Wprowadzenie do narzędzia System Center Mobile Device Manager ![Udostępnij na: Facebook](images/gg670867.udostepnij_fb(pl-pl,MSDN.10).png \\"Udostępnij na: Facebook\\")

Autor: Matt Fontaine

Opublikowano: 15 września 2008

Zawartość strony
Potrzeba zarządzania  Potrzeba zarządzania
System Mobile Device Manager  System Mobile Device Manager
Rozszerzanie usług Active Directory o Windows Mobile  Rozszerzanie usług Active Directory o Windows Mobile
Stała kontrola urządzeń mobilnych  Stała kontrola urządzeń mobilnych
Mobile VPN  Mobile VPN
Pełne rozwiązanie  Pełne rozwiązanie

Opublikowanie oprogramowania Microsoft System Center Mobile Device Manager 2008 to ekscytujące wydarzenie dla specjalistów IT zarządzających urządzeniami Windows Mobile w sieciach korporacyjnych. Ta nowa propozycja pozwala na zarządzanie urządzeniami i bezpieczeństwem oraz na korzystanie z możliwości sieci Mobile Virtual Private Network (VPN) za pośrednictwem jednego produktu. Ponadto może ona pomóc w obniżeniu ciężaru administracji oraz zwiększeniu zwrotu z inwestycji obejmujących flotę urządzeń mobilnych.

Mobile Device Manager umożliwia specjalistom IT posługiwanie się istniejącą infrastrukturą Active Directory® oraz Zasad grupy (Group Policy) w celu wymuszania określonych ustawień sprzętu. Dzięki technologii zarządzania urządzeniami Over-the-air (OTA), specjaliści IT mogą w łatwy sposób dystrybuować aktualizacje i aplikacje na urządzenia. Jednocześnie funkcja rejestracji sprawia, że rozmieszczanie jest łatwiejsze i bardziej skalowalne. Mobilna sieć VPN daje użytkownikom końcowym dostęp do danych i aplikacji znajdujących się za zaporą sieciową, dostarczając jednocześnie połączenie always-on dla administratorów, które służy do kontrolowania wdrożonych urządzeń. Wszystkie te możliwości zintegrowane w ramach jednego, rozszerzalnego, dostosowanego i skalowalnego produktu sprawiają, że Mobile Device Manager stanowi nieodzowne narzędzie dla dzisiejszych specjalistów IT.

Potrzeba zarządzania

Przewiduje się, że liczba mobilnych pracowników będzie nadal gwałtownie rosła w ciągu kolejnych lat. Zarządzanie urządzeniami mobilnymi zawsze było trudniejsze niż zarządzanie innym sprzętem sieciowym, choćby ze względu na sam fakt ich mobilności. Urządzenia łączą się z siecią na różne sposoby, różnią się pod względem bezpieczeństwa, mogą znajdować się poza zaporą sieciową, używają różnych systemów operacyjnych, a ponadto są małe i łatwo je zgubić bądź zawieruszyć.

Rozszerzona funkcjonalność dzisiejszych urządzeń mobilnych oferuje atrakcyjne korzyści zarówno dla przedsiębiorstw, jak i użytkowników końcowych, jednocześnie czyniąc problem wspierania tych urządzeń bardziej złożonym. To może powodować narażenie danych korporacyjnych i sieci na dodatkowe zagrożenie bezpieczeństwa, w szczególności gdy urządzenia są wykorzystywane do uzyskiwania dostępu do poufnych aplikacji Line-of-Business (LOB) oraz danych klientów. Tego typu urządzenia mogą powodować występowanie stanów alarmowych na wypadek zgubienia, kradzieży lub nieodpowiedniego wykorzystania.

W miarę jak różnice funkcjonalności między urządzeniami mobilnymi oraz tradycyjnymi klientami sieci maleją, zwiększa się potrzeba zarządzania urządzeniami mobilnymi w taki sposób, jak gdyby były one laptopami lub komputerami. Ta właśnie idea przyświeca rozwiązaniu Mobile Device Manager. Wraz ze wzrostem popularności platformy Windows Mobile® wśród użytkowników biznesowych, Mobile Device Manager staje się kluczowym elementem systemów zarządzania sprzętem pracującym pod kontrolą systemów Windows®.

Mobile Device Manager został zaprojektowany tak, aby zapewniać kompleksowe zarządzanie i kontrolę na urządzeniami Windows Mobile w sposób tak prosty, jak gdyby urządzenia te stanowiły zwykłe komputery bądź laptopy sieciowe. Narzędzie to pełni trzy kluczowe funkcje:

Zarządzanie urządzeniami Scentralizowana funkcjonalność inicjowania obsługi, monitorowania i zarządzania urządzeniami Windows Mobile, skalowalna do dziesiątek tysięcy użytkowników per serwer.

