Saltar al contenido

Configurar el control de acceso al correo electrónico a través de PowerShell

Al configurar el proxy EAS de Sophos Mobile en modo PowerShell, se conecta a su servidor de correo de Exchange a través de PowerShell y establece el acceso al correo electrónico en función del estado de cumplimiento del dispositivo.

Restricción

Dado que macOS no admite el protocolo ActiveSync, no se puede utilizar PowerShell para controlar el acceso al correo electrónico por parte de los equipos Mac.

El modo PowerShell tiene las siguientes ventajas sobre el modo proxy:

  • Los dispositivos se comunican directamente con el servidor de correo de Exchange.
  • Como no es necesario que el tráfico de correo pase por el proxy EAS de Sophos Mobile, no necesita abrir un puerto para correo entrante en su firewall.
  • Puede bloquear el acceso al correo para los dispositivos no administrados.
  • El modo PowerShell admite Exchange Online y Exchange Server, mientras que el modo proxy solo admite Exchange Server.

Para ver un esquema del flujo de comunicación, consulte Ejemplos de arquitectura de proxy EAS.

El servidor de correo de Exchange puede ser Exchange Server o Exchange Online, que forma parte de Microsoft 365. Las versiones compatibles son:

  • Exchange Server 2016
  • Exchange Server 2019
  • Microsoft 365 con un plan Exchange Online

Para configurar el control de acceso al correo electrónico a través de PowerShell, haga lo siguiente.

Configurar PowerShell

  1. Opcional: Si es necesario, instale Windows PowerShell en el equipo en el que va a instalar el proxy EAS.

    Consulte Instalación de PowerShell en Windows.

  2. Abra PowerShell como administrador y ejecute el siguiente comando:

    Set-ExecutionPolicy RemoteSigned
    

Exchange Server requiere una configuración adicional:

  1. Abra el Shell de administración de Exchange.

    Consulte Abrir el Shell de administración de Exchange.

  2. Establezca la política de ejecución de PowerShell:

    Set-ExecutionPolicy RemoteSigned
    
  3. Obtenga el nombre del directorio virtual de PowerShell:

    Get-PowerShellVirtualDirectory -Server <nombre del servidor>
    

    <server name> es el nombre del equipo en el que está instalado Exchange Server.

    En una instalación estándar, el directorio virtual de PowerShell es PowerShell (Default Web Site).

  4. Defina la autenticación básica para el directorio virtual de PowerShell:

    Set-PowerShellVirtualDirectory -Identity "PowerShell (Default Web Site)" -BasicAuthentication $true
    

Crear una cuenta de servicio

Una cuenta de servicio es una cuenta de usuario especial en el servidor de correo de Exchange que Sophos Mobile utiliza para ejecutar comandos de PowerShell.

  1. Abra el Centro de administración de Exchange en un navegador web:

    • Para Exchange Server: https://<ServerFQDN>/ecp

      <ServerFQDN> es el nombre de dominio completo del servidor de Exchange.

    • Para Exchange Online: https://admin.exchange.microsoft.com

  2. Cree una cuenta de usuario.

    • Utilice un nombre de usuario como smc_powershell que identifique el propósito de la cuenta.
    • Desactive la opción para hacer que el usuario cambie su contraseña la próxima vez que inicie sesión.
    • Elimine cualquier licencia de Microsoft 365 que se haya asignado automáticamente a la nueva cuenta. Las cuentas de servicio no requieren ninguna licencia.
  3. Cree un nuevo grupo de roles y asígnelo a los permisos requeridos.

    • Utilice un nombre de grupo de roles como smc_powershell.
    • Añada los roles Mail Recipients y Organization Client Access.
    • Añada la cuenta de usuario como miembro.

Configurar la conexión de PowerShell

  1. Utilice el asistente de configuración como si fuera a instalar el proxy EAS de Sophos Mobile. En la página EAS Proxy instance setup, configure las siguientes opciones:

    • Instance type: Seleccione PowerShell Exchange/Office 365.
    • Instance name: Nombre para identificar la instancia.
    • Exchange server: En Exchange Server, introduzca el nombre o la dirección IP del servidor.

      Para Exchange Online, escriba outlook.office365.com si utiliza el servicio global de Microsoft 365. Para otros servicios, como Office 365 Alemania, consulte los valores del parámetro -ConnectionUri en Connect-ExchangeOnline.

      No escriba el protocolo https:// ni el sufijo /powershell-liveid en el nombre. El asistente de configuración los añade automáticamente.

    • Allow all certificates: El proxy EAS no verifica el certificado del servidor. Seleccione esta opción, por ejemplo, si utiliza Exchange Server con un certificado autofirmado.

      Aviso

      Esta opción reduce la seguridad de las conexiones del servidor de correo. Solo seleccione esta opción si lo requiere el entorno de red.

    • Service account: Nombre de la cuenta de usuario que ha creado en la consola de administración de Exchange Server o Exchange Online.

    • Password: Contraseña de la cuenta de usuario.
  2. Haga clic en Add para añadir la instancia a la lista Instances.

  3. Repita los pasos anteriores para configurar las conexiones de PowerShell a otras instancias de Exchange Server.
  4. Complete la configuración.
  5. Opcional: Si es necesario, configure un servidor proxy que el proxy EAS utilice para conectarse a Exchange Server o Exchange Online. En el equipo en que ha instalado el proxy EAS, abra la línea de comandos con la opción Ejecutar como administrador y escriba el siguiente comando:

    netsh winhttp set proxy <nombre del servidor o IP>:<puerto>
    

    Aviso

    Este comando configura un proxy para todo el sistema. Otros programas que se ejecutan en el equipo podrían verse afectados.

Para obtener información detallada sobre el asistente de configuración, consulte Instalar el proxy EAS de Sophos Mobile.

Cargar el certificado de PowerShell

Cargue el certificado de la conexión de PowerShell en Sophos Mobile.

  1. En Sophos Central Admin, vaya a Mis productos > Mobile.
  2. En la barra lateral de menús, haga clic en Configuración > Configuración de Sophos y, a continuación, haga clic en la ficha Proxy EAS.
  3. En Externo, haga clic en Subir un archivo. Cargue el certificado creado durante la configuración.

    Si ha configurado más de una instancia, repita este paso para todos los certificados de instancias.

  4. Haga clic en Guardar.

  5. En Windows, abra el cuadro de diálogo Servicios y reinicie el servicio EASProxy.