Всего несколько лет назад доступ к корпоративной электронной почте не с настольного компьютера был нечастой и сложной задачей. Сегодня пользователям не только необходим удаленный доступ к электронной почте, но вид человека в кафе с мобильным устройством для обмена сообщениями не вызывает удивление. Обмен мобильными сообщениями изменил способ работы людей. Он позволил мобильным сотрудникам выполнять свою работу более эффективно, не находясь в офисе.
Кроме того, последние улучшения в технологии обмена мобильными сообщениями привели к появлению проблемы безопасности мобильных устройств. Компании занимаются поиском лучших способов защиты конфиденциальной деловой информации на мобильных устройствах.
Появление Exchange Server 2003 и технологии Exchange ActiveSync® обеспечило возможность безопасного подключения устройства Windows Mobile® (коммуникатор или смартфон) к Exchange Server 2003 по протоколу HTTPS. Однако управление мобильными устройствами отсутствовало. С выпуском пакета обновления 2 (SP2) для Exchange Server 2003 и выпуска функционального пакета «Messaging and Security Feature Pack» (MSFP) для Windows Mobile 5.0 стала возможной установка глобальной политики для всех устройств Windows Mobile, подключаемых к Exchange. Эти политики позволили использовать обязательные ПИН определенной длины, время ожидания простоя до ввода ПИН и стирание памяти устройства после определенного числа неправильных вводов ПИН.
В Exchange Server 2003 с пакетом обновления 2 (SP2) также добавлена возможность удаленного стирания памяти устройства с помощью средства Exchange Mobile Admin Tool, как показано на рис. 1. Этот инструмент предоставляет администраторам возможность использования команды стирания памяти утерянного устройства Windows Mobile. При следующем подключении устройства к серверу Exchange произойдет аппаратный сброс устройства, и все содержимое памяти устройства будет удалено.
Рис. 1 Средство Exchange Mobile Admin Tool для стирания памяти устройства (Щелкните изображение, чтобы уменьшить его)
Хотя это было хорошим началом разработки процессов управления и обеспечения безопасности мобильных устройства, осталась необходимость соблюдения ряда требований безопасности. Exchange Server 2007 помогает восполнить эти пробелы.
Настройка устройства и ее применение
Exchange ActiveSync включена по умолчанию для всех пользователей почтовых ящиков в Exchange Server 2007. При необходимости включения этой функции только для ряда пользователей сначала необходимо отключить функцию для всех пользователей. Консоль управления Exchange не позволяет отключить функцию ActiveSync для группы пользователей, но это можно просто сделать с помощью команды командной консоли Exchange, например, следующей:
Эта команда получает все почтовые ящики на сервере 2007 и направляет информацию команде Set-CASMailbox для отключения ActiveSync для всех существующих почтовых ящиков.
Следующим этапом является создание политик Exchange Mailbox ActiveSync для вашей организации. Количество создаваемых политик зависит от различных профилей безопасности пользователей. Например, финансовому аналитику, получающему конфиденциальную финансовую информацию по электронной почте, может быть необходима более строгая политика безопасности устройства, чем обычному пользователю.
Для настройки политики ActiveSync перейдите к дереву переходов консоли управления Exchange, затем в контейнере «Organizational Configuration» (Организационная конфигурация) выберите «Client Access» (Клиентский доступ). На панели «Actions» (Действия) выберите «New Exchange ActiveSync Mailbox Policy» (Новая политика почтового ящика Exchange ActiveSync).
В диалоговом окне «New Exchange ActiveSync Mailbox Policy» (Новая политика почтового ящика Exchange ActiveSync) можно создать гибкие политики для параметров, управляющих разрешением загрузки вложений на устройство или разрешением неподготавливаемых устройств (см. рис. 2). Подготавливаемые устройства – это устройства Windows Mobile с возможностями применения и принудительного выполнения указанных политик. Неподготавливаемые устройства – это устройства, которые могут применять только подмножество политики (или вообще не могут применять).
Рис. 2 Политики почтового ящика Exchange Server 2007 ActiveSync (Щелкните изображение, чтобы уменьшить его)
В число других функций входят возможность настройки параметров для шифрования и восстановления пароля. Если установлен параметр «Require encryption on the device» (Необходимость шифрования на устройстве), будет выполняться шифрование всех файлов на устройстве. Параметр «Enable password recovery» (Разрешить восстановление пароля) позволяет пользователям получать ПИН устройства с помощью Outlook® Web Access 2007.
