Microsoft Exchange ActiveSync

Posted on Posted in 业务整合

iOS 支持使用基于 XML 的协议 Exchange ActiveSync (EAS) 的服务器,包括 Microsoft Exchange Server 和 Lotus Domino。EAS 使用推送技术使 iOS 设备上的电子邮件、通讯录和日历保持同步。最终用户可以在 iOS 上设置多个 Exchange ActiveSync 帐户,以获得更多途径来安全地访问企业资源。

根据您顾客的 IT 环境,他们应当已拥有基于 EAS 的必要服务,以便在无需任何附加配置的情况下支持 iOS 设备。

如果您的顾客使用 Microsoft Exchange Server 2003、2007 或 2010,但他们刚开始接触 Exchange ActiveSync,您将需要向他们介绍 Exchange ActiveSync,并为其 IT 部门提供有关网络配置的信息。

Exchange Server

由于顾客的 iOS 设备使用 EAS 直接与 Microsoft Exchange Server 通信,因此企业用户可通过 128 位加密的 SSL 连接在 iPhone 和 iPad 上接收推送电子邮件、通讯录和日历。

顾客 IT 部门强制执行的 Exchange 服务器政策可加强安全。

受支持的 Exchange Server 版本
活动 – 进一步了解 iOS 设备是如何与 Microsoft Exchange Server 2003、2007 或 2010 连接的。
活动:典型的 Exchange ActiveSync 部署方案

iOS 设备使用配置描述文件进行配置,该文件提供证书,使设备能够访问 Exchange 服务器。

iOS 与受支持的 Microsoft Exchange Server 2003、2007 和 2010 等版本无缝集成在一起。受支持的版本和所需的服务包如下:

  • Exchange Server 2010 或更高版本
  • 带有 Service Pack 1 的 Exchange Server 2007 或更高版本
  • 带有 Service Pack 2 的 Exchange Server 2003 或更高版本
Exchange ActiveSync 协议

拥有 Exchange Server 软件的支持版本的顾客同时也会拥有最新版本的 EAS 协议。如果顾客的网络设置了 EAS,则 EAS 可能已经配置为与 iOS 设备配合使用。

EAS 协议的支持版本

该表格列出了 Exchange Server 的版本及其对应支持的 Exchange ActiveSync 协议。

Exchange Server 支持的 EAS 协议
Exchange Server 2010 Service Pack 1 Exchange ActiveSync 版本 14.1
Exchange Server 2010 Exchange ActiveSync 版本 14.0
Exchange Server 2007 Service Pack 1 Exchange ActiveSync 版本 12.1
Exchange Server 2003 Service Pack 2 Exchange ActiveSync 版本 2.5
所需的端口

Exchange ActiveSync 使用 HTTPS 端口 443。你顾客的 IT 部门必须打开防火墙上的端口 443,从而实现远程访问 Exchange 服务。

Exchange ActiveSync 功能

iOS 支持的 Exchange ActiveSync 版本提供了多种可与您的客户讨论的功能和策略。

以下各部分从三种角度详细介绍了 iOS 设备支持的 EAS 功能和策略:最终用户、IT 专业人员和企业安全专业人员。

最终用户功能

ActiveSync 支持直接内置于 iOS 设备上的电子邮件、通讯录和日历应用程序中,提供了最终用户易于理解和使用的功能。我们来看一下 Microsoft Exchange 服务的这些常用功能。
邮件

iOS 支持以下 Microsoft Exchange 邮件功能:

  • 将电子邮件直接推送到收件箱和其他指定文件夹
  • 通过 Exchange ActiveSync 将 iOS 设备上的已发送邮件项与 Exchange Server 同步
  • 搜索服务器上的邮件信息*
  • 同步回复和转发标志*

*可能取决于具体的 Microsoft Exchange Server 版本。
通讯录

iOS 支持以下通讯录功能:

  • 如果有可用的蜂窝电话或 Wi-Fi 数据连接,可以利用推送通知将通讯录自动传输至 iOS 设备
  • 从 Exchange Server 公司目录检索通讯录信息(支持 Microsoft Exchange 全局地址列表 (GAL)),以在用户输入电子邮件地址时自动补全