Zarządzanie bezpieczeństwem Lepsze mechanizmy zabezpieczania poufnych danych i śledzenia urządzeń.

Mobilna sieć VPN Lepszy dostęp do danych i aplikacji znajdujących się za zaporą sieciową przy użyciu funkcjonalności always-on.

Mobile Device Manager jest zgodny z ogólną filozofią rodziny System Center zaopatrywania specjalistów IT w narzędzia, które pozwolą im zarządzać zasobami korporacji jako obywatelami pierwszej kategorii, na równi z maszynami stacjonarnymi i laptopami. Dostarcza również interfejs użytkownika znany osobom, które miały już okazję pracować z innymi produktami System Center.

Ponadto Mobile Device Manager z założenia dobrze integruje się z istniejącą infrastrukturą systemu Windows. Między innymi wykorzystuje usługę Active Directory oraz Zasady grupy, współpracuje z istniejącymi narzędziami firmy Microsoft do analizy i raportowania (takimi jak SQL Server®) oraz jest rozszerzalny przy użyciu przystawek programu Microsoft® Management Console oraz poleceń cmdlet powłoki Windows PowerShellTM.

 Do początku strony Do początku strony

System Mobile Device Manager

Mobile Device Manager charakteryzuje się wysoką skalowalnością i może wspierać dziesiątki tysięcy urządzeń na pojedynczej instancji, a także wiele opcji konfiguracyjnych. Zasadniczo po serwerowej stronie systemu Mobile Device Manager znajdują się cztery główne komponenty systemu: serwer bram, serwer zarządzania urządzeniami, serwer rejestrowania oraz bazy danych SQL Server (patrzRysunek 1).

Typowy system Mobile Device Manager

Rysunek 1: Typowy system Mobile Device Manager.

Serwer bram jest zazwyczaj instalowany w sieci granicznej. Pełni on rolę terminala dla połączeń sieciowych urządzeń, uwierzytelnia przychodzące połączenia, dostarcza stałe adresy IP dla urządzeń i realizuje inne funkcje związane z łącznością urządzeń oraz siecią.

Serwer zarządzania urządzeniami stanowi centrum administracji i zarządzania urządzeniami, w tym implementacją zasad grupy, dystrybucją oprogramowania OTA i oczyszczaniem urządzeń. Współpracuje z istniejącymi kontrolerami domeny. Serwery zarządzania urządzeniami działają jak zastępczy klienci sieci dla urządzeń Windows Mobile, umożliwiając im komunikowanie się z innymi systemami.

Serwer rejestracji tworzy obiekty usługi domenowej Active Directory, które reprezentują urządzenia mobilne w kontrolerze domeny, dzięki czemu urządzenia te podlegają temu samemu mechanizmowi zarządzania, co inni członkowie domeny. Serwer rejestracji obsługuje także żądania i pobieranie certyfikatów dla urządzeń mobilnych. Wykorzystuje również usługę Active Directory jako podstawę do uwierzytelniania urządzeń przed zaakceptowaniem lub wystawieniem certyfikatu rejestracji. Bazy danych SQL Server dostarczają repozytorium dla wszystkich informacji związanych z konfiguracją urządzeń, zadaniami, ustawieniami stanu itp.

Gdy infrastruktura jest już wdrożona, Mobile Device Manager obejmuje trzy typy interakcji z urządzeniami mobilnymi: rejestracja urządzeń, ustanawianie połączeń Mobile VPN i zarządzanie urządzeniami. Rejestracja urządzeń to proces, który powoduje dołączenie urządzenia do domeny Active Directory. Mobile Device Manager wykorzystuje "wspólny sekret", wygasające, jednorazowe hasło do umożliwiania rejestracji urządzeń przy użyciu niezabezpieczonych połączeń. Po zarejestrowaniu urządzenie może nawiązać połączenie Mobile VPN z serwerem bram, przez który przechodzi ruch sieciowy generowany przez to urządzenie. Przy pomocy połączenia Mobile VPN administrator lub system może zarządzać urządzeniem, "wypychając" w jego stronę oprogramowanie i ustawienia.

