• Articolo

System Center

Introduzione a System Center Mobile Device Manager

Matt Fontaine

 

Panoramica:

  • Tipico sistema Mobile Device Manager
  • Estensione di Active Directory a Windows Mobile
  • Registrazione, provisioning e inventariato dei dispositivi Windows

L'introduzione di Microsoft System Center Mobile Device Manager 2008 rappresenta uno straordinario passo avanti per i professionisti IT che gestiscono i dispositivi Windows Mobile sulle reti aziendali. Fornendo le funzioni per la gestione dei dispositivi, la gestione della sicurezza e le reti private virtuali mobili (VPN)

in un unico prodotto, questa nuova soluzione semplifica notevolmente il compito degli amministratori e garantisce un ritorno sull'investimento (ROI) per i dispositivi mobili.

Mobile Device Manager consente ai professionisti IT di utilizzare Active Directory® e l'infrastruttura di Criteri di gruppo per applicare le impostazioni dei dispositivi. Le funzionalità di gestione dei dispostivi OTA permettono ai professionisti IT di fornire aggiornamenti e applicazioni ai dispositivi in modo estremamente semplice, mentre le funzionalità di provisioning automatico OTA rendono la distribuzione più semplice e scalabile. La funzione Mobile VPN consente agli utenti finali di accedere a dati e applicazioni protetti dal firewall, fornendo al tempo stesso una connessione sempre attiva con la quale gli amministratori possono controllare i dispostivi distribuiti. Con tutte queste funzionalità riunite in un unico prodotto estendibile, personalizzabile e scalabile, Mobile Device Manager è uno strumento fondamentale per i professionisti IT di oggi.

Un'esigenza per la gestione

Si prevede che la forza lavoro mobile continuerà a crescere rapidamente anche nei prossimi anni. I dispositivi mobili sono sempre stati più difficili da gestire rispetto agli altri dispositivi di rete per il fatto stesso di essere mobili. Possono essere connessi alla rete in numerosi modi e molti di loro non sono completamente sicuri (potrebbero non essere protetti dal firewall, non utilizzano gli stessi sistemi operativi dei dispositivi client e potrebbero andare perduti molto facilmente a causa delle dimensioni ridotte).

La funzionalità ampliata dei dispositivi mobili di oggi fornisce grandi vantaggi sia alle aziende che agli utenti finali ma ne rende più difficile il supporto. In effetti, potrebbe esporre le reti e i dati aziendali a rischi di sicurezza aggiuntivi, in particolar modo quando i dispositivi vengono utilizzati per accedere a dati dei clienti e ad applicazioni line-of-business (LOB) sensibili. Se vengono perduti, rubati o utilizzati in modo non corretto, potrebbero creare delle vere e proprie emergenze di sicurezza.

Man mano che il divario della funzionalità tra i dispositivi mobili e i client di rete tradizionali diminuisce, aumenta l'esigenza di gestire tali dispositivi come fossero computer portatili o desktop. Questo è il concetto alla base di Mobile Device Manager. Con la sempre maggiore diffusione della piattaforma Windows Mobile® tra gli utenti aziendali, Mobile Device Manager diventerà un componente cruciale per i sistemi di gestione IT basati su Windows®.

Mobile Device Manager è stato progettato per controllare e ed eseguire la gestione end-to-end dei dispostivi Windows Mobile come fossero portatili o PC collegati in rete. È dotato di tre funzioni fondamentali:

Device Management Funzionalità centralizzata per il provisioning, il monitoraggio e la gestione dei dispositivi Windows Mobile, adattabile a decine di migliaia di utenti per server.

Security Management Migliori meccanismi per proteggere i dati sensibili e tenere traccia dei dispositivi.

Mobile VPN Migliore accesso ad applicazioni e dati protetti dal firewall con funzionalità sempre attiva.