Перед применением политик пароля для устройств их необходимо тщательно рассмотреть. Длинные и сложные ПИН обеспечивают большую безопасность, но затрудняют использование устройств. Компромисс между безопасностью и удобством использования является ключевым фактором при определении надежности пароля и времени ожидания до ввода ПИН. Установка параметров «Password expiration» (Срок истечения пароля) и «Enforce password history» (Принудительное ведение журнала пароля) также может повысить безопасность, но может разочаровать пользователей, если отслеживание паролей и ПИН станет слишком сложным.
Политики почтовых ящиков Exchange Server 2007 ActiveSync помогают повысить безопасность устройства, но для некоторых функций необходима операционная система Windows Mobile 6.0, которая станет доступной на устройствах только на момент публикации данной статьи. Для всех функций, показанных на рис. 2, Require encryption on device (Необходимость шифрования пароля), Enforce password history (Принудительное ведение журнала пароля) и Password expiration (days) (Срок истечения пароля (количество дней)) необходима новая версия. Однако можно продолжать пользоваться преимуществами новых гибких политик Exchange Server 2007 для пользователей с установленной операционной системой Windows Mobile 5.0.
После определения политик их можно применить для пользователей. В консоли управления Exchange перейдите к «Recipient Configuration» (Настройка получателя) и выберите «Mailbox» (Почтовый ящик). Выберите пользователя почтового ящика, для которого необходимо включить политику ActiveSync, затем выберите «Properties» (Свойства) на панели «Actions» (Действия). Перейдите на вкладку «Mailbox Features» (Функции почтового ящика) и дважды щелкните «Exchange ActiveSync». В окне «Exchange ActiveSync Properties» (Свойства Exchange ActiveSync) нажмите кнопку «Browse» (Обзор) и выберите политику ActiveSync, которую необходимо применить для пользователя (см. рис. 3). Можно повторить эти действия для применения различных политик к различным пользователям или можно использовать следующие команды командной консоли Exchange для применения политики к группе пользователей:
Рис. 3 Применение политики почтовых ящиков ActiveSync (Щелкните изображение, чтобы уменьшить его)
Set-CASMailbox –Activesyncmailpolicy
Заключительными этапами является обучение конечных пользователей и службы поддержки. Сообщите пользователям о том, что для подключения устройств к Exchange Server 2007 потребуется ввести ПИН указанной длины (см. рис. 4). Объясните им примененные к ним политики безопасности, чтобы они не считали эти изменения препятствием для выполнения повседневной работы.
Рис. 4 Политика почтовых ящиков ActiveSync запрашивает ПИН
Возможно вы также захотите ознакомить их с новой возможностью Exchange Server 2007 — самостоятельное стирание памяти устройства с помощью Outlook Web Access 2007. При потере устройства пользователем он может осуществить стирание памяти устройства с помощью ссылки Options (Параметры) Outlook Web Access без обращения в службу поддержки (см. рис. 5). Это может быть полезным при потере устройства не в рабочее время.
Рис. 5 Управление устройством с помощью Outlook Web Access (Щелкните изображение, чтобы уменьшить его)
Наконец, покажите использование функции удаленного стирания памяти устройства сотрудникам службы поддержки. Это просто сделать, открыв консоль управления Exchange, перейдя к «Recipient Configuration» (Конфигурация получателя) и выбрав «Mailbox» (Почтовый ящик). Здесь необходимо выбрать пользователей для выполнения стирания, затем выбрать «Manage Mobile Device» (Управление мобильным устройством) на панели «Actions» (Действия). Интерфейс «Manage Mobile Device» (Управление мобильным устройством) показан на рис. 6. Имейте в виду, что пользователь может подключать к Exchange 2007 несколько устройств Windows Mobile, поэтому при выполнении стирания памяти необходимо выбрать верное устройство.