 Do początku strony Do początku strony

Rozszerzanie usług Active Directory o Windows Mobile

Hybrydowe lub doraźne podejście do zabezpieczeń IT może być bardziej ryzykowne niż w pełni zintegrowane rozwiązanie. Mobile Device Manager został zaprojektowany tak, aby pomóc w zredukowaniu tego ryzyka i oferuje metody zarządzania urządzeniami mobilnymi jak komputerami PC z system Windows, z wykorzystaniem istniejącej infrastruktury usług domenowych Active Directory. Efektem jest uproszczone zarządzanie tożsamościami i dostępem, bardziej spójne adresowanie zasad i konfiguracja zabezpieczeń w jednym miejscu.

Zupełnie jak w przypadku komputerów PC bądź serwerów, obiekty zasad grupy (GPO) związane z urządzeniami Windows Mobile mogą być przypisywane do jednostek organizacyjnych (OU), grup zabezpieczeń oraz filtrów Windows Management Instrumentation (WMI). Administratorzy mogą również uniemożliwiać określonym urządzeniom otrzymywanie ustawień zasad grupy.

Istnieje ponad 130 ustawień i zasad dla urządzeń Windows Mobile, które pozwalają na szczegółową kontrolę nad różnymi funkcjami. Oto jedynie przykładowa próbka:

  •   Ustawienia Password obejmują wymagania dotyczące hasła: typ i minimalna długość, wygasanie i lokalne oczyszczanie urządzenia po określonej liczbie nieudanych prób (włączając powiadamianie użytkownika o liczbie pozostałych prób).

  •   Ustawienia Platform Lockdown umożliwiają administratorom wybiórcze włączanie lub wyłączanie funkcji urządzeń, takich jak kamera, bezprzewodowa sieć LAN, podczerwień, Bluetooth oraz magazyn wymienny. Można również wyłączyć komunikację Post Office Protocol (POP), Internet Message Access Protocol (IMAP), Short Message Service (SMS) i Multimedia Messaging Service (MMS) oraz usługę Windows Update dla systemu Windows Mobile.

  •   Mobile Device Manager zapewnia szczegółową kontrolę nad aplikacjami. Może uniemożliwić urządzeniom uruchamianie niepodpisanych aplikacji lub aplikacji z niezatwierdzonymi podpisami lub zezwolić na uruchamianie wybranych niepodpisanych aplikacji według uznania administratora.

  •   W celu lepszej ochrony danych administrator może wymusić szyfrowanie plików tworzonych na wymiennych kartach pamięci (z kluczem szyfrowania powiązanym z urządzeniem). Dostępna jest również funkcja szyfrowania urządzenia służąca do ochrony poufnych danych znajdujących się na urządzeniu. Poza domyślnie chronionymi plikami administrator może wyznaczyć dodatkowe pliki do zaszyfrowania.

  •   Ustawienia Mobile VPN definiują kontrolę użytkowników nad połączeniami VPN ich urządzeń. A także mogą być wykorzystywane do ustawiania poziomów szyfrowania danych.

  •   Ustawienia ActiveSync® konfigurują format wiadomości, filtry przedawniania wiadomości e-mail, limity rozmiaru, ustawienia synchronizacji i inne.

  •   Ustawienia S/MIME mogą wymagać podpisywania wiadomości, szyfrowania wiadomości lub stosowania wybranych algorytmów.

Te i inne ustawienia wspierają szeroki zakres scenariuszy. Umożliwiają specjalistom IT decydowanie, jakiego typu aplikacje mogą być uruchamiane na jakich urządzeniach. Funkcje sprzętu mogą być włączane lub wyłączane przez OTA, można na przykład wyłączyć kamerę, aby pomóc w zapobieganiu przypadkowemu lub celowemu ujawnieniu poufnych danych. Szyfrowanie danych może zostać włączone na urządzeniach, wymiennych kartach pamięci lub na obu, aby zredukować prawdopodobieństwo, że skradzione lub zgubione urządzenia bądź karty spowodują przejście zastrzeżonych danych w niepowołane ręce.

W skład rozwiązania Mobile Device Manager wchodzą również inne narzędzia zarządzania bezpieczeństwem. Przy tysiącach aplikacji dostępnych dla urządzeń Windows Mobile to oczywiste, że administratorzy muszą mieć kontrolę nad tym, które z nich mogą, a które nie mogą zostać zainstalowane. Właśnie w tym celu Mobile Device Manager pozwala na tworzenie i wymuszanie List dozwolonych i zablokowanych aplikacji. Dostarcza on również szerokie możliwości zdalnego oczyszczania. Ze względu na połączenie VPN always-on urządzenia mogą zostać oczyszczone natychmiast, bez oczekiwania aż połączą się one z siecią i dokonają synchronizacji. Gdy urządzenie zostaje zdalnie oczyszczone, jest ono usuwane z kontrolera domeny, a jego certyfikat zostaje cofnięty. Jeśli urządzenie zostaje następnie odzyskane, można skonfigurować je tak, aby ponownie połączyło się z domeną po powtórnej rejestracji i przy użyciu nowego hasła jednorazowego.

