Services d'accès client

Introduction aux services d’accès client

Les services d’accès client consistent en l’ensemble des mécanismes permettant l’accès aux données stockées au sein des bases de données de boîtes aux lettres.

Ainsi, si un utilisateur souhaite accéder à sa messagerie, il sollicitera les services d’accès client pour cela, et ce, de manière totalement transparente.

L’emploi d’un protocole de communication commun est essentiel, il fait partie du fonctionnement intrinsèque de tout système requérant une communication de flux données entre deux composants.

Exchange 2013 s’appuie, pour la prise en charge des accès client, sur différents protocoles comme HTTP, RPC, POP3 ou encore IMAP.

C’est au travers de ces protocoles, mis en œuvre de manière directe ou combinée, qu’Exchange va fournir des services d’accès client prenant la forme de méthodes d’accès comme Outlook Anywhere ou Outlook Web App.

Avant toute chose, il conviendra de rappeler la distinction à faire entre le rôle serveur d’accès client et les services d’accès client.

1. Le rôle serveur d’accès client

Le rôle serveur d’accès client, comme vu dans les chapitres précédents, va effectuer trois actions : authentifier les utilisateurs, localiser le serveur de boîtes aux lettres où se situe la boîte demandée, et connecter l’utilisateur à la boîte aux lettres (il fait alors office de proxy). Dans le cas où la boîte réside sur un autre site, il redirigera l’utilisateur vers le serveur d’accès clients du site où est hébergée la boîte aux lettres demandée (s’il existe un serveur d’accès client sur le site en question).

Son rôle se limite exclusivement à ces actions. Aussi, même si dans les chapitres précédents, comme la gestion des bases de données, nous avions l’impression d’interagir directement sur le serveur de boîtes aux lettres via les outils d’administrations, toutes nos requêtes passaient bel et bien par le rôle serveur d’accès client avant d’atterrir et d’être traitées par le serveur de boîtes aux lettres ; ceci étant valable à la fois pour les clients externes et internes :

2. Les services d’accès client

Là où s’arrête le périmètre du rôle du service d’accès client débute celui du serveur de boîtes aux lettres, qui, excepté les éléments assumés par le rôle service d’accès client, exécute la totalité des processus Exchange 2013.

De ce fait, la notion de services d’accès client va à la fois viser le rôle serveur d’accès client, dans la mesure où il permet d’accéder au serveur de boîtes aux lettres, mais également les processus et services du serveur de boîtes aux lettres permettant de prendre en charge les connexions des clients. C’est ce même serveur de boîtes aux lettres qui héberge les protocoles et est donc chargé de la restitution des données en fonction du protocole sollicité.

3. Les méthodes d’accès clients

Par le passé, les utilisateurs étaient amenés à se connecter à leur boîte aux lettres de diverses manières, souvent tributaires de leur fonction, leur localisation géographique et/ou des équipements à leur disposition. Ainsi, les utilisateurs sédentaires se connectaient depuis les locaux de l’entreprise via un client lourd Outlook, d’autres plus mobiles, se voyaient ajouter un accès web via PC, voire un accès depuis leur mobile.

Même si cette philosophie demeure toujours présente et potentiellement applicable sous Exchange 2013 à qui le souhaite, nous avons désormais divers scénarios permettant par exemple à un client lourd Outlook de se connecter depuis l’extérieur via son même client Outlook, et ce, sans besoin de modifier ses paramètres.

Les accès Web, au travers d’Outlook Web App, offrent également des fonctionnalités telles qu’ils peuvent également être employés au sein de l’entreprise, et ceci peut se révéler très utile dans certains cas. En effet, si par exemple vous employez toujours des clients de type Outlook 2007, vous ne pourrez pas, au travers de ces derniers, bénéficier des dernières technologies que propose Exchange 2013. Aussi, pour accéder par exemple aux boîtes d’archives, pourriez-vous utiliser Outlook Web App, sans qu’il soit nécessaire de déployer une nouvelle version d’Outlook sur vos postes clients.

Avant de définir la configuration des services clients, il est primordial d’identifier les besoins de vos clients en termes d’accès, en considérant à la fois les aspects fonctionnels, la sécurité et la mobilité.

Grâce à cela, vous pourrez dégager des typologies d’accès qui, combinées aux périphériques employés, vous permettront de définir les protocoles et les services d’accès client qui en découlent que vous devrez mettre en œuvre sur votre plateforme de messagerie.

Les services d’accès client proposés par Exchange 2013 pour assurer la connectivité des clients sont les suivants :

• Outlook Anywhere : utilisé pour les clients Outlook.
• Outlook Web App : qui propose un accès aux boîtes aux lettres via une interface web pour différentes catégories d’utilisateurs.
• Exchange Active Sync : pour les clients mobiles.
• POP3 / IMAP4 : pour les clients non compatibles avec Exchange.

Outre la connectivité, Exchange 2013 propose aux clients des services complémentaires permettant d’enrichir les applications de travail collaboratif.

Outlook Anywhere

Outlook Anywhere est la méthode de connexion par Exchange 2013. Au travers d’Outlook Anywhere, nous allons pouvoir disposer de l’intégralité des fonctionnalités de messagerie et de travail collaboratif d’Exchange 2013 : la messagerie électronique, la gestion du calendrier, des tâches, des dossiers publics, des ressources et des contacts. Il permet la synchronisation de la boîte aux lettres de l’utilisateur sur le poste de travail dans un fichier OST (et OAB pour les carnets d’adresses).

Outlook Anywhere emploie différents mécanismes basés sur le protocole RPC/HTTP, aussi, faut-il s’assurer que le client Outlook employé supporte ces mécanismes.

1. Clients compatibles

Il s’agit de la méthode de connexion native proposée par Exchange 2013 pour les clients Outlook dits "lourds" (du fait qu’ils sont installés sur une machine). Il s’agit plus précisément de :

• Sur PC : Microsoft Outlook 2013, Outlook 2010 (Service Pack 1 et Cumulative Update de novembre 2012), Outlook 2007 (Service Pack 3 et Cumulative Update de novembre 2012).
• Sur Mac : Outlook pour Mac 2011 et Microsoft Entourage 2008 (Web Services Edition).

Outlook Anywhere, en tant que protocole par défaut, succède au traditionnel MAPI (Messaging Application Programming Interface) que nous connaissons sous quasiment toutes les versions antérieures à Exchange 2013.

2. Protocoles mis en œuvre

Techniquement, Outlook Anywhere s’appuie sur le protocole RPC (Remote Procedure Call) encapsulé soit dans un flux HTTP (RPC over HTTP ou RPC/HTTP) soit dans un flux HTTPS (RPC over HTTPS ou RPC/HTTPS).

Par défaut, les clients externes employant Outlook Anywhere emploient le protocole RPC/HTTPS, les clients internet et les clients internes le protocole RPC/HTTP.

Le MAPI (Messaging Application Programming Interface) usuel que nous connaissions sous Outlook, à savoir RPC/TCP, n’est plus supporté sous Exchange 2013. Ceci a permis de simplifier les architectures, notamment celle du serveur d’accès client qui, entre autres, grâce au RPC/HTTP, peut jouer son rôle de simple proxy). Lorsque l’on se réfère à MAPI sous Exchange 2013, il s’agit exclusivement de RPC/HTTP(S).

L’avantage d’Outlook Anywhere, auquel ce dernier doit son nom, est qu’il ne requiert l’ouverture que d’un seul port (443) sur les pare-feu, permettant ainsi à un client Outlook (lourd) de se connecter depuis l’extérieur à sa messagerie, en disposant de l’ensemble des fonctionnalités de manière sécurisée, et sans avoir besoin d’un client VPN.

Le cas d’Outlook 2003 : Même s’il s’agit du premier client à supporter les connexions RPC/HTTPS, Outlook 2003 n’est pas pris en charge par Exchange 2013 dans ce mode.

3. Mécanisme d’accès

Le diagramme suivant présente les composants des rôles serveur d’accès client et serveur de boîtes aux lettres sollicités pour Outlook Anywhere :

Lorsqu’un client Outlook externe se connecte, il passe à travers le pare-feu dont le port 443 est ouvert et atterrit sur les services IIS (Internet Information Services) du serveur d’accès client). Il s’agit d’un flux HTTPS qui encapsule le protocole RPC.

Lorsqu’un client interne se connecte, il accède directement aux services IIS du serveur d’ac2cès client, soit avec un flux HTTP, soit avec un flux HTTPS qui, dans les deux cas, encapsule le protocole RPC.

Quel que soit le client, le serveur d’accès client va avant tout authentifier l’utilisateur en s’appuyant sur Active Directory et identifier, par la même occasion, le serveur de boîtes aux lettres hébergeant la boîte à laquelle l’utilisateur souhaite se connecter.

Ensuite, que ce soit pour un client interne ou externe, le serveur d’accès client va faire transiter le flux HTTPS ou HTTP vers les services IIS du serveur de boîtes aux lettres via son proxy HTTP.

Les services IIS du serveur de boîtes aux lettres, au travers du proxy RPC du serveur de boîtes aux lettres, vont extraire les appels RPC du flux HTTP permettant au protocole RPC d’accéder à la base de données de boîtes aux lettres.

4. Configuration d’Outlook Anywhere

La configuration d’Outlook Anywhere est relativement simple dans la mesure où il s’agit, sous Exchange 2013, du protocole par défaut à la fois pour les clients internes et les clients externes.

Configuration d’Outlook Anywhere via le Centre d’administration Exchange

Le paramétrage d’Outlook Anywhere est effectué via le menu Serveurs de l’arborescence du Centre d’administration Exchange.

À partir de ce menu, vous accédez tout d’abord à la liste de vos serveurs :

Pour accéder alors aux paramètres d’Outlook Anywhere, procédez de la façon suivante :

 Dans la liste de serveurs, double cliquez sur le nom du serveur dont vous souhaitez modifier les paramètres.

 Dans la fenêtre de propriétés du serveur affichée, cliquez dans l’arborescence de gauche sur Outlook Anywhere.

Vous vous retrouvez alors sur la page permettant de paramétrer les différentes options du protocole :

Les éléments paramétrables sont les suivants :

• Le nom d’hôte externe : il s’agit du nom d’hôte (DNS) du serveur utilisé par les clients situés à l’extérieur de l’organisation, c’est-à-dire sur Internet (par exemple mail.editions-eni.fr). Sans ce paramètre, et même si la configuration est faite au niveau du DNS, une connexion externe sera rejetée par les services IIS du serveur d’accès client car il ne l’aura pas publiée et donc ne pourra pas la reconnaître. 
• Le nom d’hôte interne : il s’agit ici du nom d’hôte utilisé par les clients internes de l’organisation, utilisant normalement les serveurs DNS internes de l’entreprise (par exemple : exch-srv1.eni.lan). Ce champ est renseigné par défaut avec le FQDN du serveur d’accès client sur lequel la configuration est effectuée.
• La méthode d’authentification des clients externes : il s’agit, soit de l’authentification NTLM (NT LAN Manager), plus sûre, soit de l’authentification de base (moins sûre). Par défaut, la valeur proposée est Négocier, c’est-à-dire utiliser les méthodes disponibles en commençant par la plus sûre.

• L’authentification NTLM s’appuie sur les mêmes mécanismes que l’ouverture d’une session sous Windows, et fonctionne notamment avec un jeton de session.
• L’authentification de base va, quant à elle, envoyer les informations de connexion et notamment le mot de passe en clair. Ceci pourrait faire peur à première vue, mais il faut garder en tête que la connexion des clients externes se fait exclusivement en SSL (HTTPS), de ce fait, les informations d’identification sont forcément cryptées et ne transiterons jamais en clair sur Internet.

• Autoriser le déchargement SSL : le déchargement SSL (SSL offloading) permet de réduire la charge CPU du serveur du serveur Exchange 2013 en transférant la charge du cryptage/décryptage SSL à un équipement tiers placé en amont du serveur d’accès client. De ce fait, les flux transiteront par l’équipement qui se chargera du décryptage des informations, avant de les transmettre au serveur Exchange. Dans le sens inverse, lorsque le serveur Exchange transfèrera les données, il ne cryptera pas non plus, laissant cette charge à l’équipement positionné en amont.

Configuration d’Outlook Anywhere via l’Exchange Management Shell (EMS)

Avant de paramétrer Outlook Anywhere, il est intéressant de se pencher sur les options de configuration dont il dispose sous PowerShell. Pour cela, vous devez taper la cmdlet suivante sous l’EMS :

Get-OutlookAnywhere -Server <nom_server>

La liste des paramètres du protocole d’accès client est alors affichée :

Nous voyons d’emblée que la gestion au travers de PowerShell permet de définir des paramètres de manière beaucoup plus granulaire que ne le permet le Centre d’administration Exchange.

Par exemple, nous avons la possibilité de définir la méthode d’authentification pour les clients internes (NTLM, de base), ou bien si l’on requiert une connexion chiffrée SSL pour les clients internes ou externes. 

