В серверах Exchange 2010 с пакетом обновления 1 (SP1) используется простая, логичная последовательность для определения состояния доступа каждого мобильного устройства. Каждое устройство может быть разрешено, заблокировано или помещено на карантин. Определить состояние доступа каждого устройства можно с помощью организационного правила или с помощью исключения. Исключение — это правило, которое применяется к отдельному пользователю или устройству. Оно применяется при каждом получении запроса Exchange ActiveSync от мобильного устройства, выполняющего попытку синхронизовать данные почтового ящика, хранящегося на сервере Exchange 2010. В последовательность задач входят следующие шаги.

1. Прошло ли мобильное устройство проверку подлинности?   Если нет, запросите у мобильного устройства правильные учетные данные. В противном случае переходите к следующему шагу.
   
   
2. Включена ли служба Exchange ActiveSync для текущего пользователя?   Если нет, верните на устройство сообщение об ошибке «доступ ограничен». В противном случае переходите к следующему шагу.
   
   
3. Соответствует ли текущее мобильное устройство критериям применения политики мобильных устройств?   Если нет, заблокируйте доступ. В противном случае переходите к следующему шагу.
   
   
4. Заблокировано ли данное мобильное устройство с помощью индивидуального исключения для пользователя?   Если да, заблокируйте доступ. В противном случае переходите к следующему шагу.
   
   
5. Разрешено ли данное мобильное устройство с помощью индивидуального исключения для пользователя?   Если да, предоставьте полный доступ. В противном случае переходите к следующему шагу.
   
   
6. Заблокировано ли данное мобильное устройство с помощью правила доступа устройства?   Если да, заблокируйте доступ. В противном случае переходите к следующему шагу.
   
   
7. Помещено ли данное мобильное устройство на карантин с помощью правила доступа устройства?   Если да, поместите устройство на карантин. В противном случае переходите к следующему шагу.
   
   
8. Разрешено ли данное мобильное устройство с помощью правила доступа устройства?   Если да, предоставьте полный доступ. В противном случае переходите к следующему шагу.
   
   
9. Примените состояние доступа по умолчанию в соответствии с параметрами организации Exchange ActiveSync.   Это позволяет предоставить или заблокировать доступ к текущему мобильному устройству или поместить его на карантин, в зависимости от параметров организации.
   
   

В начало

В состоянии разрешения доступа мобильное устройство может выполнять синхронизацию с помощью Exchange ActiveSync и подключаться к серверу Exchange для получения сообщений электронной почты и управления данными календаря, контактами, задачами и заметками. Эти действия будут возможны до тех пор, пока устройство будет соответствовать настроенным политикам почтовых ящиков Exchange ActiveSync.

Дополнительные сведения см. в разделе Просмотр и настройка свойств политики почтовых ящиков Exchange ActiveSync.

Мобильное устройство, заблокированное в соответствии с параметрами доступа устройства, не сможет подключиться к серверу Exchange и получит код ошибки «HTTP 403 — запрещено». Пользователю будет отправлено сообщение электронной почты с сервера Exchange с уведомлением, что доступ мобильного устройства к почтовому ящику заблокирован. В это сообщение можно добавить произвольный текст с инструкциями для пользователей заблокированных устройств.

Мобильное устройство также может быть заблокировано из-за несоответствия политикам почтовых ящиков Exchange ActiveSync. В этом случае пользователю не будет отправлено сообщение электронной почты с уведомлением, что доступ мобильного устройства к почтовому ящику заблокирован. Тем не менее, в Outlook Web App будут отображены сведения о том, что доступ мобильного устройства заблокирован, так как ему не удалось применить политики почтовых ящиков Exchange ActiveSync.

Мобильным устройствам, помещенным на карантин, разрешено подключаться к серверу Exchange. Однако им предоставляется ограниченный доступ к данным. Пользователь сможет добавить содержимое в папки «Календарь», «Контакты», «Задачи» и «Заметки», но сервер запретит устройству получить какое-либо содержимое из почтового ящика пользователя. Пользователь получит сообщение электронной почты с уведомлением, что мобильное устройство помещено на карантин. Это сообщение будет получено устройством и будет также доступно в почтовом ящике пользователя. В это сообщение можно добавить произвольный текст с инструкциями для пользователей, устройства которых помещены на карантин.

Во время настройки параметров организации Exchange ActiveSync можно указать одного или нескольких администраторов, которым будет отправляться сообщение электронной почты при первой попытке устройства, помещенного на карантин, подключиться к серверу Exchange. После этого администраторы могут снять мобильное устройство с карантина путем создания индивидуального исключения, полностью заблокировать устройство или создать правило, согласно которому к этому и подобным мобильным устройствам будет применяться определенное действие.

Когда мобильное устройство впервые подключается к Exchange ActiveSync, оно находится в состоянии доступа при обнаружении устройства. В этом состоянии устройство помещается на карантин до тех пор, пока не будет распознано сервером. Это состояние может длиться от 1 до 14 минут. Когда мобильное устройство находится в этом состоянии, администраторам или пользователю не отправляется никаких сообщений электронной почты.

Когда мобильное устройство находится в состоянии доступа при обновлении почтового ящика, ему предоставляется полный доступ к почтовому ящику пользователя. Состояние доступа при обновлении почтового ящика аналогично состоянию разрешения с тем отличием, что оно длится не более семи дней с момента первого подключения устройства к серверу Exchange 2010 после перемещения почтового ящика с сервера прежней версии Microsoft Exchange. Это состояние необходимо, чтобы мобильное устройство могло правильно обновить данные и протоколы связи до последней версии Exchange ActiveSync и было распознано системой управления доступом устройств. После распознавания мобильного устройства система Exchange применяет соответствующее состояние доступа на основе конфигурации Exchange 2010.

В начало

Определенное мобильное устройство можно назначить конкретному пользователю. Это назначение позволяет явно предоставлять доступ определенному устройству или блокировать его, независимо от правил и других параметров доступа устройства. Если мобильное устройство не разрешено или не заблокировано явным образом для определенного пользователя, доступ устройства будет определяться в соответствии с действиями, перечисленными выше.

Примечание.
В отличие от Microsoft Exchange Server 2007, явное предоставление доступа для определенного устройства пользователя не отклоняет доступ для других устройств неявным образом. При попытке пользователя подключить другое устройство состояние доступа этого устройства будет определяться согласно параметрам доступа устройств организации.

Индивидуальные исключения можно создать с помощью командлета Set-CASMailbox или панели управления Exchange.

Правила доступа организации позволяют установить тип доступа для определенной группы устройств на основе некоторых свойств устройства, например модели. Чтобы создать эти правила, необходимо знать модель устройства и сведения о семействе. Эти сведения можно получить после успешной синхронизации мобильного устройства с сервером Exchange.

Правила доступа организации можно создать с помощью командлета Set-CASMailbox или панели управления Exchange, как показано на следующем рисунке.

Установка состояния доступа организации по умолчанию

Состояние доступа организации по умолчанию для Exchange ActiveSync определяет уровень доступа, предоставляемый мобильным устройствам, для управления которыми не используются правила организации или индивидуальные исключения. Состояние доступа организации по умолчанию можно установить с помощью командлета Set-CASMailbox или панели управления Exchange. 

В начало

Настройка общих стратегий управления доступом

Для указания уровня доступа для мобильных устройств может потребоваться получение списка всех мобильных телефонов и устройств организации. Этот список можно получить с помощью командлета Get-CASMailbox с командлетом Get-ActiveSyncDeviceStatistics. Дополнительные сведения см. в разделе Get-ActiveSyncDeviceStatistics.

Создание белого списка

Белый список можно использовать для предоставления доступа известным устройствам и ограничения доступа для всех других устройств. Для этого необходимо создать правила, чтобы разрешить доступ определенных устройств к почтовым ящикам пользователей. После создания такого правила необходимо установить состояние доступа организации по умолчанию, чтобы заблокировать все другие устройства. Чтобы добавить в белый список новое устройство, создайте новое правило.

Создание черного списка

С помощью черного списка можно предоставить доступ по умолчанию всем устройствам, но заблокировать определенные устройства, которые не должны иметь доступ к организации. Для создания черного списка необходимо создать правила блокировки для устройств, которые не должны синхронизироваться с почтовыми ящиками организации. Параметры организации должны быть настроены на предоставление доступа всем устройствам, кроме явно заблокированных существующими правилами. Чтобы добавить в черный список новое устройство или набор устройств, создайте новое правило.

Смешанная среда с белым и черным списками

Помимо создания белого и черного списков, можно помещать новые мобильные устройства на карантин на время их оценки при подключении к организации. Например, при наличии черного списка мобильных устройств, запрещенных в организации, и белого списка мобильных устройств, разрешенных в организации, для параметра доступа организации по умолчанию можно установить значение карантина. Все другие устройства будут автоматически помещаться на карантин, что позволит легко обнаруживать новые устройства при их подключении к организации, а затем добавлять их в белый или черный список. На следующем рисунке показано мобильное устройство, помещенное на карантин для определенного пользователя.

Оперативный аудит

Оперативный аудит позволяет обнаружить все устройства, выполняющие в данный момент синхронизацию с сервером Exchange в организации. Чтобы настроить оперативный аудит, установите для параметра доступа организации по умолчанию значение карантина.

Список устройств, помещенных на карантин, будет создан в течение нескольких минут после переключения параметра доступа организации по умолчанию на значение карантина. Этот список можно использовать для создания белого и черного списков. Пользователи не смогут выполнять синхронизацию с сервером Exchange, пока не будут созданы белый и черный списки.

В начало

© Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены. Юридические сведения

---

• English-to-Russian translation

Мобильное устройство пользователя на карантине

Создание нового правила доступа устройства