Damien Caro's Blog

Private Cloud today and tomorrow !

Connecter un Windows Phone 7 à Exchange 2010 SP1

Connecter un Windows Phone 7 à Exchange 2010 SP1

  • Comments 5
  • Likes

Avec la récente disponibilité de Windows Phone 7, vous avez peut-être plusieurs utilisateurs (incluant vous-même) qui veulent le connecter à votre système de messagerie tournant avec Exchange 2010. Certains d'entre-vous l'on peut-être déjà essayé ! Mais pour connecter avec succès un téléphone Windows Phone 7 (WP7) à Exchange 2010, il faut suivre plusieurs étapes:

  1. Faire en sorte que le téléphone fasse confiance à l'autorité de certification de votre organisation.
  2. Connecter le périphérique à votre serveur Exchange.
  3. Quelles sont les politiques ActiveSync supportées par votre Windows Phone 7 ?
  4. Déployer et superviser un pilote avant de passer en production.

Avant de suivre les étapes de configuration, il convient de garder en mémoire que Windows Phone 7 a été conçu dans le but d'un usage grand public et donc certaines fonctionnalités d'Exchange 2010 peuvent ne pas être opérationnelles dans les scénarios décrits ci-dessous.

  1. Faire en sorte que le téléphone fasse confiance à l'autorité de certification de votre organisation

Quand vous installez Exchange 2010, le système utilise par défaut un certificat auto-signé pour chiffrer les communications avec les clients (Outlook Web App, Outlook Anywhere ou ActiveSync/EAS). Une bonne pratique consiste à publier ces services sur Internet avec un certificat délivré soit par votre autorité de certification interne soir par une autorité de certification publique. Dans les deux cas, les client qui va se connecter au serveur doit reconnaitre ou encore faire confiance à l'autorité de certification qui a émis le certificat présenté par le serveur.

Par défaut, Windows Phone 7 fait confiance à des racines de certification des entités suivantes : AOL, Comodo, DigiCert, GlobalSign, Keynectics, Quovadis, RSA Security, SECOM Trust Systems, TWCA, TrustCenter, Trustwave et Verisign. Cette liste est valable au jour du lancement de WP7 mais peut changer avec le temps. Si vous publiez sur Internet les web services clients avec un certificat émis par l'une des autorités précédemment cités, ils seront automatiquement acceptés par Windows Phone 7 et vous pouvez aller directement à la section suivante de cet article.
La liste complète avec les détails techniques de chaque certificat racine est disponible ici : http://download.microsoft.com/download/9/3/5/93565816-AD4E-4448-B49B-457D07ABB991/Windows%20Phone%207%20Root%20Certificates_FINAL_121610.pdf

Cependant, si, comme beaucoup de clients, vous utilisez un certificat qui a été émis par l'autorité de certification de votre organisation, vous devrez ajouter le certificat racine de cette autorité dans la liste des autorités de certifications reconnues par le périphérique. Pour le faire, une méthode consiste à envoyer le certificat de l'autorité sur une adresse mails publique (comme Hotmail) et synchroniser ce compte sur votre téléphone avant de pouvoir l'importer.

L'autre option à votre disposition consiste à connecter votre Windows Phone 7 sur le Wi-Fi de l'entreprise et se connecter au site web de l'autorité de certification avec un navigateur comme indiqué ci-dessous :

Cliquez ou tapez sur "Download a CA certificate, Certificate Chain, or CRL"

Tapez sur "Download CA certificate chain" et validez l'installation du certificat racine:

Maintenant que nous avons installé le certificat racine de notre environnement sur notre périphérique, on peut le connecter sur notre serveur de messagerie Exchange 2010.

  1. Connecter le périphérique à votre système Exchange 2010

Cette étape est relativement simple. Nous allons suivre pas à pas les étapes de la configuration initiale de votre compte Exchange sur un téléphone Windows Phone 7.

Il faut aller dans les paramètres de votre périphérique puis "email & comptes".

Sélectionnez "add an account" et choisissez "Outlook".

L'une des excellentes nouveautés de Windows Phone 7 est sa capacité à pouvoir se connecter à plusieurs comptes de messagerie sur Exchange ! Cela veut dire par exemple que vous pouvez avoir un compte personnel sur Exchange 2010 et ouvrir en même temps une boite aux lettres d'équipe ou un autre boite aux lettres sur un système Exchange différent … pourquoi pas sur Office 365. Vous pouvez aussi synchroniser un compte privé sur votre téléphone, peu importe qu'il soit sur Hotmail, Gmail ou Yahoo! Mail. Tous sont accessibles depuis votre périphérique !

Si Exchange est correctement configuré pour la découverte automatique, la seule information à entrer est votre email et mot de passe. Si ce n'est pas le cas, il faudra entre des informations complémentaires comme le nom de domaine ou le nom du serveur.