Par ailleurs, nous allons prendre soin de noter la valeur du paramètre Identity qui nous sera utile pour définir les permissions pour Outlook Anywhere. Par défaut, il s’agit de "<NOM-SERVEUR>\Rpc (Default Web Site)".

La définition de paramètres s’effectue via la cmdlet Set-OutlookAnywhere, dont voici les paramètres principaux :

• -Identity (obligatoire) : ce paramètre permet de spécifier le répertoire virtuel sur lequel doit être effectué le paramétrage. S’agissant d’Outlook Anywhere, il s’agit du répertoire virtuel RPC. Il se présente sous la forme "<NOM-SERVEUR>\Rpc (Default Web Site)".
• -DefaultAuthenticationMethod (optionnel) : permet de définir la ou les méthodes d’authentification par défaut pour les clients internes et externes (NTLM, de base ou négociée).
• -ExternalHostname (optionnel) : permet de définir le FQDN employé par le client Outlook Anywhere pour les connexions depuis l’extérieur.
• -ExternalClientAuthenticationMethod (optionnel) : permet de définir la ou les méthodes d’authentification pour les clients externes (NTLM, de base ou négociée).
• -ExternalClientsRequireSsl (optionnel) : permet de définir si une connexion chiffrée SSL est requise pour les clients externes. Par défaut, elle est activée.
• -InternalHostname (optionnel) : permet de définir le FQDN employé par les clients Outlook Anywhere pour les connexions depuis l’entreprise.
• -InternalClientAuthenticationMethod (optionnel) : permet de définir la ou les méthodes d’authentification pour les clients internes (NTLM, de base ou négociée).
• -InternalClientsRequireSsl (optionnel) : permet de définir si une connexion chiffrée SSL est requise pour les clients internes. Par défaut, elle est activée.
• -SSLOffloading (optionnel) : permet d’activer ou de désactiver le déchargement SSL.

Pour définir le FQDN externe du serveur sur mail.editions-eni.fr, en requérant une connexion SSL et une méthode d’authentification NTLM, vous devez taper la commande suivante sous l’EMS :

Set-OutlookAnywhere -Identity "<NOM-SERVEUR>\Rpc (Default Web Site)"  
-ExternalHostname "mail.editions-eni.fr"  
-ExternalClientsRequireSsl $true  
-InternalClientAuthenticationMethod NTLM

Pour activer le déchargement SSL, tapez la commande suivante sous l’EMS :

Set-OutlookAnywhere -Identity "<NOM-SERVEUR>\Rpc (Default Web Site)"  
-SSLOffloading $true

Pour désactiver les connexions SSL pour les clients internes (requiert l’activation du déchargement SSL au préalable), vous devez taper la commande suivante sous l’EMS :

Set-OutlookAnywhere -Identity "<NOM-SERVEUR>\Rpc (Default Web Site)"  
-InternalClientsRequireSSL $false

Outlook Web App (OWA)

Outlook Web App est le client léger basé sur le Web particulièrement adapté aux utilisateurs itinérants ou requérant un accès à leur messagerie sans disposer d’un client Outlook.

En fonction du périphérique utilisé pour la connexion à Outlook Web App, nous nous retrouverons sur une interface optimisée pour celui-ci :

• Pour les ordinateurs de bureau et les ordinateurs portables : l’interface Desktop (bureau) sera utilisée. Il s’agit de l’interface conventionnelle d’Outlook Web App permettant d’accéder à l’ensemble des fonctionnalités qu’il propose. Elle est particulièrement adaptée pour un usage au clavier et à la souris
• Pour les tablettes : l’interface Touch Wide (tactile large) sera employée. Elle est optimisée pour une utilisation sur un écran tactile.
• Pour les Smartphones : l’interface Touch Narrow (tactile étroite) sera ici utilisée. Elle est optimisée pour une utilisation sur les écrans tactiles de taille réduite.

Lorsque l’on parle d’Outlook Web App, on désigne en fait l’interface Desktop, les interfaces Touch Wide et Touch Narrow étant communément regroupées sous la dénomination d’Outlook Web App Mobile.

Il existe également une application OWA pour iPhone et iPad disponible via iTunes.

1. Outlook Web App

Bien que basé sur une interface Web, il fournit un accès aux boîtes aux lettres des utilisateurs sous une forme riche d’un point de vue expérience utilisateur. En effet, il offre la quasi-totalité des fonctionnalités disponibles au travers d’un client lourd Outlook. Parmi les fonctionnalités non prises en charge, nous aurons l’accès aux messageries partagées, la réponse aux messages imbriqués, ou encore certaines options de personnalisation d’affichage.

Interface

Outlook Web App (OWA) est activé par défaut lors de l’installation d’Exchange 2013. Il comporte deux versions de son interface :

• L’interface Outlook Web App Premium, qui offre l’ensemble des fonctionnalités supportées sur les navigateurs compatibles (quasiment tous les navigateurs récents) :

• L’interface Outlook Web App légère est avant tout destinée aux non-voyants ou aux malvoyants pour lesquels l’affichage est optimisé. Il est également utilisé pour la prise en charge des clients incompatibles avec l’interface Outlook Standard. Elle fournit les fonctionnalités de base de la messagerie, parmi lesquelles le courrier, le calendrier, les contacts, les dossiers, le carnet d’adresses, etc.

Une autre utilisation intéressante de l’interface légère d’Outlook Web App est la connexion via une connexion à bas débit permettant ainsi la transmission des données essentielles. Ajoutez pour cela le paramètre ?layout=light derrière l’URL d’OWA. Par exemple : https://172.16.1.21/owa/?layout=light

Mode hors connexion

Parmi les nouveautés proposées par Exchange 2013 concernant l’expérience utilisateur, nous avons le mode hors connexion d’Outlook Web App, qui permet à l’utilisateur de continuer à travailler sans être connecté au serveur Exchange.

Grâce à ce mode, l’utilisateur aura la possibilité de lire ou d’écrire des messages, accéder aux contacts ou encore planifier un rendez-vous.

Dès lors qu’une connexion au serveur est disponible, les modifications effectuées hors connexion sont synchronisées et les messages envoyés.

Fonction d’aperçu

La fonctionnalité d’aperçu permet à l’utilisateur de visualiser les documents Office dans la fenêtre du navigateur, et ce, même s’il ne dispose pas de la suite Office sur son poste. Ceci reprend la technologie Web-Ready déjà disponible dans les versions antérieures à Exchange 2013.

La nouveauté proposée par Exchange 2013 est l’intégration possible de ce dernier à un serveur Office Web Apps utilisé par ailleurs par les plateformes SharePoint. Grâce à cette intégration, l’utilisateur sera en mesure non seulement d’ouvrir des documents sans disposer d’office sur son poste, mais également de les modifier au travers d’une fenêtre de navigateur.

2. Configuration d’Outlook Web App

La configuration d’Outlook Web App pour une utilisation en mode bureau consiste en plusieurs étapes :

• La définition des paramètres du répertoire virtuel OWA IIS : qui permet de définir les éléments liés à l’authentification (transparente, basée sur des formulaires…), ainsi que les fonctionnalités proposées à l’ensemble des clients.
• La définition des politiques Outlook Web App : ceci permet de définir une politique distincte de celle définie par défaut dans les paramètres du répertoire virtuel d’Outlook Web App.

a. Configuration d’Outlook Web App via le Centre d’administration Exchange

Le Centre d’administration Exchange va nous permettre de définir les paramètres globaux à appliquer à l’ensemble des utilisateurs, ainsi que des stratégies appliquées de manière spécifique à un utilisateur.

Définition des paramètres génériques

Le paramétrage d’Outlook Web App s’effectue via le menu Serveurs de l’arborescence du Centre d’administration Exchange :

 Dans l’arborescence Serveurs, il faut sélectionner l’onglet Répertoires virtuels :

 Dans la liste Sélectionner le serveur, sélectionnez le nom du serveur sur lequel vous souhaitez définir les paramètres d’Outlook Web App.

 Ensuite, dans la liste des répertoires virtuels, double cliquez sur owa (Default Web Site).

Dans la fenêtre owa (Default Web Site) qui s’affiche, vous pouvez paramétrer différentes options :

• Menu Général : au travers de ce menu, vous pouvez définir les URL internes et externes utilisées par les clients pour la connexion à Outlook Web App :

• Menu Authentification : ce menu vous permet de définir les paramètres liés à l’authentification des clients. Vous pourrez définir soit une authentification multiple comprenant l’authentification Windows Intégrée (NTLM, Kerberos, Négociée), l’authentification Digest et l’authentification de base, soit l’authentification basée sur des formulaires (par défaut), qui affiche une page de connexion lorsque l’on se connecte à Outlook Web App. L’option d’authentification basée sur les formulaires vous permet également de spécifier la manière dont l’utilisateur devra saisir son identifiant :

• Menu Fonctionnalités : au travers de ce menu, vous allez pouvoir définir l’ensemble des fonctionnalités que vous souhaitez activer pour vos utilisateurs utilisant Outlook Web App. Parmi ces options, nous avons par exemple la faculté de modifier le mot de passe via Outlook Web App, de personnaliser l’interface avec un thème, de synchroniser des appareils mobiles, d’utiliser les contacts, le calendrier ou encore une signature électronique. C’est également ici que l’on peut activer ou non l’interface légère, en décochant l’expérience client étendue :

• Menu Accès au fichier : l’accès au fichier permet de définir comment les utilisateurs accèdent aux pièces jointes de leurs messages sur un ordinateur public et sur un ordinateur privé. L’accès direct offre la faculté de télécharger le fichier, l’affichage Web-Ready permet d’afficher l’aperçu du document dans une fenêtre de navigateur. Enfin, si l’on force l’affichage Web-ready, les documents dont l’extension est gérée seront d’abord affichés dans la fenêtre d’aperçu où se trouvera le lien permettant de les télécharger :

Définition des stratégies Outlook Web App

Les stratégies Outlook Web App vont nous permettre une définition plus fine des fonctionnalités disponibles pour les utilisateurs dans la mesure où l’application d’une politique Outlook Web App se fait au niveau des destinataires. Elles permettent également d’agir sur l’utilisation hors connexion d’Outlook Web App. Par défaut, les utilisateurs peuvent choisir de l’activer au travers de leur interface client Outlook Web App.

Le paramétrage des stratégies Outlook Web App est effectué via le menu Autorisations de l’arborescence du Centre d’administration Exchange :

 Dans l’arborescence Autorisations, il faut sélectionner l’onglet Stratégies Outlook Web App :

Dans la liste des stratégies, une stratégie par défaut est présente, que vous pouvez modifier en double cliquant dessus. Vous pouvez également créer une autre stratégie via le bouton +.

La stratégie par défaut n’est pas appliquée aux utilisateurs, vous devrez la définir au sein des propriétés de chaque destinataire.

Pour créer une nouvelle stratégie Outlook Web App, procédez de la façon suivante :

 Dans l’onglet Stratégies Outlook Web App, cliquez sur l’icône +.

 Dans la fenêtre nouvelle stratégie de boîte aux lettres Outlook Web App, vous pouvez paramétrer les options suivantes :

• Nom de la stratégie : il s’agit du nom de votre stratégie.
• Gestion de la communication : il s’agit des fonctionnalités que vous souhaitez autoriser pour vos destinataires, comme la messagerie instantanée, la synchronisation des périphériques mobiles via ActiveSync, etc.
• Gestion des informations : la journalisation permet d’activer le journal des actions effectuées au travers d’Outlook Web App, similaire à celui disponible sous Outlook.
• Sécurité : permet aux utilisateurs de changer leur mot de passe de session et d’utiliser ou non le filtrage du courrier indésirable.
• Expérience utilisateur : autorise les utilisateurs à personnaliser leur interface Outlook Web App via un thème, et leur offre la possibilité d’utiliser l’interface complète (Premium) d’Outlook Web App.
• Accès direct au fichier : pour les ordinateurs publics et privés, définit le comportement d’Outlook Web App concernant les pièces jointes (téléchargement autorisé, visualisation exclusivement).

 Lorsque ces paramètres sont définis, il faut alors cliquer sur enregistrer.

Le paramétrage du mode hors connexion n’était pas disponible lorsque nous avons créé la stratégie. Pour cela, il faut la modifier.

 Dans l’onglet Stratégies Outlook Web App, double cliquez sur la stratégie pour laquelle vous souhaitez modifier le mode hors connexion.

 Dans la fenêtre de votre stratégie, dans l’arborescence de gauche, sélectionnez Accès hors connexion.

Vous pouvez alors définir les paramètres liés à l’utilisation d’Outlook web App en mode hors connexion :

• Toujours : laisse l’utilisateur définir s’il souhaite activer ou non le mode hors connexion
• Ordinateur privé ou Exchange App : l’activation du mode hors connexion sera possible uniquement sur les ordinateurs privés ou les applications Outlook Web App Mobile
• Jamais : les utilisateurs ne pourront pas activer le mode hors connexion.

