• Artikel

Kommunikation

Neue mobile Messagingfunktionen mit Exchange 2007

Yee-Chen Tjie

 

Kurz zusammengefasst:

  • Konfiguration mobiler Geräte
  • Richtliniendurchsetzung
  • Erweitertes Messaging
  • Mobiler Dateizugriff

Noch vor wenigen Jahren war es unüblich und kompliziert, von einem anderen Standort als Ihrem Desktopcomputer auf geschäftliche E-Mails zuzugreifen. Heute setzen wir nicht nur den Remotezugriff auf E-Mails als gegeben voraus, es ist sogar

an der Tagesordnung, jemanden im Cafe um die Ecke mit einem mobilen Messaginggerät anzutreffen. Mobiles Messaging hat unsere Arbeitsweise verändert. Es ermöglicht mobilen Mitarbeitern, ihre Arbeit außerhalb des Büros effizienter zu erledigen.

Gleichzeitig wuchs aufgrund der neuesten Errungenschaften im Bereich mobiler Messagingtechnologie die Sorge um die Sicherheit mobiler Geräte. Unternehmen halten Ausschau nach besseren Möglichkeiten, um vertrauliche Geschäftsdaten zu schützen, die jetzt auf mobilen Geräten zuhause sind.

Die Einführung von Exchange Server 2003 und einer Technologie namens Exchange ActiveSync® stellte die Funktionen für ein Windows Mobile®-Gerät (Pocket PC Phone oder Smartphone) bereit, um unter Verwendung von HTTPS eine sichere Verbindung zu Exchange Server 2003 herzustellen. Es mangelte jedoch an der Verwaltung mobiler Geräte. Mit der Veröffentlichung von Exchange Server 2003 Service Pack 2 (SP2) und MSFP (Messaging and Security Feature Pack) auf Windows Mobile 5.0, ist jetzt das Erstellen einer globalen Richtlinie für alle Windows Mobile-Geräte möglich, die eine Verbindung mit Exchange herstellen. Diese Richtlinien ermöglichen obligatorische PIN-Nummern mit einer vorgegebenen Länge, durch Inaktivität ausgelöste Timeouts, die eine erneute PIN-Eingabe veranlassen und die Gerätebereinigung nach einer vorgegebenen Anzahl fehlgeschlagener PIN-Eingaben.

Exchange Server 2003 SP2 bietet dazu mit dem Exchange Mobile-Verwaltungstool eine Möglichkeit für Remotebereinigungen, wie in Abbildung 1 dargestellt. Dieses Tool befähigt Administratoren, einen Bereinigungsbefehl für ein verloren gegangenes Windows Mobile-Gerät auszugeben. Bei der nächsten Verbindungsaufnahme führt das Gerät daraufhin einen Kaltstart durch, bei dem der gesamte Gerätespeicherinhalt gelöscht wird.

Abbildung 1 Exchange Mobile-Verwaltungstool für das Bereinigen von Geräten

Abbildung 1** Exchange Mobile-Verwaltungstool für das Bereinigen von Geräten **(Klicken Sie zum Vergrößern auf das Bild)

Dies war zwar ein guter Start für die mobile Geräteverwaltung und Sicherheit, aber es blieb eine Anzahl von Sicherheitsanforderungen offen. Exchange Server 2007 trägt dazu bei, diese Lücken zu füllen.

Gerätekonfiguration und Durchsetzen von Richtlinien

Exchange ActiveSync ist standardmäßig für alle Postfachbenutzer in Exchange Server 2007 aktiviert. Wenn Sie dieses Feature für nur einen Teil der Benutzer aktivieren möchten, deaktivieren Sie es zunächst für alle Benutzer. Die Exchange-Verwaltungskonsole lässt es zwar nicht zu, dass Sie eine Gruppe von Benutzern für ActiveSync deaktivieren, doch dies kann anhand eines Exchange-Verwaltungsshellbefehls leicht durchgeführt werden, wie z. B. mit dem folgenden Befehl:

Get-mailbox –server <servername> | Set-CASMailbox –ActiveSyncEnabled $false

Dieser Befehl ruft alle Postfächer auf einem Exchange 2007-Server ab und leitet die Informationen zu einem Set-CASMailbox-Befehl weiter, der ActiveSync für alle vorhandenen Postfächer deaktiviert.

Der nächste Schritt betrifft das Erstellen der Exchange ActiveSync-Postfachrichtlinien für Ihre Organisation. Die Anzahl der Richtlinien hängt dabei von den unterschiedlichen Sicherheitsprofilen Ihrer Benutzer ab. Zum Beispiel benötigt ein Finanzanalytiker, der vertrauliche Finanzinformationen per E-Mail empfängt, möglicherweise eine strengere Gerätesicherheitsrichtlinie als ein allgemeiner Benutzer.

