуть вкладку Phone (рис. 1).
Рис. 1. Exchange Control Panel поддерживает функции самообслуживания для портативных устройств На вкладке Phone ваши пользователи увидят список всех устройств, которые они когда-либо регистрировали в Exchange. В этом интерфейсе можно удалить старые устройства или посмотреть параметры устройств, такие как компания-изготовитель, модель, ОС портативного устройства и версия ActiveSync. Важнее всего то, что в интерфейсе самообслуживания имеется кнопка Wipe Device. С ее помощью пользователи могут инициировать удаленную очистку (wipe) потерянного или украденного устройства. Это критически важная функция, поскольку она дает пользователям возможность выполнить очистку устройства сразу же, как они обнаружили его потерю, не дожидаясь ответа от службы поддержки. Например, представьте, что у пользователя украли телефон поздней ночью. Через портал самообслуживания пользователь сможет сразу же очистить свой телефон, не дожидаясь утра, когда он сможет отправить запрос в службу поддержки. Вопросы безопасностиКогда вы позволяете своим пользователям обращаться к электронной почте, хранящейся в Exchange, с портативных устройств, вы должны подумать о том, как это отразится на безопасности вашей организации. Microsoft Exchange Server позволяет задействовать ряд мощных политик безопасности для портативных устройств через политики почтовых ящиков портативных устройств (mobile device mailbox policies). Политики почтовых ящиков портативных устройств (раньше назывались политиками почтовых ящиков ActiveSync) предназначены для обеспечения безопасности в случаях, когда невозможно применить параметры групповых политик (Group Policy). Как вы, наверно знаете, параметры групповых политик можно применить только к членам домена. Единственные смартфоны, которые способны работать в доменах, — это смартфоны, работающие под управлением Microsoft Windows Mobile 6.x. Остальные смартфоны (в том числе устройства с Microsoft Windows Phone 7 и Windows Phone 8) не поддерживают домены. С помощью политик почтовых ящиков портативных устройств можно задать параметры безопасности для таких устройств, несмотря на то, что они не являются членами домена. Хотя политики почтовых ящиков портативных устройств обычно используют для защиты смартфонов, сфера их применения не ограничена смартфонами. На самом деле, политики почтовых ящиков портативных устройств применимы к любым устройствам, использующим ActiveSync для соединения с Exchange Server. Это, например, такие устройства, как планшет Microsoft Surface, iPad и даже компьютеры и планшеты с Windows 8. Одна из сложностей защиты портативных устройств с помощью политик почтовых ящиков портативных устройств — то, что каждый производитель и модель портативного устройства предлагают различный уровень поддержки защиты. Например, устройства с Windows Phone 7 печально известны тем, что не поддерживают значительное количество параметров защиты. Поскольку не все портативные устройства в равной степени поддерживают политики почтовых ящиков портативных устройств, неплохая идея — ознакомиться с тем, какие параметры политики поддерживают те или иные устройства. Например, устройства с Windows Phone 7, поддерживают только следующие параметры политики почтовых ящиков портативных устройств: - PasswordRequired
- MinPasswordLength
- IdleTimeoutFrequencyValue
- DeviceWipeThreshold
- AllowSimplePassword
- PasswordExpiration
- PasswordHistory
- DisableRemovableStorage
- DisableIrDA
- DisableDesktopSync
- BlockRemoteDesktop
- BlockInternetSharing
Устройства с Windows Phone 8 поддерживают следующие параметры политики: - Allow simple device password
- Alphanumeric password required
- Device password enabled
- Device password expiration
- IRM enabled
- Maximum device password failed attempts
- Maximum inactivity device time lock
- Minimum device password complex characters
- Minimum device password length
- Require device encryption
- Remote wipe
Для различных других портативных устройств посмотрите опубликованные для них списки поддерживаемых параметров политик. Поскольку разные производители и модели портативных устройств поддерживают различные параметры политик, вы должны выработать стратегию, которая обеспечит как можно большую безопасность для вашей организации, и, в то же время, по-прежнему будет поддерживать различные устройства. Можно выбрать один из трех основных подходов. Один из возможных подходов — ограничить набор производителей и моделей устройств, разрешенных и поддерживаемых вашей компанией. В этом случае можно гарантировать, что используются и подсоединены к сети с Exchange Server только устройства, поддерживающие параметры политик. Например, можно разрешить пользователям работать только с устройствами под управлением Windows Phone 8. Второй подход — создать политики, которые разрешают использовать устройства, не полностью поддерживающие требуемые параметры политик (non-provisionable). При таком подходе создают политику почтовых ящиков портативных устройств, устанавливающую определенные ограничения, но принимают к сведению, что на некоторых портативных устройствах эту политику не удастся применить в полной мере. Чтобы такой подход работал, необходимо установить флажок «Allow mobile devices that don’t fully support these policies to synchronize» (разрешить синхронизацию с портативными устройствами, не полностью поддерживающими эти политики — см. рис. 2). Раньше, до выхода Exchange Server 2013, это был флажок Allow Non-Provisionable Devices. Когда этот флажок установлен, портативные устройства игнорируют неподдерживаемые параметры. В противном случае при использовании неподдерживаемых параметров политики синхронизация с портативным устройством потерпит неудачу.
