Lưu ý: Hầu hết các thiết bị di động Windows mới và các tính năng nâng cao trong Exchange Server 2007 SP1 đều yêu cầu giao thức Exchange ActiveSync phiên bản 12.1.Giao thức EAS đã có tron
Trang 1Khám phá các tính năng nâng cao của Exchange ActiveSync trong
Exchange Server 2007 SP1
Exchange Server 2007 Service Pack 1 (SP1) có chứa các tính năng nâng cao xung quanh Exchange ActiveSync (EAS) Bạn sẽ thấy được xuyên suốt bài này, một chính sách Exchange ActiveSync mặc định mới được giới thiệu trong
nó Một số thiết lập chính sách Exchange ActiveSync mới cũng được giới
thiệu Thêm vào đó, Exchange Front End trong nhóm Exchange Product đã bảo đảm rằng thông báo xác nhận đã xóa email từ xa được gửi đến đúng hộp thư của người dùng tương ứng khi quá trình xóa được thực hiện thành công, điều này là để người dùng biết rằng thiết bị di động của anh ta đã được khởi động lại về chế độ mặc định của nhà máy Cuối cùng, giao thức Direct Push cũng được nâng cao Thực chất của vấn đề là dữ liệu đã gửi giữa các thiết bị di động
và máy chủ Client Access đã giảm đáng kể so với phiên bản Exchange Server
2007 RTM
Lưu ý:
Hầu hết các thiết bị di động Windows mới và các tính năng nâng cao trong Exchange Server 2007 SP1 đều yêu cầu giao thức Exchange ActiveSync phiên bản 12.1.Giao thức EAS đã có trong Windows Mobile 6.0 RTM, khi đó nó là phiên bản 12.0, nghĩa là thiết bị di động của bạn cần phải nâng cấp trước khi khai thác được thế mạnh từ các tính năng mới của Exchange Server 2007 SP1
và các nâng cao đã thảo luận trong bài này
Lưu ý:
Bài này được dựa trên Exchange Server 2007 SP1 Beta 2 (phiên bản thử
nghiệm 2) Điều đó có nghĩa là các tính năng của EAS được giới thiệu trong bài này vẫn có thể thay đổi trước khi có Exchange Server 2007 SP1 RTM Chính sách mặc định mới của Exchange ActiveSync
Với Exchange Server 2007 SP1, một chính sách Exchange ActiveSync mới sẽ được mặc định bổ sung tự động trong suốt quá trình cài đặt Client Access
Server role như những gì thể hiện trong hình 1 bên dưới Hầu hết các bạn đều biết có thể tạo thủ công và gán một chính sách EAS cho các hộp thư của người dùng trong phiên bản Exchange 2007 RTM
Trang 2Hình 1: Chính sách Exchange ActiveSync mặc định
Lưu ý rằng thậm chí khi bạn nâng cấp một Exchange 2007 server đang tồn tại, với Client Access Server role đã cài đặt đối với Exchange Server 2007 SP1, thì chính sách mặc định mới này sẽ được tạo và gán một cách tự động tới tất cả các hộp thư của người dùng Exchange 2007 vẫn chưa được gán chính sách EAS (Hình 2)
Trang 3Hình 2: Chính sách mặc định được gán cho hộp thư của người dùng
Chính sách EAS mặc định mới được cấu hình khá lỏng lẻo, điều đó có nghĩa là
nó không cung cấp sự bảo mật như được yêu cầu trong hầu hết các tổ chức doanh nghiệp CNTT (thậm chí nó còn cho phép một số thiết bị khác đồng bộ với hộp thư), nhưng nó vẫn tốt hơn so với không có chính sách mặc định
Chính sách mặc định được cấu hình với các thiết lập được thể hiện trong bảng
1 Như những gì bạn có thể quan sát thấy, có rất nhiều thiết lập chính sách trong bảng là chính sách mới được giới thiệu trong Exchange Server 2007 SP1, chúng ta sẽ xem xét một cách chi tiết hơn đối với chúng trong phần tiếp theo Các thiết lập chính sách Giá trị được cấu hình
AllowNonProvisionableDevices True
AlphanumericDevicePasswordRequired False
Trang 4AttachmentsEnabled True DeviceEncryptionEnabled False RequireStorageCardEncryption False DevicePasswordEnabled True PasswordRecoveryEnabled True DevicePolicyRefreshInterval Unlimited AllowSimpleDevicePassword True
MinDevicePasswordLength 4
MaxInactivityTimeDeviceLock 00:30:00 MaxDevicePasswordFailedAttempts 8
DevicePasswordExpiration Unlimited
RequireDeviceEncryption False AllowUnsignedApplications True AllowUnsignedInstallationPackages True