Рис. 6 Удаленное стирание памяти устройства (Щелкните изображение, чтобы уменьшить его)
Обработка и поиск электронной почты
Windows Mobile 6.0 позволяет читать сообщения в формате HTML, устанавливать уведомления об отсутствии на рабочем месте (см. рис. 7) и отмечать сообщения электронной почты. Пометка сообщений электронной почты на устройстве Windows Mobile 6.0 равнозначна пометке электронной почты в Outlook. Вместо пометки сообщений электронной почты как непрочитанных для последующей работы с ними теперь можно пометить сообщения и использовать улучшенные возможности Outlook для работы при возврате на настольную систему. Чтение электронной почты в формате HTML предоставляет преимущества не только для пользователей мобильных устройств, но также и для других получателей ветви сообщений электронной почты. При ответе на сообщение электронной почты с помощью Windows Mobile 6.0 это сообщение не преобразуется в основной текст, таким образом повышается удобство других получателей сообщения, также использующих Outlook.
Рис. 7 Сообщение об отсутствии на рабочем месте
Функции ведения календаря Windows Mobile 6.0 значительно улучшены. Теперь можно пересылать, отвечать или отвечать всем, находясь в записи календаря, а также проверять состояние получения всех приглашений.
Windows Mobile 6.0, используемая вместе с Exchange Server 2007, предоставляет две новые возможности, относящиеся к поиску и мобильному доступу к документам. Одной из проблем использования мобильных устройств являются ограниченные возможности хранения данных. Из-за этого множество пользователей сохраняет сообщения электронной почты на своих устройствах в течение одного-трех дней. Пользователи также часто предпочитают получать сообщения электронной почты только из одной папки Входящие. Такой минималистский подход может быть проблемой при необходимости доступа к старым сообщениям или сообщениям в других папках почтового ящика.
Windows Mobile 6.0 позволяет выполнять беспроводной поиск во всем почтовом ящике с помощью механизма поиска и индексирования Exchange Server 2007. Поиск электронной почты может осуществляться по ключевым словам в нескольких папках (см. рис. 8). Затем может быть выполнена загрузка сообщений электронной почты из результатов поиска в реальном времени.
Рис. 8 Беспроводной поиск электронной почты
Мобильный доступ к документам
С ростом программного обеспечения для совместной работы с документами, например, SharePoint®, и ограничениями максимального размера сообщений электронной почты для пересылки конечные пользователи вкладывают в сообщения электронной почты меньшее количество документов и отправляют большее количество ссылок на общие файловые ресурсы и узлы SharePoint. Доступ к этим документам с мобильного устройства без подключения к корпоративной сети через виртуальную частную сеть может быть невозможным. Для мобильных сотрудников это может являться препятствием.
Windows Mobile 6.0 и Exchange Server 2007 предоставляют пользователям возможность доступа к данным с помощью общих файловых ресурсов UNC и узлов SharePoint, доступ к которым возможен только в режиме только для чтения. Exchange Server 2007 может переадресовывать запросы этих документов от имени устройства Windows Mobile (см. рис. 9). Даже без подключения к корпоративной сети через VPN пользователи не ограничены доступом только к документам, вложенным в сообщения электронной почты; они могут получить любые документы общих файловых ресурсов и узлов SharePoint.
Рис. 9 Доступ к документам через ссылки UNC
Для администрирования мобильного доступа к документам откройте консоль управления Exchange и выберите «Client Access» (Клиентский доступ) в дереве переходов «Server Configuration» (Настройка сервера). Затем перейдите на вкладку «ActiveSyn», выберите объект «Microsoft-Server-ActiveSync» и щелкните свойства на панели «Action» (Действие). На вкладке «Remote File Servers» (Удаленные файловые серверы) можно настроить белый и черный списки для имен узлов и файловых серверов SharePoint.
По завершении вернитесь к политике почтовых ящиков Exchange ActiveSync и убедитесь, что установлены флажки «Windows® File Shares» (Общие файлы Windows®) и «Windows SharePoint Services» (Службы Windows SharePoint Services) (рис. 10).
Рис. 10 Разрешение доступа к устройству (Щелкните изображение, чтобы уменьшить его)
Теперь вы можете обеспечивать лучший доступ к документам для всех пользователей устройств Windows Mobile.
Заключение
В сегодняшнем мире удаленных сотрудников устройства Windows Mobile предлагают эффективные способы доступа к информации в любое время и в любом месте. Безопасность и управление мобильными устройствами стали основными проблемами подразделений ИТ. Exchange Server 2007 вместе с Windows Mobile 6.0 упрощают создание и применение политик для устройств Windows Mobile, что может помочь устранить проблемы, а также предоставить основу для новых возможностей удаленных сотрудников.