Sommario
Server per dispositivi mobili Exchange
Un server per dispositivi mobili Exchange consente di gestire i dispositivi mobili connessi a un Administration Server utilizzando il protocollo Exchange ActiveSync (dispositivi EAS).
Come distribuire un server per dispositivi mobili Exchange
Se nell'organizzazione sono stati distribuiti più server Microsoft Exchange in un array del server Accesso client, è necessario installare un server per dispositivi mobili Exchange in ognuno dei server nell'array. L'opzione Modalità cluster deve essere abilitata nell'Installazione guidata del server per dispositivi mobili Exchange. In questo caso, il set di istanze del server per dispositivi mobili Exchange installato nei server dell'array è denominato cluster di server per dispositivi mobili Exchange.
Se nell'organizzazione non è stato distribuito alcun array del server Accesso client di server Microsoft Exchange, è necessario installare un server per dispositivi mobili Exchange in un server Microsoft Exchange che disponga di Accesso client. In questo caso, è necessario abilitare l'opzione Modalità standard nell'Installazione guidata del server per dispositivi mobili Exchange.
Insieme con il server per dispositivi mobili Exchange, è necessario installare nel dispositivo Network Agent, che consente di integrare il server per dispositivi mobili Exchange con Kaspersky Security Center.
L'ambito della scansione predefinito del server per dispositivi mobili Exchange è il dominio Active Directory corrente in cui è stato installato. La distribuzione di un server per dispositivi mobili Exchange in un server in cui è installato Microsoft Exchange Server (versioni 2010 e 2013) consente di espandere l'ambito della scansione, in modo da includere l'intera foresta di dominio nel server per dispositivi mobili Exchange (vedere la sezione "Configurazione dell'ambito della scansione"). Le informazioni richieste durante una scansione includono gli account degli utenti del server Microsoft Exchange, i criteri Exchange ActiveSync e i dispositivi mobili degli utenti connessi al server Microsoft Exchange tramite il protocollo Exchange ActiveSync.
Non è possibile installare più istanze di un server per dispositivi mobili Exchange in un singolo dominio se sono in esecuzione in Modalità standard e sono gestite da un unico Administration Server. Anche all'interno di una singola foresta di dominio Active Directory non è possibile installare più istanze di un server per dispositivi mobili Exchange (o più cluster di server per dispositivi mobili Exchange), se sono in esecuzione in Modalità standard con un ambito della scansione espanso che include l'intera foresta di dominio e sono connesse a un singolo Administration Server.
Diritti richiesti per la distribuzione di un server per dispositivi mobili Exchange
La distribuzione di un server per dispositivi mobili Exchange in Microsoft Exchange Server 2010 o 2013 richiede diritti di amministratore di dominio e il ruolo Gestione organizzazione. La distribuzione di un server per dispositivi mobili Exchange in Microsoft Exchange Server 2007 richiede diritti di amministratore di dominio e l'appartenenza al gruppo di sicurezza Exchange Organization Administrators.
Account per il servizio Exchange ActiveSync
Durante l'installazione di un server per dispositivi mobili Exchange, viene automaticamente creato un account in Active Directory:
- In Microsoft Exchange Server 2010 o 2013: l'account KLMDM4ExchAdmin***** con il ruolo KLMDM Role Group.
- In Microsoft Exchange Server 2007: l'account KLMDM4ExchAdmin*****, un membro del gruppo di sicurezza KLMDM Secure Group.
Il servizio Server per dispositivi mobili Exchange viene eseguito con questo account.
Se si desidera annullare la generazione automatica di un account, è necessario crearne uno personalizzato con i seguenti diritti:
- Se si utilizza Microsoft Exchange Server (2010 o 2013), all'account deve essere assegnato un ruolo che consenta di eseguire i seguenti cmdlet:
- Get-CASMailbox
- Set-CASMailbox
- Remove-ActiveSyncDevice
- Clear-ActiveSyncDevice
- Get-ActiveSyncDeviceStatistics
- Get-AcceptedDomain
- Set-AdServerSettings
- Get-ActiveSyncMailboxPolicy
- New-ActiveSyncMailboxPolicy
- Set-ActiveSyncMailboxPolicy
- Remove-ActiveSyncMailboxPolicy
- Se si utilizza Microsoft Exchange Server 2007, all'account devono essere concessi i diritti di accesso per gli oggetti di Active Directory (vedere la seguente tabella).
Diritti di accesso per gli oggetti di Active Directory
Accesso
Oggetto
Cmdlet
Completo
Thread "CN=Mobile Mailbox Policies,CN=<
Nome organizzazione>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Nome dominio>"Add-ADPermission -User <Nome utente o gruppo> -Identity "CN=Mobile Mailbox Policies,CN=<Nome organizzazione>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Nome dominio>" -InheritanceType All -AccessRight GenericAllLettura
Thread "CN=<
Nome organizzazione>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Nome dominio>"Add-ADPermission -User <Nome utente o gruppo> -Identity "CN=<Nome organizzazione>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Nome dominio>" -InheritanceType All -AccessRight GenericReadLettura/scrittura
Proprietà msExchMobileMailboxPolicyLink e msExchOmaAdminWirelessEnable per gli oggetti in Active Directory
Add-ADPermission -User <Nome utente o gruppo> -Identity "DC=<Nome dominio>" -InheritanceType All -AccessRight ReadProperty,WriteProperty -Properties msExchMobileMailboxPolicyLink, msExchOmaAdminWirelessEnableDiritto esteso ms-Exch-Store-Active
Archivi di cassette postali del server Exchange, thread "CN=Databases,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=<
Nome organizzazione>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Nome dominio>"Get-MailboxDatabase | Add-ADPermission -User <Nome utente o gruppo> -ExtendedRights ms-Exch-Store-Admin