Implementando iPhone e iPad Exchange ActiveSync - Apple

Políticas de seguridad compatibles con
Exchange ActiveSync
• Borrado remoto
• Dispositivos con contraseña
• Tamaño mínimo de contraseña
• Intentos máximos fallidos de ingreso de
contraseña (antes de Borrado local)
• Solicitud de números y letras
• Tiempo de inactividad en minutos
(1 a 60 minutos)
Políticas adicionales de Exchange
ActiveSync (sólo para Exchange 2007
y 2010)
• Permitir o prohibir contraseñas simples
• Expiración de contraseñas
• Historial de contraseñas
• Intervalo de renovación de políticas
• Número mínimo de caracteres complejos
en la contraseña
• Activación de la sincronización manual
durante la itinerancia
• Activación de la cámara
• Activación de la navegación web
Implementando iPhone e iPad
Exchange ActiveSync
iPhone e iPad se comunican directamente con tu Microsoft Exchange Server a través de
Microsoft Exchange ActiveSync (EAS), lo que cual permite actualizar correos, calendarios,
contactos y tareas. Con Exchange ActiveSync, los usuarios también pueden acceder a
la lista global de direcciones (GAL), y los administradores, a las capacidades de borrado
remoto y ejecución de políticas con contraseñas. iOS es compatible con la autenticación
básica y basada en certificados para Exchange ActiveSync. Si tu empresa es compatible
con Exchange ActiveSync, tienes los servicios necesarios para implementar el iPhone y
el iPad, sin necesidad de configuración adicional. Si tienes Exchange Server 2003, 2007 ó
2010, pero tu compañía es nueva en Exchange ActiveSync, consulta los pasos siguientes.
Configuración de Exchange ActiveSync
Descripción de la configuración de red
• Verifica que el puerto 443 esté abierto en el firewall. Si tu compañía permite el acceso
web a Outlook, posiblemente el puerto 443 ya esté abierto.
• En el servidor de front-end, verifica que el certificado del servidor esté instalado y
habilita SSL para el directorio virtual de Exchange ActiveSync en IIS.
• Si estás usando un servidor ISA (Internet Security and Acceleration) de Microsoft, verifica
que haya instalado un certificado de servidor y actualiza el DNS público para resolver las
conexiones entrantes.
• Asegúrate que el DNS de tu red devuelve una única dirección con ruta externa para el
servidor Exchange ActiveSync en clientes de intranet e Internet. Esto es necesario para
que el dispositivo pueda usar la misma dirección IP para comunicarse con el servidor
cuando ambos tipos de conexiones están activas.
• Si estás usando un servidor ISA de Microsoft, crea un “web listener”, así como una regla
de publicación de acceso al cliente web de Exchange. Consulta la documentación de
Microsoft para ver más detalles.
• Para todos los firewalls y dispositivos de red, define el tiempo de espera de sesión
inactiva en 30 minutos. Para obtener información sobre los intervalos de latidos y
espera, consulta la documentación de Microsoft Exchange en http://technet.microsoft.
com/es-mx/library/cc182270(en-us).aspx.
• Configura las funciones móviles, las políticas y la configuración del dispositivo de
seguridad con el administrador del sistema de Exchange. Para Exchange Server 2007 y
2010 puedes hacer esto en la consola de administración de Exchange.
• Descarga e instala la herramienta web de administración móvil de Microsoft Exchange
ActiveSync, necesaria para iniciar un borrado remoto. Para Exchange Server 2007 y
2010, el borrado remoto también puede ser iniciado mediante Outlook Web Access o la
consola de administración de Exchange.

