Informazioni sulla gestione dei dispositivi mobili

Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Ultima modifica dell'argomento: 2014-03-05

MicrosoftExchange Server 2010 Service Pack 1 (SP1) e MicrosoftExchange ActiveSync offrono una vasta gamma di funzionalità sia agli utenti che agli amministratori. Come amministratore, è possibile creare elenchi Consenti, elenchi Blocca ed elenchi di quarantena che specificano quale dispositivo mobile è consentito per accedere alle cassette postali di Exchange. Un elenco di quarantena consente solo ad un dispositivo assegnato ad un utente di connettersi al server Exchange.

Sommario

Determinazione di uno stato di accesso al dispositivo mobile

Informazioni sugli stati di accesso del dispositivo

Controllo dell'accesso al dispositivo

Configurazione delle strategie comuni di gestione dell'accesso

Determinazione di uno stato di accesso al dispositivo mobile

I server Exchange 2010 SP1 seguono una semplice sequenza logica per determinare lo stato di accesso di ciascun dispositivo mobile. È possibile consentire o bloccare l'accesso a tutti i dispositivi oppure metterli in quarantena. È possibile definire lo stato di accesso di ciascun dispositivo tramite una regola dell'organizzazione o un'esenzione. Un'esenzione è una regola che viene applicata a un utente singolo o a un dispositivo singolo. Questo si verifica ogni volta che si riceve una richiesta Exchange ActiveSync da un dispositivo mobile che cerca di sincronizzare i dati da una cassetta di posta elettronica memorizzata su un server Exchange 2010. La sequenza di challenge include i seguenti passi:

1. Il dispositivo mobile è autenticato?   In caso negativo, richiedere al dispositivo mobile le credenziali corrette. Altrimenti, andare al passo successivo.

2. Exchange ActiveSync è abilitato per l'utente corretto?   In caso negativo, restituire l'errore "limitazione dell'accesso" al dispositivo. Altrimenti, andare al passo successivo.

3. L'applicazione dei criteri dei dispositivi mobili è rispettata dal dispositivo mobile corrente?   In caso negativo, bloccare l'accesso. Altrimenti, andare al passo successivo.

4. Questo dispositivo mobile è bloccato da un'esenzione personale per l'utente?   In caso positivo, bloccare l'accesso. Altrimenti, andare al passo successivo.

5. L'accesso a questo dispositivo mobile è consentito da un'esenzione personale per l'utente?   In caso positivo, concedere l'accesso completo. Altrimenti, andare al passo successivo.

6. Questo dispositivo mobile è bloccato da una regola di accesso al dispositivo?   In caso positivo, bloccare l'accesso. Altrimenti, andare al passo successivo.

7. Questo dispositivo mobile è stato messo in quarantena da una regola di accesso al dispositivo?   In caso positivo, mettere il dispositivo in quarantena. Altrimenti, andare al passo successivo.

8. È consentito l'accesso a questo dispositivo mobile tramite una regola di accesso al dispositivo?   In caso positivo, autorizzare l'accesso completo. Altrimenti, andare al passo successivo.

9. Applicare lo stato di accesso predefinito per le impostazioni di Exchange ActiveSync dell'organizzazione.   In tal modo viene concesso o bloccato l'accesso al dispositivo corrente oppure viene messo in quarantena, in base alle impostazioni dell'organizzazione.

Inizio pagina

Informazioni sugli stati di accesso del dispositivo

Uno stato di accesso al dispositivo è lo stato di un particolare dispositivo. Lo stato di accesso di un dispositivo può essere uno dei seguenti: consentito, bloccato o messo in quarantena. È possibile controllare gli stati di accesso in vari modi. Un dispositivo mobile si comporterà in modo diverso in ciascuno stato di accesso.

Lo stato di accesso consentito

Nello stato di accesso consentito, un dispositivo mobile si può sincronizzare tramite Exchange ActiveSync e connettersi al server Exchange per scaricare le e-mail e gestire le informazioni relative al calendario, i contatti, le attività e le note. Questa connessione sarà in vigore finché i criteri delle cassette postali di Exchange ActiveSync configurati saranno rispettati.

Per ulteriori informazioni, vedere Visualizzazione o configurazione delle proprietà del criterio cassetta postale di Exchange ActiveSync.

Lo stato di accesso bloccato

Ad un dispositivo mobile che è bloccato a causa di un'impostazione di accesso del dispositivo configurata dall'utente non sarà consentito di connettersi al server Exchange e riceverà gli errori di accesso negato HTTP 403. L'utente riceverà un messaggio di posta elettronica dal server Exchange che indicherà che al dispositivo mobile non è consentito l'accesso alla cassetta postale. È possibile aggiungere del testo personalizzato a questo messaggio per fornire istruzioni agli utenti i cui dispositivi sono bloccati.

Anche un dispositivo mobile può essere bloccato perché non riesce ad applicare i criteri delle cassette postali di Exchange ActiveSync. Se questo è il caso, l'utente non riceverà un messaggio di posta elettronica che informa che al dispositivo mobile è stato bloccato l'accesso dalla cassetta postale. Tuttavia, le informazioni relative al dispositivo mobile visualizzate in Outlook Web App mostreranno che è bloccato a causa della mancata applicazione da parte del dispositivo dei criteri delle cassette postali di Exchange ActiveSync.

Lo stato di accesso di quarantena

Quando un dispositivo mobile è messo in quarantena, può collegarsi al server Exchange. Ha comunque accesso limitato ai dati. L'utente può aggiungere dati alle cartelle Calendario, Contatti, Attività e Note, ma il server non consentirà al dispositivo di scaricare qualsiasi tipo di contenuto dalla cassetta postale. L'utente riceverà un unico messaggio di posta elettronica che comunicherà che il dispositivo mobile è in quarantena. Questo messaggio sarà ricevuto dal dispositivo e sarà disponibile anche nella cassetta postale dell'utente. È possibile aggiungere del testo personalizzato a questo messaggio per fornire istruzioni agli utenti i cui dispositivi sono in quarantena.

Quando si configurano le impostazioni organizzative di Exchange ActiveSync, è possibile specificare uno o più amministratori che riceveranno un messaggio di posta elettronica la prima volta che un dispositivo in quarantena tenta di connettersi al server Exchange. In seguito gli amministratori decideranno se liberare il dispositivo mobile dalla quarantena creando un'esenzione personale, bloccando il dispositivo completamente o creando una regola che avrà effetto sul dispositivo mobile e su altri dispositivi simili.

Nota Un Periodo di tolleranza da aggiornamento predefinito consente ai dispositivi in quarantena di continuare a sincronizzarsi con le cassette di posta elettronica che sono state spostate dalle versioni precedenti di Exchange a Exchange Server 2010. Il Periodo di tolleranza da aggiornamento predefinito è di sette (7) giorni, a partite dal momento in cui lo stato di sincronizzazione del dispositivo viene aggiornato. Lo stato di accesso del dispositivo viene aggiornato solo quando un dispositivo contatta il server Exchange. Quindi, se il dispositivo non contatta un server, il suo stato di accesso non viene aggiornato.

Inoltre, se lo stato di sincronizzazione non viene rilevato prima dell'aggiornamento quando è in esecuzione sulla versione precedente di Exchange, il dispositivo non riceve un periodo di tolleranza da aggiornamento.

Lo stato di accesso di individuazione del dispositivo

Quando un dispositivo mobile si connette per la prima volta a Exchange ActiveSync, si trova momentaneamente nello stato di accesso di individuazione del dispositivo. In questo stato, il dispositivo viene messo in quarantena finché non è riconosciuto dal server. Questo stato può durare da uno a 14 minuti. Non viene inviato nessun messaggio di posta elettronica agli amministratori, né all'utente quando un dispositivo mobile è in questo stato.

