Présentation des outils d'administration
Présentation des outils d’administration
Les outils d’administration Exchange font l’objet depuis la version 2013 d’une intégration poussée avec Office 365. L’objectif étant que l’administrateur puisse administrer les boîtes aux lettres qu’il va héberger dans le cloud de Microsoft aussi facilement et de la même manière que les boîtes aux lettres qu’il hébergera dans son infrastructure sur site.
L’offre globale de gestion de la messagerie par Microsoft s’appuie donc non seulement sur Exchange mais aussi sur Office 365. L’intégration des deux solutions met en valeur des scénarios hybrides qui vont permettre par l’intermédiaire d’une interface web et d’un outil en ligne de commande très proche, de rendre homogène l’expérience d’administration.
Toutefois, Office 365 bénéficiant d’un cycle de mise à disposition des développements beaucoup plus court qu’Exchange, on peut voit régulièrement apparaître des décalages au niveau des outils d’administration.
Ainsi, depuis Exchange Server 2013, l’administration graphique se fait par l’intermédiaire d’une console d’administration web appelée le Centre d’administration Exchange dont l’interface et la navigation...
La console Centre d’administration Exchange
1. Présentation de la console
La console Centre d’administration Exchange (EAC) se présente sous la forme d’un site web pouvant être mis à disposition des administrateurs facilement par le biais d’une simple publication HTTP.
Compatible avec les principaux navigateurs présents sur le marché (Internet Explorer, Firefox, Chrome, Safari…), par défaut, la console sera joignable par l’intermédiaire de l’adresse suivante :
Dans votre navigateur Internet, tapez l’adresse https://<url du serveur exchange>/ecp/.
La connexion via le protocole HTTPS est obligatoire par défaut pour garantir la sécurité des informations d’authentification. À l’usage, il sera nécessaire de personnaliser la configuration des certificats pour qu’elle soit transparente pour les administrateurs.
Seuls les administrateurs habilités seront en mesure de s’y connecter. Les utilisateurs seront redirigés le cas échéant sur la console de gestion des options de boîte aux lettres que nous aborderons un peu plus loin dans ce chapitre.
La console bénéficie de l’implémentation du SSL pour en sécuriser l’authentification mais aussi pour garantir la confidentialité des opérations qui seront réalisées par les administrateurs. Par défaut, le certificat utilisé est autosigné et il sera fortement recommandé de le remplacer par un certificat issu d’une autorité de certification publique ou privée. Les manipulations nécessaires seront abordées dans le chapitre Mise en place de la sécurité.
Exchange Server 2016 se positionne comme la suite naturelle d’Exchange Server 2013 et bénéficie d’une intégration poussée avec son homologue hébergé Office 365. Les principales évolutions...
La console Exchange Toolbox
La console Exchange Toolbox est un héritage de la console mmc du même nom disponible sous Exchange 2010 / 2013.
Limitée à quelques fonctions nécessitant un client lourd ou n’ayant pas été portées sur la console web, elle propose les outils suivants :
-
Afficheur des files d’attente : permet d’afficher la file d’attente SMTP et d’analyser l’origine des erreurs de remise des e-mails domaine par domaine. Ce module est très souvent utilisé pour dépanner les services de transport.
-
Analyseur de connectivité à distance : lance le site web du même nom qui permet de valider la connectivité extérieure du serveur Exchange mais aussi Skype for Business, Office 365… (https://testconnectivity.microsoft.com/).
-
Éditeur de modèles détaillés : permet de personnaliser l’interface utilisateur côté client pour chacune des langues (Ex : Fiche utilisateur dans Outlook).
La console Exchange Management Shell (EMS)
1. Présentation de PowerShell
a. Les principes de base de l’environnement PowerShell
PowerShell est un environnement d’exécution de script très puissant qui permet entre autres d’automatiser des tâches dans un environnement Windows. Il se présente sous la forme d’un environnement en ligne de commande qui s’apparente fortement aux différents shells que l’on peut trouver dans le monde UNIX/Linux. En reprenant une philosophie de base identique, il ajoute aux shells existants une rigueur dans la syntaxe des commandes et une orientation plus marquée à destination des administrateurs.
Le principe de PowerShell est d’utiliser de petites commandes simples appelées cmdlets que l’on va combiner à l’aide de pipelines pour créer des fonctions complexes et complètes, l’objectif étant d’éviter au maximum l’utilisation de boucles et l’écriture d’algorithmes.
Les cmdlets utilisent toutes le même formatage avec un verbe qui va définir le type d’action à réaliser (New pour nouveau, Get pour lister, Set pour modifier...) suivi du nom du type d’objets à manipuler (Mailbox pour les boîtes aux lettres, Eventlog pour les journaux d’événements...).
