• Artículo

System Center

Presentación de System Center Mobile Device Manager

Matt Fontaine

 

Resumen:

  • Un sistema típico de Mobile Device Manager
  • Ampliación de Active Directory a Windows Mobile
  • Inscripción, aprovisionamiento e inventario de dispositivos Windows Mobile

El lanzamiento de Microsoft System Center Mobile Device 2008 es un acontecimiento emocionante para los profesionales de TI que administran dispositivos Windows Mobile en redes corporativas. Al proporcionar capacidades de administración de dispositivos, administración de seguridad y VPN móvil

en un solo producto, esta nueva oferta puede ayudar a reducir las cargas administrativas e incrementar el rendimiento de la inversión (ROI, Return on Investment) de los dispositivos móviles.

Mobile Device Manager permite a los profesionales de TI usar la infraestructura existente de Active Directory® y las directivas de grupo para aplicar la configuración de dispositivo. Las capacidades de administración de dispositivos sin cables (OTA) permiten a los profesionales de TI proporcionar actualizaciones y aplicaciones a los dispositivos fácilmente, al tiempo que el aprovisionamiento automático de OTA facilita la implementación y la hace más escalable. La VPN móvil otorga a los usuarios finales acceso a datos y aplicaciones protegidos por un firewall al tiempo que proporciona una conexión ininterrumpida para que los administradores controlen los dispositivos implementados. La combinación de estas capacidades en un producto ampliable, personalizable y escalable convierte a Mobile Device Manager en una herramienta esencial para los profesionales de TI actuales.

La necesidad de administración

Se espera que el personal móvil siga creciendo rápidamente en los próximos años. Desde el punto de vista histórico, los dispositivos móviles han sido más difíciles de administrar que ningún otro equipo en red debido, precisamente, a su movilidad. Estos dispositivos se conectan a la red de varias maneras y la seguridad varía entre ellos, ya que pueden estar fuera del firewall, usan diferentes sistemas operativos de dispositivos cliente y son pequeños y fáciles de perder o extraviar.

La funcionalidad ampliada de los dispositivos móviles actuales ofrece prestaciones atractivas tanto para las empresas como para los usuarios finales, aunque también complica la compatibilidad con estos dispositivos. Esto puede exponer a los datos y redes corporativos a riesgos de seguridad adicionales, especialmente si los dispositivos se usan para tener acceso a datos de cliente y aplicaciones de LOB confidenciales. Si se pierden, roban o usan incorrectamente, estos dispositivos pueden crear emergencias de seguridad.

A medida que se estrecha la distancia en términos de funcionalidad entre los dispositivos móviles y los clientes de redes tradicionales, cada vez es más necesario poder administrar los dispositivos móviles como si fueran equipos de escritorio o portátiles. Ésta es la idea que hay detrás de Mobile Device Manager. La plataforma Windows Mobile® es cada vez más popular entre los usuarios empresariales y Mobile Device Manager se convertirá en un aspecto crucial de los sistemas de administración de TI basados en Windows®.

Mobile Device Manager está diseñado para ofrecer una administración y un control de un extremo a otro de los dispositivos Windows Mobile, con la misma facilidad que si se tratara de equipos en red o portátiles. Tiene tres funciones clave:

Administración de dispositivos Funcionalidad centralizada para el aprovisionamiento, supervisión y administración de dispositivos Windows Mobile, escalable a miles de usuarios por servidor.

Administración de seguridad Mejores mecanismos de protección de datos confidenciales y seguimiento de dispositivos.

VPN móvil Mejor acceso a datos y aplicaciones protegidos por un firewall con funcionalidad ininterrumpida.

Mobile Device Manager adopta la filosofía general de System Center de proporcionar a los profesionales de TI herramientas para administrar los activos corporativos como ciudadanos de primera clase, al mismo nivel que los equipos de escritorio y portátiles. Además, ofrece una interfaz de usuario que resultará familiar a los que ya usan otros productos de System Center.

Esto también implica que Mobile Device Manager funciona bien con infraestructuras existentes basadas en Windows. Por ejemplo, usa Active Directory y la directiva de grupo, funciona con las herramientas existentes de análisis y creación de informes de Microsoft (como SQL Server®) y se puede ampliar con complementos de Microsoft® Management Console y cmdlets de Windows PowerShellTM.

Sistema de Mobile Device Manager

Mobile Device Manager es sumamente escalable y puede admitir miles de dispositivos en una sola instancia, así como varias opciones de configuración. En general, el servidor de Mobile Device Manager dispone de cuatro componentes de sistema principales: un servidor de puerta de enlace, un servidor de administración de dispositivos, un servidor de inscripción y bases de datos de SQL Server (consulte la Figura 1).