Wählen Sie in der Navigationsstruktur der Exchange-Verwaltungskonsole unter dem Container für die Unternehmenskonfiguration den Clientzugriff aus, um die ActiveSync-Richtlinie zu konfigurieren. Wählen Sie im Aktionsbereich die Option „Neue Exchange ActiveSync-Postfachrichtlinie“ aus.

Im Dialogfeld „Neue Exchange ActiveSync-Postfachrichtlinie“ können flexible Richtlinien für Einstellungen erstellt werden, die steuern, ob Anlagen auf ein Gerät heruntergeladen werden oder ob nicht-bereitstellbare Geräte zugelassen werden (siehe Abbildung 2). Bereitstellbare Geräte sind Windows Mobile-Geräte, die die Fähigkeit haben, vorgegebene Richtlinien anzuwenden und durchzusetzen. Nicht-bereitstellbare Geräte sind Geräte, die die Richtlinie nur teilweise (oder gar nicht) anwenden können.

Abbildung 2 Exchange Server 2007 Activesync-Postfachrichtlinien

Abbildung 2** Exchange Server 2007 Activesync-Postfachrichtlinien **(Klicken Sie zum Vergrößern auf das Bild)

Andere Features umfassen die Möglichkeit, die Einstellungen für Verschlüsselung und Kennwortwiederherstellung zu konfigurieren. Wenn die Option „Require encryption on the device“ (Verschlüsselung auf dem Gerät erforderlich) aktiviert ist, werden alle Dateien auf den Speicherkarten des Geräts verschlüsselt. Die Option „Kennwortwiederherstellung aktivieren“ ermöglicht einem Benutzer, die Geräte-PIN-Nummer über Outlook® Web Access 2007 abzurufen.

Sie sollten die Kennwortrichtlinien für Geräte vor der Anwendung äußerst sorgfältig erwägen. Lange komplizierte PIN-Nummern bieten mehr Sicherheit, können jedoch die Verwendung der Geräte erschweren. Ein gutes Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit ist das Wichtigste beim Bestimmen sowohl der Kennwortstärke als auch der Dauer der Zeitbeschränkung, bevor eine PIN erforderlich wird. Das Aktivieren der Optionen „Kennwortablauf“ und „Kennwortverlauf erzwingen“ kann zu erhöhter Sicherheit beitragen, doch es kann frustrierend für den Benutzer sein, wenn das Verwalten von Kennwörtern und PIN-Nummern zu komplex wird.

Exchange Server 2007 ActiveSync-Postfachrichtlinien unterstützen eine verbesserte Gerätesicherheit, doch einige der Features erfordern Windows Mobile 6.0, ein Produkt, das erst seit kurzem auf Geräten bereitgestellt wird. Die in Abbildung 2 dargestellten Features – „Verschlüsselung auf dem Gerät anfordern“, „Kennwortverlauf erzwingen“ und „Kennwortablauf (Tage)“ – erfordern alle die neue Version. Sie können sich aber trotzdem mithilfe der neuen flexiblen Exchange Server 2007-Richtlinien auf diejenigen Benutzer konzentrieren, die Geräte mit Windows Mobile 5.0 verwenden.

Wenn alle Richtlinien definiert sind, können sie auf die Benutzer angewendet werden. Gehen Sie in der Exchange-Verwaltungskonsole zu „Empfängerkonfiguration“, und wählen Sie die Option „Postfach“ aus. Wählen Sie den Postfachbenutzer aus, den Sie für eine ActiveSync-Richtlinie aktivieren wollen, und wählen Sie im Aktionsbereich die Option „Eigenschaften“ aus. Wechseln Sie zur Registerkarte „Postfachfeatures“, und doppelklicken Sie auf „Exchange ActiveSync“. Klicken Sie im Feld „Exchange ActiveSync-Eigenschaften“ auf die Schaltfläche „Durchsuchen“, und wählen Sie die ActiveSync-Richtlinie, die auf den Benutzer angewendet werden soll (siehe Abbildung 3). Sie können die gleichen Schritte wiederholen, um verschiedene Richtlinien auf verschiedene Benutzer anzuwenden, oder Sie können den folgenden Exchange-Verwaltungsshellbefehl verwenden, um eine Richtlinie auf eine Gruppe von Benutzern anzuwenden:

Abbildung 3 Anwenden der ActiveSync-Postfachrichtlinie

Abbildung 3** Anwenden der ActiveSync-Postfachrichtlinie **(Klicken Sie zum Vergrößern auf das Bild)

Set-CASMailbox –Activesyncmailpolicy

Der letzte Schritt besteht darin, die Endbenutzer und den Helpdesk zu schulen. Teilen Sie den Endbenutzern mit, dass eine PIN-Nummer mit vorgegebener Länge auf ihren Geräten erforderlich wird, wenn sie eine Verbindung mit Exchange Server 2007 herstellen (siehe Abbildung 4). Informieren Sie die Benutzer über die Sicherheitsrichtlinien, die auf sie angewendet werden, damit sie diese Änderungen nicht als ein Hindernis bei ihrer täglichen Arbeit ansehen.

Abbildung 4 Activesync-Postfachrichtlinie erfordert eine PIN-Nummer

Abbildung 4** Activesync-Postfachrichtlinie erfordert eine PIN-Nummer **

Vielleicht werden Sie die Benutzer auch auf eine neue Funktion in Exchange Server 2007 hinweisen wollen: die benutzerverantwortliche Remotebereinigung mithilfe von Outlook Web Access 2007. Wenn ein Benutzer sein Gerät verliert, kann er eine Gerätebereinigung über den Link „Optionen“ in Outlook Web Access initiieren, ohne sich an den Helpdesk wenden zu müssen (siehe Abbildung 5). Dies kann sehr nützlich sein, wenn ein Gerät außerhalb der normalen Arbeitszeiten verloren geht.

Abbildung 5 Verwalten eines Geräts über Outlook Web Access

Abbildung 5** Verwalten eines Geräts über Outlook Web Access **(Klicken Sie zum Vergrößern auf das Bild)

Abschließend müssen Sie Ihrem Helpdesk nur noch die Remotebereinigung von Geräten erläutern. Dies erfolgt mühelos durch Öffnen der Exchange-Verwaltungskonsole, das Navigieren zu „Empfängerkonfiguration“ und Auswählen der Option „Postfach“. Hier wählen Sie die Benutzer aus, für die Sie die Bereinigung initiieren wollen, und wählen im Aktionsbereich die Option „Mobiles Gerät verwalten“ aus. Die Benutzeroberfläche „Mobiles Gerät verwalten“ wird in Abbildung 6 dargestellt. Ein Benutzer könnte natürlich mehr als nur ein Windows Mobile-Gerät mit einer Verbindung zu Exchange 2007 haben. Gehen Sie bei der Geräteauswahl für die Bereinigung daher sorgfältig vor.

Abbildung 6 Bereinigen eines Benutzergeräts von einem Remotestandort aus

Abbildung 6** Bereinigen eines Benutzergeräts von einem Remotestandort aus **(Klicken Sie zum Vergrößern auf das Bild)

Verarbeiten und Suchen von E-Mails

Mit Windows Mobile 6.0 können Sie E-Mails im HTML-Format lesen, Abwesenheitsbenachrichtigungen einrichten (siehe Abbildung 7) und E-Mail-Nachrichten kennzeichnen. Wenn E-Mail-Nachrichten auf einem Windows Mobile 6.0-Gerät gekennzeichnet sind, werden sie so behandelt wie gekennzeichnete E-Mails in Outlook. Statt E-Mail-Nachrichten als ungelesen zu markieren, damit sie später weiterverfolgt werden können, können sie jetzt sofort gekennzeichnet werden. Mithilfe der erweiterten Funktionen von Outlook werden die E-Mails dann später bearbeitet, wenn Sie wieder an Ihrem Schreibtisch sind. Das Lesen einer E-Mail in HTML bietet nicht nur dem Benutzer des mobilen Geräts einen Vorteil, sondern auch anderen Empfängern des E-Mail-Threads. Wenn Sie auf eine E-Mail unter Verwendung von Windows Mobile 6.0 antworten, wird die E-Mail nicht in Standardtext umgewandelt, d. h. die Erfahrung der anderen E-Mail-Empfänger, die ebenfalls Outlook verwenden, wird verbessert.

Abbildung 7 Abwesenheitsnachrichten

Abbildung 7** Abwesenheitsnachrichten  **

An den Kalenderfeatures von Windows Mobile 6.0 wurden deutliche Verbesserungen vorgenommen. Sie können jetzt innerhalb eines Kalendereintrags weiterleiten, antworten oder allen antworten und den Annahmestatus aller Gäste anzeigen.

Windows Mobile 6.0 in Kombination mit Exchange Server 2007 stellt zwei neue Funktionen bereit, was die Suche von Dokumenten und den mobilen Zugriff auf Dokumente angeht. Eine der Herausforderungen beim Verwenden mobiler Geräte ist der begrenzte Speicherplatz. Deshalb bewahren viele Benutzer E-Mails nur ein bis drei Tage lang auf ihren Geräten auf. Häufig werden E-Mail-Nachrichten in nur einem Ordner des Posteingangs geöffnet. Solch ein minimalistischer Ansatz kann problematisch sein, wenn Sie auf ältere Nachrichten zugreifen wollen oder auf Nachrichten, die in verschiedenen Ordnern im Postfach gespeichert sind.