Après avoir défini une stratégie Outlook Web App, il faut l’appliquer à un ou plusieurs destinataires afin qu’elle soit effective.

Pour appliquer une stratégie Outlook Web App à un utilisateur, procédez de la façon suivante :

 Naviguez vers le menu Destinataires de l’arborescence du Centre d’administration Exchange.

 Dans l’onglet Boîtes aux lettres, double cliquez sur l’utilisateur auquel vous souhaitez affecter une stratégie Outlook Web App.

 Dans la fenêtre de propriétés du destinataire, sélectionnez Fonctionnalités de boîte aux lettres dans l’arborescence de gauche :

 Dans la liste des options, recherchez Connectivité de messagerie puis cliquez sur Afficher les détails.

Vous pouvez alors sélectionner la stratégie à appliquer pour l’utilisateur :

Cette opération peut se révéler fastidieuse si vous devez appliquer une stratégie pour plusieurs destinataires.

Pour appliquer une stratégie à plusieurs destinataires, vous devez procéder de la façon suivante :

 Dans l’onglet Boîtes aux lettres, maintenez enfoncée la touche [Ctrl] et cliquez sur les utilisateurs auxquels vous souhaitez affecter une stratégie Outlook Web App (vous pouvez également utiliser la touche shift pour sélectionner un groupe d’utilisateur se suivant dans la liste).

Dès lors que vous sélectionnez plus d’un utilisateur, le volet de navigation de droite vous propose des options de modification en bloc :

 Dans le volet Modification en bloc, recherchez la section Outlook Web App puis cliquez sur Attribuer une stratégie….

Vous pouvez alors affecter une stratégie Outlook Web App en une fois à tous les utilisateurs sélectionnés.

b. Configuration d’Outlook Web App via Exchange Management Shell (EMS)

L’EMS va nous permettre de réaliser la totalité des actions effectuées au travers du centre d’administration Exchange. Si certaines d’entre elles (définition de politiques) sont plus intuitives via une interface graphique, nous allons voir que beaucoup d’actions peuvent être réalisées plus rapidement via l’EMS.

Configuration des options par défaut du répertoire virtuel d’Outlook Web Access

Avant de paramétrer les fonctionnalités d’Outlook Web App via PowerShell, nous allons nous pencher sur la visualisation des paramètres disponibles. Pour cela nous allons utiliser la cmdlet Get-owaVirtualDirectory.

 Tout d’abord, il faut identifier le nom du répertoire virtuel sur lequel nous souhaitons effectuer un paramétrage. Pour cela, exécutez la cmdlet suivante sous l’EMS :

Get-owaVirtualDirectory -server <nom_serveur>

 Dans le champ nom, vous trouverez l’identité du répertoire virtuel que nous utiliserons afin d’afficher ses propriétés. Pour cela, utilisez la cmdlet suivante sous PowerShell :

Get-owaVirtualDirectory -Identity "<NOM-SERVEUR>\owa (Default  
Web Site)" |fl

Vous obtenez ainsi la liste des paramètres et fonctionnalités accessibles via PowerShell :

Les résultats affichés vous montrent que, outre les options affichées via le Centre d’administration Exchange, vous avez accès à une gestion beaucoup plus granulaire des options. Par exemple, vous pouvez définir précisément les types de fichiers pour lesquels vous allez autoriser un aperçu.

La définition de paramètres s’effectue via la cmdlet Set-owaVirtualDirectory, dont voici une sélection de paramètres intéressants :

• -Identity (obligatoire) : ce paramètre permet de spécifier le répertoire virtuel sur lequel doit être effectué le paramétrage. S’agissant d’Outlook Anywhere, il s’agit du répertoire virtuel owa. Il se présente sous la forme "<NOM-SERVEUR>\owa (Default Web Site)".
• -ActionForUnknownFileAndMIMETypes (optionnel) : permet de définir l’action à réaliser sur les pièces jointes dont le type n’est pas reconnu (Allow /ForceSave /Block).
• -AllowedFileTypes (optionnel) : permet de définir les types de pièces jointes que l’utilisateur peut visualiser dans le navigateur ou enregistrer.
• -AllowOfflineOn (optionnel) : permet de définir si les utilisateurs sont autorisés à utiliser le mode hors connexion d’Outlook Web App. Les arguments utilisables sont AllComputers (par défaut), PrivateConputersOnly ou NoComputers.
• -BasicAuthentication (optionnel) : le paramètre BasicAuthentication spécifie si l’authentification de base est activée sur le répertoire virtuel Outlook Web App. Ce paramètre peut être utilisé avec le paramètre FormsAuthentication ou avec les paramètres DigestAuthentication et WindowsAuthentication.
• -BlockedFileTypes (optionnel) : ce paramètre permet de définir les types de pièces jointes qui seront bloquées par Outlook Web App, empêchant à la fois la visualisation de l’aperçu et leur téléchargement.
• -CalendarEnabled (optionnel) : permet de définir si les utilisateurs peuvent accéder à leur calendrier ou non.
• -ChangePasswordEnabled (optionnel) : permet de définir si les utilisateurs peuvent modifier leur mot de passe ou non.
• -DisplayPhotosEnabled (optionnel) : permet de définir si les utilisateurs visualiseront ou non la photo de leur correspondant dans les messages qu’ils reçoivent sous Outlook Web App.
• -ExternalUrl (optionnel) : permet de définir l’adresse utilisée pour les connexions à Outlook Web Access depuis Internet.
• -FormsAuthentication (optionnel) : permet d’activer ou de désactiver l’authentification basée sur les formulaires.
• -InternalUrl (optionnel) : permet de définir l’adresse utilisée pour les connexions à Outlook Web Access depuis Internet.
• -JunkEmailEnabled (optionnel) : permet de définir si l’option courrier indésirable est disponible ou non pour les utilisateurs.
• -LogonPageLightSelectionEnabled (optionnel) : permet de proposer à l’utilisateur, sur la page d’authentification, la possibilité de se connecter à l’interface Premium ou standard d’Outlook Web App.
• -LogonPagePublicPrivateSelectionEnabled (optionnel) : permet de proposer à l’utilisateur, sur la page d’authentification, la possibilité de spécifier s’il se connecte sur un ordinateur public ou privé.
• -RecoverDeletedItemsEnabled (optionnel) : permet de définir si les utilisateurs ont accès à la récupération des éléments supprimés via Outlook Web App.

Pour définir l’URL de connexion externe utilisée pour la connexion à Outlook Web App, utilisez la cmdlet suivante sous l’EMS (il vous faudra également modifier celle de l’EAC) :

Set-owaVirtualDirectory -Identity "<NOM-SERVEUR>\owa (Default Web  
Site)" -ExternalURL https://<adresse>/owa

Pour empêcher les utilisateurs d’activer le mode hors connexion d’Outlook Web App, utilisez la cmdlet suivante sous l’EMS :

Set-owaVirtualDirectory -Identity "<NOM-SERVEUR>\owa (Default Web  
Site)" -AllowOfflineOn NoComputers

Pour désactiver l’accès au calendrier depuis Outlook Web App, utilisez la cmdlet suivante sous l’EMS :

Set-owaVirtualDirectory  -Identity "<NOM-SERVEUR>\owa (Default Web  
Site)" -CalendarEnabled $false

Pour afficher le choix de l’interface (Premium ou légère) sur la page d’authentification, utilisez la cmdlet suivante sous l’EMS :

Set-owaVirtualDirectory -Identity "<NOM-SERVEUR>\owa (Default Web  
Site)" -LogonPageLightSelectionEnabled $true

Lorsque vous exécutez ces commandes, un certain temps est nécessaire avant leur application effective. Pour forcer leur application, vous pouvez utiliser la commande iisreset. Attention tout de même, car cette commande arrête et redémarre les services IIS. Utilisez-la lors des travaux pratiques ou dans le cas d’un besoin précis.

Définition des stratégies Outlook Web App

Pour définir et utiliser une stratégie Outlook Web App via l’EMS, il va falloir passer par trois étapes : la création de la stratégie, son paramétrage et enfin son application.

La création d’une stratégie s’effectue via la cmdlet NewOwaMailboxPolicy, le paramétrage via la cmdlet Set-OwaMailboxPolicy et l’application via la cmdlet Set-CASMailbox.

Pour afficher la liste des stratégies présentes sur Exchange, utilisez la cmdlet Get-OwaMailboxPolicy de la manière suivante :

Get-OwaMailboxPolicy |fl Identity

Pour créer une stratégie Outlook Web App, utilisez la cmdlet suivante sous l’EMS :

NewOwaMailboxPolicy -name  <nom_strategie>

Pour modifier une stratégie Outlook Web App ou paramétrer une stratégie nouvellement créée, utilisez la cmdlet suivante sous l’EMS :

Set-OwaMailboxPolicy -Identity "Nom Strategie" <Paramètres>

Par exemple, pour désactiver l’utilisation du courrier indésirable sur la stratégie par défaut, vous devez utiliser la cmdlet suivante sous l’EMS :

Set-OwaMailboxPolicy -Identity Default -JunkEmailEnabled $false

Pour autoriser l’accès aux pièces jointes de type .docx, xlsx, pptx, et pdf sur une stratégie, utilisez la cmdlet suivante sous l’EMS :

Set-OwaMailboxPolicy -Identity "Nom Stratégie"  
-AllowedFileTypes ’.docx’, ’.xlsx’, ’.pptx’, ’.pdf’

Pour appliquer une stratégie à un utilisateur, utilisez la cmdlet suivante sous l’EMS :

Set-CASMailbox -Identity adresse_mail_utilisateur  
-OwaMailboxPolicy:"Nom stratégie"

Outlook Web App (OWA)

Outlook Web App est le client léger basé sur le Web particulièrement adapté aux utilisateurs itinérants ou requérant un accès à leur messagerie sans disposer d’un client Outlook.

En fonction du périphérique utilisé pour la connexion à Outlook Web App, nous nous retrouverons sur une interface optimisée pour celui-ci :

• Pour les ordinateurs de bureau et les ordinateurs portables : l’interface Desktop (bureau) sera utilisée. Il s’agit de l’interface conventionnelle d’Outlook Web App permettant d’accéder à l’ensemble des fonctionnalités qu’il propose. Elle est particulièrement adaptée pour un usage au clavier et à la souris
• Pour les tablettes : l’interface Touch Wide (tactile large) sera employée. Elle est optimisée pour une utilisation sur un écran tactile.
• Pour les Smartphones : l’interface Touch Narrow (tactile étroite) sera ici utilisée. Elle est optimisée pour une utilisation sur les écrans tactiles de taille réduite.

Lorsque l’on parle d’Outlook Web App, on désigne en fait l’interface Desktop, les interfaces Touch Wide et Touch Narrow étant communément regroupées sous la dénomination d’Outlook Web App Mobile.

Il existe également une application OWA pour iPhone et iPad disponible via iTunes.

1. Outlook Web App

Bien que basé sur une interface Web, il fournit un accès aux boîtes aux lettres des utilisateurs sous une forme riche d’un point de vue expérience utilisateur. En effet, il offre la quasi-totalité des fonctionnalités disponibles au travers d’un client lourd Outlook. Parmi les fonctionnalités non prises en charge, nous aurons l’accès aux messageries partagées, la réponse aux messages imbriqués, ou encore certaines options de personnalisation d’affichage.

Interface

Outlook Web App (OWA) est activé par défaut lors de l’installation d’Exchange 2013. Il comporte deux versions de son interface :

• L’interface Outlook Web App Premium, qui offre l’ensemble des fonctionnalités supportées sur les navigateurs compatibles (quasiment tous les navigateurs récents) :

• L’interface Outlook Web App légère est avant tout destinée aux non-voyants ou aux malvoyants pour lesquels l’affichage est optimisé. Il est également utilisé pour la prise en charge des clients incompatibles avec l’interface Outlook Standard. Elle fournit les fonctionnalités de base de la messagerie, parmi lesquelles le courrier, le calendrier, les contacts, les dossiers, le carnet d’adresses, etc.

Une autre utilisation intéressante de l’interface légère d’Outlook Web App est la connexion via une connexion à bas débit permettant ainsi la transmission des données essentielles. Ajoutez pour cela le paramètre ?layout=light derrière l’URL d’OWA. Par exemple : https://172.16.1.21/owa/?layout=light

Mode hors connexion

Parmi les nouveautés proposées par Exchange 2013 concernant l’expérience utilisateur, nous avons le mode hors connexion d’Outlook Web App, qui permet à l’utilisateur de continuer à travailler sans être connecté au serveur Exchange.

Grâce à ce mode, l’utilisateur aura la possibilité de lire ou d’écrire des messages, accéder aux contacts ou encore planifier un rendez-vous.

Dès lors qu’une connexion au serveur est disponible, les modifications effectuées hors connexion sont synchronisées et les messages envoyés.