Figura 1 Un sistema típico de Mobile Device Manager

Figura 1** Un sistema típico de Mobile Device Manager **(Hacer clic en la imagen para ampliarla)

El servidor de puerta de enlace suele instalarse en la red perimetral. Este servidor actúa como terminal para la conexión de red de un dispositivo, autentica conexiones entrantes de dispositivo, ofrece direcciones IP fijas para dispositivos y realiza otras funciones relacionadas con la conectividad de red o del dispositivo.

El servidor de administración de dispositivos es el concentrador de administración de dispositivos, incluye la implementación de Directiva de grupo, la distribución de software OTA y borrados de dispositivo. Funciona con controladores de dominio existentes. Los servidores de administración de dispositivos actúan como clientes de red suplentes para dispositivos Windows Mobile, y les permiten comunicarse con otros sistemas.

El servidor de inscripción crea objetos de Dominio de servicio de Active Directory que representan dispositivos móviles en el controlador de dominio, de modo que permiten la administración de dichos dispositivos como si fuesen otros miembros del dominio. Este servidor también manipula solicitudes de certificados y recuperación para dispositivos móviles. Usa Active Directory como base para la autenticación de dispositivos antes de aceptar o emitir certificados de inscripción. Las bases de datos SQL Server ofrecen un repositorio para toda la información relacionada con la configuración del dispositivo, las tareas, la configuración del estado, etc.

Una vez que la infraestructura está en funcionamiento, Mobile Device Manager tiene tres tipos de interacciones con los dispositivos móviles: la inscripción del dispositivo, el establecimiento de conexiones VPN móviles y la administración del dispositivo. La inscripción del dispositivo es el proceso mediante el que un dispositivo se une al dominio de Active Directory. Mobile Device Manager usa un "secreto compartido" (una contraseña de un solo uso con caducidad) para permitir la inscripción de dispositivos a través de conexiones no seguras. Una vez inscrito, un dispositivo puede establecer una conexión VPN móvil con el servidor de puerta de enlace a través del cual se dirige el tráfico de red del dispositivo. Con la conexión VPN móvil, el administrador o el sistema pueden realizar la administración del dispositivo, insertando software y configuración en el dispositivo.

Ampliación de Active Directory a Windows Mobile

Los enfoques de seguridad de TI híbridos o ad hoc pueden ser más arriesgados que un enfoque de seguridad totalmente integrado. Mobile Device Manager está diseñado para ayudar a reducir dichos riesgos mediante una administración de dispositivos móviles, como equipos de Windows, que usa la infraestructura existente de Servicios de dominio de Active Directory. El resultado es una administración de identidades y acceso más ágil, una orientación más coherente de directivas y una configuración de seguridad rápida.

Al igual que los equipos o servidores, los objetos de directivas de grupo relacionados con dispositivos Windows Mobile se pueden asignar a unidades organizativas (OU), grupos de seguridad y filtros del Instrumental de administración de Windows (WMI, Windows Management Instrumentation). Los administradores también pueden evitar que algunos dispositivos específicos obtengan la configuración de directiva de grupo.

Existen más de 130 configuraciones y directivas para dispositivos Windows Mobile, lo que permite un control detallado de una variedad de funciones. Un ejemplo:

  • La configuración de la contraseña incluye el requisito de contraseña, el tipo y la longitud mínima, la caducidad de la contraseña y el borrado del dispositivo local tras un número especificado de intentos fallidos (incluida la notificación al usuario del número de intentos que le quedan).
  • La configuración del bloqueo de la plataforma permite a los administradores habilitar o deshabilitar selectivamente la funcionalidad del dispositivo, como la cámara, LAN inalámbrica, infrarrojos, Bluetooth y medios de almacenamiento extraíbles. La mensajería del Protocolo de oficina de correos (POP), Protocolo de acceso de mensajes de Internet (IMAP), Servicio de mensajes cortos (SMS) y Servicio de mensajería multimedia (MMS) se puede desactivar en su totalidad, y se puede deshabilitar Windows Update para Windows Mobile.
  • Mobile Device Manager proporciona un control granular de la aplicación. Puede evitar que los dispositivos ejecuten aplicaciones sin firmar o que no tengan firmas aprobadas, o permitir la ejecución de aplicaciones sin firmar específicas que desee el administrador.
  • Para ayudar a proteger los datos, el administrador puede implantar el cifrado de archivos creados en tarjetas de almacenamiento extraíbles (con la clave de cifrado vinculada al dispositivo). También está disponible el cifrado del dispositivo para la protección de datos confidenciales en el dispositivo. Aparte de los archivos que están protegidos de forma predeterminada, el administrador puede especificar los archivos adicionales que desea cifrar.
  • La configuración de VPN móvil determina el control que tienen los usuarios sobre las conexiones VPN de sus dispositivos y, además, se puede usar para establecer niveles de cifrado de datos.
  • La configuración de ActiveSync® establece un formato de mensaje, filtros de antigüedad de correo electrónico, límites de tamaño, configuración de sincronización, etc.
  • La configuración de S/MIME puede requerir la firma y el cifrado de mensajes o el uso de algoritmos específicos.

