BYOD:微软移动设备管理系统中心解读
管理需求
<script></script>
对于管理公司网络中的Windows Mobile设备的IT专业人员而言,Microsoft System Center Mobile Device Manager 2008的发布是一件令人兴奋的盛事。通过在单一产品中提供设备管理、安全管理和移动虚拟专用网 (VPN)功能,这一新产品可以有助于降低管理负担并提高移动设备的投资回报 (ROI)。
Mobile Device Manager 可使 IT 专业人员利用现有的 Active Directory 和组策略基础架构对设备进行设置。IT 专业人员可使用无线 (OTA) 设备管理功能轻松地向设备提供更新和应用程序,而 OTA 自置备功能可使部署更加轻松且更具伸缩性。移动 VPN 使最终用户能够访问防火墙后的数据和应用程序,同时向管理员提供永不间断的连接以便于其控制部署的设备。由于在一个可扩展、可自定义且可伸缩的产品中提供了所有这些功能,因此 Mobile Device Manager 对如今的 IT 专业人员而言是一个不可或缺的工具。
管理需求
据预测,在随后的几年中移动员工的数量仍会继续保持快速增长势头。由于移动性这一事实,移动设备历来都要比其他网络设备更难于管理。它们以各种方式连接到网络,并且有些设备的安全性要比其他设备差一些——它们可能位于防火墙以外、它们使用不同于客户端设备的操作系统,而且它们一般都很小,容易忘记放置位置或丢失。
现在的移动设备所具有的扩展功能向企业和最终用户展示了众多诱人的优点,但这也使得对这些设备的支持更加复杂。它可能会使公司数据和网络面临更多的安全风险,尤其是使用此类设备访问敏感的业务线 (LOB) 应用程序和客户数据时。如果此类设备丢失、被盗或使用不当,可能会带来严重的安全问题。
由于移动设备与传统网络客户端之间的功能沟壑已消失,因此越来越需要像管理便携式计算机或台式计算机一样来管理移动设备。这就是 Mobile Device Manager 的设计初衷。由于 Windows Mobile 平台在业务用户中越来越普及,因此 Mobile Device Manager 将成为基于Windows的 IT 管理系统的最关键环节。
Mobile Device Manager 的设计目标就是使 Windows Mobile 设备能够像联网的计算机或便携式计算机一样,轻松地进行端对端管理和控制。它包含以下三个关键功能:
设备管理 将 Windows Mobile 设备的置备、监控和管理功能集中在一起,使每个服务器都可以扩展到成千上万个用户。
安全管理 是一种用来保护敏感数据和跟踪设备的非常出色的机制。
移动 VPN 更好地访问防火墙后的数据和应用程序且永不间断。
Mobile Device Manager 符合整体的 System Center 基本原则,即优先为 IT 专业人员配备管理公司资产所需的工具——等同于台式和便携式计算机。它还提供了使用过其他 System Center 产品的人员所熟悉的用户界面。
这也意味着,由于采用了现有的基于 Windows 的基础结构设计,因此 Mobile Device Manager 的工作效果非常出色。例如,它使用 Active Directory 和组策略;它使用现有的 Microsoft 分析和报告工具(如 SQL Server);并且它可以使用 Microsoft管理控制台管理单元和 Windows PowerShellTM cmdlet 进行扩展。
Mobile Device Manager 系统
Mobile Device Manager 的扩展性很强,可以在单个实例上支持成千上万的设备,另外还有多个配置选项。一般来说,Mobile Device Manager 的服务器端有四个主要系统组件:网关服务器、设备管理服务器、注册服务器和 SQL Server 数据库(请参见图 1)。
Mobile Device Manager system
网关服务器通常安装在外围网络中。它充当设备的网络连接终端、验证传入的设备连接、为设备提供稳定的 IP 地址以及执行其他与设备或网络连接相关的功能。
设备管理服务器是设备管理的中心,包括组策略实施、OTA 软件分发以及设备擦除等。它使用现有的域控制器。设备管理服务器充当 Windows Mobile 设备的代理网络客户端,从而使这些设备可以与其他系统进行通信。
