L`iPhone en entreprise Microsoft Exchange

L’iPhone en entreprise
Microsoft Exchange
L’iPhone communique directement avec votre serveur Microsoft Exchange via Microsoft Exchange ActiveSync
(EAS), offrant aux utilisateurs un courrier électronique, des contacts et un calendrier en mode « push ». Exchange
ActiveSync fournit également aux utilisateurs un accès à la Global Address List (GAL), et offre aux administrateurs
des fonctionnalités d’application des politiques de mot de passe et de nettoyage à distance.
L’iPhone gère une authentification d’utilisateur basique ou par certificat pour Exchange ActiveSync. Si votre
entreprise gère Exchange ActiveSync, vous disposez déjà des services nécessaires pour gérer l’iPhone et aucune
configuration supplémentaire n’est requise Si vous disposez d’un serveur Exchange 2003 ou 2007 mais que votre
entreprise n’utilise pas encore Exchange ActiveSync, effectuez les étapes suivantes.
Configuration d’Exchange ActiveSync
Présentation de la configuration du réseau
• Assurez-vous que le port 443 est ouvert sur le coupe-feu. Si votre entreprise utilise Outlook Web Access, le port
Politiques de sécurité Exchange ActiveSync
• Effacement à distance (Remote Wipe)
• Imposer le mot de passe sur l’appareil
• Longueur de mot de passe minimum
• Nombre maximum de tentatives de saisie du mot de
passe (avant Local Wipe)
• Requiert des chiffres et des lettres
• Temps d’inactivité en minutes
(1 à 60 minutes)
Politiques Exchange ActiveSync supplémentaires
(pour 2007 uniquement)
• Autoriser ou interdire un mot de passe simple
• Expiration du mot de passe
443 est probablement déjà ouvert.
• Vérifiez qu’un certificat de serveur est installé sur le serveur Exchange frontal et activez le protocole SSL pour le
répertoire virtuel Exchange ActiveSync dans IIS.
• Si vous utilisez un serveur Microsoft Internet Security and Acceleration (ISA), vérifiez qu’un certificat de serveur
est installé et mettez à jour le serveur DNS public de manière qu’il résolve correctement les connexions entrantes.
• Vérifiez que le serveur DNS de votre réseau renvoie une unique adresse routable en externe au serveur Exchange
ActiveSync pour les clients Intranet et Internet. Ceci est obligatoire pour que l’appareil puisse utiliser la même
adresse IP pour communiquer avec le serveur lorsque les deux types de connexions sont actives.
• Si vous utilisez un serveur Microsoft ISA, créez un écouteur web ainsi qu’une règle de publication d’accès pour
client web Exchange. Consultez la documentation Microsoft pour en savoir plus.
• Pour tous les coupe-feu et équipements réseau, réglez sur 30 minutes le délai d’attente en cas de session
• Historique du mot de passe
inactive. Pour en savoir plus sur les autres intervalles de pulsations et de délai d’attente, consultez la
• Intervalle d’actualisation de la politique
documentation Microsoft Exchange sur http://technet.microsoft.com/fr-fr/library/cc182270.aspx.
• Nombre minimum de caractères complexes
dans le mot de passe
• Requiert une synchronisation manuelle pendant
l’itinérance
• Autoriser l’appareil photo
• Configurez les fonctionnalités, les stratégies et les réglages en matière de sécurité des appareils mobiles à l’aide
d’Exchange System Manager. Pour Exchange Server 2007, ces fonctionnalités et ces réglages sont configurés dans
la console Exchange Management.
• Téléchargez et installez l’outil Microsoft Exchange ActiveSync Mobile Administration Web Tool qui est nécessaire
pour lancer un nettoyage à distance. Pour Exchange Server 2007, un nettoyage à distance peut être lancé à l’aide
d’Outlook Web Access ou de la console Exchange Management.
2
Authentification basique (nom d’utilisateur et mot de passe)
• Activez Exchange ActiveSync pour des utilisateurs ou groupes spécifiques à l’aide du service Active Directory.
Ceux-ci sont activés par défaut pour tous les appareils mobiles au niveau organisationnel dans Exchange
Server 2003 et Exchange Server 2007. Pour Exchange Server 2007, consultez le chapitre sur la configuration des
destinataires dans la console Exchange Management.
• Par défaut, Exchange ActiveSync est configuré pour une authentification d’utilisateur basique. Il est recommandé
d’activer SSL pour une authentification basique afin d’assurer que les informations d’authentification sont chiffrées
durant l’authentification.
