Интеллектуальные и мощные мобильные устройства стали привлекательнее для пользователей и компаний, но одновременно возросли и риски. Благодаря доступу из любого места к корпоративным документам, контактам, электронной почте и календарю повышается производительность труда, но при этом возникает опасность потери или кражи устройств, содержащих конфиденциальные данные (совсем не редкий случай).
Первоначально компания Microsoft обеспечила возможности синхронизации мобильных устройств в продукте Microsoft Mobile Information Server, функциональность которого интегрирована в Exchange Server 2003. Следующие выпуски Exchange дополнены обновленными функциями для управления мобильными устройствами, но все же Exchange не соответствовал всем требованиям к управлению и защите мобильных устройств. В 2008 г. был выпущен диспетчер System Center Mobile Device Manager (SCMDM) с функциональностью корпоративного уровня для управления, защиты и мониторинга мобильных устройств. Далее мы рассмотрим функциональность SCMDM, подробно остановимся на процессе установки и поговорим о том, как эффективно использовать продукт в конкретных условиях.
Характеристики SCMDM
Благодаря SCMDM средства управления и настройки мобильных устройств становятся похожими на привычные инструменты для настольных компьютеров. Четыре основные функциональные категории SCMDM: сетевые подключения, безопасность, управление устройствами и оптимизация соединений.
Сетевые подключения. Собственная реализация VPN в диспетчере SCMDM оптимизирована для мобильных устройств. Мобильные устройства часто отключаются и переподключаются без ведома пользователя, при этом могут меняться IP-адреса (что приводит к сбоям в работе бизнес-приложений, рассчитанных на более стабильные соединения). SCMDM обеспечивает преобразование сетевых адресов (NAT), чтобы освободить приложения в корпоративной сети от необходимости учитывать особенности метода подключения устройств.
Безопасность. С помощью диспетчера SCMDM мобильные устройства можно присоединить к домену Active Directory (AD), обеспечив некоторые функции управления, типичные для обычных компьютеров. Например, можно использовать учетные записи AD для управления сетевым доступом или применить групповые политики AD к мобильным устройствам. В SCMDM есть собственная функция дистанционного удаления информации и средства инвентаризации устройств и проверки их соответствия политикам.
Управление устройствами. Управление устройствами в SCMDM основано на принципе регистрации устройств. Зарегистрированное устройство получает политики и параметры управления из диспетчера SCMDM. Зарегистрированные устройства могут получать параметры групповой политики, а метод публикации программ для мобильных устройств похож на применяемый в AD для компьютеров Windows.
Оптимизация соединений. SCMDM играет роль шлюза между управляемыми мобильными устройствами и внутренней сетью. В этом качестве SCMDM кэширует данные (передаваемые в обоих направлениях), агрегирует сетевой трафик и лучше управляет обменом данными между устройствами в сети.
SCMDM и другие решения Microsoft
Способ интеграции SCMDM с другими продуктами Microsoft довольно прост: диспетчер может использоваться в качестве самостоятельного компонента. Например, при регистрации мобильного устройства в SCMDM политики, определенные в SCMDM, заменяют любые политики, назначенные в Exchange 2010 или Exchange 2007. Если для инвентаризации и распространения программ используется диспетчер SCCM, то SCMDM замещает и эту функциональность. Аналогично мобильная функциональность VPN в диспетчере SCMDM замещает соединения VPN через Internet and Security Acceleration (ISA) Server или Internet Application Gateway (IAG). SCMDM можно рассматривать как дополнение к этим продуктам, сделанное с целью замены функций, ориентированных на настольные компьютеры, ноутбуки и серверы, функциональностью, учитывающей особенности миниатюрных, мобильных устройств, работающих от батарей.
Компоненты SCMDM
В диспетчер SCMDM входит три основных серверных роли, которые нужно установить в сети (см. рисунок).
MDM Gateway Server. MDM Gateway Server располагается на периметре сети. Мобильные устройства подключаются к серверу шлюза через мобильную VPN; чтобы внутренние приложения не зависели от изменений адресов мобильных устройств, шлюз предоставляет каждому устройству во внутренней сети статический IP-адрес. Шлюз также передает в устройство изменения групповой политики и программные обновления.
MDM Device Management Server. Это посредник между AD и мобильным устройством. Он обеспечивает преобразование информации групповой политики в формат, пригодный для клиента SCMDM на мобильном устройстве, отслеживает и составляет расписание программных обновлений для передачи в зарегистрированные устройства. Кроме того, сервер предоставляет центральное хранилище данных для инвентаризации и отчетов.