Рис. 2. Флажок «Allow mobile devices that don’t fully support these policies to synchronize» разрешит использование портативных устройств, не полностью поддерживающих параметры политик почтовых ящиков для портативных устройств Третий подход — создать несколько политик почтовых ящиков для портативных устройств. Поскольку разные типы портативных устройств поддерживают разные параметры политик, можно создать свою политику почтовых ящиков портативных устройств для каждого типа устройств, разрешенного к использованию в вашей сети. Exchange не позволяет ограничить доступ для устройств в зависимости от их типа, но если пользователь попытается выполнить синхронизацию с неразрешенным устройством и это устройство не поддерживает все параметры политик безопасности, заданных в политике почтовых ящиков портативных устройств, назначенных этому уникальному пользователю, то синхронизация потерпит неудачу. Храните свои контактыПользователи Exchange, как правило, не испытывают сложностей при управлении контактами. Однако в Microsoft Windows 8 внесено несколько изменений, которые иногда могут привести к путанице при управлении контактами. Хотя это не является технически обязательным, на устройствах, работающих под управлением Windows 8, Windows Phone 8 и Windows RT, приветствуется, когда пользователи входят в систему, указывая учетную запись, предоставляемую Microsoft (то, что раньше называлось учетной записью Microsoft Live). Когда пользователь вводит удостоверения своей учетной записи Microsoft, Windows пытается импортировать контакты из учетной записи Hotmail, принадлежащей пользователю. Также она пытается загрузить в People Hub (Люди) контакты из социальных сетей, к которым подсоединен пользователь. Проблема в том, что все это приводит к дублированию контактов в Exchange. Причина проблемы в том, что устройства с Windows RT и Windows Phone 8 могут соединяться с Exchange только через ActiveSync. Поскольку на этих устройствах нет Outlook, контакты показываются в People Hub. В Microsoft Windows 8 можно запустить Outlook, но Microsoft Windows 8 соединяется с Exchange через ActiveSync, а не через Outlook. При обнаружении дублирующихся контактов Windows пытается показывать в People Hub только по одному экземпляру каждого контакта. Однако имеется ряд обстоятельств, которые приводят к отображению дубликатов. Например, если имя контакта записано в Exchange и Hotmail по-разному, контакт будет показан дважды. Имеется несколько способов решения этой проблемы и борьбы с показом дублирующихся контактов пользователям. Самый эффективный метод — не позволять пользователям входить под учетной записью, предоставляемой Microsoft. Предположим, что устройство пользователя зарегистрировано в домене Active Directory, тогда можно заблокировать учетные записи Microsoft, настроив групповые политики. Соответствующий параметр групповой политики доступен в Group Policy Editor по пути Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Accounts: Block Microsoft Accounts (рис. 3). Следует заметить, что этот параметр имеется только в Windows Server 2012.
Рис. 3. Можно заблокировать учетные записи Microsoft, задав параметр групповой политики Для устройств, не присоединенных к домену, лучшее, что можно сделать — связать дублирующиеся контакты. В Windows 8 и Windows RT можно открыть People Hub и коснуться контакта, который вы хотите связать. Затем сдвиньте экран снизу вверх и коснитесь значка Link. А затем просто выберите контакт, с которым вы хотите связать исходный контакт, и коснитесь значка Save. На устройствах с Windows Phone 8 связывание контактов осуществляется аналогичным образом. Для связывания контакта откройте People Hub и коснитесь контакта, который вы хотите связать. Затем коснитесь значка Link, а затем контакта, с которым хотите связать исходный контакт. Как видите, для настройки обмена сообщениями с портативными устройствами нужно нечто гораздо большее, чем просто подсоединить мобильные устройства и предоставить им доступ к почтовым ящикам Exchange.
|