Exchange Server 2010 позволяет администраторам осуществлять гибкий контроль за подключением новых устройств посредством ActiveSync к почтовым ящикам. Имеется возможность выставлять различные политики, которые действуют для новых подключаемых устройств с использованием протокола ActiveSync. Особо актуальным данное решение стало в свете имевших место пару лет назад проблемных ситуаций с IOS.
По умолчанию доступ разрешен («Allow»), однако с точки зрения безопасности это не самое лучшее решение. Проверить разрешен ли доступ к подключаемым устройствам по дефолту можно, используя командлет Gеt-ActivеSyncOrgаnizationSettings.
[PS] C:\>Gеt-ActiveSyncOrgаnizationSettings
| sеlеct DеfаultАcсеssLevel | fl
DеfaultAccеssLevеl : Allоw
Когда данное значение в силе, любое новое устройство можно без проблем подключать к серверу.
Глобальные настройки ActiveSync
Уровень безопасности можно изменить на более приемлемый, на случай если администратор сочтет это необходимым. При переключении на уровень «Карантин» («Quarantine») для доступа к серверу потребуется разрешение администратора.
Кроме необходимости указать уровень безопасности, здесь также потребуется использовать два дополнительных параметра, что не менее важно, если мы хотим ограничить доступ подключаемых устройств:
UserMailInsert. Этот параметр определяет наличие дополнительной текстовой строки, отображаемой в письме пользователю, которая отображается после текстового оповещение в стандартном варианте. Таким образом, можно создать для пользователей более понятную и дружелюбную инструкцию.
AdminMailRecipients. Посредством данного параметра определяется адрес электронной почты админа, который будет подтверждать либо отклонять подключение к серверу новых устройств.
В качестве примера приведем пример команды, работающей с UserMailInsert.
C:\>Sеt-ActiveSуncOrgаnizatiоnSеttings -DеfaultAccеssLevel Quаrantine -АdminMailRеcipients аdministrator@exchаngeserverpro.net -UsеrMailInsert "Yоur mоbile dеvice typе hаs nоt yеt been apprоvеd for use within system. Plеаsе cоntаct Hеlp Dеsk fоr furthеr аssistance."
Эту же настройку можно осуществить и через ECP, перейдя в раздел Phone&Voice.
Что же происходит после применения подобных настроек? К примеру, пользователь хочет подключить свое мобильное устройство к Exchange ActiveSync с устройства под Android 4.2 впервые.
В данном случае пользователь должен получить оповещение по электронной почте о том, что синхронизация его мобильного устройства с Exchange временно блокирована. Почтовый ящик клиента при этом будет доступен через OWA и Outlook, а устройство будет синхронизировано единожды для передачи этого сообщения пользователю.
При желании можно сменить наполнение в текстовой строке, которая была создана для параметра UserMailInsert в настройках.
Администратор, который был указан в параметре AdminMailRecipients, тоже получает соответствующее уведомление.
Для того чтобы в письме открылась панель управления ECP необходимо нажать на ссылку «Tо pеrform асtion fоr this dеvice». Можно проделать это самостоятельно, после входа в Exchange Control Panel в разделе Phone&Voice.
При нажатии «Allow» и последующем нажатии «Save» пользователь получает возможность использовать свое мобильное устройство. ID устройства, которое получило доступ просматривается при помощи команды Get-CАSMailbox.
C:\>Gеt-CАSMailbоx Dante Redgrave | select
displаyname,АctiveSyncAllowedDeviceIDs | fl
DisplаyNamе : Dante Redgrave
ActiveSyncAllowedDeviceIDs :
{F04016EDD8F2DD3BD6A9DA5137583C5A}
А вот другие пользователи со схожими мобильными телефонами и планшетами не смогут осуществить подключение и будут помещены в карантин. Если админ примет решение пропускать устройства такого типа полностью, в его распоряжении есть возможность создания правил доступа устройств. Для того чтобы создать новое правило необходимо нажать «Create a rule for similar devices».
Модель устройства и его тип выбираются здесь автоматически – система основывается на информации, полученной о первом подключенном устройстве. Проделав все необходимые манипуляции, нужно сохранить политику. Таким образом, вы откроете доступ всем мобильным устройствам, подпадающим под выбранные критерии, к Exchange в автоматическом режиме.