Compreendendo o gerenciamento de dispositivo móvel

  • Artigo

 

Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Tópico modificado em: 2014-03-05

MicrosoftExchange Server 2010 O Service Pack 1 (SP1) e o MicrosoftExchange ActiveSync oferecem muitos recursos diferentes, tanto para usuários quanto para administradores. Como administrador, você pode criar listas de permissões, listas de bloqueios e listas de quarentena especificando quais dispositivos móveis têm permissão para acessar suas caixas de correio do Exchange. Uma lista de quarentena permite que você autorize apenas que um dispositivo atribuído do usuário se conecte ao servidor Exchange.

Dica

Em todo este tópico, o termo dispositivo móvel se refere aos dispositivos móveis com e sem serviço de telefone celular. Todos os telefones e dispositivos devem ter alguma forma de conectividade de Internet, com um plano de dados de celular ou com acesso à Internet sem fio.

Conteúdo

Determinando o estado de acesso de um dispositivo móvel

Entendendo os estados de acesso a dispositivo

Controlando acesso a dispositivo

Configurando estratégias de gerenciamento de acesso comuns

Determinando o estado de acesso de um dispositivo móvel

O servidores Exchange 2010 SP1 seguem uma sequência lógica simples para determinar o estado de acesso de cada dispositivo móvel. Cada dispositivo pode ser permitido, bloqueado ou colocado em quarentena. Você pode definir o estado de acesso de cada dispositivo por meio de uma regra organizacional ou com uma isenção. Isenção é uma regra aplicada a um único usuário ou dispositivo. Isso ocorre sempre que uma solicitação do Exchange ActiveSync é recebida de um dispositivo móvel que está tentando sincronizar dados de uma caixa de correio armazenada em um servidor Exchange 2010. A sequência de desafios inclui as seguintes etapas:

  1. O dispositivo móvel está autenticado?   Se não estiver, desafie o dispositivo móvel a fornecer as credenciais corretas. Caso contrário, vá para a próxima etapa.

  2. O Exchange ActiveSync está habilitado para o usuário atual?   Se não estiver, retorne um erro de "acesso restrito" ao dispositivo. Caso contrário, vá para a próxima etapa.

  3. Os critérios de aplicação de política móvel são atendidos pelo dispositivo móvel atual?   Se não forem atendidos, bloqueie o acesso. Caso contrário, vá para a próxima etapa.

  4. Este dispositivo móvel foi bloqueado por uma isenção pessoal para o usuário?   Se for esse o caso, bloqueie o acesso. Caso contrário, vá para a próxima etapa.

  5. Este dispositivo móvel foi permitido por uma isenção pessoal para o usuário?   Se for esse o caso, libere acesso total. Caso contrário, vá para a próxima etapa.

  6. Este dispositivo móvel foi bloqueado por uma regra de acesso a dispositivo?   Se for esse o caso, bloqueie o acesso. Caso contrário, vá para a próxima etapa.

  7. Este dispositivo móvel foi colocado em quarentena por uma regra de acesso a dispositivo?   Se for esse o caso, coloque o dispositivo em quarentena. Caso contrário, vá para a próxima etapa.

  8. Este dispositivo móvel foi permitido por uma regra de acesso a dispositivo?   Se for esse o caso, permita acesso total. Caso contrário, vá para a próxima etapa.

  9. Aplique o estado de acesso padrão de acordo com as configurações organizacionais do Exchange ActiveSync.   Isso concede acesso ao, bloqueia o acesso do ou coloca em quarentena o dispositivo atual, dependendo das configurações organizacionais.

Voltar ao início

Entendendo os estados de acesso a dispositivo

Um estado de acesso a dispositivo é o status de um determinado dispositivo. O estado de acesso de um dispositivo pode ser uma das seguintes opções: permitido, bloqueado ou colocado em quarentena. Você pode controlar os estados de acesso a dispositivo de várias formas. Um dispositivo móvel se comportará diferente em cada estado de acesso.

O estado de acesso de permissão

No estado de acesso de permissão, um dispositivo móvel pode ser sincronizado por meio do Exchange ActiveSync e se conectar ao servidor Exchange para recuperar email e manipular informações de calendário, contatos, tarefas e notas. Isso continuará assim que o dispositivo estiver em conformidade com as políticas de caixa de correio do Exchange ActiveSync que você configurou.

Para mais informações, consulte Exibir ou Configurar as Propriedades da Diretiva de Caixa de Correio do Exchange ActiveSync.

O estado de acesso de bloqueio

Um dispositivo móvel bloqueado porque uma configuração de acesso a dispositivo definida não permitirá a conexão com o servidor Exchange e receberá erros de HTTP 403 Proibido. O usuário receberá um email do servidor Exchange explicando que o dispositivo móvel foi impedido de acessar sua caixa de correio. Você pode adicionar texto personalizado a essa mensagem para fornecer instruções a usuários cujos dispositivos estejam bloqueados.

