管理 Exchange ActiveSync 安全性

發行項
10/25/2013

適用版本： Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上次修改主題的時間： 2007-07-14

Exchange ActiveSync 可讓使用者將行動裝置與 Microsoft Exchange Server 2007 同步處理。它能讓訂戶存取各種 Exchange 資料，包括電子郵件、行事曆和連絡人資料、工作與整合通訊資料 (如傳真訊息和語音信箱訊息)。

附註：
使用者必須安裝其他協力廠商軟體，才能在行動裝置上檢視傳真訊息。

部署 Exchange ActiveSync 時必須考慮數個安全性考量。本主題提供 Exchange ActiveSync 部署的安全性選項概觀。

Exchange ActiveSync 伺服器安全性

有幾項您可在執行 Exchange ActiveSync 的伺服器上執行的安全性相關工作。其中一個最重要的工作是設定驗證方法。Exchange ActiveSync 會在已安裝 Client Access server role 的 Exchange 2007 伺服器上執行。此伺服器角色會以預設的自行簽署數位憑證安裝。雖然 Exchange ActiveSync 支援自行簽署憑證，但此憑證卻不是最安全的驗證方法。若要增加安全性，請考慮從協力廠商商業憑證授權單位 (CA) 或信任的 Windows 公開金鑰基礎結構 (PKI) 憑證授權單位部署信任的憑證。如需如何設定信任之數位憑證的相關資訊，請參閱如何為 Exchange ActiveSync 設定 SSL。

選取 Exchange ActiveSync 的驗證方法

除了部署信任的數位憑證之外，您應該考量各種適用於 Exchange ActiveSync 的驗證方法。安裝 Client Access server role 後，依預設會將 Exchange ActiveSync 設定為搭配使用基本驗證與安全通訊端層 (SSL)。若要提供較高的安全性，請考慮將驗證方法變為摘要式驗證或 Windows 整合式驗證。

附註：
在 Exchange 2003 伺服器上擁有信箱的使用者嘗試透過 Exchange 2007 Client Access Server 使用 Exchange ActiveSync 時會收到錯誤，而且除非在 Exchange 2003 伺服器的 Microsoft-Server-ActiveSync 虛擬目錄上啟用整合式 Windows 驗證，否則無法進行同步處理。這樣可讓 Exchange 2007 Client Access Server 和 Exchange 2003 後端伺服器使用 Kerberos 驗證進行通訊。

在 Exchange 2003 伺服器上擁有信箱的使用者嘗試透過 Exchange 2007 Client Access Server 使用 Exchange ActiveSync 時會收到錯誤，而且除非在 Exchange 2003 伺服器的 Microsoft-Server-ActiveSync 虛擬目錄上啟用整合式 Windows 驗證，否則無法進行同步處理。這樣可讓 Exchange 2007 Client Access Server 和 Exchange 2003 後端伺服器使用 Kerberos 驗證進行通訊。

搭配使用 ISA Server 與 Exchange ActiveSync

Microsoft Internet Security and Acceleration (ISA) Server 2006 與 Exchange 2007 的設計目的是在您使用 Exchange ActiveSync 時，針對存取 Microsoft Exchange 的用戶端提供較高的安全性。

ISA Server 2006 可讓您在執行 [新增 Exchange 發行規則精靈] 時設定 Exchange ActiveSync 的驗證方法。如需如何使用 ISA Server 2006 搭配 Exchange ActiveSync 的相關資訊，請參閱針對 Exchange Client Access 設定 ISA Server 2006。

裝置安全性

除了增強 Exchange ActiveSync 伺服器的安全性之外，您也應該考慮加強使用者的行動裝置安全性。有數種可增強行動裝置安全性的方法。

Exchange ActiveSync 信箱原則

您可以使用 Exchange 2007 的 Exchange ActiveSync 來建立 Exchange ActiveSync 信箱原則，將一組通用的安全性設定套用到使用者集合。其中一些設定包括：

需要密碼。
指定最小的密碼長度。
需要在密碼中使用數字或特殊字元。
指定在要求使用者重新輸入密碼之前，裝置可閒置的時間長度。
指定在輸入特定次數的錯誤密碼之後，即清除裝置資料。

如需 Exchange ActiveSync 信箱原則的相關資訊，請參閱使用原則管理 Exchange ActiveSync。

遠端裝置資料抹除

行動裝置可以儲存公司機密資料並存取許多公司資源。若裝置遺失或失竊，便會洩漏資料。遠端裝置資料清除功能可讓 Exchange 伺服器將行動裝置設定為，當裝置再次連接至 Exchange 伺服器時刪除所有資料。遠端裝置資料清除功能可從行動裝置有效移除所有同步資訊和個人設定。當裝置遺失、失竊或洩漏資料時，這項功能就很有用。

請注意：
執行遠端裝置資料清除功能後，就很難復原資料。不過，沒有任何資料移除程序可徹底移除裝置資料，讓裝置還原到全新狀態。仍可使用複雜的工具來復原裝置資料。

如需遠端裝置清除功能的相關資訊，請參閱了解遠端裝置資料清除。

若要確保您目前閱讀的是最新資訊，並尋找其他的 Exchange Server 2007 說明文件，請造訪 Exchange Server 技術資源中心.