Suite à une demande particulière d'un client, j'ai du réfléchir à la mise en place d'une solution permettant d'authentifier les clients, j'ai donc regardé de ce côté :

Que ce soit avec Windows Phone 7, Windows Mobile, iPhone ou Android, il est conseillé de sécuriser vos synchronisations ActiveSync surtout dans un contexte où la tendance est que de plus en plus de terminaux mobiles de tous types essaieront de se connecter à votre environnement de messagerie.

Une manière de sécuriser ces communications est d’utiliser un certificat client propre à chaque utilisateur se synchronisant, afin d’authentifier de façon unique cet utilisateur et lui permettre l’accès à sa boîte aux lettres. Cette méthode est connue sous le nom de Certificate Based Authentication

 

 

Exemple de squelette d’infrastructure

 

-          Terminaux mobiles avec ActiveSync intégré

-          2 forêts sous Windows 2008 R2, une de comptes (AD) et une de ressources (Exchange), plus complexe à mettre en œuvre que dans une forêt unique mais plus complet aussi.

-          2 serveurs Exchange 2010 SP1 RUx, CAS et Mailbox sous Windows 2008 R2 ou SP2
Cela devrait aussi fonctionner si les boîtes aux lettres des utilisateurs ActiveSync sont sur Exchange 2003 ou Exchange 2007, pourvu que les CAS soient en Exchange 2010, mais je n’ai pas testé.

--> Voir la suite sur le blog :

http://blogs.technet.com/b/fruc/archive/2011/04/22/mise-en-place-de-certificat-client-sur-terminaux-activesync-dans-un-environnement-exchange-2010-sp1.aspx 

Par contre pour mon client j'ai plutôt utilisé un Apache en Reverse Proxy en frontal de TMG qui se chargeait "juste" de valider les certificats clients.