• Статья

System Center

Введение в System Center Mobile Device Manager

Мэтт Фонтейн (Matt Fontaine)

 

Краткий обзор:

  • Типичная система Mobile Device Manager
  • Распространение Active Directory на Windows Mobile
  • Регистрация, инициализация и инвентаризация устройств Windows Mobile

Запуск Microsoft System Center Mobile Device Manager 2008 открывает замечательные перспективы для специалистов по ИТ, управляющих устройствами Windows Mobile в корпоративных сетях. Предоставляя возможности по управлению устройствами, управлению безопасностью и виртуальную частную сеть (Virtual Private Network – VPN) мобильных устройств

в одном продукте, это новое предложение может помочь в понижении административных нагрузок и способствовать повышению окупаемости (return on investment – ROI) для групп мобильных устройств.

Mobile Device Manager позволяет специалистам по ИТ использовать существующую инфраструктуру Active Directory® и групповых политик для принудительной установки параметров устройств. Возможности по беспроводному (Over-the-air – OTA) управлению устройствами позволяют специалистам по ИТ легко доставлять на устройства обновления и приложения, в то время как беспроводная самоподготовка упрощает развертывание и повышает его масштабируемость. Виртуальная частная сеть мобильных устройств дает конечным пользователям доступ к данным и приложениям за брандмауэром, в то же время предоставляя постоянно работающее подключение для контроля развернутых устройств администраторами. С учетом того, что все эти возможности входят в один расширяемый, настраиваемый и масштабируемый продукт, Mobile Device Manager является важным средством для сегодняшних специалистов по ИТ.

Потребность в управлении

В обозримом будущем ожидается продолжение быстрого роста числа сотрудников, пользующихся мобильными устройствами. Исторически мобильными устройствами было сложнее управлять, чем другим сетевым оборудованием, в силу самого факта их мобильности. Они подключаются к сети широким набором способов, и некоторые устройства не так защищены, как прочие, – они могут существовать вне брандмауэра, использовать иные операционные системы, чем клиентские устройства, а в силу их малого размера их легко забыть или потерять.

Расширенные возможности современных мобильных устройств заманчивы как для предприятий, так и для конечных пользователей, но также усложняют поддержку этих устройств. Это может открыть корпоративные данные и сети дополнительным угрозам, особенно когда устройства используются для доступа к важным бизнес-приложениям и клиентским данным. Такие устройства могут создать критические для безопасности ситуации в случае их утраты, кражи или неверного использования.

По мере сокращения разницы в возможностях мобильных устройств и традиционных сетевых клиентов возникает растущая потребность в управлении мобильными устройствами таким же образом, как и портативными или настольными компьютерами. Ее порождением и является Mobile Device Manager. По мере того, как популярность платформы Windows Mobile® среди бизнес-пользователей продолжает расти, Mobile Device Manager становится важным аспектом систем управления информационными технологиями на основе Windows®.

Mobile Device Manager разработан, чтобы предоставить полный набор средств управления устройствами Windows Mobile, позволяющий осуществлять его так же легко, как если бы они были настольными или портативными ПК, объединенными в сеть. У него имеется три ключевых функции:

Управление устройствами Централизованная функция инициализации устройств Windows Mobile, наблюдения за ними и управления ими, масштабированная до десятков тысяч пользователей на каждый сервер.

Управление безопасностью Улучшенные механизмы защиты конфиденциальных данных и отслеживания устройств.

Мобильная частная виртуальная сеть Лучший доступ к находящимся за брандмауэром данным и постоянно работающим приложениям.

Mobile Device Manager создан в ключе общей философии System Center, предусматривающей предоставление специалистам по ИТ средств для управления корпоративными ресурсами в качестве привилегированных компонентов сети – на одном уровне с настольными и портативными ПК. Он также предоставляет интерфейс пользователя, который будет знаком тем, кто уже использует другие продукты System Center.

Это также значит, что Mobile Device Manager разработан для хорошего взаимодействия с существующей инфраструктурой на основе Windows. Если обратиться к примерам, он использует Active Directory и групповые политики; работает с существующими средствами анализа и отчетов Майкрософт (такими как SQL Server®); и расширяем с помощью использования оснасток консоли управления Microsoft® Management Console, а также командлетов Windows PowerShellTM.

Система Mobile Device Manager

Mobile Device Manager высоко масштабируем – один его экземпляр может поддерживать десятки тысяч устройств, а также различные варианты настройки. Говоря в общем, на стороне сервера в Mobile Device Manager имеются четыре основных компонента системы: сервер-шлюз, сервер управления устройствами, сервер регистрации и базы данных SQL Server (см. рис. 1).

