Descripción de la administración de dispositivos móviles

Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Última modificación del tema: 2014-03-05

MicrosoftExchange Server 2010 con Service Pack 1 (SP1) y MicrosoftExchange ActiveSync ofrecen diversas funciones tanto para los usuarios como para los administradores. Como administrador, puede crear listas de permitidos, bloqueados y en cuarentena, indicando qué dispositivos móviles pueden obtener acceso a los buzones de correo de Exchange. Una lista de cuarentena le permite autorizar la conexión con el servidor de Exchange únicamente para el dispositivo asignado a un usuario.

Contenido

Cómo determinar el estado de acceso de un dispositivo móvil

Descripción de los estados de acceso de los dispositivos

Control de acceso de dispositivos

Configuración de estrategias de administración de acceso común

Cómo determinar el estado de acceso de un dispositivo móvil

Los servidores de Exchange 2010 SP1 siguen una secuencia simple y lógica para determinar el estado de acceso de cada dispositivo móvil. Cada dispositivo puede estar permitido, bloqueado o en cuarentena. Puede definir el estado de acceso de cada dispositivo a través de una regla de la organización o mediante una exención. Una excepción es una regla que se aplica a un único usuario o a un único dispositivo. Esto ocurre cada vez que se recibe una solicitud de Exchange ActiveSync de un dispositivo móvil que está intentando sincronizar datos desde un buzón de correo almacenado en un servidor de Exchange 2010. La secuencia de desafíos incluye los siguientes pasos:

1. ¿Está autenticado el dispositivo móvil?   Si no es así, desafiar al dispositivo móvil para que especifique las credenciales correctas. De lo contrario, continúe en el paso siguiente.

2. ¿Exchange ActiveSync está habilitado para este usuario?   Si no es así, devolver al dispositivo el error "acceso restringido". De lo contrario, continúe en el paso siguiente.

3. ¿Este dispositivo móvil satisface el criterio de cumplimiento de directivas para móviles?   Si no es así, bloquear el acceso. De lo contrario, continúe en el paso siguiente.

4. ¿Este dispositivo móvil está bloqueado por una exención personal hacia el usuario?   Si es así, bloquear el acceso. De lo contrario, continúe en el paso siguiente.

5. ¿Este dispositivo móvil está permitido por una exención personal hacia el usuario?   Si es así, otorgar acceso total. De lo contrario, continúe en el paso siguiente.

6. ¿Este dispositivo móvil está bloqueado por una regla de acceso de dispositivo?   Si es así, bloquear el acceso. De lo contrario, continúe en el paso siguiente.

7. ¿Este dispositivo móvil está en cuarentena por acción de una regla de acceso de dispositivo?   Si es así, poner el dispositivo en cuarentena. De lo contrario, continúe en el paso siguiente.

8. ¿Este dispositivo móvil está permitido por una regla de acceso de dispositivo?   Si es así, otorgar acceso total. De lo contrario, continúe en el paso siguiente.

9. Aplicar el estado de acceso predeterminado según la configuración de la organización de Exchange ActiveSync.   Esto otorga acceso, bloquea el acceso o pone el dispositivo actual en cuarentena, dependiendo de la configuración de la organización.

Volver al principio

Descripción de los estados de acceso de los dispositivos

Un estado de acceso de dispositivo es el estado de un dispositivo en particular. El estado de acceso de un dispositivo puede ser uno de los siguientes: permitido, bloqueado o en cuarentena. Puede controlar el acceso de los dispositivos de diversas maneras. Un dispositivo móvil se comportará de manera diferente en cada estado de acceso.

Estado de acceso Permitido

En el estado de acceso permitido, un dispositivo móvil puede sincronizar a través de Exchange ActiveSync y conectarse al servidor de Exchange para recuperar correo electrónico y manipular información de calendario, contactos, tareas y notas. Esto continuará durante el tiempo que el dispositivo cumpla con las directivas de buzón de correo de Exchange ActiveSync que haya configurado.

Para obtener más información, consulte Ver o configurar las propiedades de la directiva de buzón de Exchange ActiveSync.

Estado de acceso Bloqueado

Un dispositivo móvil bloqueado debido a una configuración de acceso de dispositivo no podrá conectarse al servidor de Exchange y recibirá errores HTTP 403 Prohibido. El usuario recibirá un mensaje de correo electrónico desde el servidor de Exchange diciéndole que el acceso del dispositivo móvil al buzón de correo fue bloqueado. Puede agregar texto personalizado a este mensaje, para proporcionar instrucciones a los usuarios cuyos dispositivos estén bloqueados.

Un dispositivo móvil también puede estar bloqueado por no aplicar las directivas de buzón de correo de Exchange ActiveSync. Si este es el caso, el usuario no recibirá un mensaje de correo electrónico explicándole que su dispositivo móvil tiene el acceso bloqueado al buzón. No obstante, la información del dispositivo móvil que se muestra en Outlook Web App indicará que está bloqueado debido a que el dispositivo no aplica las directivas de buzón de correo de Exchange ActiveSync.

