Présentation de la gestion d’un périphérique mobile
S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3
Dernière rubrique modifiée : 2014-03-05
MicrosoftExchange Server 2010 Service Pack 1 (SP1) et MicrosoftExchange ActiveSync offrent de nombreuses fonctionnalités différentes aux utilisateurs et aux administrateurs. En tant qu’administrateur, vous pouvez créer des listes d’autorisation, des listes d’interdiction et des listes de quarantaine qui répertorient les périphériques mobiles autorisés, ou pas, à accéder à vos boîtes aux lettres Exchange. Une liste de quarantaine vous permet d’autoriser uniquement la connexion du périphérique affecté à l’utilisateur au serveur Exchange.
.gif "Remarque") Remarque : |
|---|
| Dans cette rubrique, le terme « périphérique mobile » désignera les périphériques mobiles abonnés/équipés ou non à un service de téléphonie mobile. Tous les téléphones et périphériques mobiles sont supposés disposer d’une connectivité Internet, que ce soit par le biais d’un forfait de données cellulaires ou via un accès Internet sans fil. |
Contenu de cette rubrique
Déterminer l’état d’accès d’un périphérique mobile
Présentation des états d’accès des périphériques
Contrôle des accès aux périphériques
Configurer les stratégies communes de gestion des accès
Déterminer l’état d’accès d’un périphérique mobile
Les serveurs Exchange 2010 SP1 suivent une séquence simple et logique pour déterminer l’état d’accès de chaque périphérique mobile. Chaque périphérique peut être autorisé, bloqué ou mis en quarantaine. L’état d’accès de chaque périphérique peut être défini via une règle d’organisation ou une exemption. Une exemption est une règle qui s’applique à un utilisateur ou un périphérique unique. Cela se produit chaque fois qu’une demande Exchange ActiveSync est reçue sur un appareil mobile qui tente de synchroniser les données d’une boîte aux lettres stockée sur un serveur Exchange 2010. Au préalable, une réponse doit être apportée à chacune des questions suivantes :
Le périphérique mobile est-il authentifié ? Si la réponse est négative, invitez le périphérique mobile à fournir les informations d’identification correctes. Dans le cas contraire, passez à l’étape suivante.
Exchange ActiveSync est-il activé pour l’utilisateur concerné ? Si la réponse est négative, renvoyez une erreur de type « accès restreint » au périphérique. Dans le cas contraire, passez à l’étape suivante.
Le périphérique mobile concerné respecte-t-il la stratégie de sécurité définie pour ce type d’appareil ? Si la réponse est négative, bloquez l’accès. Dans le cas contraire, passez à l’étape suivante.
Ce périphérique mobile est-il bloqué par une exemption personnelle pour l’utilisateur ? Si tel est le cas, bloquez l’accès. Dans le cas contraire, passez à l’étape suivante.
Ce périphérique mobile est-il autorisé par une exemption personnelle pour l’utilisateur ? Si tel est le cas, octroyez une autorisation d’accès complet. Dans le cas contraire, passez à l’étape suivante.
Ce périphérique mobile est-il bloqué par une règle d’accès aux périphériques ? Si tel est le cas, bloquez l’accès. Dans le cas contraire, passez à l’étape suivante.
Ce périphérique mobile est-il mis en quarantaine par une règle d’accès aux périphériques ? Si tel est le cas, mettez le périphérique en quarantaine. Dans le cas contraire, passez à l’étape suivante.
Ce périphérique mobile est-il autorisé par une règle d’accès aux périphériques ? Si tel est le cas, octroyez une autorisation d’accès complet. Dans le cas contraire, passez à l’étape suivante.
Appliquez les états d’accès par défaut en fonction des paramètres d’organisation d’Exchange ActiveSync. Ainsi, le périphérique concerné bénéficie de l’autorisation d’accès, est interdit d’accès ou mis en quarantaine selon les paramètres d’organisation.
Retour au début
Présentation des états d’accès des périphériques
L’état d’accès d’un périphérique définit le statut d’un périphérique donné. Cet état peut avoir l’une des valeurs suivantes : autorisé, bloqué ou mis en quarantaine. Vous pouvez contrôler les états d’accès des périphériques de différentes manières. Le comportement d’un périphérique mobile varie selon l’état d’accès qui lui est affecté.