 Do początku strony Do początku strony

Stała kontrola urządzeń mobilnych

Mobile Device Manager został zaprojektowany tak, aby maksymalnie uprościć proces zarządzania urządzeniami Windows Mobile w sieci i oferuje pełną funkcjonalność zarządzania urządzeniami przy pomocy jednego rozwiązania, między innymi inicjowanie obsługi administracyjnej OTA, dystrybucję oprogramowania i aktualizacji w technologii OTA oraz kompleksowe i scentralizowanie zarządzanie inwentarzem.

Samoobsługowa rejestracja OTA to funkcja, która ma szanse zdobyć serca zapracowanych specjalistów IT i użytkowników końcowych. Użytkownik wpisuje adres e-mail na urządzeniu Windows Mobile 6.1, które usiłuje zlokalizować Mobile Device Management Server w oparciu o podany adres e-mail. Jeśli serwer nie zostanie odnaleziony, użytkownik zostanie poproszony o wpisanie adresu serwera Management Server własnoręcznie. Po odnalezieniu serwera i ustaleniu, że użytkownik może się zarejestrować, użytkownik jest proszony o wpisanie jednorazowego hasła, które zostało wstępnie wygenerowane przez administratora.

Adres e-mail i hasło są wykorzystywane do uwierzytelnienia użytkownika i zarejestrowania jego urządzenia na serwerze Management Server. Po wykonaniu tej czynności ustawienia i zasady zdefiniowane przez administratora są wypychane do urządzenia. Metoda samoobsługowej rejestracji została zaprojektowana w celu zwiększenia skalowalności rozmieszczeń urządzeń Windows Mobile oraz zredukowania czasu i środków finansowych koniecznych do przygotowania tych urządzeń do działania.

Możliwości dystrybucji oprogramowania OTA w środowisku Mobile Device Manager bazują na technologii Windows Software Update Services (WSUS) 3.0 – zestawie narzędzi do aktualizacji oprogramowania, z którego korzysta już wielu specjalistów IT na całym świecie. Jak pokazano na Rysunku 2, program WSUS 3.0 dostarcza funkcje adresowania i pakowania aplikacji niezbędne do zaspokajania złożonych potrzeb środowisk IT. Oprogramowanie może być dostarczane w sposób automatyczny do odpowiednich urządzeń w oparciu o zestaw reguł i zasad ustalony przez administratora. Podobnie jak w przypadku aktualizacji serwera i maszyny klienckiej, mechanizm stosowania aktualizacji i poprawek na urządzeniach mobilnych może być automatyzowany przy użyciu WSUS 3.0. Równie ważna jest możliwość wyłączania automatycznych aktualizacji na czas planowania i testowania rozmieszczenia.

Kreator rozmieszczania oprogramowania

Rysunek 2: Kreator rozmieszczania oprogramowania.

Jednym z największych wyzwań związanych z zarządzaniem sprzętem mobilnym rozmieszczanym na szeroką skalę jest po prostu śledzenie wszystkich aspektów naraz. Mobile Device Manager centralizuje informacje o zasobach i oferuje elastyczne, dostosowywalne raporty w oparciu o SQL Server 2005. Kolejny raz wykorzystując oprogramowanie, które wielu użytkowników już zna i posiada. Administratorzy mogą zbierać informacje w ramach ponad stu aspektów objętych inwentaryzacją, takich jak między innymi system operacyjny i wersja, model urządzenia, zainstalowane aplikacje i zasady zabezpieczeń. Inwentarz jest rozszerzalny, umożliwiając administratorowi dodawanie aspektów i ustawień rejestru.

Co więcej, miłośnicy graficznego interfejsu użytkownika mogą kontrolować rozwiązanie Mobile Device Manager przy użyciu przystawki programu Microsoft Management Console (patrz Rysunek 3), a zwolennicy wiersza polecenia przy użyciu konsoli Windows PowerShell. Każdy z tych sposobów zapewnia rozszerzalność i adaptacyjność niezbędną dla użytkowników korporacyjnych, którzy chcą dopasować oprogramowanie do potrzeb własnej organizacji.

Mobile Device Manager Console

Rysunek 3: Mobile Device Manager Console.

