選擇 ActiveSync 的驗證方法

 

適用版本： Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上次修改主題的時間： 2007-03-20

驗證是用戶端及伺服器用來確認它們身分以傳輸資料的過程。在 Exchange 2007 中，驗證是用來判斷想要與 Exchange 伺服器通訊之使用者或用戶端的身分。您可以使用驗證來確認裝置是否屬於特定個人，或特定個人是否嘗試登入 Office Outlook Web Access。

安裝 Microsoft Exchange Server 2007 及 Client Access server role 時，會將虛擬目錄設定給數個服務。包含 Outlook Web Access、可用性服務、整合通訊及 Microsoft Exchange ActiveSync。每個虛擬目錄預設都是設定為使用驗證方法。在 Exchange ActiveSync 中，虛擬目錄是設定為使用基本驗證及安全通訊端層 (SSL)。只要變更 Exchange ActiveSync 虛擬目錄的驗證方法，就可以變更 Exchange ActiveSync 伺服器的驗證方法。

本主題提供適用於 Exchange ActiveSync 伺服器之驗證方法的概觀。在 Exchange ActiveSync 中，用戶端是用來與 Exchange 2007 伺服器進行同步處理的實體裝置。

基本驗證

基本驗證是最簡單的驗證方法。使用基本驗證，伺服器會要求用戶端提交使用者名稱及密碼。該使用者名稱及密碼是以純文字格式透過網際網路傳送給伺服器。伺服器會確認提供的使用者名稱及密碼有效，並將存取權授與用戶端。Exchange ActiveSync 預設會啟用這種類型的驗證。然而，除非同時部署安全通訊端層 (SSL)，否則建議您停用基本驗證。使用透過 SSL 的基本驗證時，使用者名稱及密碼仍然會以純文字格式傳送，但是會加密通訊通道。

憑證型驗證

憑證型驗證是使用數位憑證來確認身分。除了使用者名稱及密碼之外，憑證型驗證還提供另一種形式的認證，用以證明嘗試存取儲存在 Exchange 2007 伺服器上信箱資源的使用者身分。數位憑證是由兩個元件組成：儲存在裝置上的私密金鑰，以及安裝在伺服器上的公開金鑰。如果將 Exchange 2007 設定為需要 Exchange ActiveSync 的憑證型驗證，則只有符合下列準則的裝置才可以與 Exchange 2007 進行同步處理：

• 裝置已安裝有效的用戶端憑證，而該憑證是建立來進行使用者驗證。
• 裝置具有所連線之伺服器的信任根憑證，用以建立 SSL 連線。

部署憑證型驗證可防止只有使用者名稱及密碼的使用者與 Exchange 2007 進行同步處理。驗證的用戶端憑證是額外的安全性層級，因此只有在裝置是透過 Desktop ActiveSync 4.5 或更新版本 (在 Windows XP 中) 或 Windows Mobile 裝置中心 (在 Windows Vista 中) 連接到加入網域的電腦時，才可以安裝。

Token 型驗證系統

Token 型驗證系統是由雙重要素驗證系統。雙重要素驗證是根據使用者知道的資訊部分 (例如他們的密碼) 以及外部裝置 (通常是使用者可以隨身攜帶的信用卡或遙控鑰匙形式)。而每個裝置都會有唯一的序號。除了硬體 Token 之外，部分廠商還提供可以在行動裝置上執行的軟體型 Token。

Token 的運作方式是顯示每 60 秒變更一次的唯一號碼 (一般長度是六位數)。將 Token 發給使用者時，Token 就會與伺服器軟體進行同步處理。若要進行驗證，使用者可輸入他們的使用者名稱、密碼以及目前顯示在 Token 上的號碼。而部分 Token 型驗證系統也會需要使用者輸入 PIN。

Token 型驗證是增強式驗證形式。Token 型驗證的缺點是必須安裝驗證伺服器軟體，而且必須在每位使用者的電腦或行動裝置上部署驗證軟體。同時會有使用者遺失外部裝置的風險。因為需要更換遺失的外部裝置，所以這會造成財務上的損失。然而，如果沒有原始使用者的驗證資訊，裝置對第三者來說根本毫無用處。

有數家公司發出 Token 型驗證系統。其中一家公司是 RSA。它們的產品 SecurID 具有數種形式 (包含遙控鑰匙及信用卡形式)。而單次驗證碼是透過 Token 所發出。每個驗證碼的有效期是 60 秒。大部分的 Token 在裝置上也會有到期指示器 (例如，一串隨著驗證碼剩下之有效時間的時間長度的減少而消失的點)。這有助於防止使用者輸入正確的代碼，在驗證處理程序完成之前讓它到期。驗證完成之後，除非使用者登出 (自行選擇或裝置因未作用而逾時)，否則使用者不需要使用新的代碼進行驗證。如需如何設定 Token 型驗證系統的相關資訊，請參閱特定系統適用的文件。

相關資訊

如需驗證及 Exchange ActiveSync 安全性的相關資訊，請參閱下列各主題：

• 管理 Exchange ActiveSync 安全性
• 如何設定 Exchange ActiveSync 的基本驗證
• 如何設定 Exchange ActiveSync 的憑證型驗證
• 如何在安裝 Windows Mobile 的裝置上安裝憑證

若要確保您目前閱讀的是最新資訊，並尋找其他的 Exchange Server 2007 說明文件，請造訪 Exchange Server 技術資源中心.