Еще совсем недавно единственным способом получения доступа к электронной почте с мобильных устройств было применение протоколов IMAP или POP (или устройств BlackBerry компании Research in Motion, однако мне хочется сделать вид, будто их вообще не существует, так как очень скоро именно так и будет). Использование этих протоколов считалось неудачным решением. Ни один из них не предназначен для работы на мобильных устройствах, так как оба протокола применяют технологию опросов при наличии постоянного подключения. Специалисты Microsoft изучили вопрос и решили бороться с этой проблемой путем разработки протокола и серверного приложения, предоставляющих прямой, интегрированный в мобильные устройства доступ к Exchange Server. Данный продукт, Mobile Information Server, был со временем встроен в Exchange, а соответствующий протокол, Exchange ActiveSync (EAS), на сегодня является лидером для мобильной почты и управления календарями. Даже самые непримиримые конкуренты Microsoft, включая Google и IBM, использовали EAS в качестве основы для доступа мобильных устройств к их серверным системам электронной почты. EAS оказывает влияние и на настольные системы: сейчас этот протокол поддерживают и встроенное почтовое приложение Windows 8, и Microsoft Outlook 2013. Еще рано возвещать скорую кончину программного интерфейса Messaging API (MAPI), однако мы вполне можем представить себе, что EAS станет основным протоколом для синхронизации с Exchange.

Сам по себе протокол EAS — это часть набора технологий для мобильного доступа к Exchange. Нас же сейчас интересуют только четыре момента.

  • Протокол EAS определяет правила взаимодействия Exchange и клиентов. Он определяет, как клиенты синхронизируют данные с Exchange и загружают с него политики устройств. Microsoft опубликовала спецификации протокола EAS (http://msdn.microsoft.com/en-us/library/cc425499(v=exchg.80).aspx), таким образом, теоретически, любой разработчик, изучив эти спецификации и строго следуя им, может создать полнофункциональный клиент EAS.
  • На сервере протокол реализован таким образом, что именно клиент должен что-то передать серверу. В различных версиях Exchange реализованы разные версии EAS: в Exchange 2010 Service Pack 1 (SP1) реализован EAS версии 14.1, как и в предварительной редакции Exchange 2013, хотя это может измениться в окончательной версии продукта.
  • Компоненты, использующие этот протокол, позволяют выполнять ряд полезных действий. Например, EAS 14.1 предоставляет возможность совместимым с ним устройствам загружать фотографии из глобальной адресной книги Global Address List (GAL). В зависимости от конкретных функций у вас либо имеется, либо отсутствует возможность включать или отключать эти функции с помощью параметров политик EAS.
  • Клиентские приложения используют протокол EAS для коммуникаций с Exchange. Клиенты свободны в выборе для реализации необходимых частей протокола и функций. Вы можете изменить набор поддерживаемых функций, только установив другое клиентское приложение, что не всегда возможно. Microsoft и Apple встраивают клиенты EAS в свои мобильные устройства, некоторые производители устройств Android поступают точно так же, в то время как другие производители требуют от пользователя загружать приложения, такие как TouchDown или RoadSync. Заметим, что в статье Microsoft «Current issues with Microsoft Exchange ActiveSync and third-party devices» (http://support.microsoft.com/kb/2563324) описаны известные проблемы с EAS у различных клиентов, хотя этот список и не полный.

Администраторов Exchange больше всего интересует серверный компонент. Именно отсюда мы управляем тем, какие устройства и пользователи могут задействовать EAS и что они могут делать при подключении. Корпорация Microsoft контролирует данный протокол, поэтому мы не можем получить уровень управления сверх заложенного в протоколе; управление мобильными клиентами — отдельная тема, которой я не хочу касаться в этой статье.

Управление доступностью EAS для пользователей

По умолчанию пользователи Exchange 2010 имеют доступ к EAS. Не нужны никакие особые настройки, чтобы разрешить пользователям синхронизировать их устройства. Быть может, вам требуется именно это. Есть два противоположных взгляда на предоставление доступа к EAS. Некоторые администраторы предпочитают предоставлять доступ всем, за исключением небольшой части пользователей (например, стажеров и временных сотрудников, которым не нужен доступ к EAS). Другие отключают доступ для всех, а затем предоставляют его только избранным пользователям. Оба подхода легко реализуемы, с небольшими различиями для каждого из них.

