Удаленное управление устройствами при помощи Exchange ActiveSync в Carbonio
Одной из главных причин, по которой администраторы предпочитают подключать почту пользователей в смартфонах и планшетах не через мобильные приложения, а используя протокол Exchange ActiveSync является безопасность. Функция Mobile Device Management дает возможность запрета установки приложений, отключения тех или иных интерфейсов устройства, а также удаленного стирания данных с устройства. Это позволяет не только не допустить попадания зловредного ПО на устройство, но и защитить хранящуюся на нем информацию даже в случае кражи. В данной статье мы расскажем о том, как администратор может использовать данную функцию.
Настройка ограничений осуществляется в командной строке и может осуществляться как для отдельных пользователей, так и целых классов обслуживания. Настройки для классов обслуживания автоматически применяются для всех входящих в него пользователей, если ранее администратор не задавал для них специфическое значение.
Для того, чтобы удаленная настройка мобильных устройств корректно работала, у пользователей должен быть включен доступ к Exchange ActiveSync. Включить его также можно для отдельных пользователей или целого класса обслуживания.
carbonio prov modifyAccount user@carbonio.loc zimbraFeatureMobileSyncEnabled TRUE
carbonio prov modifyCos default zimbraFeatureMobileSyncEnabled TRUE
Сделать это можно и в консоли администратора либо в разделе управления пользователями:
Либо в разделе управления Классами обслуживания:
Непосредственная настройка политик производится в командной строке при помощи команды carbonio mobile setProvisioning с указанием атрибутов и соответствующим им значениям.
В целом итоговые команды будут выглядеть следующим образом:
carbonio mobile setProvisioning account user@carbonio.loc AllowCamera true
carbonio mobile setProvisioning cos default AllowCamera true
Настраиваемые параметры можно разделить на несколько категорий.
Парольная политика безопасности:
DevicePasswordEnabled — true/false — обязательное использование пароля на устройстве
AlphanumericDevicePasswordRequired — true/false — обязательное использование цифр и букв в пароле
PasswordRecoveryEnabled — true/false — возможность самостоятельного восстановления пароля
MinDevicePasswordLength — value — минимальная длина пароля на устройстве
MaxInactivityTimeDeviceLock — value — максимальный срок неактивности (в секундах), после которого экран устройства будет блокироваться
MaxDevicePasswordFailedAttempts — value — максимальное количество неправильных попыток ввода пароля
AllowSimpleDevicePassword — true/false — возможность для пользователей использовать пароли с повторяющимися и последовательными символами (4444 и abcd)
DevicePasswordExpiration — value — время действия пароля (в днях)
DevicePasswordHistory — value — количество сохраняемых в истории паролей, чтобы исключить их повторное использование
Политика безопасности:
RequireStorageCardEncryption — true/false — обязательное шифрование данных на карте памяти
AttachmentsEnabled — true/false — возможность использования вложений
AllowStorageCard — true/false — возможность использования карты памяти
AllowCamera — true/false — возможность использования камеры устройства
RequireDeviceEncryption — true/false — обязательное шифрование данных в памяти устройства
AllowUnsignedApplications — true/false — возможность использования неподписанных приложений
AllowUnsignedInstallationPackages — true/false — возможность использования неподписанных установщиков приложений
AllowDesktopSync — true/false — возможность синхронизации устройства с персональным компьютером
AllowConsumerEmail — true/false — возможность использования личной почты на устройстве
AllowRemoteDesktop — true/false — возможность использования удаленного доступа к компьютеру на устройстве
AllowBrowser — true/false — возможность использования браузера на устройстве
AllowInternetSharing — true/false — возможность использования устройства в качестве точки доступа
UnapprovedInROMApplicationList — string — черный список приложений на устройстве
ApprovedApplicationList — string — белый список приложений на устройстве
Политика использования коммуникаций:
AllowWiFi — true/false — возможность использования Wi-Fi на устройстве
AllowTextMessaging — true/false — возможность использования SMS на устройстве
AllowBluetooth — true/false — возможность использования Bluetooth на устройстве
AllowIrDA — true/false — возможность использования инфракрасного порта на устройстве
RequireManualSyncWhenRoaming — true/false — использование только ручной синхронизации данных при нахождении в роуминге
Политика использования электронной почты, календарей и адресных книг:
AllowPOPIMAPEmail — true/false — возможность использования почты POP/IMAP
MaxCalendarAgeFilter — value — максимальный период календаря для синхронизации
AllowHTMLEmail — true/false — возможность использования форматированной почты
MaxEmailAgeFilter — value — максимальный период почты для синхронизации
MaxEmailBodyTruncationSize — value — максимальный размер загружаемого электронного письма
MaxEmailHTMLBodyTruncationSize — value — максимальный размер загружаемого электронного письма с форматированием
RequireSignedSMIMEMessages — true/false — требование подписи в сообщениях S/MIME
RequireEncryptedSMIMEMessages — true/false — требование шифрования в сообщениях S/MIME
RequireSignedSMIMEAlgorithm — string — поддерживаемые алгоритмы подписи в сообщениях S/MIME
RequireEncryptionSMIMEAlgorithm — string — поддерживаемые алгоритмы шифрования в сообщениях S/MIME
AllowSMIMEEncryptionAlgorithmNegotiation — true/false — возможность использования иных алгоритмов шифрования в случае, если устройства не поддерживают используемые
AllowSMIMESoftCerts — true/false — возможность использования софтверных сертификатов для подписи исходящей почты
Для получения информации о текущих настройках используйте параметр carbonio mobile getProvisioning и фильтр с указанием искомого атрибута, например
carbonio mobile getProvisioning account user@carbonio.loc | grep AllowCamera
carbonio mobile getProvisioning cos default | grep AllowCamera
Помимо настройки политик, EAS в Carbonio поддерживает удаленное управление устройствами.
Например, при возникновении проблем администратор может удаленно сбросить данные учетной записи на отдельном устройстве, или на всех устройствах, на которых настроена учетная запись.
carbonio mobile doResetAccount zextras@carbonio.loc
carbonio mobile doResetDevice zextras@carbonio.loc 182458378395783
В данном примере 182458378395783 — это идентификатор подключенного устройства. Учитывая то, что на одном устройстве могут быть настроены сразу несколько учетных записей, указание конкретной учетной записи, данные которой следует сбросить, является обязательным.
Также администратор может приостановить синхронизацию устройства с сервером, чтобы оно не могло получать новые электронные письма, контакты и встречи из календаря
carbonio mobile doSuspendDeviceSync zextras@carbonio.loc 182458378395783
Поддерживается и полное удаление данных с устройства. Для этого также потребуется указать учетную запись и идентификатор устройства.
carbonio mobile doWipeDevice zextras@carbonio.loc 182458378395783
При указании параметра account_only будут удалены только данные, связанные с указанной учетной записью
carbonio mobile doWipeDevice zextras@carbonio.loc 182458378395783 account_only true
Грамотно настроенные политики в сочетании с выделенным паролем для подключения по EAS позволяют добиться максимальной безопасности при использовании электронной почты Carbonio на мобильных устройствах и исключить все связанные с информационной безопасностью риски даже в случае хищения или утери устройства.
По вопросам тестирования, приобретения, предоставления лицензии и консультаций обращаться на почту sales@svzcloud.ru к эксклюзивному партнеру Zextras
Получить информацию и обменяться информацией о Carbonio CE вы можете в группах в Telegram CarbonioMail и Carbonio CE Unofficial
