Vai al contenuto

Impostazione del controllo dell’accesso alle e-mail tramite PowerShell

Quando il proxy di EAS di Sophos Mobile viene impostato in modalità PowerShell, si connette al server di posta di Exchange tramite PowerShell e imposta l’accesso alla posta elettronica in base allo stato di conformità del dispositivo.

Restrizione

Poiché macOS non supporta il protocollo ActiveSync, non è possibile utilizzare PowerShell per controllare l’accesso alle e-mail dai Mac.

La modalità PowerShell presenta i seguenti vantaggi rispetto alla modalità proxy:

  • I dispositivi comunicano direttamente con il server di posta di Exchange.
  • Poiché non è obbligatorio reindirizzare il traffico di posta attraverso il proxy di EAS di Sophos Mobile, non occorre aprire una porta sul firewall per la posta in entrata.
  • È possibile bloccare l’accesso alle e-mail per i dispositivi non gestiti.
  • La modalità PowerShell supporta Exchange Online ed Exchange Server, mentre la modalità proxy supporta solo Exchange Server.

Per uno schema del flusso di comunicazione di PowerShell, vedere Esempi di architettura proxy EAS.

Il server di posta di Exchange può essere un server di Exchange o Exchange Online che fa parte di Microsoft 365. Le versioni supportate sono:

  • Exchange Server 2016
  • Exchange Server 2019
  • Microsoft 365 con piano Exchange Online

Per impostare il controllo dell’accesso alle e-mail tramite PowerShell, procedere come segue.

Configurazione di PowerShell

  1. Opzionale: Se richiesto, installare Windows PowerShell sul computer su cui si desidera installare il proxy di EAS.

    Vedere Installazione di PowerShell in Windows.

  2. Aprire PowerShell con privilegi di amministratore ed eseguire il seguente comando:

    Set-ExecutionPolicy RemoteSigned
    

Il server di Exchange richiede una configurazione aggiuntiva:

  1. Aprire Exchange Management Shell.

    Vedere Aprire Exchange Management Shell.

  2. Impostare il criterio di esecuzione di PowerShell:

    Set-ExecutionPolicy RemoteSigned
    
  3. Ottenere il nome della directory virtuale di PowerShell:

    Get-PowerShellVirtualDirectory -Server <nome server>
    

    <server name> è il nome del computer su cui è installato il server di Exchange.

    In un’installazione standard, la directory virtuale di PowerShell è PowerShell (Default Web Site).

  4. Impostare un’autenticazione di base per la directory virtuale di PowerShell:

    Set-PowerShellVirtualDirectory -Identity "PowerShell (Default Web Site)" -BasicAuthentication $true
    

Creazione di un account di servizio

Un account di servizio è un particolare tipo di account utente sul server di posta di Exchange che viene utilizzato da Sophos Mobile per eseguire i comandi di PowerShell.

  1. Aprire l’interfaccia di amministrazione di Exchange in un browser web:

    • Per Exchange Server: https://<ServerFQDN>/ecp

      <ServerFQDN> è il nome di dominio completo del proprio server Exchange.

    • Per Exchange Online: https://admin.exchange.microsoft.com

  2. Creare un account utente.

    • Utilizzare un nome utente come ad es. smc_powershell, che descriva lo scopo dell’account.
    • Disattivare l’impostazione che prevede la modifica della password da parte dell’utente all’accesso successivo.
    • Rimuovere eventuali licenze Microsoft 365 automaticamente assegnate al nuovo account. Gli account di servizio non richiedono alcuna licenza.
  3. Creare un nuovo gruppo di ruoli e assegnarvi le autorizzazioni richieste.

    • Adoperare un nome per il gruppo di ruoli quale ad es. smc_powershell.
    • Aggiungere i ruoli Mail Recipients e Organization Client Access.
    • Aggiungere l’account utente come membro.

Configurazione della connessione PowerShell

  1. Utilizzare l’Impostazione Assistita analogamente a quando si installa un proxy EAS di Sophos Mobile. Nella pagina EAS Proxy instance setup, configurare le seguenti impostazioni:

    • Instance type: Selezionare PowerShell Exchange/Office 365.
    • Instance name: Un nome che identifica l’istanza.
    • Exchange server: Per Exchange Server, immettere il nome o l’indirizzo IP del proprio server.

      Per Exchange Online, immettere outlook.office365.com, se si utilizza il servizio Microsoft 365 globale. Per altri servizi, ad esempio Office 365 Germania, vedere i valori del parametro -ConnectionUri in Connect-ExchangeOnline.

      Non immettere il protocollo https:// o il suffisso /powershell-liveid nel nome. In quanto la procedura guidata di installazione li aggiunge automaticamente.

    • Allow all certificates: Il proxy di EAS non verifica il certificato del server. Selezionare questa opzione se ad esempio si utilizza il server di Exchange con un certificato autofirmato.

      Avviso

      Questa impostazione riduce la protezione delle connessioni del server di posta. Selezionare questa opzione solo se richiesta dall’ambiente di rete.

    • Service account: Il nome dell’account utente creato nella console di amministrazione del server di Exchange o di Exchange Online.

    • Password: La password dell’account utente.
  2. Cliccare su Add per aggiungere l’istanza all’elenco Instances.

  3. Ripetere i passaggi di cui sopra per impostare connessioni PowerShell ad altre istanze del server di Exchange.
  4. Completare l’impostazione.
  5. Opzionale: Se necessario, configurare un server proxy che il proxy di EAS possa utilizzare per connettersi al server di Exchange o a Exchange Online. Sul computer in cui è stato installato il proxy di EAS, aprire un prompt dei comandi utilizzando l’opzione Esegui come amministratore e digitare il comando seguente:

    netsh winhttp set proxy <nome server o IP>:<porta>
    

    Avviso

    Questo comando configura un proxy a livello di sistema. Potrebbe avere ripercussioni su altri programmi in esecuzione nel computer.

Per ulteriori informazioni sull’assistente alla configurazione, vedere Installazione del proxy EAS di Sophos Mobile.

Upload del certificato di PowerShell

Caricare il certificato della connessione PowerShell su Sophos Mobile.

  1. In Sophos Central, selezionare Prodotti > Mobile.
  2. Nella barra laterale dei menu, cliccare su Impostazione > Impostazione Sophos e successivamente sulla scheda Proxy EAS.
  3. Sotto Esterno, cliccare su Carica file. Caricare il certificato creato durante la configurazione.

    Se è stata impostata più di un’istanza, ripetere questa procedura per i certificati di tutte le istanze.

  4. Cliccare su Salva.

  5. In Windows, aprire la finestra di dialogo Servizi e riavviare il servizio EASProxy.