Fonction d’aperçu

La fonctionnalité d’aperçu permet à l’utilisateur de visualiser les documents Office dans la fenêtre du navigateur, et ce, même s’il ne dispose pas de la suite Office sur son poste. Ceci reprend la technologie Web-Ready déjà disponible dans les versions antérieures à Exchange 2013.

La nouveauté proposée par Exchange 2013 est l’intégration possible de ce dernier à un serveur Office Web Apps utilisé par ailleurs par les plateformes SharePoint. Grâce à cette intégration, l’utilisateur sera en mesure non seulement d’ouvrir des documents sans disposer d’office sur son poste, mais également de les modifier au travers d’une fenêtre de navigateur.

2. Configuration d’Outlook Web App

La configuration d’Outlook Web App pour une utilisation en mode bureau consiste en plusieurs étapes :

• La définition des paramètres du répertoire virtuel OWA IIS : qui permet de définir les éléments liés à l’authentification (transparente, basée sur des formulaires…), ainsi que les fonctionnalités proposées à l’ensemble des clients.
• La définition des politiques Outlook Web App : ceci permet de définir une politique distincte de celle définie par défaut dans les paramètres du répertoire virtuel d’Outlook Web App.

a. Configuration d’Outlook Web App via le Centre d’administration Exchange

Le Centre d’administration Exchange va nous permettre de définir les paramètres globaux à appliquer à l’ensemble des utilisateurs, ainsi que des stratégies appliquées de manière spécifique à un utilisateur.

Définition des paramètres génériques

Le paramétrage d’Outlook Web App s’effectue via le menu Serveurs de l’arborescence du Centre d’administration Exchange :

 Dans l’arborescence Serveurs, il faut sélectionner l’onglet Répertoires virtuels :

 Dans la liste Sélectionner le serveur, sélectionnez le nom du serveur sur lequel vous souhaitez définir les paramètres d’Outlook Web App.

 Ensuite, dans la liste des répertoires virtuels, double cliquez sur owa (Default Web Site).

Dans la fenêtre owa (Default Web Site) qui s’affiche, vous pouvez paramétrer différentes options :

• Menu Général : au travers de ce menu, vous pouvez définir les URL internes et externes utilisées par les clients pour la connexion à Outlook Web App :

• Menu Authentification : ce menu vous permet de définir les paramètres liés à l’authentification des clients. Vous pourrez définir soit une authentification multiple comprenant l’authentification Windows Intégrée (NTLM, Kerberos, Négociée), l’authentification Digest et l’authentification de base, soit l’authentification basée sur des formulaires (par défaut), qui affiche une page de connexion lorsque l’on se connecte à Outlook Web App. L’option d’authentification basée sur les formulaires vous permet également de spécifier la manière dont l’utilisateur devra saisir son identifiant :

• Menu Fonctionnalités : au travers de ce menu, vous allez pouvoir définir l’ensemble des fonctionnalités que vous souhaitez activer pour vos utilisateurs utilisant Outlook Web App. Parmi ces options, nous avons par exemple la faculté de modifier le mot de passe via Outlook Web App, de personnaliser l’interface avec un thème, de synchroniser des appareils mobiles, d’utiliser les contacts, le calendrier ou encore une signature électronique. C’est également ici que l’on peut activer ou non l’interface légère, en décochant l’expérience client étendue :

• Menu Accès au fichier : l’accès au fichier permet de définir comment les utilisateurs accèdent aux pièces jointes de leurs messages sur un ordinateur public et sur un ordinateur privé. L’accès direct offre la faculté de télécharger le fichier, l’affichage Web-Ready permet d’afficher l’aperçu du document dans une fenêtre de navigateur. Enfin, si l’on force l’affichage Web-ready, les documents dont l’extension est gérée seront d’abord affichés dans la fenêtre d’aperçu où se trouvera le lien permettant de les télécharger :

Définition des stratégies Outlook Web App

Les stratégies Outlook Web App vont nous permettre une définition plus fine des fonctionnalités disponibles pour les utilisateurs dans la mesure où l’application d’une politique Outlook Web App se fait au niveau des destinataires. Elles permettent également d’agir sur l’utilisation hors connexion d’Outlook Web App. Par défaut, les utilisateurs peuvent choisir de l’activer au travers de leur interface client Outlook Web App.

Le paramétrage des stratégies Outlook Web App est effectué via le menu Autorisations de l’arborescence du Centre d’administration Exchange :

 Dans l’arborescence Autorisations, il faut sélectionner l’onglet Stratégies Outlook Web App :

Dans la liste des stratégies, une stratégie par défaut est présente, que vous pouvez modifier en double cliquant dessus. Vous pouvez également créer une autre stratégie via le bouton +.

La stratégie par défaut n’est pas appliquée aux utilisateurs, vous devrez la définir au sein des propriétés de chaque destinataire.

Pour créer une nouvelle stratégie Outlook Web App, procédez de la façon suivante :

 Dans l’onglet Stratégies Outlook Web App, cliquez sur l’icône +.

 Dans la fenêtre nouvelle stratégie de boîte aux lettres Outlook Web App, vous pouvez paramétrer les options suivantes :

• Nom de la stratégie : il s’agit du nom de votre stratégie.
• Gestion de la communication : il s’agit des fonctionnalités que vous souhaitez autoriser pour vos destinataires, comme la messagerie instantanée, la synchronisation des périphériques mobiles via ActiveSync, etc.
• Gestion des informations : la journalisation permet d’activer le journal des actions effectuées au travers d’Outlook Web App, similaire à celui disponible sous Outlook.
• Sécurité : permet aux utilisateurs de changer leur mot de passe de session et d’utiliser ou non le filtrage du courrier indésirable.
• Expérience utilisateur : autorise les utilisateurs à personnaliser leur interface Outlook Web App via un thème, et leur offre la possibilité d’utiliser l’interface complète (Premium) d’Outlook Web App.
• Accès direct au fichier : pour les ordinateurs publics et privés, définit le comportement d’Outlook Web App concernant les pièces jointes (téléchargement autorisé, visualisation exclusivement).

 Lorsque ces paramètres sont définis, il faut alors cliquer sur enregistrer.

Le paramétrage du mode hors connexion n’était pas disponible lorsque nous avons créé la stratégie. Pour cela, il faut la modifier.

 Dans l’onglet Stratégies Outlook Web App, double cliquez sur la stratégie pour laquelle vous souhaitez modifier le mode hors connexion.

 Dans la fenêtre de votre stratégie, dans l’arborescence de gauche, sélectionnez Accès hors connexion.

Vous pouvez alors définir les paramètres liés à l’utilisation d’Outlook web App en mode hors connexion :

• Toujours : laisse l’utilisateur définir s’il souhaite activer ou non le mode hors connexion
• Ordinateur privé ou Exchange App : l’activation du mode hors connexion sera possible uniquement sur les ordinateurs privés ou les applications Outlook Web App Mobile
• Jamais : les utilisateurs ne pourront pas activer le mode hors connexion.

Après avoir défini une stratégie Outlook Web App, il faut l’appliquer à un ou plusieurs destinataires afin qu’elle soit effective.

Pour appliquer une stratégie Outlook Web App à un utilisateur, procédez de la façon suivante :

 Naviguez vers le menu Destinataires de l’arborescence du Centre d’administration Exchange.

 Dans l’onglet Boîtes aux lettres, double cliquez sur l’utilisateur auquel vous souhaitez affecter une stratégie Outlook Web App.

 Dans la fenêtre de propriétés du destinataire, sélectionnez Fonctionnalités de boîte aux lettres dans l’arborescence de gauche :

 Dans la liste des options, recherchez Connectivité de messagerie puis cliquez sur Afficher les détails.

Vous pouvez alors sélectionner la stratégie à appliquer pour l’utilisateur :

Cette opération peut se révéler fastidieuse si vous devez appliquer une stratégie pour plusieurs destinataires.

Pour appliquer une stratégie à plusieurs destinataires, vous devez procéder de la façon suivante :

 Dans l’onglet Boîtes aux lettres, maintenez enfoncée la touche [Ctrl] et cliquez sur les utilisateurs auxquels vous souhaitez affecter une stratégie Outlook Web App (vous pouvez également utiliser la touche shift pour sélectionner un groupe d’utilisateur se suivant dans la liste).

Dès lors que vous sélectionnez plus d’un utilisateur, le volet de navigation de droite vous propose des options de modification en bloc :

 Dans le volet Modification en bloc, recherchez la section Outlook Web App puis cliquez sur Attribuer une stratégie….

Vous pouvez alors affecter une stratégie Outlook Web App en une fois à tous les utilisateurs sélectionnés.

b. Configuration d’Outlook Web App via Exchange Management Shell (EMS)

L’EMS va nous permettre de réaliser la totalité des actions effectuées au travers du centre d’administration Exchange. Si certaines d’entre elles (définition de politiques) sont plus intuitives via une interface graphique, nous allons voir que beaucoup d’actions peuvent être réalisées plus rapidement via l’EMS.

Configuration des options par défaut du répertoire virtuel d’Outlook Web Access

Avant de paramétrer les fonctionnalités d’Outlook Web App via PowerShell, nous allons nous pencher sur la visualisation des paramètres disponibles. Pour cela nous allons utiliser la cmdlet Get-owaVirtualDirectory.

 Tout d’abord, il faut identifier le nom du répertoire virtuel sur lequel nous souhaitons effectuer un paramétrage. Pour cela, exécutez la cmdlet suivante sous l’EMS :

Get-owaVirtualDirectory -server <nom_serveur>

 Dans le champ nom, vous trouverez l’identité du répertoire virtuel que nous utiliserons afin d’afficher ses propriétés. Pour cela, utilisez la cmdlet suivante sous PowerShell :

Get-owaVirtualDirectory -Identity "<NOM-SERVEUR>\owa (Default  
Web Site)" |fl

Vous obtenez ainsi la liste des paramètres et fonctionnalités accessibles via PowerShell :

Les résultats affichés vous montrent que, outre les options affichées via le Centre d’administration Exchange, vous avez accès à une gestion beaucoup plus granulaire des options. Par exemple, vous pouvez définir précisément les types de fichiers pour lesquels vous allez autoriser un aperçu.

La définition de paramètres s’effectue via la cmdlet Set-owaVirtualDirectory, dont voici une sélection de paramètres intéressants :

• -Identity (obligatoire) : ce paramètre permet de spécifier le répertoire virtuel sur lequel doit être effectué le paramétrage. S’agissant d’Outlook Anywhere, il s’agit du répertoire virtuel owa. Il se présente sous la forme "<NOM-SERVEUR>\owa (Default Web Site)".
• -ActionForUnknownFileAndMIMETypes (optionnel) : permet de définir l’action à réaliser sur les pièces jointes dont le type n’est pas reconnu (Allow /ForceSave /Block).
• -AllowedFileTypes (optionnel) : permet de définir les types de pièces jointes que l’utilisateur peut visualiser dans le navigateur ou enregistrer.
• -AllowOfflineOn (optionnel) : permet de définir si les utilisateurs sont autorisés à utiliser le mode hors connexion d’Outlook Web App. Les arguments utilisables sont AllComputers (par défaut), PrivateConputersOnly ou NoComputers.
• -BasicAuthentication (optionnel) : le paramètre BasicAuthentication spécifie si l’authentification de base est activée sur le répertoire virtuel Outlook Web App. Ce paramètre peut être utilisé avec le paramètre FormsAuthentication ou avec les paramètres DigestAuthentication et WindowsAuthentication.
• -BlockedFileTypes (optionnel) : ce paramètre permet de définir les types de pièces jointes qui seront bloquées par Outlook Web App, empêchant à la fois la visualisation de l’aperçu et leur téléchargement.
• -CalendarEnabled (optionnel) : permet de définir si les utilisateurs peuvent accéder à leur calendrier ou non.
• -ChangePasswordEnabled (optionnel) : permet de définir si les utilisateurs peuvent modifier leur mot de passe ou non.
• -DisplayPhotosEnabled (optionnel) : permet de définir si les utilisateurs visualiseront ou non la photo de leur correspondant dans les messages qu’ils reçoivent sous Outlook Web App.
• -ExternalUrl (optionnel) : permet de définir l’adresse utilisée pour les connexions à Outlook Web Access depuis Internet.
• -FormsAuthentication (optionnel) : permet d’activer ou de désactiver l’authentification basée sur les formulaires.
• -InternalUrl (optionnel) : permet de définir l’adresse utilisée pour les connexions à Outlook Web Access depuis Internet.
• -JunkEmailEnabled (optionnel) : permet de définir si l’option courrier indésirable est disponible ou non pour les utilisateurs.
• -LogonPageLightSelectionEnabled (optionnel) : permet de proposer à l’utilisateur, sur la page d’authentification, la possibilité de se connecter à l’interface Premium ou standard d’Outlook Web App.
• -LogonPagePublicPrivateSelectionEnabled (optionnel) : permet de proposer à l’utilisateur, sur la page d’authentification, la possibilité de spécifier s’il se connecte sur un ordinateur public ou privé.
• -RecoverDeletedItemsEnabled (optionnel) : permet de définir si les utilisateurs ont accès à la récupération des éléments supprimés via Outlook Web App.