Mobile Device Manager è in linea con l'idea generale seguita da System Center di fornire ai professionisti IT gli strumenti per gestire le risorse aziendali come normali computer portatili e desktop. Fornisce inoltre un'interfaccia utente che sarà familiare per coloro che già utilizzano altri prodotti System Center.

Ciò vuol dire che, per impostazione predefinita, Mobile Device Manager funziona bene con un'infrastruttura basata su Windows preesistente. Per fare alcuni esempi, utilizza Active Directory e Criteri di gruppo; funziona con gli strumenti di analisi e report Microsoft esistenti (quale SQL Server®); è estendibile utilizzando gli snap-in Microsoft® Management Console e i cmdlet Windows PowerShellTM.

Sistema Mobile Device Manager

Mobile Device Manager è altamente scalabile e può supportare decine di migliaia di dispositivi in un'unica istanza, oltre che numerose opzioni di configurazione. In generale, esistono quattro componenti di sistema principali sul lato server di Mobile Device Manager: un server gateway, un server di gestione dei dispositivi, un server di registrazione e i database di SQL Server (vedere la figura 1).

Figura 1 Tipico sistema Mobile Device Manager

Figura 1** Tipico sistema Mobile Device Manager **(Fare clic sull'immagine per ingrandirla)

Generalmente, il server gateway è installato nella rete perimetrale. Funge da terminale per la connessione di rete di un dispositivo, autentica le connessioni dei dispositivi in ingresso, fornisce indirizzi IP stabili per i dispositivi ed esegue altre funzioni correlate alla connettività dei dispostivi o di rete.

Il server di gestione dei dispositivi rappresenta l'hub di amministrazione e gestione dei dispositivi, incluse l'implementazione di Criteri di gruppo, la distribuzione del software OTA e le cancellazioni dei dati nei dispositivi. Funziona con i controller di dominio esistenti. I server di gestione dei dispositivi fungono da client di rete sostitutivi per i dispositivi Windows Mobile, consentendo loro di comunicare con altri di sistemi.

Il server di registrazione crea Servizi di dominio Active Directory che rappresentano i dispositivi mobili nel controller di dominio, consentendo a tali dispositivi di essere gestiti come tutti gli altri membri del dominio. Questo server gestisce anche le richieste e il recupero dei certificati per i dispositivi mobili. Utilizza Active Directory come base per l'autenticazione dei dispositivi prima di accettare o emettere certificati di registrazione. I database di SQL Server forniscono un repository per tutte le informazioni correlate alla configurazione dei dispositivi, alle attività, alle impostazioni relative allo stato e così via.

Una volta che l'infrastruttura è operativa, Mobile Device Manager interagisce con i dispositivi mobili per registrare i dispositivi, definire le connessioni Mobile VPN e gestire i dispositivi. La registrazione dei dispositivi è il processo attraverso il quale un dispositivo si collega al dominio Active Directory. Mobile Device Manager si avvale di un "segreto condiviso" (una password monouso con scadenza) per consentire la registrazione dei dispositivi tramite connessioni non sicure. Una volta registrato, un dispositivo può stabilire una connessione Mobile VPN al server gateway attraverso cui viene instradato il traffico di rete proveniente dal dispositivo. Utilizzando la connessione Mobile VPN, l'amministratore o il sistema può eseguire la gestione dei dispositivi, effettuando il push del software e delle impostazioni sul dispositivo.

Estensione di Active Directory a Windows Mobile

Degli approcci alla sicurezza IT ad hoc o ibridi possono rivelarsi più rischiosi di un approccio completamente integrato. Mobile Device Manager è progettato per ridurre tali rischi fornendo un modo per gestire i dispositivi mobili, quali i PC Windows, tramite l'infrastruttura Servizi di dominio Active Directory esistente. Si ottiene in tal modo una gestione delle identità e degli accessi semplificata, un'assegnazione più coerente dei criteri e la configurazione della sicurezza necessaria.

Proprio come avviene con i PC o i server, gli oggetti Criteri di gruppo correlati ai dispositivi Windows Mobile possono essere assegnati alle unità organizzative, ai gruppi di sicurezza e ai filtri Strumentazione gestione Windows. Gli amministratori possono inoltre impedire a specifici dispositivi di ricevere le impostazioni di Criteri di gruppo.

Esistono oltre 130 impostazioni e criteri per i dispositivi Windows Mobile, che consentono un controllo con granularità fine su una serie di funzioni. Ecco un esempio:

  • Le impostazioni delle password includono il requisito di password; il tipo e la lunghezza minima; la scadenza e la cancellazione locale dei dati nei dispositivi dopo un determinato numero di tentativi non riusciti (inclusa la notifica all'utente del numero di tentativi restante).
  • Le impostazioni di blocco consentono agli amministratori di abilitare o disabilitare selettivamente la funzionalità dei dispositivi, incluse la fotocamera, la LAN wireless, la tecnologia a infrarossi, la tecnologia Bluetooth e gli archivi rimovibili. È possibile disattivare i protocolli Post Office Protocol (POP), Internet Message Access Protocol (IMAP), Short Message Service (SMS) e Multimedia Messaging Service (MMS) e disabilitare Windows Update per Windows Mobile.
  • Mobile Device Manager fornisce un controllo granulare sulle applicazioni. Può impedire ai dispositivi di eseguire applicazioni non firmate e con firme non approvate oppure consentire l'uso di specifiche applicazioni non firmate a discrezione dell'amministratore.
  • Per proteggere i dati, l'amministratore può applicare la crittografia dei file creati su schede di memoria rimovibili (con la chiave di crittografia collegata al dispositivo). È inoltre disponibile la crittografia dei dispositivi per garantire la protezione dei dati sensibili sul dispositivo. Oltre ai file che vengono protetti per impostazione predefinita, l'amministratore può specificare ulteriori file da crittografare.
  • Le impostazioni Mobile VPN determinano il livello di controllo di cui dispongono gli utenti sulle connessioni VPN dei loro dispositivi e consentono anche di impostare i livelli di crittografia dei dati.
  • Le impostazioni ActiveSync® definiscono il formato dei messaggi, i filtri per la validità della posta elettronica, i limiti per le dimensioni, le impostazioni di sincronizzazione e altro ancora.
  • Le impostazioni S/MIME possono richiedere la firma, la crittografia o l'uso di specifici algoritmi per i messaggi.

Tali impostazioni, insieme a molte altre, supportano gli scenari più svariati. Consentono ai professionisti IT di decidere quali tipi di applicazioni possono essere eseguite e su quali dispositivi. È consentita l'abilitazione o la disabilitazione per OTA delle funzionalità hardware; ad esempio, è possibile disabilitare le fotocamere per evitare che vengano compromesse, in modo intenzionale o involontario, le informazioni sensibili. È possibile inoltre applicare la crittografia dei dati sui dispositivi, sulle schede di memoria oppure sia sugli uni che le altre per impedire che, a seguito di perdita o furto, persone non autorizzate accedano ai dati proprietari in essi contenuti.

Mobile Device Manager include anche altri strumenti di gestione della sicurezza. Considerato il grandissimo numero di applicazioni disponibili per i dispositivi Windows Mobile, esiste una chiara esigenza per gli amministratori di controllare quelli che possono essere installati o meno. Mobile Device Manager consente di creare e applicare elenchi Consenti e Blocca esattamente per tale scopo. Fornisce inoltre avanzate funzionalità per la cancellazione remota dei dati nei dispositivi. Grazie alla connessione VPN sempre attiva per i dispositivi, è possibile rimuovere immediatamente i dati nei dispositivi senza dovere attendere che si connettano alla rete e che eseguano la sincronizzazione. Quando si esegue la cancellazione remota dei dati in un dispositivo, quest'ultimo viene rimosso dal controller di dominio e il relativo certificato viene revocato. Se un dispositivo viene recuperato in un secondo momento, è possibile specificare che si ricolleghi al dominio dopo la registrazione con una password monouso.

