Khám phá các tính năng nâng cao của Exchange ActiveSync trong
Exchange Server 2007 SP1
Exchange Server 2007 Service Pack 1 (SP1) có chứa các tính năng nâng cao
xung quanh Exchange ActiveSync (EAS). Bạn sẽ thấy được xuyên suốt bài
này, một chính sách Exchange ActiveSync mặc định mới được giới thiệu trong
nó. Một số thiết lập chính sách Exchange ActiveSync mới cũng được giới
thiệu. Thêm vào đó, Exchange Front End trong nhóm Exchange Product đã b
ảo
đảm rằng thông báo xác nhận đã xóa email từ xa được gửi đến đúng hộp thư
của người dùng tương ứng khi quá trình xóa được thực hiện thành công, điều
này là để người dùng biết rằng thiết bị di động của anh ta đã được khởi động
lại về chế độ mặc định của nhà máy. Cuối cùng, giao thức Direct Push cũng
được nâng cao. Thực chất của vấn đề là dữ liệu đã gửi giữa các thiết bị di động
và máy chủ Client Access đã giảm đáng kể so với phiên bản Exchange Server
2007 RTM.

Lưu ý:
Hầu hết các thiết bị di động Windows mới và các tính năng nâng cao trong
Exchange Server 2007 SP1 đều yêu cầu giao thức Exchange ActiveSync phiên
bản 12.1.Giao thức EAS đã có trong Windows Mobile 6.0 RTM, khi đó nó là
phiên bản 12.0, nghĩa là thiết bị di động của bạn cần phải nâng cấp trước khi
khai thác được thế mạnh từ các tính năng mới của Exchange Server 2007 SP1
và các nâng cao đã thảo luận trong bài này.

Lưu ý:
Bài này được dựa trên Exchange Server 2007 SP1 Beta 2 (phiên bản thử
nghiệm 2). Điều đó có nghĩa là các tính năng của EAS được giới thiệu trong
bài này vẫn có thể thay đổi trước khi có Exchange Server 2007 SP1 RTM.

Chính sách mặc định mới của Exchange ActiveSync

Với Exchange Server 2007 SP1, một chính sách Exchange ActiveSync mới sẽ
được mặc định bổ sung tự động trong suốt quá trình cài đặt Client Access
Server role như những gì thể hiện trong hình 1 bên dưới. Hầu hết các bạn đều
biết có thể tạo thủ công và gán một chính sách EAS cho các hộp thư của người
dùng trong phiên bản Exchange 2007 RTM.

Hình 1: Chính sách Exchange ActiveSync mặc định
Lưu ý rằng thậm chí khi bạn nâng cấp một Exchange 2007 server đang tồn tại,
với Client Access Server role đã cài đặt đối với Exchange Server 2007 SP1, th
ì
chính sách mặc định mới này sẽ được tạo và gán một cách tự động tới tất cả
các hộp thư của người dùng Exchange 2007 vẫn chưa được gán chính sách
EAS (Hình 2).

Hình 2: Chính sách mặc định được gán cho hộp thư của người dùng
Chính sách EAS mặc định mới được cấu hình khá lỏng lẻo, điều đó có nghĩa l
à
nó không cung cấp sự bảo mật như được yêu cầu trong hầu hết các tổ chức
doanh nghiệp CNTT (thậm chí nó còn cho phép một số thiết bị khác đồng bộ
với hộp thư), nhưng nó vẫn tốt hơn so với không có chính sách mặc định.
Chính sách mặc định được cấu hình với các thiết lập được thể hiện trong bảng
1. Như những gì bạn có thể quan sát thấy, có rất nhiều thiết lập chính sách
trong bảng là chính sách mới đư
ợc giới thiệu trong Exchange Server 2007 SP1,
chúng ta sẽ xem xét một cách chi tiết hơn đối với chúng trong phần tiếp theo.
Các thiết lập chính sách Giá trị được cấu hình
AllowNonProvisionableDevices True
AlphanumericDevicePasswordRequired False
AttachmentsEnabled True
DeviceEncryptionEnabled False

