• Artikel

System Center

Einführung zu System Center Mobile Device Manager

Matt Fontaine

 

Kurz zusammengefasst:

  • Ein typisches Mobile Device Manager-System
  • Erweitern von Active Directory auf Windows Mobile
  • Registrieren, Bereitstellen und Inventarisieren von Windows Mobile-Geräten

Die Veröffentlichung von Microsoft System Center Mobile Device Manager 2008 ist eine äußerst interessante Entwicklung für IT-Experten, die Windows Mobile-Geräte in Unternehmensnetzwerken verwalten. Durch Bereitstellen von Funktionen für die Geräteverwaltung, Sicherheitsverwaltung und ein mobiles VPN (Virtuelles Privates Netzwerk)

in einem einzigen Produkt trägt dieses neue Angebot dazu bei, administrative Aufgaben zu vermindern und eine verbesserte Rendite (ROI) für den Bestand an mobilen Geräten einzubringen.

Mobile Device Manager ermöglicht IT-Experten, die vorhandene Active Directory®- und Gruppenrichtlinieninfrastruktur zum Erzwingen von Geräteeinstellungen zu verwenden. Mit OTA-Geräteverwaltungsfunktionen können IT-Experten problemlos Updates und Anwendungen an Geräte übermitteln, während sich die Bereitstellung durch die OTA-Selbstbereitstellungsfunktion einfacher und skalierbarer gestaltet. Ein mobiles VPN gewährt Endbenutzern den Zugriff auf Daten und Anwendungen hinter der Firewall und bietet gleichzeitig eine immer aktive Verbindung für Administratoren zur Steuerung bereitgestellter Geräte. Aufgrund all dieser Funktionen in einem erweiterbaren, anpassbaren und skalierbaren Produkt ist Mobile Device Manager ein unerlässliches Tool für die IT-Experten von heute.

Der Bedarf an Verwaltung

Das Wachstum im Bereich mobiler Mitarbeiter soll sich in den nächsten Jahren weiter fortsetzen. Im Vergleich zu anderen Netzwerkgeräten war das Verwalten mobiler Geräte wegen des Mobilitätsfaktors schon immer ein relativ schwieriges Unterfangen. Mobile Geräte stellen auf vielen verschiedenen Wegen eine Verbindung zum Netzwerk her, und manche Geräte sind nicht so sicher wie andere. Sie existieren möglicherweise außerhalb der Firewall, sie verwenden andere Betriebssysteme als die Clientgeräte, und sie sind klein und können deshalb leicht verlegt werden oder verloren gehen.

Die erweiterte Funktionalität der heutigen mobilen Geräte bietet sowohl Unternehmen als auch Endbenutzern äußerst ansprechende Vorteile, doch sie erschwert gleichzeitig den Support für diese Geräte. Dadurch könnten Unternehmensdaten und Netzwerke zusätzlichen Sicherheitsrisiken ausgesetzt werden, insbesondere wenn die Geräte verwendet werden, um auf vertrauliche Branchenanwendungen und Kundendaten zuzugreifen. Solche Geräte können zu Sicherheitsnotfällen führen, wenn sie verloren gehen, gestohlen oder unsachgemäß verwendet werden.

Die Lücke zwischen mobilen Geräten und traditionellen Netzwerkclients im Bereich Funktionalität wird nach und nach geschlossen, aber gleichzeitig wächst die Anforderung, mobile Geräte genau wie Laptops oder Desktopcomputer zu verwalten. Aus diesem Grund wurde Mobile Device Manager entwickelt. Mit steigender Beliebtheit der Windows Mobile®-Plattform bei Geschäftskunden wird sich Mobile Device Manager zu einem entscheidenden Aspekt von Windows®-basierten IT-Verwaltungssystemen entwickeln.

Mobile Device Manager wurde entworfen, um eine End-to-End-Verwaltung und die Steuerung von Windows Mobile-Geräten so problemlos zu ermöglichen, als ob es sich bei den Geräten um vernetzte PCs oder Laptops handelt. Das Tool bietet drei Hauptfunktionen:

Geräteverwaltung Zentralisierte Funktionen für das Bereitstellen, Überwachen und Verwalten von Windows Mobile-Geräten, die auf Zehntausende von Benutzern pro Server skalierbar sind.

Sicherheitsverwaltung Bessere Methoden für den Schutz vertraulicher Daten und die Geräteüberwachung.

Mobiles VPN Besserer Zugriff auf Daten und Anwendungen hinter der Firewall durch immer aktive Funktionalität.

