Khám phá các tính năng nâng cao của Exchange ActiveSync trong Exchange Server 2007 SP1


Exchange Server 2007 Service Pack 1 (SP1) có chứa các tính năng nâng cao xung quanh Exchange ActiveSync (EAS). Bạn sẽ thấy được xuyên suốt bài này, một chính sách Exchange ActiveSync mặc định mới được giới thiệu trong nó. Một số thiết lập chính sách Exchange ActiveSync mới cũng được giới thiệu. Thêm vào đó, Exchange Front End trong nhóm Exchange Product đã bảo đảm rằng thông báo xác nhận đã xóa email từ xa được gửi đến đúng hộp thư của người dùng tương ứng khi quá trình xóa được thực hiện thành công, điều này là để người dùng biết rằng thiết bị di động của anh ta đã được khởi động lại về chế độ mặc định của nhà máy. Cuối cùng, giao thức Direct Push cũng được nâng cao. Thực chất của vấn đề là dữ liệu đã gửi giữa các thiết bị di động và máy chủ Client Access đã giảm đáng kể so với phiên bản Exchange Server 2007 RTM.

Lưu ý:
Hầu hết các thiết bị di động Windows mới và các tính năng nâng cao trong Exchange Server 2007 SP1 đều yêu cầu giao thức Exchange ActiveSync phiên bản 12.1.Giao thức EAS đã có trong Windows Mobile 6.0 RTM, khi đó nó là phiên bản 12.0, nghĩa là thiết bị di động của bạn cần phải nâng cấp trước khi khai thác được thế mạnh từ các tính năng mới của Exchange Server 2007 SP1 và các nâng cao đã thảo luận trong bài này.

Lưu ý:
Bài này được dựa trên Exchange Server 2007 SP1 Beta 2 (phiên bản thử nghiệm 2). Điều đó có nghĩa là các tính năng của EAS được giới thiệu trong bài này vẫn có thể thay đổi trước khi có Exchange Server 2007 SP1 RTM.

Chính sách mặc định mới của Exchange ActiveSync

Với Exchange Server 2007 SP1, một chính sách Exchange ActiveSync mới sẽ được mặc định bổ sung tự động trong suốt quá trình cài đặt Client Access Server role như những gì thể hiện trong hình 1 bên dưới. Hầu hết các bạn đều biết có thể tạo thủ công và gán một chính sách EAS cho các hộp thư của người dùng trong phiên bản Exchange 2007 RTM.

Khám phá các tính năng nâng cao của Exchange ActiveSync trong Exchange Server 2007 SP1
Hình 1: Chính sách Exchange ActiveSync mặc định

Lưu ý rằng thậm chí khi bạn nâng cấp một Exchange 2007 server đang tồn tại, với Client Access Server role đã cài đặt đối với Exchange Server 2007 SP1, thì chính sách mặc định mới này sẽ được tạo và gán một cách tự động tới tất cả các hộp thư của người dùng Exchange 2007 vẫn chưa được gán chính sách EAS (Hình 2).

Khám phá các tính năng nâng cao của Exchange ActiveSync trong Exchange Server 2007 SP1
Hình 2: Chính sách mặc định được gán cho hộp thư của người dùng

Chính sách EAS mặc định mới được cấu hình khá lỏng lẻo, điều đó có nghĩa là nó không cung cấp sự bảo mật như được yêu cầu trong hầu hết các tổ chức doanh nghiệp CNTT (thậm chí nó còn cho phép một số thiết bị khác đồng bộ với hộp thư), nhưng nó vẫn tốt hơn so với không có chính sách mặc định. Chính sách mặc định được cấu hình với các thiết lập được thể hiện trong bảng 1. Như những gì bạn có thể quan sát thấy, có rất nhiều thiết lập chính sách trong bảng là chính sách mới được giới thiệu trong Exchange Server 2007 SP1, chúng ta sẽ xem xét một cách chi tiết hơn đối với chúng trong phần tiếp theo.