注册服务器可创建代表域控制器中的移动设备的 Active Directory 域服务对象,以便能够像管理其他域成员一样管理这些设备。此服务器还处理移动设备的证书请求和检索。在接受或发出注册证书之前,它基于 Active Directory 对设备进行身份验证。SQL Server 数据库提供了一个用来存放有关设备配置、任务、状态设置等各种信息的存储库。
启动并运行基础结构后,Mobile Device Manager 与移动设备之间有三种类型的交互:设备注册、建立移动 VPN 连接和设备管理。设备注册是设备加入 Active Directory 域的过程。Mobile Device Manager 使用“共享机密”(一个会过期的一次性密码)来使设备能够通过非安全的连接进行注册。注册之后,设备即可与网关服务器进行移动 VPN 连接,届时设备的网络流量都将通过此网关服务器进行路由。使用移动 VPN 连接,管理员或系统可执行设备管理并将软件和设置推送给设备。
将 Active Directory 扩展到 Windows Mobile
混合的或专门的 IT 安全方法可能会比完全集成的安全方法更具风险性。Mobile Device Manager 旨在通过使用现有的 Active Directory 域服务基础结构提供一种移动设备管理方法(如 Windows PC)来帮助降低此类风险。最终会得到简化的身份和访问管理、更一致的策略目标和一站式的安全配置。
就像 PC 或服务器一样,与 Windows Mobile 设备相关的组策略对象可指定给组织单位 (OU)、安全组以及 Windows 管理规范 (WMI) 筛选器。管理员也可以阻止特定的设备获取组策略设置。
Windows Mobile 设备拥有 130 余个设置和策略,可以精准地控制各种功能。以下是一个示例:
密码设置包括密码要求、类型和最小长度、密码过期时间以及经过指定次数的失败尝试后执行本地设备擦除(包括通知用户剩余尝试次数)。
平台锁定设置使管理员能够有选择地启用或禁用设备功能,包括照相机、无线 LAN、红外线、蓝牙和可移动存储等。邮局协议 (POP)、Internet 消息访问协议 (IMAP)、短消息服务 (SMS) 和多媒体消息服务 (MMS) 等都可以被关闭,并且可以禁用 Windows Mobile 的 Windows Update。
Mobile Device Manager 提供精细的应用程序控制。它可以阻止设备运行未签名的应用程序或具有未批准签名的应用程序,还可以根据管理员的判断允许特定的未签名应用程序。
为帮助保护数据,管理员可以强制加密在可移动存储卡上创建的文件(使用与设备相关的加密密钥)。设备加密还可以用来保护设备上的敏感数据。除默认被保护的文件以外,管理员还可以指定要加密的其他文件。
移动 VPN 设置可用来决定用户对其设备的 VPN 连接具有何种控制,还可用来设置数据加密级别。
ActiveSync 设置可设定消息格式、电子邮件有效期限筛选器、大小限制以及同步设置等。
S/MIME 设置可能需要消息签名、消息加密或使用特定算法。
这些设置以及其他设置都支持范围很广的各种方案。它们使 IT 专业人员能够决定在哪些设备上可以运行哪些类型的应用程序。可通过无线方式启用或禁用硬件功能,例如,可禁用照相机以帮助防止意外或故意泄露敏感信息。可强制在设备上、可移动存储卡上或同时在这两者上执行数据加密,以降低因设备或存储卡丢失或被盗而致使专有数据落入未授权个人手中的可能性。
其他一些安全管理工具也是 Mobile Device Manager 的一部分。由于可供 Windows Mobile 设备使用的应用程序成千上万,因此显然需要由管理员来控制能够安装的和不能安装的应用程序。为此,Mobile Device Manager 允许您创建并强制执行应用程序的允许和阻止列表。它还提供功能强大的远程擦除功能。由于与设备之间存在永不间断的 VPN 连接,因此不必等待其连接到网络并同步即可立即擦除设备。远程擦除设备后,会将其从域控制器中删除并吊销其证书。如果以后恢复设备,可使用新的一次性密码重新注册,然后即可将其设置为重新加入域。
持续检查移动设备
Mobile Device Manager 可以在单一解决方案中提供完整的设备管理功能,这最大程度地简化了管理网络上各种 Windows Mobile 设备的工作,包括 OTA 置备、OTA 软件和更新分发以及全面、集中的清单管理。
OTA 自注册功能可能会赢得忙碌的 IT 专业人员和最终用户的欢心。用户只需在 Windows Mobile 6.1 设备上输入电子邮件地址,它就会尝试根据给定的电子邮件地址查找移动设备管理服务器。如果找不到服务器,它会提示用户手动输入管理服务器的地址。找到服务器并确定该用户可以注册后,它会要求用户输入管理员预先生成的一次性验证码。
电子邮件地址和验证码将用于对用户进行身份验证并在管理服务器中注册其设备。一切都完成后,管理员定义的设置和策略将被推送到设备中。自注册方法旨在增强 Windows Mobile 设备部署的可伸缩性并减少启动和运行此类设备所需的时间和金钱。
Mobile Device Manager 的 OTA 软件分发功能基于 Windows Software Update Services (WSUS) 3.0(世界各地的众多 IT 专业人员一直都在使用的一款软件更新工具包)而开发。如图 2 所示,WSUS 3.0 提供了各种可满足复杂 IT 需求的定位和应用程序打包功能。它可以根据管理员所设置的规则和策略自动为适当的设备提供软件。与服务器和客户端更新一样,可使用 WSUS 3.0 来自动安装移动设备的更新程序和修补程序。同样至关重要的一点是,在部署规划和测试时可关闭自动更新功能。
Software distribution wizard
管理大规模部署的移动设备的最大挑战之一是如何能够简单地进行跟踪。Mobile Device Manager 集中了清单信息并提供了基于 SQL Server 2005 的灵活、可自定义的报告——同样,可以使用许多用户都已熟悉的软件来执行这些工作。管理员可收集超过一百项清单信息,包括(但不限于)操作系统和版本、设备型号、已安装的应用程序以及安全策略等。清单是可扩展的,这将允许管理员添加项目和注册表设置。
Mobile Device Manager Console
如需更多的灵活性,可借助其他工具对 Mobile Device Manager 进行控制,如果喜欢图形用户界面,可使用 Microsoft 管理控制台管理单元(请参见图 3),如果喜欢命令行,可使用 Windows PowerShell 控制台。在任何一种方法中,系统都可以进行扩展和自定义——对于希望使软件符合其组织要求的企业用户而言,这一点至关重要。
移动 VPN
多年以来,许多信息工作者一直都在通过移动设备来发送电子邮件和传递消息。现在,移动设备技术领域最有用的发展之一是可以访问防火墙之后的业务数据和应用程序。随着访问能力的改善,新的安全风险也随之上升,因此必须谨慎地管理增加的功能以防止出现漏洞。Mobile Device Manager 提供了先进的移动 VPN 功能,使用户可以访问 intranet 中的各种数据,从 Microsoft DynamicsTM 客户关系管理 (CRM) 到 SAP 再到 Siebel 等。另外还构建了一种模型来匹配台式计算机或便携式计算机的现有远程访问策略。
Mobile VPN settings
移动 VPN 使用双围安全功能来将设备连接到网关服务器,并以 SSL 加密格式通过 IPsec 加密通道来传输数据。设备通过身份验证后,用户即可根据资源特定的策略和用户凭据来访问资源。
Mobile Device Manager 所使用的移动 VPN 技术可建立永不间断的连接,这不仅为用户提供了增强的访问能力,而且有助于确保 IT 专业人员即时更新设备的策略和设置,并可以在设备丢失或被盗时立即擦除设备。在会话中断的情况下,快速重连功能可确保设备会话继续进行,而无需重新进行身份验证。Mobile Device Manager 可在保持连接不断的情况下实现 Wi-Fi 和移动电话网络之间的平稳转换。
Mobile Device Manager 移动 VPN 中所使用的安全技术都是以行业标准为基础的,包括设备管理开放移动联盟 (OMA DM)、因特网密钥交换 (IKE) 第 2 版以及 OMA 软件组件管理对象 (SCOMO) 等。这将有助于针对 IT 专业人员所处的复杂环境中的特定情形来扩展和自定义系统。
完整的解决方案
Mobile Device Manager 提供了一整套的工具,可以通过单一的界面来管理 Windows Mobile 设备。它利用 Active Directory 和组策略来提供用来保护数据、设备和网络的安全工具。通过 OTA 注册、置备和更新以及强大的清单工具,可更加轻松地对设备进行管理。移动 VPN 旨在不影响安全的情况下提供企业和用户所需的功能。
所有这一切都体现了这一理念,即优先考虑通过网络进行管理的移动设备,从而使 IT 专业人员的工作更加轻松。Mobile Device Manager 使 IT 专业人员能够提供优质的最终用户体验、降低管理开销并提供更高的管理投资回报——这的确是一种值得选择的组合
上一篇: 警察叔叔不用来了,我看错了
下一篇: 破解入门(三)-----脱壳的常用方法