Soyez patient, la première synchronisation de la boite aux lettres peut prendre un peu de temps. Après quoi, vous verrez vos emails dans votre boite aux lettres.

Comme pour toute démonstration, ceci fonctionne bien dans un environnement Exchange 2010 neuf. Cependant, dans la plupart des cas, votre système de messagerie a un historique et vous avez peut-être configuré des politiques ActiveSync. Ces politiques peuvent entrer en conflit avec les capacités de Windows Phone Phone 7.

 

  1. Quelles sont les politiques ActiveSync supportées par Windows Phone 7?

Comme Windows Phone 7 cible principalement le grand public, il y a plusieurs configurations d'Exchange 2010 SP1 qui s'avèrent être incompatibles avec ce périphérique. Si vous êtes dans une situation où une politique ActiveSync rentre en conflit avec les capacités de Windows Phone 7, vous allez rencontrer le message d'erreur suivant lors de la synchronisation :

Outlook error
<your_server> requires that certain security policies be enforced before you can sync your information. Contact a support person or your service provider.
Last tried xx seconds ago
Error code: 86000C2B

Ce code d'erreur montre que les politiques d'ActiveSync essayent d'activer (ou de désactiver) une fonctionnalité que WP7 ne supporte pas. Si vous souhaitez en savoir plus sur cette erreur, vous pouvez consulter l'article suivant de la base de connaissance : http://support.microsoft.com/kb/2464593

Par exemple, vous rencontrerez ce comportement si vous demandez à applique une politique de chiffrement du contenu du périphérique comme sur la capture d'écran ci-dessous:

Si vous cochez seulement l'option " Require encryption on device", la synchronisation va échouer. Cependant si vous voulez appliquer cette politique pour les téléphones Windows Mobile 6.5 de votre organisation et autoriser aussi les périphériques WP7 à se connecter, il faut sélectionner l'option "Allow non-provisionable devices" comme indiqué ci-dessous:

Au final, voici la liste des politiques qui sont supportées par Windows Phone 7 (en utilisant les identifiant reconnus dans l'Exchange Management Shell) :

  • DevicePasswordEnabled
  • MinDevicePasswordLength
  • MaxInactivityTimeDeviceLock
  • MaxDevicePasswordFailedAttempts
  • AllowSimpleDevicePassword
  • DevicePasswordExpiration
  • DevicePasswordHistory
  • AllowStorageCard
  • AllowIrDA
  • AllowDesktopSync
  • AllowRemoteDesktop
  • AllowInternetSharing

Si votre politique EAS a d'autre paramètres que ceux indiqués ci-dessus de positionnés, il faut positionner le paramètre "AllowNonProvisionableDevices" à $true dans la ligne de commande powershell.

Note: Si un périphérique est déjà connecté la modification du paramètre "AllowNonProvisionableDevices" n'impactera pas la synchronisation en place.

Pour plus d'information sur ce sujet vous pouvez consulter les articles Technet suivants: http://technet.microsoft.com/en-us/library/bb123704.aspx et http://support.microsoft.com/kb/2464593

La liste des fonctionnalités supportées par Windows Phone 7 a été résumée ici: http://social.technet.microsoft.com/wiki/contents/articles/exchange-activesync-considerations-when-using-windows-phone-7-clients.aspx

  1. Déployer et superviser un pilote avant de passer en production.

Avant de déployer une flotte significative de téléphones sous Windows Phone 7, il est recommandé de tester votre configuration sur un petit nombre d'utilisateurs chanceux (peut-être en ferez-vous partie).

La façon de procéder ayant le moins de risques est de:

  1. Créer une politique ActiveSync séparée.
  2. Appliquer cette politique sur les utilisateurs du pilote.

Pour créer une politique qui corresponde aux fonctions supportées par Windows Phone 7 vous pouvez utiliser le cmdlet suivant et changer les valeurs qui correspondent aux besoins de votre organisation. Cette ligne de commande ne présent que les paramètres supportés par WP7 :

New-ActiveSyncMailboxPolicy -Name "My WP7 Policy" -AllowNonProvisionableDevices $false -DevicePasswordEnabled $false -MinDevicePasswordLength $null -MaxInactivityTimeDeviceLock unlimited -MaxDevicePasswordFailedAttempts unlimited -AllowSimpleDevicePassword $true -DevicePasswordExpiration unlimited -DevicePasswordHistory 0 -AllowStorageCard $true -AllowIrDA $true -AllowDesktopSync $true -AllowRemoteDesktop $true -AllowInternetSharing $true

Pour appliquer ensuite cette politique à des utilisateurs identifiés, il faut utiliser le cmdlet suivant :

Set-CASMailbox -Identity <user_alias> -ActiveSyncEnabled $true -ActiveSyncMailboxPolicy "My WP7 Policy"

Vous trouverez plus d'information sur les politiques ActiveSync d'Exchange 2010 SP1 dans l'article suivant : http://technet.microsoft.com/en-us/library/bb123994.aspx

Supervision du point de vue de l'administrateur:

Il est maintenant temps de superviser le comportement des périphériques de vos utilisateurs pilotes ! Avec Exchange 2010 SP1, vous pouvez commencer par vérifier si les utilisateurs utilisent leur nouveau périphérique et s'ils l'ont effectivement connecté à leur boite aux lettres en utilisant la commande suivante dans l'Exchange Management Shell :

Get-ActiveSyncDeviceStatistics -Mailbox <mailbox_alias>

Le résultat dans mon environnement de démonstration est:

Si vous avez plusieurs périphériques de connectés sur une boite aux lettres, vous pouvez vérifier l'heure de dernière synchronisation réussie (LastSuccessSync), la version du système d'exploitation du périphérique (DeviceOS) ou encore le user agent (DeviceUserAgent) qui vous donneront une bonne indication du comportement du téléphone pour chaque utilisateur.

Si maintenant vous voulez superviser de façon plus globale comment se comportement votre déploiement de Windows Phone 7, vous pouvez utiliser le cmdlet suivant :

Get-ActiveSyncDevice -Filter {DeviceOS –like "*Windows Phone7.0"}

Cette commande Exchange Management Shell retournera la liste des périphériques connectés sur votre organisation qui se présentent comment utilisant Windows Phone 7 comme système d'exploitation. Vous pouvez travailler sur le résultat retourné par cette commande pour identifier quelles boites aux lettres se trouvent avec des périphériques bloqués. Par exemple ci-dessous, un exemple d'exécution de cette commande dans mon environnement de démonstration.

Notez que le champ "DeviceAccessState" a la valeur "Blocked" qui indique qu'une politique empêche ce périphérique d'être synchronisé avec Exchange.

Troubleshooting et support du point de vue de l'utilisateur final:

Si le travail d'administration effectué ci-dessus n'est pas suffisant pour éviter que les utilisateurs rencontrent des incidents de synchronisation, les utilisateurs peuvent toujours démarrer un enregistrement de traces depuis Outlook Web App (OWA) et recevoir ces traces dans leur boite aux lettres à pouvoir transmettre ensuite à leur interlocuteur au support.

Voici ci-dessous comment démarrer l'enregistrement dans OWA :

Le fichier de trace généré est un fichier texte attaché à un email dépose dans la boite aux lettres de l'utilisateur lorsque celui-ci revient dans sa boite aux lettres et clique sur "Récupérer le Journal".

 

Résumé

Si vous voulez déployer Windows Phone 7 dans votre entreprise, voici les points à prendre en considération:

  • Si vous n'avez pas publié votre web service ActiveSync avec un certificat émis par une autorité de certification publique, il faudra ajouter le certificat racine de votre autorité sur les périphériques
  • Pour la phase pilote, il est recommandé de créer une politique ActiveSync séparée pour ces utilisateurs.
  • Si vous devez appliquer des paramètres ActiveSync non compatibles avec WP7, assurez-vous de cocher la case "Allow non provisionable device".
  • Exploitez les cmdlets qui sont livrés avec Exchange 2010 SP1 pour superviser le déploiement de vos téléphones Windows Phone 7 (WP7).

     

Très bon déploiement de Windows Phone 7 dans votre entreprise!

 

 

Comments
  • Bonjour,

    Peut-on encore publier le certificat en le copiant sur le périphérique (comme sur les anciennes versions) ?

    Sinon, peut-on mettre sur un serveur web le .CER ?

    Merci

  • Bonjour,

    Il n'est pas possible de copier le certificat directement sur le périphérique. C'est la raison pour la quelle je suis passé par le serveur web de l'autorité de certification ou que d'autre passent par les mail publics.

    Merci,

    Damien Caro

  • le .cer n'est pas reconnu si on envoie le certificat par mail. Selon microsoft il faut l'envoyer en .crt.

    Avez vous pu tester ?

  • Merci !

    C'est exactement ce qu'il me fallait :)

  • Bonjour cyril, le .cer est un format reconnu par Windows Phone 7. Il peut être mis sur un serveur web ou envoyé par mail mais dans ce dernier cas, il y a un gros risque pour qu'il soit bloqué pas les divers systèmes de messagerie, pare-feu et anti-virus associés.

    Outlook Mobile ne bloque pas l'extention .CER mais Outlook oui et il est donc probable que les certificats de cette extention se trouvent bloqués.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment