it-swarm-korea.com

안전하지 않은 iPhone이 ActiveSync에 액세스하지 못하도록 차단

IPhone 3GS와 iPhone 4 (및 최신 iPad)가 모두 로컬 장치 암호화 를 지원한다는 점을 고려할 때, 어떻게이를 secure 장치가 ActiveSync 엔드 포인트에 연결할 수 있습니까?

즉, 이전 iPhone 및 iPad (로컬 암호화를 지원하지 않음)가 서버에 액세스하고 첨부 파일이있는 메시지를 보호되지 않은 저장소에 다운로드하는 것을 어떻게 방지합니까?

6
goodguys_activate

Exchange 2010/Windows R2

Exchange 2010에는 이러한 기능이 많이 기본 제공되며, 2008R2의 IIS에서는 아래 2003 솔루션과 유사한 URL을 필터링 할 수있는 기능이 있습니다.

  1. 이 특수 URL을 통해 OWA로 이동합니다. https://mail.yourcompany.com/ ecp /
  2. "전화 및 음성"을 클릭하십시오.
  3. 새 "장치 액세스 규칙"을 생성하고이를 격리 또는 iPhone 허용으로 구성합니다.
  4. DeviceModel과 DeviceFamily 사이에는 실질적인 차이가 없습니다.
  5. (아직 개인적으로 테스트하지 않음) IISManager에서 요청 필터링을 엽니 다.
  6. 오른쪽으로 스크롤하여 쿼리 문자열을 편집합니다.
  7. 아래 URL 표에 따라 적절한 블록을 추가하십시오.

명령 줄 중독자는 장치 및 기본 정책도 관리 할 수 ​​있습니다. 내가 알 수있는 한, ECP와 명령 줄 사이에는 완전한 기능 패리티가 있습니다.

Get-ActiveSyncOrganizationSettings | fl UserMailInsert, AdminMailRecipients, DafaultAccessLevel
Set-ActiveSyncOrganizationSettings -UserMailInsert "Your phone has not been approved, contact IT at x443 to enable email access for this phone" -AdminMailRecipients [email protected]

Exchange 2003/Windows 2003

액세스를 제어하기 위해 각 Exchange 2003/프런트 엔드 서버에 Mod_Rewrite (IIS에 대한 Apache 포트)를 설치했습니다.

다음은 프로덕션에 적용 할 계획이며 User_Agent 필드를 기반으로 이러한 서버에 대한 액세스를 차단합니다. 참고 :이 규칙 세트는 아직 테스트 중이며 수정 될 수 있습니다. 의견이 있으면 추가해주세요.

############## RULE 1 ############### 
# 
# Exclude Disallowed Devices 
# 

#Do match and prevent version 4.3.2  (Part 1)
# RewriteCond %{HTTP_USER_AGENT} Apple-iPhone2C1/801.8* [NC,OR] 
# RewriteCond %{HTTP_USER_AGENT} Apple-iPhone3C1/808.8* [NC,OR] 
# RewriteCond %{HTTP_USER_AGENT} Apple-iPad2C3/808.8* [NC,OR] 

#Do match and prevent version 4.3.2  (Part 2)
# RewriteCond %{HTTP_USER_AGENT} Apple-iPhone2C1/801.7* [NC,OR] 
# RewriteCond %{HTTP_USER_AGENT} Apple-iPhone3C1/808.7* [NC,OR] 
# RewriteCond %{HTTP_USER_AGENT} Apple-iPad2C1/808.7* [NC,OR] 
# RewriteCond %{HTTP_USER_AGENT} Apple-iPad1C1/808.7* [NC,OR] 

#Do match and prevent version 4.0  
RewriteCond %{HTTP_USER_AGENT} Apple-iPhone2C1/801.293.* [NC,OR] 
RewriteCond %{HTTP_USER_AGENT} Apple-iPhone3C1/801.293.* [NC,OR] 

#Do match and prevent version 3.13 ,  3.21 , 3.2 
RewriteCond %{HTTP_USER_AGENT} Apple-iPhone2C1/70.* [NC,OR] 
RewriteCond %{HTTP_USER_AGENT} Apple-iPhone3C1/70.* [NC,OR] 

#Do match and prevent iPad version 3.2 (7b367)
RewriteCond %{HTTP_USER_AGENT} Apple-iPad/702.* [NC,OR] 

#Do match and prevent iPad version 3.3X? 
RewriteCond %{HTTP_USER_AGENT} Apple-iPad1C1/702.500.* [NC] 
RewriteRule ^(.*)$ http://www.nfp.com?rule1 [R=301,L] 

