Configurar el control de acceso al correo electrónico a través de PowerShell

Al configurar el proxy EAS independiente en modo PowerShell, se conecta a su servidor de correo de Exchange a través de PowerShell y establece el acceso al correo electrónico en función del estado de cumplimiento del dispositivo.

En el modo PowerShell, el tráfico de correo va directamente desde el servidor de correo de Exchange a los dispositivos sin un proxy. Para ver un esquema del flujo de comunicación, consulte la Sophos Mobile guía técnica.

Ventajas del modo PowerShell:

  • No necesita abrir ningún puerto en su servidor de Sophos Mobile para el tráfico de correo electrónico entrante desde sus dispositivos.
  • Puede impedir que los dispositivos que no están inscritos en Sophos Mobile accedan al correo electrónico.

El servidor de correo de Exchange puede ser un Exchange Server local o Exchange Online, que forma parte de Office 365. Las versiones compatibles son:

  • Exchange Server 2013
  • Exchange Server 2016
  • Office 365 con un plan Exchange Online
Restricción: Dado que macOS no admite el protocolo ActiveSync, no se puede utilizar PowerShell para controlar el acceso al correo electrónico por parte de los equipos Mac.

Para configurar el control de acceso al correo electrónico a través de PowerShell, haga lo siguiente.

Configurar PowerShell

  1. Opcional: Si es necesario, instale Windows PowerShell en el equipo en el que va a instalar el proxy EAS.
  2. Abra PowerShell como administrador y ejecute el siguiente comando:
    Set-ExecutionPolicy RemoteSigned

Exchange Server requiere una configuración adicional:

  1. Abra el Shell de administración de Exchange.
  2. Establezca la política de ejecución de PowerShell:
    Set-ExecutionPolicy RemoteSigned
  3. Obtenga el nombre del directorio virtual de PowerShell:
    Get-PowerShellVirtualDirectory -Server <nombre del servidor>

    <nombre del servidor> es el nombre del equipo en el que está instalado Exchange Server.

    En una instalación estándar, el directorio virtual de PowerShell es PowerShell(Default Web Site).

  4. Defina la autenticación básica para el directorio virtual de PowerShell:
    Set-PowerShellVirtualDirectory -Identity "PowerShell (Default Web Site)" -BasicAuthentication $true

Crear una cuenta de servicio

Una cuenta de servicio es una cuenta de usuario especial en el servidor de correo de Exchange que Sophos Mobile utiliza para ejecutar comandos de PowerShell.

  1. Inicie sesión en la consola de administración relevante:
    • Para Exchange Server: Centro de administración de Exchange
    • Para Exchange Online: Centro de administración de Office 365
  2. Cree una cuenta de usuario.
    • Utilice un nombre de usuario como smc_powershell que identifique el propósito de la cuenta.
    • Desactive la opción para hacer que el usuario cambie su contraseña la próxima vez que inicie sesión.
    • Elimine cualquier licencia de Office 365 que se haya asignado automáticamente a la nueva cuenta. Las cuentas de servicio no requieren ninguna licencia.
  3. Cree un nuevo grupo de roles y asígnelo a los permisos requeridos.
    • Utilice un nombre de grupo de roles como smc_powershell.
    • Añada los roles Mail Recipients y Organization Client Access.
    • Añada la cuenta de usuario como miembro.

Configurar la conexión de PowerShell

  1. Utilice el asistente de configuración como si fuera a configurar un proxy EAS independiente. En la página EAS Proxy instance setup, configure las siguientes opciones:
    • Instance type: Seleccione PowerShell Exchange/Office 365.
    • Instance name: Nombre para identificar la instancia.
    • Exchange server: En Exchange Server, introduzca el nombre o la dirección IP del servidor.

      Para Exchange Online, escriba outlook.office365.com si utiliza el servicio global de Office 365. Para otros servicios, por ejemplo Office 365 Alemania, puede encontrar la dirección en el documento Conexión a Exchange Online PowerShell de Microsoft.

      No escriba el protocolo https:// ni el sufijo /powershell-liveid en el nombre. El asistente de configuración los añade automáticamente.

    • Allow all certificates: El proxy EAS no verifica el certificado del servidor. Seleccione esta opción, por ejemplo, si utiliza Exchange Server con un certificado autofirmado.
      Aviso: Esta opción reduce la seguridad de las conexiones del servidor de correo. Solo seleccione esta opción si lo requiere el entorno de red.
    • Service account: Nombre de la cuenta de usuario que ha creado en la consola de administración de Exchange Server o Exchange Online.
    • Password: Contraseña de la cuenta de usuario.
  2. Haga clic en Add para añadir la instancia a la lista Instances.
  3. Repita los pasos anteriores para configurar las conexiones de PowerShell a otras instancias de Exchange Server.
  4. Complete la configuración.
  5. Opcional: Si es necesario, configure un servidor proxy que el proxy EAS utilice para conectarse a Exchange Server o Exchange Online. En el equipo en que ha instalado el proxy EAS, abra la línea de comandos con la opción Ejecutar como administrador y escriba el siguiente comando:

    netsh winhttp set proxy <nombre del servidor o IP>:<puerto>

    Aviso: Este comando configura un proxy para todo el sistema. Otros programas que se ejecutan en el equipo podrían verse afectados.

Cargar el certificado de PowerShell

Cargue el certificado de la conexión de PowerShell en Sophos Mobile.

  1. Inicie sesión en Sophos Central Admin y vaya a Móvil.
  2. En la barra lateral de menús, en AJUSTES, haga clic en Configuración > Configuración de Sophos y, a continuación, haga clic en la ficha Proxy EAS.
  3. Opcional: En General, seleccione Restringir a Sophos Secure Email para limitar el acceso al correo electrónico a la app Sophos Secure Email, disponible para Android e iOS.
  4. En Externo, haga clic en Subir un archivo. Cargue el certificado creado durante la configuración.

    Si ha configurado más de una instancia, repita este paso para todos los certificados de instancias.

  5. Haga clic en Guardar.
  6. En Windows, abra el cuadro de diálogo Servicios y reinicie el servicio EASProxy.