Implementando iPhone e iPad Exchange ActiveSync - Apple
Implementando iPhone e iPad Exchange ActiveSync - Apple
Implementando iPhone e iPad Exchange ActiveSync - Apple
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Políticas de seguridad compatibles con<br />
<strong>Exchange</strong> <strong>ActiveSync</strong><br />
• Borrado remoto<br />
• Dispositivos con contraseña<br />
• Tamaño mínimo de contraseña<br />
• Intentos máximos fallidos de ingreso de<br />
contraseña (antes de Borrado local)<br />
• Solicitud de números y letras<br />
• Tiempo de inactividad en minutos<br />
(1 a 60 minutos)<br />
Políticas adicionales de <strong>Exchange</strong><br />
<strong>ActiveSync</strong> (sólo para <strong>Exchange</strong> 2007<br />
y 2010)<br />
• Permitir o prohibir contraseñas simples<br />
• Expiración de contraseñas<br />
• Historial de contraseñas<br />
• Intervalo de renovación de políticas<br />
• Número mínimo de caracteres complejos<br />
en la contraseña<br />
• Activación de la sincronización manual<br />
durante la itinerancia<br />
• Activación de la cámara<br />
• Activación de la navegación web<br />
<strong>Implementando</strong> <strong>iPhone</strong> e <strong>iPad</strong><br />
<strong>Exchange</strong> <strong>ActiveSync</strong><br />
<strong>iPhone</strong> e <strong>iPad</strong> se comunican directamente con tu Microsoft <strong>Exchange</strong> Server a través de<br />
Microsoft <strong>Exchange</strong> <strong>ActiveSync</strong> (EAS), lo que cual permite actualizar correos, calendarios,<br />
contactos y tareas. Con <strong>Exchange</strong> <strong>ActiveSync</strong>, los usuarios también pueden acceder a<br />
la lista global de direcciones (GAL), y los administradores, a las capacidades de borrado<br />
remoto y ejecución de políticas con contraseñas. iOS es compatible con la autenticación<br />
básica y basada en certificados para <strong>Exchange</strong> <strong>ActiveSync</strong>. Si tu empresa es compatible<br />
con <strong>Exchange</strong> <strong>ActiveSync</strong>, tienes los servicios necesarios para implementar el <strong>iPhone</strong> y<br />
el <strong>iPad</strong>, sin necesidad de configuración adicional. Si tienes <strong>Exchange</strong> Server 2003, 2007 ó<br />
2010, pero tu compañía es nueva en <strong>Exchange</strong> <strong>ActiveSync</strong>, consulta los pasos siguientes.<br />
Configuración de <strong>Exchange</strong> <strong>ActiveSync</strong><br />
Descripción de la configuración de red<br />
• Verifica que el puerto 443 esté abierto en el firewall. Si tu compañía permite el acceso<br />
web a Outlook, posiblemente el puerto 443 ya esté abierto.<br />
• En el servidor de front-end, verifica que el certificado del servidor esté instalado y<br />
habilita SSL para el directorio virtual de <strong>Exchange</strong> <strong>ActiveSync</strong> en IIS.<br />
• Si estás usando un servidor ISA (Internet Security and Acceleration) de Microsoft, verifica<br />
que haya instalado un certificado de servidor y actualiza el DNS público para resolver las<br />
conexiones entrantes.<br />
• Asegúrate que el DNS de tu red devuelve una única dirección con ruta externa para el<br />
servidor <strong>Exchange</strong> <strong>ActiveSync</strong> en clientes de intranet e Internet. Esto es necesario para<br />
que el dispositivo pueda usar la misma dirección IP para comunicarse con el servidor<br />
cuando ambos tipos de conexiones están activas.<br />
• Si estás usando un servidor ISA de Microsoft, crea un “web listener”, así como una regla<br />
de publicación de acceso al cliente web de <strong>Exchange</strong>. Consulta la documentación de<br />
Microsoft para ver más detalles.<br />
• Para todos los firewalls y dispositivos de red, define el tiempo de espera de sesión<br />
inactiva en 30 minutos. Para obtener información sobre los intervalos de latidos y<br />
espera, consulta la documentación de Microsoft <strong>Exchange</strong> en http://technet.microsoft.<br />
com/es-mx/library/cc182270(en-us).aspx.<br />
• Configura las funciones móviles, las políticas y la configuración del dispositivo de<br />
seguridad con el administrador del sistema de <strong>Exchange</strong>. Para <strong>Exchange</strong> Server 2007 y<br />
2010 puedes hacer esto en la consola de administración de <strong>Exchange</strong>.<br />
• Descarga e instala la herramienta web de administración móvil de Microsoft <strong>Exchange</strong><br />
<strong>ActiveSync</strong>, necesaria para iniciar un borrado remoto. Para <strong>Exchange</strong> Server 2007 y<br />
2010, el borrado remoto también puede ser iniciado mediante Outlook Web Access o la<br />
consola de administración de <strong>Exchange</strong>.
Otros servicios de <strong>Exchange</strong> <strong>ActiveSync</strong><br />
• Búsqueda en la lista global de direcciones<br />
• Acepta y crea invitaciones del calendario<br />
• Sincroniza tareas<br />
• Marca mensajes de correo electrónico con<br />
banderas<br />
• Sincroniza las banderas de Respuesta y<br />
Envío con <strong>Exchange</strong> Server 2010<br />
• Búsqueda de Mail en <strong>Exchange</strong> Server<br />
2007 y 2010<br />
• Soporte para varias cuentas de <strong>Exchange</strong><br />
<strong>ActiveSync</strong><br />
• Autenticación basada en certificados<br />
• Actualización de correos en carpetas<br />
seleccionadas<br />
• Identificación automática<br />
Autenticación básica (nombre de usuario y contraseña)<br />
• Habilita <strong>Exchange</strong> <strong>ActiveSync</strong> para los usuarios o grupos específicos que usan el<br />
servicio Active Directory. Esto está habilitado de forma predeterminada en todos los<br />
dispositivos móviles a nivel de la organización en <strong>Exchange</strong> Server 2003, 2007 y 2010.<br />
Para <strong>Exchange</strong> Server 2007 y 2010, consulta la configuración del destinatario en la<br />
consola de administración de <strong>Exchange</strong>.<br />
• <strong>Exchange</strong> <strong>ActiveSync</strong> está configurado de forma predeterminada para la autenticación<br />
básica del usuario. Se recomienda que habilites SSL para la autenticación básica, lo<br />
cual garantiza la encriptación de las credenciales durante la autenticación.<br />
Autenticación basada en certificados<br />
• Instala los servicios de certificados corporativos en un servidor miembro o controlador<br />
de dominio en tu dominio (este será tu servidor de autoridad de certificación).<br />
• Configura IIS en tu servidor de front-end o servidor de acceso cliente de <strong>Exchange</strong><br />
para aceptar la autenticación basada en certificados en el directorio virtual de<br />
<strong>Exchange</strong> <strong>ActiveSync</strong>.<br />
• Para permitir o requerir certificados para todos los usuarios, deshabilita la “Autenticación<br />
básica” y selecciona “Aceptar certificados cliente” o “Requerir certificados cliente”.<br />
• Genera certificados cliente usando tu servidor de autoridad de certificación. Exporta<br />
la clave pública y configura IIS para usar esta clave. Exporta la clave privada y usa un<br />
perfil de configuración para generar esta clave en el <strong>iPhone</strong> y el <strong>iPad</strong>. La autenticación<br />
basada en certificados sólo puede ser configurada usando un perfil de configuración.<br />
Para más información sobre servicios de certificados, consulta los recursos disponibles<br />
en Microsoft.<br />
2
Escenario de implementación de <strong>Exchange</strong> <strong>ActiveSync</strong><br />
Este ejemplo muestra cómo el <strong>iPhone</strong> y el <strong>iPad</strong> se conectan a una implementación normal de Microsoft <strong>Exchange</strong> Server 2003, 2007 ó 2010.<br />
Perfil de configuración<br />
1<br />
2<br />
3<br />
4<br />
5<br />
6<br />
Internet<br />
Mail Gateway o<br />
Edge Transport Server*<br />
Firewall Firewall<br />
