С каждым годом обмен мобильными сообщениями становится все более популярным способом связи. Чтобы удовлетворить растущий спрос, специалисты Microsoft включили в Microsoft Exchange Server 2007 целый ряд возможностей для работы с мобильной почтой. Exchange 2007 работает не только с устройствами Windows Mobile, но и с отличными от Windows устройствами. Важно, что некоторые новые возможности могут использоваться только с Windows Mobile 6. Поскольку в Exchange 2007 появилось много новых функций мобильной почты, я расскажу о том, как подключаться, настраивать и защищать мобильные устройства, работающие с сервером Exchange 2007.
OWA Light: в Exchange 2007 альтернатива OMA
Некоторые возможности Exchange Server 2003 не включены в Exchange 2007, и Outlook Mobile Access (OMA) — одна из них. Члены группы разработки Microsoft Exchange объясняют, что OMA широко не применялась, и такие технологии, как ActiveSync и Direct Push, заняли ее место. Если есть необходимость использовать эту функцию, придется сохранить в организации сервер Exchange 2003, чтобы он обслуживал запросы клиентов OMA.
Альтернативой OMA является Microsoft Outlook Web Access (OWA) Light. OWA Light — это упрощенная версия OWA, созданная специально для работы на медленных каналах связи или на устройствах с ограниченными возможностями браузеров. Кроме того, OWA Light удобна для людей со слабым зрением, поскольку предоставляет незагруженный и контрастный интерфейс.
OWA Light является частью OWA и может использоваться с Exchange 2007, настроенным на роль сервера клиентского доступа. Для доступа к OWA Light достаточно открыть окно браузера и ввести строку адреса http://server_name/owa (где server_name — имя конкретного сервера Exchange). После появления окна регистрации в OWA необходимо отметить флажком пункт Use Outlook Web Access Light (см. экран 1). Сразу после регистрации потребуется подтвердить используемый язык и часовой пояс. Данная процедура выполняется один раз. Этот же экран содержит настройку, которую следует выбрать, если у вас плохое зрение. После нажатия OK открывается основное окно интерфейса OWA Light (см. экран 2). Как видите, интерфейс OWA Light проще, чем интерфейс OWA, показанный на экране 3.
Подключение мобильных устройств к Exchange 2007
Процесс подключения мобильного устройства к Exchange 2007 довольно прост, но он может зависеть от операционной системы. Описанная далее процедура предполагает, что используется устройство с Windows Mobile 6.0 (процедура подключения к Exchange устройства с Windows Mobile 5.0 аналогична). Нужно запомнить один важный момент при подключении мобильного устройства к Exchange — подключения не произойдет, если сервер Exchange не настроен на доступ к нему из Internet.
Первая часть настройки выполняется непосредственно на мобильном устройстве. Следует нажать на мобильном устройстве Start и выбрать команду ActiveSync в меню Programs. Когда появится экран ActiveSync, прочитайте приведенную на нем информацию о специфичных для данного устройства настройках. Затем нажмите Set Up Your Device.
Устройство запросит URL для регистрации в организации Exchange. URL должен быть точно такой же, как при использовании OWA, но с одним отличием. Обычно URL для OWA заканчивается /exchange или /owa, в зависимости от версии сервера Exchange, на котором работает OWA, но теперь в случае с мобильным устройством эту часть URL следует опустить.
Далее потребуется ввести имя, пароль и имя домена того человека, который будет пользоваться данным мобильным устройством. Этот же экран содержит флажок сохранения пароля Save Password, который вызывает споры среди администраторов Exchange. Многие из них настаивают на том, чтобы никогда не сохранять пароль на мобильном устройстве, но, поскольку устройство не будет получать новые сообщения без аутентификации, я рекомендую установить флажок Save Password.
После нажатия Next появится экран, запрашивающий тип данных для синхронизации. Варианты на этом экране каждый выбирает сам, но я рекомендую по крайней мере выделить для синхронизации Inbox и Calendar. Поскольку мобильное устройство имеет ограничения в отношении памяти, советую использовать кнопку Settings, чтобы следить за тем, как много данных будет синхронизироваться.