Pour définir l’URL de connexion externe utilisée pour la connexion à Outlook Web App, utilisez la cmdlet suivante sous l’EMS (il vous faudra également modifier celle de l’EAC) :

Set-owaVirtualDirectory -Identity "<NOM-SERVEUR>\owa (Default Web  
Site)" -ExternalURL https://<adresse>/owa

Pour empêcher les utilisateurs d’activer le mode hors connexion d’Outlook Web App, utilisez la cmdlet suivante sous l’EMS :

Set-owaVirtualDirectory -Identity "<NOM-SERVEUR>\owa (Default Web  
Site)" -AllowOfflineOn NoComputers

Pour désactiver l’accès au calendrier depuis Outlook Web App, utilisez la cmdlet suivante sous l’EMS :

Set-owaVirtualDirectory  -Identity "<NOM-SERVEUR>\owa (Default Web  
Site)" -CalendarEnabled $false

Pour afficher le choix de l’interface (Premium ou légère) sur la page d’authentification, utilisez la cmdlet suivante sous l’EMS :

Set-owaVirtualDirectory -Identity "<NOM-SERVEUR>\owa (Default Web  
Site)" -LogonPageLightSelectionEnabled $true

Lorsque vous exécutez ces commandes, un certain temps est nécessaire avant leur application effective. Pour forcer leur application, vous pouvez utiliser la commande iisreset. Attention tout de même, car cette commande arrête et redémarre les services IIS. Utilisez-la lors des travaux pratiques ou dans le cas d’un besoin précis.

Définition des stratégies Outlook Web App

Pour définir et utiliser une stratégie Outlook Web App via l’EMS, il va falloir passer par trois étapes : la création de la stratégie, son paramétrage et enfin son application.

La création d’une stratégie s’effectue via la cmdlet NewOwaMailboxPolicy, le paramétrage via la cmdlet Set-OwaMailboxPolicy et l’application via la cmdlet Set-CASMailbox.

Pour afficher la liste des stratégies présentes sur Exchange, utilisez la cmdlet Get-OwaMailboxPolicy de la manière suivante :

Get-OwaMailboxPolicy |fl Identity

Pour créer une stratégie Outlook Web App, utilisez la cmdlet suivante sous l’EMS :

NewOwaMailboxPolicy -name  <nom_strategie>

Pour modifier une stratégie Outlook Web App ou paramétrer une stratégie nouvellement créée, utilisez la cmdlet suivante sous l’EMS :

Set-OwaMailboxPolicy -Identity "Nom Strategie" <Paramètres>

Par exemple, pour désactiver l’utilisation du courrier indésirable sur la stratégie par défaut, vous devez utiliser la cmdlet suivante sous l’EMS :

Set-OwaMailboxPolicy -Identity Default -JunkEmailEnabled $false

Pour autoriser l’accès aux pièces jointes de type .docx, xlsx, pptx, et pdf sur une stratégie, utilisez la cmdlet suivante sous l’EMS :

Set-OwaMailboxPolicy -Identity "Nom Stratégie"  
-AllowedFileTypes ’.docx’, ’.xlsx’, ’.pptx’, ’.pdf’

Pour appliquer une stratégie à un utilisateur, utilisez la cmdlet suivante sous l’EMS :

Set-CASMailbox -Identity adresse_mail_utilisateur  
-OwaMailboxPolicy:"Nom stratégie"

Exchange ActiveSync (EAS)

Exchange ActiveSync est le protocole permettant la prise en charge des périphériques mobiles de type Windows Mobile, Windows Phone, mais également iPhone et Android. Il offre des capacités de synchronisation complètes en plus de la synchronisation classique de messagerie.

1. Fonctionnalités proposées par ActiveSync

ActiveSync fonctionne quasiment comme Outlook Anywhere, sauf qu’il est optimisé pour les dispositifs mobiles employant une bande passante réduite. Il permet entre autres la synchronisation partielle des conversations, la synchronisation des SMS, l’affichage des participants à une réunion, la disponibilité des contacts, etc. Il offre également des fonctionnalités de sécurisation des périphériques mobiles comme le chiffrement des données ou l’effacement à distance.

a. Direct Push

Direct Push est une technologie qui permet la synchronisation d’un périphérique mobile avec Exchange afin que ce dernier soit en permanence à jour, et ce, même au travers d’un réseau cellulaire. Cela passe par des mécanismes de notification afin d’éviter de maintenir une connexion active permanente entre le périphérique mobile et le serveur.

Le schéma ci-dessous illustre les différents flux entre un client ActiveSync et le serveur employant Direct Push :

1. Le périphérique mobile établit une connexion au serveur via une requête HTTPS, ce type de requête Direct Push est appelée un PING.

2. Si le serveur ne répond pas au bout d’un certain temps, le client renvoie une requête d’ouverture de connexion (la requête est renvoyée au bout de 15 min, puis 8 min puis 12 min).

3. Le serveur répond qu’il n’y a aucune mise à jour dans les éléments à synchroniser.

4. Le client renvoie immédiatement une demande de réouverture de connexion afin de maintenir la connexion.

5. Si une mise à jour est disponible, le serveur envoie une notification au client.

6. et 7. Une synchronisation des éléments modifiés est téléchargée par le client.

8. Le client renvoie dans la foulée une demande de réouverture de connexion.

9. Dans le cas où des éléments sont modifiés sur le client, celui-ci initie la synchronisation sur le serveur.

Vous devez vérifier les durées d’expiration (time-out) des connexions définies dans vos pare-feu afin de pouvoir supporter Direct Push de manière optimale (15 à 30 min).

b. Effacement à distance des données

La fonction d’effacement à distance des données (remote wipe) permet d’accroître la sécurité en empêchant l’exploitation d’informations sensibles sur un périphérique mobile égaré ou volé. Ceci est primordial car compte tenu de la nature des périphériques et des méthodes de synchronisation employées, ils sont amenés à stocker un volume conséquent d’informations localement. Outre les données de boîtes aux lettres, le périphérique dispose également des informations d’authentification de l’utilisateur. De ce fait, il est essentiel de disposer d’un moyen de protection des données sensibles.

La fonction Remote Wipe peut être exécutée par un administrateur ou directement par l’utilisateur au travers de son client de messagerie Outlook ou Outlook Web App, si son périphérique mobile a été rattaché par ce biais.

c. Stratégies de boîtes aux lettres de périphériques mobiles

Les stratégies de boîtes aux lettres de périphériques mobiles permettent de sécuriser les données présentes sur les périphériques mobiles employant ActiveSync. Au travers des stratégies, nous pouvons définir une politique de sécurité quant à l’accès aux informations et leur synchronisation. Cela permet, par exemple, de définir les stratégies de mot de passe ou encore l’exigence de chiffrement sur les périphériques mobiles.

d. Quarantaine pour les périphériques mobiles

La mise en quarantaine de périphériques mobiles permet de définir la nature des périphériques que vous souhaitez autoriser à synchroniser une boîte aux lettres via ActiveSync. De ce fait, vous pouvez bloquer un périphérique précis, un modèle, ou encore un système d’exploitation mobile.

2. Configuration d’Exchange ActiveSync

Exchange ActiveSync est activé par défaut sous Exchange 2013. Le centre d’administration Exchange permet sa configuration via plusieurs menus, dont les équivalents sont également disponibles en ligne de commande via l’Exchange Management Shell.

a. Configuration d’Exchange ActiveSync via le Centre d’administration Exchange

Le centre d’administration Exchange va nous permettre de définir les paramètres de connexion et de sécurité relatifs aux appareils mobiles utilisant ActiveSync.

Définition des paramètres de connexion

Le paramétrage est effectué via le menu Serveurs de l’arborescence du Centre d’administration Exchange. 

 Dans l’arborescence Serveurs, il faut sélectionner l’onglet Répertoires virtuels.

 Dans la liste Sélectionner le serveur, sélectionnez le nom du serveur sur lequel vous souhaitez définir les paramètres ActiveSync.

 Ensuite, dans la liste des répertoires virtuels, double cliquez sur Microsoft-Server-ActiveSync (Default Web Site).

 Dans la fenêtre Microsoft-Server-ActiveSync (Default Web Site) qui s’affiche, vous pouvez définir les URL de connexion interne et externe :

Le menu Authentification vous permet de définir les paramètres de connexion des périphériques mobiles via ActiveSync :

• L’authentification de base envoie les paramètres d’authentification en clair et nécessite donc de facto l’emploi du chiffrement SSL.
• L’authentification de certificats clients permet une authentification basée sur un certificat téléchargé sur les clients. Cette option peut être intéressante pour assurer un contrôle plus poussé des clients se connectant via ActiveSync, notamment en rendant obligatoire l’usage d’un certificat client. Ainsi, un client pour lequel un certificat n’aura pas été attribué par l’administrateur ne sera pas en mesure de se connecter.

Définition des paramètres de sécurité ActiveSync

Le paramétrage est effectué via le menu Mobile de l’arborescence du Centre d’administration Exchange. 

 Dans l’arborescence Mobile, il faut sélectionner l’onglet Accès au périphérique mobile :

Au travers de cette page, nous allons pouvoir définir les paramètres d’accès par défaut à ActiveSync.

 Dans la section Paramètres d’accès Exchange ActiveSync, cliquez sur le bouton modifier.

Au travers de la page Paramètres d’accès Exchange ActiveSync affichée, nous allons pouvoir spécifier le comportement du serveur vis-à-vis des périphériques désirant être connectés pour lesquels aucune règle spécifique d’accès n’aura été définie :

• Paramètres de connexion : cette option vous permet d’autoriser l’accès pour tous les périphériques inconnus, les bloquer ou bien les mettre en quarantaine afin de décider plus tard de leur statut.
• Mettre en quarantaine... : cette option vous permet de sélectionner les administrateurs qui recevront la notification de la mise en quarantaine d’un dispositif mobile.
• Texte à inclure aux messages envoyés aux utilisateurs... : permet de définir le message envoyé aux utilisateurs tentant une connexion à ActiveSync. Votre message doit être adapté à l’option sélectionnée dans les paramètres de connexion.

Lorsqu’un périphérique est mis en quarantaine, vous le retrouverez dans la liste Périphériques mis en quarantaine du menu Mobile du Centre d’administration Exchange. Via cette liste, vous pourrez choisir différentes options :

• Autoriser l’accès au périphérique en question.
• Bloquer l’accès du périphérique.
• Créer une règle d’accès ou de blocage pour les périphériques similaires (modèle, système d’exploitation).
  Au travers de la liste Règles d’accès aux périphériques du menu Mobile du Centre d’administration Exchange vous pourrez définir des règles d’exemptions concernant une famille de périphériques ou un modèle particulier. Cette règle exemptera les périphériques déclarés des paramètres définis via les paramètres d’accès Exchange ActiveSync :

Les modèles affichés sont enrichis lors de la connexion d’appareils mobiles via ExchangeActiveSync.

Définition des stratégies de boîtes aux lettres de périphériques mobiles

Le paramétrage est effectué via le menu Mobile de l’arborescence du Centre d’administration Exchange. 

 Dans l’arborescence Mobile, il faut sélectionner l’onglet Stratégies de boîte aux lettres de périphérique mobile :

Dans la liste des stratégies, une stratégie par défaut est présente, que vous pouvez modifier en double cliquant dessus. Vous pouvez en créer une autre via le bouton +.

 Pour créer une nouvelle stratégie, cliquez sur le bouton +.

Dans la fenêtre nouvelle stratégie de boîte aux lettres de périphérique mobile, vous pourrez spécifier la stratégie de sécurité à employer :

Vous pourrez notamment choisir la stratégie de mot de passe à utiliser (complexité, nombre de caractères minimum, durée de vie avant recyclage, nombre d’échecs avant réinitialisation du périphérique, etc..). Vous pourrez également exiger au travers de cette politique le chiffrement des informations sur le périphérique mobile.

b. Configuration d’Exchange ActiveSync via Exchange Management Shell (EMS)

Définition des paramètres de connexion

En premier lieu, nous allons identifier le nom du répertoire virtuel à employer via la cmdlet Get-ActiveSyncVirtualDirectory sous l’EMS :

Get-ActiveSyncVirtualDirectory | fl Name

Nous obtenons alors l’identité du répertoire virtuel que nous utiliserons afin d’afficher ses propriétés. Pour cela, utilisez la cmdlet suivante sous l’EMS :

Get-ActiveSyncVirtualDirectory -Identity  
"<NOM-SERVEUR>\Microsoft-Server-ActiveSync (Default Web Site)" |fl

La définition de paramètres va s’effectuer via la cmdlet Set-ActiveSyncVirtualDirectory.