443<br />
1<br />
Clave privada (certificado)<br />
Servidor proxy<br />
Bridgehead o<br />
Hub Transport Server<br />
*Dependiendo de la configuración de tu red, el Mail Gateway o Edge Transport Server puede residir en la red del perímetro (DMZ).<br />
Servidor de certificados<br />
Directorio Activo<br />
Servidor de front-end o de<br />
acceso cliente de <strong>Exchange</strong><br />
<strong>Exchange</strong> Mailbox o<br />
Back-End Server(s)<br />
Clave pública<br />
(certificado)<br />
El <strong>iPhone</strong> y el <strong>iPad</strong> solicitan acceso a los servicios de <strong>Exchange</strong> <strong>ActiveSync</strong> en el puerto 443 (HTTPS) (este es el mismo puerto usado por<br />
Outlook Web Access y otros servicios web seguros, por lo que, en muchas implementaciones, este puerto ya está abierto y configurado para el<br />
tráfico HTTPS encriptado en SSL).<br />
ISA brinda acceso al servidor de front-end o de acceso cliente de <strong>Exchange</strong>. ISA está configurado como un proxy o, en muchos casos, como un<br />
proxy inverso, para dirigir el tráfico a <strong>Exchange</strong> Server.<br />
<strong>Exchange</strong> Server autentica al usuario entrante a través del servicio Active Directory y el servidor de certificados (si emplea autenticación basada<br />
en certificados).<br />
Si el usuario brinda las credenciales apropiadas y tiene acceso a los servicios de <strong>Exchange</strong> <strong>ActiveSync</strong>, el servidor de front-end establece una<br />
conexión a la casilla de correo apropiada en el servidor de back-end (a través del catálogo global de Active Directory).<br />
Se establece la conexión a <strong>Exchange</strong> <strong>ActiveSync</strong>. Las actualizaciones/cambios son empujados de forma inalámbrica, y cualquier cambio en el<br />
<strong>iPhone</strong> y el <strong>iPhone</strong> se ve reflejado en <strong>Exchange</strong> Server.<br />
El envío de elementos de correo en <strong>iPhone</strong> también está sincronizado con <strong>Exchange</strong> Server vía <strong>Exchange</strong> <strong>ActiveSync</strong> (paso 5). Para dirigir el<br />
correo saliente a destinatarios externos, el correo suele ser enviado a través de un Bridgehead (o Hub Transport) Server hacia un Mail Gateway<br />
(o Edge Transport Server) externo vía SMTP. Dependiendo de la configuración de tu red, el Mail Gateway o Edge Transport Server externo puede<br />
residir dentro de la red del perímetro o fuera del firewall.<br />
© 2011 <strong>Apple</strong> Inc. Todos los derechos reservados. <strong>Apple</strong>, el logo <strong>Apple</strong>, <strong>iPhone</strong>, <strong>iPad</strong> y Mac OS son marcas comerciales de <strong>Apple</strong> Inc., registradas en los EE.UU. y en otros países. Otros nombres de productos y<br />
compañías mencionados aquí pueden ser marcas registradas de sus respectivas compañías. Las especificaciones de productos están sujetas a cambios sin previo aviso. Este material ese provisto solo a título<br />
informativo; <strong>Apple</strong> no asume responsabilidad relacionada con su uso. Octubre 2011 L419822B<br />
6<br />
2<br />
3<br />
5<br />
4<br />
3