Otros servicios de Exchange ActiveSync
• Búsqueda en la lista global de direcciones
• Acepta y crea invitaciones del calendario
• Sincroniza tareas
• Marca mensajes de correo electrónico con
banderas
• Sincroniza las banderas de Respuesta y
Envío con Exchange Server 2010
• Búsqueda de Mail en Exchange Server
2007 y 2010
• Soporte para varias cuentas de Exchange
ActiveSync
• Autenticación basada en certificados
• Actualización de correos en carpetas
seleccionadas
• Identificación automática
Autenticación básica (nombre de usuario y contraseña)
• Habilita Exchange ActiveSync para los usuarios o grupos específicos que usan el
servicio Active Directory. Esto está habilitado de forma predeterminada en todos los
dispositivos móviles a nivel de la organización en Exchange Server 2003, 2007 y 2010.
Para Exchange Server 2007 y 2010, consulta la configuración del destinatario en la
consola de administración de Exchange.
• Exchange ActiveSync está configurado de forma predeterminada para la autenticación
básica del usuario. Se recomienda que habilites SSL para la autenticación básica, lo
cual garantiza la encriptación de las credenciales durante la autenticación.
Autenticación basada en certificados
• Instala los servicios de certificados corporativos en un servidor miembro o controlador
de dominio en tu dominio (este será tu servidor de autoridad de certificación).
• Configura IIS en tu servidor de front-end o servidor de acceso cliente de Exchange
para aceptar la autenticación basada en certificados en el directorio virtual de
Exchange ActiveSync.
• Para permitir o requerir certificados para todos los usuarios, deshabilita la “Autenticación
básica” y selecciona “Aceptar certificados cliente” o “Requerir certificados cliente”.
• Genera certificados cliente usando tu servidor de autoridad de certificación. Exporta
la clave pública y configura IIS para usar esta clave. Exporta la clave privada y usa un
perfil de configuración para generar esta clave en el iPhone y el iPad. La autenticación
basada en certificados sólo puede ser configurada usando un perfil de configuración.
Para más información sobre servicios de certificados, consulta los recursos disponibles
en Microsoft.
2

Escenario de implementación de Exchange ActiveSync
Este ejemplo muestra cómo el iPhone y el iPad se conectan a una implementación normal de Microsoft Exchange Server 2003, 2007 ó 2010.
Perfil de configuración
1
2
3
4
5
6
Internet
Mail Gateway o
Edge Transport Server*
Firewall Firewall
443
1
Clave privada (certificado)
Servidor proxy
Bridgehead o
Hub Transport Server
*Dependiendo de la configuración de tu red, el Mail Gateway o Edge Transport Server puede residir en la red del perímetro (DMZ).
Servidor de certificados
Directorio Activo
Servidor de front-end o de
acceso cliente de Exchange
Exchange Mailbox o
Back-End Server(s)
Clave pública
(certificado)
El iPhone y el iPad solicitan acceso a los servicios de Exchange ActiveSync en el puerto 443 (HTTPS) (este es el mismo puerto usado por
Outlook Web Access y otros servicios web seguros, por lo que, en muchas implementaciones, este puerto ya está abierto y configurado para el
tráfico HTTPS encriptado en SSL).
ISA brinda acceso al servidor de front-end o de acceso cliente de Exchange. ISA está configurado como un proxy o, en muchos casos, como un
proxy inverso, para dirigir el tráfico a Exchange Server.
Exchange Server autentica al usuario entrante a través del servicio Active Directory y el servidor de certificados (si emplea autenticación basada
en certificados).
Si el usuario brinda las credenciales apropiadas y tiene acceso a los servicios de Exchange ActiveSync, el servidor de front-end establece una
conexión a la casilla de correo apropiada en el servidor de back-end (a través del catálogo global de Active Directory).
Se establece la conexión a Exchange ActiveSync. Las actualizaciones/cambios son empujados de forma inalámbrica, y cualquier cambio en el
iPhone y el iPhone se ve reflejado en Exchange Server.
El envío de elementos de correo en iPhone también está sincronizado con Exchange Server vía Exchange ActiveSync (paso 5). Para dirigir el
correo saliente a destinatarios externos, el correo suele ser enviado a través de un Bridgehead (o Hub Transport) Server hacia un Mail Gateway
(o Edge Transport Server) externo vía SMTP. Dependiendo de la configuración de tu red, el Mail Gateway o Edge Transport Server externo puede
residir dentro de la red del perímetro o fuera del firewall.
© 2011 Apple Inc. Todos los derechos reservados. Apple, el logo Apple, iPhone, iPad y Mac OS son marcas comerciales de Apple Inc., registradas en los EE.UU. y en otros países. Otros nombres de productos y
compañías mencionados aquí pueden ser marcas registradas de sus respectivas compañías. Las especificaciones de productos están sujetas a cambios sin previo aviso. Este material ese provisto solo a título
informativo; Apple no asume responsabilidad relacionada con su uso. Octubre 2011 L419822B
6
2
3
5
4
3