Pour définir l’URL de connexion externe utilisée pour la connexion à Outlook Web App, utilisez la cmdlet suivante sous l’EMS (il vous faudra également modifier celle de l’EAC) :

Set-ActiveSyncVirtualDirectory -Identity  
"<NOM-SERVEUR>\Microsoft-Server-ActiveSync (Default Web Site)" 
-ExternalURL https://<adresse>/Microsoft-Server-ActiveSync

Pour désactiver l’authentification de base, vous pouvez utiliser la cmdlet suivante via l’EMS :

Set-ActiveSyncVirtualDirectory -Identity  
"<NOM-SERVEUR>\Microsoft-Server-ActiveSync (Default Web Site)"  
-BasicAuthEnabled $false

Administration des périphériques mobiles

Nous allons voir ici une série de cmdlets permettant de gérer les périphériques connectés à Exchange 2013 via ActiveSync.

Au moment où nous écrivons ces lignes, un jeu de commandes est annoncé comme obsolète et remplacé progressivement par un nouveau (les cmdlets du type Get-ActiveSync et Set-ActiveSync sont remplacées par Get-Mobile et Set-Mobile). Nous prendrons soin d’utiliser le nouveau jeu de cmdlets ici et vous invitons à mettre à jour vos scripts existants.

 Pour afficher les périphériques mobiles associés à un utilisateur, tapez la commande suivante sous l’EMS :

Get-MobileDevice -Identity "Login_utilisateur"

 Pour supprimer l’association entre un périphérique mobile et le serveur Exchange, utilisez la cmdlet suivante sous l’EMS :

Remove-MobileDevice -Identity "Nom_du_Periphérique"

 Pour effacer un périphérique à distance, utilisez la cmdlet suivante sous l’EMS :

Clear-MobileDevice -Identity "Nom_du_Periphérique"

 Pour annuler une commande d’effacement, utilisez la cmdlet suivante sous l’EMS :

Clear-MobileDevice "Nom_du_Periphérique" -Cancel $true

 Pour effacer un périphérique à distance et envoyer une notification à l’utilisateur concerné, utilisez la cmdlet suivante sous l’EMS :

Clear-MobileDevice -Identity "Nom_du_Periphérique"  
-NotificationEmailAddresses "adresse_mail_utilisateur"

Stratégies de boîtes aux lettres de périphériques mobiles

Pour afficher la liste des stratégies disponibles, utilisez la cmdlet suivante sous l’EMS :

Get-MobileDeviceMailboxPolicy | fl Identity

Pour afficher les propriétés d’une stratégie, utilisez la cmdlet suivante sous l’EMS :

Get-MobileDeviceMailboxPolicy -Identity "Nom_Stratégie"

Pour créer une nouvelle stratégie, utilisez la cmdlet suivante sous l’EMS :

New-MobileDeviceMailboxPolicy -name:"Nom_Stratégie"

Vous pouvez également créer une stratégie en lui spécifiant des paramètres lors de sa création. Parmi ces paramètres, nous avons entre autres :

• -Name (obligatoire) : définit le nom de la stratégie.
• -AllowApplePushNotifications (facultatif) : permet d’autoriser les notifications Push vers les dispositifs mobiles Apple.
• -AllowBluetooth (facultatif) : permet de définir si le Bluetooth est autorisé ou non. Les options disponibles sont Allow, Disable ou HandsfreeOnly (mains libres).
• -AllowBrowser (facultatif) : permet d’autoriser ou non l’utilisation d’Internet Explorer sur le périphérique mobile.
• -AllowCamera (facultatif) : permet de définir si l’appareil photo du périphérique mobile peut être utilisé.
• -AllowInternetSharing (facultatif) : permet de définir si l’utilisateur peut partager la connexion Internet de son périphérique mobile.
• -MaxEmailAgeFilter (facultatif) : permet de définir la période maximale de synchronisation des messages. Les paramètres possibles sont OneDay, ThreeDays, OneWeek, TwoWeeks, OneMonth ou All.
• -PasswordEnabled (facultatif) : permet de définir si un mot de passe est exigé sur un periphérique mobile.
• -RequireDeviceEncryption (facultatif) : permet de définir si le cryptage est requis sur le périphérique mobile.

 Pour créer une nouvelle stratégie qui empêche le périphérique d’utiliser le Bluetooth, l’appareil photo et Internet Explorer, utilisez la cmdlet suivante sous l’EMS :

New-MobileDeviceMailboxPolicy -Name:"Nom_Stratégie"  
-AllowCamera:$false -AllowBluetooth Disable -AllowBrowser:$false

La modification d’une stratégie s’effectue via la cmdlet Set-MobileDeviceMailboxPolicy. Elle dispose des mêmes arguments que la cmdlet New-MobileDeviceMailboxPolicy.

 Pour modifier une stratégie de sorte qu’elle autorise l’utilisation d’un kit mains libres Bluetooth, utilisez la cmdlet suivante sous l’EMS :

Set-MobileDeviceMailboxPolicy -Identity:"Nom_Stratégie"  
-AllowBluetooth HandsFreeOnly

Protocoles POP3 / IMAP4

Les protocoles POP3 et IMAP4 sont supportés par Exchange 2013. Ils permettent de fournir les services d’accès clients de base à des clients lourds non compatibles avec Outlook Anywhere. Par défaut, ils sont désactivés sous Exchange 2013.

1. Protocole POP3

Le protocole POP3 (Post Office Protocol 3) peut être utilisé pour les clients lourds génériques ou les périphériques mobiles non synchronisés via ActiveSync, voir même Outlook. Il permet aux utilisateurs de récupérer leurs messages depuis leur boîte aux lettres Exchange 2013 vers leur client de messagerie pour un traitement hors connexion. Il n’offre aucune fonctionnalité de travail collaboratif. Lorsque les nouveaux messages reçus sont récupérés via un client POP3, ils sont supprimés du serveur (à moins qu’un paramètre de rétention soit spécifié). Ce protocole n’assure que la réception des messages, les messages envoyés étant traités par le protocole SMTP, pour lequel un connecteur est créé lors de l’installation d’Exchange. Outlook Express ou Windows Mail en sont deux exemples.

Le protocole POP3 utilise le port 110 par défaut. Par ailleurs, son utilisation standard fait que les mots de passe transitent en clair sur le réseau. Pour plus de sécurité, il est possible de crypter la connexion, notamment via un chiffrement SSL (utilisation du port 995).

2. Protocole IMAP4

Le protocole IMAP4 (Internet Message Access Protocol 4) peut, tout comme le protocole POP3, être utilisé sur les clients lourds génériques, les périphériques mobiles non synchronisés via ActiveSync, ou bien Outlook.

Il permet aux utilisateurs, comme le protocole POP3, d’accéder aux messages de leurs boîtes aux lettres via un client de type Outlook Express, Windows Mail ou autre, sans offrir de fonctionnalités de travail collaboratif. Mais contrairement au protocole POP3, il permet un traitement connecté ou hors connexion. Il stocke les messages sur le serveur, dont le client détient une copie synchronisée lors de la connexion, et maintient l’organisation des messages. S’agissant d’un protocole employé pour la réception et la synchronisation des boîtes aux lettres, l’envoi de messages nécessitera également de passer par le connecteur SMTP.

Il peut être dans certains cas plus avantageux que le protocole POP3, notamment lors de l’utilisation de liaisons à bas débit dans la mesure où il offre la possibilité de télécharger uniquement les en-têtes des messages et de définir ensuite ceux dont on souhaite télécharger le contenu complet.

Le protocole IMAP4 utilise le port 143 (TCP) par défaut pour une connexion non chiffrée, mais peut également s’appuyer sur un chiffrement SSL en utilisant alors le port 993.

La nouvelle application Courrier de Windows 8 supporte la synchronisation via ActiveSync.

3. Configuration du protocole POP3

Le protocole POP3 peut être configuré au travers du centre d’administration Exchange ou via l’EMS, mais avant tout, il doit être démarré.

a. Démarrage du service POP3

Le service POP3 est désactivé par défaut sous Exchange 2013. Afin qu’il puisse être utilisé en production, il faut donc s’assurer de son démarrage automatique.

Pour activer le protocole POP3 au démarrage du serveur, utilisez la cmdlet suivante sous l’EMS :

Set-Service msExchangePOP3 -StartupType Automatic

Ensuite, afin de le démarrer immédiatement, tapez la cmdlet suivante sous l’EMS :

Start-service -Service msExchangePOP3

b. Configuration du protocole POP3 via le Centre d’administration Exchange

Au travers du Centre d’administration Exchange, nous allons paramétrer le protocole POP3 et permettre aux utilisateurs de l’employer.

Paramètres de connexion POP3

Le paramétrage du protocole POP3 est effectué via le menu Serveurs de l’arborescence du Centre d’administration Exchange.

À partir de ce menu, vous accédez tout d’abord à la liste de vos serveurs :

Pour accéder alors aux paramètres du protocole POP3, procédez de la façon suivante :

 Dans la liste de serveurs, double cliquez sur le nom du serveur dont vous souhaitez modifier les paramètres.

 Dans la fenêtre de propriétés du serveur, cliquez dans l’arborescence de gauche sur POP3.

 Vous vous retrouvez alors sur la page permettant de paramétrer les différentes options du protocole :

Les éléments paramétrables sont les suivants :

• Format MIME du message : il s’agit du rendu des messages opéré par le serveur de boîtes aux lettres et transmis au serveur d’accès client (HTML, Texte, etc.).
• Ordre de tri des messages : permet de définir l’ordre dans lequel les messages sont envoyés au client lorsqu’un interroge le serveur POP3 c’est-à-dire du plus ancien au plus récent ou bien l’inverse.
• Méthode de connexion : permet de spécifier le chiffrement ou non de la connexion.
• Chaîne de bannière : il s’agit du texte renvoyé lors d’une connexion au serveur POP3.
• Connexions TLS ou non chiffrées : permet de spécifier les interfaces et les ports d’écoute du service POP3 pour les connexions TLS ou standard.
• Connexions SSL (Secure Sockets Layer) : permet de spécifier les interfaces et les ports d’écoute du service POP3 pour les connexions SSL.
• Paramètres de délai d’expiration : ces paramètres permettent de fixer la durée après laquelle la connexion sera fermée par le serveur, pour les sessions authentifiées inactives comme pour les connexions non authentifiées.
• Limites de connexions : ces options permettent de spécifier le nombre de connexions simultanées maximales, le nombre de connexions autorisées depuis la même adresse IP, le nombre maximal de connexions pour un utilisateur ou encore la taille maximale des commandes POP3 utilisées (en octets). 

Autorisation du protocole POP3 pour les destinataires

Après avoir défini les paramètres de connexion, vous devez autoriser son utilisation par vos destinataires. Cette autorisation se fait individuellement.

Pour cela, naviguez vers le menu Destinataires de l’arborescence du Centre d’administration Exchange.

 Dans l’onglet Boîtes aux lettres, double cliquez sur l’utilisateur pour lequel vous désirez activer le protocole POP3.

  Dans la fenêtre de propriétés du destinataire, sélectionnez Fonctionnalités de boîte aux lettres dans l’arborescence de gauche :

 Localisez l’option POP3 et cliquez sur Activer.

c. Configuration du protocole POP3 via l’Exchange Management Shell (EMS)

Paramètres de connexion POP3

 Vous pouvez afficher les paramètres définis pour le protocole POP3 via la cmdlet Get-PopSettings :

Get-PopSettings -Server "Nom_Serveur" | fl

Ensuite, afin de paramétrer les connexions, il faut utiliser la cmdlet Set-PopSettings.

 Pour définir l’adresse IP et le port utilisé pour les connexions TLS et non chiffrées, utilisez la cmdlet suivante sous l’EMS :

Set-PopSettings -Server "Nom_Serveur" -UnencryptedOrTLSBindings  
Adresse_IP:Port

 Pour limiter le nombre de connexions maximal à 1000, le nombre de connexions depuis la même adresse IP à 500 et le nombre de connexions par utilisateur à 5, tapez la cmdlet suivante sous l’EMS :

Set-PopSettings -Server "Nom_Serveur" -MaxConnections 1000  
-MaxConnectionFromSingleIP 500 -MaxConnectionsPeruser 5

 Pour définir la méthode d’authentification à utiliser, tapez la cmdlet suivante sous l’EMS :

Set-PopSettings -Logintype <Type d’authentification>

Les types d’authentification disponibles sont PlainTextAuthentication (identifiant et mot de passe envoyés en clair), PlainTextLogin (identifiant envoyé en clair, mot de passe chiffré) et SecureLogin (identifiant et mot de passe chiffrés).

Autorisation du protocole POP3 pour les destinataires

L’activation du protocole POP3 pour les destinataires s’effectue via la cmdlet Set-CASMailbox.

 Pour cela, vous devez utiliser la commande Set-CASMailbox comme suit :

Set-CASMailbox -Identity adresse_mail_utilisateur -PopEnable:$true

 Si vous souhaitez activer l’accès POP3 sur toutes les boîtes aux lettres, vous pouvez recourir à un pipeline :

Get-Mailbox | Set-CASMailbox -PopEnabled:$true

4. Configuration du protocole IMAP4

La configuration du protocole IMAP4 va suivre le même principe que celui utilisé pour le protocole POP3. Elle peut être effectuée via le centre d’administration Exchange ou l’EMS. Le service doit également être démarré au préalable.

a. Démarrage du service IMAP4

Le service IMAP4 est désactivé par défaut.

Nous pouvons commencer par le démarrer manuellement en utilisant la cmdlet suivante sous l’EMS :

Start-service -Service MSExchangeIMAP4

Ensuite, nous pouvons le paramétrer afin qu’il soit démarré automatiquement lorsque le serveur est mis en route via la cmdlet suivante sous l’EMS :

Set-Service MSExchangeIMAP4-StartupType Automatic

b. Configuration du protocole IMAP4 via le Centre d’administration Exchange

Au travers du Centre d’administration Exchange, nous allons paramétrer le protocole IMAP4 et permettre aux utilisateurs de l’employer.

Paramètres de connexion IMAP4

Le paramétrage du protocole IMAP4 est effectué via le menu Serveurs de l’arborescence du Centre d’administration Exchange.

À partir de ce menu, vous accédez tout d’abord à la liste de vos serveurs :

Pour accéder alors aux paramètres du protocole IMAP4, procédez de la façon suivante :

 Dans la liste de serveurs, double cliquez sur le nom du serveur dont vous souhaitez modifier les paramètres.

 Dans la fenêtre de propriétés du serveur, cliquez dans l’arborescence de gauche sur IMAP4.

 Vous vous retrouvez alors sur la page permettant de paramétrer les différentes options du protocole :

Les éléments paramétrables sont les suivants :

• Format MIME du message : il s’agit du rendu des messages opéré par le serveur de boîtes aux lettres et transmis au serveur d’accès client (HTML, Texte, etc.).
• Méthode de connexion : permet de spécifier le chiffrement ou non de la connexion.
• Chaîne de bannière : il s’agit du texte renvoyé lors d’une connexion au serveur IMAP4.
• Connexions TLS ou non chiffrées : permet de spécifier les interfaces et les ports d’écoute du service IMAP4 pour les connexions TLS ou standard.
• Connexions SSL (Secure Sockets Layer) : permet de spécifier les interfaces et les ports d’écoute du service IMAP4 pour les connexions SSL.
• Paramètres de délai d’expiration : ces paramètres permettent de fixer la durée après laquelle la connexion sera fermée par le serveur, pour les sessions authentifiées inactives et pour les connexions non authentifiées.
• Limites de connexions : ces options permettent de spécifier le nombre de connexions simultanées maximales, le nombre de connexions autorisées depuis la même adresse IP, le nombre maximal de connexions pour un utilisateur ou encore la taille maximale des commandes IMAP4 utilisées (en octets). 

Autorisation du protocole IMAP4 pour les destinataires

Après avoir défini les paramètres de connexion, vous devez autoriser son utilisation par vos destinataires. Cette autorisation se fait individuellement.

Pour cela, naviguez vers le menu Destinataires de l’arborescence du Centre d’administration Exchange.

 Dans l’onglet Boîtes aux lettres, double cliquez sur l’utilisateur pour lequel vous désirez activer le protocole IMAP4.

 Dans la fenêtre de propriétés du destinataire, sélectionnez Fonctionnalités de boîte aux lettres dans l’arborescence de gauche :

 Localisez l’option IMAP et cliquez sur Activer.

c. Configuration du protocole IMAP4 via Exchange Management Shell (EMS)

Paramètres de connexion IMAP4

 Vous pouvez afficher les paramètres définis pour le protocole IMAP4 via la cmdlet Get-ImapSettings :

Get-ImapSettings -Server "Nom_Serveur" | fl

Ensuite, afin de paramétrer les connexions, il faut utiliser la cmdlet Set-ImapSettings.

 Pour définir l’adresse IP et le port utilisé pour les connexions TLS et non chiffrées, utilisez la cmdlet suivante sous l’EMS :

Set-ImapSettings -Server "Nom_Serveur" -UnencryptedOrTLSBindings  
Adresse_IP:Port

 Pour limiter le nombre de connexions maximal a 1000, le nombre de connexions depuis la même adresse IP à 500 et le nombre de connexions par utilisateur à 5, tapez la cmdlet suivante sous l’EMS :

Set-ImapSettings -Server "Nom_Serveur" -MaxConnections 1000 
-MaxConnectionFromSingleIP 500 -MaxConnectionsPeruser 5

 Pour définir une authentification chiffrée et utiliser un certificat, tapez la cmdlet suivante sous l’EMS :

Set-ImapSettings -LoginType SecureLogin -X509CertificateName <Nom  
du certificat>

Autorisation du protocole IMAP4 pour les destinataires

L’activation du protocole IMAP4 pour les destinataires s’effectue via la cmdlet Set-CASMailbox.

 Pour cela vous devez utiliser la commande Set-CASMailbox comme suit :

Set-CASMailbox -Identity adresse_mail_utilisateur -ImapEnabled:$true

 Si vous souhaitez activer l’accès IMAP4 sur toutes les boîtes aux lettres, vous pouvez recourir à un pipeline :

Get-Mailbox | Set-CASMailbox -ImapEnabled:$true

Services d’accès client complémentaires

Exchange fournit des services d’accès client complémentaires qui facilitent soit la configuration d’Exchange 2013, soit l’expérience utilisateur. Nous allons nous pencher sur deux de ces services, à savoir l’Autodiscover et les applications intégrées.

1. Autodiscover

L’Autodiscover est le protocole employé par le service de découverte automatique et qui permet aux clients Outlook et ActiveSync d’être configurés automatiquement en utilisant un nombre de paramètres réduit qui se résume à l’adresse de messagerie et au mot de passe. Il est pris en charge par les clients Outlook 2007, 2010 et 2013 ainsi que les périphériques Windows Mobile en version 6.1 ou ultérieure.

La prise en charge d’autres types de périphériques doit être vérifiée auprès du constructeur du périphérique en question.

Lors de l’installation du serveur d’accès client, un répertoire virtuel nommé Autodiscover est automatiquement publié au sein des services web IIS du serveur, permettant aux clients de récupérer leurs paramètres de configuration. Toutefois, les mécanismes de configuration automatique vont fonctionner différemment s’il s’agit d’un client interne ou externe.

a. Autodiscover pour les clients internes

Un client interne va s’appuyer sur Active Directory afin de se configurer automatiquement.

L’objet situé dans Active Directory sur lequel le client va s’appuyer est le point de connexion de service ou SCP (Service Connection Point), qui est créé lors de l’installation de chaque serveur d’accès client. De ce fait, il existe au sein d’Active Directory autant d’objets SCP que de serveurs d’accès clients.

Les objets SCP se trouvent dans la partition de configuration d’Active Directory et portent le nom du serveur d’accès client correspondant :

Le SCP contient l’URI (Uniform Resource Identifier) de l’autodiscover, à savoir les URL (Uniform Resource Locator) à employer pour atteindre le service de découverte automatique du serveur d’accès client (enregistrées dans l’attribut serviceBindingInformation), ainsi que les informations sur les sites Active Directory que le serveur d’accès client va principalement prendre en charge.

Voici le processus global utilisé pour un client interne :

• 1. Lorsqu’un utilisateur ouvre sa session sur le domaine et souhaite paramétrer Outlook, aucune information ne lui sera demandée (son jeton de session est utilisé). Outlook interroge le contrôleur de domaine via une requête LDAP afin d’obtenir les informations liées au SCP.
• 2. Le contrôleur de domaine renvoie les informations de localisation du SCP au client (serveurs d’accès clients avec leurs sites d’appartenance ainsi que les URL de connexion au service de découverte automatique de chacun des serveurs d’accès clients retournés). Le client va alors identifier le serveur d’accès client à utiliser pour obtenir ses informations de configuration en se basant notamment sur son site d’appartenance.
• 3. Le client va interroger le serveur d’accès client via l’URL de son Autodiscover récupérée précédemment afin de récupérer les paramètres de configuration automatique au travers d’une requête HTTPS POST.
• 4. Le serveur d’accès client fournit les informations sur la localisation des paramètres de configuration du client.
• 5. Le client Outlook télécharge les paramètres de configuration (il s’agit d’un fichier XML) et les applique pour permettre l’accès à la boîte aux lettres Exchange 2013.

b. Autodiscover pour les clients externes

Dans le cas d’un client externe ou non membre d’un domaine, l’accès à Active Directory pour récupérer les informations du SCP ne sera souvent pas possible.

Le client procède dans ce cas à l’analyse de l’adresse mail employée pour en extraire le domaine SMTP. Par exemple, pour l’adresse de messagerie bn@edition-eni.fr, le domaine extrait sera edition-eni.fr. Il va ensuite lancer une requête de résolution pour obtenir soit l’enregistrement de type autodiscover pour le domaine de messagerie, soit l’enregistrement autodiscover.<domaine de messagerie, afin de construire l’URL nécessaire pour la découverte automatique de la forme suivante :

• Si un enregistrement SRV pour la ressource autodiscover est disponible sur le serveur DNS, l’URL sera la suivante : https://<domaine de messagerie>/autodiscover/autodiscover.xml

• Si un enregistrement autodiscover de type CNAME est disponible sur le serveur DNS, l’URL sera :
  autodiscover.<domaine de messagerie>/autodiscover/autodiscover.xml

Compte tenu de ces éléments, une configuration des serveurs DNS doit être effectuée. Pour cela, il sera nécessaire de configurer votre DNS.

Pour permettre la configuration automatique de clients Outlook au sein de votre entreprise, vous devez créer un enregistrement (SRV) au sein de vos serveurs DNS.

Pour un serveur DNS sous Windows Server 2013, procédez de la façon suivante :

 Depuis les outils du Gestionnaire de serveur, lancez la console DNS.

 Déployez les zones de recherche directe et localisez votre domaine.

 Faites un clic droit sur votre domaine et sélectionnez Nouveaux enregistrements….

 Dans la fenêtre Type d’enregistrement de ressources, sélectionnez Emplacement du service (SRV) puis cliquez sur Créer un enregistrement… :

 Paramétrez alors l’enregistrement de la manière suivante :

• Domaine : spécifiez le nom du domaine SMTP utilisé dans les adresses de messagerie pour lesquelles vous souhaitez mettre en œuvre l’autodiscover, par exemple, pour brahim.nedjimi@eni.lan, il faudra spécifier eni.lan.
• Service : s’agissant de l’autodisover, vous devrez taper _autodiscover.
• Protocole : il s’agit de trafic dirigé donc TCP, donc tapez _tcp.
• Priorité : utilisé pour définir plusieurs enregistrements SRV ayant le même nom et proposer une redondance. L’enregistrement ayant la priorité la plus faible sera toujours retourné en premier. Dans le cas où la ressource serait indisponible, l’enregistrement suivant sera proposé. Si vous n’avez qu’un seul serveur d’accès client sur le site, utilisez la valeur 0.
• Poids : utilisé pour fournir de l’équilibrage de charge sous la forme du round robin si vous disposez de plusieurs serveurs d’accès client sur le même site. Dans ce cas, l’enregistrement ayant le poids le plus faible sera retourné au premier client le sollicitant, le deuxième client se verra retourner l’enregistrement suivant ayant le poids faible et ainsi de suite. Dans le cas d’un seul serveur d’accès client sur le site, utilisez la valeur 0.
• Numéro de port : s’agissant d’une connexion sécurisée HTTPS, il faut utiliser le port 443.
• Hôte offrant ce service : il s’agit du serveur d’accès client offrant le service de découverte automatique. Vous pouvez taper le nom ou l’adresse IP de votre serveur (exemple : exch-srv1.eni.lan) ou bien encore autodiscover.<votre_domaine>.

 Cliquez sur OK.

Dans le cas d’un serveur DNS externe, vous devrez configurer un enregistrement autodiscover de type alias (CNAME) pointant sur l’enregistrement relatif au serveur d’accès client publié également sur votre serveur DNS externe.

Voici le processus employé :

1. Le client Outlook demande au serveur DNS la résolution de la ressource autodiscover pour le domaine extrait de l’adresse de messagerie.

2. Le serveur DNS renvoie l’adresse IP correspondant au serveur d’accès client.

3. Le client se connecte au service de découverte automatique du serveur d’accès client en HTTPS.

4. Le serveur d’accès client se connecte à Active Directory pour authentifier l’utilisateur et récupérer les paramètres nécessaires, notamment le GUID de la boîte de messagerie sollicitée.

5. Le contrôleur de domaine renvoie les paramètres requis.

6. Le serveur d’accès client génère un fichier XML contenant les paramètres de configuration et renvoie au client la localisation de ces paramètres.