L’état d’accès Autorisé
Un périphérique mobile autorisé peut se synchroniser via Exchange ActiveSync et se connecter au serveur Exchange pour récupérer des messages électroniques et manipuler les informations de calendrier, les contacts, les tâches et les notes. Cette condition reste valable aussi longtemps que le périphérique se conforme aux stratégies de boîte aux lettres Exchange ActiveSync que vous avez configurées.
Pour plus d’informations, voir Afficher ou configurer les propriétés de stratégie de boîte aux lettres ActiveSync Exchange.
L’état d’accès Bloqué
Un périphérique mobile est bloqué si un paramètre d’accès de périphérique que vous avez configuré empêche la connexion au serveur Exchange et qu’il reçoit des erreurs HTTP 403 Interdit. L’utilisateur reçoit un message électronique du serveur Exchange lui indiquant que son périphérique mobile ne peut plus accéder à sa boîte aux lettres. Vous pouvez personnaliser le texte de ce message en vue d’ajouter des instructions aux utilisateurs dont les périphériques sont bloqués.
Un périphérique mobile risque également d’être bloqué s’il n’applique pas les stratégies de boîtes aux lettres d’Exchange ActiveSync. Dans ce cas, l’utilisateur ne reçoit pas de message l’avertissant que son appareil ne peut plus accéder à sa boîte aux lettres. Toutefois, les données du périphérique mobile affichées dans Outlook Web App révèlent que l’appareil est bloqué en raison de la non-application des stratégies de boîtes aux lettres d’Exchange ActiveSync.
L’état d’accès Mis en quarantaine
Lorsqu’un appareil mobile est mis en quarantaine, il est autorisé à se connecter au serveur Exchange. Cependant, il ne bénéficie que d’un accès limité aux données. L’utilisateur peut ajouter des éléments à ses dossiers Calendrier, Contacts, Tâches et Notes, mais le serveur l’empêche de récupérer le contenu de sa boîte aux lettres. Il reçoit un message lui signalant que le périphérique mobile est mis en quarantaine. Ce message est adressé au périphérique et arrive également dans la boîte aux lettres de l’utilisateur. Vous pouvez personnaliser le texte de ce message en vue d’ajouter des instructions aux utilisateurs dont les périphériques sont mis en quarantaine.
Lorsque vous configurez les paramètres d’organisation d’Exchange ActiveSync, vous pouvez spécifier le ou les administrateurs devant recevoir un message d’avertissement la première fois qu’un périphérique mis en quarantaine tente de se connecter au serveur Exchange. Les administrateurs peuvent décider ensuite d’annuler la quarantaine du périphérique concerné en créant une exemption personnelle, en bloquant complètement le périphérique, ou en créant une règle qui agira sur le périphérique et d’autres appareils mobiles de même type.
Remarque Une période de grâce de mise à niveau par défaut permet aux périphériques mis en quarantaine de poursuivre la synchronisation avec des boîtes aux lettres qui ont été déplacées de versions précédentes d’Exchange vers Exchange Server 2010. La période de grâce de mise à niveau par défaut est de sept (7) jours, à compter de la date à laquelle l’état de synchronisation du périphérique est mis à niveau. L’état d’accès du périphérique n’est mis à niveau que lorsqu’un périphérique contacte le serveur Exchange. Par conséquent, si le périphérique ne contacte pas un serveur, son état d’accès n’est pas mis à niveau.
Aussi, si un état de synchronisation n’est pas détecté pour le périphérique avant la mise à niveau lorsque ce dernier fonctionne sur la version précédente d’Exchange, il ne bénéficie d’aucune période de grâce de mise à niveau.
L’état d’accès Détection de périphérique
Lorsqu’un appareil mobile se connecte initialement à Exchange ActiveSync, il se trouve temporairement à l’état d’accès découverte de périphérique. À ce stade, le périphérique reste en quarantaine tant qu’il n’est pas reconnu par le serveur. Cet état peut durer entre 1 et 14 minutes. Aucun message électronique n’est envoyé aux administrateurs ou à l’utilisateur lorsqu’un appareil mobile est dans cet état.