Các thiết lập chính sách

Giá trị được cấu hình

AllowNonProvisionableDevices

True

AlphanumericDevicePasswordRequired

False

AttachmentsEnabled

True

DeviceEncryptionEnabled

False

RequireStorageCardEncryption

False

DevicePasswordEnabled

True

PasswordRecoveryEnabled

True

DevicePolicyRefreshInterval

Unlimited

AllowSimpleDevicePassword

True

MaxAttachmentSize

Unlimited

WSSAccessEnabled

True

UNCAccessEnabled

True

MinDevicePasswordLength

4

MaxInactivityTimeDeviceLock

00:30:00

MaxDevicePasswordFailedAttempts

8

DevicePasswordExpiration

Unlimited

DevicePasswordHistory

0

IsDefaultPolicy

True

AllowStorageCard

True

AllowCamera

True

RequireDeviceEncryption

False

AllowUnsignedApplications

True

AllowUnsignedInstallationPackages

True

AllowWiFi

True

AllowTextMessaging

True

AllowPOPIMAPEmail

True

AllowIrDA

True

RequireManualSyncWhenRoaming

False

AllowDesktopSync

True

AllowHTMLEmail

True

RequireSignedSMIMEMessages

False

RequireEncryptedSMIMEMessages

False

AllowSMIMESoftCerts

True

AllowBrowser

True

AllowConsumerEmail

True

AllowRemoteDesktop

True

AllowInternetSharing

True

AllowBluetooth

Allow

MaxCalendarAgeFilter

All

MaxEmailAgeFilter

All

RequireSignedSMIMEAlgorithm

SHA1

RequireEncryptionSMIMEAlgorithm

TripleDES

AllowSMIMEEncryptionAlgorithmNegotiation

RequireEncryptionSMIMEAlgorithm

MinDevicePasswordComplexCharacters

3

MaxEmailBodyTruncationSize

Unlimited

MaxEmailHTMLBodyTruncationSize

Unlimited

UnapprovedInROMApplicationList

{}

ApprovedApplicationList

{}

ExternallyDeviceManaged

False

MailboxPolicyFlags

0

Bảng 1: Các thiết lập cấu hình chính sách của Exchange ActiveSync

Bạn có thể xem hoặc thay đổi thiết lập chính sách của EAS đã được cấu hình trên Client Access Server của bạn bằng cách mở Exchange Management Shell và đánh Get-ActiveSyncMailboxPolicy –Identity “Default” hoặc mở trang thuộc tính chính sách Default EAS trong Exchange Management Console.

Khi có một hoặc nhiều chính sách EAS để bổ sung vào chính sách mặc định, thì bạn có một tùy chọn cho việc thiết lập một trong các chính sách EAS là mặc định, vì vậy chính sách đó sẽ được gán cho tất cả các hộp thư của người dùng Exchange 2007 (như trong hình 3) thay vì chỉ có chính sách mặc định.

Khám phá các tính năng nâng cao của Exchange ActiveSync trong Exchange Server 2007 SP1
Hình 3: Chỉ định chính sách mặc định

Các thiết lập nâng cao

Như đã đề cập đến, Exchange Server 2007 SP1 có một số chính sách EAS mới, các chính sách này sẽ cho phép ngăn chặn và bảo mật các thiết bị di động hơn nhiều so với trong phiên bản Exchange Server 2007 RTM. Chúng ta sẽ xem xét qua trang thuộc tính của các chính sách và xem mỗi chính sách mới ảnh hưởng như thế nào đến các thiết bị di động trong tổ chức Exchange Server 2007 của bạn. Hãy bắt đầu bằng việc mở Exchange Management Console, sau đó kích nút Client Access nằm bên dưới phần trung tâm Organization Configuration (xem hình 1). Khi các chính sách EAS nằm trong một tổ chức rộng thì đây chính là nơi tạo và thay đổi chúng. Lúc này bạn có thể kích chuột phải vào Default EAS policy, sau đó chọn Properties. Trên trang thuộc tính gồm có 5 tab trong Exchange Server 2007 SP1 chứ không phải 2 như trong phiên bản Exchange Server 2007 RTM.

Chúng ta hãy xem xét một chút trong tab General như thể hiện trong hình 4 bên dưới. Không có quá nhiều thay đổi ở đây và chúng ta có thể thấy được chính sách nào được cấu hình mặc định và thiết lập Maximum attachment size (KB) được thay thế bởi thiết lập Refresh interval (hours) (thiết lập Maximum attachment size (KB) có thể tìm thấy dưới tab Sync Settings). Với thiết lập Refresh interval (hours) chúng ta có thể chỉ định tần xuất các thiết bị di động cần nâng cấp chính sách Exchange ActiveSync từ máy chủ.

