微軟的Exchange Server:透過 Exchange Server 行動化
當讓行動裝置存取 Exchange 時,務必考慮裝置安全性及使用性問題。
Brien M。 Posey
移動消息已採取新的重要性在過去幾年感。 現在無處不在的智慧手機和平板電腦性質使得移動消息到其中每個企業使用者期望自由、 方便地訪問的東西。
微軟的Exchange Server是齊全,提供消息給移動使用者,已經有很長一段時間。 Exchange Server已經經歷了幾代人。 這樣,當您的使用者問你要將他們的行動裝置連接到其 Exchange 郵箱,這一進程的消息方面應中等。 您主要關注應與有關的安全性和可用性。
自助服務
當它來到的可用性時,您的使用者大多大概不知道Exchange Server為他們提供了讓他們管理他們自己的行動裝置的自助服務選項的少數。 雖然充分功能表中的選項將根據您的組織已安裝的Exchange Server的版本略有不同,他們可以找到交換控制台,通過這些選項。
他們可以通過打開 Outlook Web 應用程式並按一下選項連結,然後選擇查看所有選項連結訪問行動裝置的自助服務選項。 此時,他們要做的就是只需點擊電話選項卡 (請參閱圖 1)。
.jpg)
圖 1 交換控制板為行動裝置提供自助式支援。
電話選項卡將顯示您的使用者的他們有過註冊到交換的每個設備的清單。 要刪除舊的設備,或要查看設備的詳細資訊,如製造、 型號、 手機作業系統和 ActiveSync 版本,他們可以使用此介面。
最重要的是,自助服務介面包含一個擦拭設備按鈕。 您的使用者可以使用此函數來啟動遠端擦除的丟失或被盜設備。 這是一個重要功能,因為它給您的使用者,而無需等到在服務台時缺少的設備上採取行動的能力。 例如,假設在深夜被偷了使用者的手機上。 通過自助服務門戶,使用者可以擦拭他的電話立即而無需等待,直到第二天,提交一張票到服務台。
安全性考量
當您讓使用者從行動裝置訪問其 Exchange 電子郵件時,您必須考慮如何做所以會影響您的組織的安全。 微軟的Exchange Server可以對行動裝置通過其行動裝置郵箱策略應用一套可靠的安全性原則。
(以前稱為 ActiveSync 郵箱策略) 的行動裝置郵箱策略旨在提供安全的情況下,使用群組原則設置是不可能的。 如你所知,可以僅適用于域成員的群組原則設置。 都過能夠成為域註冊的唯一智慧手機的是那些跑了微軟Windows Mobile6.x。 其他的智慧手機 (包括微軟 Windows Phone 7 和 Windows Phone 8 設備) 不能註冊功能變數名稱。 您可以使用行動裝置郵箱策略應用安全性到這些設備,即使他們不是域成員。
雖然傳統上使用的行動裝置郵箱策略來安全的智慧手機,但這些政策並不限於智慧手機安全。 實際上,你可以將行動裝置郵箱策略應用於使用 ActiveSync 連接到Exchange Server的任何設備。 這包括 Microsoft Surface 平板電腦、 iPad,和甚至是個人電腦或運行 Windows 8 的平板電腦等設備。
使用行動裝置郵箱策略來保護行動裝置的一點是支援的每個人都做,模型的行動裝置提供不同級別。 例如,Windows Phone 7 設備是臭名遠揚為未能支援相當多的單獨的策略設置。
因為不是支援的每個行動裝置的行動裝置郵箱策略提供同等程度,它是支援的一個好主意,熟悉與設備支援的各種策略設置。 例如,Windows Phone 7 設備,僅支援以下 MicrosoftExchange Server2013年行動裝置郵箱策略設置:
- PasswordRequired
- MinPasswordLength
- IdleTimeoutFrequencyValue
- DeviceWipeThreshold
- AllowSimplePassword
- PasswordExpiration
- PasswordHistory
- DisableRemovableStorage
- DisableIrDA
- DisableDesktopSync
- BlockRemoteDesktop
- BlockInternetSharing
Windows Phone 8 設備支援以下策略設置:
- 允許簡單裝置密碼
- 所需的字母數位密碼
- 已啟用的裝置密碼
- 裝置密碼過期
- 在啟用 IRM 的
- 最大的裝置密碼失敗的嘗試
- 最大的閒置設備時間鎖
- 最基本的裝置密碼複雜字元
- 最基本的裝置密碼長度
- 要求對裝置加密
- 遠端擦除
簽出此出版的策略設置清單各種其他行動裝置支援的。
因為不同使和型號的行動裝置支援不同的策略設置,你得有一項戰略,保持組織盡可能安全,同時繼續提供對各種設備的支援。 您可以使用任何的三種主要方法。
一個可能的辦法是限制的牌子和型號的設備支援,允許您的公司。 這種方式,您可以確保只有設備支援的策略設置,您需要在使用和連接到您的Exchange Server網路。 例如,您可能會使用只有 Windows Phone 8 設備限制使用者。
第二種方法是創建允許不可設備的政策。 這種方法涉及到創建限制性行動裝置郵箱策略,但這樣做某些行動裝置不能完全執行你的政策的知識。
若要使這種方法的工作,您必須啟用該選項:允許不完全支援這些政策要同步的行動裝置 (請參閱圖 2)。 此設置被稱為Exchange Server2013年前允許非條設備設置。 啟用此設置後,行動裝置將忽略不支援的設置。 否則,使用不受支援的策略設置,將導致失敗要同步的行動裝置。
.jpg)
圖 2 的設置,允許行動裝置,不完全支援這些政策來進行同步,將允許行動裝置可能不支援所有的行動裝置郵箱策略設置.
