Déploiement d`iPhone et d`iPad Exchange ActiveSync

Déploiement d’iPhone et d’iPad
Exchange ActiveSync
iPhone et iPad peuvent communiquer directement avec votre serveur Microsoft Exchange
par l’intermédiaire de Microsoft Exchange ActiveSync (EAS), permettant ainsi l’utilisation
du courriel, du calendrier, des contacts et des tâches en temps réel. En outre, Exchange
ActiveSync permet aux utilisateurs d’accéder à la liste de contacts globale (GAL) et donne
aux administrateurs la possibilité d’imposer l’utilisation d’un code de sécurité et d’effectuer
l’effacement à distance. iOS prend en charge l’authentification de base et l’authentification
par certificat pour Exchange ActiveSync. Si votre entreprise utilise actuellement Exchange
ActiveSync, vous disposez déjà des services nécessaires à l’utilisation d’iPhone et d’iPad;
aucune autre configuration n’est requise. Si votre entreprise utilise Exchange Server 2003,
2007 ou 2010, mais n’a jamais utilisé Exchange ActiveSync, consultez les étapes qui suivent.
Configuration d’Exchange ActiveSync
Aperçu de la configuration du réseau
• Assurez-vous que le port 443 est ouvert dans les réglages du coupe-feu. Si votre entreprise
permet l’utilisation d’Outlook Web Access, le port 443 est probablement déjà ouvert.
• Sur le serveur frontal, assurez-vous qu’un certificat de serveur est installé et activez
le protocole SSL pour le répertoire virtuel d’Exchange ActiveSync dans IIS.
Politiques de sécurité Exchange ActiveSync
prises en charge
• Effacement à distance
• Mot de passe obligatoire sur l’appareil
• Longueur minimale de mot de passe
• Nombre maximal de tentatives de saisie
du mot de passe (avant l’effacement local)
• Utilisation obligatoire de chiffres et de lettres
• Délai d’inactivité en minutes (de 1 à
60 minutes)
Autres politiques Exchange ActiveSync
(pour Exchange 2007 et 2010 seulement)
• Autorisation ou interdiction des mots de
passe simples
• Expiration des mots de passe
• Historique des mots de passe
• Intervalle d’actualisation de la politique
• Nombre minimal de caractères complexes
dans le mot de passe
• Synchronisation manuelle obligatoire en
itinérance
• Utilisation de l’appareil photo permise
• Navigation sur le Web permise
• Si vous utilisez un serveur Microsoft Internet Security and Acceleration (ISA), assurez-vous
qu’un certificat de serveur est installé et mettez à jour le DNS public de manière à résoudre
les connexions entrantes.
• Assurez-vous que le DNS de votre réseau renvoie une adresse unique routable à l’externe au
serveur Exchange ActiveSync pour les clients intranet et Internet. Ce réglage est nécessaire
pour permettre à l’appareil d’utiliser la même adresse IP lors des communications avec le
serveur lorsque les deux types de connexions sont actives.
• Si vous utilisez un serveur Microsoft ISA, créez un port d’écoute Web ainsi qu’une règle
de publication d’accès de client Web Exchange. Pour de plus amples détails, consultez
la documentation de Microsoft.
• Pour tous les coupe-feu et les appareils réseau, réglez le délai d’expiration de la session
inactive à 30 minutes. Pour obtenir des renseignements sur les intervalles d’interrogation et
de délai d’expiration, reportez-vous à la documentation concernant Microsoft Exchange à
l’adresse suivante : http://technet.microsoft.com/en-us/library/cc182270.aspx (en anglais).
• Configurez les fonctionnalités mobiles, les politiques et les réglages de sécurité des
appareils au moyen du Gestionnaire système Exchange. Pour Exchange Server 2007 et 2010,
cette configuration s’effectue grâce à la Console de gestion Exchange.
• Téléchargez et installez l’outil Web Microsoft Exchange ActiveSync Mobile Administration,
qui est nécessaire à l’exécution d’un effacement à distance. Pour Exchange Server 2007 et
2010, l’effacement à distance peut également être exécuté par l’intermédiaire d’Outlook Web
Access ou de la Console de gestion Exchange.
Cahier de spécifications
Produit
2
Authentification de base (nom d’utilisateur et mot de passe)
• Activez Exchange ActiveSync pour certains utilisateurs ou groupes en particulier au moyen
du service Active Directory. La fonctionnalité est activée par défaut pour tous les appareils
mobiles de l’ensemble de l’organisation dans Exchange Server 2003, 2007 et 2010. Dans le
cas d’Exchange Server 2007 et 2010, reportez-vous à la Configuration du destinataire dans
la Console de gestion Exchange.
• Par défaut, le protocole Exchange ActiveSync est configuré de manière à employer
l’authentification de base des utilisateurs. Nous vous recommandons d’activer le protocole
SSL pour l’authentification de base de manière à assurer que les données de connexion
soient chiffrées pendant l’authentification.
Authentification par certificat
• Installez des services de certificat d’entreprise sur un serveur membre ou un contrôleur de
domaine dans votre domaine (celui-ci deviendra votre serveur d’autorité de certification).
• Configurez le logiciel IIS sur votre serveur frontal Exchange ou sur le serveur d’accès client
de manière à accepter l’authentification par certificat pour le répertoire virtuel d’Exchange
ActiveSync.
Autres services Exchange ActiveSync
• Recherche dans la liste de contacts globale
• Possibilité d’accepter et de créer des
invitations dans le calendrier
• Synchronisation des tâches
• Ajout d’indicateurs aux courriels
• Synchronisation des indicateurs de réponse et
de transfert avec Exchange Server 2010
• Recherche de courriels sur serveurs Exchange
2007 et 2010
• Gestion de plusieurs comptes Exchange
ActiveSync
• Authentification par certificat
• Courriels poussés vers les dossiers
sélectionnés
• Découverte automatique
• Pour autoriser ou exiger le certificat pour tous les utilisateurs, désactivez la fonction
« Authentification de base » et sélectionnez « Accepter les certificats clients » ou « Exiger les
certificats clients ».
• Générez des certificats clients au moyen de votre serveur d’autorité de certification.
Exportez la clé publique et configurez le logiciel IIS afin qu’il utilise cette clé. Exportez
la clé privée et utilisez un profil de configuration pour transmettre cette clé à iPhone et
iPad. L’authentification par certificat ne peut être configurée qu’au moyen d’un profil de
configuration.
Pour de plus amples renseignements sur les services de certificats, consultez les ressources
offertes par Microsoft.
3
Scénario de déploiement de Microsoft Exchange ActiveSync
Cet exemple illustre comment iPhone et iPad se connectent à la plupart des déploiements de serveurs Microsoft Exchange 2003, 2007 ou 2010.
Clé privée (certificat)
Coupe-feu
Serveur de certificats
Coupe-feu
Profil de configuration
Clé publique
(certificat)
443
3
1
Internet
Active Directory
2
Serveur mandataire
Serveur frontal ou serveur
d’accès client Exchange
4
6
Passerelle de messagerie ou
serveur de transport Edge*
Serveur Bridgehead ou
serveur de transport Hub
5
Serveur de boîte aux lettres
Exchange ou serveur principal
*Selon la configuration du réseau, la passerelle de messagerie ou le serveur de transport Edge peuvent se trouver à l’intérieur des limites du réseau (DMZ).
1
iPhone et iPad demandent l’accès aux services Exchange ActiveSync par l’intermédiaire du port 443 (HTTPS). (Il s’agit du même port employé pour
Outlook Web Access et d’autres services Web sécurisés; par conséquent, dans bon nombre de déploiements, ce port est déjà ouvert et configuré pour
permettre le trafic HTTPS chiffré selon le protocole SSL.)
2
La solution ISA donne accès au serveur frontal ou au serveur d’accès client Exchange. La solution ISA est configurée comme un serveur mandataire ou,
dans bien des cas, un serveur mandataire inverse, afin d’acheminer le trafic vers le serveur Exchange.
3
Le serveur Exchange procède à l’authentification de l’utilisateur entrant par l’intermédiaire du service Active Directory et du serveur de certificats (si
l’authentification par certificat est utilisée).
4
Si l’utilisateur fournit les données de connexion correctes et a accès aux services Exchange ActiveSync, le serveur frontal établit une connexion à la boîte
aux lettres appropriée sur le serveur principal (par l’intermédiaire du catalogue global Active Directory).
5
La connexion Exchange ActiveSync est établie. Les mises à jour et les modifications sont poussées par connexion sans fil et toutes les modifications
apportées sur iPhone ou iPad sont reflétées sur le serveur Exchange.
6
Les courriels envoyés sont également synchronisés avec le serveur Exchange par l’intermédiaire d’Exchange ActiveSync (étape 5). L’acheminement des
courriels sortants aux destinataires externes s’effectue habituellement d’un serveur Bridgehead (ou serveur de transport Hub) vers une passerelle de
messagerie externe (ou serveur de transport Edge) par SMTP. Selon la configuration du réseau, la passerelle de messagerie externe ou le serveur de
transport Edge peuvent se trouver à l’intérieur des limites du réseau ou à l’extérieur du coupe-feu.
© 2011 Apple Inc. Tous droits réservés. Apple, le logo Apple, iPhone, iPad et Mac OS sont des marques de commerce d’Apple Inc., enregistrées aux États-Unis et dans d’autres pays. Les autres produits et
dénominations sociales mentionnés ici peuvent être des marques de commerce de leurs sociétés respectives. Les caractéristiques des produits peuvent changer sans préavis. Le présent document n’est
fourni qu’à titre d’information; Apple se dégage de toute responsabilité quant à son utilisation. Octobre 2011 L419822B