Điều này có nghĩa là khi bạn áp dụng một chứng chỉ SSL được tin tưởng bởi các thiết bị di động đối với Default Web Site trong IIS, người dùng thiết bị di động có thể tạo một hồ sơ EAS ng
Trang 1Truyền thông di động với Exchange Server 2007 - Phần 2: Quản lý thiết
bị di động
Trong phần 1 chúng tôi vẫn còn bỏ ngỏ một số tính năng mới và những
cải thiện được cung cấp thông qua sự kết hợp giữa các thiết bị Windows Mobile 6.0 và Exchange Server 2007 Trong phần 2 này chúng tôi sẽ giới
Trang 2thiệu cho các bạn về các tính năng mới và cải thiện liên quan đến vấn đề quản lý thiết bị di động và Exchange ActiveSync đối với các mailbox
Exchange ActiveSync (EAS) được cung cấp mặc định khi Exchange 2007 Client Access Server (CAS) được triển khai trong tổ chức của bạn Thêm vào đó, EAS được kích hoạt cho tất cả mailbox người dùng Điều này có nghĩa là khi bạn áp dụng một chứng chỉ SSL được tin tưởng bởi các thiết bị
di động đối với Default Web Site trong IIS, người dùng thiết bị di động có thể tạo một hồ sơ EAS ngay từ lúc bắt đầu đồng bộ thiết bị với mailbox tương ứng Giống như Exchange 2003, Exchange 2007 vẫn sử dụng thư mục
ảo có tên gọi là Microsoft-Server-ActiveSync trong IIS như điểm kết nối cho các thiết bị di động
Không có nhiều sự thay đổi khi nói đến Direct Push Hình 1 dưới đây sẽ cho bạn thấy được cách một máy chủ Exchange 2007 CAS truyền thông với một thiết bị Windows mobile 5.0 với MSFP hoặc 6.0
Hình 1: Công nghệ Direct Push
Như những gì bạn có thể thấy trong hình 1, Direct Push là việc bằng việc giữ kết nối HTTPS tồn tại giữa thiết bị di động và Exchange 2007 CAS Vì công nghệ Direct Push sử dụng các yêu cầu HTTPS dài, do đó sóng mang và tường lửa của bạn phải được cấu hình với một giá trị time-out mặc định trong khoảng 15 đến 30 phút Nếu giá trị này ngắn hơn thì việc thiết bị khởi tạo một yêu cầu HTTPS mới sẽ xảy ra nhiều hơn Điều này không những tốn kém nguồn cấp mà còn gây ra nhiều vấn đề khác khi mà dữ liệu sẽ phải truyền tải nhiều hơn Nếu giải pháp tường lửa trong tổ chức của bạn dựa trên
Trang 3ISA Server 2004 hoặc 2006, thì bạn có thể tham khảo những thông tin chi tiết về nó tại đây
Các chính sách Exchange ActiveSync
Không giống như Exchange Server 2003 (các thiết lập chính sách bảo mật thiết bị di động được áp dụng cho tất cả người dùng EAS trong tổ chức Exchange, ngoại trừ danh sách ngoại lệ), Exchange Server 2007 hỗ trợ nhiều chính sách mailbox EAS Điều này cho phép bạn cảm thấy như một quản trị viên khi gán các chính sách mailbox EAS đến người dùng, ví dụ: ở mức văn phòng hay mức quốc gia hoặc thậm chí dựa trên hội viên nhóm phân phối
Để tạo một chính sách mailbox EAS bằng sử dụng Exchange Management
Console (EMC), bạn chọn nút Client Access dưới Organization
Configuration trong cây menu Kích vào New Exchange ActiveSync
Mailbox Policy trong cửa sổ Action như trong hình 2
Hình 2: Chính sách Mailbox mới của Exchange ActiveSync
Trang 4Cửa sổ New Exchange ActiveSync Mailbox Policy sẽ xuất hiện như hình 3 Lúc này chúng ta cần phải đặt tên cho chính sách và sau đó lựa chọn tùy
chọn “Allow non-provisionable devices” Tùy chọn này có hỏi các thiết bị
không hỗ trợ dịch vụ AutoDiscover kết nối đến máy chủ Exchange 2007 Client Access Server (CAS) có được phép đồng bộ không Thêm vào đó chúng ta có thể chỉ định xem nó có được phép download file đính kèm đến thiết bị hay không
Hình 3: Cửa sổ New Exchange ActiveSync Mailbox Policy
Tiếp theo chúng ta phải chỉ định các thiết lập cấu hình mật khẩu Một số thành phần trong thiết lập cũng giống như những gì bạn triển khai các giải pháp thư tín di động trên Exchange Server 2003 SP2
Trang 5Yêu cầu kiểu trình bày của mật khẩu vừa có số vừa có chữ