Lo stato di accesso di aggiornamento della cassetta postale

Quando un dispositivo mobile è nello stato di accesso di aggiornamento della cassetta postale gli viene concesso l'accesso completo alla cassetta postale dell'utente. Lo stato di accesso di aggiornamento della cassetta postale è lo stesso dello stato consentito, ad eccezione del fatto che non dura più di sette giorni dalla prima volta che il dispositivo si connette ad un server Exchange 2010 dopo il passaggio della cassetta postale da una versione precedente di Microsoft Exchange. Questo stato è necessario per fornire ai dispositivi mobili il tempo di aggiornare correttamente le informazioni e i protocolli di comunicazione fino all'ultima versione di Exchange ActiveSync e di essere riconosciuti dal sistema di gestione dell'accesso ai dispositivi. Non appena un dispositivo mobile viene riconosciuto, Exchange applica l'accesso corretto sulla base della configurazione di Exchange 2010.

Inizio pagina

Controllo dell'accesso al dispositivo

È possibile controllare l'accesso al dispositivo configurando quanto segue:

• Esenzioni personali per gli utenti.

• Regole valide per l'intera organizzazione per famiglie di dispositivi mobili o modelli specifici.

• Uno stato di accesso predefinito per tutti i dispositivi che non appartengono ad un'altra categoria.

Creazione delle esenzioni personali

È possibile assegnare un dispositivo mobile particolare ad un utente particolare. Questa assegnazione consente di concedere esplicitamente l'accesso ad un dispositivo particolare o di bloccare esplicitamente un dispositivo particolare indipendentemente dalle regole e da altre impostazioni di accesso del dispositivo. Se un dispositivo mobile non viene concesso esplicitamente ad un particolare utente o bloccato esplicitamente per quell'utente, l'accesso del dispositivo sarà determinato in base aIla procedura già illustrata.

È possibile creare delle esenzioni personali utilizzando il cmdlet Set-CASMailbox o il pannello di controllo di Exchange (ECP).

Creazione di regole di accesso al dispositivo

Le regole di accesso al dispositivo consentono di impostare il tipo di accesso disponibile per un particolare gruppo di dispositivi sulla base di alcune proprietà del dispositivo, ad esempio il modello. Per creare queste regole, è necessario conoscere il modello del dispositivo e le informazioni sulla famiglia. È possibile ottenere queste informazioni dopo che un dispositivo mobile si sarà sincronizzato con il server Exchange.

Le regole di accesso al dispositivo possono essere create utilizzando il cmdlet New-ActiveSyncDeviceAccessRule o tramite l'ECP, come mostrato nella figura seguente.

Creazione di una nuova regola di accesso al dispositivo

Quando si configura una regola per un dispositivo, è importante capire la differenza tra la “famiglia” e il dispositivo specifico. Queste informazioni vengono comunicate nell'ambito del protocollo EAS e sono riportate dal dispositivo stesso. Ad esempio, una regola di dispositivo si applica solo a un tipo di dispositivo specifico. Una famiglia di dispositivi rappresenta una gamma di dispositivi simili, come i Pocket PC. Questa distinzione è importante perché molti produttori rilasciano lo stesso dispositivo utilizzando nomi diversi per gestori telefonici diversi. Quando si crea una regola, si seleziona la famiglia di dispositivi o il modello specifico, ma non entrambi.

Nella pagina Nuova regola di accesso al dispositivo, fare clic su Sfoglia per visualizzare l'elenco di tutti i dispositivi o famiglie di dispositivi che sono stati connessi di recente al server Exchange. Quindi, selezionare l'azione da eseguire. È possibile selezionare una delle seguenti azioni:

Consenti accesso

Blocca accesso

Quarantena

Impostazione dello stato di accesso predefinito dell'organizzazione

Lo stato di accesso predefinito dell'organizzazione per Exchange ActiveSync determina il livello di accesso che viene concesso ai dispositivi mobili che non sono gestiti dalle regole di accesso al dispositivo dell'organizzazione o dalle esenzioni personali. Lo stato d'accesso predefinito dell'organizzazione può essere impostato utilizzando il cmdlet Set-ActiveSyncOrganizationSettings.