L’état d’accès Mise à niveau d’une boîte aux lettres
Lorsqu’un périphérique mobile est dans cet état, il bénéficie de l’accès sans restriction à la boîte aux lettres de l’utilisateur. Cet état est identique à l’état d’accès Autorisé, à la différence près que sa durée est limitée à sept jours à partir de la première connexion du périphérique à un serveur Exchange 2010 après une migration de la boîte aux lettres depuis une version précédente de Microsoft Exchange. Cet état est nécessaire pour donner aux périphériques mobiles le temps de mettre correctement à niveau leurs informations et les protocoles de communication sur la dernière version d’Exchange ActiveSync et d’être reconnu par le système de gestion des accès aux périphériques. Aussitôt qu’un périphérique mobile est reconnu, Exchange fournit le type d’accès approprié en fonction de la configuration d’Exchange 2010.
Retour au début
Contrôle des accès aux périphériques
La configuration des éléments suivants vous permet de contrôler les accès aux périphériques :
Exemptions personnelles pour les utilisateurs.
Règles à l’échelle de l’organisation pour des gammes de périphériques mobiles ou des modèles spécifiques.
Un état d’accès par défaut pour tous les périphériques qui n’appartiennent à aucune catégorie.
Création d’exemptions personnelles
Vous pouvez affecter un périphérique mobile donné à un utilisateur unique. Cette affectation vous permet d’accorder un accès au périphérique en question ou de bloquer ce périphérique de manière explicite, quelles que soient les règles et les paramètres d’accès applicables aux autres périphériques. Si l’accès ou l’interdiction d’un périphérique mobile n’est pas configuré de manière explicite pour un utilisateur donné, l’accès du périphérique sera déterminé en fonction de la procédure décrite précédemment.
| Remarque : |
|---|
| Contrairement à Microsoft Exchange Server 2007, l’octroi explicite d’un accès à un périphérique spécifique pour un utilisateur donné n’implique pas un refus d’accès implicite pour les autres périphériques. Si un utilisateur tente de connecter un autre périphérique, l’état d’accès de ce dernier sera déterminé par les paramètres d’accès de l’organisation. |
Vous pouvez créer des exemptions personnelles via la cmdlet Set-CASMailbox ou le panneau de configuration Exchange (ECP).
Création de règles d’accès aux appareils
Les règles d’accès aux appareils vous permettent de paramétrer le type d’accès disponible pour un groupe de périphériques spécifique, en fonction de certaines propriétés telles que le modèle du périphérique. Pour créer ces règles, vous devez connaître le modèle et certaines autres informations sur la gamme du produit. Vous pouvez vous procurer ces informations une fois que le périphérique mobile a réussi sa synchronisation avec le serveur Exchange.
Vous pouvez créer des règles d’accès aux appareils via la cmdlet New-ActiveSyncDeviceAccessRule ou le Panneau de configuration d’Exchange, comme le montre l’illustration suivante.
Créer une règle d’accès pour les périphériques
.gif "Règle d’accès aux nouveaux périphériques")
Lorsque vous configurez une règle pour un périphérique, il est essentiel de bien comprendre la différence entre la « gamme » de périphériques et le périphérique spécifique. Cette information est communiquée dans le cadre du protocole EAS et signalée par le périphérique même. Par exemple, une règle de périphérique s’applique uniquement à un type de périphérique spécifique. Une gamme de périphériques représente une série de périphériques similaires, par exemple un PC de poche. Cette distinction est importante car de nombreux fabricants lancent le même périphérique sous différents noms via des opérateurs différents. Lorsque vous créez une règle, vous sélectionnez la gamme de périphériques ou le modèle spécifique, mais pas les deux.
Sur la page Nouvelle règle d’accès du périphérique, cliquez sur Parcourir pour afficher une liste de tous les périphériques ou des gammes de périphériques ayant récemment été connectés à votre serveur Exchange. Sélectionnez ensuite l’action à effectuer. Vous pouvez sélectionner l’une des actions suivantes :
Autoriser l’accès
Bloquer l’accès
Mettre en quarantaine
Paramétrer l’état d’accès de l’organisation par défaut
L’état d’accès à l’organisation par défaut pour Exchange ActiveSync détermine le niveau d’accès octroyé aux périphériques mobiles qui ne sont pas gérés par le biais de règles d’accès aux appareils ou d’exemptions personnelles. Vous pouvez paramétrer cet état via la cmdlet Set-ActiveSyncOrganizationSettings.
