L`iPhone en entreprise Microsoft Exchange

L’iPhone en entreprise
Microsoft Exchange
Avec iPhone restez directement en communication avec votre serveur Microsoft
Exchange via Microsoft Exchange ActiveSync (EAS), vos utilisateurs disposeront ainsi
d’un courrier électronique, de contacts et d’un calendrier en mode « push ». Exchange
ActiveSync leur fournira également un accès à la Global Address List (GAL) et offrira aux
administrateurs une possibilité d’intervention sur les politiques de mot de passe ainsi
qu’un moyen de nettoyage à distance. L’iPhone gère une authentification d’utilisateur
basique ou par certificat pour Exchange ActiveSync. Si votre entreprise gère déjà
Exchange ActiveSync, vous disposez alors des services nécessaires pour gérer l’iPhone
et aucune configuration supplémentaire ne vous sera nécessaire .Si vous disposez d’un
serveur Exchange 2003 ou 2007 mais que votre entreprise n’utilise pas encore Exchange
ActiveSync, passez dans ce cas par les étapes suivantes.
Configuration d’Exchange ActiveSync
Politiques de sécurité Exchange ActiveSync
• Effacement à distance (Remote Wipe)
• Imposer le mot de passe sur l’appareil
• Longueur de mot de passe minimum
• Nombre maximum de tentatives de saisie
du mot de passe (avant Local Wipe)
• Requiert des chiffres et des lettres
• Temps d’inactivité en minutes
(1 à 60 minutes)
Politiques Exchange ActiveSync
supplémentaires
(pour 2007 uniquement)
• Autoriser ou interdire un mot de passe
simple
• Expiration du mot de passe
• Historique du mot de passe
• Intervalle d’actualisation de la politique
• Nombre minimum de caractères
complexes dans le mot de passe
• Requiert une synchronisation manuelle
pendant l’itinérance
• Autoriser l’appareil photo
Présentation de la configuration du réseau
• Assurez-vous que le port 443 est ouvert sur le coupe-feu. Si votre entreprise utilise
Outlook Web Access, le port 443 est probablement déjà ouvert.
• Vérifiez qu’un certificat de serveur est installé sur le serveur Exchange frontal et activez
le protocole SSL pour le répertoire virtuel Exchange ActiveSync dans IIS.
• Si vous utilisez un serveur Microsoft Internet Security and Acceleration (ISA), vérifiez
qu’un certificat de serveur est installé et mettez à jour le serveur DNS public de manière
qu’il résolve correctement les connexions entrantes.
• Vérifiez que le serveur DNS de votre réseau renvoie une unique adresse routable en
externe au serveur Exchange ActiveSync pour les clients Intranet et Internet. Ceci est
obligatoire pour que l’appareil puisse utiliser la même adresse IP pour communiquer
avec le serveur lorsque les deux types de connexions sont actives.
• Si vous utilisez un serveur Microsoft ISA, créez un écouteur web ainsi qu’une règle de
publication d’accès pour client web Exchange. Consultez la documentation Microsoft
pour en savoir plus.
• Pour tous les coupe-feu et équipements réseau, réglez sur 30 minutes le délai d’attente
en cas de session inactive. Pour en savoir plus sur les autres intervalles de pulsations et
de délai d’attente, consultez la documentation Microsoft Exchange sur http://technet.
microsoft.com/fr-fr/library/cc182270.aspx.
• Configurez les fonctionnalités, les stratégies et les réglages en matière de sécurité des
appareils mobiles à l’aide d’Exchange System Manager. Pour Exchange Server 2007, ces
fonctionnalités et ces réglages sont configurés dans la console Exchange Management.
• Téléchargez et installez l’outil Microsoft Exchange ActiveSync Mobile Administration
Web Tool qui est nécessaire pour lancer un nettoyage à distance. Pour Exchange
Server 2007, un nettoyage à distance peut être lancé à l’aide d’Outlook Web Access ou
de la console Exchange Management.
2
Authentification basique (nom d’utilisateur et mot de passe)
• Activez Exchange ActiveSync pour des utilisateurs ou groupes spécifiques à l’aide du
service Active Directory. Ceux-ci sont activés par défaut pour tous les appareils mobiles
au niveau organisationnel dans Exchange Server 2003 et Exchange Server 2007. Pour
Exchange Server 2007, consultez le chapitre sur la configuration des destinataires dans la
console Exchange Management.
• Par défaut, Exchange ActiveSync est configuré pour une authentification d’utilisateur
basique. Il est recommandé d’activer SSL pour une authentification basique afin d’assurer
que les informations d’authentification sont chiffrées durant l’authentification.