В завершение нажмите Finish, и после этого устройство должно соединиться с сервером Exchange. Это может продолжаться несколько минут; две вращающиеся стрелки вверху экрана показывают, что идет процесс синхронизации.
Настройка политик пароля для мобильного устройства
До Exchange 2003 SP2 существенное затруднение при работе с мобильными устройствами заключалось в том, что было сложно заставить пользователей применять пароли. В Exchange 2003 SP2 появилась возможность создания политик для мобильных устройств с Exchange ActiveSync (EAS), и Exchange 2007 активно использует эту возможность.
Для создания политики мобильного устройства откройте Exchange Management Console и перейдите в иерархической структуре на Organization ConfigurationClient Access. Затем нажмите New Exchange ActiveSync Mailbox Policy в панели Actions. Должно появиться диалоговое окно New Exchange ActiveSync Mailbox Policy (см. экран 4).
Как показано на экране 4, процесс создания новой политики EAS начинается с ввода имени политики почтовых ящиков. Этот шаг значительно важнее, чем может показаться на первый взгляд. В Exchange 2003 SP2 можно было создать политику безопасности мобильных устройств, но эта политика применялась ко всем пользователям мобильных устройств. Это было неудобно, поскольку одни пользователи нуждаются в более высоком уровне безопасности на мобильном устройстве, чем другие (например, руководитель компании может держать на своем мобильном устройстве строго конфиденциальную информацию).
Ниже поля Mailbox policy name в диалоговом окне New Exchange ActiveSync Mailbox Policy находятся два флажка: Allow non-provisionable devices и Allow attachments to be downloaded to device. Назначение флажка Allow attachments to be downloaded to device очевидно. Однако этот флажок придает дополнительный смысл созданию множества политик безопасности для мобильных устройств. Присоединенные файлы в почтовых сообщениях представляют наибольшую угрозу безопасности. Если это сопоставить с тем, что присоединенные файлы значительно загружают беспроводной трафик, можно выбрать пользователей, которым будет разрешено загружать присоединенные файлы в почтовых сообщениях. Если это сделать, можно использовать функциональность Windows Mobile 6 для шифрования данных на карте памяти, что предоставляет дополнительную степень защиты документов, загруженных на мобильное устройство.
Если установить флажок Allow non-provisionable devices, это позволит владельцам мобильных устройств, не обеспечивающих полный контроль с помощью политик безопасности, подключаться к Exchange 2007. Однако следует иметь в виду, что разрешение или запрет на работу с несовместимыми устройствами будет относиться только к тем пользователям, к которым будет применена эта специфическая политика безопасности. Возможно создание множества политик, которые бы разрешали некоторым пользователям работать с несовместимыми устройствами, в то время как от всех остальных пользователей требовалось бы работать только с совместимыми устройствами.
Оставшийся флажок в диалоговом окне New Exchange ActiveSync Mailbox Policy связан с паролем на мобильном устройстве. Как показано на экране 4, имеется несколько вариантов настроек, связанных с паролем. Можно потребовать ввода сложного пароля или разрешить простой. Также можно установить минимальную длину пароля, включить историю паролей или даже задать необходимость шифрования на устройстве. По существу, диалоговое окно New Exchange ActiveSync Mailbox Policy содержит те же самые настройки для паролей на мобильном устройстве, которые мы привыкли видеть на обычном компьютере. Как только все настройки политики выполнены, ее можно создать, нажав кнопку New.
Применение политики безопасности к мобильному устройству
После создания политики безопасности (называемой политикой EAS) для пользователей мобильных устройств ее необходимо назначить соответствующим пользователям. Сначала нужно открыть Exchange Management Console и перейти по иерархической структуре на Recipient ConfigurationMailbox. После перехода на этот пункт на панели Details отразится список всех почтовых ящиков в организации Exchange. Дважды щелкните по почтовому ящику, которому хотите назначить политику EAS, и Exchange Management Console отобразит страницу свойств почтового ящика.