Les notifications de mise en quarantaine vous permettent de spécifier les utilisateurs qui reçoivent une alerte électronique lorsqu’un périphérique est mis en quarantaine. Vous pouvez ajouter un ou plusieurs administrateurs, utilisateurs ou groupes de distribution à la liste. Toute personne figurant sur cette liste reçoit une notification électronique contenant des informations sur le périphérique, la personne qui a tenté de connecter le périphérique et l’heure à laquelle la tentative a été effectuée.
Retour au début
Configurer les stratégies communes de gestion des accès
Avant de spécifier le niveau d’accès nécessaire pour les périphériques mobiles, vous souhaiterez peut-être obtenir une liste de tous les téléphones et périphériques mobiles disponibles au sein de votre organisation. Pour afficher cette liste, exécutez la cmdlet Get-CASMailbox avec la cmdlet Get-ActiveSyncDeviceStatistics. Pour plus d’informations, voir Get-ActiveSyncDeviceStatistics.
Création d’une liste d’autorisation
Une liste d’autorisation permet d’accorder l’accès à une liste de périphériques connus et de restreindre l’accès aux autres appareils. Pour ce faire, il est nécessaire de créer des règles permettant aux périphériques souhaités d’accéder aux boîtes aux lettres des utilisateurs. Dès lors que vous créez ce type de règle, l’état d’accès à l’organisation par défaut doit être paramétré de façon à bloquer tous les autres appareils. Pour ajouter un nouveau périphérique à la liste d’autorisation, créez une nouvelle règle.
Création d’une liste d’interdiction
Une liste d’interdiction permet d’octroyer l’accès à tous les périphériques par défaut, mais aussi de bloquer l’accès à un ensemble de périphériques qui ne doivent pas accéder à votre organisation. Pour ce faire, créez des règles d’interdiction pour les périphériques que vous ne voulez pas voir se synchroniser avec les boîtes aux lettres de l’organisation. Les paramètres d’organisation doivent être définis de façon à octroyer l’accès à tous les périphériques qui ne sont pas bloqués explicitement par les règles existantes. Pour ajouter un nouveau périphérique ou un ensemble de périphériques à la liste d’interdiction, créez une nouvelle règle.
Environnements mixtes incluant des listes d’autorisation et d’interdiction
Outre la création de listes d’autorisation et d’interdiction, vous pouvez mettre en quarantaine les nouveaux périphériques mobiles acquis par l’organisation le temps de les évaluer. Par exemple, si vous disposez d’une liste d’interdiction des périphériques mobiles non autorisés au sein de votre organisation, et d’une liste d’autorisation pour ceux qui sont autorisés, vous pouvez spécifier la quarantaine comme paramètre d’accès à l’organisation par défaut. Tous les autres périphériques seront mis automatiquement en quarantaine, ce qui vous permet de détecter les nouveaux périphériques lorsqu’ils sont introduits dans l’organisation et de décider de les ajouter à la liste d’autorisation ou à la liste d’interdiction. L’illustration suivante montre un périphérique mobile mis en quarantaine pour un utilisateur donné.
Le périphérique mobile d’un utilisateur est mis en quarantaine
.gif "Un périphérique a été mis en quarantaine pour cet utilisateur")
Audit en direct
Le service d’audit en direct permet de détecter tous les périphériques en cours de synchronisation avec le serveur Exchange de votre organisation. Pour configurer l’audit en direct, paramétrez la mise en quarantaine comme paramètre d’accès à l’organisation par défaut.
Une fois ce paramétrage défini, il suffit de quelques minutes pour générer la liste des périphériques mis en quarantaine. Cette liste vous permettra de créer vos listes d’autorisation et d’interdiction. Tant que ces listes ne sont pas créées, aucun utilisateur ne peut se synchroniser avec le serveur Exchange.
Retour au début
© 2010 Microsoft Corporation. Tous droits réservés.