Mobile Device Manager ist auf die allgemeine System Center-Philosophie ausgerichtet, nach der IT-Experten Tools für eine optimale Verwaltung aller Unternehmensressourcen bereitgestellt werden, nicht nur für Desktop- und Laptopcomputer. Außerdem ist die Benutzeroberfläche denjenigen bereits vertraut, die schon andere System Center-Produkte verwenden.

Mobile Device Manager funktioniert vom Entwurf her also auch gut mit einer vorhandenen Windows-basierten Infrastruktur. Zum Beispiel werden Active Directory und die Gruppenrichtlinie verwendet, vorhandene Microsoft-Analyse- und Berichttools (z. B. SQL Server®) können eingesetzt werden, und es besteht Erweiterbarkeit durch das Verwenden von Microsoft® Management Console-Snap-Ins und Windows PowerShellTM-Cmdlets.

Das Mobile Device Manager-System

Mobile Device Manager ist hochgradig skalierbar und kann Zehntausende von Geräten auf einer einzigen Instanz sowie mehrere Konfigurationsoptionen unterstützen. Grundsätzlich sind bei Mobile Device Manager serverseitig vier Hauptsystemkomponenten vorhanden: ein Gatewayserver, ein Geräteverwaltungsserver, ein Registrierungsserver und SQL Server-Datenbanken (siehe Abbildung 1).

Abbildung 1 Ein typisches Mobile Device Manager-System

Abbildung 1** Ein typisches Mobile Device Manager-System **(Klicken Sie zum Vergrößern auf das Bild)

Der Gatewayserver ist meist im Umkreisnetzwerk installiert. Er agiert als Terminal für die Netzwerkverbindung eines Geräts, authentifiziert eingehende Geräteverbindungen, bietet stabile IP-Adressen für Geräte und führt andere Funktionen in Bezug auf die Geräte- bzw. Netzwerkkonnektivität durch.

Der Geräteverwaltungsserver ist der Hub für die Geräteverwaltung, einschließlich der Bereiche Gruppenrichtlinienimplementierung, OTA-Softwareverteilung und Gerätebereinigung. Er kann mit vorhandenen Domänencontrollern eingesetzt werden. Geräteverwaltungsserver agieren als Ersatznetzwerkclients für Windows Mobile-Geräte, sodass die Geräte mit anderen Systemen kommunizieren können.

Der Registrierungsserver erstellt Active Directory-Domänendienstobjekte, die mobile Geräte im Domänencontroller darstellen. Dadurch wird ermöglicht, dass die Geräte wie andere Domänenmitglieder verwaltet werden. Dieser Server behandelt auch Zertifikatsanforderungen sowie das Abrufen mobiler Geräte. Bevor Registrierungszertifikate akzeptiert oder veröffentlicht werden, wird Active Directory als Basis für das Authentifizieren von Geräten verwendet. Die SQL Server-Datenbanken bieten ein Repository für alle Informationen in den Bereichen Gerätekonfiguration, Aufgaben, Statuseinstellungen und so weiter.

Wenn die Infrastruktur in Betrieb ist, interagiert Mobile Device Manager auf drei Arten mit mobilen Geräten: durch das Registrieren von Geräten, das Einrichten der Verbindungen des mobilen VPN und das Verwalten der Geräte. Die Geräteregistrierung ist der Prozess, durch den ein Gerät mit der Active Directory-Domäne verbunden wird. Mobile Device Manager verwendet einen „geheimen Schlüssel“, d. h. ein temporäres einmaliges Kennwort, um die Registrierung von Geräten über unsichere Verbindungen zu ermöglichen. Nach der Registrierung kann ein Gerät eine Mobile VPN-Verbindung mit dem Gatewayserver herstellen, über die der Netzwerkverkehr des Geräts weitergeleitet wird. Durch Verwenden der Mobile VPN-Verbindung kann der Administrator oder das System die Geräteverwaltung durchführen, um Software und Einstellungen mittels Push auf das Gerät zu übertragen.

Erweitern von Active Directory auf Windows Mobile

Kombinierte oder Ad-hoc-IT-Sicherheitsansätze können riskanter sein als ein vollständig integrierter Sicherheitsansatz. Durch Mobile Device Manager lassen sich derartige Risiken mindern, da eine Möglichkeit geboten wird, mobile Geräte wie Windows-Computer unter Verwendung der vorhandenen Active Directory-Domänendienste-Infrastruktur zu verwalten. Das Ergebnis ist eine optimierte Identitäts- und Zugriffsverwaltung, eine konsistentere Richtlinienzuweisung sowie eine umfassende Sicherheitskonfiguration.