Controllo dei dispositivi mobili

Mobile Device Manager è appositamente progettato per semplificare la gestione dei dispositivi Windows Mobile sulla rete fornendo una funzionalità di gestione dei dispositivi completa in un'unica soluzione, inclusi il provisioning OTA, la distribuzione degli aggiornamenti e del software OTA e una gestione dell'inventario globale e centralizzata.

La funzionalità di provisioning automatico OTA si rivelerà preziosa sia per i professionisti IT che per gli utenti finali. Un utente immette un indirizzo di posta elettronica su un dispositivo Windows Mobile 6.1, che userà l'indirizzo per tentare di identificare un server di gestione dei dispositivi mobili. Se il server non viene trovato, all'utente viene richiesto di specificare manualmente l'indirizzo del server di gestione. Una volta identificato il server e aver stabilito che è possibile effettuare la registrazione, all'utente viene richiesto di immettere un passcode monouso creato in precedenza dall'amministratore.

L'indirizzo di posta elettronica e il passcode vengono utilizzati per autenticare l'utente e registrare il suo dispositivo nel server di gestione. A questo punto, le impostazioni e i criteri definiti dall'amministratore possono essere applicati sul dispositivo. Il metodo di registrazione automatica è progettato per aumentare la scalabilità delle distribuzioni dei dispositivi Windows Mobile e ridurre i tempi e i costi necessari per renderli operativi.

Le funzionalità di distribuzione del software OTA di Mobile Device Manager si basano su Windows Software Update Services (WSUS) 3.0, il toolkit di aggiornamento del software già utilizzato da numerosi professionisti IT in tutto il mondo. Come mostrato nella figura 2, WSUS 3.0 fornisce la funzionalità di assegnazione e assemblaggio delle applicazioni necessaria per le esigenze IT più complesse. Il software può essere assegnato automaticamente ai dispositivi appropriati in base alle regole e ai criteri impostati dall'amministratore. Analogamente a ciò che avviene per gli aggiornamenti di server e client, è possibile utilizzare WSUS 3.0 per automatizzare anche le patch e gli aggiornamenti dei dispositivi mobili. In modo ugualmente cruciale, gli aggiornamenti automatici possono essere disattivati per la pianificazione e il test delle distribuzioni.

Figura 2 Procedura guidata per la distribuzione del software

Figura 2** Procedura guidata per la distribuzione del software **(Fare clic sull'immagine per ingrandirla)

Una delle maggiori sfide inerenti la gestione dei dispositivi mobili distribuiti su scala è la capacità di tenere traccia di ogni singolo elemento. Mobile Device Manager centralizza le informazioni dell'inventario e fornisce report flessibili e personalizzabili in base a SQL Server 2005 (attraverso il software utilizzato già da numerosi utenti e quindi già familiare). Gli amministratori possono raccogliere centinaia di informazioni presenti nell'inventario, incluse, tra le altre, le voci relative al sistema operativo e alla versione, al modello di dispositivo, alle installazioni applicate e ai criteri di sicurezza. L'inventario può essere esteso e l'amministratore ha la possibilità di aggiungervi voci e impostazioni del Registro di sistema.

Per ottenere una flessibilità ancora maggiore, è possibile controllare Mobile Device Manager utilizzando gli snap-in Microsoft Management Console, se si preferisce un'interfaccia utente grafica (vedere la figura 3), oppure la console Windows PowerShell, se si preferisce una riga di comando. In entrambi i casi, il sistema risulta estendibile e personalizzabile, a tutto vantaggio degli utenti aziendali che desiderano adattare il software alle esigenze della propria organizzazione.