RequireManualSyncWhenRoaming False
Trang 5AllowHTMLEmail True
RequireSignedSMIMEMessages False
RequireEncryptedSMIMEMessages False
RequireSignedSMIMEAlgorithm SHA1
RequireEncryptionSMIMEAlgorithm TripleDES
AllowSMIMEEncryptionAlgorithmNegoti
ation
RequireEncryptionSMIMEAlgori thm
MinDevicePasswordComplexCharacters 3
MaxEmailBodyTruncationSize Unlimited
MaxEmailHTMLBodyTruncationSize Unlimited
UnapprovedInROMApplicationList {}
ApprovedApplicationList {}
ExternallyDeviceManaged False
Bảng 1: Các thiết lập cấu hình chính sách của Exchange ActiveSync
Bạn có thể xem hoặc thay đổi thiết lập chính sách của EAS đã được cấu hình trên Client Access Server của bạn bằng cách mở Exchange Management Shell
và đánh Get-ActiveSyncMailboxPolicy –Identity “Default” hoặc mở trang thuộc tính chính sách Default EAS trong Exchange Management Console
Trang 6Khi có một hoặc nhiều chính sách EAS để bổ sung vào chính sách mặc định, thì bạn có một tùy chọn cho việc thiết lập một trong các chính sách EAS là mặc định, vì vậy chính sách đó sẽ được gán cho tất cả các hộp thư của người dùng Exchange 2007 (như trong hình 3) thay vì chỉ có chính sách mặc định
Hình 3: Chỉ định chính sách mặc định Các thiết lập nâng cao
Như đã đề cập đến, Exchange Server 2007 SP1 có một số chính sách EAS mới, các chính sách này sẽ cho phép ngăn chặn và bảo mật các thiết bị di động hơn nhiều so với trong phiên bản Exchange Server 2007 RTM Chúng ta sẽ xem xét qua trang thuộc tính của các chính sách và xem mỗi chính sách mới ảnh hưởng như thế nào đến các thiết bị di động trong tổ chức Exchange Server 2007 của bạn Hãy bắt đầu bằng việc mở Exchange Management Console, sau đó kích nút Client Access nằm bên dưới phần trung tâm Organization Configuration (xem hình 1) Khi các chính sách EAS nằm trong một tổ chức rộng thì đây chính là nơi tạo và thay đổi chúng Lúc này bạn có thể kích chuột phải vào Default EAS policy, sau đó chọn Properties Trên trang thuộc tính gồm có 5 tab trong Exchange Server 2007 SP1 chứ không phải 2 như trong phiên bản Exchange Server 2007 RTM
Chúng ta hãy xem xét một chút trong tab General như thể hiện trong hình 4 bên dưới Không có quá nhiều thay đổi ở đây và chúng ta có thể thấy được chính sách nào được cấu hình mặc định và thiết lập Maximum attachment size (KB) được thay thế bởi thiết lập Refresh interval (hours) (thiết lập Maximum attachment size (KB) có thể tìm thấy dưới tab Sync Settings) Với thiết lập Refresh interval (hours) chúng ta có thể chỉ định tần xuất các thiết bị di động cần nâng cấp chính sách Exchange ActiveSync từ máy chủ
Trang 7Hình 4: Tab General trên trang thuộc tính mặc định EAS
Chúng ta hãy chuyển sang tab Password (như trong hình 5) Có một thiết lập mới được bổ sung thêm vào tab này và đó là thiết lập Minimum number of complex characters, thiết lập này cho phép chúng ta chỉ định số ký tự nhỏ nhất cho mật khẩu của thiết bị cần phải có
Trang 8Hình 5: Tab Password trên trang thuộc tính mặc định EAS
Bây giờ chúng ta chuyển sang tab tiếp theo đó là tab Sync Settings (xem hình 6) Ở đây, chúng ta có thể cấu hình bao nhiêu mục email và lịch biểu quá khứ cần được đồng bộ với một thiết bị Chúng ta cũng cấu hình kích thước thông báo giới hạn, xem nó có nên được phép đồng bộ trong khi roaming hay không, chỉ định xem email định dạng html có thể đọc trên thiết bị và cuối cùng xem nó
có nên cho phép download các file đính kèm đối với thiết bị và nếu cho phép thì chỉ định kích thước lớn nhất của file đính kèm là bao nhiêu
Trang 9Hình 6: Tab Sync Settings trên trang thuộc tính mặc định EAS
Tab Sync Settings là mới và chúng tôi đã liệt kê từng thiết lập chính sách trên tab này trong bảng 2 dưới đây để các bạn có thể tiện theo dõi
Thiết lập chính sách
Include Past Calendar
items
