Installation du contrôle d’accès à la messagerie avec PowerShell

Lorsque vous configurez le proxy EAS autonome en mode PowerShell, il se connecte à votre serveur de messagerie Exchange via PowerShell et définit l’accès aux e-mails en fonction de l’état de conformité de l’appareil.

En mode PowerShell, le trafic de messagerie passe directement du serveur de messagerie Exchange à vos appareils sans proxy. Retrouvez un diagramme de la communication dans Sophos Mobile Guide technique.

Avantages du mode PowerShell :

  • Il n’est pas nécessaire d’ouvrir un port sur votre serveur Sophos Mobile pour le trafic de messagerie entrant provenant de vos appareils.
  • Vous pouvez empêcher les appareils qui ne sont pas inscrits à Sophos Mobile d’accéder à la messagerie.

Le serveur de messagerie Exchange peut être un serveur Exchange local ou Exchange Online, qui fait partie d’Office 365. Les versions compatibles sont :

  • Exchange Server 2013
  • Exchange Server 2016
  • Office 365 avec un plan Exchange Online
Restriction : Le protocole ActiveSync n’est pas pris en charge par macOS. Vous ne pouvez donc pas utiliser PowerShell pour contrôler l’accès à la messagerie des Macs.

Pour installer le contrôle d’accès à la messagerie avec PowerShell, procédez comme suit.

Configuration de PowerShell

  1. Facultatif : Si nécessaire, installez Windows PowerShell sur l’ordinateur sur lequel vous allez installer le proxy EAS.
  2. Ouvrez PowerShell en tant qu’administrateur et exécutez la commande suivante :
    Set-ExecutionPolicy RemoteSigned

Exchange Server nécessite une configuration supplémentaire :

  1. Ouvrez Exchange Management Shell.
  2. Définissez la stratégie d’exécution PowerShell :
    Set-ExecutionPolicy RemoteSigned
  3. Obtenez le nom du répertoire virtuel PowerShell :
    Get-PowerShellVirtualDirectory -Server <nom du serveur> 

    <nom du serveur> est le nom de l’ordinateur sur lequel le serveur Exchange est installé.

    Dans une installation standard, le répertoire virtuel PowerShell est PowerShell (Site Web par défaut).

  4. Définissez l’authentification de base pour le répertoire virtuel PowerShell :
    Set-PowerShellVirtualDirectory -Identity "PowerShell (Default Web Site)" -BasicAuthentication $true

Création d’un compte de service

Un compte de service est un compte utilisateur spécial sur le serveur de messagerie Exchange que Sophos Mobile utilise pour exécuter les commandes PowerShell.

  1. Connectez-vous à la console d’administration adéquate.
    • Pour Exchange Server : Centre d’administration Exchange
    • Pour Exchange Online : Centre d’administration Office 365
  2. Créez un compte de service.
    • Utilisez un nom d’utilisateur tel que smc_powershell pour identifier le but du compte.
    • Désactivez le paramètre pour vous assurer que l’utilisateur change son mot de passe à sa prochaine connexion.
    • Retirez toute licence Office 365 qui était automatiquement assignée au nouveau compte. Les comptes de service ne nécessite pas de licence.
  3. Créez un nouveau groupe de rôles et assignez lui les autorisations adéquates.
    • Utilisez un nom de groupe de rôles tel que smc_powershell.
    • Ajoutez les rôles Mail Recipients et Organization Client Access.
    • Ajoutez le compte d’utilisateur en tant que membre.

Configurer la connexion PowerShell

  1. Utilisez l’assistant d’installation de la même manière que pour installer un proxy EAS autonome. Sur la page EAS Proxy instance setup, configurez les paramètres suivants :
    • Instance type: Sélectionnez PowerShell Exchange/Office 365.
    • Instance name: un nom pour identifier l’instance.
    • Exchange server: Pour Exchange Server, saisissez le nom ou l’adresse IP de votre serveur.

      Pour Exchange Online, saisissez outlook.office365.com si vous utilisez le service global Office 365. Pour d’autres services, par exemple Office 365 Allemagne, vous pouvez trouver l’adresse dans le document Microsoft Connexion à Exchange Online PowerShell.

      Ne saisissez pas le protocole https:// ou le suffixe /powershell-liveid dans le nom. L’assistant d'installation l’ajoute automatiquement.

    • Allow all certificates: Le proxy EAS ne vérifie pas le certificat du serveur. Sélectionnez cette option si par exemple vous utilisez Exchange Server avec un certificat auto-signé.
      Avertissement : Ce paramètre diminue la sécurité des connexions au serveur de messagerie. Sélectionnez-le uniquement si votre environnement réseau l’exige.
    • Service account: le nom du compte d’utilisateur que vous avez créé dans le serveur Exchange ou dans la console d’administration Exchange Online.
    • Password: le mot de passe du compte d’utilisateur.
  2. Cliquez sur Add pour ajouter l’instance à la liste Instances.
  3. répétez les étapes précédentes pour établir des connexions PowerShell sur d’autres instances du serveur Exchange.
  4. Terminez la configuration.
  5. Facultatif : Si nécessaire, configurez un serveur proxy que le proxy EAS utilisera pour se connecter au serveur Exchange ou à Exchange Online. Sur l’ordinateur sur lequel vous avez installé le proxy EAS, ouvrez une invite de commande à l’aide de l’option Exécuter en tant qu’administrateur et saisissez la commande suivante :

    Netsh winhttp set proxy <nom du serveur ou IP>:<port>

    Avertissement : Cette commande configure un proxy à l’échelle du système. D’autres programmes exécutés sur l’ordinateur peuvent être affectés par ce problème.

Télécharger le certificat PowerShell

Téléchargez le certificat de la connexion PowerShell dans Sophos Mobile.

  1. Connectez-vous à Sophos Central Admin et allez dans Mobile.
  2. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration de Sophos puis sur l’onglet Proxy EAS.
  3. Facultatif : Sous Général, sélectionnez Restreindre à Sophos Secure Email pour limiter l’accès à la messagerie à l’app Sophos Secure Email disponible pour Android et iOS.
  4. Sous Externe, cliquez sur Télécharger un fichier. Téléchargez le certificat créé lors de la configuration.

    Si vous avez créé plusieurs instances, répétez cette opération pour tous les certificats d’instance.

  5. Cliquez sur Enregistrer.
  6. Dans Windows, ouvrez la boîte de dialogue Services et redémarrez le service EASProxy.