Figura 3 Console Mobile Device Manager

Figura 3** Console Mobile Device Manager **(Fare clic sull'immagine per ingrandirla)

Mobile VPN

Gli Information Worker utilizzano da anni i dispositivi mobili per le comunicazioni di posta elettronica. Attualmente, uno dei maggiori progressi nel campo dei dispositivi mobili è la possibilità di accedere alle applicazioni e ai dati aziendali protetti dal firewall. Con l'aumento degli accessi, aumentano anche i rischi per la sicurezza; di conseguenza, è necessaria una gestione attenta delle nuove funzionalità per prevenire le vulnerabilità. Mobile Device Manager fornisce le avanzate funzionalità Mobile VPN, che consentono agli utenti di accedere a dati su Intranet, che vanno da Microsoft DynamicsTM Customer Relationship Management (CRM) a SAP, fino a Siebel. Il modello è progettato per adattarsi alle strategie di accesso remoto esistenti per PC portatili e desktop (vedere la figura 4).

Figura 4 Impostazioni di Mobile VPN

Figura 4** Impostazioni di Mobile VPN **(Fare clic sull'immagine per ingrandirla)

La funzionalità Mobile VPN consente di connettere il dispositivo al server gateway utilizzando una funzione di sicurezza a doppio envelope, in cui i dati vengono trasmessi in formato crittografato SSL attraverso un tunnel crittografato IPsec. Dopo l'autenticazione del dispositivo, l'utente può accedere alle risorse in base a quanto definito dal criterio specifico delle risorse e dalle sue credenziali.

La tecnologia Mobile VPN utilizzata da Mobile Device Manager consente di stabilire una connessione sempre attiva, che fornisce agli utenti un accesso avanzato e che permette ai professionisti IT di mantenere dispositivi aggiornati con le impostazioni e i criteri correnti. Tra l'altro, tale tecnologia consente anche di cancellare immediatamente i dati in un dispositivo se questo viene perduto o rubato. Anche in caso di interruzione di una sessione, la riconnessione rapida consente di riprendere la sessione senza la necessità di una nuova autenticazione. Mobile Device Manager consente una transizione senza problemi tra le reti Wi-Fi e cellulari, senza interrompere la connettività.

La tecnologia di sicurezza utilizzata in Mobile Device Manager Mobile VPN è basata su standard del settore, tra cui Open Mobile Alliance for Device Management (OMA DM), Internet Key Exchange (IKE) versione 2 e OMA Software Component Management Object (SCOMO). Ciò consente di rendere il sistema più estendibile e personalizzabile per specifiche situazioni a cui devono far fronte i professionisti IT che lavorano in ambienti complessi.

Soluzione completa

Mobile Device Manager fornisce un set completo di strumenti per la gestione dei dispositivi Windows Mobile, a cui è possibile accedere tramite un'unica interfaccia. Utilizza Active Directory e Criteri di gruppo per fornire strumenti di sicurezza che consentono di proteggere i dati, i dispositivi e la rete. La gestione dei dispositivi viene semplificata dalle funzionalità di aggiornamento, provisioning e registrazione OTA, oltre che da potenti strumenti per l'inventario. La tecnologia Mobile VPN è progettata per fornire una preziosa funzionalità alle aziende e agli utenti, senza compromettere la sicurezza.

Tutto ciò permette di semplificare il lavoro dei professionisti IT, che potranno gestire i dispositivi mobili sulla rete in modo assolutamente unico. Mobile Device Manager fornisce ai professionisti IT la possibilità di garantire esperienze utente straordinarie, ridurre l'overhead amministrativo e fornire un ROI maggiore per la gestione.

Si ringraziano Brian Hoskins, Derek Snyder, Prithvi Raj, Lax Madapaty e Katharine Holdsworth per il contributo fornito per questo articolo.

Matt Fontaine è uno scrittore freelance che si occupa di tecnologia e ricopre anche un ruolo di consulente per BuzzBee Company. È impegnato in numerosi campi quali il calcolo ad alte prestazioni, il software aziendale, il campo attuariale, i beni immobili commerciali, l'ingegneria, la costruzione e i beni di consumo confezionati. Matt è laureato al The Evergreen State College.

© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.