Khám phá các tính năng nâng cao của Exchange ActiveSync trong Exchange Server 2007 SP1
Hình 4: Tab General trên trang thuộc tính mặc định EAS

Chúng ta hãy chuyển sang tab Password (như trong hình 5). Có một thiết lập mới được bổ sung thêm vào tab này và đó là thiết lập Minimum number of complex characters, thiết lập này cho phép chúng ta chỉ định số ký tự nhỏ nhất cho mật khẩu của thiết bị cần phải có.

Khám phá các tính năng nâng cao của Exchange ActiveSync trong Exchange Server 2007 SP1
Hình 5: Tab Password trên trang thuộc tính mặc định EAS

Bây giờ chúng ta chuyển sang tab tiếp theo đó là tab Sync Settings (xem hình 6). Ở đây, chúng ta có thể cấu hình bao nhiêu mục email và lịch biểu quá khứ cần được đồng bộ với một thiết bị. Chúng ta cũng cấu hình kích thước thông báo giới hạn, xem nó có nên được phép đồng bộ trong khi roaming hay không, chỉ định xem email định dạng html có thể đọc trên thiết bị và cuối cùng xem nó có nên cho phép download các file đính kèm đối với thiết bị và nếu cho phép thì chỉ định kích thước lớn nhất của file đính kèm là bao nhiêu.

Khám phá các tính năng nâng cao của Exchange ActiveSync trong Exchange Server 2007 SP1
Hình 6: Tab Sync Settings trên trang thuộc tính mặc định EAS

Tab Sync Settings là mới và chúng tôi đã liệt kê từng thiết lập chính sách trên tab này trong bảng 2 dưới đây để các bạn có thể tiện theo dõi.

Thiết lập chính sách EAS Mô tả
Include Past Calendar items Với thiết lập này, bạn có thể chỉ định các mục lịch có thể lùi về bao nhiêu nên được giữ trong thiết bị di động. Bạn có thể chọn giữa tất cả, hai tuần, một tháng, 3 tháng hoặc 6 tháng.
Include past e-mail items Với thiết lập này, bạn có thể chỉ định các mục email có thể lùi về bao nhiêu nên được giữ trong thiết bị di động. Bạn có thể chọn giữa tất cả, một ngày, một tuần, 2 tuần và một tháng
Limit message size to (KB) Thiết lập này cho phép bạn chỉ định kích thước lớn nhất cho các thông báo email được phép đồng bộ với thiết bị di động.
Allow synchronization when roaming Với thiết lập này, bạn có thể cho phép hoặc ngăn chặn người dùng đồng bộ các thiết bị của họ khi roaming.
Allow html formatted email Thiết lập này cho phép bạn chỉ định xem có cho phép người dùng thiết bị di động có thể đọc các email có định dạng HTML hay không.
Allow attachments to be downloaded to the device and maximum attachment size (KB) Với thiết lập này, bạn có thể chỉ định xem thiết bị di động của người dùng có được download file đính kèm trong email hay không. Thêm vào đó, bạn còn có thể thiết lập kích thước lớn nhất đối với các file đính kèm là bao nhiêu để có thể download được từ thiết bị di động.

Hình2: Các thiết lập cấu hình chính sách EAS

Chúng ta hãy chuyển sang tab Device (như trong hình 7). Trên tab này, có thể vô hiệu hóa các tính năng của thiết bị di động như các thẻ lưu trữ di động, các camera được cài đặt sẵn, Wi-Fi, cổng hồng ngoại, chia sẻ Internet, máy trạm từ xa, đồng bộ Desktop ActiveSync client và Bluetooth.

Khám phá các tính năng nâng cao của Exchange ActiveSync trong Exchange Server 2007 SP1
Hình 7: Tab Device trên cửa sổ thuộc tính mặc định của Exchange ActiveSync

Tab Device là một tab mới và chúng tôi liệt kê cho bạn các thiết lập chính sách trên tab này với chỉ dẫn vắn tắt trong bảng 3 bên dưới.