Esta configuración, y otras, es compatible con una gran variedad de escenarios. Esta configuración permite a los profesionales de TI decidir el tipo de aplicaciones que se pueden ejecutar en determinados dispositivos. Las características de hardware se pueden habilitar o deshabilitar sin cables. Las cámaras, por ejemplo, se pueden deshabilitar para prevenir el riesgo accidental o intencionado de información confidencial. El cifrado de datos se puede implantar en dispositivos, en tarjetas de medios de almacenamiento extraíbles o en ambos para reducir la probabilidad de que los dispositivos o tarjetas robados o perdidos proporcionen los datos del propietario a individuos no autorizados.

Otras herramientas de administración de seguridad también forman parte de Mobile Device Manager. Hay miles de aplicaciones disponibles para dispositivos Windows Mobile, por lo que los administradores deben controlar qué aplicaciones se pueden instalar y cuáles no. Mobile Device Manager le permite crear e aplicar Listas de admitidos y no admitidos para este fin. También ofrece eficaces capacidades de borrado remoto. Gracias a la conexión VPN ininterrumpida a dispositivos, los dispositivos se pueden borrar inmediatamente sin necesidad de esperar a que se conecten a la red y se sincronicen. Cuando se borra un dispositivo de forma remota, se elimina del controlador de dominio y se revoca su certificado. Si, más tarde, se recupera un dispositivo, se puede configurar para que vuelva a unirse al dominio tras inscribirse otra vez con una contraseña nueva de un solo uso.

Control de dispositivos móviles

Mobile Device Manager está diseñado para facilitar lo máximo posible la administración de dispositivos Windows Mobile en la red en una sola solución, incluido el aprovisionamiento sin cables, la distribución de software y actualizaciones sin cables y la administración completa y centralizada del inventario.

Seguramente la inscripción automática sin cables cautivará a los ocupados profesionales de TI y usuarios finales. Un usuario escribe una dirección de correo electrónico en un dispositivo Windows Mobile 6.1, que intentará localizar al servidor de administración de dispositivos móviles según la dirección de correo electrónico dada. Si no encuentra el servidor, pedirá al usuario que especifique la dirección del servidor de administración manualmente. Una vez encuentra el servidor y se determina que el usuario se puede inscribir, solicita al usuario que escriba un código de acceso de un solo uso que el administrador habrá generado previamente.

La dirección de correo electrónico y el código de acceso se usan para autenticar al usuario e inscribir su dispositivo en el servidor de administración. Una vez hecho esto, se insertan en el dispositivo la configuración y las directivas definidas por el administrador. La inscripción automática está diseñada para aumentar la escalabilidad de las implementaciones de dispositivos Windows Mobile y reducir el tiempo y el dinero necesarios para poner dichos dispositivos en funcionamiento.

Las capacidades de distribución de software sin cables de Mobile Device Manager se basan en Windows Software Update Services (WSUS) 3.0, el kit de herramientas de actualización de software que ya usan muchos profesionales de TI de todo el mundo. Tal como se muestra en la Figura 2, WSUS 3.0 proporciona la funcionalidad de orientación y empaquetado de aplicaciones necesaria para los complejos requisitos de TI. El software se puede aplicar automáticamente a los dispositivos adecuados de acuerdo con las reglas y directivas establecidas por el administrador. Al igual que las actualizaciones de servidor y cliente, las actualizaciones y revisiones de dispositivos móviles se pueden automatizar con WSUS 3.0. E, igual de importante, las actualizaciones automáticas se pueden desactivar para la planeación y la prueba de implementaciones.

Figura 2 Asistente para distribuir software

Figura 2** Asistente para distribuir software **(Hacer clic en la imagen para ampliarla)

Uno de los desafíos más grandes para la administración de equipos móviles a escala es llevar un seguimiento de todo. Mobile Device Manager centraliza la información de inventario y ofrece informes flexibles y personalizables basados en SQL Server 2005 (una vez más, un software con el que muchos usuarios ya están familiarizados). Los administradores pueden reunir más de cien elementos de información de inventario, incluidos (pero no limitados a) el sistema operativo y la versión, el modelo de dispositivo, las aplicaciones instaladas y las directivas de seguridad. El inventario es ampliable, de modo que el administrador puede agregar artículos y parámetros del Registro.

