Impostazione del controllo dell’accesso alle e-mail tramite PowerShell

Quando il proxy di EAS standalone viene impostato in modalità PowerShell, si connette al server di posta di Exchange tramite PowerShell e imposta l'accesso alla posta elettronica in base allo stato di conformità del dispositivo.

In modalità PowerShell, il traffico di posta viene inviato dal server di posta di Exchange direttamente ai dispositivi, senza un proxy. Per uno schema del flusso di comunicazione di PowerShell, vedere Esempi di architettura proxy EAS nella guida tecnica di Sophos Mobile.

Vantaggi della modalità PowerShell:

  • Non occorre aprire sul server Sophos Mobile una porta dedicata al traffico e-mail in entrata proveniente dai dispositivi.
  • È possibile impedire ai dispositivi che non sono registrati a Sophos Mobile di accedere alle e-mail.

Il server di posta di Exchange può essere un server di Exchange o Exchange Online che fa parte di Microsoft 365. Le versioni supportate sono:

  • Exchange Server 2013
  • Exchange Server 2016
  • Microsoft 365 con piano Exchange Online
Limitazione Poiché macOS non supporta il protocollo ActiveSync, non è possibile utilizzare PowerShell per controllare l’accesso alle e-mail dai Mac.

Per impostare il controllo dell'accesso alle e-mail tramite PowerShell, procedere come segue.

Configurazione di PowerShell

  1. Opzionale Se richiesto, installare Windows PowerShell sul computer su cui si desidera installare il proxy di EAS.
  2. Aprire PowerShell con privilegi di amministratore ed eseguire il seguente comando:
    Set-ExecutionPolicy RemoteSigned
Il server di Exchange richiede una configurazione aggiuntiva:
  1. Aprire Exchange Management Shell.
  2. Impostare il criterio di esecuzione di PowerShell:
    Set-ExecutionPolicy RemoteSigned
  3. Ottenere il nome della directory virtuale di PowerShell:
    Get-PowerShellVirtualDirectory -Server <nome server>

    <nome server> è il nome del computer su cui è installato il server di Exchange.

    In un'installazione standard, la directory virtuale di PowerShell è PowerShell (Default Web Site).

  4. Impostare un'autenticazione di base per la directory virtuale di PowerShell:
    Set-PowerShellVirtualDirectory -Identity "PowerShell (Default Web Site)" -BasicAuthentication $true

Creazione di un account di servizio

Un account di servizio è un particolare tipo di account utente sul server di posta di Exchange che viene utilizzato da Sophos Mobile per eseguire i comandi di PowerShell.

  1. Aprire l'interfaccia di amministrazione di Exchange in un browser web:
    • Per Exchange Server: https://<ServerFQDN>/ecp

      <ServerFQDN> è il nome di dominio completo del proprio server Exchange.

    • Per Exchange Online: https://admin.exchange.microsoft.com
  2. Creare un account utente.
    • Utilizzare un nome utente come ad es. smc_powershell, che descriva lo scopo dell'account.
    • Disattivare l’impostazione che prevede la modifica della password da parte dell’utente all’accesso successivo.
    • Rimuovere eventuali licenze Microsoft 365 automaticamente assegnate al nuovo account. Gli account di servizio non richiedono alcuna licenza.
  3. Creare un nuovo gruppo di ruoli e assegnarvi le autorizzazioni richieste.
    • Adoperare un nome per il gruppo di ruoli quale ad es. smc_powershell.
    • Aggiungere i ruoli Mail Recipients e Organization Client Access.
    • Aggiungere l'account utente come membro.

Configurazione della connessione PowerShell

  1. Utilizzare l'Impostazione Assistita analogamente a quando si installa un proxy di EAS standalone. Nella pagina EAS Proxy instance setup, configurare le seguenti impostazioni:
    • Instance type: Selezionare PowerShell Exchange/Office 365.
    • Instance name: Un nome che identifica l’istanza.
    • Exchange server: Per Exchange Server, immettere il nome o l'indirizzo IP del proprio server.

      Per Exchange Online, immettere outlook.office365.com, se si utilizza il servizio Microsoft 365 globale. Per altri servizi, ad esempio Office 365 Germany, l'indirizzo è reperibile nel documento Microsoft Autorizzazione di base - Connettersi a PowerShell per Exchange Online.

      Non immettere il protocollo https:// o il suffisso /powershell-liveid nel nome, in quanto la procedura guidata di installazione li aggiunge automaticamente.

    • Allow all certificates: Il proxy di EAS non verifica il certificato del server. Selezionare questa opzione se ad esempio si utilizza il server di Exchange con un certificato autofirmato.
      Avvertenza Questa impostazione riduce la protezione delle connessioni del server di posta. Selezionare questa opzione solo se richiesta dall'ambiente di rete.
    • Service account: Il nome dell'account utente creato nella console di amministrazione del server di Exchange o di Exchange Online.
    • Password: La password dell’account utente.
  2. Cliccare su Add per aggiungere l'istanza all'elenco Instances.
  3. Ripetere i passaggi di cui sopra per impostare connessioni PowerShell ad altre istanze del server di Exchange.
  4. Completare l'impostazione.
  5. Opzionale Se necessario, configurare un server proxy che il proxy di EAS possa utilizzare per connettersi al server di Exchange o a Exchange Online. Sul computer in cui è stato installato il proxy di EAS, aprire un prompt dei comandi utilizzando l'opzione Esegui come amministratore e digitare il comando seguente:

    netsh winhttp set proxy <nome server o IP>:<porta>

    Avvertenza Questo comando configura un proxy a livello di sistema e potrebbe avere ripercussioni su altri programmi in esecuzione nel computer.

Upload del certificato di PowerShell

Caricare il certificato della connessione PowerShell su Sophos Mobile.

  1. Sign in to Sophos Central Admin and go to Mobile.
  2. Nella barra laterale dei menu, sotto IMPOSTAZIONI, cliccare su Impostazione > Impostazione Sophos e successivamente sulla scheda Proxy EAS.
  3. Opzionale In Generale, selezionare Limita a Sophos Secure Email per limitare l’accesso alle e-mail all’app Sophos Secure Email, disponibile per Android e iOS.
  4. Sotto Esterno, cliccare su Carica file. Caricare il certificato creato durante la configurazione.

    Se è stata impostata più di un’istanza, ripetere questa procedura per i certificati di tutte le istanze.

  5. Cliccare su Salva.
  6. In Windows, aprire la finestra di dialogo Servizi e riavviare il servizio EASProxy.