Thiết lập chính sách Exchange ActiveSync Mô tả
Allow removable storage Bạn có thể chỉ định người dùng thiết bị di động có được phép sử dụng thẻ nhớ trong các thiết bị di động hay không.
Allow camera Bạn có thể cấm người dùng thiết bị di động sử dụng camera, tính năng có ở hầu hết các thiết bị di động Windows.
Allow Wi-Fi Với thiết lập này, bạn có thể cấm người dùng thiết bị di động sử dụng Wi-Fi (card mạng không dây), tính năng có ở hầu hết các thiết bị di động Windows.
Allow infrared Với thiết lập này, bạn có thể cấm người dùng thiết bị di động của bạn sử dụng cổng hồng ngoại, tính năng có ở hầu hết các thiết bị di động Windows.
Allow Internet sharing from the device Bạn có thể cấm người dùng thiết bị di động sử dụng tính năng chia sẻ Internet có trong các thiết bị di động Windows mobile 6.0. Tính năng chia sẻ Internet giúp máy tính xách tay của bạn có thể kết nối với Internet bằng thiết bị di động.
Allow remote desktop from the device Cấm người dùng thiết bị di động sử dụng tính năng máy trạm từ xa, tính năng có hầu hết với các thiết bị Windows mobile. Với máy trạm từ xa, bạn có thể kết nối xa tới một máy khách Windows XP/Vista hoặc một máy chủ Windows 2003/2008.
Allow synchronization from a desktop  Cho phép hoặc cấm người dùng thiết bị di động sử dụng Desktop ActiveSync client để đồng bộ với một thiết bị di động.
Allow Bluetooth Cho phép hoặc cấm người dùng thiết bị di động sử dụng kết nối Bluetooth.

Bảng 3: Các thiết lập cấu hình chính sách của Exchange ActiveSync

Lưu ý:
Tất cả các thiết lập trên tab Device đều là các tính năng có giá trị, điều đó có nghĩa rằng bạn phải có Exchange Enterprise CALs để sử dụng chúng.

Chuyển sang tab cuối cùng, tab Advanced. Như bạn có thể thấy được trong hình 8, chúng ta có thể chỉ định người dùng thiết bị di động có được phép sử dụng trình duyệt Internet, thư tín, các ứng dụng không được ký và cài đặt gói cài đặt không được ký hay không. Thêm vào đó bạn cũng có thể cho phép hoặc khóa các ứng dụng cụ thể nào đó.

Khám phá các tính năng nâng cao của Exchange ActiveSync trong Exchange Server 2007 SP1
Hình 8: Tab Advanced trên cửa sổ thuộc tính mặc định của Exchange ActiveSync

Tab Advanced cũng là một tab mới do đó chúng tôi có liệt kê một số thiết lập chính sách trên tab này cùng với những mô tả ngắn gọn về nó trong bảng 4 bên dưới.

Thiết lập chính sách Exchange ActiveSync Mô tả
Allow browser Cho phép hoặc cấm người dùng sử dụng trình duyệt trên thiết bị di động của họ.
Allow consumer mail Cho phép hoặc cấm người dùng nhận thư trên thiết bị di động của họ.
Allow unsigned applications Với thiết lập này được kích hoạt, người dùng thiết bị di động sẽ được phép chạy các ứng dụng vẫn chưa được ký chứng chỉ tin cậy.
Allow unsigned installation packages Với thiết lập này, người dùng thiết bị di động sẽ được phép cài đặt các ứng dụng vẫn chưa được ký chứng chỉ tin cậy.

Bảng 4: Các thiết lập cấu hình chính sách của Exchange ActiveSync

Thêm vào với các thiết lập trong bảng 4, bạn có thể nhập vào hộp Allowed and Blocked Applications bất kỳ ứng dụng nào sẽ được phép hoặc bị khóa.

Lưu ý:
Tất cẳ thiết lập trên tab Advanced là các tính năng quan trọng, điều đó có nghĩa bạn phải có Exchange Enterprise CAL để sử dụng chúng.