Genau wie bei PCs oder Servern können Gruppenrichtlinienobjekte, die sich auf Windows Mobile-Geräte beziehen, Organisationseinheiten, Sicherheitsgruppen und WMI-Filtern (Windows Management Instrumentation) zugewiesen werden. Administratoren können zudem verhindern, dass bestimmte Geräte Gruppenrichtlinieneinstellungen empfangen.

Es gibt mehr als 130 Einstellungen und Richtlinien für Windows Mobile-Geräte, die eine genauere Steuerung der verschiedenen Funktionen ermöglichen. Hier ist nur ein Beispiel:

  • Die Kennworteinstellungen umfassen die Kennwortanforderung, den Typ und die Mindestlänge, das Ablaufdatum von Kennwörtern sowie die lokale Gerätebereinigung nach einer festgelegten Anzahl fehlgeschlagener Versuche (einschließlich der Benutzerbenachrichtigung über die Anzahl der verbleibenden Versuche).
  • Die Einstellungen zum Sperren der Plattform ermöglichen Administratoren, die Gerätefunktionalität, einschließlich Kamera, drahtloses LAN, Infrarot, Bluetooth und Wechselmedien, selektiv zu aktivieren bzw. zu deaktivieren. Das Messaging mit Post Office Protocol (POP), Internet Message Access Protocol (IMAP), Short Message Service (SMS) und Multimedia Messaging Service (MMS) kann ausgeschaltet und Windows Update für Windows Mobile kann deaktiviert werden.
  • Mobile Device Manager bietet eine präzise Anwendungssteuerung. Das Tool kann verhindern, dass Geräte nicht signierte Anwendungen oder Anwendungen mit nicht genehmigten Signaturen ausführen, oder bestimmte nicht signierte Anwendungen auf Anweisung des Administrators zulassen.
  • Zum Schutz der Daten kann der Administrator die Verschlüsselung von Dateien erzwingen, die auf austauschbaren Speicherkarten erstellt wurden (wobei der Verschlüsselungsschlüssel an das Gerät gebunden ist). Weiterhin ist eine Geräteverschlüsselung für den Schutz vertraulicher Daten auf dem Gerät verfügbar. Außer den standardmäßig geschützten Dateien kann der Administrator für die Verschlüsselung zusätzliche Dateien angeben.
  • Mobile VPN-Einstellungen bestimmen, welche Steuerungsmöglichkeiten Benutzer über die VPN-Verbindungen ihres Geräts haben und können außerdem zum Festlegen von Datenverschlüsselungsstufen verwendet werden.
  • Durch ActiveSync®-Einstellungen werden das Nachrichtenformat, die Filter für das Alter von E-Mails, die Größenlimits, die Synchronisierungseinstellungen und mehr festgelegt.
  • Anhand von S/MIME-Einstellungen können Anforderungen für die Nachrichtensignatur, die Nachrichtenverschlüsselung oder die Verwendung bestimmter Algorithmen aufgestellt werden.

Diese und andere Einstellungen unterstützen eine Vielzahl von Szenarios. IT-Experten können mithilfe der Einstellungen entscheiden, welche Art von Anwendungen auf welchen Geräten ausgeführt werden können. Hardwarefeatures können OTA-aktiviert oder -deaktiviert sein. Zum Beispiel lassen sich Kameras deaktivieren, damit eine zufällige oder absichtliche Gefährdung vertraulicher Informationen verhindert werden kann. Die Datenverschlüsselung kann auf Geräten, austauschbaren Speicherkarten oder beidem erzwungen werden, um die Wahrscheinlichkeit zu verringern, dass durch verlorene oder gestohlene Geräte bzw. Karten geheime Daten in die Hände nicht autorisierter Personen gelangen.

Mobile Device Manager enthält auch andere Sicherheitsverwaltungstools. Da für Windows Mobile-Geräte Tausende von Anwendungen verfügbar sind, müssen Administratoren über Steuerungsmöglichkeiten verfügen und bestimmen können, welche Anwendungen installiert und welche nicht installiert werden dürfen. Mit Mobile Device Manager können Sie allein für diesen Zweck Zulassungs- und Sperrlisten für Anwendungen erstellen und erzwingen. Weiterhin werden leistungsfähige Remotebereinigungsfunktionen geboten. Aufgrund der immer aktiven VPN-Verbindung zu Geräten ist es möglich, Geräte sofort zu bereinigen, ohne auf eine Geräteverbindung zum Netzwerk und nachfolgende Synchronisierung warten zu müssen. Wenn ein Gerät von einem Remotestandort aus bereinigt wird, wird es aus dem Domänencontroller entfernt und sein Zertifikat gesperrt. Wenn ein Gerät später wiederhergestellt ist, kann es so eingestellt werden, dass es nach der Registrierung mit einem neuen einmaligen Kennwort wieder mit der Domäne verbunden wird.

