Gestion de la mobilité avec Exchange ActiveSync : ce qui est possible, ce qui ne l’est pas

De nombreuses entreprises utilisent Microsoft Exchange ActiveSync pour gérer l’accès des leurs utilisateurs à leur messagerie. L'outil a pourtant ses limites et reste un MDM incomplet.

Lorsque l’utilisation des smartphones a explosé, la plupart des services informatiques étaient prêts à utiliser Microsoft Exchange ActiveSync pour l’accès aux e-mails. Mais ActiveSync n’offre pas toutes les fonctionnalités d’un outil complet de gestion des appareils mobiles (MDM).

Certes, ActiveSync donne aux utilisateurs l’accès mobile à leur messagerie, à leurs calendriers et à leur carnet d’adresses, si bien que c’est souvent le premier outil vers lequel les administrateurs informatiques se tournent pour gérer les appareils mobiles.

Securite Mobile

Mais avec ActiveSync, impossible de pousser des applications ou d’autoriser l’accès des utilisateurs à toutes les ressources dont ils ont besoin. Sans compter que les compatibilités avec ActiveSync sont différentes pour chaque équipementier : il n’y a aucune garantie que tous les appareils bénéficieront du même niveau de sécurité.

Ce qu’ActiveSync vous offre

Microsoft ActiveSync vous permet d’exposer le serveur Exchange à Internet pour que les appareils mobiles puissent s’y connecter de n’importe où, avec une simple connexion. Avec ActiveSync, les utilisateurs accèdent aux principales fonctions d’Outlook dont ils ont besoin : leur messagerie, leurs calendriers, leur carnet d’adresses et leurs tâches. Mais les fonctionnalités plus avancées, comme les dossiers publics et les règles de boîte de réception, sont rarement disponibles.

Quant au MDM, tous les grands systèmes d’exploitation des appareils mobiles prennent en charge un ensemble de profiles ActiveSync, mais toutes les politiques de gestion d’ActiveSync ne sont pas disponibles pour tous les systèmes d’exploitation.

Ce que vous contrôlez

Les contrôles intégrés à Microsoft Exchange ActiveSync et compatibles avec les smartphones et les tablettes concernent la sécurité. Vous pouvez définir la longueur du code d’accès (mais c’est incompatible avec la fonctionnalité de déverrouillage gestuel d’Android) et vous pouvez définir un délai d’inactivité avant l’extinction de l’écran, et forcer ensuite le verrouillage de l’écran quand il est inactif.

Pour permettre aux appareils de se synchroniser, vous devrez définir la propriété Allow Non-Provisionable Devices (Autoriser les périphériques non configurables) comme « Vrai ».

Certains appareils comme l’iPhone arrivent à se connecter lorsque ce paramètre est sur « Faux », mais de nombreux appareils Android et Windows Phone n’y arriveront pas, ce qui entraîne des problèmes de synchronisation des boîtes aux lettres. Il est donc préférable de définir une compatibilité plus large pour permettre aux divers appareils de se connecter.

Si Exchange crée une politique par défaut sur chaque appareil sur lequel il s’installe, les paramètres risquent de ne pas correspondre parfaitement à vos besoins ou spécifications précis.

Vous pouvez donc définir certaines politiques en fonction de la sensibilité des données d’un utilisateur ou des fonctionnalités prises en charge par son appareil. Ces paramètres sont modifiables dans la console de gestion Exchange. Une fois que la politique et ActiveSync sont accessibles par le réseau, il suffit de paramétrer la messagerie Exchange dans l’application de messagerie ou de définir les paramètres de messagerie de l’appareil pour le connecter.

Pour le suivi des connexions, pour les politiques à affecter et, le cas échéant, pour effacer le contenu de l’appareil à distance, les appareils ActiveSync sont gérés par la messagerie Microsoft Exchange.

Les limites de Microsoft Exchange ActiveSync

Même si la base d’ActiveSync est robuste et permet aux appareils mobiles de se connecter à la messagerie, vous ne pouvez pas l’utiliser pour accéder à d’autres ressources. Ainsi, vous ne pouvez pas pousser d’application vers les appareils, configurer l’accès à distance ou contrôler des fonctionnalités de sécurité spécifiques aux téléphones.

D’autre part, la synchronisation entre appareils par Exchange ActiveSync n’est pas optimale.

Même si chaque équipementier qui implémente ActiveSync le fait sous licence Microsoft, chacun l’implémente à sa manière. C’est la version de Microsoft Exchange que vous utilisez qui détermine les fonctionnalités disponibles. Exchange ActiveSync 12.0 par exemple, fourni avec Exchange Server 2007, apporte une prise en charge aléatoire des informations sur les participants d’une réunion ou de la recherche de messages sur le serveur.

La sécurité des appareils mobiles comporte également ses limites. Vous pouvez tout au plus contrôler la longueur du mot de passe de verrouillage, les délais d’extinction de l’écran et l’effacement à distance du contenu d’un appareil.

La mise en route de Microsoft Exchange ActiveSync est un projet modeste pour un administrateur Exchange. Il vous donne les outils pour donner accès à ce que la plupart des utilisateurs veulent depuis leur smartphone : les calendriers et la messagerie électronique. Mais si vous devez, dans le cadre d'un audit de sécurité, vous assurer que les données sont chiffrées, si vous devez fournir plus qu’un simple accès aux e-mails ou si vous voulez gérer de manière plus élégantes et avec plus de granularité les données de l’entreprise qui transitent les appareils mobiles, ActiveSync ne fera tout simplement pas l’affaire.

Pour approfondir sur Administration des terminaux (MDM, EMM, UEM, BYOD)

Close