Figure 1 Typical Mobile Device Manager system

Figure 1** Typical Mobile Device Manager system **(Щелкните изображение, чтобы увеличить его)

Сервер-шлюз обычно устанавливается в граничной сети. Он служит терминалом для сетевого подключения устройства, проверяет подлинность входящих подключений устройств, предоставляет стабильные IP-адреса для устройств и выполняет другие функции, относящиеся к сетевым подключениям и подключениям устройств.

Сервер управления устройствами является узлом администрирования и управления устройствами, включая применение групповых политик, распространение программного обеспечения по беспроводной связи и стирание памяти устройств. Он работает с существующими контроллерами доменов. Серверы управления устройствами выступают в качестве заменителей сетевых клиентов для устройств Windows Mobile, позволяя этим устройствам сообщаться с другими системами.

Сервер регистрации создает объекты доменных служб Active Directory, представляющие мобильные устройства в контроллере домена, позволяя управлять этими устройствами подобно остальным членам домена. Этот сервер также занимается запросами и получением сертификатов для мобильных устройств. Он использует Active Directory как основу для проверки подлинности устройств перед тем, как принимать или выпускать сертификаты регистрации. Базы данных SQL Server предоставляют хранилище для всей информации, относящейся к настройке устройств, задачам, параметрам состояния и так далее.

После установки и запуска инфраструктуры Mobile Device Manager производит три типа взаимодействий с мобильными устройствами: регистрацию устройств, установка подключений виртуальной частной сети мобильных устройств и управление устройствами. Регистрация устройств – это процесс, в результате которого устройство присоединяется к домену Active Directory. Mobile Device Manager использует «общий секрет» – одноразовый пароль с коротким сроком действия – чтобы сделать возможной регистрацию устройств через небезопасные подключения. После регистрации устройство может осуществлять подключение по виртуальной частной сети к серверу шлюза, через который маршрутизируется сетевой трафик от устройства. Используя подключение мобильной виртуальной частной сети, администратор может осуществлять управление устройствами, направляя на устройство программное обеспечение и параметры.

Распространение Active Directory на Windows Mobile

Гибридные или специальные подходы к безопасности ИТ могут быть более рискованны, чем полностью интегрированный подход. Диспетчер Mobile Device Manager разработан, чтобы помочь в уменьшении подобных рисков, предоставляя способ управления мобильными устройствами, такими как ПК под управлением Windows, с использованием существующей инфраструктуры доменных служб Active Directory. Результатом является более простое управление идентификационными данными и доступом, более последовательный выбор целей для политик и выполнение всех настроек безопасности в одном месте.

Точно так же, как и в случае ПК или серверов, объекты групповой политики, относящиеся к устройствам Windows Mobile, могут быть выделены подразделениям, группам безопасности и фильтрам инструментария управления Windows (Windows Management Instrumentation). Администраторы могут также предотвратить получение параметров групповой политики определенными устройствами.

Существует свыше 130 параметров и политик для устройств Windows Mobile, что делает возможным детальный контроль над широким набором функций. Просто для примера:

  • В число параметров пароля входят требования к паролю; тип и минимальная длина; время истечения пароля и стирание памяти локального устройства после указанного числа неудачных попыток (включая уведомление пользователя о оставшемся числе попыток)
  • Параметры блокировки платформы позволяют администраторам включать или отключать по выбору функции устройств, включая камеры, беспроводные локальные сети, инфракрасные устройства, Bluetooth и съемные носители. Обмен сообщениями по протоколам POP и IMAP, а также службам SMS и MMS может быть отключен, равно как и служба обновления Windows для Windows Mobile.
  • Mobile Device Manager предоставляет детальный контроль над приложениями. Он может предотвратить запуск неподписанных приложений или приложений с неодобренными подписями на устройствах, либо допускать конкретные неподписанные приложения по усмотрению администратора.
  • Чтобы облегчить защиту данных, администратор может ввести принудительное шифрование файлов, хранящихся на съемных картах хранения (с ключом шифрования, привязанным к устройству). Для защиты важных данных на устройстве также доступно шифрование устройства. Помимо файлов, защищенных по умолчанию, администратор может указать дополнительные файлы, которые следует зашифровать.
  • Параметры виртуальных частных сетей мобильных устройств определяют уровень контроля пользователей над их подключениями к такой сети и также могут быть использованы для установки уровней шифрования данных.
  • Параметры ActiveSync® устанавливают формат сообщений, фильтры электронной почты, ограничения по размеру, параметры синхронизации и многое другое.
  • Параметры S/MIME могут требовать подписывания сообщений, шифрования сообщений или использования определенных алгоритмов.

