• Artigo

System Center

Apresentando o System Center Mobile Device Manager

Matt Fontaine

 

Visão geral:

  • Um sistema típico do Mobile Device Manager
  • Extensão do Active Directory para o Windows Mobile
  • Registro, provisionamento e inventário de dispositivos Windows Mobile

O lançamento do Microsoft System Center Mobile Device Manager 2008 é um avanço empolgante para os profissionais de TI que gerenciam dispositivos Windows Mobile em redes corporativas. Por fornecer recursos de gerenciamento de dispositivos, gerenciamento de segurança e VPN (rede virtual privada) móvel

em um único produto, a nova oferta pode ajudar a diminuir a carga administrativa e a promover um melhor ROI (retorno sobre o investimento) das frotas de dispositivo móveis.

O Mobile Device Manager permite que os profissionais de TI utilizem a infra-estrutura existente do Active Directory® e da Diretiva de Grupo para impor configurações de dispositivos. Os recursos de gerenciamento de dispositivos OTA (via satélite) possibilitam aos profissionais de TI fornecer atualizações e aplicativos aos dispositivos com maior facilidade, enquanto o autoprovisionamento OTA torna a implantação mais simples e dimensionável. A VPN móvel proporciona aos usuários finais acesso a dados e aplicativos protegidos pelo firewall. Ao mesmo tempo, fornece aos administradores uma conexão sempre ativa para o controle dos dispositivos implantados. Com todos esses recursos em um único produto extensível, personalizável e dimensionável, o Mobile Device Manager é uma ferramenta essencial para os profissionais de TI da atualidade.

A necessidade de gerenciamento

Espera-se que a força de trabalho móvel continue a crescer rapidamente nos próximos anos. Os dispositivos móveis, historicamente, têm sido mais difíceis de gerenciar do que outros equipamentos de rede, exatamente devido à sua mobilidade. Eles se conectam à rede de diversas maneiras, e nem todos têm o mesmo nível de segurança — eles podem existir fora do firewall, utilizam sistemas operacionais diferentes dos dispositivos clientes e são pequenos, portanto mais sujeitos a perdas.

A funcionalidade expandida dos dispositivos móveis atuais traz vantagens atraentes para empresas e usuários finais, mas também torna mais complexo o suporte aos dispositivos. Isso pode expor redes e dados corporativos a riscos adicionais de segurança, especialmente quando os dispositivos são usados para acessar aplicativos e dados de clientes confidenciais de LOB (linha de negócios). Esses dispositivos podem criar emergências de segurança em caso de perda, roubo ou uso impróprio.

À medida que diminui a lacuna funcional entre os dispositivos móveis e os clientes de rede tradicionais, aumenta a necessidade de gerenciar esses dispositivos como se fossem laptops ou desktops. Essa é a idéia básica por trás do Mobile Device Manager. Acompanhando o aumento constante da popularidade da plataforma Windows Mobile® entre os usuários corporativos, o Mobile Device Manager se tornará um aspecto crucial dos sistemas de gerenciamento de TI baseados no Windows®.

O Mobile Device Manager foi projetado para fornecer gerenciamento e controle completos de dispositivos Windows Mobile, garantindo que sejam gerenciados com a mesma facilidade encontrada para lidar com PCs ou laptops conectados à rede. Ele tem três funções principais:

Gerenciamento de dispositivos Funcionalidade centralizada para provisionar, monitorar e gerenciar dispositivos Windows Mobile, dimensionável até milhares de usuários por servidor.

Gerenciamento de segurança Melhores mecanismos para proteger dados confidenciais e manter o controle dos dispositivos.

VPN móvel Melhor acesso a dados e aplicativos protegidos pelo firewall, com funcionalidade sempre ativa.

O Mobile Device Manager está alinhado à filosofia mais ampla do System Center, que consiste em equipar os profissionais de TI com as ferramentas necessárias para gerenciar os ativos corporativos como elementos de primeira classe — de forma equiparada a desktops e laptops. Ele conta ainda com uma interface do usuário que parecerá familiar aos profissionais que já utilizam outros produtos do System Center.

Isso significa também que o Mobile Device Manager foi projetado para funcionar bem com a infra-estrutura baseada em Windows já existente. Para citar alguns exemplos, ele usa o Active Directory e a Diretiva de Grupo; funciona com as ferramentas Microsoft já existentes de análise e emissão de relatórios (como o SQL Server®); e pode ser estendido com o uso de snap-ins do Microsoft® Management Console e cmdlets do Windows PowerShellTM.