RequireStorageCardEncryption False
DevicePasswordEnabled True
PasswordRecoveryEnabled True
DevicePolicyRefreshInterval Unlimited
AllowSimpleDevicePassword True
MaxAttachmentSize Unlimited
WSSAccessEnabled True
UNCAccessEnabled True
MinDevicePasswordLength 4
MaxInactivityTimeDeviceLock 00:30:00
MaxDevicePasswordFailedAttempts 8
DevicePasswordExpiration Unlimited
DevicePasswordHistory 0
IsDefaultPolicy True
AllowStorageCard True
AllowCamera True
RequireDeviceEncryption False
AllowUnsignedApplications True
AllowUnsignedInstallationPackages True
AllowWiFi True
AllowTextMessaging True
AllowPOPIMAPEmail True
AllowIrDA True
RequireManualSyncWhenRoaming False
AllowDesktopSync True
AllowHTMLEmail True
RequireSignedSMIMEMessages False
RequireEncryptedSMIMEMessages False
AllowSMIMESoftCerts True
AllowBrowser True

AllowConsumerEmail True
AllowRemoteDesktop True
AllowInternetSharing True
AllowBluetooth Allow
MaxCalendarAgeFilter All
MaxEmailAgeFilter All
RequireSignedSMIMEAlgorithm SHA1
RequireEncryptionSMIMEAlgorithm TripleDES
AllowSMIMEEncryptionAlgorithmNegoti
ation
RequireEncryptionSMIMEAlgori
thm
MinDevicePasswordComplexCharacters 3
MaxEmailBodyTruncationSize Unlimited
MaxEmailHTMLBodyTruncationSize Unlimited
UnapprovedInROMApplicationList {}
ApprovedApplicationList {}
ExternallyDeviceManaged False
MailboxPolicyFlags 0
Bảng 1: Các thiết lập cấu hình chính sách của Exchange ActiveSync
Bạn có thể xem hoặc thay đổi thiết lập chính sách của EAS đã được cấu hình
trên Client Access Server của bạn bằng cách mở Exchange Management Shell
và đánh Get-ActiveSyncMailboxPolicy –Identity “Default” hoặc mở trang
thuộc tính chính sách Default EAS trong Exchange Management Console.

Khi có một hoặc nhiều chính sách EAS để bổ sung vào chính sách mặc định,
thì bạn có một tùy chọn cho việc thiết lập một trong các chính sách EAS là
mặc định, vì vậy chính sách đó sẽ được gán cho tất cả các hộp thư của người
dùng Exchange 2007 (như trong hình 3) thay vì chỉ có chính sách mặc định.


Hình 3: Chỉ định chính sách mặc định
Các thiết lập nâng cao

Như đ
ã đề cập đến, Exchange Server 2007 SP1 có m
ột số chính sách EAS mới,
các chính sách này sẽ cho phép ngăn chặn và bảo mật các thiết bị di động hơn
nhiều so với trong phiên b
ản Exchange Server 2007 RTM. Chúng ta sẽ xem xét
qua trang thuộc tính của các chính sách và xem mỗi chính sách mới ảnh hưởng
như thế nào đến các thiết bị di động trong tổ chức Exchange Server 2007 của
bạn. Hãy bắt đầu bằng việc mở Exchange Management Console, sau đó kích
nút Client Access nằm bên dưới phần trung tâm Organization Configuration
(xem hình 1). Khi các chính sách EAS nằm trong một tổ chức rộng thì đây
chính là nơi tạo và thay đổi chúng. Lúc này bạn có thể kích chuột phải vào
Default EAS policy, sau đó chọn Properties. Trên trang thuộc tính gồm có 5
tab trong Exchange Server 2007 SP1 chứ không phải 2 như trong phiên bản
Exchange Server 2007 RTM.

Chúng ta hãy xem xét một chút trong tab General như thể hiện trong hình 4
bên dưới. Không có quá nhiều thay đổi ở đây và chúng ta có thể thấy được
chính sách nào được cấu hình mặc định và thiết lập Maximum attachment size
(KB) được thay thế bởi thiết lập Refresh interval (hours) (thiết lập Maximum
attachment size (KB) có thể tìm thấy dưới tab Sync Settings). Với thiết lập
Refresh interval (hours) chúng ta có thể chỉ định tần xuất các thiết bị di động
cần nâng cấp chính sách Exchange ActiveSync từ máy chủ.

Hình 4: Tab General trên trang thuộc tính mặc định EAS
Chúng ta hãy chuyển sang tab Password (như trong hình 5). Có một thiết lập
mới được bổ sung thêm vào tab này và đó là thiết lập Minimum number of

complex characters, thiết lập này cho phép chúng ta chỉ định số ký tự nhỏ nhất
cho mật khẩu của thiết bị cần phải có.

Hình 5: Tab Password trên trang thuộc tính mặc định EAS
Bây giờ chúng ta chuyển sang tab tiếp theo đó là tab Sync Settings (xem hình
6). Ở đây, chúng ta có thể cấu hình bao nhiêu mục email và lịch biểu quá khứ
cần được đồng bộ với một thiết bị. Chúng ta cũng cấu hình kích thước thông
báo giới hạn, xem nó có nên được phép đồng bộ trong khi roaming hay không,
chỉ định xem email định dạng html có thể đọc trên thiết bị và cuối c
ùng xem nó
có nên cho phép download các file đính kèm đối với thiết bị và nếu cho phép
thì chỉ định kích thước lớn nhất của file đính kèm là bao nhiêu.

Hình 6: Tab Sync Settings trên trang thuộc tính mặc định EAS
Tab Sync Settings là mới và chúng tôi đã liệt kê từng thiết lập chính sách trên
tab này trong bảng 2 dưới đây để các bạn có thể tiện theo dõi.
Thiết lập chính sách
EAS
Mô tả
Include Past Calendar
items
Với thiết lập này, bạn có thể chỉ định các
mục lịch có thể lùi về bao nhiêu nên được
giữ trong thiết bị di động. Bạn có thể chọn
giữa tất cả, hai tuần, một tháng, 3 tháng
hoặc 6 tháng.
Include past e-mail items

Với thiết lập này, bạn có thể chỉ định các
mục email có thể lùi về bao nhiêu nên

được giữ trong thiết bị di động. Bạn có thể
chọn giữa tất cả, một ngày, một tuần, 2
tuần và một tháng
Limit message size to
(KB)
Thiết lập này cho phép bạn chỉ định kích
thước lớn nhất cho các thông báo email
được phép đồng bộ với thiết bị di động.
Allow synchronization
when roaming
Với thiết lập này, bạn có thể cho phép hoặc
ngăn chặn người dùng đồng bộ các thiết bị
của họ khi roaming.
Allow html formatted
email
Thiết lập này cho phép bạn chỉ định xem
có cho phép người dùng thiết bị di động có
thể đọc các email có định dạng HTML hay
không.
Allow attachments to be
downloaded to the
device and maximum
attachment size (KB)
Với thiết lập này, bạn có thể chỉ định xem
thiết bị di động của người dùng có được
download file đính kèm trong email hay
không. Thêm vào đó, bạn còn có thể thiết
lập kích thước lớn nhất đối với các file
đính kèm là bao nhiêu để có thể download
được từ thiết bị di động.

Hình2: Các thiết lập cấu hình chính sách EAS
Chúng ta hãy chuyển sang tab Device (như trong hình 7). Trên tab này, có thể
vô hiệu hóa các tính năng của thiết bị di động như các thẻ lưu trữ di động, các
camera được cài đặt sẵn, Wi-Fi, c
ổng hồng ngoại, chia sẻ Internet, máy trạm từ
xa, đồng bộ Desktop ActiveSync client và Bluetooth.

Hình 7: Tab Device trên c
ửa sổ thuộc tính mặc định của Exchange ActiveSync
Tab Device là một tab mới và chúng tôi liệt kê cho b
ạn các thiết lập chính sách
trên tab này với chỉ dẫn vắn tắt trong bảng 3 bên dưới.
Thi
ết lập chính sách
Exchange
ActiveSync
Mô tả
Allow removable
storage
Bạn có thể chỉ định người dùng thiết bị di động
có được phép sử dụng thẻ nhớ trong các thiết bị
di động hay không.
Allow camera
Bạn có thể cấm người dùng thiết bị di động sử
dụng camera, tính năng có ở hầu hết các thiết bị
di động Windows.
Allow Wi-Fi Với thiết lập này, bạn có thể cấm người dùng
thiết bị di động sử dụng Wi-Fi (card mạng
không dây), tính năng có ở hầu hết các thiết bị
di động Windows.