Para una mayor flexibilidad, puede controlar Mobile Device Manager con complementos de Microsoft Management Console si prefiere una interfaz de usuario gráfica (consulte la Figura 3) o con la consola de Windows PowerShell si prefiere una línea de comandos. Sea como sea, el sistema es ampliable y personalizable, una característica esencial para los usuarios empresariales que desean adaptar el software a su organización.

Figura 3 Consola de Mobile Device Manager

Figura 3** Consola de Mobile Device Manager **(Hacer clic en la imagen para ampliarla)

VPN móvil

Hace ya muchos años que los trabajadores de la información se envían correos electrónicos y mensajes entre sí a través de dispositivos móviles. Actualmente, uno de los avances más útiles en tecnología de dispositivos móviles es la capacidad de tener acceso a datos y aplicaciones empresariales protegidos por un firewall. Debido a la mayor accesibilidad, surgen nuevos riesgos de seguridad, por lo que esta funcionalidad agregada debe administrarse con cuidado para evitar vulnerabilidades. Mobile Device Manager ofrece capacidades de VPN móvil de vanguardia, y permite que los usuarios tengan acceso a datos de la intranet que van desde la administración de las relaciones con el cliente (CRM) de Microsoft DynamicsTM hasta SAP o Siebel. El modelo es acorde con las estrategias existentes de acceso remoto para equipos de escritorio y portátiles (consulte la Figura 4).

Figura 4 Configuración de VPN móvil

Figura 4** Configuración de VPN móvil **(Hacer clic en la imagen para ampliarla)

La VPN móvil conecta el dispositivo al servidor de puerta de enlace mediante una característica de seguridad de doble capa, donde los datos se transmiten en formato cifrado de SSL a través de un túnel cifrado de IPsec. Una vez que el dispositivo está autenticado, el usuario tiene acceso a los recursos del modo especificado por la directiva de recursos en combinación con las credenciales del usuario.

La tecnología de VPN móvil que usa Mobile Device Manager permite el establecimiento de una conexión ininterrumpida, que no sólo proporciona a los usuarios un acceso mejorado, sino que ayuda a garantizar que los profesionales de TI pueden actualizar los dispositivos con directivas y configuraciones actuales y borrar el dispositivo inmediatamente en caso de pérdida o robo. Aunque se interrumpa una sesión, la rápida reconexión garantiza que la sesión del dispositivo continúa sin necesidad de volver a autenticarse. Mobile Device Manager permite una transición sin problemas entre redes Wi-Fi y celulares al tiempo que mantiene la conectividad.

La tecnología de seguridad que usa la VPN de Mobile Device Manager se basa en estándares del sector como la Open Mobile Alliance para Device Management (OMA DM), Intercambio de claves por red (IKE) versión 2 y OMA Software Component Management Object (SCOMO). Esto aumenta la capacidad de ampliación y personalización del sistema para situaciones específicas a las que se enfrentan los profesionales de TI que trabajan en entornos complejos.

Una solución completa

Mobile Device Manager proporciona un completo conjunto de herramientas para administrar dispositivos Windows Mobile, accesible a través de una sola interfaz. Combina Active Directory y la directiva de grupo para proporcionar herramientas de seguridad que ayudan a proteger los datos, los dispositivos y la red. La administración del dispositivo es más fácil gracias a la inscripción, el aprovisionamiento y la actualización sin cables, así como las eficaces herramientas de inventario. La VPN móvil está diseñada para proporcionar la funcionalidad que desean las empresas y los usuarios sin poner en peligro la seguridad.

Todo esto forma parte integral de la idea de hacer el trabajo de los profesionales de TI más fácil gracias a la administración de dispositivos móviles en la red como ciudadanos de primera clase. Mobile Device Manager ofrece a los profesionales de TI la capacidad para proporcionar experiencias de usuario final de calidad, reducir la carga administrativa y aumentar el ROI de la administración. Una combinación digna de mención.

Gracias a Brian Hoskins, Derek Snyder, Prithvi Raj, Lax Madapaty y Katharine Holdsworth por sus aportaciones a este artículo.

Matt Fontaine es un escritor y consultor tecnológico independiente que trabaja con la empresa BuzzBee Company. Matt abarca un amplio abanico de sectores, como la informática de alto rendimiento, el software de empresa, los actuarios, los bienes inmobiliarios comerciales, la ingeniería, la construcción y los bienes de consumo. Matt es un antiguo y orgulloso alumno de la universidad The Evergreen State College.

© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.