Configurar el control de acceso al correo electrónico a través de PowerShell

Al configurar el proxy EAS independiente en modo PowerShell, se conecta a su servidor de correo de Exchange a través de PowerShell y establece el acceso al correo electrónico en función del estado de cumplimiento del dispositivo.

En el modo PowerShell, el tráfico de correo va directamente desde el servidor de correo de Exchange a los dispositivos sin un proxy. Para ver un esquema del flujo de comunicación, consulte Ejemplos de arquitectura de proxy EAS en la guía técnica de Sophos Mobile.

Ventajas del modo PowerShell:

  • No necesita abrir ningún puerto en su servidor de Sophos Mobile para el tráfico de correo electrónico entrante desde sus dispositivos.
  • Puede impedir que los dispositivos que no están inscritos en Sophos Mobile accedan al correo electrónico.

El servidor de correo de Exchange puede ser Exchange Server o Exchange Online, que forma parte de Microsoft 365. Las versiones compatibles son:

  • Exchange Server 2013
  • Exchange Server 2016
  • Microsoft 365 con un plan Exchange Online
Restricción Dado que macOS no admite el protocolo ActiveSync, no se puede utilizar PowerShell para controlar el acceso al correo electrónico por parte de los equipos Mac.

Para configurar el control de acceso al correo electrónico a través de PowerShell, haga lo siguiente.

Configurar PowerShell

  1. Opcional Si es necesario, instale Windows PowerShell en el equipo en el que va a instalar el proxy EAS.
  2. Abra PowerShell como administrador y ejecute el siguiente comando:
    Set-ExecutionPolicy RemoteSigned
Exchange Server requiere una configuración adicional:
  1. Abra el Shell de administración de Exchange.
  2. Establezca la política de ejecución de PowerShell:
    Set-ExecutionPolicy RemoteSigned
  3. Obtenga el nombre del directorio virtual de PowerShell:
    Get-PowerShellVirtualDirectory -Server <nombre del servidor>

    <nombre del servidor> es el nombre del equipo en el que está instalado Exchange Server.

    En una instalación estándar, el directorio virtual de PowerShell es PowerShell(Default Web Site).

  4. Defina la autenticación básica para el directorio virtual de PowerShell:
    Set-PowerShellVirtualDirectory -Identity "PowerShell (Default Web Site)" -BasicAuthentication $true

Crear una cuenta de servicio

Una cuenta de servicio es una cuenta de usuario especial en el servidor de correo de Exchange que Sophos Mobile utiliza para ejecutar comandos de PowerShell.

  1. Abra el Centro de administración de Exchange en un navegador web:
    • Para Exchange Server: https://<FQDN del servidor>/ecp

      <FQDN del servidor> es el nombre de dominio completo del servidor de Exchange.

    • Para Exchange Online: https://admin.exchange.microsoft.com
  2. Cree una cuenta de usuario.
    • Utilice un nombre de usuario como smc_powershell que identifique el propósito de la cuenta.
    • Desactive la opción para hacer que el usuario cambie su contraseña la próxima vez que inicie sesión.
    • Elimine cualquier licencia de Microsoft 365 que se haya asignado automáticamente a la nueva cuenta. Las cuentas de servicio no requieren ninguna licencia.
  3. Cree un nuevo grupo de roles y asígnelo a los permisos requeridos.
    • Utilice un nombre de grupo de roles como smc_powershell.
    • Añada los roles Mail Recipients y Organization Client Access.
    • Añada la cuenta de usuario como miembro.

Configurar la conexión de PowerShell

  1. Utilice el asistente de configuración como si fuera a configurar un proxy EAS independiente. En la página EAS Proxy instance setup, configure las siguientes opciones:
    • Instance type: Seleccione PowerShell Exchange/Office 365.
    • Instance name: Nombre para identificar la instancia.
    • Exchange server: En Exchange Server, introduzca el nombre o la dirección IP del servidor.

      Para Exchange Online, escriba outlook.office365.com si utiliza el servicio global de Microsoft 365. Para otros servicios, por ejemplo Office 365 Alemania, puede encontrar la dirección en el documento Autenticación básica: conectar a PowerShell de Exchange Online de Microsoft.

      No escriba el protocolo https:// ni el sufijo /powershell-liveid en el nombre. El asistente de configuración los añade automáticamente.

    • Allow all certificates: El proxy EAS no verifica el certificado del servidor. Seleccione esta opción, por ejemplo, si utiliza Exchange Server con un certificado autofirmado.
      Aviso Esta opción reduce la seguridad de las conexiones del servidor de correo. Solo seleccione esta opción si lo requiere el entorno de red.
    • Service account: Nombre de la cuenta de usuario que ha creado en la consola de administración de Exchange Server o Exchange Online.
    • Password: Contraseña de la cuenta de usuario.
  2. Haga clic en Add para añadir la instancia a la lista Instances.
  3. Repita los pasos anteriores para configurar las conexiones de PowerShell a otras instancias de Exchange Server.
  4. Complete la configuración.
  5. Opcional Si es necesario, configure un servidor proxy que el proxy EAS utilice para conectarse a Exchange Server o Exchange Online. En el equipo en que ha instalado el proxy EAS, abra la línea de comandos con la opción Ejecutar como administrador y escriba el siguiente comando:

    netsh winhttp set proxy <nombre del servidor o IP>:<puerto>

    Aviso Este comando configura un proxy para todo el sistema. Otros programas que se ejecutan en el equipo podrían verse afectados.

Cargar el certificado de PowerShell

Cargue el certificado de la conexión de PowerShell en Sophos Mobile.

  1. Inicie sesión en Sophos Central Admin y vaya a Móvil.
  2. En la barra lateral de menús, en AJUSTES, haga clic en Configuración > Configuración de Sophos y, a continuación, haga clic en la ficha Proxy EAS.
  3. Opcional En General, seleccione Restringir a Sophos Secure Email para limitar el acceso al correo electrónico a la app Sophos Secure Email, disponible para Android e iOS.
  4. En Externo, haga clic en Subir un archivo. Cargue el certificado creado durante la configuración.

    Si ha configurado más de una instancia, repita este paso para todos los certificados de instancias.

  5. Haga clic en Guardar.
  6. En Windows, abra el cuadro de diálogo Servicios y reinicie el servicio EASProxy.