逐步指南:使用 Microsoft Exchange Server 2003 SP2 部署 Windows Mobile 裝置

Messaging and Security Feature Pack 概觀

發佈日期: 2006 年 12 月 22 日

Messaging and Security Feature Pack for Windows Mobile 5.0 可讓 Microsoft Exchange Server 2003 SP2 管理 Windows Mobile 5.0 裝置。這可獲得一套行動訊息解決方案,利用 Exchange ActiveSync 的管理優點及 Windows Mobile 5.0 裝置上的新安全性原則功能,幫助您更妥善管理和控制裝置。

將 Windows Mobile 5.0 裝置與 Messaging and Security Feature Pack 搭配使用將賦予您下列能力:

  • 透過 Direct Push 技術,您可提供使用者從 Exchange 信箱即時傳遞資料至他們的裝置的功能。這包括電子郵件、行事曆、連絡人和工作資訊。

  • 您可在 Exchange 伺服器上定義安全性原則,這些原則會在直接與 Exchange 伺服器同步處理的 Windows Mobile 5.0 裝置上強制施行。

  • 您可以使用 Exchange Server Management Pack 監視和測試 Exchange ActiveSync 的效能和可靠性。

  • 您可以使用 Exchange ActiveSync Mobile Administration Web Tool,管理從遠端清除遺失、遭竊或遭到入侵的行動裝置 (這些行動裝置是直接與 Exchange 伺服器同步處理)。

功能

這些 MSFP 功能改善了行動工作者的基本通訊能力。

Direct Push 技術

Exchange Server 2003 SP2 內含的 Direct Push 技術,提供一種新方法從 Exchange 信箱即時傳遞資料至使用者的行動裝置。Direct Push 可用於信箱資料,包括收件匣、行事曆、連絡人和工作。Direct Push 技術利用的是裝置與 Exchange 伺服器之間所建立的 HTTP 或 HTTPS 連線,因此不再需要使用過去解決方案所需的 Short Message Service (SMS)。行動裝置上不需要特殊的設定,並且因為此服務是全球適用,除了 Exchange Server 2003 SP2 之外,不需要安裝其他軟體或伺服器,因此您可以保留標準的資料方案。

關於 Direct Push 技術的深入討論,請參閱本文中的 <了解 Direct Push 技術>。

Exchange ActiveSync

Exchange ActiveSync 是一種 Exchange 同步處理通訊協定,專門為了讓您的 Exchange 信箱與用戶端行動裝置同步化而設計。Exchange ActiveSync 已經過最佳化,能處理高延遲/低頻寬網路,也針對記憶體、存放區和處理能力有限的低容量用戶端進行最佳化。Exchange ActiveSync 通訊協定實際上是以 HTTP、SSL 和 XML 為基礎,並且屬於 Exchange Server 2003 的一部分,此外,Exchange ActiveSync 還提供下列優點:

  • 為使用者提供一致且熟悉的 Outlook 體驗

  • 不需要安裝額外的軟體,也不需要設定裝置

  • 經由標準資料存取電話服務達成的全域功能

全域通訊清單存取

支援透過無線的方式查詢存放在 Exchange 伺服器上的全域通訊清單 (GAL) 資訊。有了 Messaging and Security Service Pack,行動裝置使用者便能接收 GAL 中每個人的連絡內容。您可從遠端利用這些內容,根據名稱、公司和/或其他方面迅速搜尋某人。使用者不需要將連絡人資料存放在裝置上,即可取得連絡他們的連絡人所需的所有資訊。

安全性功能

安全性功能有助於保護行動裝置上個人和公司檔案的安全。

從遠端強制裝置安全性原則

Exchange Server 2003 SP2 會幫助您設定和管理一項中央安全性原則,要求所有行動裝置使用者以密碼保護他們的裝置,以存取 Exchange 伺服器。您可以指定密碼的長度,要求使用字元或符號,以及指定裝置必須閒置多長的時間後才能提示使用者再度輸入密碼。

另外一個設定- 嘗試失敗後清除裝置的功能,可讓您在使用者輸入錯誤密碼達指定的次數後刪除裝置上所有的資料和憑證。使用者會看到一連串的警示對話方塊,警告可能進行清除作業,並提供清除前剩餘的嘗試次數。外部記憶體並不會被清除,例如 Secure Digital (SD) 卡。

您也可以指定非相容的裝置是否可以同步處理。裝置若不支援您指定的安全性原則,即視為非相容的裝置。在大多數情況下,這些指的是未設定 Messaging and Security Feature Pack 的裝置

裝置安全性原則是從 Exchange 系統管理員的 [行動電話服務內容] 介面加以管理。

遠端裝置清除

遠端清除功能可幫助您管控從遠端清除遺失、遭竊或受侵之行動裝置的程序。若裝置是使用 Direct Push 技術連線,就會馬上起始清除程序,並且應該會在幾秒內就開始進行。如果您採用了強制鎖定安全性原則,表示裝置受到密碼和本機清除的保護,因此裝置可以接收呼叫,但是無法執行接收遠端清除通知以外的任何作業,也無法報告它已被清除。

全新的 Exchange ActiveSync Mobile Administration Web Tool 可讓您執行下列動作:

  • 檢視任何使用者所使用的所有裝置清單。

  • 選取或取消選取要從遠端清除的裝置。

  • 檢視各個裝置擱置的遠端清除要求狀態。

  • 檢視指出除了遠端清除命令所屬的裝置之外,還有委派了哪些系統管理員發出遠端清除命令的能力的交易記錄檔。

進階安全性功能

MSFP 中的進階安全性功能,可用來滿足更嚴苛的安全性需求。

憑證型驗證

若 SSL 基本驗證無法滿足您的安全性需求,而您現有的公開金鑰基礎結構 (Public Key Infrastructure,PKI) 使用的是 Microsoft Certificate Server,您可能希望使用 Exchange ActiveSync 中的憑證型驗證功能。如果將此功能與本文所述的其他功能 (例如本機裝置清除和強制使用開機密碼) 相結合,您就可以將行動裝置本身轉換成智慧卡。用於用戶端驗證的私密金鑰和憑證都是存放在裝置上的記憶體中。然而,要是有未授權的使用者試圖以暴力攻擊取得裝置的開機密碼,所有使用者資料都會被清除,包括憑證和私密金鑰。

如需詳細資訊,請參閱本文中的 <附錄 A:部署 Exchange ActiveSync 憑證型驗證概觀>。

Microsoft 建立了一項部署 Exchange ActiveSync 憑證型驗證的工具。請從 Microsoft 下載中心網站 (英文) 下載該工具和說明文件。

支援 S/MIME 加密訊息

Messaging and Security Feature Pack for Windows Mobile 5.0 提供對數位簽署、加密訊息的原生支援。當部署了以安全多用途網際網路郵件延伸 (S/MIME) 加密的方式時,使用者便可從他們的行動裝置檢視和傳送經過 S/MIME 加密的郵件。

S/MIME 控制項:

  • 是一種安全性增強電子郵件訊息的標準,採用公開金鑰基礎結構 (PKI) 來共用金鑰

  • 使用數位簽章提供寄件者驗證

  • 確保只有預期的收件者能夠閱讀郵件

  • 加密裝置上處於休息狀態的電子郵件資料,以保護隱私權

  • 可與任何標準相容的電子郵件用戶端適當搭配使用

  • 需要使用智慧卡讀取裝置

如需如何使用 Microsoft® Exchange Server 2003 SP2 實作 S/MIME 控制項的指南,請參閱《Exchange Server 訊息安全性指南》(英文)。

管理 Messaging and Security Feature Pack

諸如密碼原則和遠端清除功能等保障措施,提供您有助於保護貴公司資料的各種安全性功能。隨著 Exchange Server 2003 SP2 內建的管理功能與裝有 Messaging and Security Feature Pack 之 Windows Mobile 5.0 裝置內含的安全性與組態通訊協定相加結合,您將能更有效率地掌控行動裝置。您會看到行動裝置的安全性功能管理工作大半是發生在 Exchange Server 或 Microsoft Exchange ActiveSync Mobile Administration Web Tool 上。

下表簡述了 Exchange Server 或行動裝置上所需的功能和設定。

功能

Exchange Server 設定

行動裝置設定

Exchange Direct Push 技術

預設會透過 Exchange Server 2003 SP2 啟用

  • 以防火牆或 ISA Server 保護設定

  • 延長所有防火牆和網路應用裝置上的工作階段逾時

不需要初步的裝置設定。裝置會透過 ActiveSync 進行同步處理時,自動從 SMS 切換成使用 Direct Push 技術。使用者可在登入 Exchange 伺服器後逐步完成 ActiveSync 精靈。

Exchange ActiveSync

預設會透過 Exchange Server 2003 SP2 啟用

使用 Exchange 系統管理員的 [行動電話服務內容] 設定參數

不需要初步的裝置設定,使用者可在登入 Exchange 伺服器後逐步完成 ActiveSync 精靈。

無線存取全域通訊清單 (GAL)

預設 Exchange 伺服器設定

需要在 Exchange 伺服器上發行 Outlook Web Access

不需要初步的裝置設定

具備特殊權限的裝置可自動存取 GAL

從遠端強制的 IT 原則

啟用 Exchange ActiveSync 中的 Direct Push 技術

使用 Exchange 系統管理員的 [行動電話服務內容] 套用原則。

不需要初步的裝置設定,使用者可在登入 Exchange 伺服器和接受 IT 原則後逐步完成 ActiveSync 精靈。

遠端清除

啟用 Exchange ActiveSync 中的 Direct Push 技術

使用 Mobile Administration Web Tool 起始、追蹤和取消遠端清除

不需要初步的裝置設定,使用者可在登入 Exchange 伺服器和接受 IT 原則後逐步完成 ActiveSync 精靈。

憑證型驗證

  • 在 Exchange 伺服器上安裝憑證

  • 將 Desktop ActiveSync 4.1 或更新版本部署至桌上型電腦

  • 使用 [憑證註冊] 工具經由 ActiveSync 設定裝置

必須使用 Desktop ActiveSync 進行初次的憑證註冊和更新。

S/MIME 行動裝置支援

以 PKI 安全性部署 Exchange Server 2003 郵件系統

在裝置上安裝憑證註冊通訊協定和金鑰

顯示: