Exchange 2007 SP1 + Windows Mobile 6.1 = Nye policies

Published 24 April 08 03:21 PM | Andreas

Det er kjent, (for de som følger med på slike ting), at det kom noen nye features for ActiveSync og Windows Mobile med Service Pack 1 til Exchange 2007. Selve det faktum at man kan synkronisere enhetene er jo ikke nytt, men det kom endel nye policy-innstillinger for å kontrollere enhetene og sette et bestemt sikkerhetsnivå.

De forskjellige innstillingsmulighetene er vist nedenunder:
AS_Pol_01 AS_Pol_02
AS_Pol_03 AS_Pol_04
AS_Pol_05

Hvis du har RTM av Exchange 2007 vil du ha tilsvarende fliker, men ikke de samme sjekkboksene. Dessverre ser man ikke fra interfacen hva som er Windows Mobile 6.1 features og hva som er WM 6.0 / WM 5.0. (Skal vi være nøyaktige går det på ActiveSync-versjon, og derfor kan det også fungere på Nokia med Mail for Exchange så lenge den støtter samme versjon som korresponderende Windows Mobile.)

De fleste innstillingene er ganske selvforklarende og jeg går ikke i detalj, men kan forklare noen utvalgte:
- "Allow non-provisionable devices". Dette går på hvorvidt vi tillater enheter som ikke oppfyller alle innstillingene vi ønsker å koble til og synkronisere. Det vil si at hvis settingen krever Windows Mobile 6.1 kan ikke Windows Mobile 5.0 koble til. Hvis du bruker Nokia E-serie med Mail for Exchange går det kanskje bra, men Nokia N-serie funker ikke. Gjør dine testinger og vurderinger.
- "Allow Bluetooth" kan settes til Enable, Disable eller Handsfree only.
- Noen av innstillingene er oppgitt til å kreve Enterprise CAL. Dette er så vidt jeg kan finne ut ikke en teknisk sperre, eller at noe må skrus på, men at man må holde oversikten papirmessig at det matcher lisensene man har.
- Forskjellen på "unsigned application" og "unsigned installation package" er blokkering av .exe & .dll versus blokkering av .cab. Muligheten for to nivåer av blokkering kan være nyttig i noen scenario.  Merk at brukeren fremdeles får opp advarsel og må bekrefte ved installasjon av usignerte caber.

Ulempen med mange av disse innstillingene er at det ikke har vært mulig å teste de i praksis da de krever Windows Mobile 6.1. Jeg har ventet litt på enheter med den versjonen av Windows Mobile, men har først nå fått mine klamme fingre rundt en fungerende ROM. (For de som tenker at dette har vært på Xda i lang tid så er det riktig, men jeg har anskaffet dette via noe mer lovlige kanaler.)

Du kan selvfølgelig lage forskjellige ActiveSync-policier og definere de til å gjelde for forskjellige brukergrupper avhengig av dine behov. Jeg valgte å gjøre det veldig enkelt for testens skyld og lagde bare en policy som vist i skjermbildene over.

Enheten ble satt opp via Autodiscover, (se tidligere post: Windows Mobile 6.1 + Autodiscover = Go), og når synkroniseringen begynte fikk jeg beskjed om å godta det faktumet at det er en policy på server. (Dette får man også med Windows Mobile 6.0 og SP1.) Så tygget ActiveSync litt før den presenterte en beskjed om at det var gjort endringer som krevde restart av enheten. Helt ok. Når jeg deretter forsøkte å skru på Bluetooth og WLAN var det no go. Det underlige er at avhengig av hvor i brukergrensesnittet du forsøker å aktivere det så er det enten en tydelig beskjed om hvorfor det ikke fungerer, eller så bare fungerer det ikke. Det kan muligens forvirre noen brukere...

Selvfølgelig har vi også noen screenshots av hvordan dette ser ut på enheten :)
Comm Manager:
WM6_1-Policies_01
WLAN og Bluetooth er grået ut. Å trykke på WLAN har ingen effekt. Trykke på Bluetooth får enheten til å tenke litt, men gjør heller ikke noe.
Innstillinger->Trådløst LAN. Ingen effekt ved å trykke på "Slå på WLAN".
WM6_1-Policies_02 
Forsøk på å aktivere Bluetooth ved å gå på Innstilllinger->Bluetooth
WM6_1-Policies_03

Internet Explorer:
Start-meny før og etter blokkering av browser.
WM6_1-Policies_04 WM6_1-Policies_05
Forsøk på å starte Internet Explorer (siden det tross alt fremdeles er et ikon der):
WM6_1-Policies_06

Jeg aktiverte også kryptering av enheten, ikke bare minnekortet som i WM 6.0, og man får da beskjed når man booter at enheten er kryptert før man trykker inn PIN-kode/passord. Jeg kommer til å teste denne krypteringen nærmere da jeg har litt blandet erfaring med kryptering fra tidligere av med tanke på ytelse og brukeropplevelse.
Et par ting er verd å nevne rundt denne funksjonen:
- Den kan kun aktiveres fra serverside. Det er ikke mulig på enheten å aktivere annet enn kryptering av minnekort.
- Kryptering gjelder enten hele enheten, eller ingenting.
- Det er mulig å konfigurere kryptering mer finkornet - via System Center Mobile Device Manager (SCMDM2008), men altså ikke via Exchange.

Hvis du endrer policy så kan det ta litt tid før det skjer endring på enheten avhengig av replikering på Exchange, om du har push eller intervallsynk på ActiveSync, etc. Endel av innstillingene, (i hvert fall de som har med disabling/enabling å gjøre), krever en soft reset av enheten så skal du teste og leke bør du kanskje ha en egen policy for dette så ikke andre brukere må soft resette enhetene sine villkårlig.

Filed under: , ,

Comments

No Comments