Impostazione del controllo dell’accesso alle e-mail tramite PowerShell

Quando il proxy di EAS standalone viene impostato in modalità PowerShell, si connette al server di posta di Exchange tramite PowerShell e imposta l'accesso alla posta elettronica in base allo stato di conformità del dispositivo.

In modalità PowerShell, il traffico di posta viene inviato dal server di posta di Exchange direttamente ai dispositivi, senza un proxy. Per uno schema del flusso di comunicazione di PowerShell, consultare la Sophos Mobile Guida tecnica.

Vantaggi della modalità PowerShell:

  • Non occorre aprire sul server Sophos Mobile una porta dedicata al traffico e-mail in entrata proveniente dai dispositivi.
  • È possibile impedire ai dispositivi che non sono registrati a Sophos Mobile di accedere alle e-mail.

Il server di posta di Exchange può essere un server di Exchange on-premise o Exchange Online che fa parte di Office 365. Le versioni supportate sono:

  • Exchange Server 2013
  • Exchange Server 2016
  • Office 365 con piano Exchange Online
Limitazione: Poiché macOS non supporta il protocollo ActiveSync, non è possibile utilizzare PowerShell per controllare l’accesso alle e-mail dai Mac.

Per impostare il controllo dell'accesso alle e-mail tramite PowerShell, procedere come segue.

Configurazione di PowerShell

  1. Opzionale: Se richiesto, installare Windows PowerShell sul computer su cui si desidera installare il proxy di EAS.
  2. Aprire PowerShell con privilegi di amministratore ed eseguire il seguente comando:
    Set-ExecutionPolicy RemoteSigned

Il server di Exchange richiede una configurazione aggiuntiva:

  1. Aprire Exchange Management Shell.
  2. Impostare il criterio di esecuzione di PowerShell:
    Set-ExecutionPolicy RemoteSigned
  3. Ottenere il nome della directory virtuale di PowerShell:
    Get-PowerShellVirtualDirectory -Server <nome server>

    <nome server> è il nome del computer su cui è installato il server di Exchange.

    In un'installazione standard, la directory virtuale di PowerShell è PowerShell (Default Web Site).

  4. Impostare un'autenticazione di base per la directory virtuale di PowerShell:
    Set-PowerShellVirtualDirectory -Identity "PowerShell (Default Web Site)" -BasicAuthentication $true

Creazione di un account di servizio

Un account di servizio è un account utente speciale sul server di posta di Exchange che viene utilizzato da Sophos Mobile per eseguire i comandi di PowerShell.

  1. Accedere alla console di amministrazione richiesta:
    • Per Exchange Server: Interfaccia di amministrazione di Exchange
    • Per Exchange Online: Interfaccia di amministrazione di Office 365
  2. Creare un account utente.
    • Utilizzare un nome utente come ad es. smc_powershell, che descriva lo scopo dell'account.
    • Disattivare l’impostazione che prevede la modifica della password da parte dell’utente all’accesso successivo.
    • Rimuovere eventuali licenze Office 365 automaticamente assegnate al nuovo account. Gli account di servizio non richiedono alcuna licenza.
  3. Creare un nuovo gruppo di ruoli e assegnarvi le autorizzazioni richieste.
    • Adoperare un nome per il gruppo di ruoli quale ad es. smc_powershell.
    • Aggiungere i ruoli Mail Recipients e Organization Client Access.
    • Aggiungere l'account utente come membro.

Configurazione della connessione PowerShell

  1. Utilizzare l'Impostazione Assistita analogamente a quando si installa un proxy di EAS standalone. Nella pagina EAS Proxy instance setup, configurare le seguenti impostazioni:
    • Instance type: Selezionare PowerShell Exchange/Office 365.
    • Instance name: Un nome che identifica l’istanza.
    • Exchange server: Per Exchange Server, immettere il nome o l'indirizzo IP del proprio server.

      Per Exchange Online, immettere outlook.office365.com, se si utilizza il servizio Office 365 globale. Per altri servizi, ad esempio Office 365 Germany, l'indirizzo viene indicato nel documento Microsoft Connettersi a PowerShell per Exchange Online.

      Non immettere il protocollo https:// o il suffisso /powershell-liveid nel nome, in quanto la procedura guidata di installazione li aggiunge automaticamente.

    • Allow all certificates: Il proxy di EAS non verifica il certificato del server. Selezionare questa opzione se ad esempio si utilizza il server di Exchange con un certificato autofirmato.
      Avvertenza: Questa impostazione riduce la protezione delle connessioni del server di posta. Selezionare questa opzione solo se richiesta dall'ambiente di rete.
    • Service account: Il nome dell'account utente creato nella console di amministrazione del server di Exchange o di Exchange Online.
    • Password: La password dell’account utente.
  2. Cliccare su Add per aggiungere l'istanza all'elenco Instances.
  3. Ripetere i passaggi di cui sopra per impostare connessioni PowerShell ad altre istanze del server di Exchange.
  4. Completare l'impostazione.
  5. Opzionale: Se necessario, configurare un server proxy che il proxy di EAS possa utilizzare per connettersi al server di Exchange o a Exchange Online. Sul computer in cui è stato installato il proxy di EAS, aprire un prompt dei comandi utilizzando l'opzione Esegui come amministratore e digitare il comando seguente:

    netsh winhttp set proxy <nome server o IP>:<porta>

    Avvertenza: Questo comando configura un proxy a livello di sistema e potrebbe avere ripercussioni su altri programmi in esecuzione nel computer.

Upload del certificato di PowerShell

Caricare il certificato della connessione PowerShell su Sophos Mobile.

  1. Sign in to Sophos Central Admin and go to Mobile.
  2. Nella barra laterale dei menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Impostazione Sophos e successivamente sulla scheda Proxy EAS.
  3. Opzionale: In Generale, selezionare Limita a Sophos Secure Email per limitare l’accesso alle e-mail all’app Sophos Secure Email, disponibile per Android e iOS.
  4. Sotto Esterno, cliccare su Carica file. Caricare il certificato creato durante la configurazione.

    Se è stata impostata più di un’istanza, ripetere questa procedura per i certificati di tutte le istanze.

  5. Cliccare su Salva.
  6. In Windows, aprire la finestra di dialogo Servizi e riavviare il servizio EASProxy.