Le notifiche di quarantena consentono di specificare chi deve ricevere un avviso di posta elettronica quando un dispositivo viene messo in quarantena. È possibile aggiungere uno o più amministratori, utenti o gruppi di distribuzione all'elenco. Chiunque si trovi su questo elenco riceve una notifica di posta elettronica che fornisce informazioni sul dispositivo, sulla persona che ha cercato di connettere il dispositivo e l'ora in cui è stato fatto il tentativo.

Inizio pagina

Configurazione delle strategie comuni di gestione dell'accesso

Prima di specificare il livello di accesso per i dispositivi mobili, potrebbe essere utile ottenere un elenco di tutti i dispositivi e telefoni portatili all'interno della propria organizzazione. È possibile ottenere quest'elenco utilizzando il cmdlet Get-CASMailbox con il cmdlet Get-ActiveSyncDeviceStatistics. Per ulteriori informazioni, vedere Get-ActiveSyncDeviceStatistics.

Creazione di un elenco Consenti

È possibile utilizzare un elenco Consenti per concedere l'accesso ad un elenco di dispositivi conosciuti e limitare l'accesso per qualsiasi altra cosa. Per effettuare tali operazioni, è necessario creare delle regole in modo che l'accesso ai dispositivi specifici desiderati venga concesso alle cassette postali degli utenti. Non appena verrà creata tale regola, sarà necessario impostare lo stato di accesso predefinito dell'organizzazione per bloccare tutti gli altri dispositivi. Per aggiungere un nuovo dispositivo all'elenco Consenti, creare una nuova regola.

Creazione di un elenco Blocca

È possibile utilizzare un elenco Blocca per concedere l'accesso a tutti i dispositivi per impostazione predefinita, ma per bloccare l'accesso ad un gruppo di dispositivi ai quali non si desidera che acceda la propria organizzazione. È possibile creare un elenco Blocca creando le regole di blocco per i dispositivi che non si desidera sincronizzare con le cassette postali dell'organizzazione. È necessario configurare le impostazioni dell'organizzazione per consentire tutto concedendo l'accesso a tutti i dispositivi che non sono bloccati esplicitamente dalle regole esistenti. Per aggiungere un nuovo dispositivo o gruppo di dispositivi all'elenco Consenti, creare una nuova regola.

Ambienti misti di elenchi Consenti e Blocca

Oltre a creare elenchi Consenti e Blocca, è possibile mettere in quarantena nuovi dispositivi mobili non appena vengono introdotti nell'organizzazione e sono ancora nella fase di valutazione. Ad esempio, se si ha un elenco Blocca per i dispositivi mobili che non sono consentiti nella propria organizzazione e un elenco Consenti per i dispositivi mobili che sono consentiti nell'ambito dell'organizzazione, è possibile configurare l'impostazione dell'accesso predefinito dell'organizzazione con lo stato di quarantena. Tutti gli altri dispositivi verranno posti automaticamente in quarantena, consentendo in tal modo di individuare i nuovi dispositivi non appena verranno introdotti nell'organizzazione e decidere se aggiungerli all'elenco Consenti o all'elenco Blocca. La figura seguente mostra un dispositivo mobile che è stato messo in quarantena per un utente specifico.

Un dispositivo mobile di un utente è stato messo in quarantena

Verifica in tempo reale

È possibile utilizzare la verifica in tempo reale per scoprire tutti i dispositivi che al momento sono sincronizzati con il server Exchange all'interno dell'organizzazione. È possibile configurare la verifica in tempo reale impostando l'accesso dell'organizzazione su quarantena.

Un elenco di dispositivi in quarantena verrà creato entro pochi minuti dal momento in cui l'impostazione predefinita di accesso all'organizzazione sarà stata impostata su quarantena. È possibile utilizzare tale elenco per creare gli elenchi Consenti e Blocca. A tutti gli utenti non verrà consentito di sincronizzarsi con il server Exchange finché non saranno stati creati gli elenchi Consenti e Blocca.

Inizio pagina

 ©2010 Microsoft Corporation. Tutti i diritti riservati.