Với thiết lập này, bạn có thể chỉ định các mục lịch có thể lùi về bao nhiêu nên được giữ trong thiết bị di động Bạn có thể chọn giữa tất cả, hai tuần, một tháng, 3 tháng hoặc 6 tháng
Include past e-mail items
Với thiết lập này, bạn có thể chỉ định các mục email có thể lùi về bao nhiêu nên được giữ trong thiết bị di động Bạn có thể chọn giữa tất cả, một ngày, một tuần, 2
Trang 10tuần và một tháng
Limit message size to
(KB)
Thiết lập này cho phép bạn chỉ định kích thước lớn nhất cho các thông báo email được phép đồng bộ với thiết bị di động
Allow synchronization
when roaming
Với thiết lập này, bạn có thể cho phép hoặc ngăn chặn người dùng đồng bộ các thiết bị của họ khi roaming
Allow html formatted
Thiết lập này cho phép bạn chỉ định xem
có cho phép người dùng thiết bị di động có thể đọc các email có định dạng HTML hay không
Allow attachments to be
downloaded to the
device and maximum
attachment size (KB)
Với thiết lập này, bạn có thể chỉ định xem thiết bị di động của người dùng có được download file đính kèm trong email hay không Thêm vào đó, bạn còn có thể thiết lập kích thước lớn nhất đối với các file đính kèm là bao nhiêu để có thể download được từ thiết bị di động
Hình2: Các thiết lập cấu hình chính sách EAS
Chúng ta hãy chuyển sang tab Device (như trong hình 7) Trên tab này, có thể
vô hiệu hóa các tính năng của thiết bị di động như các thẻ lưu trữ di động, các camera được cài đặt sẵn, Wi-Fi, cổng hồng ngoại, chia sẻ Internet, máy trạm từ
xa, đồng bộ Desktop ActiveSync client và Bluetooth
Trang 11Hình 7: Tab Device trên cửa sổ thuộc tính mặc định của Exchange ActiveSync
Tab Device là một tab mới và chúng tôi liệt kê cho bạn các thiết lập chính sách trên tab này với chỉ dẫn vắn tắt trong bảng 3 bên dưới
Thiết lập chính sách
Exchange
ActiveSync
Mô tả
Allow removable
storage
Bạn có thể chỉ định người dùng thiết bị di động
có được phép sử dụng thẻ nhớ trong các thiết bị
di động hay không
Allow camera
Bạn có thể cấm người dùng thiết bị di động sử dụng camera, tính năng có ở hầu hết các thiết bị
di động Windows
Allow Wi-Fi Với thiết lập này, bạn có thể cấm người dùng
Trang 12thiết bị di động sử dụng Wi-Fi (card mạng không dây), tính năng có ở hầu hết các thiết bị
di động Windows
Allow infrared
Với thiết lập này, bạn có thể cấm người dùng thiết bị di động của bạn sử dụng cổng hồng ngoại, tính năng có ở hầu hết các thiết bị di động Windows
Allow Internet
sharing from the
device
Bạn có thể cấm người dùng thiết bị di động sử dụng tính năng chia sẻ Internet có trong các thiết bị di động Windows mobile 6.0 Tính năng chia sẻ Internet giúp máy tính xách tay của bạn
có thể kết nối với Internet bằng thiết bị di động
Allow remote
desktop from the
device
Cấm người dùng thiết bị di động sử dụng tính năng máy trạm từ xa, tính năng có hầu hết với các thiết bị Windows mobile Với máy trạm từ
xa, bạn có thể kết nối xa tới một máy khách Windows XP/Vista hoặc một máy chủ Windows 2003/2008
Allow
synchronization
from a desktop
Cho phép hoặc cấm người dùng thiết bị di động
sử dụng Desktop ActiveSync client để đồng bộ với một thiết bị di động
Allow Bluetooth Cho phép hoặc cấm người dùng thiết bị di động
sử dụng kết nối Bluetooth
Bảng 3: Các thiết lập cấu hình chính sách của Exchange ActiveSync
Lưu ý:
Tất cả các thiết lập trên tab Device đều là các tính năng có giá trị, điều đó có nghĩa rằng bạn phải có Exchange Enterprise CALs để sử dụng chúng
Chuyển sang tab cuối cùng, tab Advanced Như bạn có thể thấy được trong hình 8, chúng ta có thể chỉ định người dùng thiết bị di động có được phép sử dụng trình duyệt Internet, thư tín, các ứng dụng không được ký và cài đặt gói cài đặt không được ký hay không Thêm vào đó bạn cũng có thể cho phép hoặc khóa các ứng dụng cụ thể nào đó
