Déploiement d`iPhone et d`iPad Exchange ActiveSync

Déploiement
d’iPhone et d’iPad
Exchange ActiveSync
iPhone et iPad peuvent communiquer directement avec votre serveur Microsoft
Exchange par l’intermédiaire de Microsoft Exchange ActiveSync (EAS), permettant ainsi
l’utilisation du courriel, du calendrier, des contacts et des tâches en temps réel. De plus,
Exchange ActiveSync permet aux utilisateurs d’accéder à la liste de contacts globale
(GAL) et donne aux administrateurs la possibilité d’imposer l’utilisation d’un code de
sécurité et d’effectuer l’effacement à distance. iOS prend en charge l’authentification de
base ou par certificat pour Exchange ActiveSync. Si votre entreprise utilise actuellement
Exchange ActiveSync, vous disposez déjà des services nécessaires à l’utilisation
d’iPhone et d’iPad. Aucune autre configuration n’est donc requise. Si votre entreprise
utilise Exchange Server 2003, 2007 ou 2010, mais n’a jamais utilisé Exchange ActiveSync,
consultez les étapes suivantes.
Configuration d’Exchange ActiveSync
Politiques de sécurité Exchange
ActiveSync prises en charge
• Effacement à distance
• Mot de passe obligatoire sur l’appareil
• Longueur minimale de mot de passe
• Nombre maximal de tentatives de saisie
du mot de passe (avant l’effacement local)
• Utilisation obligatoire de chiffres et
de lettres
• Délai d’inactivité en minutes
(de 1 à 60 minutes)
Autres politiques Exchange ActiveSync
(pour Exchange 2007 et 2010 seulement)
• Autorisation ou interdiction des mots de
passe simples
• Expiration des mots de passe
• Historique des mots de passe
• Intervalle d’actualisation de la politique
• Nombre minimal de caractères complexes
dans le mot de passe
• Synchronisation manuelle obligatoire
en itinérance
• Utilisation de l’appareil photo permise
• Navigation sur le Web permise
Marche à suivre pour la configuration du réseau
• Assurez-vous que le port 443 est ouvert dans les réglages du pare-feu. Si votre
entreprise permet l’utilisation d’Outlook Web Access, le port 443 est probablement
déjà ouvert.
• Sur le serveur frontal, assurez-vous qu’un certificat de serveur est installé et activez
le protocole SSL pour le répertoire virtuel d’Exchange ActiveSync dans IIS.
• Si vous utilisez un serveur Microsoft Internet Security and Acceleration (ISA), assurezvous qu’un certificat de serveur est installé et mettez à jour le DNS public afin de
convertir les connexions entrantes.
• Assurez-vous que le DNS de votre réseau renvoie une adresse unique routable à
l’externe au serveur Exchange ActiveSync pour les clients intranet et Internet. Ce
réglage est nécessaire pour permettre à l’appareil d’utiliser la même adresse IP lors des
communications avec le serveur lorsque les deux types de connexions sont actifs.
• Si vous utilisez un serveur Microsoft ISA, créez un port d’écoute Web ainsi qu’une règle
de publication d’accès de client Web Exchange. Pour de plus amples détails, consultez la
documentation de Microsoft.
• Pour tous les pare-feu et les appareils réseau, réglez le délai d’expiration de la session
inactive à 30 minutes. Pour obtenir des renseignements sur les intervalles d’interrogation
et de délai d’expiration, reportez-vous à la documentation concernant Microsoft
Exchange à l’adresse suivante : http://technet.microsoft.com/en-us/library/cc182270.aspx
(en anglais).
2
• Configurez les fonctionnalités mobiles, les politiques et les réglages de sécurité des
appareils au moyen du Gestionnaire système Exchange. Pour Exchange Server 2007
et 2010, cette configuration s’effectue grâce à la Console de gestion Exchange.
• Téléchargez et installez l’outil Web Microsoft Exchange ActiveSync Mobile
Administration, qui est nécessaire à l’exécution d’un effacement à distance. Pour
Exchange Server 2007 et 2010, l’effacement à distance peut également être exécuté
par l’intermédiaire d’Outlook Web Access ou de la Console de gestion Exchange.
Authentification de base (nom d’utilisateur et mot de passe)
• Activez Exchange ActiveSync pour certains utilisateurs ou groupes en particulier au
moyen du service Active Directory. La fonctionnalité est activée par défaut pour tous
les appareils mobiles de l’ensemble de l’organisation dans Exchange Server 2003, 2007
et 2010. Dans le cas d’Exchange Server 2007 et 2010, reportez-vous à la Configuration
du destinataire dans la Console de gestion Exchange.
Autres services Exchange ActiveSync
• Recherche dans la liste de contacts globale
• Possibilité d’accepter et de créer des
invitations dans le calendrier
• Synchronisation des tâches
• Ajout d’indicateurs aux courriels
• Synchronisation des indicateurs de réponse
et de transfert avec Exchange Server 2010
• Recherche de courriels sur serveurs
Exchange 2007 et 2010
• Gestion de plusieurs comptes Exchange
ActiveSync
• Authentification par certificat
• Courriels poussés vers les dossiers
sélectionnés
• Découverte automatique
• Par défaut, le protocole Exchange ActiveSync est configuré de manière à employer
l’authentification de base des utilisateurs. Nous vous recommandons d’activer le
protocole SSL pour l’authentification de base de manière à assurer que les données
de connexion soient chiffrées pendant l’authentification.
Authentification par certificat
• Installez des services de certificat d’entreprise sur un serveur membre ou un
contrôleur de domaine dans votre domaine (celui-ci deviendra votre serveur
d’autorité de certification).
• Configurez le logiciel IIS sur votre serveur frontal Exchange ou sur le serveur d’accès
client de manière à accepter l’authentification par certificat pour le répertoire virtuel
d’Exchange ActiveSync.
• Pour autoriser ou exiger le certificat pour tous les utilisateurs, désactivez la fonction
« Authentification de base » et sélectionnez « Accepter les certificats clients » ou
« Exiger les certificats clients ».
• Générez des certificats clients au moyen de votre serveur d’autorité de certification.
Exportez la clé publique et configurez le logiciel IIS afin qu’il utilise cette clé. Exportez
la clé privée et utilisez un profil de configuration pour transmettre cette clé à iPhone
et iPad. L’authentification par certificat ne peut être configurée qu’au moyen d’un profil
de configuration.
Pour de plus amples renseignements sur les services de certificats, consultez les
ressources offertes par Microsoft.
3
Scénario de déploiement d’Exchange ActiveSync de Microsoft
Cet exemple illustre comment iPhone et iPad se connectent à la plupart des déploiements de serveurs Microsoft Exchange 2003,
2007 ou 2010.
Clé privée (certificat)
Pare-feu
Serveur de certificats
Pare-feu
Profil de configuration
443
3
1
Internet
Active Directory
Clé publique
(certificat)
2
Serveur mandataire
Serveur frontal ou serveur
d’accès client Exchange
4
6
Passerelle de messagerie ou
serveur de transport Edge*
Serveur Bridgehead ou
serveur de transport Hub
5
Serveur de boîte aux lettres
Exchange ou serveur principal
*Selon la configuration du réseau, la passerelle de messagerie ou le serveur de transport Edge peuvent se trouver à l’intérieur des limites du réseau (DMZ).
1
iPhone et iPad demandent l’accès aux services Exchange ActiveSync par l’intermédiaire du port 443 (HTTPS). (Il s’agit du même port employé
pour Outlook Web Access et d’autres services Web sécurisés; par conséquent, dans bon nombre de déploiements, ce port est déjà ouvert et
configuré pour permettre le trafic HTTPS chiffré selon le protocole SSL).
2
La solution ISA donne accès au serveur frontal ou au serveur d’accès client Exchange. La solution ISA est configurée comme un serveur
mandataire ou, dans bien des cas, un serveur mandataire inverse, afin d’acheminer le trafic vers le serveur Exchange.
3
Le serveur Exchange procède à l’authentification de l’utilisateur entrant par l’intermédiaire du service Active Directory et du serveur de
certificats (si l’authentification par certificat est utilisée).
4
Si l’utilisateur fournit les données de connexion correctes et a accès aux services Exchange ActiveSync, le serveur frontal établit une connexion
à la boîte aux lettres appropriée sur le serveur principal (par l’intermédiaire du catalogue global Active Directory).
5
La connexion Exchange ActiveSync est établie. Les mises à jour et les modifications sont poussées par connexion sans fil et toutes les
modifications apportées sur iPhone ou iPad sont reflétées sur le serveur Exchange.
6
Les courriels envoyés sont également synchronisés avec le serveur Exchange par l’intermédiaire d’Exchange ActiveSync (étape 5).
L’acheminement des courriels sortants aux destinataires externes s’effectue habituellement d’un serveur Bridgehead (ou serveur de transport
Hub) vers une passerelle de messagerie externe (ou serveur de transport Edge) par SMTP. Selon la configuration du réseau, la passerelle
de messagerie externe ou le serveur de transport Edge peuvent se trouver à l’intérieur des limites du réseau ou à l’extérieur du pare-feu.
© 2013 Apple Inc. Tous droits réservés. Apple, le logo Apple, iPhone, iPad et Mac OS sont des marques de commerce d’Apple Inc., déposées aux États-Unis et dans d’autres pays. Les autres produits et
dénominations sociales mentionnés ici peuvent être des marques de commerce de leurs sociétés respectives. Les caractéristiques des produits peuvent changer sans préavis. Le présent document n’est
fourni qu’à titre d’information; Apple se dégage de toute responsabilité quant à son utilisation. Septembre 2013