Теперь необходимо выделить закладку Mailbox Features на странице свойств почтового ящика. Как показано на экране 5, эта закладка позволяет активировать или блокировать различные настройки почтового ящика на Exchange Server. Выделите Exchange ActiveSync в списке и активируйте этот пункт. Затем щелкните Properties, чтобы открыть диалоговое окно Exchange ActiveSync Properties (см. экран 6).
Как показано на экране 6, можно присвоить выбранному пользователю политику установкой флажка Apply an Exchange ActiveSync mailbox policy. Выбрать нужную политику можно, щелкнув Browse и указав соответствующую строку в выпадающем списке доступных политик. Когда вы выберете политику и дважды нажмете OK, эта политика будет присвоена почтовому ящику. В качестве альтернативы можно использовать команду Set-CASMailbox для применения политики к группе почтовых ящиков. Синтаксис этой команды приведен по адресу http://technet.microsoft.com/en-us/library/ff7d4dc5-755e-4005-a0a3-631eed3f9b3b.aspx .
Самообслуживание мобильных устройств
Один из недостатков мобильных устройств для пользователей, обычно работающих вне офиса, заключается в том, что они не могут напрямую подключиться к службе технической поддержки компании для решения проблем. Теперь Exchange 2007 позволяет мобильным пользователям с помощью OWA выполнять некоторые процедуры самостоятельно.
Для доступа к механизму самообслуживания нужно войти в OWA (не OWA Light). После регистрации следует щелкнуть Options, и OWA отобразит экран с различными конфигурационными настройками OWA. Колонка на левой стороне экрана содержит различные категории настроек, которые можно выбрать. Требуется выбрать настройку Mobile Devices из списка и перейти на экран Mobile Devices, показанный на экране 7.
На экране 7 не видны связанные с пользователем мобильные устройства, но если бы пользователь зарегистрировал свои устройства, они были бы в этом списке. Для выполнения операций самообслуживания нужно выбрать устройство, с которым требуется произвести операцию (пользователи могут иметь множество устройств), и щелкнуть на одном из четырех пунктов, находящихся выше списка устройств.
Первый пункт — Remove Device from List. Пользователи обычно выбирают этот пункт, если они купили новое мобильное устройство либо поменяли на другое взамен потерянного или украденного. После того как все пользовательские данные были реплицированы на новое мобильное устройство, пользователь может удалить старое мобильное устройство из списка.
Второй пункт — Wipe All Data from Device. Он дает пользователям возможность стереть все данные с мобильного устройства в случае его потери или кражи. Поскольку мобильное устройство практически всегда содержит конфиденциальные данные, вам не надо беспокоиться о том, что кто-то сможет получить доступ к ним, подобрав каким-то образом пароль. Лучше просто стереть все данные с устройства. Имейте в виду, что эта возможность является, по сути, механизмом самоликвидации. Функция дистанционного удаления разрушает все данные, которые были сохранены на мобильном устройстве, и перезагружает его в начальное состояние с заводскими настройками.
Пункт Display Recovery Password позволяет пользователю отобразить пароль восстановления. В том случае если пользователь забывает свой пароль для мобильного устройства, Display Recovery Password поможет восстановить пароль без обращения в службу технической поддержки.
Ну и последний пункт на этом экране — Retrieve Log. Он позволяет просмотреть информацию о том, как использовалось устройство. Retrieve Log формирует журнал синхронизации и посылает его по электронной почте, чтобы впоследствии его можно было просмотреть с помощью OWA или другого почтового клиента.
Управлять мобильными устройствами стало проще
Поскольку область использования мобильных устройств продолжает расширяться, для Exchange важно не только поддерживать работу мобильных устройств на медленных каналах связи и с ограниченными возможностями встроенных браузеров, но и применять политики безопасности для этих устройств. Функции обслуживания мобильных устройств в Exchange 2007 помогают защитить данные с помощью политик безопасности и паролей. Это позволяет не тратить силы на поиск потерянных или восстановление испорченных данных на мобильном устройстве и уделять больше времени администрированию серверов Exchange в промышленной системе.
Брайен Поуси (http://www.brienposey.com ) — вице-президент по исследованиям компании Relevant Technologies. Автор статей на технические темы для различных изданий и Web-узлов