Алексей Лукаш
Олег СенченкоНастройка почтовых клиентов для мобильных устройств
Алексей ЛукашОлег СенченкоАлексей ЛукашОлег СенченкоАлексей ЛукашОлег СенченкоМобильные устройства часто используются для работы с конфиденциальными данными, поэтому безопасная настройка почтовых клиентов для мобильных устройств играет важную роль в обеспечении киберустойчивости организации. Применение современных методов шифрования и аутентификации позволит обеспечить высокий уровень защищенности информации от несанкционированного доступа.
Подходы к организации доступа мобильных клиентов через интернет по протоколу ActiveSync, приведенные в этом разделе, применяются:
Протокол ActiveSync используется для подключения мобильных клиентов. В зависимости от требований и возможностей существуют несколько вариантов организации доступа мобильных клиентов.
Ниже перечислены варианты организации доступа в порядке убывания их эффективности с точки зрения информационной безопасности:
Предварительные условия для настройки аутентификации по сертификатам для мобильных клиентов и (или) Outlook on the web (Outlook Web App):
Описание процесса настройки аутентификации по сертификатам представлено на сайте Microsoft по ссылке.
После настройки необходимо проверить, что базовая аутентификация (basic access authentication) отключена для мобильных клиентов (подробная информация доступна в разделе Step 4 по ссылке).
Настройка карантина для новых мобильных устройств применяется:
Карантин — временная блокировка нового устройства после первого его подключения по протоколу ActiveSync.
Пример команды для включения политики карантина по умолчанию для всех новых устройств:
Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Quarantine -AdminMailRecipients will@contoso.com,roger@contoso.com
ВАЖНО! Перед включением политики карантина необходимо для каждого почтового ящика добавить в список ActiveSyncAllowedDeviceIDs перечень ID тех устройств, которые активны у пользователя. В противном случае после включения режима карантина все существующие у пользователей устройства перейдут в статус «в карантине» и перестанут получать почту с сервера Microsoft Exchange.
Получить текущий список мобильных устройств пользователя можно с помощью команды:
Get-ActiveSyncDeviceStatistics -Mailbox \<username\> \| select DeviceID, LastSuccessSync
Удаленное управление мобильными устройствами применяется:
Ограничьте использование мобильных почтовых клиентов только приложением Microsoft Outlook для iOS или Android (подробная информация доступна в разделе Device access policy по ссылке). Альтернативные мобильные клиенты игнорируют настройку и требования политик, распространяемых с сервера Microsoft Exchange на мобильных клиентов, и потому не могут использоваться.
В политиках для мобильных устройств (подробная информация доступна по ссылке) настройте следующие требования к мобильному устройству:
Применение мобильных устройств сопряжено с рисками потери, кражи и компрометации самих устройств, а также их содержимого. Причем устройства не всегда могут принадлежать организации. Политика BYOD (bring your own device) позволяет использовать собственную технику для выполнения рабочих задач. Самый частый пример — использование клиента электронной почты, подключенного к почтовому серверу компании. Ниже представлены инструкции как для личных, так и для корпоративных устройств, которые должны быть выполнены в случае утраты или компрометации этих устройств.
В случае если настроено удаленное управление устройствами, воспользуйтесь функцией удаленной очистки данных (подробная информация доступна по ссылке). Если такое управление не настроено, смотрите ниже пункт 2 «Личное устройство».
Получите список устройств пользователя, которые подключены к его почтовому ящику, с помощью команды:
Get-MobileDeviceStatistics.
Далее действуйте по одному из вариантов:
Set-CasMailbox -Identity \<MailboxIdentity\> -ActiveSyncEnabled \<$true \| $false\>.При этом любые подключения по протоколу ActiveSync к этому почтовому ящику будут запрещены (подробная информация доступна по ссылке).
Get-MobileDeviceStatisticsА затем заблокируйте устройство с помощью команды:
Set-CASMailbox -Identity \<username\> -ActiveSyncBlockedDeviceIDs @{add=’DeviceId’}, где DeviceId — идентификационный номер устройства, определенный на первом шаге.
Все эти действия можно выполнить из графического интерфейса Exchange Admin Center, выбрав в свойствах конкретного почтового ящика пункт меню Mailbox features, затем раздел Phone and Voice Features и далее раздел Mobile Devices.