Tích vào tùy chọn này để yêu cầu một mật khẩu mạnh gồm có cả ký tự số và chữ
Cho phép khôi phục mật khẩu
Kích hoạt tùy chọn này để cho phép phôi phục mật khẩu cho thiết bị di động Người dùng có thể tra cứu mật khẩu khôi phục lại để mở khóa thiết bị của họ bằng sử dụng Outlook Web Access (OWA) 2007 Thêm vào đó, bạn có thể giống như một quản trị viên tra cứu mật khẩu khôi phục thông qua EMC
Yêu cầu mã hóa trên thiết bị
Tùy chọn này sẽ yêu cầu một thiết bị phải được mã hóa, điều này sẽ làm tăng tính bảo mật một cách đáng kể Tất cả thông tin dữ liệu được lưu giữ trong thẻ nhớ đều sẽ được mã hóa
Cho phép các mật khẩu đơn giản
Tùy chọn này sẽ cho phép người dùng sử dụng các mật khẩu đơn giản chẳng hạn như 8888
Chiều dài tối thiểu của mật khẩu
Tùy chọn này yêu cầu bạn phải chỉ định chiều dài tối thiểu của mật khẩu Ở
Trang 6đây bạn nên nhớ rằng, mật khẩu càng dài thì độ bảo mật sẽ càng tăng nhưng ngược lại khả năng sử dụng thiết bị sẽ giảm
Thời gian phải nhập lại mật khẩu (tính theo phút)
Bạn chỉ định sau bao nhiêu lâu thiết bị sẽ được khóa và vì vậy cần phải nhập lại mật khẩu khi sử dụng tiếp Giá trị này thấp cũng ảnh hưởng đến hiệu suất
sử dụng thiết bị vì vậy bạn hãy cân nhắc khi sử dụng nó
Kỳ hạn của mật khẩu
Chỉ định sau bao nhiêu ngày thì mật khẩu của bạn sẽ hết hạn sử dụng
Không nên thiết lập giá trị này quá thấp nó sẽ làm cho người dùng thích sử dụng các mật khẩu yếu
Áp đặt lịch sử mật khẩu
Cuối cùng chúng ta có tùy chọn lịch sử mật khẩu, tùy chọn này áp đặt người dùng sử dụng các mật khẩu mới khi họ hết hạn sử dụng Khi bạn đã quyết định các giá trị nào bạn muốn thiết lập trong chính sách mailbox riêng, hãy kích New và chính sách sẽ được tạo như thể hiện trong hình 4
Trang 7Hình 4: Chính sách Mailbox mới của Exchange ActiveSync
được liệt kê trong Exchange Management Console
Mặc định, chính sách EAS sẽ cho phép người dùng mailbox có một chính sách riêng biệt để truy cập vào tài liệu trên file chia sẻ Windows và các máy chủ SharePoint trong mạng bên trong Để từ chối người dùng truy cập vào tài liệu từ các thiết bị di động Windows, bạn phải mở trang thuộc tính của
chính sách, sau đó bỏ chọn Windows File Shares và Windows SharePoint Services như trên hình 5, sau đó kích OK Như bạn có thể thấy, các thiết lập
khác đã cấu hình ban đầu trong chính sách EAS có thể thay đổi trong trang thuộc tính nếu cần thiết
Trang 8Hình 5: Trang thuộc tính của chính sách EAS
Giờ chúng ta đã tạo chính sách EAS, tiếp theo là áp dụng nó vào các
mailbox tương ứng bên trong một tổ chức Điều này được thực hiện bằng cách mở trang thuộc tính của mailbox dưới nút Recipient Configuration Khi
trang thuộc tính đã mở, bạn chọn tab Mailbox Features Dưới tab này,
chúng ta có thể kích hoạt và vô hiệu hóa các giao thức khách khác nhau cho mailbox, nhưng vì Exchange ActiveSync được kích hoạt mặc định nên
chúng ta hãy chọn Exchange ActiveSync sau đó kích chuột vào nút
Properties như hình 6 Trong cửa sổ thuộc tính Exchange ActiveSync kích
Browse, chọn chính sách EAS mà chúng ta vừa tạo, sau đó tích vào hộp
Trang 9kiểm Apply an Exchange ActiveSync mailbox policy Kích OK hai lần khi
đó chính sách EAS sẽ được áp dụng cho mailbox
Hình 6: Áp dụng chính sách EAS cho mailbox của người dùng
Nếu cần áp dụng chính sách EAS thì bạn phải cần sử dụng lệnh
Set-CASMAilbox trong Exchange Management Shell (EMC) Ví dụ, áp dụng
chính sách EAS ở trên cho tất cả người dùng mailbox, bạn hãy sử dụng lệnh dưới đây:
Get-Mailbox | Set-CASMailbox -ActiveSyncMailboxPolicy
Trang 10(Get-ActiveSyncMailboxPolicy "Exchange Hosting - General").Identity
Quản lý các thiết bị di động
Thời gian đầu người dùng đồng bộ thiết bị với mailbox của mình bằng EAS, một nhóm thiết bị di động được thiết lập Khi nhóm này được thiết lập, một tùy chọn mới gọi là Manage Mobile Device được bổ sung thêm vào menu Menu này xuất hiện khi bạn kích chuột phải như những gì thể hiện trong hình 7
Hình 7: Các tùy chọn để quản lý trong menu ngữ cảnh
Khi chọn Manage Mobile Device, cửa sổ Manage Mobile Device (hình 8) xuất hiện Dưới phần thông tin thiết bị bổ sung (Additional device
information) bạn có thể thấy thời điểm đồng bộ đầu tiên xuất hiện khi nào, hành động thực hiện với thiết bị lần cuối cùng được gửi khi nào (Device wipe sent time), thời gian thừa nhận cho hoạt động của thiết bị, thiết bị
Trang 11được nâng cấp chính sách cũng như last ping heartbeat (tính theo giây) Cuối cùng bạn có thể (nếu cần) thấy khôi phục mật khẩu ở đây
Bên dưới Action bạn có hai tùy chọn: một là gỡ bỏ nhóm thiết bị di động, hai là thực hiện một hành động từ xa của một thiết bị di động Việc thực hiện hành động điều khiển từ xa của thiết bị di động có thể xóa dữ liệu được lưu giữ trong bộ nhớ cũng như trong thẻ nhớ Khi đó thiết bị di động sẽ khởi động lại các mặc định của nơi sản xuất
Lưu ý
Việc xóa nhóm thiết bị di động sẽ không xóa bất kỳ dữ liệu nào trên bản thân thiết bị đó Tiếp theo đó người dùng sẽ phải thử đồng bộ thiết bị với mailbox, một nhóm mới sẽ lại được thiết lập
Trang 12Hình 8: Quản lý thiết bị di động
Nếu bạn muốn quan sát thiết bị di động và các thống kê Exchange
ActiveSync cho người dùng bằng EMC, thì có thể thực hiện với lệnh Get-ActiveSyncDeviceStatistics Ví dụ để có được các thống kê EAS cho mailbox
với một tên hiệu là HEW, chúng ta cần phải đánh:
Get-ActiveSyncDeviceStatistics -Mailbox hew
Sau khi thực hiện lệnh này chúng ta sẽ có được thông tin như hình 9
Trang 13Hình 9: Nhóm thiết bị di động cho mailbox người dùng
Lưu ý
Nếu bạn muốn xem thống kê về các nhóm cụ thể thì bạn cần phải chỉ định các chuỗi nhận dạng thay vì tên hiệu của mailbox Như những gì bạn thấy trong hình 10, mật khẩu khôi phục được đặt bằng các dấu ‘*’ Nếu muốn
hiển thị nó thì hãy thêm tham số ShowRecoveryPassword $True vào lệnh
chúng ta chạy ở trên
Để gỡ một nhóm, sử dụng lệnh Remove-ActiveSyncDevice –Identity
Trang 14Hình 10: Gỡ một nhóm thiết bị di động bằng Exchange Management Shell
Để thực hiện các hành động từ xa ta sử dụng ClearActiveSyncDevice
-Identity như trong hình 11
Hình 11: Thực hiện các hành động từ xa đối với một thiết bị di động
bằng Exchange Management Shell
Chế độ tự quản lý
Để giảm yêu cầu từ phía các nhân viên trợ giúp trong một tổ chức, nhóm Exchange Product đã đưa ra một tính năng tự quản lý, tính năng này cho phép người dùng quản lý một nhóm thiết bị nếu yêu cầu Các tính năng tự quản lý được tích hợp trực tiếp trong giao diện sử dụng của OWA 2007 như hình 12, các tính năng quản lý thiết bị được truy cập thông qua trang Option
Một cách cơ bản, người dùng có thể quan sát và thực hiện các công việc tương tự từ bên trong OWA như một quản trị viên Exchange làm việc với Manage Mobile Device wizard trong Exchange Management Console
Trang 15Hình 12: Chế độ tự quản lý từ bên trong OWA 2007
Người dùng có thể lấy lại được mật khẩu khôi phục cho thiết bị (hình 13)
Hình 13: Lấy lại mật khẩu trong OWA 2007
Kết luận
Nhóm Exchange Product đã tập trung đưa ra rất nhiều cải thiện về tính năng của thiết bị và người dùng trong Exchange Server 2007 Bây giờ chúng ta có thể tạo nhiều chính sách mailbox Exchange ActiveSync cũng như thực hiện tất cả các quản lý thiết bị trực tiếp từ bên trong Exchange Management
Trang 16Console hoặc Exchange Management Shell Một điểm nữa ở đây là chính bản thân người dùng cũng có một tùy chọn thực hiện tự quản lý từ OWA
2007 để giảm sự hỗ trợ từ phía các nhân viên trợ giúp
hfghfghfghfghfghfgg