Um dispositivo móvel pode também ser bloqueado porque falha ao aplicar as políticas de caixa de correio do Exchange ActiveSync. Se for esse o caso, o usuário não receberá um email explicando que o dispositivo móvel foi impedido de acessar sua caixa de correio. Entretanto, as informações do dispositivo móvel exibidas no Outlook Web App mostrarão que ele está bloqueado devido à falha do dispositivo em aplicar as políticas de caixa de correio do Exchange ActiveSync.

O estado de acesso de quarentena

Quando um dispositivo móvel é quarentenado, ele pode conectar ao servidor Exchange. No entanto, ele recebe apenas de acesso limitado aos dados. O usuário pode adicionar o conteúdo às suas próprias pastas Calendário, Contatos, Tarefas e Notas, mas o servidor não permitirá que o dispositivo recupere nenhum conteúdo da caixa de correio do usuário. O usuário receberá um único email que informa que o dispositivo móvel está em quarentena. Essa mensagem será recebida pelo dispositivo e estará também disponível na caixa de correio do usuário. Você pode adicionar texto personalizado a essa mensagem para fornecer instruções a usuários cujos dispositivos estejam em quarentena.

Ao definir as configurações organizacionais do Exchange ActiveSync, você pode especificar um ou mais administradores que receberão um email na primeira tentativa de conexão de um dispositivo em quarentena com o servidor Exchange. Os administradores podem decidir se liberam o dispositivo móvel da quarentena criando uma isenção pessoal, bloquear o dispositivo completamente ou criar uma regra que atuará no dispositivo móvel e em outros dispositivos móveis similares.

Observação O Período de cortesia de atualização padrão permite que dispositivos em quarentena continuem a sincronizar com caixas de correio que foram movidas de versões anteriores do Exchange para Exchange Server 2010. O período de cortesia de atualização padrão é de sete (7) dias, iniciando quando o estado de sincronização do dispositivo é atualizado. O estado de acesso do dispositivo é atualizado somente quando ele entrar em contato com o servidor Exchange. Assim, se o dispositivo não entrar em contato com o servidor, o seu estado de acesso não é atualizado.

Adicionalmente, se um estado de sincronização não for detectado no dispositivo antes da atualização quando ele estiver sendo executado na versão anterior do Exchange, ele não recebe o período de cortesia de atualização.

O estado de acesso de descoberta de dispositivo

Quando um dispositivo móvel se conecta pela primeira vez ao Exchange ActiveSync, ele entra momentaneamente no estado de acesso de descoberta de dispositivo. Nesse estado, o dispositivo é colocado em quarentena até ser reconhecido pelo servidor. Esse estado pode durar de 1 a 14 minutos. Nenhuma mensagem de email é enviada aos administradores ou ao usuário quando um dispositivo móvel está nesse estado.

O estado de acesso de atualização de caixa de correio

Quando um dispositivo móvel está no estado de acesso de atualização de caixa de correio, ele recebe acesso total à caixa de correio do usuário. Esse estado é o mesmo que o estado de permissão, exceto que não dura mais do que sete dias a partir do momento em que o dispositivo se conecta pela primeira vez a um servidor do Exchange 2010 após uma caixa de correio ser movida de uma versão anterior do Microsoft Exchange. Esse estado é necessário para dar aos dispositivos móveis tempo para atualizar corretamente suas informações e seus protocolo de comunicação para a versão mais recente do Exchange ActiveSync e serem reconhecidos pelo sistema de gerenciamento de acesso a dispositivo. Assim que um dispositivo móvel for reconhecido, o Exchange aplicará o acesso apropriado com base na configuração do Exchange 2010.

Voltar ao início

Controlando acesso a dispositivo

É possível controlar o acesso ao dispositivo configurando o seguinte:

  • Isenções pessoais de usuários.

  • Regras válidas para a organização inteira para famílias de dispositivos móveis ou modelos específicos.

  • Um estado de acesso padrão para todos os dispositivos que não pertençam a outra categoria.

Criando isenções pessoais

Você pode atribuir um determinado dispositivo móvel a um usuário em particular. Essa atribuição lhe permite conceder acesso explicitamente a um determinado dispositivo ou bloqueá-lo da mesma forma, independentemente das regras e outras configurações de acesso a dispositivo. Se um dispositivo móvel não for explicitamente liberado ou bloqueado para um usuário, o acesso do dispositivo será determinado de acordo com as etapas enumeradas já discutidas.

Dica

Ao contrário do Microsoft Exchange Server 2007, conceder acesso explicitamente a um dispositivo específico de um usuário não nega o acesso implicitamente a outros dispositivos. Se um usuário tentar se conectar a um dispositivo diferente, esse estado de acesso do dispositivo será determinado pelas configurações de acesso ao dispositivo da organização.

Isenções pessoais podem ser criadas com o uso do cmdlet Set-CASMailbox ou do Painel de Controle do Exchange (ECP).

Criação de regras de acesso de dispositivo

As regras de acesso de dispositivo permitem definir o tipo de acesso disponível a um determinado grupo de dispositivos com base em algumas propriedades do dispositivo, como modelo. Para criar essas regras, é preciso conhecer as informações de modelo e família do dispositivo. Essas informações podem ser obtidas após um dispositivo móvel ter sido sincronizado com êxito com o servidor Exchange.

Regras de acesso de dispositivo podem ser criadas com o uso do cmdlet New-ActiveSyncDeviceAccessRule ou do ECP, como indicado na figura a seguir.

Criar uma nova regra de acesso a dispositivo

Nova regra de acesso de dispositivo

Quando você define uma regra para um dispositivo, é importante compreender a diferença entre a "família" do dispositivo e o dispositivo específico. Essa informação é comunicada como parte do protocolo EAS, sendo informada pelo próprio dispositivo. Por exemplo, uma regra de dispositivo se aplica apenas a um tipo de dispositivo específico. A família de um dispositivo representa uma gama de dispositivos similares, tal como um Pocket PC. Essa distinção é importante, pois muitos fabricantes lançam o mesmo dispositivo usando nomes diferentes para diferentes operadoras. Quando cria uma regra, você seleciona a família do dispositivo ou o modelo específico, e não ambos.

Na página Nova regra de acesso de dispositivo, clique em Procurar para exibir uma lista de todos os dispositivos ou famílias de dispositivo que se conectaram recentemente ao seu servidor Exchange. Em seguida, selecione a ação a ser tomada. Você pode selecionar qualquer uma das seguintes ações:

Permitir acesso

Bloquear acesso

Quarentena

Configurando o estado de acesso organizacional padrão

O estado de acesso organizacional padrão do Exchange ActiveSync determina o nível de acesso concedido aos dispositivos móveis que não são gerenciados pelas regras de acesso de dispositivo ou pelas isenções pessoais. O estado de acesso organizacional padrão pode ser definido com o uso do cmdlet Set-ActiveSyncOrganizationSettings ou do ECP.

Notificações de quarentena permitem a você especificar quem recebe um alerta de email quando um dispositivo for colocado em quarentena. Você pode adicionar um ou mais administradores, usuários ou grupos de distribuição à lista. Qualquer pessoa na lista recebe uma notificação por email com informações sobre o dispositivo, a pessoa que tentou conectar o dispositivo e a hora em que essa tentativa foi feita.

Voltar ao início

Configurando estratégias de gerenciamento de acesso comuns

Antes de especificar o nível de acesso dos dispositivos móveis, é possível obter uma lista de todos os telefones celulares e dispositivos de sua organização. Você pode obter essa lista usando o cmdlet Get-CASMailbox com o cmdlet Get-ActiveSyncDeviceStatistics. Para mais informações, consulte Get-ActiveSyncDeviceStatistics.

Criando uma lista de permissões

Você pode usar uma lista de permissões para conceder acesso a uma lista de dispositivos conhecidos e restringir o acesso para o restante. Para fazer isso, é preciso criar regras de forma que dispositivos específicos desejados possam acessar as caixas de correio dos usuários. Assim que criar uma regra desse tipo, você deverá definir o estado de acesso padrão da organização para bloquear todos os outros dispositivos. Para adicionar um novo dispositivo à lista de permissões, crie uma nova regra.

Criando uma lista de bloqueios

Você pode usar uma lista de bloqueios para conceder acesso a todos os dispositivos por padrão e também para bloquear o acesso à organização de um conjunto de dispositivos. Crie uma lista de bloqueios criando regras de bloqueio para os dispositivos que não quer sincronizar com as caixas de correio da organização. As configurações organizacionais devem ser definidas para permitir tudo, por meio da concessão de acesso a todos os dispositivos não bloqueados explicitamente pelas regras existentes. Para adicionar um novo dispositivo ou conjunto de dispositivos à lista de bloqueios, crie uma nova regra.

Ambientes misturados de listas de permissões e bloqueios

Além de criar listas de permissões e bloqueios, você pode colocar em quarentena novos dispositivos móveis à medida que eles são introduzidos na organização enquanto você os avalia. Por exemplo, se você tiver uma lista de bloqueios para dispositivos móveis não permitidos em sua organização e uma lista de permissões para dispositivos móveis permitidos na organização, poderá definir a configuração de acesso organizacional padrão como em quarentena. Todos os outros dispositivos serão colocados automaticamente em quarentena, o que lhe permite descobrir novos dispositivos à medida que são introduzidos na organização e decidir se devem ser adicionados à lista de permissões ou à lista de bloqueios. A figura a seguir mostra um dispositivo móvel colocado em quarentena para um usuário específico.

O dispositivo móvel de um usuário é colocado em quarentena

Um dispositivo foi colocado em quarentena para este usuário

Auditoria ao vivo

Você pode usar a auditoria ao vivo para descobrir todos os dispositivos atualmente realizando sincronização com o servidor Exchange em sua organização. Configure a auditoria, definindo a configuração de acesso organizacional padrão como em quarentena.

Uma lista de dispositivos em quarentena será gerada em poucos minutos a partir do momento em que a configuração de acesso organizacional é alterada para quarentena. Você pode usar essa lista para criar suas listas de permissões e bloqueios. Todos os usuários serão impedidos de realizar sincronização com o servidor Exchange até as listas de permissões e bloqueios serem criadas.

Voltar ao início

 © 2010 Microsoft Corporation. Todos os direitos reservados.