Эти и другие параметры поддерживают широкий набор ситуаций. Они позволяют специалистам по ИТ решить, какие типы приложений могут работать на каких устройствах. Функции оборудования могут быть включены или отключены для беспроводной связи – например, камеры можно отключить, чтобы помочь в предотвращении случайной или намеренной компрометации важной информации. Шифрование данных может быть введено для устройств, съемных карт хранения либо и того, и другого, чтобы уменьшить риск попадания производственной информации в чужие руки через их потерю или кражу.

В Mobile Device Manager также входят другие средства безопасности. При наличии тысяч приложений, доступных для устройств Windows Mobile, для администраторов существует очевидная потребность в определении того, которые из них можно или нельзя установить. Mobile Device Manager позволяет создавать и обеспечивать соблюдение списков допуска и блокировки приложений именно для этой цели. Он также предоставляет широкие возможности по удаленному стиранию памяти. Благодаря постоянному подключению по виртуальной частной сети к устройствам память с устройств можно стирать немедленно, не ожидая их подключения к сети и синхронизации. При удаленном стирании памяти устройства оно удаляется из контроллера домена, и его сертификат отзывается. Если устройство затем восстанавливается, его можно установить на воссоединение с доменом после перерегистрации с помощью нового одноразового пароля.

Удержание мобильных устройств под контролем

Mobile Device Manager разработан, чтобы сделать управление устройствами Windows Mobile в сетях настолько простым, насколько это возможно, предоставляя полный набор функций по управлению мобильными устройствами в одном решении, включая беспроводную подготовку, беспроводное распространение программного обеспечения и обновлений, а также исчерпывающее и централизованное управление активами.

Беспроводная саморегистрация – свойство, которое может завоевать сердца занятых специалистов по ИТ и конечных пользователей. Пользователь вводит адрес электронной почты на устройстве Windows Mobile 6.1, которое пытается обнаружить сервер управления мобильными устройствами на основе этого адреса. Если сервер не найден, оно запрашивает пользователя ввести адрес сервера управления вручную. После того, как сервер найден и определено, что пользователь может зарегистрироваться, у пользователя запрашивается одноразовый секретный код, заранее созданный администратором.

Адрес электронной почты и секретный код используются для определения личности пользователя и регистрации его устройства на сервере управления. После того, как это сделано, устройству передаются определенные администратором параметры и политики. Подход с саморегистрацией разработан, чтобы повысить масштабируемость развертывания устройств Windows Mobile и сократить время и затраты, необходимые для ввода этих устройств в действие.

Возможности Mobile Device Manager по беспроводному распространению программного обеспечения основаны на службах обновления программного обеспечения Windows (WSUS) 3.0, наборе средств для обновления программного обеспечения, уже используемом многими специалистами по ИТ по всему миру. Как показано на рис. 2, WSUS 3.0 предоставляет функции выбора цели и комплектации пакетов приложений, необходимые для сложных потребностей ИТ. Программное обеспечение может автоматически доставляться на соответствующие устройства на основе правил и политик, установленных администратором. WSUS 3.0 позволяет автоматизировать обновления мобильных устройств, точно так же как обновления серверов и клиентов. И, что не менее важно, автоматически обновления можно отключить для планирования и тестирования развертывания.

Figure 2 Software distribution wizard

Figure 2** Software distribution wizard **(Щелкните изображение, чтобы увеличить его)

Одной из крупнейших проблем при управлении мобильным оборудованием, развернутым в больших масштабах, является простое отслеживание всего. Mobile Device Manager централизует сведения о ресурсах и предоставляет гибкие, настраиваемые отчеты на основе SQL Server 2005 – опять же используя программное обеспечение, уже имеющееся у многих пользователей и знакомое им. Администраторы могут собирать более сотни элементов сведений о ресурсах, включая (но не ограничиваясь ими) сведения о операционной системе и ее версии, модели устройства, установленных приложениях и политиках безопасности. Список, создаваемый в результате инвентаризации, расширяем, что позволяет администратору добавлять элементы и параметры реестра.

Для дальнейшего повышения гибкости диспетчером Mobile Device Manager можно управлять с помощью оснастки консоли управления Майкрософт, если желателен графический интерфейс пользователя (см. рис. 3) или с помощью консоли Windows PowerShell, если предпочитается командная строка. В обоих случаях система расширяема и настраиваема – что важно для корпоративных пользователей, которым нужно, чтобы программное обеспечение подходило к запросам их организации.