Autres services de Microsoft Exchange
ActiveSync
• Recherche de Mail dans Exchange Server 2007
• Accepter et créer des invitations sur le
calendrier
• Recherche dans la Global Address List
• Authentification par certificat
• Envoi de message électronique en mode
« push » vers des dossiers sélectionnés
• Autodiscovery (Découverte automatique)
Authentification par certificat
• Installez les services de certificat de l’entreprise sur un serveur membre ou un
contrôleur de domaine dans votre domaine (ceci sera votre serveur Autorité de
certification). Pour plus d’informations sur les services de certification, veuillez consulter
les ressources disponibles sur Microsoft. • Configurez IIS sur votre serveur frontal Exchange ou Client Access Server pour accepter
une authentification par certificat pour le répertoire virtuel Exchange ActiveSync. • Pour autoriser ou demander des certificats pour tous les utilisateurs, désactivez
« authentification de base » et sélectionnez « Accept client certificates » (Accepter les
certificats clients) ou « Require client certificates » (Exiger des certificats clients).
• Générez des certificats clients en utilisant votre serveur Autorité de certification. Exportez la clé publique et configurez IIS pour pouvoir l’utiliser. Exportez la clé privée
et utilisez l’utilitaire de configuration iPhone ou la fonctionnalité Enregistrement et
configuration sans fil pour activer cette clé sur l’iPhone.
3
Scénario de déploiement d’Exchange ActiveSync
Cet exemple montre de quelle manière l’iPhone se connecte à un déploiement standard de Microsoft Exchange Server 2003 ou 2007.
Clé privée (certificat)
Coupe-feu
Serveur de certificat
Coupe-feu
iPhone
Utilitaire de configuration
443
Active Directory
Clé publique
(certificat)
3
1
2
Microsoft ISA Server
Serveur frontal Exchange
ou Client Access Server
Internet
4
6
Passerelle Mail ou
serveur Edge Transport*
5
Serveur Bridgehead ou
Hub Transport
Serveur Exchange Mailbox ou
serveur principal
*Selon la configuration de votre réseau, la passerelle Mail ou le serveur Edge Transport peut résider dans la zone démilitarisée (DMZ).
1
L’iPhone demande l’accès aux services Exchange ActiveSync sur le port 443 (HTTPS). (Il s’agit du même port que celui qui est utilisé pour
Outlook Web Access et d’autres services web sécurisés, donc dans de nombreux déploiements, ce port est déjà ouvert et configuré pour
accepter le trafic HTTPS avec chiffrage SSL.)
2
ISA fournit un accès au serveur frontal Exchange ou Client Access Server. ISA est configuré comme un proxy ou, dans de nombreux cas, comme
un proxy inverse, pour acheminer le trafic vers le serveur Exchange.
3
Le serveur Exchange identifie l’utilisateur entrant à l’aide du service Active Directory et du serveur de certificat (si une authentification par
certificat est utilisée).
4
Si l’utilisateur saisit les informations d’authentification correctes et a accès aux services Exchange ActiveSync, le serveur frontal établit une
connexion à la boîte de réception correspondante sur le serveur principal (via le catalogue global Active Directory).
5
La connexion Exchange ActiveSync est établie. Les mises à jour/modifications sont envoyées en mode « push » (« Over The Air ») sur l’iPhone,
et les changements apportés à l’iPhone sont répercutés sur le serveur Exchange.
6
Les courriers électroniques envoyés depuis l’iPhone sont également synchronisés avec le serveur Exchange via Exchange ActiveSync (étape 5).
Le courrier électronique devant être acheminé vers des destinataires externes est généralement envoyé par le biais d’un serveur Bridgehead (ou
Hub Transport) vers une passerelle Mail (ou serveur Edge Transport) externe via SMTP. Selon la configuration de votre réseau, la passerelle Mail
ou le serveur Edge Transport externe peut résider dans la DMZ ou à l’extérieur du coupe-feu.
© 2009 Apple Inc. Tous droits réservés. Apple et le logo Apple sont des marques d’Apple Inc., déposées aux États-Unis et dans d’autres pays. iPhone est une marque de commerce d’Apple Inc. Les
autres noms de sociétés et de produits mentionnés dans ce document peuvent être les marques commerciales de leurs propriétaires respectifs. Les spécifications de produit sont sujettes à des
modifications sans préavis. Ce matériel est fourni à titre d’information uniquement ; Apple n’assume aucune responsabilité relative à son utilisation. Juin 2009 L372756C