Существует три варианта управления доступом пользователей к EAS. Во-первых, вы можете разрешить или отключить EAS на отдельных серверах клиентского доступа. Это самый жесткий способ отключения: сервер клиентского доступа с отключенным EAS вообще не принимает EAS-подключений, даже от пользователей, которым это разрешено. Работа EAS зависит от настроек соответствующего виртуального каталога службы Microsoft IIS на сервере клиентского доступа. Чтобы отключить EAS, откройте диспетчер IIS на сервере клиентского доступа, щелкните правой кнопкой мыши на объекте MSExchangeSyncAppPool и выполните команду Stop. Для включения EAS также щелкните правой кнопкой мыши на остановленном пуле и выполните команду Start.

Во-вторых, вы можете включить или отключить EAS для конкретных пользователей командой Set-CASMailbox. Это делается с помощью параметра ActiveSyncEnabled. Например, для разрешения доступа к EAS всем пользователям организационного подразделения Sales (при условии, что вы его отключили для всех остальных) можно выполнить команду вида:

Get-Mailbox -OrganizationalUnit Sales | Set-CASMailbox -ActiveSyncEnabled:$true

Для запрещения EAS-доступа одному или нескольким пользователям просто направьте список нужных почтовых ящиков на вход команде Set-CASMailbox с параметром -ActiveSyncEnabled:$false. Вы можете комбинировать Set-CASMailbox с соответствующими командами оболочки Exchange Management Shell (EMS). Также можно использовать консоль Exchange Management Console (EMC): откройте свойства нужного почтового ящика и внесите изменения на закладке Mailbox Features.

Третий способ управления доступом пользователей к EAS заключается в создании и применении политики EAS. Это самый рациональный вариант, так как механизм политик EAS предоставляет наиболее развитый способ управления устройствами.

Назначение и удаление политик EAS

Политики EAS применяются к пользователям; каждому пользователю может быть назначена одна политика EAS (или ни одной). Если вы явно не назначаете пользователю политику, к нему применяется политика по умолчанию. Статья Microsoft «Understanding Exchange ActiveSync Mailbox Policies» (http://technet.microsoft.com/en-us/library/bb123484.aspx) описывает действие этой политики: всем устройствам без ограничений разрешено синхронизироваться, не применяется политика паролей, на устройствах можно выполнять удаленную очистку данных.

А теперь самое время напомнить, что функция удаленной очистки, встроенная в EAS, в первую очередь зависит от устройства, получающего обновление политики. В процессе начальной синхронизации нового устройства (то есть устройства, которое до этого ни разу не синхронизировалось с сервером) данное устройство и сервер обмениваются информацией, называемой ключом политики. Можно считать ключ политики аналогом GUID или MAC-адреса; это уникальный ключ, идентифицирующий политику. Если ключи устройства и сервера не совпадают, устройству необходимо запросить самую свежую политику и применить ее. Процесс применения политики к устройству называется инициализацией. На большинстве устройств пользователь увидит диалоговую панель с информацией о том, что сервер применяет политику, с запросом на подтверждение. Если пользователь отклоняет политику, сервер может разрешить или запретить устройству выполнение синхронизации; реальное поведение зависит о того, разрешает ли политика сервера по умолчанию синхронизацию неинициализируемых устройств.

Можно определить несколько политик EAS; переключение пользователя на другую политику выполнить достаточно просто. Параметр –ActiveSyncMailboxPolicy команды Set-CASMailbox определяет, какая политика применяется к данному почтовому ящику. Политику можно назначить, указав ее в качестве аргумента для данного параметра. Проще всего это можно сделать с помощью вызова команды Get-ActiveSyncMailboxPolicy с именем требуемой политики, как показано в следующем примере:

Set-CASMailbox id paul@robichaux.net -ActiveSyncMailboxPolicy (Get-ActiveSyncMailboxPolicy «Sales»).Identity

Вы можете удалить существующую политику, указав $null в качестве значения параметра ActiveSyncMailboxPolicy. Это действие приведет к получению пользователем политики по умолчанию. И не существует какого-либо способа вообще не применять к пользователю никакой политики.