日历

iOS 支持以下 Microsoft Exchange 日历功能:

  • 查看已发送和已接收邀请的回复状态*
  • 如果有可用的蜂窝电话或 Wi-Fi 数据连接,则自动接收日历事件的推送通知
  • 为日历事件设置空闲、忙碌或暂定状态

*可能取决于具体的 Microsoft Exchange Server 版本。
下表提供了有关 Exchange Server 和 Enterprise ActiveSync 支持的最终用户功能的详细信息。

Exchange Server 和 Enterprise ActiveSync (EAS) 版本支持
2010 2007 2003
最终用户功能
EAS v14.x EAS v12.1 EAS v2.5
直接推送。为了让企业用户总是掌握最新信息,在有蜂窝电话或 Wi-Fi 连接的情况下,Exchange 服务器自动将电子邮件、通讯录和日历事件传送至 iOS 设备。
电子邮件/通讯录/日历同步。最终用户可以在其 iOS 设备上配置 Exchange ActiveSync 帐户,并同步电子邮件、通讯录和日历数据。
文件夹同步。iOS 设备支持手动将电子邮件同步到所选文件夹以及收件箱。
GAL 查询。最终用户可以轻松地执行常见任务,例如接受会议邀请以及在公司全局地址列表 (GAL) 中查找联系信息。
移动/删除邮件。利用可用连接,最终用户可以选择邮件,并将其移动到其他文件夹或删除它们。
自动发现。为了加快和简化帐户设置,iOS 4 支持 Microsoft Exchange Server 2007 和 2010 的 Autodiscover 服务。当最终用户手动配置 iOS 设备时,Autodiscover 使用其电子邮件地址和密码来确定正确的 Exchange 服务器信息。有关启用 Autodiscover 服务的更多信息,请参见课程资源页面中的 Microsoft 文章。
搜索服务器。最终用户可以搜索特定条件以查找存储在服务器上而未同步到设备的信息。iOS 支持在“收件人”、“发件人”和“主题”字段中搜索,也可以一次搜索所有这三个字段。
IT 策略

ActiveSync 支持内置于 IT 专业人员的策略和功能中,使部署和管理 iOS 设备变得更轻松。iOS 支持 IT 部门用于保护敏感公司数据的大量重要的 EAS 策略功能。可以自定策略规则以控制 iOS 设备可以执行的操作。我们来仔细地了解一下最重要的 IT 专业功能。
远程擦除

当最终用户忘记将 iPhone 或 iPad 放在哪里而企业需要保护其数据时,IT 人员可以执行远程擦除。所有受支持的 EAS 版本都可以帮助 IT 部门通过远程擦除和本地擦除来保护敏感的公司数据。

远程擦除将删除所有数据和配置信息,安全地抹掉设备信息并恢复至原始出厂设置:

  • 在 iPad 和 iPhone 3GS/iPhone 4 上,远程擦除将删除数据的加密密钥。数据加密时采用了 256 位 AES(高级加密标准)加密方案。远程擦除将瞬间完成,并使所有数据无法恢复。
  • 在 iPhone 3G 上,远程擦除将覆盖设备上的数据,对于 8GB 容量的设备,此过程大约需要花费一小时。如果设备由于电量低而关闭,则擦除过程将在该设备连上电源后继续。

在任何受支持版本的 Exchange Server 上,IT 人员可以使用 Exchange ActiveSync 移动管理 Web 工具发起远程擦除。在 Exchange Server 2007 和 2010 上,IT 人员还可以使用 Exchange 管理控制台或 Outlook Web Access 发起远程擦除。

(IT 人员还可以使用 MDM 服务器远程擦除 iOS 设备。要了解有关 MDM 的更多信息,请学习本系列中的“设备配置和部署”课程。)
本地擦除

IT 人员还可以使用 EAS 配置 iOS 设备,以便在输入错误密码的次数超过 IT 指定的限制时,从本地擦除自身信息。超出最大尝试次数后,iOS 设备不与 Exchange 服务器进行通讯即执行本地设备擦除。本地擦除的结果与远程擦除相同:iOS 设备被安全擦除并恢复至原始出厂设置。