7. Le client télécharge le fichier de configuration et l’applique afin de paramétrer l’accès à la boîte aux lettres.

2. Applications

Parmi les nouveautés introduites dans Outlook 2013 et Outlook Web App nous avons les Applications comme Bing ou Maps qui sont intégrées et qui permettent d’étendre les capacités de la messagerie d’un utilisateur, en détectant les éléments pertinents dans les messages afin de créer une association pertinente. 

a. Applications par défaut

Quatre applications sont disponibles par défaut lorsque vous installez Exchange 2013 :

• Action Items : cette application permet à l’utilisateur de rechercher dans sa boîte de messagerie des suggestions de tache, et crée alors une tâche suggérée.
• Bing Maps : cette application parcourt les messages de l’utilisateur à la recherche d’une adresse. Dans le cas où une adresse est trouvée dans un mail. Un volet supplémentaire contenant une carte est activé lors de l’affichage de ce mail.
• Se désabonner : cette application parcourt les mails de type newsletter et offre à l’utilisateur à la fois la possibilité de bloquer l’émetteur mais également de se désinscrire de la newsletter lorsque l’option est disponible.
• Suggested Meetings : cette application parcourt les mails de l’utilisateur en recherchant les tournures relatives à un rendez-vous, et crée alors un rendez-vous suggéré.

b. Gestion des applications

Vous pouvez visualiser, gérer et ajouter des applications via le centre d’administration Exchange.

La gestion des applications est effectuée via le menu Organisation de l’arborescence du Centre d’administration Exchange, via l’onglet Applications :

Les quatre applications présentes par défaut ne peuvent pas être désinstallées.

Il vous est possible d’en installer d’autres en utilisant le lien Office Store.

Pour chacune de ces applications, vous allez pouvoir définir les paramètres d’accès des utilisateurs.

 Pour définir les paramètres d’accès aux applications, double cliquez sur une application.

 Dans la fenêtre de paramètres de l’application, vous pouvez alors définir les autorisations liées à l’utilisation de l’application :

Les paramètres disponibles pour l’application sont les suivants :

• Rendre cette application disponible aux utilisateurs de votre organisation : permet aux utilisateurs d’accéder à cette application et de l’activer s’ils le souhaitent.
• Dans la zone Spécifier les valeurs par défaut des utilisateurs, choisir une des options :
  • Facultatif, activé par défaut : lorsque l’application est disponible pour les utilisateurs, elle est activée par défaut dans Outlook et Outlook Web App (les utilisateurs peuvent la désactiver).
  • Facultatif, désactivé par défaut : lorsque l’application est disponible pour les utilisateurs, elle est désactivée par défaut dans Outlook et Outlook Web App (les utilisateurs peuvent l’activer).
  • Obligatoire, toujours activée : l’application est activée pour les utilisateurs et ces derniers ne peuvent pas la désactiver.

Ateliers

Au travers de cet atelier, nous allons paramétrer les services d’accès clients afin de configurer des clients de type Outlook et Outlook Web App.Nous allons pour cela nous appuyer à la fois sur le centre d’administration Exchange et sur l’EMS (Exchange Management Shell).

Nous allons utiliser ici une infrastructure complète basée sur Windows Server 2012 et Windows 8.

1. Infrastructure requise

Afin de réaliser cet atelier, il est nécessaire de disposer des composants d’infrastructure suivants :

• DC : contrôleur de domaine du domaine ENI.LAN nommé AD-DC01 et configuré avec l’adresse IP 172.16.1.1 (si vous avez besoin de l’installer ou de le réinstaller, référez-vous aux ateliers pratiques du chapitre Intégration à Active Directory). Les services DNS pour Active Directory doivent être installés.
• EXCH : serveur sous Windows Server 2012 avec une interface graphique (pas d’édition Core) installé avec les options par défaut. Ce serveur, nommé EXCH-SRV1, doit être configuré avec l’adresse IP 172.16.1.21 et le DNS principal 172.16.1.1. Enfin, il doit membre du domaine ENI.LAN (si vous avez besoin de l’installer ou de le réinstaller, référez-vous aux ateliers pratiques du chapitre Pré-requis et installation d’Exchange 2013).
• CLI : il s’agit d’un poste client sous Windows 8 sur lequel est installé Outlook 2013 (version d’évaluation disponible sur le site Technet de Microsoft). Ce poste, nommé WIN-CLI1 doit être configuré avec l’adresse IP 172.16.1.21 et le DNS principal 172.16.1.1. Il doit être rattaché au domaine.

La machine sur laquelle les manipulations devront être réalisées sera indiquée dans le titre entre crochets "[ ]".

2. Mise en œuvre d’Outlook Anywhere

Outlook Anywhere est le protocole par défaut utilisé pour les clients Outlook, nous allons ici avant tout vérifier sa configuration.

a. Paramétrage des accès client

[EXCH] Modifier la méthode de connexion

 Connectez-vous au Centre d’administration Exchange.

 Dans l’arborescence de gauche, cliquez sur Serveurs.

 Dans l’onglet Serveurs, double cliquez sur le serveur EXCH-SRV1.

 Dans la fenêtre de propriétés du serveur EXCH-SRV1, cliquez dans l’arborescence de gauche sur Outlook Anywhere.

 Sélectionnez la méthode de connexion NTLM puis cliquez sur enregistrer.

b. Configuration de l’autodiscover

Nous allons ici créer les enregistrements nécessaires sur le serveur DNS afin que les clients non membres du domaine puissent utiliser le service de découverte automatique pour se configurer avec un minimum de paramètres.

[DC] Ajout d’un enregistrement SRV pour l’autoDiscover

 Depuis les outils du Gestionnaire de serveur, lancez la console DNS.

 Déployez le serveur AD-DC1 puis les zones de recherche directes.

 Faites un clic droit sur votre domaine et sélectionnez Nouveaux enregistrements….

 Dans la fenêtre Type d’enregistrement de ressources, sélectionnez Emplacement du service (SRV) puis cliquez sur Créer un enregistrement… :

 Dans la fenêtre Nouvel enregistrement de ressource, spécifiez les valeurs suivantes :

• Domaine : eni.lan
• Service : _autodiscover
• Protocole : _tcp
• Priorité : 0
• Poids : 0
• Numéro de port : 443
• Hôte offrant ce service : exch-srv1.eni.lan

 Cliquez sur OK.

Votre enregistrement de ressources sera placé dans le sous-domaine _tcp.eni.lan.

c. Configuration d’Outlook 2013

Nous allons voir maintenant comment Outlook utilise l’enregistrement autodiscover pour localiser ses paramètres de configuration lorsqu’il est utilisé à l’extérieur ou hors d’un domaine. Nous verrons ensuite comment il se comporte lorsqu’il fait partie d’un domaine Active Directory.

[CLI] Configuration d’Outlook 2013

 Ouvrez une session sur le domaine eni.lan en utilisant le compte eni\administrateur et le mot de passe P@ssw0rd.

 Lancez Outlook 2013.

 Dans l’écran de bienvenue, cliquez sur Suivant.

 Dans la fenêtre Ajouter un compte de messagerie, laissez l’option Oui cochée et cliquez sur Suivant (afin de définir un compte de messagerie).

 Dans la fenêtre Configuration de compte automatique vérifiez que l’adresse de messagerie administrateur@eni.lan est renseignée puis cliquez sur Suivant :

 Si une fenêtre d’alerte de sécurité s’affiche, cliquez sur Oui.

 Lorsque la configuration est terminée, cliquez sur Terminer.

 Lorsque la configuration est terminée, cliquez sur Terminer.

 Vous vous retrouvez alors dans Outlook 2013 avec votre profil configuré.

Lors de la configuration d’Outlook 2013, une fenêtre d’alerte de sécurité est susceptible d’être affichée. Ceci est dû au fait que l’on utilise un certificat du serveur qui n’a pu être validé par une autorité de certification. De même la configuration d’Outlook 2013 pour les clients externes requiert la validation du certificat utilisé pour la connexion. Le paramétrage des certificats est traité dans le chapitre Mise en place de la sécurité.

3. Mise en œuvre d’Outlook Web App

Outlook Web App est disponible dès l’installation d’Exchange 2013, via l’URL https://172.16.1.21/owa. Nous allons procéder à sa configuration puis confirmer l’application effective de ses paramètres via son interface.

a. Configuration des options du répertoire virtuel OWA

 Connectez-vous au Centre d’administration Exchange.

 Dans l’arborescence de gauche, cliquez sur Serveurs, puis sélectionnez l’onglet Répertoires virtuels.

 Dans la liste des répertoires virtuels, double cliquez sur owa (Default Web Site) :

 Dans la fenêtre de propriétés du répertoire virtuel OWA, sélectionnez Authentification dans l’arborescence de gauche.

 Dans les propriétés d’authentification, dans le groupe d’options d’authentification basée sur les formulaires, sélectionnez l’option Nom principal de l’utilisateur (UPN).

 Dans l’arborescence de gauche, cliquez sur Fonctionnalités.

 Dans la fenêtre listant les fonctionnalités, décochez le calendrier dans la section gestion du temps en bas de page puis cliquez sur Enregistrer.

 Validez la fenêtre d’avertissement vous signalant qu’un redémarrage des services IIS est nécessaire.

 Démarrez l’Exchange Management Shell.

 Paramétrez la stratégie Outlook Web App Admins Strategy permettant de choisir de se connecter depuis un ordinateur public ou privé ainsi que la possibilité d’utiliser l’interface légère d’Outlook Web App :

Set-owaVirtualDirectory -Identity "EXCH-SRV1\owa (Default Web Site)" 
-LogonPagePublicPrivateSelectionEnabled $true  
-LogonPageLightSelectionEnabled $true

 Redémarrez les services IIS :

iisreset

b. Création d’une stratégie Outlook Web App

 Démarrez l’Exchange Management Shell (EMS).

 Créez une nouvelle stratégie nommée Admins Strategy.

New-OwaMailboxPolicy -name "Admins Strategy"

 Paramétrez la stratégie "Admins Strategy" afin que le mot de passe ne puisse être modifié via Outlook Web App :

Set-OwaMailboxPolicy -Identity "Admins Strategy"  
-ChangePasswordEnabled $false

 Appliquez la stratégie au compte Administrateur :

Set-CASMailbox -Identity administrateur@eni.lan  
-OwaMailboxPolicy:"Admins Strategy"

 Redémarrez les services IIS :

iisreset

c. Vérification des paramètres sous Outlook Web App

 Ouvrez un navigateur Internet et connectez-vous sur l’URL https://172.16.1.21/owa.

 Sur la page de connexion, vérifiez que vous disposez des options de connexion à un ordinateur privé ainsi que l’option de sélection de l’interface légère (Outlook Web App Light) :

 Essayez de vous connecter en utilisant le compte ENI\Administrateur et le mot de passe P@ssw0rd (cela ne devrait pas fonctionner compte tenu du type d’authentification choisi dans les paramètres du répertoire virtuel).

 Connectez-vous en utilisant le compte administrateur@eni.lan et le mot de passe P@ssw0rd.

 Dans la fenêtre d’Outlook Web App, vérifiez les options disponibles dans le menu situé en haut à droite :

Le calendrier est disponible alors qu’il a été désactivé dans les options du répertoire virtuel. Ceci est dû au fait qu’il n’ait pas été désactivé dans la stratégie Admin Strategy qui est prioritaire.

 Cliquez sur l’engrenage situé à côté du login Administrateur :

Aucune option de changement de mot de passe n’est affichée (notez également la présence des Paramètres hors connexion).

 Déconnectez-vous en cliquant sur Administrateur puis Se déconnecter.

 Sous l’Exchange Management Shell, activez le changement de mot de passe et désactivez l’utilisation du mode hors connexion :

Set-OwaMailboxPolicy -Identity "Admins Strategy"  
-ChangePasswordEnabled $true -AllowOfflineOn NoComputers

Redémarrez les services IIS :

iisreset        

 Connectez-vous en utilisant le compte administrateur@eni.lan et le mot de passe P@ssw0rd.

 Cliquez sur l’engrenage pour vérifier les options disponibles.

La faculté de changer le mot de passe est présente et l’utilisation du mode hors connexion a disparu.

 Déconnectez-vous en cliquant sur Administrateur puis Se déconnecter.

 Sous l’Exchange Management Shell, retirez la stratégie Outlook Web App Admins Strategy appliquée sur le compte Administrateur :

Set-CASMailbox -Identity administrateur@eni.lan  
-OwaMailboxPolicy:$null

 Redémarrez les services IIS :

iisreset        

 Connectez-vous en utilisant le compte administrateur@eni.lan et le mot de passe P@ssw0rd.

 Dans la fenêtre d’Outlook Web App, vérifiez les options disponibles dans le menu situé en haut à droite :

Le calendrier a disparu car il a été désactivé dans les paramètres du répertoire virtuel et qu’aucune stratégie autorisant son utilisation n’a été définie pour le compte.