Estado de acceso En cuarentena

Cuando se coloca un dispositivo móvil en cuarentena, el dispositivo móvil se puede conectar al servidor de Exchange. Sin embargo, tiene solamente un acceso limitado a los datos. El usuario podrá agregar contenido a su propio calendario y a sus carpetas de contactos, tareas y notas, pero el servidor no le permitirá al dispositivo que recupere ningún contenido del buzón de correo del usuario. El usuario recibirá un único mensaje de correo electrónico indicándole que el dispositivo móvil está en cuarentena. Este mensaje se recibirá en el dispositivo y también estará disponible en el buzón del usuario. Puede agregar texto personalizado a este mensaje, para proporcionar instrucciones a los usuarios cuyos dispositivos estén en cuarentena.

Al definir la configuración de la organización de Exchange ActiveSync, puede especificar uno o varios administradores, quienes recibirán un mensaje de correo electrónico la primera vez que un dispositivo en cuarentena intente conectarse al servidor de Exchange. Los administradores pueden decidir, entonces, si liberar el dispositivo móvil de la cuarentena creando una exención personal, bloquear el dispositivo completamente o crear una regla que actuará sobre el dispositivo móvil y otros dispositivos similares.

Nota Un período de gracia de actualización permite que los dispositivos en cuarentena continúen sincronizándose con los buzones de correo que han sido movidos de versiones anteriores de Exchange aExchange Server 2010. El período de gracia de actualización es de siete (7) días, a partir de la actualización del estado de sincronización del dispositivo. El estado de acceso al dispositivo se actualiza solamente cuando un dispositivo se comunica con el servidor de Exchange. Por lo tanto, si el dispositivo no se comunica con un servidor, no se actualiza el estado de acceso.

Además, si no se detecta un estado de sincronización para el dispositivo antes de la actualización mientras se está ejecutando en la versión anterior de Exchange, el dispositivo no recibe un período de gracia de actualización.

Estado de acceso Detección de dispositivo

Cuando un dispositivo móvil se conecta por primera vez a Exchange ActiveSync, el dispositivo está momentáneamente en el estado de acceso de detección de dispositivo. En este estado, el dispositivo estará en cuarentena hasta que el servidor lo reconozca. Dicho estado puede durar entre 1 y 14 minutos. Cuando un dispositivo se encuentre en este estado, no se enviará ningún mensaje de correo electrónico a los administradores ni al usuario.

Estado de acceso Actualización de buzón

Cuando un dispositivo móvil se encuentra en el estado de acceso actualización de buzón, se le concede acceso total al buzón de correo del usuario. El estado de acceso actualización de buzón es igual al estado permitido, excepto en que no dura más de siete días a partir de la primera conexión del dispositivo a un servidor de Exchange 2010, después de mover un buzón de una versión anterior de Microsoft Exchange. Este estado es necesario para dar tiempo a los dispositivos móviles de actualizar correctamente sus protocolos de información y comunicación a la última versión de Exchange ActiveSync y ser reconocidos por el sistema de administración de acceso de dispositivos. Tan pronto como se reconoce un dispositivo móvil, Exchange aplica el acceso correspondiente, sobre la base de la configuración de Exchange 2010.

Volver al principio

Control de acceso de dispositivos

Puede controlar el acceso de los dispositivos, configurando lo siguiente:

• Exenciones personales para usuarios.

• Reglas de toda la organización para familias o modelos especiales de dispositivos móviles.

• Estado de acceso predeterminado para todos los dispositivos que no pertenecen a otra categoría.

Creación de exenciones personales

Puede asignar un dispositivo móvil en particular a un usuario específico. Esta asignación le permite conceder acceso a un dispositivo en particular de manera explícita o bien bloquear un dispositivo en particular de manera explícita, independientemente de las reglas y de la configuración de acceso de dispositivos restante. Si un dispositivo móvil no tiene autorización o bloqueo explícitos para un usuario en particular, el acceso de dicho dispositivo se determinará de acuerdo con los pasos enumerados anteriormente.

Es posible crear exenciones personales con el cmdlet Set-CASMailbox o a través del Panel de control de Exchange (ECP).

Creación de reglas de acceso de dispositivo

Las reglas de acceso de dispositivo permiten definir el tipo de acceso disponible para un grupo de dispositivos en particular según algunas propiedades del dispositivo, como el modelo. Para crear estas reglas, debe conocer la información de la familia y el modelo del dispositivo. Esta información puede obtenerse una vez que el dispositivo móvil se ha sincronizado correctamente con el servidor de Exchange.

Las reglas de acceso de dispositivo pueden crearse con el cmdlet New-ActiveSyncDeviceAccessRule o a través del ECP, como se muestra en la figura siguiente.