MDM Enrollment Server. Данный сервер выполняет регистрацию мобильных устройств для взаимодействия с диспетчером SCMDM. Для этого используется общая база данных с MDM Device Management Server.
Развертывание SCMDM
Процесс развертывания SCMDM несколько отличается от других корпоративных продуктов Microsoft. В давно используемых продуктах, таких как Exchange, многие необходимые подготовительные шаги выполняются автоматически, но для SCMDM требуется как вмешательство администратора, так и глубокие знания об операциях установки. Перечислим основные этапы установки MDM.
- Подготовка инфраструктуры AD компании, добавление объектов и шаблонов для SCMDM.
- Установка и настройка MDM Enrollment Server для регистрации устройств.
- Установка и настройка MDM Device Management Server.
- Установка и настройка MDM Gateway Server.
- Установка MDM Self Service Portal, дополнительного компонента, через который пользователи могут выполнять определенные действия по управлению устройствами.
1. Подготовка AD
Естественно, первый шаг при развертывании SCMDM — подготовка AD для интеграции мобильных устройств. Для этого необходимо запустить инструмент ADConfig (adconfig.exe), поставляемый в комплекте установки SCMDM, с ключом/createinstance. Укажите имя экземпляра SCMDM. Важно помнить, что впоследствии имя экземпляра изменить нельзя (хотя можно изменить понятное имя экземпляра, отображаемое для пользователей), поэтому будьте внимательны при выборе имени, соответствующего требованиям. Обычно формируется единственный экземпляр в корневом каталоге леса. Однако каждый домен, который будет содержать устройства Windows Mobile, должен иметь собственный экземпляр или быть связан с существующим экземпляром. Добиться этого можно с помощью команды ADConfig/enableinstance.
Затем нужно создать и активизировать шаблоны сертификатов, также с использованием ADConfig, на этот раз с ключами/createTemplates и /enableTemplates. В результате центры сертификации (ЦС) компании будут располагать шаблонами, необходимыми для регистрации мобильных устройств и издания сертификатов для них.
Требуется также предоставить пользователям разрешение для управления самими серверами MDM, добавив соответствующие учетные записи для четырех групп, созданных в процессе установки SCMDM. Первичная группа, используемая для администрирования SCMDM, — группа MDM Server Administrators. Существуют отдельные группы для администраторов устройств, техников по обслуживанию устройств, операторов службы поддержки и пользователей, которые видят, но не могут менять настройки SCMDM. Самый простой способ управлять этими группами — добавить администраторов SCMDM в группу MDM Security Administrators; члены этой группы могут добавлять или удалять участников во все другие группы MDM. Затем назначенные администраторы безопасности могут формировать состав других групп по мере необходимости. Группа Domain Admins домена автоматически добавляется в группы MDM Security Administrators и MDM Server Administrators.
Диспетчер SCMDM присоединяет зарегистрированные мобильные устройства к домену, поэтому в процессе установки для мобильных устройств создается отдельная организационная единица (OU) — SCMDM Managed Devices. При желании можно создать дополнительные организационные единицы или просто оставить одну OU. Но если созданы дополнительные организационные единицы, потребуется делегировать группе SCMDMEnrollmentServers разрешение создавать и удалять учетные записи устройств в новых OU, чтобы серверы регистрации правильно регистрировали и исключали устройства.
2. Установка серверов регистрации и управления
Следующий шаг после завершения подготовки среды AD — установить серверы регистрации и управления. Процесс прост, если заранее позаботиться о двух обязательных элементах: экземпляре базы данных Microsoft SQL Server, используемом сервером регистрации и сервером управления устройствами для хранения данных об управляемых устройствах, и доступе к центру сертификации, публикующем сертификаты по запросу сервера регистрации (для новых устройств) или для самих серверов. Если центр сертификации Windows Certificate Services размещен на сервере внутри организации, сервер регистрации может автоматически издавать сертификаты для новых устройств. В противном случае пользователи могут вручную запросить сертификаты для своих устройств, но такой метод лишает диспетчер SCMDM его естественных достоинств.
Нужно указать два полных имени домена (FQDN): одно для подключения внешних пользователей к серверу регистрации и одно для внутренних подключений. Они могут быть одинаковыми или различными. В документации Microsoft отмечается, что требуется ввести полное имя любого устройства балансировки нагрузки, которое уже используется или которое планируется задействовать, чтобы в изданных сертификатах были правильно указаны имена компьютеров.