############## RULE 2 ############### 
# 
#  Only Permit iPhones and iPads to connect.   
#  If they got this far, then they are not a banned / blacklisted device. 
# 

RewriteCond %{HTTP_USER_AGENT} .*iPhone.* [NC] 
# Do not alter the URL, and let it come through unmodified. 
RewriteRule ^.*$ - [NC,L] 

RewriteCond %{HTTP_USER_AGENT} .*iPad.* [NC] 
# Do not alter the URL, and let it come through unmodified. 
RewriteRule ^.*$ - [NC,L] 

############## RULE 3 ############### 
# 
# Block all other devices,  deny rule 
# 
RewriteRule ^(.*)$ http://www.nfp.com/?rule=3 [L,R=301] 

#Device Reference
#iPhone Simulator == i386
#iPhone == iPhone
#3G iPhone == iPhone1C2
#3GS iPhone == iPhone2C1
#4 iPhone == iPhone3C1
#1st Gen iPod == iPod1C1
#2nd Gen iPod == iPod2C1
#3rd Gen iPod == iPod3C1
#Apple-iPad1C1


# The 1st part of that string is always just "Apple-".
# The 2nd part of the string is DeviceType and is defined just
# like the URL above and is either "iPhone" or "iPad".
# The 3rd part of that string is just a delimiter "/".
# The 4th and final part of that string is the software version formatted in a way that Exchange Servers can digest it.

# Here's an example of creating that 4th part of the string using software build version for iPhone which is 7E18 aka iPhone OS 3.1.3.

# The first number from 7E18 (the 7) will become a "7" in the translated string.
# The first letter from 7E18 (the E) will become a "05" since it is the 5th letter of the English alphabet.
# Then you insert a "." (dot).
# The second number from 7E18 (the 18) will become "18".  It will be padded with zeros to be 3 digits
5
goodguys_activate

로컬 암호화를 사용하는 장비라도 암호 잠금이 없을 수 있으며 iTunes를 통해 암호화되지 않은 볼륨으로 백업 될 수 있습니다. 해당 볼륨이 랩톱에 있으면 휴대 가능하고 잃어 버릴 수 있습니다.

6
user185

인증서 기반 인증을 사용할 수 있습니다. 인증서를 제공하지 않으면 인증 할 수 없습니다. 여기에 링크가 하나 있지만 Exchange 버전에 따라 다를 수 있습니다.

이렇게하면 모바일 장치를 지원하려는 경우 약간의 운영 오버 헤드가 추가되고 인증서를 제공하고 설치해야합니다. 그러나 연결할 수있는 장치와 연결할 수없는 장치를 선택할 수 있습니다.

http://technet.Microsoft.com/en-us/library/bb430770.aspx

편집 : 인증서로 ActiveSync 설정에 대한 링크 추가.

http://www.expta.com/2010/02/how-to-securely-deploy-iphones-with.html

http://images.Apple.com/iphone/business/docs/iPhone_Certificates.pdf

3
Wayne

Good Technology 's 제품 평가를 고려할 수 있습니다. 우려 사항을 해결하고 더 광범위한 장치를 안전하게 지원할 수있는 것처럼 보입니다. 불행히도 소프트웨어 계층을 추가하고 비용을 증가시킬 수 있습니다.

3
sdanelson

iPhone 엔터프라이즈 배포 가이드 에는 암호화되지 않은 iOS 장치가 서비스에 연결하지 못하도록 방지하는 "장치 암호화 필요"정책을 언급하는 Exchange ActiveSync 섹션이 있습니다.

3
Rory McCune

Codeproof MDM은 Exchange Server와 통합되며 다양한 장치 속성을 가진 장치를 차단/허용하는 다양한 규칙을 제공합니다. 그것을 확인하고 싶을 수도 있습니다.


공개 : 저는 Codeproof를 위해 일합니다.

--------- 회원 요청에 따라 추가 세부 정보 ---------------

Codeproof는 사용하기 쉽고 저렴하며 SaaS 기반 MDM 서비스입니다. 최근에 "Codeproof SecureSync"라는 새로운 Exchange ActiveSync 보안 기능을 추가했습니다. Codeproof 계정과 통신하는 교환 플러그인을 개발했습니다. 탈옥 된 장치 차단, 잠금 해제 된 장치 등과 같은 장치를 허용/차단하는 다양한 규칙을 설정할 수 있습니다. 일부 규칙을 사용하려면 모바일 장치에 Codeproof Agent App을 설치해야합니다.

관리 콘솔 UI :

Codeproof SecureSync

1
Satish Shetty