Authentification par certificat
• Installez les services de certificat de l’entreprise sur un serveur membre ou un contrôleur de domaine dans
votre domaine (ceci sera votre serveur Autorité de certification). Pour plus d’informations sur les services de
certification, veuillez consulter les ressources disponibles sur Microsoft. Autres services de Microsoft Exchange ActiveSync
• Recherche de Mail dans Exchange Server 2007
• Configurez IIS sur votre serveur frontal Exchange ou Client Access Server pour accepter une authentification par
certificat pour le répertoire virtuel Exchange ActiveSync. • Accepter et créer des invitations sur le calendrier
• Recherche dans la Global Address List
• Pour autoriser ou demander des certificats pour tous les utilisateurs, désactivez « authentification basique » et
• Authentification par certificat
sélectionnez « Accept client certificates » (Accepter les certificats clients) ou « Require client certificates » (Exiger
• Envoi de message électronique en mode « push » vers
des certificats clients).
des dossiers sélectionnés
• Autodiscovery (Découverte automatique)
• Générez des certificats clients en utilisant votre serveur Autorité de certification. Exportez la clé publique
et configurez IIS pour pouvoir l’utiliser. Exportez la clé privée et utilisez l’utilitaire de configuration iPhone ou la
fonctionnalité Enregistrement et configuration sans fil pour activer cette clé sur l’iPhone.
3
Scénario de déploiement d’Exchange ActiveSync
Cet exemple montre de quelle manière l’iPhone se connecte à un déploiement standard de Microsoft Exchange Server 2003 ou 2007.
Clé privée (certificat)
Coupe-feu
Serveur de certificat
Coupe-feu
iPhone
Utilitaire de configuration
443
Clé publique
(certificat)
Active Directory
3
1
2
Microsoft ISA Server
Serveur frontal Exchange
ou Client Access Server
Internet
4
6
Passerelle Mail ou
serveur Edge Transport*
5
Serveur Bridgehead ou
Hub Transport
Serveur Exchange Mailbox ou
serveur principal
*Selon la configuration de votre réseau, la passerelle Mail ou le serveur Edge Transport peut résider dans la zone démilitarisée (DMZ).
1
L’iPhone demande l’accès aux services Exchange ActiveSync sur le port 443 (HTTPS). (Il s’agit du même port que celui qui est utilisé pour Outlook Web Access et d’autres services web
sécurisés, donc dans de nombreux déploiements, ce port est déjà ouvert et configuré pour accepter le trafic HTTPS avec chiffrage SSL.)
2
ISA fournit un accès au serveur frontal Exchange ou Client Access Server. ISA est configuré comme un proxy ou, dans de nombreux cas, comme un proxy inverse, pour acheminer le trafic vers
le serveur Exchange.
3
Le serveur Exchange identifie l’utilisateur entrant à l’aide du service Active Directory et du serveur de certificat (si une authentification par certificat
est utilisée).
4
Si l’utilisateur saisit les informations d’authentification correctes et a accès aux services Exchange ActiveSync, le serveur frontal établit une connexion
à la boîte de réception correspondante sur le serveur principal (via le catalogue global Active Directory).
5
La connexion Exchange ActiveSync est établie. Les mises à jour/modifications sont envoyées en mode « push » (« Over The Air ») sur l’iPhone, et les changements apportés à l’iPhone
sont répercutés sur le serveur Exchange.
6
Les courriers électroniques envoyés depuis l’iPhone sont également synchronisés avec le serveur Exchange via Exchange ActiveSync (étape 5). Le courrier électronique devant être acheminé
vers des destinataires externes est généralement envoyé par le biais d’un serveur Bridgehead (ou Hub Transport) vers une passerelle Mail (ou serveur Edge Transport) externe via SMTP. Selon la
configuration de votre réseau, la passerelle Mail ou le serveur Edge Transport externe peut résider dans la DMZ ou à l’extérieur du coupe-feu.
© 2009 Apple inc. Tous droits réservés. Apple et le logo Apple sont des marques d’Apple Inc., déposées aux États-Unis et dans d’autres pays. iPhone est une marque de commerce d’Apple Inc. Les autres noms de sociétés et de produits mentionnés dans ce document peuvent être les marques
commerciales de leurs propriétaires respectifs. Les caractéristiques des produits sont susceptibles d’être modifiées sans préavis. Ce matériel est fourni à titre d’information uniquement; Apple n’assume aucune responsabilité relative à son utilisation. Juin 2009
L372756C