Mit Windows Mobile 6.0 kann ein Benutzer eine drahtlose Suche des gesamten Postfachs über das Suche-und-Index-Modul von Exchange Server 2007 ausführen. Eine E-Mail-Suche kann auf der Basis von Schlüsselwörtern über mehrere Ordner initiiert werden (siehe Abbildung 8). Die E-Mail-Nachrichten können dann aus den Ergebnissen der Suche in Echtzeit abgerufen werden.

Abbildung 8 Drahtlose E-Mail-Suche

Abbildung 8** Drahtlose E-Mail-Suche **

Mobiler Dokumentzugriff

Aufgrund der wachsenden Anzahl von Softwareprogrammen für die gemeinsame Nutzung von Dokumenten, z. B. SharePoint®, und der Beschränkung der maximal für den Transport zulässigen E-Mail-Größen versenden Endbenutzer immer weniger Anlagen per E-Mail, sondern eher Links zu Dateifreigaben und SharePoint-Sites. Falls Sie nicht gerade über eine Verbindung zu Ihrem Unternehmensnetzwerk in einem virtuellen privaten Netzwerk (VPN) verfügen, kann der Zugriff auf diese Dokumente über ein mobiles Gerät unmöglich erscheinen. Die Aufgaben mobiler Mitarbeiter könnten dadurch erschwert werden.

Windows Mobile 6.0 und Exchange Server 2007 ermöglichen Benutzern, über UNC-Dateifreigaben und SharePoint-Sites auf ihre Daten zuzugreifen, die im schreibgeschützten Modus zugänglich gemacht werden können. Exchange Server 2007 kann Proxyanforderungen für diese Dokumente im Auftrag des Windows Mobile-Geräts senden (siehe Abbildung 9). Auch ohne eine VPN-Verbindung zum Unternehmensnetzwerk ist der Benutzerzugriff nicht auf Dokumente beschränkt, die E-Mail-Nachrichten angefügt sind. Stattdessen können die Benutzer auf ein beliebiges Dokument zugreifen, das sich in Dateifreigaben oder SharePoint-Sites befindet.

Abbildung 9 Dokumentzugriff über UNC-Links

Abbildung 9** Dokumentzugriff über UNC-Links **

Öffnen Sie zum Verwalten des mobilen Dokumentzugriffs die Exchange-Verwaltungskonsole, und wählen Sie in der Navigationsstruktur die Serverkonfiguration aus. Wechseln Sie dann zur ActiveSync-Registerkarte, wählen Sie das Microsoft Server-Activesync-Objekt aus, und klicken Sie im Aktionsbereich auf „Eigenschaften“. In der Registerkarte „Remotedateiserver“ können Sie die Zulassungs- und Sperrliste für Hostnamen von SharePoint-Sites und Dateiservern konfigurieren.

Wechseln Sie anschließend zurück zur Exchange Activesync-Postfachrichtlinie, und stellen Sie sicher, dass die Kontrollkästchen für die Windows®-Dateifreigaben und Windows SharePoint Services aktiviert sind (Abbildung 10).

Abbildung 10 Aktivieren des Dokumentzugriffs

Abbildung 10** Aktivieren des Dokumentzugriffs **(Klicken Sie zum Vergrößern auf das Bild)

Jetzt sind Sie auf dem besten Weg, einen verbesserten Dokumentzugriff für all Ihre Windows Mobile-Gerätebenutzer bereitzustellen.

Zusammenfassung

Angesichts des heutigen Phänomens der Fernmitarbeiter bieten Windows Mobile-Geräte leistungsfähige Möglichkeiten, um überall und zu jeder Zeit auf Informationen zuzugreifen. Die Sicherheit und Verwaltung mobiler Geräte sind zu wichtigen Tagesordnungspunkten der IT-Abteilungen geworden. Exchange Server 2007 erleichtert zusammen mit Windows Mobile 6.0 das Erstellen und zielgerichtete Anwenden von Richtlinien für Windows Mobile-Geräte, die zur Problemverringerung beitragen und Fernmitarbeitern die Grundlage für viele neue Funktionen bereitstellen.

Ressourcen für Windows Mobile

Es gibt eine Reihe von Ressourcen, die weitere Informationen zur Exchange Server 2007-Bereitstellung und zu Windows Mobile Messaging bieten.

Yee-Chen Tjie ist Technologiespezialist für Microsoft in der Region Neuengland. Er konzentriert sich auf Mobilität und vereinheitlichte Kommunikationslösungen.

© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.