Allow infrared
Với thiết lập này, bạn có thể cấm người dùng
thiết bị di động của bạn sử dụng cổng hồng
ngoại, tính năng có ở hầu hết các thiết bị di
động Windows.
Allow Internet
sharing from the
device
Bạn có thể cấm người dùng thiết bị di động sử
dụng tính năng chia sẻ Internet có trong các
thiết bị di động Windows mobile 6.0. Tính năng
chia sẻ Internet giúp máy tính xách tay của bạn
có thể kết nối với Internet bằng thiết bị di động.

Allow remote
desktop from the
device
Cấm người dùng thiết bị di động sử dụng tính
năng máy trạm từ xa, tính năng có hầu hết với
các thiết bị Windows mobile. Với máy trạm từ
xa, bạn có thể kết nối xa tới một máy khách
Windows XP/Vista ho
ặc một máy chủ Windows
2003/2008.
Allow
synchronization
from a desktop
Cho phép hoặc cấm người dùng thiết bị di động
sử dụng Desktop ActiveSync client để đồng bộ
với một thiết bị di động.

Allow Bluetooth
Cho phép hoặc cấm người dùng thiết bị di động
sử dụng kết nối Bluetooth.
Bảng 3: Các thiết lập cấu hình chính sách của Exchange ActiveSync
Lưu ý:
Tất cả các thiết lập trên tab Device đều là các tính năng có giá trị, điều đó có
nghĩa rằng bạn phải có Exchange Enterprise CALs để sử dụng chúng.

Chuyển sang tab cuối cùng, tab Advanced. Như bạn có thể thấy được trong
hình 8, chúng ta có thể chỉ định người dùng thiết bị di động có được phép sử
dụng trình duyệt Internet, thư tín, các ứng dụng không được ký và cài đặt gói
cài đặt không được ký hay không. Thêm vào đó b
ạn cũng có thể cho phép hoặc
khóa các ứng dụng cụ thể nào đó.

Hình 8: Tab Advanced trên cửa sổ thuộc tính mặc định của Exchange
ActiveSync
Tab Advanced cũng là một tab mới do đó chúng tôi có liệt kê một số thiết lập
chính sách trên tab này cùng với những mô tả ngắn gọn về nó trong bảng 4 b
ên
dưới.
Thiết lập chính sách
Exchange
ActiveSync
Mô tả
Allow browser
Cho phép hoặc cấm người dùng sử dụng trình
duyệt trên thiết bị di động của họ.
Allow consumer mail


Cho phép hoặc cấm người dùng nhận thư trên
thiết bị di động của họ.
Allow unsigned Với thiết lập này được kích hoạt, người dùng
applications thiết bị di động sẽ được phép chạy các ứng
dụng vẫn chưa được ký chứng chỉ tin cậy.
Allow unsigned
installation packages
Với thiết lập này, người dùng thiết bị di động
sẽ được phép cài đặt các ứng dụng vẫn chưa
được ký chứng chỉ tin cậy.
Bảng 4: Các thiết lập cấu hình chính sách của Exchange ActiveSync
Thêm vào với các thiết lập trong bảng 4, bạn có thể nhập vào hộp Allowed and
Blocked Applications bất kỳ ứng dụng nào sẽ được phép hoặc bị khóa.

Lưu ý:
Tất cẳ thiết lập trên tab Advanced là các tính năng quan tr
ọng, điều đó có nghĩa
bạn phải có Exchange Enterprise CAL để sử dụng chúng.

