Vai al contenuto

Impostazione del controllo dell’accesso alle e-mail tramite PowerShell

Quando il proxy di EAS standalone viene impostato in modalità PowerShell, si connette al server di posta di Exchange tramite PowerShell e imposta l'accesso alla posta elettronica in base allo stato di conformità del dispositivo.

In modalità PowerShell, il traffico di posta viene inviato dal server di posta di Exchange direttamente ai dispositivi, senza un proxy. Per uno schema del flusso di comunicazione, vedere Esempi di architettura proxy EAS nella guida alla distribuzione per server di Sophos Mobile.

Vantaggi della modalità PowerShell:

  • Non occorre aprire sul server Sophos Mobile una porta dedicata al traffico e-mail in entrata proveniente dai dispositivi.
  • È possibile impedire ai dispositivi che non sono registrati a Sophos Mobile di accedere alle e-mail.

Il server di posta di Exchange può essere un server di Exchange o Exchange Online che fa parte di Microsoft 365. Le versioni supportate sono:

  • Exchange Server 2013
  • Exchange Server 2016
  • Microsoft 365 con piano Exchange Online

Restrizione

Poiché macOS non supporta il protocollo ActiveSync, non è possibile utilizzare PowerShell per controllare l’accesso alle e-mail dai Mac.

Per impostare il controllo dell'accesso alle e-mail tramite PowerShell, procedere come segue.

Configurazione di PowerShell

  1. Opzionale: Se richiesto, installare Windows PowerShell sul computer su cui si desidera installare il proxy di EAS.

    Vedere il documento Microsoft Installazione di Windows PowerShell.

  2. Aprire PowerShell con privilegi di amministratore ed eseguire il seguente comando:

    Set-ExecutionPolicy RemoteSigned
    

Il server di Exchange richiede una configurazione aggiuntiva:

  1. Aprire Exchange Management Shell.

    Vedere il documento Microsoft Aprire Exchange Management Shell.

  2. Impostare il criterio di esecuzione di PowerShell:

    Set-ExecutionPolicy RemoteSigned
    
  3. Ottenere il nome della directory virtuale di PowerShell:

    Get-PowerShellVirtualDirectory -Server <server name\>
    

    <server name\> è il nome del computer su cui è installato il server di Exchange.

    In un'installazione standard, la directory virtuale di PowerShell è PowerShell (Default Web Site).

  4. Impostare un'autenticazione di base per la directory virtuale di PowerShell:

    Set-PowerShellVirtualDirectory -Identity "PowerShell (Default Web Site)" -BasicAuthentication $true
    

Creazione di un account di servizio

Un account di servizio è un particolare tipo di account utente sul server di posta di Exchange che viene utilizzato da Sophos Mobile per eseguire i comandi di PowerShell.

  1. Aprire l'interfaccia di amministrazione di Exchange in un browser web:

    • Per Exchange Server: https://<ServerFQDN\>/ecp

      \ è il nome di dominio completo del proprio server Exchange.

    • Per Exchange Online: https://admin.exchange.microsoft.com

  2. Creare un account utente.

    • Utilizzare un nome utente come ad es.smc_powershell, che descriva lo scopo dell'account.
    • Disattivare l’impostazione che prevede la modifica della password da parte dell’utente all’accesso successivo.
    • Rimuovere eventuali licenze Microsoft 365 automaticamente assegnate al nuovo account. Gli account di servizio non richiedono alcuna licenza.
  3. Creare un nuovo gruppo di ruoli e assegnarvi le autorizzazioni richieste.

    • Adoperare un nome per il gruppo di ruoli quale ad es. smc_powershell.
    • Aggiungere i ruoli Mail Recipients e Organization Client Access.
    • Aggiungere l'account utente come membro.

Configurazione della connessione PowerShell

  1. Utilizzare l'Impostazione Assistita analogamente a quando si installa un proxy di EAS standalone. Nella pagina EAS Proxy instance setup, configurare le seguenti impostazioni:

    • Instance type: Selezionare PowerShell Exchange/Office 365.
    • Instance name: Un nome che identifica l’istanza.
    • Exchange server: Per Exchange Server, immettere il nome o l'indirizzo IP del proprio server.

      Per Exchange Online, immettere outlook.office365.com, se si utilizza il servizio Microsoft 365 globale. Per altri servizi, ad esempio Office 365 Germany, l'indirizzo è reperibile nel documento Microsoft Autorizzazione di base - Connettersi a PowerShell per Exchange Online.

      Non immettere il protocollo https:// o il suffisso /powershell-liveid nel nome. In quanto la procedura guidata di installazione li aggiunge automaticamente.

    • Allow all certificates: Il proxy di EAS non verifica il certificato del server. Selezionare questa opzione se ad esempio si utilizza il server di Exchange con un certificato autofirmato.

      Avviso

      Questa impostazione riduce la protezione delle connessioni del server di posta. Selezionare questa opzione solo se richiesta dall'ambiente di rete.

    • Service account: Il nome dell'account utente creato nella console di amministrazione del server di Exchange o di Exchange Online.

    • Password: La password dell’account utente.
  2. Cliccare su Add per aggiungere l'istanza all'elenco Instances.

  3. Ripetere i passaggi di cui sopra per impostare connessioni PowerShell ad altre istanze del server di Exchange.
  4. Completare l'impostazione.
  5. Opzionale: Se necessario, configurare un server proxy che il proxy di EAS possa utilizzare per connettersi al server di Exchange o a Exchange Online. Sul computer in cui è stato installato il proxy di EAS, aprire un prompt dei comandi utilizzando l'opzione Esegui come amministratore e digitare il comando seguente:

    netsh winhttp set proxy <nome server o IP>:<porta>
    

    Avviso

    Questo comando configura un proxy a livello di sistema. Potrebbe avere ripercussioni su altri programmi in esecuzione nel computer.

Upload del certificato di PowerShell

Caricare il certificato della connessione PowerShell su Sophos Mobile.

  1. Accedere a Sophos Mobile Admin come super administrator.
  2. Nella barra laterale dei menu, sotto IMPOSTAZIONI, cliccare su Impostazione > Impostazione Sophos e successivamente sulla scheda Proxy EAS.
  3. In Generale, selezionare Limita a Sophos Secure Email per limitare l’accesso alle e-mail all’app Sophos Secure Email, disponibile per Android e iOS.
  4. Sotto Esterno, cliccare su Carica file. Caricare il certificato creato durante la configurazione.

    Se è stata impostata più di un’istanza, ripetere questa procedura per i certificati di tutte le istanze.

  5. Cliccare su Salva.

  6. In Windows, aprire la finestra di dialogo Servizi e riavviare il servizio EASProxy.
Torna su