Gestion de la sécurité Exchange ActiveSync

  • Article

 

S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Dernière rubrique modifiée : 2007-07-14

Exchange ActiveSync permet aux utilisateurs de synchroniser des périphériques mobiles avec Microsoft Exchange Server 2007. Cela permet aux utilisateurs d'avoir accès à un grand nombre de données Exchange, dont des messages électroniques, des données de contact et de calendrier, des tâches ainsi que des données de messagerie unifiée telles que des messages vocaux et de télécopie.

Notes

Pour afficher les messages de télécopie sur un périphérique mobile, il se peut que les utilisateurs aient à installer un logiciel tiers.

Plusieurs problèmes de sécurité doivent être pris en compte lors du déploiement d'Exchange ActiveSync. Cette rubrique fournit une vue d'ensemble des options de sécurité pour le déploiement d'Exchange ActiveSync.

Sécurité du serveur Exchange ActiveSync

Plusieurs tâches relatives à la sécurité peuvent être effectuées sur un serveur exécutant Exchange ActiveSync. L'une des tâches les plus importantes consiste à configurer une méthode d'authentification. Exchange ActiveSync s'exécute sur un serveur Exchange 2007 sur lequel le rôle serveur d'accès au client est installé. Ce rôle serveur est installé avec un certificat numérique auto-signé par défaut. Bien que le certificat auto-signé soit pris en charge pour Exchange ActiveSync, il ne constitue pas la méthode d’authentification la plus sécurisée. Pour une sécurité accrue, envisagez plutôt le déploiement d'un certificat approuvé émanant d'une autorité de certification commerciale tierce ou d'une autorité de certification d'infrastructure à clé publique Windows approuvée. Pour plus d'informations sur la configuration d'un certificat numérique approuvé, consultez la rubrique Procédure de configuration de SSL pour Exchange ActiveSync.

Sélection d'une méthode d'authentification pour Exchange ActiveSync

Outre le déploiement d'un certificat numérique approuvé, vous devez prendre en compte les différentes méthodes d'authentification disponibles pour Exchange ActiveSync. Par défaut, lorsque le rôle serveur d'accès au client est installé, Exchange ActiveSync est configuré pour utiliser l'authentification de base avec le protocole SSL. Pour optimiser la sécurité, envisagez d'utiliser l'authentification Digest ou l'authentification Windows intégrée.

Notes

Des utilisateurs disposant de boîtes aux lettres sur un serveur Exchange 2003, qui tentent d'utiliser Exchange ActiveSync via un serveur d'accès au client Exchange 2007 voient s'afficher un message d'erreur et ne peuvent pas opérer de synchronisation à moins que l'authentification Windows intégrée ne soit activée pour le répertoire virtuel Microsoft-Server-ActiveSync sur le serveur Exchange 2003. Cela permet au serveur d'accès au client Exchange 2007 et au serveur principal Exchange 2003 de communiquer à l'aide d'une authentification Kerberos.

Utilisation d'ISA Server avec Exchange ActiveSync

Microsoft Internet Security and Acceleration (ISA) Server 2006 et Exchange 2007 ont été conçus pour optimiser la sécurité pour l'accès au client sur Microsoft Exchange lorsque vous utilisez Exchange ActiveSync.

ISA Server 2006 permet de configurer les méthodes d'authentification d'Exchange ActiveSync lorsque vous exécutez l'Assistant Nouvelle règle de publication Exchange. Pour plus d'informations sur l'utilisation d'ISA Server 2006 avec Exchange ActiveSync, consultez la rubrique Configuration d'ISA Server 2006 pour l'accès au client Exchange.

Sécurité du périphérique

Outre l'optimisation de la sécurité du serveur Exchange ActiveSync, vous devez également prendre en compte l'optimisation de la sécurité des périphériques mobiles de vos utilisateurs. Plusieurs méthodes permettent d'optimiser la sécurité des périphériques mobiles.

Stratégies de boîte aux lettres Exchange ActiveSync

Exchange ActiveSync pour Exchange 2007 permet de créer des stratégies de boîte aux lettres Exchange ActiveSync pour appliquer un ensemble commun de paramètres de sécurité à un groupe d'utilisateurs. Ces paramètres concernent notamment les aspects suivants :

  • utilisation obligatoire d'un mot de passe ;

  • spécification de la longueur minimale du mot de passe ;

  • utilisation obligatoire de nombres ou de caractères spéciaux dans le mot de passe ;

  • spécification de la période d'inactivité d'un périphérique avant que l'utilisateur ne doive entrer de nouveau son mot de passe ;

  • spécification de l'effacement du périphérique si un mot de passe incorrect est entré un nombre de fois supérieur à un nombre indiqué.

Pour plus d'informations sur les stratégies de boîte aux lettres Exchange ActiveSync, consultez la rubrique Gestion d'Exchange ActiveSync avec des stratégies.

Réinitialisation à distance

Les périphériques mobiles peuvent stocker des données d'entreprise sensibles et fournir un accès à de nombreuses ressources d'entreprise. Si un périphérique est perdu ou volé, ces données peuvent être compromises. La réinitialisation à distance est une fonctionnalité qui active le serveur Exchange pour paramétrer un périphérique mobile afin de supprimer toutes les données à la prochaine connexion du périphérique au serveur Exchange. Une réinitialisation à distance supprime tous les paramètres personnels et informations synchronisés d'un périphérique mobile. Cela peut être utile lorsqu'un périphérique est perdu, volé ou compromis.

warningAttention :
Après une réinitialisation à distance, la récupération des données est très difficile. À l'issue du processus de suppression des données, le périphérique n'est toutefois pas réinitialisé dans son état d'origine. La récupération des données d'un périphérique est toujours possible en utilisant des outils sophistiqués.

Pour plus d'informations sur la réinitialisation à distance, consultez la rubrique Présentation de l'effacement de périphérique à distance.