Bạn cần nhớ một điều rằng, không phải tất cả các thiết lập chính sách mới
trong Exchange Server 2007 SP1 đều được trưng bày trong EMC GUI. Các
chính sách dưới đây phải được thao tác thông qua Exchange Management
Shell:


AllowTextMessaging


AllowPOPIMAPEmail



RequireSignedSMIMEMessages


RequireEncryptedSMIMEMessages


AllowSMIMESoftCerts


RequireSignedSMIMEAlgorithm


RequireEncryptionSMIMEAlgorithm


AllowSMIMEEncryptionAlgorithmNegotiation


MaxEmailBodyTruncationSize


MaxEmailHTMLBodyTruncationSize


UnapprovedInROMApplicationList


ExternallyDeviceManaged



MailboxPolicyFlags
Thời gian sẽ trả lời cho bạn xem những chính sách nào sẽ được chứa trong
GUI trong phiên bản RTM của Exchange Server 2007 SP1.

Cấu hình xóa từ xa

Bổ sung thêm vào chính sách mặc định EAS mới và hướng dẫn về một số thiết
lập chính sách mới, Exchange Server 2007 SP1 cũng có một số nâng cao liên
quan đến tính năng xóa từ xa, tính năng được sử dụng để thiết lập lại một thiết
bị di động trở về mặc định từ xa trong trường hợp nó bị mất hoặc bị đanh cắp.
Khi tính năng này làm việc, không cần quá nhiều thay đổi, một thông báo
email xác nhận sẽ được gửi đến hộp thư của người dùng khi thiết bị di động đã
thực hiện thành công việc xóa từ xa. Điều này xảy ra cho dù là việc xóa được
thực hiện bởi một quản trị viên Exchange thông qua Exchange Management
Console hoặc Exchange Management Shell cũng như nếu người dùng khởi tạo
việc xóa thông qua các trang Mobile Devices dưới Options in Outlook Web
Access 2007 (Hình 9).

Hình 9: Xóa thành công thiết bị từ xa thông qua OWA 2007
Khi thiết bị di động đã được xóa thành công, một email xác nhận giống với
email trong hình 10 sẽ được gửi đến hộp thư của người dùng tương ứng.

Hình 10: Email xác nhận
Thêm vào đó, bạn có tùy chọn hủy xóa từ xa từ OWA 2007 và Exchange
Management Console/Shell.

S/MIME được hỗ trợ hơn nữa

Các bạn có thể đã biết, các thành phần S/MIME cho OWA 2007 v

à EAS không
có trong phiên bản Exchange 2007 RTM. Điều này có nghĩa là bạn lại có thể
ký chữ ký số cũng như mã hóa các thông báo email từ thiết bị di động. Như đã
thấy trong các bảng trước của bài này, bạn có thể kiểm soát S/MIME trên các
thiết bị di động thông qua một vài chính sách S/MIME cụ thể.

Giảm dữ liệu trong giao thức đẩy trực tiếp (Direct Push Protocol)

Nhóm s
ản phẩm ngoại vi của Exchange cũng được cải thiện giao thức Direct
Push, giao thức được sử dụng bởi Exchange ActiveSync. Kích thước của các
yêu cầu HTTPS và header đáp trả được giảm nhiều, điều đó làm giảm được
lượng dữ liệu gửi đi giữa các thiết bị và máy chủ Client Access. Mặc dù tính
năng này bị ẩn đối với người dùng thiết bị, nhưng nó quả thực là một cải thiện
quan trọng đối với các tổ chức doanh nghiệp.

Kết luận

Nhi
ều tổ chức doanh nghiệp CNTT yêu cầu các chính sách được cấu hình cho
tất cả kiểu thông báo máy khách trong tổ chức sẽ có lợi ở các thiết lập chính
sách mới EAS trong Exchange Server 2007 SP1, chúng sẽ cho phép hoặc cấm
hầu hết các tính năng trên một thiết bị di động. Chính sách mặc định mới EAS
này là một bước chuyển thông minh và hợp với chiến lược an toàn mặc định
toàn bộ trong nhóm sản phẩm Exchange. Cuối cùng, những cải tiến để tạo ra
các giao thức Direct Push để giảm lượng dữ liệu gửi đi giữa các thiết bị và
Client Access server(s) sẽ được CIO chào đón một cách nồng nhiệt bởi họ là
những người phải chịu tránh nhiệm về ngân sách CNTT.

Văn Linh (Theo Ms Exchange)