Общие сведения об обеспечении безопасности мобильного Outlook
Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Последнее изменение раздела: 2010-09-13
Существует несколько методов защиты мобильного Outlook (ранее известного как RPC через HTTP). В среде обмена сообщениями Microsoft Exchange Server 2010, где включена поддержка мобильного Outlook, пользователи могут обращаться к Exchange через Интернет. Когда пользователь обращается к почтовому ящику через Интернет с помощью мобильного Outlook, то при каждом создании или обновлении профиля Outlook служба автообнаружения автоматически обнаруживает сведения в профиле Outlook и предоставляет пользователю доступ к веб-службам Exchange, включая автономную адресную книгу, службу доступности и единую систему обмена сообщениями. Поскольку трафик в Интернете слабо защищен от перехвата и атак, рекомендуется использовать стратегию безопасности, которая включает максимальное количество средств безопасности.
Необходимы сведения о задачах управления, связанных с функцией Outlook Anywhere? См. раздел Управление Outlook Anywhere.
Содержание
Использование усовершенствованного сервера брандмауэра для мобильного Outlook
Использование протокола SSL с мобильным Outlook
Варианты развертывания SSL для мобильного Outlook
Использование разгрузки SSL для мобильного Outlook
Настройка проверки подлинности для мобильного Outlook
Общие сведения о проверке подлинности для мобильного Outlook и виртуального каталога RPC
Использование усовершенствованного сервера брандмауэра для мобильного Outlook
Использование усовершенствованного сервера брандмауэра, такого как Microsoft Internet Security и Acceleration (ISA) Server 2006, MicrosoftForefront Threat Management Gateway 2010 или MicrosoftForefront Unified Access Gateway 2010, улучшает безопасность мобильного Outlook. Сервер ISA Server 2006 включает мастер установки, позволяющий настроить его для работы с Exchange 2010 и мобильным Outlook. Дополнительные сведения см. в статьях Использование сервера ISA Server с Outlook Anywhere и Публикация сервера Exchange Server 2010 с помощью шлюзов Forefront Unified Access Gateway 2010 и Forefront Threat Management Gateway 2010.
Использование протокола SSL с мобильным Outlook
При использовании мобильного Outlook для доступа к сведениям Exchange из Интернета необходимо установить SSL-сертификат от доверенного центра сертификации, имеющего доверительные отношения с операционной системой клиентского компьютера. Дополнительные сведения об использовании SSL-сертификатов для клиентского доступа см. в разделе Общие сведения о цифровых сертификатах и протоколе SSL. Дополнительные сведения об использовании протокола SSL с мобильным Outlook см. в разделе Настройка SSL для мобильного Outlook.
В начало
Варианты развертывания SSL для мобильного Outlook
Существует несколько способов защитить связь между клиентами Outlook 2007 и Outlook 2010 и службой автообнаружения с помощью SSL. При использовании мобильного Outlook клиенты Outlook запрашивают службу DNS для получения сведений о точке подключения службы автообнаружения. Прежде всего рекомендуется использовать поле "Дополнительное имя субъекта" (SAN) SSL-сертификата. Использование этого поля позволяет использовать один сертификат для защиты связи между клиентами и сервером клиентского доступа, где размещена служба обнаружения, в дополнение к подключению к мобильному Outlook. Дополнительные сведения о настройке SAN для сертификата SSL см. в разделе Настройка SSL-сертификатов для использования нескольких имен узлов серверов клиентского доступа.
Кроме того, можно использовать несколько SSL-сертификатов. Дополнительные сведения см. в разделе Настройка использования нескольких SSL-сертификатов в мобильном Outlook.
Еще один вариант — использовать SSL-сертификат с перенаправлением. Дополнительные сведения см. в разделе Настройка использования SSL-сертификата с перенаправлением в мобильном Outlook.
Использование разгрузки SSL для мобильного Outlook
При наличии оборудования, которое использует разгрузку SSL-шифрования трафика, направленного на сервер клиентского доступа, необходимо настроить разгрузку SSL для мобильного Outlook. Дополнительные сведения см. в разделе Настройка разгрузки SSL для мобильного Outlook.
В начало
Настройка проверки подлинности для мобильного Outlook
При использовании мастера включения мобильного Outlook для настройки сервера клиентского доступа с целью обеспечения доступа с помощью мобильного Outlook необходимо выбрать метод проверки подлинности, который будет использоваться клиентами Outlook. После выбора метода его можно поменять с помощью командлета Set-OutlookAnywhere в командной консоли Exchange.
Общие сведения о проверке подлинности для мобильного Outlook и виртуального каталога RPC
Метод проверки подлинности для мобильного Outlook — это метод, который будет использоваться клиентом Outlook 2007 или Outlook 2010. Этот метод проверки подлинности автоматически предоставляется клиенту службой автообнаружения. Пользователь выбирает тип проверки подлинности для виртуального каталога RPC при включении мобильного Outlook. Можно выбрать обычную проверку подлинности, проверку подлинности NTLM или оба эти варианта. Можно включить поддержку обоих методов проверки подлинности — обычного и NTLM — при использовании виртуального каталога служб IIS с несколькими приложениями, для которых требуются разные методы проверки подлинности.
.gif "Примечание") Примечание. |
|---|
| В случае настройки этого параметра с использованием интерфейса IIS можно включить поддержку любого количества методов проверки подлинности. |
Метод проверки подлинности для виртуального каталога RPC можно изменить при помощи командлета Set-OutlookAnywhere. Дополнительные сведения см. в разделе Настройка проверки подлинности для мобильного Outlook.
В начало
Обычная проверка подлинности и мобильный Outlook
Для мобильного Outlook можно использовать обычную проверку подлинности. Обычная проверка подлинности запрашивает имя пользователя и пароль, а затем отправляет имя пользователя и пароль через Интернет в виде простого текста. Обычная проверка подлинности поддерживается для мобильного Exchange, если для обеспечения безопасности соединения между клиентом Microsoft Office Outlook Web App и инфраструктурой обмена сообщениями Outlook используется протокол SSL. Дополнительные сведения см. в разделе Настройка проверки подлинности для мобильного Outlook.
Интегрированная проверка подлинности Windows и мобильный Outlook
ISA Server 2006, Threat Management Gateway 2010 и Unified Access Gateway 2010 поддерживают использование встроенной проверки подлинности Windows для мобильного Outlook. Если используется брандмауэр, не поддерживающий встроенную проверку подлинности Windows, необходимо использовать обычную проверку подлинности в сочетании с SSL. Дополнительные сведения см. в разделе Настройка проверки подлинности для мобильного Outlook. Дополнительные сведения о настройке проверки подлинности NTLM см. в разделе Публикация мобильного Outlook с проверкой подлинности NTLM с помощью Forefront TMG или Forefront UAG.
В начало
Публикация Exchange с помощью IPsec
Один из способов защитить соединение между клиентом и сервером при публикации Exchange — использовать IPsec с компьютерной проверкой подлинности. При этом компьютеры должны пройти проверку, чтобы пользователь мог получать и передавать данные на сервер. Использование IPsec для защиты соединения гарантирует, что проверку подлинности при использовании устройства проходит не только пользователь, но и компьютер. Таким образом, для удовлетворения потребностей двухфакторной проверки подлинности может использоваться IPsec. Дополнительные сведения о настройке этого решения см. в статье Использование IPsec для защиты доступа к Exchange.
В начало
© Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.