Bạn cần nhớ một điều rằng, không phải tất cả các thiết lập chính sách mới trong Exchange Server 2007 SP1 đều được trưng bày trong EMC GUI. Các chính sách dưới đây phải được thao tác thông qua Exchange Management Shell:

  • AllowTextMessaging
  • AllowPOPIMAPEmail
  • RequireSignedSMIMEMessages
  • RequireEncryptedSMIMEMessages
  • AllowSMIMESoftCerts
  • RequireSignedSMIMEAlgorithm
  • RequireEncryptionSMIMEAlgorithm
  • AllowSMIMEEncryptionAlgorithmNegotiation
  • MaxEmailBodyTruncationSize
  • MaxEmailHTMLBodyTruncationSize
  • UnapprovedInROMApplicationList
  • ExternallyDeviceManaged
  • MailboxPolicyFlags

Thời gian sẽ trả lời cho bạn xem những chính sách nào sẽ được chứa trong GUI trong phiên bản RTM của Exchange Server 2007 SP1.

Cấu hình xóa từ xa

Bổ sung thêm vào chính sách mặc định EAS mới và hướng dẫn về một số thiết lập chính sách mới, Exchange Server 2007 SP1 cũng có một số nâng cao liên quan đến tính năng xóa từ xa, tính năng được sử dụng để thiết lập lại một thiết bị di động trở về mặc định từ xa trong trường hợp nó bị mất hoặc bị đanh cắp. Khi tính năng này làm việc, không cần quá nhiều thay đổi, một thông báo email xác nhận sẽ được gửi đến hộp thư của người dùng khi thiết bị di động đã thực hiện thành công việc xóa từ xa. Điều này xảy ra cho dù là việc xóa được thực hiện bởi một quản trị viên Exchange thông qua Exchange Management Console hoặc Exchange Management Shell cũng như nếu người dùng khởi tạo việc xóa thông qua các trang Mobile Devices dưới Options in Outlook Web Access 2007 (Hình 9).

Khám phá các tính năng nâng cao của Exchange ActiveSync trong Exchange Server 2007 SP1
Hình 9: Xóa thành công thiết bị từ xa thông qua OWA 2007

Khi thiết bị di động đã được xóa thành công, một email xác nhận giống với email trong hình 10 sẽ được gửi đến hộp thư của người dùng tương ứng.

Khám phá các tính năng nâng cao của Exchange ActiveSync trong Exchange Server 2007 SP1
Hình 10: Email xác nhận

Thêm vào đó, bạn có tùy chọn hủy xóa từ xa từ OWA 2007 và Exchange Management Console/Shell.

S/MIME được hỗ trợ hơn nữa

Các bạn có thể đã biết, các thành phần S/MIME cho OWA 2007 và EAS không có trong phiên bản Exchange 2007 RTM. Điều này có nghĩa là bạn lại có thể ký chữ ký số cũng như mã hóa các thông báo email từ thiết bị di động. Như đã thấy trong các bảng trước của bài này, bạn có thể kiểm soát S/MIME trên các thiết bị di động thông qua một vài chính sách S/MIME cụ thể.

Giảm dữ liệu trong giao thức đẩy trực tiếp (Direct Push Protocol)

Nhóm sản phẩm ngoại vi của Exchange cũng được cải thiện giao thức Direct Push, giao thức được sử dụng bởi Exchange ActiveSync. Kích thước của các yêu cầu HTTPS và header đáp trả được giảm nhiều, điều đó làm giảm được lượng dữ liệu gửi đi giữa các thiết bị và máy chủ Client Access. Mặc dù tính năng này bị ẩn đối với người dùng thiết bị, nhưng nó quả thực là một cải thiện quan trọng đối với các tổ chức doanh nghiệp.

Kết luận

Nhiều tổ chức doanh nghiệp CNTT yêu cầu các chính sách được cấu hình cho tất cả kiểu thông báo máy khách trong tổ chức sẽ có lợi ở các thiết lập chính sách mới EAS trong Exchange Server 2007 SP1, chúng sẽ cho phép hoặc cấm hầu hết các tính năng trên một thiết bị di động. Chính sách mặc định mới EAS này là một bước chuyển thông minh và hợp với chiến lược an toàn mặc định toàn bộ trong nhóm sản phẩm Exchange. Cuối cùng, những cải tiến để tạo ra các giao thức Direct Push để giảm lượng dữ liệu gửi đi giữa các thiết bị và Client Access server(s) sẽ được CIO chào đón một cách nồng nhiệt bởi họ là những người phải chịu tránh nhiệm về ngân sách CNTT.

Nguồn: Internet

Có thể bạn quan tâm

Để lại một trả lời

Địa chỉ email của bạn sẽ không được công bố.