共用方式為

  • 發行項

System Center

System Center Mobile Device Manager 簡介

Matt Fontaine

 

摘要:

  • 典型的 Mobile Device Manager 系統
  • 將 Active Directory 擴充到 Windows Mobile
  • 註冊、佈建和清查 Windows Mobile 裝置

Microsoft System Center Mobile Device Manager 2008 的推出對於在公司網路上管理 Windows Mobile 裝置的 IT 專業人員來說真是一項好消息。透過在單一產品中提供裝置管理、安全性管理,以及行動虛擬私人網路 (VPN) 功能,

這項全新的產品不僅可減輕系統管理工作的負擔,還能促進行動裝置組合的投資報酬率 (ROI)。

Mobile Device Manager 可讓 IT 專業人員運用現有的 Active Directory® 和群組原則基礎結構來強制裝置設定。無線 (OTA) 裝置管理功能讓 IT 專業人員得以輕鬆地將更新和應用程式傳遞給裝置,同時 OTA 自我佈建功能也讓部署作業更簡單也更容易擴充。Mobile VPN 可讓使用者存取防火牆背後的資料和應用程式,並同時提供不間斷的連線讓系統管理員控制部署的裝置。在可延伸、可自訂及可擴充的單一產品裡面提供所有這些功能,讓 Mobile Device Manager 儼然成為當今 IT 專業人員必備的工具。

管理的需要

在未來的幾年,行動工作人力預期將持續快速成長。一直以來,行動裝置因為其行動力的關係,比其他網路配備更難以管理。它們連接到網路的方式繁多,而有些裝置並不如其他裝置安全 — 可能是存在於防火牆外部,使用與用戶端裝置不同的作業系統,還有體型小且容易亂擺或丟失。

現今的行動裝置所提供的擴充功能為企業和使用者提供了誘人的好處,但它也使得支援這些裝置更為複雜。這可能會暴露公司資料和網路而導致額外的安全性風險,尤其是當將裝置用來存取機密的企業營運 (LOB) 應用程式和客戶資料時更是如此。這類裝置在遺失、遭竊或不當使用時,可能會危及安全性。

隨著行動裝置與傳統網路用戶端之間的功能性差距漸小,我們越來越需要像管理膝上型電腦或桌上型電腦那樣來管理行動裝置。這也正是 Mobile Device Manager 背後的構想。隨著 Windows Mobile® 平台持續受到商務使用者的愛戴,Mobile Device Manager 將成為 Windows® 架構 IT 管理系統關鍵的一環。

Mobile Device Manager 的設計是為了提供 Windows Mobile 裝置的端對端管理和控制,就像管理和控制連線的電腦或膝上型電腦一樣輕鬆。它有三大功能:

裝置管理 集中化的功能用以佈建、監視和管理 Windows Mobile 裝置,每部伺服器可容納上萬名使用者。

安全性管理 更完善的機制用以保護機密資料及追蹤裝置。

Mobile VPN 透過不間斷的功能更容易存取防火牆背後的資料和應用程式。

Mobile Device Manager 與 System Center 的整體價值體系相配合,提供 IT 專業人員各種工具將公司資產當作一等公民一樣來管理,與桌上型和膝上型電腦平起平坐。它還為那些已經在使用其他 System Center 產品的人提供熟悉的使用者介面。

這也表示 Mobile Device Manager 在設計上與現有的 Windows 基礎結構搭配無間。舉幾個例子來說,它使用 Active Directory 和群組原則,可與現有的 Microsoft 分析和報告工具 (例如 SQL Server®) 搭配運作,而且您還可以使用 Microsoft® Management Console 嵌入式管理單元和 Windows PowerShellTM 指令程式來擴充它。

Mobile Device Manager 系統

Mobile Device Manager 可進行高度調整,而且可在單一執行個體上支援上萬台裝置,也支援多個設定選項。一般來說,Mobile Device Manager 的伺服器端有四大系統元件:閘道伺服器、裝置管理伺服器、註冊伺服器,以及 SQL Server 資料庫 (見 [圖 1])。

