Exchange ActiveSync (úplně první verze se jmenovala AirSync) tu je již nějakou dobu a každá nová verze nebo Service Pack (SP) Exchange serveru rozšiřuje jeho možnosti (přináší novější verzi protokolu). Použitelný byl již na Exchange Server 2003, verze 2003 SP2 doplnila Direct Push, politiky pro zařízení a možnost vzdáleného vymazání dat (remote wipe). Na Exchange Server 2007 byl protokol kompletně přepracovaný a přinesl mnoho novinek, které ještě doplnil SP1. To je verze, o které budeme mluvit v tomto článku. Další drobnosti v protokolu přinesl Exchange Server 2010. Samozřejmě je také důležité, jaké vlastnosti podporuje klient v mobilním zařízení.

Exchange Server 2007 SP1 ActiveSync

Na serveru definujeme Exchange ActiveSync Mailbox Policy (jednu nebo více), kde můžeme nastavit vyžadování hesla a jeho parametry, omezit data, která může klient synchronizovat, zakázat HW zařízení (jako WiFi, Bluetooth, fotoaparát a další) a třeba blokovat aplikace. Klient si po nastavení spojení s Exchange serverem musí stáhnout tuto politiku a měl by ji na zařízení nastavit. Nemám moc zkušeností, nakolik vše v praxi funguje.

Po prvním spojení dojde ke spárování zařízení s uživatelským účtem na Exchange serveru, vytvoří se mobile device partnership, a ten si stáhne různé údaje o zařízení (podle toho co poskytuje klient). Takových partnerství může mít uživatel vytvořeno více. Exchange server pak udržuje informace o těchto zařízeních a může si je prohlédnout administrátor nebo uživatel, kterému zařízení patří.

Operace nad mobilními zařízeními

Operace, které můžeme provádět přes některé rozhraní:

• Device status - informace o zařízení a synchronizacích
• Remove Device from List - zrušení partnerství se zařízením (smazání zařízení, vlastní zařízení to nijak neovlivní)
• Wipe All Data from Device - smazání dat na zařízení (a stálé blokování zařízení pro synchronizaci)
• Display Recovery Password - obnova hesla, pokud je tato funkce povolena, tak poskytne kód na obnovu zapomenutého hesla do zařízení
• Retrieve log - odeslání logu s informacemi o posledních synchronizacích

Remote Wipe

Dovoluje provést vzdálené vymazání dat ze zařízení. Mělo by to zabezpečit naše data, pokud někdo ukradne zařízení. Po vyvolání vymazání dat, se při prvním pokusu o synchronizaci, vymažou data zařízení a to se vypne. Dále je blokována možnost synchronizace. O úspěšném vymazání dat dostane uživatel potvrzení emailem. Diskuzi o tom, jestli někdo po ukradení zařízení, nezabrání jeho připojení k internetu, ponecháme stranou. Pokud bychom chtěli toto zařízení znovu synchronizovat, tak musíme nejprve smazat toto partnerství.

Retrieve log

Defaultně vypnutá funkce, která umožní poslat uživateli log s posledními pokusy o synchronizaci. Po zapnutí můžeme nastavit, kolik dat se uchovává. Pokud chceme logování zapnout, tak musíme na Exchange Serveru editovat soubor web.config:

C:\Program Files\Microsoft\Exchange Server\ClientAccess\Sync\web.config

V něm vyhledáme řetězec MailboxLoggingEnabled a jeho hodnotu změníme z false na true.

<add key="MailboxLoggingEnabled" value="true"></add>

O kousek níže by se měla nacházet položka, kde můžeme nastavit, kolik posledních požadavků se loguje.

<add key="NumOfQueuedMailboxLogEntries" value="15"></add>

A dále ještě velikost logu (v bytech) pro uživatele.

<add key="MaxSizeOfMailboxLog" value="50000"></add>

Po provedení změny není potřeba restartovat žádnou službu a v OWA by se měla objevit nová položka Retrieve log v sekci Mobile Devices.

