Accès sécurisé des smartphones aux serveurs Exchange
La passerelle de sécurité suisse complète la solution EMM d’AppTec avec un accès sécurisé aux serveurs Exchange pour tous les appareils mobiles gérés.
Pour des raisons de sécurité, les serveurs Exchange fonctionnent généralement derrière un pare-feu. Cela est possible tant qu’aucun utilisateur itinérant ne demande l’accès aux services Exchange lorsqu’il est en déplacement. Permettre aux utilisateurs de smartphones d’accéder à l’extérieur représente alors un risque pour la sécurité et n’est parfois pas du tout autorisé. AppTec, le fournisseur suisse de logiciels EMM, propose une solution de sécurité pour ce scénario. Le « AppTec Universal Gateway » garantit aux utilisateurs d’Exchange un accès sécurisé au système de messagerie depuis l’extérieur.
Architecture du proxy inverse
La passerelle universelle se connecte au réseau en tant que proxy inverse et sert de point d’accès unique pour les appareils mobiles. Il est fourni par AppTec sous la forme d’une appliance virtuelle et est généralement installé dans la DMZ (« zone démilitarisée »). En liaison avec la solution EMM « AppTec Enterprise Mobility Management« , seuls les smartphones gérés bénéficient d’un accès externe au serveur Exchange. Le logiciel EMM assure une configuration entièrement automatique des appareils mobiles.
Configuration en tant qu’appliance virtuelle
Le système de passerelle est rapidement installé. Il peut être utilisé dans une machine virtuelle (VM) avec n’importe quel logiciel de virtualisation standard. La configuration s’effectue à l’aide d’un simple menu texte au niveau de la console. Pour l’essentiel, il suffit d’attribuer des mots de passe pour l’administration et de procéder à la configuration du réseau. En option, la connexion au serveur AppTec EMM peut être testée par ping.
Le système global est modulaire. Cela signifie que la passerelle universelle peut être mise en place indépendamment du fait qu’AppTec EMM soit exploité dans le nuage ou sur site. Seuls certains ports de pare-feu doivent être activés pour la communication entre la passerelle et Exchange et entre la passerelle et le serveur EMM.
Configuration via la console web EMM
Une fois le logiciel serveur installé, la configuration de la passerelle s’effectue via la console web AppTec EMM. La passerelle universelle est activée dans l’option de menu « Ajouter une passerelle ». Pour ce faire, entrez l’adresse réseau de l’appareil et stockez un certificat SSL. Dans l’étape suivante, la connexion au serveur Exchange est définie via « Add Gateway Configuration ». Vous devez alors décider si les dispositifs gérés doivent être automatiquement activés pour l’accès à Exchange ou s’ils doivent d’abord se retrouver dans une liste de quarantaine et être activés manuellement par l’administrateur d’Exchange.
Kerberos garantit la sécurité et le confort des utilisateurs
Les administrateurs peuvent activer Kerberos pour la communication entre le smartphone et la passerelle. Il renforce la sécurité du système et évite aux utilisateurs d’avoir à saisir ou à changer périodiquement de mot de passe, car il transforme leurs appareils mobiles en jetons matériels. Pour pouvoir utiliser Kerberos, il faut soit fournir un fichier keytab Kerberos lors de la configuration, soit créer un utilisateur de délégation dans l’Active Directory.
Dans la configuration d’ActiveSync, l’administrateur peut également définir les paramètres du protocole de communication entre Exchange et les appareils mobiles. La configuration de Kerberos et d’ActiveSync est ensuite automatiquement déployée sur les appareils finaux. À partir de ce moment, ils ne se connecteront à la passerelle universelle que pour la communication de courrier. Il n’y a pas de connexion directe au serveur Exchange.
VPN pour les smartphones Android
Les utilisateurs d’Android peuvent également être équipés d’une connexion VPN au réseau de l’entreprise via la passerelle universelle. Ceci est défini via un profil de configuration de passerelle supplémentaire et garantit que le client VPN AppTec est automatiquement installé sur l’appareil final.
L’administrateur peut consulter l’état de la connexion de tous les appareils dans la console EMM. En utilisant l’option « Toujours activé », il peut spécifier que l’appareil mobile communique toujours avec le monde extérieur via VPN. Par défaut, l’application détecte automatiquement si une connexion à Internet doit être établie – par exemple, lorsque l’utilisateur ouvre un navigateur – et démarre alors automatiquement la connexion VPN à la demande.
Conclusion
Outre l’aspect sécuritaire, la passerelle universelle d’AppTec offre également d’autres avantages aux utilisateurs. Les utilisateurs de smartphones n’ont aucune configuration à effectuer. Ils peuvent utiliser les services Exchange comme d’habitude et, grâce à Kerberos, ne doivent pas saisir de mot de passe ni procéder à des changements de mot de passe fastidieux.
Prix et disponibilité
La passerelle universelle ne peut être utilisée qu’avec le système AppTec EMM. Cela coûte 0,79 € par appareil et par mois, en plus des frais d’utilisation de l’EMM. Sur demande, le fabricant suisse installe et configure le système pour le client (moyennant un supplément).
Source : https://www.computerwoche.de/a/smartphone-zugriff-auf-exchange-server-absichern,3544683