Создание политик и управление ими

На стороне Exchange политики EAS достаточно просты. Только следует помнить, что не каждое устройство поддерживает любой из возможных параметров политики и что устройства не всегда сообщают достоверную информацию о том, какие именно настройки политик они поддерживают. В неофициальной статье Википедии (http://en.wikipedia.org/wiki/Comparison_of_Exchange_ActiveSync_clients) описано текущее состояние поддержки политик со стороны клиентов для различных устройств. Существует три способа работы с объектом политики EAS.

— В консоли EMC политики создаются и редактируются на закладке Exchange ActiveSync Mailbox Policies, находящейся в узле Client Access раздела организации.

— В Exchange Control Panel (ECP) можно создавать, удалять и модифицировать политики EAS, используя ссылку ActiveSync Device Policy на закладке Phone & Voice раздела организации.

— В EMS можно использовать команды семейства *-ActiveSyncMailboxPolicy для создания и удаления объектов политик EAS (New-ActiveSyncMailboxPolicy и Remove-ActiveSyncMailboxPolicy), а также для просмотра и изменения параметров существующих политик (Get-ActiveSyncMailboxPolicy и Set-ActiveSyncMailboxPolicy).

Есть небольшие различия в терминах, используемых в перечисленных трех подходах, к тому же в ECP представлены не все настраиваемые параметры. Для простоты я буду рассматривать интерфейс EAS так, как он выглядит в EMC.

Что у нас в политиках?

Посмотрим на основные категории доступных нам параметров политик, пройдя по закладкам диалоговой панели Properties в консоли EMC.

Закладка General. На закладке General (см. экран 1) имеется три интересующих нас элемента управления:

  • поле, в котором задается название политики (которое Exchange игнорирует);
  • флажок Allow non-provisionable devices («Разрешить неинициализируемые устройства»), который определяет, может ли синхронизироваться устройство, не поддерживающее политику, и при включении может создавать определенный риск в том случае, если вы разрешаете синхронизацию с любым устройством, даже с тем, которое не поддерживает политику или заблокировано пользователем;
  • флажок и текстовое поле Refresh interval (hours) («Интервал обновления (часов)»), которые задают частоту обновления политики на устройстве и по умолчанию не заданы (это означает, что сервер не требует регулярного обновления политики), но при необходимости можно задать какое-либо значение, например 24 часа.

 

Свойства политики EAS почтовых ящиков
Экран 1. Свойства политики EAS почтовых ящиков

Закладка Password. Следующая (и, возможно, наиболее важная) группа параметров расположена на закладке Password (экран 2). Она управляет паролями устройств, в том числе требованием необходимости пароля. Большинство организаций, разрешающих мобильный доступ, требуют использования паролей.

 

Закладка Password свойств политики в консоли EMC
Экран 2. Закладка Password свойств политики в консоли EMC

Хотя применение пароля может показаться неудобным, это очень полезное средство защиты и дополнительная преграда. На этой закладке имеются следующие параметры.

— Require password («Требовать ввода пароля»). Когда отмечен флажок Require password, политика EAS требует от устройства запрашивать пароль. Если этот флажок не установлен, остальные параметры данного раздела неактивны. Если вы его отметите, но не измените какие-либо другие параметры, политика будет требовать использования простого PIN-кода из 4 цифр.

— Require alphanumeric password («Требовать ввода алфавитно-цифрового пароля»). Если вы не намерены использовать чисто цифровые пароли, то параметр Require alphanumeric password заставит пользователей помимо цифр включать в пароли буквы и другие символы. Главный недостаток этого метода в том, что экранную клавиатуру, отображаемую на экране при вводе пароля, легче всего использовать, когда пароль содержит только цифры. Требование использования алфавитно-цифровых символов означает, что на экране должна выводиться полная алфавитно-цифровая клавиатура, что несколько усложняет ввод пароля.

— Minimum number of character sets («Минимальное число наборов символов»). Параметру Minimum number of character лучше было бы дать название «сложность пароля», так как он определяет, насколько сложным должен быть пароль. Наборы символов включают строчные и прописные буквы, символы и цифры. Если этому параметру присвоить значение 2, то пользователю придется включать в пароль символы как минимум из двух перечисленных наборов. Значение по умолчанию 1 позволяет задавать пароль из одних цифр.

— Enable password recovery («Включить восстановление пароля») — Если установлен флажок Enable password recovery, пользователи смогут задействовать Outlook Web App (OWA) для извлечения хранящегося в устройстве пароля восстановления, а затем вводить этот пароль для разблокирования мобильного телефона. Администраторы Exchange для извлечения паролей восстановления могут использовать консоль EMC. Windows Phone, Apple iOS и большинство клиентов Android не поддерживают данный параметр. Хотя это весьма полезная возможность.

— Require encryption on device («Требовать шифрования на устройстве») и Require encryption on storage card («Требовать шифрования на картах памяти»). Эти два параметра управляют применением встроенного шифрования для защиты хранящихся на устройстве данных. В этом разделе довольно часто клиентское программное обеспечение — в частности, компании Apple — работало с ошибками, однако сейчас, похоже, все основные производители клиентских устройств корректно обрабатывают данный параметр.

— Allow simple password («Разрешить простой пароль»). Отмеченный флажок Allow simple password разрешает использовать в качестве пароля PIN-код из четырех цифр.

— Number of failed attempts allowed («Очистить устройство после неудачных попыток»). В домене Active Directory (AD) предусмотрена возможность блокировки учетной записи после определенного количества ошибок при регистрации в системе. В EAS имеется возможность принудительной очистки устройства после совершения заданного количества ошибок ввода пароля.

— Minimum password length («Минимальная длина пароля»). Как видно из названия, параметр Minimum password length позволяет установить минимальную длину пароля от 4 до 18 символов.

— Time without user input before password must be re-entered (in minutes) («Время простоя (в минутах)»). Параметр Time without user input before password must be re-entered (in minutes) задает период бездействия мобильного телефона, после которого пользователь должен ввести пароль для его разблокирования. На большинстве клиентов выбирается минимальное значение параметра. То есть если вы в политике устанавливаете значение 10 минут, а пользователь в самом телефоне — 5 минут, то будет использоваться меньший из этих двух интервалов.

— Password expiration (days) («Срок действия пароля (дни)»). Параметр Password expiration (days) задает период действия назначенного пользователем пароля, по истечении которого пароль должен быть сменен. Это коварный параметр. Пользователи очень не любят принудительную смену PIN-кода, поэтому включение этого параметра, скорее всего, вызовет определенное недовольство, потому что пользователи менее склонны записывать свои PIN-коды, как это часто делается со сложными паролями в AD.

— Enforce password history («Принудительно установить журнал паролей»). Вы можете установить параметр Enforce password history для запрета повторного применения старых паролей. Однако, поскольку не предусмотрено способа назначения срока действия паролей на устройстве так же, как это делается с паролями AD, данная функция не особенно полезна.

Закладка Sync Settings. Элементы управления на закладке Sync Settings (экран 3) определяют, что разрешено делать устройству при выполнении синхронизации. Вы можете ограничить количество дней календаря или сообщений электронной почты, которые могут быть синхронизированы на устройстве, хотя у большинства клиентов есть и более удобные параметры для настройки того, сколько почтовых сообщений синхронизировать и из каких папок. Два наиболее интересных параметра на этой закладке — флажок Allow Direct Push when roaming («Разрешить Direct Push в роуминге»), который определяет, можно ли находящемуся в роуминге устройству использовать Direct Push, и флажок Allow attachments to be downloaded to device («Разрешить загрузку вложений на устройство»), который позволяет защитить пользователей от загрузки потенциально опасных вложений.

