Существует три основных типа проверки подлинности, которые можно использовать для Exchange ActiveSync: обычная проверка подлинности, проверка подлинности на основе сертификатов и проверка подлинности на основе маркеров. При установке роли сервера клиентского доступа на компьютере под управлением Exchange 2010 выполняется настройка службы Exchange ActiveSync для использования обычной проверки подлинности с SSL. Чтобы установить SSL-подключение с помощью проверки подлинности на основе сертификатов, необходимо установить для мобильного устройства действительный сертификат клиента, созданный для проверки подлинности пользователя. Кроме того, на мобильном устройстве необходимо сохранить копию доверенного корневого сертификата с сервера. Сведения о конфигурации проверки подлинности на основе маркеров предоставляет поставщик маркеров.

Обычная проверка подлинности — это наиболее простой способ проверки подлинности. При обычной проверке подлинности сервер запрашивает у клиента имя пользователя и пароль, которые отправляются на сервер через Интернет в виде открытого текста. Сервер проверяет допустимость имени пользователя и пароля и предоставляет доступ клиенту. Этот вид проверки подлинности включен по умолчанию для Exchange ActiveSync. Тем не менее, рекомендуется отключить обычную проверку подлинности, если при этом не развернут протокол SSL. При использовании обычной проверки подлинности с SSL имя пользователя и пароль отправляются в виде обычного текста, но коммуникационный канал шифруется.

При проверке подлинности на основе сертификатов для проверки удостоверения используются цифровые сертификаты. Помимо имени пользователя и пароля необходимо предоставить другие учетные данные. Это позволяет подтвердить личность пользователя, который пытается получить доступ к ресурсам почтового ящика, сохраненным на сервере Exchange 2010. Цифровой сертификат состоит из двух компонентов — закрытого ключа, который хранится на устройстве, и открытого ключа, который устанавливается на сервере. Если настроить сервер Exchange 2010 для требования проверки подлинности на основе сертификатов для Exchange ActiveSync, синхронизация с Exchange 2010 будет выполняться только для устройств, отвечающих следующим требованиям:

• установлен допустимый сертификат клиента для устройства, который был создан для проверки подлинности пользователя;
  
  
• на устройстве установлен доверенный корневой сертификат сервера, к которому подключается пользователь для установки SSL-подключения.
  
  

Развертывание проверки подлинности на основе сертификатов предотвращает синхронизацию с Exchange 2010 пользователей, которые имеют только имя пользователя и пароль. Для повышения уровня безопасности можно установить сертификат клиента для проверки подлинности, только если устройство подключено к компьютеру, входящему в домен, с помощью Desktop ActiveSync 4.5 или более поздней версии в Windows XP или центра устройств Windows Mobile в Windows Vista или Windows 7.

Системы проверки подлинности на основе маркеров являются двухфакторными. При двухфакторной проверке подлинности используются данные, известные пользователю (например, пароль), и внешнее устройство, обычно в форме кредитной карты или брелока, которое пользователи могут носить с собой. Каждое устройство имеет уникальный серийный номер. Кроме аппаратных маркеров, некоторые поставщики предлагают программные маркеры, которые могут выполняться на мобильных устройствах.

Маркеры отображают уникальный номер (обычно длиной в шесть цифр), который изменяется каждые 60 секунд. При выдаче маркера пользователю он синхронизируется с программным обеспечением сервера. Чтобы выполнить проверку подлинности, пользователь вводит имя пользователя, пароль и номер, который в данный момент отображается маркером. В некоторых системах проверки подлинности на основе маркеров также требуется ввести ПИН.

Проверка подлинности на основе маркеров — надежный способ проверки подлинности. Ее недостатком является необходимость установки на сервере программного обеспечения для проверки подлинности и развертывание такого программного обеспечения на компьютерах и мобильных устройствах всех пользователей. Кроме того, существует риск потери внешнего устройства. Замена потерянных устройств может требовать значительных затрат. Тем не менее сторонние лица не смогут воспользоваться устройством без сведений для проверки подлинности первоначального пользователя.

Некоторые компании выдают системы проверки подлинности на основе маркеров. Одной из таких компаний является RSA. Ее продукт, SecurID, поставляется в различных формах, в том числе в виде брелока и кредитной карты. Маркер выдает одноразовый код проверки подлинности. Каждый код проверки подлинности действует в течение 60 секунд. На большинстве таких устройств также есть индикатор срока действия, например группа точек, которые исчезают при сокращении времени действия кода. Это не позволяет при вводе правильного кода истечь его сроку действия до завершения проверки подлинности. После завершения проверки подлинности пользователю не требуется выполнять ее повторно с помощью нового кода до выхода из системы (вручную или из-за истечения времени ожидания при бездействии устройства). Дополнительные сведения о настройке конкретной системы проверки подлинности на основе маркеров см. в ее документации.