3. Установка административных инструментов
Как и Exchange, диспетчер SCMDM располагает набором административных инструментов на основе консоли управления MMC, которые можно установить на любом компьютере в домене (но нельзя использовать консоль управления групповой политикой (GPMC) на 64-разрядных компьютерах или с Windows Vista SP1). Среди установленных инструментов — Group Policy Extensions, консоль управления для распространения программного обеспечения SCMDM, и собственно консоль SCMDM. Можно также управлять диспетчером SCMDM через оболочку PowerShell; в действительности для многих задач настройки, которые нужно выполнить на сервере шлюза, требуется использовать оболочку MDM Shell, похожую на Exchange Management Shell.
4. Установка сервера шлюза
Сервер шлюза — возможно, самый сложный компонент всего пакета SCMDM. По функциональности он напоминает ISA Server, весьма сложный для установки продукт. Как и компьютеры ISA Server, MDM Gateway Server обычно не входит в состав домена, поэтому для него необходимо вручную запросить сертификат, а затем установить на компьютере сертификат (и цепь ЦС). Следует также экспортировать файл конфигурации шлюза, который содержит информацию о серверах управления устройствами и регистрации. В процессе собственно установки шлюза этот файл обеспечивает настройку нового сервера шлюза на передачу трафика в подходящие серверы управления устройствами и регистрации. Наконец, необходимо зарегистрировать шлюз с другими серверами с использованием мастера Add MDM Gateway в консоли SCMDM.
В данной статье недостаточно места для полного описания довольно трудоемкого процесса установки и настройки. Подробные поэтапные инструкции приведены в статье Microsoft «Installing MDM Gateway Server» (technet.microsoft.com/en-us/library/dd261827.aspx).
5. Тестирование развернутого продукта
Установленные компоненты необходимо проверить. Самый простой способ это сделать — зарегистрировать устройство Windows Mobile. Для этого потребуется устройство с операционной системой Windows Mobile 6.1 (в предшествующих версиях Windows Mobile нет клиентской программы SCMDM).
Внутренние механизмы регистрации устройств довольно сложны: новое устройство должно установить SSL-соединение с сервером регистрации, чтобы получить правильный набор сертификатов; затем устанавливается заменяющее SSL-соединение с использованием новых сертификатов, чтобы проверить удостоверение сервера регистрации. На данном этапе устройство посылает запрос сертификата на сервер регистрации, который создает учетную запись компьютера для устройства в AD и пересылает запрос сертификата в центр сертификации. Изданный сертификат возвращается в устройство, которое устанавливает его, а затем отключается от сервера регистрации. Ни администратору, ни пользователю устройства не нужно выполнять все эти действия вручную.
Регистрация состоит из двух этапов. Сначала администратор должен подготовить предварительный регистрационный запрос с использованием консоли управления MDM. На данном этапе пользователь AD привязывается к определенному устройству и формируется идентификатор регистрации и разовый пароль, который необходимо назначить пользователю устройства. После того как сформирован предварительный регистрационный запрос, пользователь создает новое соединение с помощью параметра Domain Enroll устройства, вводя идентификатор регистрации и пароль в ответ на приглашение. В учетных данных содержится достаточно информации для запуска процесса регистрации; после его завершения можно убедиться, что устройство зарегистрировано, отыскав его в контейнере All Managed Devices в консоли управления MDM.
Виртуальный SCMDM
Диспетчер SCMDM явно предназначен для компаний, желающих применять к мобильными устройствам те же средства управления, что используются с настольными компьютерами, ноутбуками и серверами. Учитывая рост возможностей мобильных устройств, преимущества управления и контроля над мобильными устройствами будут очевидны для многих компаний, несмотря на дополнительные затраты и сложность развертывания MDM.
Для экспериментов с MDM компания Microsoft предоставляет лабораторную работу TechNet Virtual Lab: Using System Center Mobile Device Manager 2008 Features. Посетите эту страницу и зарегистрируйтесь. Здесь автоматически строится чистая лабораторная среда, полный доступ к которой открыт в течение 90 минут. Кроме того, можно загрузить пробные версии программы и протестировать их в своей среде.
Поль Робишо (troubleshooter@robichaux.net) — главный инженер компании 3 sharp, имеет сертификат MCSE и звание Exchange MVP. Автор нескольких книг и создатель Web-узла http://www.exchangefaq.org