 

Закладка Sync Settings свойств политики в?консоли EMC
Экран 3. Закладка Sync Settings свойств политики в?консоли EMC

Закладка Device. Аппаратные средства мобильных телефонов за последние несколько лет изменились очень сильно. Даже устройства низшего класса часто имеют камеру с высоким разрешением, аудиопотоки через Bluetooth и другие функции, которые когда-то присутствовали только в устройствах высокого класса. Не в каждой организации сотрудникам разрешается пользоваться всеми этими возможностями. Некоторые заказчики, такие как департаменты федерального правительства США, решают проблему покупкой устройств, не имеющих нежелательных функций; и в самом деле можно купить современные смартфоны без встроенной камеры. Однако чаще всего организации либо требуют от пользователей не делать определенные вещи (например, не вносить сотовые телефоны в лаборатории), либо используют технические средства для блокировки этих функций.

Параметры на закладке Device (экран 4) относятся именно к этой категории. EAS предоставляет возможность задать политику, которая блокирует определенные функции устройства, но только в том случае, если устройство поддерживает эти параметры политики. Многие устройства их не поддерживают, либо потому, что данный параметр политики не имеет смысла (например, включение параметра Allow infrared на устройствах iOS, которые не имеют инфракрасных портов), либо потому, что производитель EAS-клиента не потрудился реализовать поддержку данного параметра. Если эти элементы управления являются важной частью вашей стратегии безопасности мобильных устройств, не забудьте удостовериться, что ваши устройства действительно поддерживают все необходимые вам политики.

 

Закладка Device свойств политики в консоли EMC
Экран 4. Закладка Device свойств политики в консоли EMC

Закладки Device Applications и Other. Две последние закладки, Applications и Other, являются по сути рудиментами. Корпорация Microsoft добавила их, чтобы заложить основу для политик, которые могли бы контролировать запуск приложений на управляемых мобильных устройствах. Однако ни один из клиентов не поддерживает эту функцию EAS. Компании, заинтересованные в активном управлении приложениями, разрешенными для запуска пользователями, покупают специализированные решения для управления мобильными устройствами, поэтому реальной потребности в полной реализации этой функции нет.

EAS и удаленная очистка

Возможность удаленной очистки потерянного или украденного устройства очень важна для обеспечения безопасности, если вы не возражаете против полной очистки устройства, а не только данных, принадлежащих организации. Есть два основных способа инициировать удаленную очистку: пользователем с помощью ECP или администратором в EMC. В обоих случаях процесс очистки требует, чтобы устройство получило необходимую команду, то есть очистка не будет выполнена до тех пор, пока устройство не будет включено и не предпримет попытку синхронизации с сервером. Поэтому разряженное устройство не выполнит команду очистки, пока не будет заряжено. Также подразумевается, что устройство не должно предоставлять пользователю возможность отказаться от операции очистки. Надо помнить, что Exchange может показать вам, когда была запрошена очистка, но подтверждение выполнения команды очистки будет показано только после его получения от устройства.

Будущее EAS

Поскольку специалисты Microsoft включили поддержку EAS во встроенный почтовый клиент Windows 8 и в Outlook 2013 и по причине большой базы установок EAS, мы можем быть уверены в долгой жизни этой технологии. Интересно посмотреть, как команда разработчиков OWA позиционировала OWA в Exchange 2013; этот компонент работает на планшетах и мобильных устройствах лучше, чем предыдущие версии, и поддерживает автономную работу. Существование мощного мобильного клиента от Microsoft будет стимулировать Apple, различных производителей Android и даже группу разработчиков Windows Phone активизировать свою работу и добавить еще больше функциональности к тому, что уже реализовано в протоколе EAS. Есть основания полагать, что в Windows Phone 8 будет усовершенствована поддержка EAS, хотя Microsoft еще не сообщала никаких подробностей. Возможно также, что мы увидим некоторые изменения в самом протоколе EAS, например возможность доступа с EAS-устройств к личным архивам Exchange. И независимо от того, какие изменения внесет Microsoft в базовый протокол, близкое знакомство с методами администрирования устройств EAS является важной частью обслуживания организации Exchange.