Steuerungsmöglichkeiten für mobile Geräte

Mobile Device Manager wurde entworfen, um das Verwalten von Windows Mobile-Geräten im Netzwerk so einfach wie möglich zu gestalten, indem eine komplette Geräteverwaltungsfunktionalität in einer einzigen Lösung bereitgestellt wird, einschließlich OTA-Bereitstellung, OTA-Software- und Updateverteilung sowie einer umfassenden und zentralen Bestandsverwaltung.

Die OTA-Selbstregistrierung ist ein Feature, das bei ausgelasteten IT-Experten und Endbenutzern sehr gut ankommen dürfte. Ein Benutzer gibt eine E-Mail-Adresse auf einem Windows Mobile 6.1-Gerät ein, das versucht, den Mobile Device Management Server mithilfe der angegebenen E-Mail-Adresse zu finden. Wenn der Server nicht gefunden wird, wird der Benutzer aufgefordert, die Adresse des Verwaltungsservers manuell einzugeben. Wenn der Server gefunden wurde und feststeht, dass der Benutzer zur Registrierung zugelassen ist, wird der Benutzer aufgefordert, eine einmalige Kennung einzugeben, die vom Administrator vorab generiert wird.

Die E-Mail-Adresse und die Kennung werden zur Identifizierung des Benutzers und zur Registrierung seines Geräts im Verwaltungsserver verwendet. Wenn dies erfolgt ist, werden die administratordefinierten Einstellungen und Richtlinien mittels Push auf das Gerät übertragen. Der Selbstregistrierungsansatz wurde entworfen, um die Skalierbarkeit von Windows Mobile-Gerätebereitstellungen zu erhöhen und den zeitlichen und finanziellen Aufwand zu verringern, der zum Einrichten und zur Inbetriebnahme von Geräten erforderlich ist.

Die OTA-Softwareverteilungsfunktionalität von Mobile Device Manager basiert auf Windows Software Update Services (WSUS) 3.0, dem Softwareupdatetoolkit, das bereits weltweit von vielen IT-Experten verwendet wird. Wie in Abbildung 2 dargestellt, bietet WSUS 3.0 die Funktionalität für eine zielgerichtete Installation und Anwendungsverpackung, die für komplexe IT-Anforderungen notwendig sind. Software kann auf der Grundlage administratordefinierter Regeln und Richtlinien automatisch für Geräte bereitgestellt werden. Wie bei Server- und Clientupdates können mobile Geräte und Patches mithilfe von WSUS 3.0 automatisiert werden. Genauso entscheidend ist, dass automatische Updates zur Bereitstellungsplanung und -prüfung ausgeschaltet werden können.

Abbildung 2 Softwareverteilungsassistent

Abbildung 2** Softwareverteilungsassistent **(Klicken Sie zum Vergrößern auf das Bild)

Eine der größten Herausforderungen beim Verwalten mobiler Geräte, die skaliert bereitgestellt werden, ist es, über alles den Überblick zu behalten. Mobile Device Manager zentralisiert die Inventarinformationen und bietet flexible, anpassbare Berichte, die auf SQL Server 2005 basieren, wobei wiederum Software verwendet wird, mit der viele Benutzer bereits arbeiten und vertraut sind. Administratoren können mehr als hundert einzelne Inventarinformationen erfassen, einschließlich (aber nicht begrenzt auf) Betriebssystem und Version, Gerätemodell, installierte Anwendungen und Sicherheitsrichtlinien. Das Inventar ist erweiterbar, sodass der Administrator Elemente und Registrierungseinstellungen hinzufügen kann.

Für eine erweiterte Flexibilität können Sie Mobile Device Manager über die Microsoft Management Console-Snap-Ins steuern, falls Sie eine grafische Benutzeroberfläche bevorzugen (siehe Abbildung 3), oder über die Windows PowerShell-Konsole, falls Sie ein Befehlszeilentool bevorzugen. In beiden Fällen ist das System erweiterbar und anpassbar – unerlässlich für Unternehmensmitarbeiter, die sich eine auf ihre Organisation zugeschnittene Software wünschen.