 Do początku strony Do początku strony

Mobile VPN

Pracownicy informacji od lat przesyłają sobie e-maile i komunikaty za pośrednictwem urządzeń mobilnych. Dziś jednym z najbardziej przydatnych postępów w technologii urządzeń mobilnych stanowi możliwość uzyskania dostępu do danych biznesowych i aplikacji, które znajdują się za zaporą sieciową. Wraz ze zwiększeniem dostępu, pojawiają się nowe zagrożenia, a zatem trzeba rozważnie zarządzać dodaną funkcjonalnością, by zapobiec lukom w zabezpieczeniach. Mobile Device Manager oferuje najnowsze możliwości sieci Mobile VPN, umożliwiając użytkownikom uzyskiwanie dostępu do danych intranetowych, począwszy od środowiska Microsoft DynamicsTM Customer Relationship Management (CRM) po SAP oraz Siebel. Zbudowany został model dopasowany do istniejących strategii dostępu zdalnego dla komputerów stacjonarnych i laptopów (patrz Rysunek 4).

Ustawienia sieci Mobile VPN

Rysunek 4: Ustawienia sieci Mobile VPN.

Technologia Mobile VPN łączy urządzenie z serwerem bram przy użyciu funkcji "double-envelope security", w której dane są przesyłane w postaci zaszyfrowanej przy użyciu protokołu SSL poprzez zaszyfrowany kanał IPsec. Gdy urządzenie zostaje uwierzytelnione, użytkownik uzyskuje dostęp do zasobów, przy czym o dostępnie tym decyduje zasada danego zasobu w połączeniu z poświadczeniami użytkownika.

Technologia Mobile VPN wykorzystywana przez system Mobile Device Manager pozwala na ustanowienie połączeń always-on, które nie tylko zapewniają użytkownikom lepszy dostęp, ale także dają specjalistom IT możliwość aktualizowania urządzenia przy pomocy najnowszych zasad i ustawień oraz natychmiastowego oczyszczania urządzenia, gdy zostanie ono skradzione lub zgubione. Nawet jeśli sesja zostanie przerwana, szybkie ponowne połączenie pomaga w zapewnieniu kontynuacji sesji, bez potrzeby ponownego uwierzytelniania. Mobile Device Manager pozwala na gładkie przechodzenie pomiędzy siecią Wi-Fi a siecią komórkową z zachowaniem łączności.

Technologia zabezpieczeń wykorzystana w Mobile Device Manager Mobile VPN bazuje na standardach przemysłowych, takich jak Open Mobile Alliance for Device Management (OMA DM), Internet Key Exchange (IKE) wersja 2 oraz OMA Software Component Management Object (SCOMO). To czyni system bardziej rozszerzalnym i dostosowywalnym w określonych sytuacjach, w obliczu których stają specjaliści IT pracujący w złożonych środowiskach.

 Do początku strony Do początku strony

Pełne rozwiązanie

Mobile Device Manager oferuje kompletny zestaw narzędzi do zarządzania urządzeniami Windows Mobile dostępnymi za pośrednictwem jednego interfejsu. Wykorzystuje technologie Active Directory oraz Zasady grupy do dostarczania narzędzi zabezpieczeń, które pomagają w ochronie danych, urządzeń i sieci. Mechanizm zarządzania urządzeniami został ułatwiony poprzez rejestrację, inicjowanie obsługi administracyjnej oraz aktualizowanie przy użyciu funkcji OTA, a także dzięki narzędziom do inwentaryzacji o szerokich możliwościach. Mobile VPN został zaprojektowany w celu dostarczania funkcjonalności, której oczekują korporacje i użytkownicy, bez narażania bezpieczeństwa.

Wszystkie te aspekty są zgodne z ideą ułatwiania pracy specjalistów IT poprzez umożliwienie zarządzania urządzeniami mobilnymi w sieci jak obywatelami pierwszej kategorii. Dzięki Mobile Device Manager specjaliści IT mogą zapewnić wysoką jakość interakcji dla użytkowników końcowych, ułatwienie pracy dla administratorów i wyższy zwrot z inwestycji dla zarządu — oto kombinacja na wagę złota.

Podziękowania dla Briana Hoskins, Dereka Snyder, Prithvi Raj, Laxa Madapaty oraz Katharine Holdsworth za wkład w powstanie tego artykułu.

O autorze

Matt Fontaine jest niezależnym autorem technicznym i konsultantem pracującym dla firmy BuzzBee Company. Zajmował się wieloma dyscyplinami, takimi jak m.in. przetwarzanie o wysokiej wydajności, oprogramowanie korporacyjne, rachmistrzostwo, nieruchomości komercyjne, inżynieria, budownictwo i towary konsumenckie. Matt jest dumnym absolwentem The Evergreen State College.

 Do początku strony Do początku strony