(如果出于某种原因,最终用户想要执行本地擦除,则用户可以轻按“设置”>“常规”>“还原”>“抹掉所有内容和设置”。)

下表提供了有关 Exchange Server 和 Enterprise ActiveSync 支持的 IT 专业功能的更多信息。

Exchange Server 和 Enterprise ActiveSync (EAS) 版本支持
2010 2007 2003
IT 策略
EAS v14.x EAS v12.1 EAS v2.5
默认策略。创建新 Exchange ActiveSync 邮箱时,所有未明确设置的策略设置将保持其默认值。
策略组。将一个或多个设置传递和应用到一组目标策略的能力。
按最终用户启用/禁用邮箱访问。
远程擦除。远程删除所有数据和配置信息,安全地抹掉设备信息并恢复至原始出厂设置。
经过失败的尝试后进行本地擦除。超出最大的失败尝试次数后,iOS 设备将在不与 Exchange 服务器通信的情况下执行本地设备擦除。
连接日志。IT 人员和最终用户可以使用此日志查看有哪些设备连接到其帐户。
安全策略

企业可以要求 IT 部门执行复杂密码策略、实施限制和采用强大的加密方法来提供分层处理方式,从而保证信息的安全性。

下表提供了有关 Exchange Server 和 Enterprise ActiveSync 支持的 IT 安全策略的详细信息。

Exchange Server 和 Enterprise ActiveSync (EAS) 版本支持
2010 2007 2003
安全策略
EAS v14.x EAS v12.1 EAS v2.5
要求密码。要求最终用户在使用设备之前输入密码。
密码过期。要求最终用户按 IT 部门指定的时间间隔更改其密码。
密码历史记录。如果新密码与以前使用的密码相匹配,则不会接受该密码。IT 人员可以指定记录并比较多少个旧密码。
最短的密码长度。指定密码可以包含的最少字符数。
闲置超时。设定 iOS 设备要求输入密码之前的最长空闲时间值。
最大密码失败尝试次数。在多次输入错误密码后擦除设备内存。IT 人员可以指定次数。
最少的复杂字符数。指定密码中包含的最少复杂字符数,例如多少个字符不能是数字或字母。
要求设备加密。iPhone 3GS 和较新款 iOS 设备提供基于硬件的加密。硬件加密使用 AES 256 位编码来保护设备上的所有数据。始终启用加密,并且用户无法禁用。
iPhone 3G 及以前的机型不支持设备加密,因此不会连接到要求加密的 Exchange Server。
允许 Web 浏览器/允许相机。IT 人员可以关闭此策略设置以禁止访问 Safari Web 浏览器和/或相机,并从主屏幕中删除该应用程序。

有关所支持的 EAS 功能的详细信息,请参见课程资源页面上的 iOS 参考库文章。

有关 iPhone 上的 Exchange ActiveSync 的更多信息,请参阅课程资源页面上的“iPhone in Business: Exchange ActiveSync”(iPhone 的商务应用:Exchange ActiveSync)文档。

不受支持的 EAS 功能

iOS 设备目前不支持以下 Exchange ActiveSync 功能:

  • 文件夹管理
  • 打开电子邮件中指向存储在 SharePoint 服务器上的文档的链接
  • 任务同步
  • 设置“不在办公室”自动回复消息
  • 标记要跟进的消息
Exchange ActiveSync 验证

为了保证客户数据的安全,iOS 设备要求最终用户向 Exchange Server 鉴定身份,然后才能访问其电子邮件、通讯录、日历和其他信息。

iOS 设备支持基本鉴定。iOS 设备支持基于证书的鉴定,但它们可能需要可信的根证书(如果未附带),因为服务器使用自签名证书。

基本鉴定支持

Exchange ActiveSync 默认配置为使用用户名和密码的基本鉴定。如果您的顾客使用基本鉴定,则建议他们的 IT 部门启用 SSL,以便在鉴定过程中确保凭证的安全。

有关为 Exchange ActiveSync 使用基本鉴定选项的详细信息,请参阅课程资源页面上的 Microsoft 文章。

基于证书的鉴定支持

为了增加安全性,iOS 和 Microsoft Exchange 还支持在客户端进行基于证书的鉴定。您顾客的 IT 部门可以使用配置描述文件来打包和部署证书,以用于基于证书的鉴定。要了解有关配置描述文件的更多信息,请学习本系列中的“设备配置和部署”课程。

要使用基于证书的鉴定,IT 人员必须在 iOS 设备上安装以下证书:

  • 为用户鉴定创建的有效客户端证书
  • 最终用户连接的服务器的可信根证书,用于建立 SSL 连接

如果您的顾客使用未预先安装的根证书(例如其公司创建的自签名根证书),他们可以使用在本系列的“安全”课程中的“分发和安装证书”部分详细介绍的方法之一,将其分发到 iOS 设备。

iOS 支持使用行业标准 128 位 SSL 加密和 X.509 证书,在 iOS 设备与 Exchange Server 之间进行安全通信。iOS 还包括许多预安装的根证书。要查看已安装证书的列表,请参阅课程资源页面上的 Apple 支持文章。

有关 Exchange ActiveSync 的鉴定选项的详细信息,请参阅课程资源页面上的 Microsoft 文章。

Exchange ActiveSync 设置

设置顾客网络以便进行 iOS 设备访问非常简单。如果顾客启用了 Exchange ActiveSync,他们可能已具备支持 iOS 设备所需的服务,无需额外配置。如果顾客是初次接触 Exchange ActiveSync,则应查看以下步骤以确保进行正确设置。

有关配置企业级网络以进行 iOS 设备访问的更多信息,请阅读可在课程资源页面上找到的“Exchange ActiveSync 和 iOS 4 设备”文章。

其他资源包括:

  • 关于检测信号时间间隔 (heartbeat interval) 和超时时间间隔 (timeout interval) 的 Microsoft Exchange 文稿
  • Microsoft Exchange ActiveSync Mobile Administration Web Tool 的下载和安装说明
配置基本认证(用户名和密码)

Exchange ActiveSync 的默认配置使用基本(用户名和密码)认证。它无需设置操作。

使用基本认证的顾客应启用 SSL 来确保在认证过程中对其凭证进行加密。

有关为 Exchange ActiveSync 配置 SSL 的信息,请参阅课程资源页面上的以下文章。

  • 为 Exchange ActiveSync 2010 配置 SSL
  • 如何为 Exchange ActiveSync 2007 配置 SSL

顾客可以使用 Active Directory 服务在 Exchange ActiveSync 中启用特定用户或组别。在 Exchange Server 2003、2007 和 2010 中,此项服务已为组织级的所有移动设备启用。对于 Exchange Server 2007 和 2010,应使用“Exchange 管理控制台”中的“收件人配置”来更改用户权限。

配置基于证书的认证

要实现更安全的配置,您的客户可以启用基于证书的认证。您可以按如下方式向他们介绍这一过程。

在 EAS 服务器上配置典型的基于证书的认证:

  1. 在域中的成员服务器或域控制器上安装企业证书服务。此服务器或域控制器将成为您的证书代理服务器。
  2. 在您的 Exchange 前端服务器或客户端访问服务器上配置 IIS,使其对 Exchange ActiveSync 虚拟目录采用基于证书的认证。
  3. 在 EAS 管理控制台中,关闭“基本认证”以便对所有最终用户都允许或要求证书。
  4. 选择以下选项之一:
    • 接受客户端证书
    • 要求客户端证书
  5. 使用证书代理服务器来生成客户端证书。
  6. 导出公共密钥,并配置 IIS 以使用该公共密钥。
  7. 导出专用密钥,并使用配置描述文件将此专用密钥传送到 iOS 设备。
注意:您必须使用描述文件来配置基于证书的认证。

要了解有关开发配置描述文件的更多信息,请学习本系列中的“设备配置和部署”课程,并阅读该课程资源页上的以下信息:

  • Microsoft Exchange 2003
  • Microsoft Exchange 2007
  • Microsoft Exchange 2010

发表评论

电子邮件地址不会被公开。 必填项已用*标注