Aller au contenu

Configurer le contrôle d’accès à la messagerie avec PowerShell

Lorsque vous configurez le proxy EAS Sophos Mobile en mode PowerShell, il se connecte à votre serveur de messagerie Exchange via PowerShell et définit l’accès aux emails en fonction de l’état de conformité de l’appareil.

Restriction

Le protocole ActiveSync n’est pas pris en charge par macOS. Vous ne pouvez donc pas utiliser PowerShell pour contrôler l’accès à la messagerie des Macs.

Le mode PowerShell présente les avantages suivants par rapport au mode proxy :

  • Les appareils communiquent directement avec le serveur de messagerie Exchange.
  • Comme aucun trafic de message n’a besoin de passer par le proxy EAS Sophos Mobile, vous n’avez pas besoin d’ouvrir un port pour la messagerie entrante dans votre pare-feu.
  • Vous pouvez bloquer l’accès à la messagerie aux appareils non administrés.
  • Le mode PowerShell prend en charge Exchange Online et Exchange Server, alors que le mode proxy prend uniquement en charge Exchange Server.

Retrouvez un diagramme de la communication sur Exemples d’architecture de proxy EAS.

Le serveur de messagerie Exchange peut être un serveur Exchange ou Exchange Online, qui fait partie de Microsoft 365. Les versions compatibles sont :

  • Exchange Server 2016
  • Exchange Server 2019
  • Microsoft 365 avec un plan Exchange Online

Pour installer le contrôle d’accès à la messagerie avec PowerShell, procédez comme suit.

Configurer PowerShell

  1. Facultatif : Si nécessaire, installez Windows PowerShell sur l’ordinateur sur lequel vous allez installer le proxy EAS.

    Voir Installation de PowerShell sur Windows.

  2. Ouvrez PowerShell en tant qu’administrateur et exécutez la commande suivante :

    Set-ExecutionPolicy RemoteSigned
    

Exchange Server nécessite une configuration supplémentaire :

  1. Ouvrez Exchange Management Shell.

    Voir Ouverture de l’environnement de ligne de commande Exchange Management Shell.

  2. Définissez la stratégie d’exécution PowerShell :

    Set-ExecutionPolicy RemoteSigned
    
  3. Obtenez le nom du répertoire virtuel PowerShell :

    Get-PowerShellVirtualDirectory -Server <nom du serveur>
    

    <server name> est le nom de l’ordinateur sur lequel le serveur Exchange est installé.

    Dans une installation standard, le répertoire virtuel PowerShell est PowerShell (Default Web Site).

  4. Définissez l’authentification de base pour le répertoire virtuel PowerShell :

    Set-PowerShellVirtualDirectory -Identity "PowerShell (Default Web Site)" -BasicAuthentication $true
    

Créer un compte de service

Un compte de service est un compte utilisateur spécial sur le serveur de messagerie Exchange que Sophos Mobile utilise pour exécuter les commandes PowerShell.

  1. Ouvrez le Centre d’administration Exchange dans un navigateur Web :

    • Pour Exchange Server : https://<ServerFQDN>/ecp

      <ServerFQDN> est le nom de domaine complet de votre serveur Exchange.

    • Pour Exchange Online : https://admin.exchange.microsoft.com

  2. Créez un compte de service.

    • Utilisez un nom d’utilisateur tel que smc_powershell pour identifier le but du compte.
    • Désactivez le paramètre pour vous assurer que l’utilisateur change son mot de passe à sa prochaine connexion.
    • Retirez toute licence Microsoft 365 qui était automatiquement assignée au nouveau compte. Les comptes de service ne nécessite pas de licence.
  3. Créez un nouveau groupe de rôles et assignez lui les autorisations adéquates.

    • Utilisez un nom de groupe de rôles tel que smc_powershell.
    • Ajoutez les rôles Mail Recipients et Organization Client Access.
    • Ajoutez le compte d’utilisateur en tant que membre.

Configurer la connexion PowerShell

  1. Utilisez l’assistant d’installation de la même manière que pour installer un proxy EAS Sophos Mobile. Sur la page EAS Proxy instance setup, configurez les paramètres suivants :

    • Instance type: Sélectionnez PowerShell Exchange/Office 365.
    • Instance name: un nom pour identifier l’instance.
    • Exchange server: Pour Exchange Server, saisissez le nom ou l’adresse IP de votre serveur.

      Pour Exchange Online, saisissez outlook.office365.com si vous utilisez le service global Microsoft 365. Pour les autres services, par exemple Office 365 Allemagne, reportez-vous aux valeurs du paramètre -ConnectionUri dans Connect-ExchangeOnline.

      Ne saisissez pas le protocole https:// ou le suffixe /powershell-liveid dans le nom. L’assistant d’installation l’ajoute automatiquement.

    • Allow all certificates: Le proxy EAS ne vérifie pas le certificat du serveur. Sélectionnez cette option si par exemple vous utilisez Exchange Server avec un certificat auto-signé.

      Avertissement

      Ce paramètre diminue la sécurité des connexions au serveur de messagerie. Sélectionnez-le uniquement si votre environnement réseau l’exige.

    • Service account: le nom du compte d’utilisateur que vous avez créé dans le serveur Exchange ou dans la console d’administration Exchange Online.

    • Mot de passe : le mot de passe du compte d’utilisateur.
  2. Cliquez sur Add pour ajouter l’instance à la liste Instances.

  3. répétez les étapes précédentes pour établir des connexions PowerShell sur d’autres instances du serveur Exchange.
  4. Terminez la configuration.
  5. Facultatif : Si nécessaire, configurez un serveur proxy que le proxy EAS utilisera pour se connecter au serveur Exchange ou à Exchange Online. Sur l’ordinateur sur lequel vous avez installé le proxy EAS, ouvrez une invite de commande à l’aide de l’option Exécuter en tant qu’administrateur et saisissez la commande suivante :

    Netsh winhttp set proxy <nom du serveur ou IP>:<port>
    

    Avertissement

    Cette commande configure un proxy à l’échelle du système. D’autres programmes exécutés sur l’ordinateur peuvent être affectés par ce problème.

Retrouvez plus de renseignements sur l’assistant d’installation sur Installer un proxy EAS Sophos Mobile.

Télécharger le certificat PowerShell

Téléchargez le certificat de la connexion PowerShell dans Sophos Mobile.

  1. Dans Sophos Central, allez dans Mes produits > Mobile.
  2. Sur le menu latéral, cliquez sur Configuration > Configuration de Sophos puis sur l’onglet Proxy EAS.
  3. Sous Externe, cliquez sur Télécharger un fichier. Téléchargez le certificat créé lors de la configuration.

    Si vous avez créé plusieurs instances, répétez cette opération pour tous les certificats d’instance.

  4. Cliquez sur Enregistrer.

  5. Dans Windows, ouvrez la boîte de dialogue Services et redémarrez le service EASProxy.