Trang 13Hình 8: Tab Advanced trên cửa sổ thuộc tính mặc định của Exchange
ActiveSync
Tab Advanced cũng là một tab mới do đó chúng tôi có liệt kê một số thiết lập chính sách trên tab này cùng với những mô tả ngắn gọn về nó trong bảng 4 bên dưới
Thiết lập chính sách
Exchange
ActiveSync
Mô tả
Allow browser Cho phép hoặc cấm người dùng sử dụng trình
duyệt trên thiết bị di động của họ
Allow consumer mail Cho phép hoặc cấm người dùng nhận thư trên
thiết bị di động của họ
Allow unsigned Với thiết lập này được kích hoạt, người dùng
Trang 14applications thiết bị di động sẽ được phép chạy các ứng
dụng vẫn chưa được ký chứng chỉ tin cậy
Allow unsigned
installation packages
Với thiết lập này, người dùng thiết bị di động
sẽ được phép cài đặt các ứng dụng vẫn chưa được ký chứng chỉ tin cậy
Bảng 4: Các thiết lập cấu hình chính sách của Exchange ActiveSync Thêm vào với các thiết lập trong bảng 4, bạn có thể nhập vào hộp Allowed and Blocked Applications bất kỳ ứng dụng nào sẽ được phép hoặc bị khóa
Lưu ý:
Tất cẳ thiết lập trên tab Advanced là các tính năng quan trọng, điều đó có nghĩa bạn phải có Exchange Enterprise CAL để sử dụng chúng
Bạn cần nhớ một điều rằng, không phải tất cả các thiết lập chính sách mới trong Exchange Server 2007 SP1 đều được trưng bày trong EMC GUI Các chính sách dưới đây phải được thao tác thông qua Exchange Management Shell:
AllowTextMessaging
AllowPOPIMAPEmail
RequireSignedSMIMEMessages
RequireEncryptedSMIMEMessages
AllowSMIMESoftCerts
RequireSignedSMIMEAlgorithm
RequireEncryptionSMIMEAlgorithm
AllowSMIMEEncryptionAlgorithmNegotiation
MaxEmailBodyTruncationSize
MaxEmailHTMLBodyTruncationSize
UnapprovedInROMApplicationList
ExternallyDeviceManaged
MailboxPolicyFlags
Thời gian sẽ trả lời cho bạn xem những chính sách nào sẽ được chứa trong GUI trong phiên bản RTM của Exchange Server 2007 SP1
Cấu hình xóa từ xa
Trang 15Bổ sung thêm vào chính sách mặc định EAS mới và hướng dẫn về một số thiết lập chính sách mới, Exchange Server 2007 SP1 cũng có một số nâng cao liên quan đến tính năng xóa từ xa, tính năng được sử dụng để thiết lập lại một thiết
bị di động trở về mặc định từ xa trong trường hợp nó bị mất hoặc bị đanh cắp Khi tính năng này làm việc, không cần quá nhiều thay đổi, một thông báo email xác nhận sẽ được gửi đến hộp thư của người dùng khi thiết bị di động đã thực hiện thành công việc xóa từ xa Điều này xảy ra cho dù là việc xóa được thực hiện bởi một quản trị viên Exchange thông qua Exchange Management Console hoặc Exchange Management Shell cũng như nếu người dùng khởi tạo việc xóa thông qua các trang Mobile Devices dưới Options in Outlook Web Access 2007 (Hình 9)
Hình 9: Xóa thành công thiết bị từ xa thông qua OWA 2007
Khi thiết bị di động đã được xóa thành công, một email xác nhận giống với email trong hình 10 sẽ được gửi đến hộp thư của người dùng tương ứng
Trang 16Hình 10: Email xác nhận
Thêm vào đó, bạn có tùy chọn hủy xóa từ xa từ OWA 2007 và Exchange
Management Console/Shell
S/MIME được hỗ trợ hơn nữa
Các bạn có thể đã biết, các thành phần S/MIME cho OWA 2007 và EAS không
có trong phiên bản Exchange 2007 RTM Điều này có nghĩa là bạn lại có thể
ký chữ ký số cũng như mã hóa các thông báo email từ thiết bị di động Như đã thấy trong các bảng trước của bài này, bạn có thể kiểm soát S/MIME trên các thiết bị di động thông qua một vài chính sách S/MIME cụ thể
Giảm dữ liệu trong giao thức đẩy trực tiếp (Direct Push Protocol)
Nhóm sản phẩm ngoại vi của Exchange cũng được cải thiện giao thức Direct Push, giao thức được sử dụng bởi Exchange ActiveSync Kích thước của các yêu cầu HTTPS và header đáp trả được giảm nhiều, điều đó làm giảm được lượng dữ liệu gửi đi giữa các thiết bị và máy chủ Client Access Mặc dù tính năng này bị ẩn đối với người dùng thiết bị, nhưng nó quả thực là một cải thiện