第三種方法是創建多個行動裝置郵箱策略。 因為不同類型的行動裝置都支援不同的策略設置,您可以創建為每個類型的設備要在您的網路允許不同的行動裝置郵箱策略。 交流不會提供一種方法來限制設備的裝置類型,但如果使用者試圖使未經授權的設備同步,同步將失敗,除非該設備可以應用所有的你已經規定在分配給該唯一使用者的行動裝置郵箱策略中的安全性原則設置。
保持您的連絡人
連絡人管理是通常簡單的 Exchange 使用者的。 然而,幾個微軟 Windows 8 中引入的更改可以有時使連絡人管理混亂。
雖然技術上不是必需的運行 Windows 8、 Windows Phone 8 和 Windows RT 設備鼓勵使用者使用 (以前稱為一個微軟的 Live 帳戶) 的 Microsoft 連接的帳戶登錄。 如果使用者輸入的他 Microsoft 帳戶憑據,則 Windows 將嘗試從該使用者的 Hotmail 帳戶導入連絡人。 它還會嘗試載入到人們集線器的任何已連接的社交網路網站。 這問題是可能會有重複的連絡人作為交換。
這是一個問題的原因是因為 Windows RT 和 Windows Phone 8 設備只能連接到使用 ActiveSync 的交流。 因為這些設備不運行 Outlook,連絡人顯示在人們集線器。 微軟 Windows 8 可以運行 Outlook,但是微軟 Windows 8 連接到 Exchange ActiveSync,而不是使用 Outlook。
當它發現重複的連絡人時,則 Windows 將嘗試將只顯示單個實例的連絡人在人們集線器。 然而,有的不同情況,可以導致正在顯示的重複項的數目。 例如,如果連絡人的名稱拼寫不同匯率和 Hotmail,連絡人將列出兩次。
有幾個不同的方式處理這個問題,並防止使用者看到重複的連絡人。 最有效的方法涉及到防止使用者使用其 Microsoft 連接的帳戶。 假設在 Active Directory 域中註冊使用者的設備,您可以使用群組原則設置來阻止微軟帳戶。 此群組原則設置是在群組原則編輯器在電腦配置 \ 策略 \windows \ 安全設置 \ 本地策略 \ 安全 Options\Accounts 可訪問:塊 Microsoft 帳戶 (請參閱圖 3)。 值得一提的此設置僅存在於 Windows 伺服器 2012 年。
.jpg)
圖 3 您可以使用群組原則設置來阻止微軟帳戶。
對於沒有加入域的設備,你可以做的最好事情是連結重複帳戶。 在 Windows 8 和 Windows RT,你可以打開人們集線器並點擊你想要連結的帳戶。 下一步,從螢幕底部向上滑動,然後點選連結圖示。 現在,只是選擇你想要連結,然後點擊保存的連絡人。
在 Windows Phone 8 設備上同樣工作連結的連絡人。 若要連結的連絡人,打開人們集線器,點擊你想要連結的連絡人。 然後點選連結圖示,其次是你想要連結的連絡人。
正如您所看到的有很多提供比簡單地給 Exchange 郵箱行動裝置訪問和連線性的移動消息。
.jpg)
**Brien Posey**最有價值球員,是成千上萬的文章和書對他的信用幾十自由職業者技術作者。您可以訪問Posey的網站,網址是 brienposey.com。