Figure 3 Mobile Device Manager Console

Figure 3** Mobile Device Manager Console **(Щелкните изображение, чтобы увеличить его)

Мобильная виртуальная частная сеть

Информационные работники уже не первый год обмениваются электронными письмами и сообщениями на мобильных устройствах. На данный момент одним из наиболее полезных нововведений в технологиях мобильных устройств является способность получения доступа к бизнес-данным и приложениям, защищенным брандмауэром. С повышением доступа возникают новые угрозы безопасности, так что необходимо тщательное управление добавленными функциями для предотвращения появления уязвимостей. Mobile Device Manager предоставляет самые современные возможности мобильной виртуальной частной сети, давая пользователям доступ к данным интрасетей от систем управления взаимоотношениями с клиентами (CRM) Microsoft DynamicsTM до SAP и Siebel. Модель построена для соответствия существующим стратегиям удаленного доступа для настольных и портативных ПК (см. рис. 4).

Figure 4 Mobile VPN settings

Figure 4** Mobile VPN settings **(Щелкните изображение, чтобы увеличить его)

Виртуальная частная сеть подключает устройство к шлюзу при помощи функции безопасности двойного конверта, в которой данные передаются в зашифрованном с помощью SSL виде через зашифрованный с помощью IPsec туннель. После проверки подлинности устройства пользователь получает доступ к ресурсам в соответствии с указанным сочетанием политики отдельных ресурсов с учетными данными пользователя.

Технология мобильной виртуальной частной сети, используемая Mobile Device Manager, делает возможным создание постоянных подключений, которые не только дают пользователям улучшенный доступ, но и помогают специалистам по ИТ обновлять устройства последними параметрами и политиками – а также немедленно стирать память устройства в случае его кражи или потери. Даже в случае прерывания сеанса быстрое повторное подключение помогает обеспечить продолжение сеанса устройства без необходимости в повторной проверке подлинности. Mobile Device Manager обеспечивает плавный переход между Wi-Fi и сотовыми сетями, поддерживая при этом подключение.

Технология безопасности, используемая в мобильных виртуальных частных сетях Mobile Device Manager, основана на отраслевых стандартах, включая стандарт управления устройствами открытого сообщества производителей мобильной связи (OMA DM), версию 2 протокола IKE и стандарт объекта управления программным компонентом открытого сообщества производителей мобильной связи (SCOMO). Это помогает сделать систему более гибкой и приспосабливаемой к конкретным ситуациям, с которыми могут столкнуться специалисты по ИТ, работающие в сложных средах.

Полное решение

Mobile Device Manager предоставляет полный набор средств управления устройствами Windows Mobile, доступный через единый интерфейс. Он использует Active Directory и групповые политики для предоставления средств безопасности, которые помогают защищать данные, устройства и сеть. Управление устройствами упрощается посредством беспроводной регистрации, подготовки и обновления, а также разносторонними средствами инвентаризации. Частная виртуальная сеть мобильных устройств разработана для предоставления функций, необходимым предприятиям и пользователям, без ущерба для безопасности.

Все это является неотъемлемой частью идеи упрощения работы специалистов по ИТ посредством предоставления возможности управления мобильными устройствами как привилегированными компонентами сети. Mobile Device Manager дает специалистам по ИТ возможность предоставлять качественное обслуживание конечного пользователя, понижает административные издержки и предоставляет повышенную окупаемость вложений в управление – сочетание, заслуживающее внимания.

Я бы хотел выразить свою благодарность Брайану Хоскинсу (Brian Hoskins), Дереку Снайдеру (Derek Snyder), Притви Раджу (Prithvi Raj), Лаксу Мадапати (Lax Madapaty) и Катерине Холдсворт (Katharine Holdsworth) за их вклад в написание этой статьи.

Мэтт Фонтейн (Matt Fontaine) – внештатный разработчик технологической документации и консультант, работающий с компанией BuzzBee Company. Он оказывает услуги в широком наборе сфер, включая высокопроизводительные вычисления, корпоративное программное обеспечение, ведение страховой статистики, коммерческую недвижимость, проектирование, строительство и расфасованные товары. Мэтт является выпускником государственного колледжа Эвергрин и гордится этим.

© 2008 Корпорация Майкрософт и компания CMP Media, LLC. Все права защищены; полное или частичное воспроизведение без разрешения запрещено.