Dans la mesure où il a été conçu pour être utilisé par des administrateurs, il s’articule autour d’un concept simple qui régit la plupart des tâches d’administrations à savoir :
-
Lister les objets/éléments/composants voulus (ex : lister toutes les boîtes aux lettres d’une organisation).
-
Appliquer un filtre (ex : ne garder que les boîtes aux lettres hébergées sur un serveur spécifique).
-
Appliquer une opération (ex : modifier le quota des boîtes aux lettres).
Dans ce contexte, PowerShell est très efficace dans le traitement de masse et simple d’application car les trois opérations seront réalisées en une seule ligne là où d’autres systèmes de scripting en demandent parfois des dizaines.
b. Architecture de l’environnement PowerShell
PowerShell est un langage orienté objet. Lorsque l’on récupère une liste...
Les options de boîte aux lettres Outlook sur le Web
1. Présentation de la console
Introduites avec la version 2010, les options de boîte aux lettres Outlook sur le Web (OWA) permettent d’administrer les aspects utilisateurs de la configuration Exchange. Elles sont disponibles pour tous les utilisateurs disposant d’une boîte aux lettres dans l’infrastructure.
Avec Exchange Server 2016, cette console se présente sous deux formes, à savoir un nouveau site web qui reprend l’interface d’Office 365 avec les principaux paramètres et l’ancienne interface qui reprend l’ensemble des paramètres présents sous Exchange Server 2013 et qui n’ont pas été portés sur la nouvelle.
La nouvelle console est disponible à partir du lien Option du portail web Outlook sur le Web et l’ancienne console est accessible à partir du lien Autre de la nouvelle console ou du chemin http://<serveur>/ecp/.
Tout comme la console Centre d’administration Exchange, l’accès est sécurisé par le protocole HTTPS et va nécessiter une configuration des certificats adaptée pour qu’elle soit transparente pour les utilisateurs.
Cette console, accessible potentiellement par tous les utilisateurs, va aussi permettre de faciliter la délégation d’administration sur des fonctions comme la gestion des boîtes aux lettres existantes, la gestion des listes de distribution, faire le suivi des messages et la gestion des synchronisations des périphériques mobiles…
Elle va donc permettre de rendre accessibles facilement...
Délégation d’administration
1. Présentation du modèle de délégation RBAC
Depuis Exchange Server 2010, la délégation d’administration a été entièrement revue afin d’être plus souple et utilisable par des groupes d’utilisateurs autres que les administrateurs de messagerie.
Elle repose dorénavant sur le principe RBAC (Role-Based Access Control) dont l’objectif est d’utiliser des modèles prédéfinis mais personnalisables de délégation. Chaque modèle correspond à un rôle d’administration d’Exchange et sera affecté à une population d’utilisateurs. Il n’est donc maintenant plus nécessaire de modifier directement les listes de contrôle d’accès (ACL) comme c’était le cas dans les versions précédentes.
La mise en place d’une délégation RBAC, aussi appelée groupe de rôles, passe par la configuration de trois éléments : le périmètre d’application, les rôles et les membres.
-
Périmètre d’application : il s’agit d’une OU, d’un groupe d’utilisateurs ou tout simplement d’un conteneur de configuration. Tous les rôles ont par défaut un périmètre d’application. Lorsque vous...
Implémentation des audits
1. Présentation de la journalisation d’audit
La journalisation d’audit permet de créer un historique des accès et des actions réalisées sur l’infrastructure Exchange. Cette fonctionnalité permet notamment de se conformer aux exigences et demandes réglementaires auxquelles peut être assujettie l’entreprise dont les e-mails sont hébergés par l’infrastructure Exchange.
L’historique ainsi constitué va permettre de suivre les modifications qui ont été réalisées sur l’infrastructure Exchange à l’aide d’outils de requête puissants. Il sera ainsi possible de faire des recherches avancées sur des caractéristiques précises mais aussi d’extraire des tendances grâce à la puissance de PowerShell.
La génération des audits peut se faire à deux niveaux, au niveau administrateur afin de contrôler l’activité de paramétrage de l’infrastructure Exchange et au niveau utilisateur pour contrôler les accès aux ressources.
Il existe aussi par défaut un journal des évènements appelé MSExchange Management qui contient un historique des cmdlets exécutées par l’infrastructure Exchange, celui-ci est consultable à l’emplacement suivant :
Lancez la console Observateur d’évènements à partir de la liste des outils d’administration, développez le nœud Journaux des applications et des services et cliquez sur MSExchange Management.
2. Implémentation de la gestion des audits d’administration
Les audits d’administration permettent de sauvegarder les actions réalisées par les administrateurs à des fins de contrôle ou d’historique des actions menées sur l’infrastructure. Ils ciblent exclusivement les actions de modification de configuration de l’infrastructure Exchange.
Les audits d’administration sont intégrés...