Déploiement de Windows Phone avec Exchange 2010
Ahhhhh ! Rappelez-vous l’époque de Windows Mobile 5.0 MSFP avec Exchange 2003 SP2 ! La configuration des mobiles était très très simple et rapide à mettre en œuvre…. Maintenant avec Exchange 2010, c’est une autre histoire. Voici comment bien réussir son déploiement…
Voici les grandes étapes:
- Installez Exchange Server 2010 avec le rôle Client Access (je ne reviendrais pas sur ce sujet déjà abordé ici)
- Windows Updatez votre serveur
- Protéger les flux réseaux (SLL – certificat)
- Configurer votre firewall (ouverture du 443)
- Déployez une stratégie de sécurité
Rappel des nouveautés Windows Phone:
- Administration et sécurité améliorées
- Amélioration de la gestion des certificats
- Prise en charge de Sharepoint et des serveur de fichiers UNC
- Support de l’HTML
Exchange 2010 a amélioré la sécurité:
- Paramétrage des la fréquence de synchronisation
- Réglage du début et de la fin des heures de point
- Désactivation de la synchronisation (OTA) des emails et du calendrier
Amélioration des fonctionnalités Activesync dans Exchange Server 2010
Exchange Activesync est activé par défaut lors de l’installation du rôle Client Access. Voici les améliorations notables:
- Synchronisation des SMS Sync
- Envoi de SMS depuis Outlook version 14 et OWA
- Vue de type conversation
- Prise en charge améliorée des fonctions de communication unifiées
- Support des catégories dans les emails
- Surligne d’un mail reçu en copie cachée
- Nouveau champ disponible pour les rendez-vous
Best Practices pour votre déploiement
- Le fait d’éclater les rôles permet de diminuer la charge, Micosoft recommande donc d’installer le rôle Client Access sur un serveur séparé.
- Les sessions time-out de votre Firewall doivent être réglées à 30 minutes (1800 secondes)
- SSL recommandé ! Vérifiez au préalable les certificats racines de vos téléphones avant l’achat ! Sinon, vous allez devoir intervenir sur tous les smartphones…
- Si vous disposez de pare-feu Microsoft, mieux vaut publier un WEB qu’un serveur. (activation du Basic Authentication recommandé également)
Préconisations IIS
- Déployez un certificat SSL pour sécuriser le trafic
- Activez SSL sur le site par défaut
- Configurer authentification basique sur le répertoire virtuel Exchange ActiveSync. (\Microsoft-Server-Exchange ActiveSync)
Les certificats
Achetez un certificat et installez-le et faites une sauvegarde ( ! ) puis activez SSL pour le répertoire virtuel Exchange ActiveSync. Vous pouvez également sécurisez les répertoires virtuels \OWA, \Exchweb, et \Public.
NOTE: SSL est activé par défaut avec un certificat auto-signé. Si vous disposez d’iPhone, vous n’aurez pas de problème, mais si vous envisagez Windows Mobile, vous devrez achetez un certificat tiers car l’OS WM n’accepte pas les certificats auto-signés…
Stratégies de sécurité
Exchange 2010 a fait un sacré bond en avant au niveau du paramétrage ! Tour d’horizon:
- Mot de passe obligatoire pour accéder et configurer le smartphone
- Demande d’un minimum de longueur, complexité pour le mot de passe
- Blocage après X saisie de mauvais mot de passe
- Reset du téléphone à distance (même via OWA !)
- Reset de la carte de stockage (SD)
- Modification de l’intervalle de synchronisation
- Autorisation ou interdiction du téléchargement de pièce jointe sur le téléphone
- Paramétrage de la taille des pièces jointes
- Encryption sur la carte de stockage
- Password recovery
- Interdiction de mot de passe simple (0000 ou 6789, par exemple)
- Paramétrage d’un seuil de reset du téléphone ou de la carte SD si mauvais PIN
- Autorisation ou interdiction des accès à Sharepoint au ou fichiers (UNC)
Bref, dans les grandes lignes, par rapport à Exchange 2003/2007, peu de choses ont changées pour réussir un déploiement « basique ». Cependant Exchange 2010 offre des fonctionnalités avancées au niveau sécurité et administration, certainement très intéressantes à déployer !
Je travaille actuellement en tant qu’Enterprise Architect pour le groupe CAPGEMINI. Acteur et expert communautaire reconnu depuis de nombreuses années, j’anime ce site autour des technologies Microsoft, des thématiques du Cloud, des infrastructures, … Je suis également à l’origine de nombreuses publications dans la presse IT.