O sistema do Mobile Device Manager

O Mobile Device Manager é altamente dimensionável e pode dar suporte a milhares de dispositivos em uma única instância, e também a várias opções de configuração. Em termos gerais, há quatro componentes principais de sistema no servidor do Mobile Device Manager: um servidor de gateway, um servidor de gerenciamento de dispositivos, um servidor de registro e bancos de dados do SQL Server (veja a Figura 1).

Figure 1 Typical Mobile Device Manager system

Figure 1** Typical Mobile Device Manager system **(Clique na imagem para aumentar a exibição)

O servidor de gateway é normalmente instalado na rede de perímetro. Ele atua como terminal da conexão de rede dos dispositivos, autentica as conexões de dispositivos recebidas, fornece endereços IP estáveis aos dispositivos e realiza outras funções relacionadas à conectividade de dispositivos ou de rede.

O servidor de gerenciamento de dispositivos é o hub de administração e gerenciamento dos dispositivos, incluindo a implementação da Diretiva de Grupo, a distribuição de software OTA e os apagamentos de dispositivos. Ele funciona com os controladores de domínio existentes. Os servidores de gerenciamento de dispositivos atuam como clientes de rede substitutos dos dispositivos Windows Mobile, permitindo que esses dispositivos se comuniquem com outros sistemas.

O servidor de registro cria objetos dos Serviços de Domínio do Active Directory que representam os dispositivos móveis no controlador de domínio, permitindo que esses dispositivos sejam gerenciados da mesma forma que outros membros do domínio. Esse servidor lida também com as solicitações e a recuperação de certificados para os dispositivos móveis. Ele usa o Active Directory como base para autenticar os dispositivos antes de aceitar ou emitir certificados de registro. Os bancos de dados do SQL Server funcionam como repositório para todas as informações relacionadas à configuração, às tarefas, à definição de status dos dispositivos, e assim por diante.

Quando a infra-estrutura está em funcionamento, o Mobile Device Manager tem três tipos de interações com os dispositivos móveis: registro de dispositivos; estabelecimento de conexões de VPN móvel; e gerenciamento de dispositivos. O registro de dispositivos é o processo pelo qual um dispositivo ingressa no domínio do Active Directory. O Mobile Device Manager usa um "segredo compartilhado" — uma senha expirável de utilização única — para permitir que os dispositivos sejam registrados via conexões não seguras. Depois de registrado, um dispositivo pode fazer uma conexão de VPN móvel com o servidor de gateway pelo qual o tráfego de rede do dispositivo é roteado. Usando a conexão de VPN móvel, o administrador ou o sistema podem realizar o gerenciamento do dispositivo, enviando software e configurações.

Extensão do Active Directory para o Windows Mobile

Abordagens híbridas ou ad hoc para a segurança de TI podem ser mais arriscadas do que uma abordagem totalmente integrada. O Mobile Device Manager foi projetado para ajudar a reduzir esses riscos, por fornecer uma maneira de gerenciar dispositivos móveis como PCs Windows usando a infra-estrutura existente de Serviços de Domínio do Active Directory. O resultado é um gerenciamento de identidades e de acesso simplificado, um direcionamento de políticas mais consistente e uma configuração única de segurança.

Assim como acontece com PCs ou servidores, os Objetos de Diretiva de Grupo relacionados a dispositivos Windows Mobile podem ser atribuídos a UOs (unidades organizacionais), grupos de segurança e filtros WMI (Instrumentação de Gerenciamento do Windows). Os administradores podem também impedir que dispositivos específicos obtenham as configurações da Diretiva de Grupo.

Há mais de 130 configurações e políticas para dispositivos Windows Mobile, permitindo o controle granular sobre uma grande variedade de funções. Este é apenas um exemplo:

  • As configurações de senha incluem exigência de senha; tipo e tamanho mínimo; validade da senha; e apagamento local do dispositivo após um número especificado de tentativas fracassadas (incluindo a notificação do usuário quanto ao número de tentativas restantes).
  • As configurações de bloqueio da plataforma permitem que os administradores habilitem ou desabilitem seletivamente funções dos dispositivos, inclusive câmera, LAN sem fio, infravermelho, Bluetooth e armazenamento removível. As mensagens POP, IMAP, SMS e MMS podem ser desativadas e o Windows Update para Windows Mobile pode ser desabilitado.
  • O Mobile Device Manager permite o controle granular de aplicativos. Ele pode impedir que os dispositivos executem aplicativos não-assinados ou com assinaturas não-aprovadas, ou então permitir aplicativos não-assinados específicos a critério do administrador.
  • Para ajudar na proteção de dados, o administrador pode impor a criptografia de arquivos criados em cartões de armazenamento removível (com a chave de criptografia vinculada ao dispositivo). Também está disponível a criptografia no dispositivo, para a proteção de dados confidenciais contidos nele. Além dos arquivos protegidos por padrão, o administrador pode especificar arquivos adicionais a serem criptografados.
  • As configurações de VPN móvel determinam qual o controle dos usuários sobre as conexões de VPN dos seus dispositivos. Podem também ser usadas para definir os níveis de criptografia de dados.
  • As configurações do ActiveSync® definem o formato das mensagens, os filtros de vencimento dos emails, os limites de tamanho, as configurações de sincronização e muito mais.
  • As configurações de S/MIME podem exigir a assinatura e a criptografia das mensagens ou o uso de algoritmos específicos.

Essas e outras configurações dão suporte a uma grande variedade de cenários. Elas permitem que os profissionais de TI decidam que tipos de aplicativos podem ser executados em quais dispositivos. Recursos de hardware podem ser habilitados ou desabilitados via satélite — por exemplo, câmeras podem ser desabilitadas para impedir o comprometimento acidental ou intencional de informações confidenciais. A criptografia de dados pode ser imposta em dispositivos, cartões de armazenamento removível ou ambos, tornando menos provável que dados proprietários em dispositivos ou cartões perdidos ou roubados cheguem às mãos de indivíduos não-autorizados.

O Mobile Device Manager contém ainda outras ferramentas de gerenciamento de segurança. Com milhares de aplicativos disponíveis para os dispositivos Windows Mobile, há uma necessidade evidente de controle dos administradores sobre o que pode ou não ser instalado. O Mobile Device Manager permite criar e impor listas de permissão e bloqueio de aplicativos exatamente para essa finalidade. Ele fornece também recursos avançados de apagamento remoto. Devido à conexão VPN sempre ativa com os dispositivos, eles podem ser apagados imediatamente, sem a necessidade de esperar que se conectem à rede e façam a sincronização. Quando um dispositivo é apagado remotamente, ele é removido do controlador de domínio e seu certificado é revogado. Se um dispositivo é recuperado posteriormente, pode ser reintegrado ao domínio após o novo registro, com uma nova senha de utilização única.

Mantendo os dispositivos móveis sob controle

O Mobile Device Manager foi projetado para tornar o gerenciamento de dispositivos Windows Mobile na rede o mais fácil possível, fornecendo recursos completos de gerenciamento de dispositivos em uma única solução. Isso inclui provisionamento OTA; distribuição e atualização de software OTA; e um gerenciamento de inventário abrangente e centralizado.

O auto-registro OTA é um recurso que provavelmente conquistará os profissionais de TI e usuários mais ocupados. Um usuário digita um endereço de email em um dispositivo Windows Mobile 6.1, que tenta localizar o Servidor de Gerenciamento de Dispositivos Móveis com base no endereço de email fornecido. Se o servidor não for encontrado, será solicitado que o usuário insira manualmente o endereço do Servidor de Gerenciamento. Quando o servidor for encontrado e for determinado que o usuário pode registrar-se, será solicitado que o usuário digite uma senha de utilização única, gerada previamente pelo administrador.

O endereço de email e a senha são usados para autenticar o usuário e para registrar seu dispositivo no Servidor de Gerenciamento. Quando esse processo é concluído, as configurações e as políticas definidas pelo administrador são enviadas para o dispositivo. A abordagem de auto-registro se destina a aumentar a escalabilidade das implantações de dispositivos Windows Mobile e reduzir o tempo e o investimento necessários para colocar esses dispositivos em funcionamento.

Os recursos de distribuição de software OTA do Mobile Device Manager se baseiam no WSUS (Windows Software Update Services) 3.0, o kit de ferramentas de atualização de software já utilizado por muitos profissionais de TI em todo o mundo. Conforme mostrado na Figura 2, o WSUS 3.0 conta com funções de direcionamento e empacotamento de aplicativos capazes de atender a necessidades complexas de TI. É possível fornecer software automaticamente aos dispositivos apropriados com base em regras e políticas definidas pelo administrador. Assim como nas atualizações de servidores e clientes, atualizações e patches para dispositivos móveis podem ser automatizados com o WSUS 3.0. E outro recurso igualmente importante: as atualizações automáticas podem ser desativadas para planejamento e teste de implantação.

Figure 2 Software distribution wizard

Figure 2** Software distribution wizard **(Clique na imagem para aumentar a exibição)

Um dos maiores desafios associados ao gerenciamento de equipamentos móveis implantados em grande escala é simplesmente manter tudo sob controle. O Mobile Device Manager centraliza as informações de inventário e fornece relatórios flexíveis e personalizáveis baseados no SQL Server 2005 — mais uma vez, utilizando softwares que muitos usuários já têm instalados e conhecem bem. Os administradores podem coletar mais de uma centena de itens de informações de inventário, incluindo (mas sem limitar-se a) sistema operacional e versão, modelo do dispositivo, aplicativos instalados e políticas de segurança. O inventário é extensível, o que permite ao administrador adicionar itens e configurações do Registro.

Para uma flexibilidade ainda maior, você pode controlar o Mobile Device Manager usando snap-ins do Microsoft Management Console, se prefere uma interface gráfica do usuário (veja a Figura 3), ou com o console do Windows PowerShell, se prefere uma linha de comando. De qualquer forma, o sistema é extensível e personalizável — algo fundamental para usuários corporativos que desejam que o software se adapte à sua organização.

Figure 3 Mobile Device Manager Console

Figure 3** Mobile Device Manager Console **(Clique na imagem para aumentar a exibição)

VPN móvel

Há anos que os profissionais de TI trocam emails e mensagens em seus dispositivos móveis. Agora, um dos avanços mais úteis na tecnologia de dispositivos móveis é a capacidade de acessar dados e aplicativos de negócios protegidos pelo firewall. Com o maior acesso, surgem novos riscos à segurança. Por isso, a funcionalidade adicional deve ser gerenciada com cautela, de forma a prevenir vulnerabilidades. O Mobile Device Manager conta com os recursos mais avançados de VPN móvel, permitindo aos usuários acessar dados da intranet que vão desde o CRM (gerenciamento de relacionamento com o cliente) Microsoft DynamicsTM até SAP e Siebel. O modelo foi criado de forma correspondente às estratégias de acesso remoto existentes para desktops e laptops (veja a Figura 4).

Figure 4 Mobile VPN settings

Figure 4** Mobile VPN settings **(Clique na imagem para aumentar a exibição)

A VPN móvel conecta o dispositivo ao servidor de gateway usando um recurso de segurança de envelope duplo, no qual os dados são transmitidos em um formato criptografado com SSL, passando por um túnel criptografado com IPsec. Quando o dispositivo é autenticado, o usuário tem acesso aos recursos especificados pela política específica de recursos, em combinação com as credenciais do usuário.

A tecnologia de VPN móvel usada pelo Mobile Device Manager permite o estabelecimento de uma conexão sempre ativa, o que proporciona aos usuários um acesso melhor e também ajuda a garantir que os profissionais de TI possam manter os dispositivos com políticas e configurações atualizadas — e apagar imediatamente um dispositivo perdido ou roubado. A reconexão rápida ajuda a garantir que a sessão do dispositivo continue, sem necessidade de reautenticação, mesmo que uma sessão seja interrompida. O Mobile Device Manager permite uma transição tranqüila entre as redes Wi-Fi e celulares, mantendo a conectividade.

A tecnologia de segurança usada na VPN móvel do Mobile Device Manager se baseia nos padrões do setor, inclusive OMA DM (Open Mobile Alliance for Device Management), IKE (Internet Key Exchange) versão 2 e OMA SCOMO (Software Component Management Object). Isso aumenta a capacidade de extensão e personalização do sistema para lidar com situações específicas enfrentadas pelos profissionais de TI que atuam em ambientes complexos.

Uma solução completa

O Mobile Device Manager fornece um conjunto completo de ferramentas para gerenciar dispositivos Windows Mobile, acessíveis por meio de uma interface única. Ele utiliza o Active Directory e a Diretiva de Grupo para oferecer ferramentas de segurança que ajudam a proteger os dados, os dispositivos e a rede. O gerenciamento de dispositivos é simplificado com o registro, o provisionamento e a atualização OTA, e também por poderosas ferramentas de inventário. A VPN móvel foi projetada para proporcionar a funcionalidade buscada por empresas e usuários, sem comprometer a segurança.

Tudo isso faz parte da idéia de facilitar o trabalho dos profissionais de TI, permitindo que os dispositivos móveis sejam gerenciados na rede como elementos de primeira classe. O Mobile Device Manager confere aos profissionais de TI o poder de fornecer uma experiência de qualidade aos usuários finais, reduzir a sobrecarga administrativa e garantir à gerência um melhor ROI — uma combinação realmente inovadora.

Meus agradecimentos a Brian Hoskins, Derek Snyder, Prithvi Raj, Lax Madapaty e Katharine Holdsworth por suas contribuições para este artigo.

Matt Fontaine é escritor freelancer na área de tecnologia e consultor da BuzzBee Company. Ele atua em diversos setores, inclusive computação de alto desempenho, softwares corporativos, ramo atuarial, ramo imobiliário comercial, engenharia, construção e mercadorias embaladas para consumo. Matt orgulha-se de ser aluno do Evergreen State College.

© 2008 Microsoft Corporation e CMP Media, LLC. Todos os direitos reservados. A reprodução parcial ou completa sem autorização é proibida..