Mobilní zařízení - rozhraní

Pro přístup k informacím o zařízení, a provedení zmiňovaných operací, můžeme využít tři metody:

• Outlook Web Access (OWA) - uživatelé mohou sami spravovat svoje zařízení
• Exchange Management Console - administrátor pomocí standardní grafické konzole
• Exchange Management Shell - administrátor pomoci PowerShellu

Mobile Devices přes OWA

Samoobsluhu pro správu mobilních zařízení může využít každý uživatel, který má spárované zařízení. Po přihlášení do OWA klikneme vpravo nahoře na Options. V levém menu je předposlední položka Mobile Devices. Zde vidíme všechna svoje zařízení, s kterými máme vytvořeno partnerství. Stará zařízení můžeme ze seznamu odstranit, můžeme provést vymazání dat a v některých případech si můžeme zobrazit heslo pro obnovu. Pokud máme tuto funkci zapnutou, tak si můžeme nechat poslat logy.

Exchange Management Console

Administrátor může využití standardní grafický nástroj Exchange Management Console  a v části Recipient Configuration - Mailbox si vybrat uživatele, který má spárované mobilní zařízení. U takového uživatele se po kliknutí pravým tlačítkem zobrazí nová položka v kontextovém menu s názvem Manage mobile device. Vidíme zde seznam zařízení (v tak malém okně, že vidíme vždy pouze jedno) a můžeme odstranit partnerství nebo vymazat data.

Exchange Management Shell - PowerShell

Nejsilnější nástroj pro administrátora je tradičně PowerShell. Hlavní příkaz pro získání informací je Get-ActiveSyncDeviceStatistics. Můžeme získávat buď informace o uživateli, pomocí parametru Mailbox. Nebo o určitém zařízení, pomocí parametru Identity.

Informace o zařízeních přiřazených určitému uživateli.

Get-ActiveSyncDeviceStatistics -Mailbox bouska
FirstSyncTime          : 22.1.2008 11:45:17
LastPolicyUpdateTime   : 7.7.2009 10:33:52
LastSyncAttemptTime    : 23.7.2009 21:00:50
LastSuccessSync        : 23.7.2009 21:00:50
DeviceType             : IMEI353261019800000
DeviceID               : IMEI353261019800000
DeviceUserAgent        : NokiaE65/1.0
DeviceWipeSentTime     : 
DeviceWipeRequestTime  : 
DeviceWipeAckTime      : 
LastPingHeartbeat      : 
RecoveryPassword       : ********
DeviceModel            : 
DeviceIMEI             : 
DeviceFriendlyName     : 
DeviceOS               : 
DeviceOSLanguage       : 
DevicePhoneNumber      : 
Identity               : bouska@firma.cz\AirSync-IMEI353261019800000-IMEI353261019800000

Místo hesla pro obnovu se standardně zobrazují hvězdičky, pokud chceme hesla zobrazit, stačí přidat parametr.

Get-ActiveSyncDeviceStatistics -Mailbox bouska -ShowRecoveryPassword $true

Pokud máme zapnuté logování, tak si můžeme uložit nebo odeslat na email zprávu s logem. Standardně se odešle na účet administrátora, můžeme přidat parametr s dalšími adresami nebo určit cestu na disk, kam se uloží.

Get-ActiveSyncDeviceStatistics -Mailbox bouska -GetMailboxLog $true -OutputPath c:\1 

Pokud chceme vypsat všechna zařízení s uživateli na serveru, tak je příkaz trochu složitější a může vypadat třeba následně.

Get-Mailbox | ForEach {Get-ActiveSyncDeviceStatistics -Mailbox:$_.Identity} | FT Identity,DeviceType,DeviceUserAgent,DeviceModel,DeviceIMEI,DeviceOS,DevicePhoneNumber -AutoSize

Odstranění partnerství se zařízením, zařízení identifikujeme jeho ID.

Remove-ActiveSyncDevice -Identity bouska@firma.cz\AirSync-PocketPC-6F24CAD599A5BF1A690246B8C68FAE8D

Vymazání dat na zařízení.

Clear-ActiveSyncDevice -Identity bouska@firma.cz\AirSync-PocketPC-6F24CAD599A5BF1A690246B8C68FAE8D