Abbildung 3 Mobile Device Manager-Konsole

Abbildung 3** Mobile Device Manager-Konsole **(Klicken Sie zum Vergrößern auf das Bild)

Mobiles VPN

Büroanwender verwenden bereits seit Jahren E-Mails und Messaging auf ihren mobilen Geräten. Heute ist die Möglichkeit, auf Geschäftsdaten und Anwendungen hinter der Firewall zuzugreifen, eine der nützlichsten Entwicklungen in der mobilen Gerätetechnologie. Durch die erweiterten Zugriffsmöglichkeiten entstehen neue Sicherheitsrisiken. Deshalb muss die zusätzliche Funktionalität sorgfältig verwaltet werden, um Sicherheitsrisiken zu verhindern. Mobile Device Manager bietet neueste Mobile VPN-Funktionen, die Benutzern den Zugriff auf Intranetdaten ermöglichen, angefangen bei Microsoft DynamicsTM Customer Relationship Management (CRM) und SAP bis hin zu Siebel. Das Modell kann an vorhandene Remotezugriffsstrategien für Desktop- und Laptopcomputer angepasst werden (siehe Abbildung 4).

Abbildung 4 Mobile VPN-Einstellungen

Abbildung 4** Mobile VPN-Einstellungen **(Klicken Sie zum Vergrößern auf das Bild)

Mobile VPN verbindet das Gerät mit dem Gatewayserver, indem ein zweifaches Sicherheitsfeature verwendet wird, bei dem die Daten in einem SSL-verschlüsselten Formular durch einen Tunnel mit IPsec-Verschlüsselung übertragen werden. Wenn das Gerät authentifiziert ist, hat der Benutzer Zugriff auf die Ressourcen, wie in der ressourcenspezifischen Richtlinie in Kombination mit den Anmeldeinformationen des Benutzers angegeben.

Die von Mobile Device Manager verwendete Mobile VPN-Technologie ermöglicht das Einrichten einer immer aktiven Verbindung, die Benutzern nicht nur einen verbesserten Zugriff gewährt, sondern auch sicherstellt, dass IT-Experten die Geräte stets mit den aktuellen Richtlinien und Einstellungen aktualisieren und ein Gerät sofort bereinigen können, wenn es verloren geht oder gestohlen wird. Selbst wenn eine Sitzung unterbrochen wird, stellt die schnelle Wiederherstellung der Verbindung sicher, dass die Gerätesitzung ohne eine erneute Authentifizierung fortgesetzt werden kann. Mobile Device Manager ermöglicht einen reibungslosen Übergang zwischen Wi-Fi und Mobilnetzwerken, bei dem die Konnektivität aufrechterhalten wird.

Die in Mobile Device Manager Mobile VPN verwendete Sicherheitstechnologie basiert auf Branchenstandards, einschließlich Open Mobile Alliance for Device Management (OMA DM), Internet Key Exchange (IKE) Version 2 und OMA Software Component Management Object (SCOMO). Dadurch wird die Erweiterbarkeit und Anpassbarkeit des Systems für bestimmte Situationen, die IT-Experten in komplexen Umgebungen bewältigen müssen, erhöht.

Eine vollständige Lösung

Mobile Device Manager bietet einen vollständigen Satz an Tools zum Verwalten von Windows Mobile-Geräten, auf die über eine einzige Schnittstelle zugegriffen wird. Active Directory und die Gruppenrichtlinie werden zur Bereitstellung von Sicherheitstools eingesetzt, die zum Schutz von Daten, Geräten und des Netzwerks beitragen. Die Geräteverwaltung wird durch die Registrierung, Bereitstellung und Aktualisierung über OTA sowie durch leistungsfähige Inventurprogramme erleichtert. Mobile VPN wurde entworfen, um die von Unternehmen und Benutzern gewünschte Funktionalität zu bieten, ohne die Sicherheit zu beeinträchtigen.

All dies verkörpert die Idee, die Arbeit von IT-Experten zu erleichtern, indem mobile Geräte im Netzwerk optimal verwaltet werden können. Mobile Device Manager versetzt IT-Experten in die Lage, hochwertige Endbenutzerfunktionen bereitzustellen, den Verwaltungsaufwand zu verringern und die Verwaltungsrendite zu erhöhen – eine wirklich attraktive Kombination!

Besonderer Dank gilt Brian Hoskins, Derek Snyder, Prithvi Raj, Lax Madapaty und Katharine Holdsworth für ihre Beiträge zu diesem Artikel.

Matt Fontaine ist als freiberuflicher Autor im Bereich Technologie und als Berater für die BuzzBee Company tätig. Er betreut eine Reihe unterschiedlichster Branchen in den Bereichen Hochleistungscomputing, Unternehmenssoftware, Versicherungswesen, Immobilien, Ingenieurwesen, Baugewerbe und Verbrauchsgüter. Matt Fontaine ist stolz darauf, ehemaliger Schüler des Evergreen State College in Washington zu sein.

© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.