Creación de una nueva regla de acceso de dispositivo

Cuando configure una regla para un dispositivo, es importante que comprenda la diferencia entre la "familia" del dispositivo y el dispositivo específico. Esta información se comunica como parte del protocolo EAS y lo informa el dispositivo. Por ejemplo, una regla de dispositivo se aplica sólo a un tipo de dispositivo específico. Una familia de dispositivos representa un rango de dispositivos similares, como un Pocket PC. La distinción es importante porque muchos fabricantes de dispositivos lanzan el mismo dispositivo con nombres u operadores diferentes. Cuando crea una regla, selecciona la familia de dispositivos o el modelo específico, no ambos.

En la página Nueva regla de acceso de dispositivo, haga clic en Examinar para mostrar una lista de todos los dispositivos o familias de dispositivos que se han conectado recientemente al servidor de Exchange. A continuación, seleccione la acción que se realizará. Puede seleccionar cualquiera de las siguientes acciones:

Permitir acceso

Bloquear acceso

Poner en cuarentena

Selección del estado de acceso predeterminado de la organización

El estado de acceso predeterminado de la organización para Exchange ActiveSync determina el nivel de acceso que se concede a los dispositivos móviles que no son administrados por reglas de acceso de dispositivo ni por exenciones personales. El estado de acceso predeterminado de la organización puede establecerse con el cmdlet Set-ActiveSyncOrganizationSettings.

Las notificaciones de cuarentena le permiten especificar quién recibirá una alerta de correo electrónico cuando se coloque un dispositivo en cuarentena. Puede agregar uno o más administradores, usuarios o grupos de distribución a la lista. Cualquier persona que esté en esta lista recibirá una notificación por correo electrónico que proporcione información acerca del dispositivo, de la persona que intentó conectarse al dispositivo y de la hora en la que se realizó el intento.

Volver al principio

Configuración de estrategias de administración de acceso común

Antes de especificar el nivel de acceso de los dispositivos móviles, es posible que desee obtener una lista de todos los teléfonos y dispositivos móviles que existen dentro de la organización. Puede obtener esta lista con el cmdlet Get-CASMailbox y el cmdlet Get-ActiveSyncDeviceStatistics. Para obtener más información, consulte Get-ActiveSyncDeviceStatistics.

Creación de una lista de Permitidos

Puede usar una lista de permitidos, para conceder acceso a una lista de dispositivos conocidos y restringir el acceso a todos los demás. Para ello, debe crear reglas, de manera tal que los dispositivos específicos que indique tengan permitido obtener acceso a los buzones de correo de los usuarios. Tan pronto como modifique dicha regla, debe definir el estado de acceso predeterminado de la organización, para bloquear a todos los dispositivos restantes. Para agregar un dispositivo nuevo a la lista de permitidos, cree una regla nueva.

Creación de una lista de Bloqueados

Puede usar una lista de bloqueados para conceder acceso a todos los dispositivos, de forma predeterminada, pero bloqueando el acceso a un conjunto de dispositivos que no de desea que obtengan acceso a su organización. Una lista de bloqueados se crea al crear reglas de bloqueo para los dispositivos que no desea que se sincronicen con los buzones de correo de la organización. La configuración de la organización debe definirse de manera que permita todo, concediendo acceso a todos los dispositivos que no están explícitamente bloqueados por las reglas existentes. Para agregar un dispositivo o un conjunto de dispositivos nuevo a la lista de bloqueados, cree una regla nueva.

Entornos de listas mixtas con permitidos y bloqueados

Además de crear listas de permitidos y bloqueados, puede colocar dispositivos móviles nuevos en cuarentena a medida que se los introduce en la organización, mientras se toma el tiempo de evaluarlos. Por ejemplo, si tiene una lista de bloqueados para los dispositivos móviles que no tienen permitido obtener acceso a la organización y una lista de permitidos para los dispositivos móviles que tienen autorizado ingresar a la organización, puede definir en cuarentena la configuración de acceso predeterminada de la organización. Todos los demás dispositivos quedarán automáticamente en cuarentena, lo cual le permite detectar los dispositivos nuevos a medida que se introducen a la organización y decidir si los agrega a la lista de permitidos o a la de bloqueados. La figura siguiente muestra un dispositivo móvil que fue puesto en cuarentena para un usuario específico.

Se coloca en cuarentena el dispositivo móvil de un usuario

Auditoría en vivo

Puede usar la auditoría en vivo para detectar todos los dispositivos que actualmente se están sincronizando con el servidor de Exchange de su organización. La auditoría en vivo se configura definiendo en cuarentena la opción predeterminada de acceso de la organización.

Unos minutos después del momento en que se cambia la configuración de acceso predeterminado de la organización a cuarentena, se genera una lista de los dispositivos colocados en cuarentena. Puede usar esta lista para crear listas de permitidos y bloqueados. Se impedirá a todos los usuarios que se sincronicen con el servidor de Exchange hasta que se hayan creado las listas de permitidos y bloqueados.

Volver al principio

 © 2010 Microsoft Corporation. Reservados todos los derechos.