Figure 1 Typical Mobile Device Manager system

Figure 1** Typical Mobile Device Manager system **(按影像可放大)

閘道伺服器通常是安裝在周邊網路,它的作用是作為裝置網路連線的終端機,驗證傳入裝置連線,為裝置提供穩定的 IP 位址,以及執行其他與裝置或網路連線相關的機能。

裝置管理伺服器則是裝置系統管理的中樞,包括群組原則管理、OTA 軟體散佈,以及裝置清除等。它可與現有的網域控制站搭配運作。裝置管理伺服器的職責是扮演 Windows Mobile 裝置的代理網路用戶端,讓這些裝置可與其他系統通訊。

註冊伺服器會建立 Active Directory 網域服務物件來表示網域控制站中的行動裝置,讓這些裝置可以像其他網域成員一樣加以管理。這部伺服器也會處理憑證要求和行動裝置的擷取作業。它在接受或發行註冊憑證之前,會使用 Active Directory 作為驗證裝置的基礎。SQL Server 資料庫提供一個儲存機制存放所有與裝置設定、工作、狀態設定等相關的資訊。

在基礎結構順利運作之後,Mobile Device Manager 會與行動裝置進行三種類型的互動:裝置註冊、建立 Mobile VPN 連線,以及裝置管理。裝置註冊是裝置加入 Active Directory 網域的過程。Mobile Device Manager 使用「共用密碼」— 會過期且只使用一次的密碼 — 讓裝置透過非安全連線進行註冊。一經註冊之後,裝置便可以透過路由裝置的網路流量與閘道伺服器進行 Mobile VPN 連線。系統管理員或系統可以使用 Mobile VPN 連線執行裝置管理,將軟體和設定推送到裝置。

將 Active Directory 擴充到 Windows Mobile

交互式或臨機操作式 IT 安全性方法所產生的風險可能比整合式的安全性方法還高。Mobile Device Manager 正是為了協助降低這類風險而設計的,它提供一種管道讓您運用現有的 Active Directory 網域服務基礎結構來管理行動裝置 (例如 Windows PC)。所得的結果是,更具效率的識別和存取管理、更一致的原則目標鎖定,以及一勞永逸的安全性設定。

就跟電腦或伺服器的情況一樣,您也可以將 Windows Mobile 裝置相關的群組原則物件指派到組織單位 (OU)、安全性群組和 Windows Management Instrumentation (WMI) 篩選器。系統管理員還可以阻止特定的裝置取得群組原則設定。

適用於 Windows Mobile 裝置的設定和原則共有 130 多種,讓您對各種功能具備更細微的控制能力。以下只是其中一個範例:

  • 密碼設定包括密碼需求、類型和最小長度、密碼到期日,以及在指定的失敗嘗試次數 (包括通知使用者剩餘的嘗試次數) 之後清除本機裝置。
  • 平台鎖定設定可讓系統管理員選擇啟用或停用裝置功能,包括相機、無線 LAN、紅外線、藍笌,以及卸除式存放裝置。郵局通訊協定 (POP)、網際網路訊息存取通訊協定 (IMAP)、短訊息服務 (SMS),以及 Multimedia Messaging Service (MMS) 訊息全都可以關閉,而 Windows Update for Windows Mobile 也可以停用。
  • Mobile Device Manager 提供細微的應用程式控制,它可以預防裝置執行未經簽署的應用程式或是執行含非核准簽章的應用程式,或是根據系統管理員的判斷允許特定未經簽署的應用程式。
  • 為了協助保護資料,系統管理員可以強制加密在抽取式儲存卡上建立的檔案 (包括與裝置繫結的加密金鑰)。要保護裝置上的機密資料,也可以使用裝置加密。除了預設受到保護的檔案之外,系統管理員還可以指定其他要加密的檔案。
  • Mobile VPN 設定可判斷使用者對其裝置的 VPN 連線有何種控制權,此設定也可以用來設定資料加密層級。
  • ActiveSync® 設定會設定訊息格式、電子郵件壽命篩選器、大小限制、同步處理設定,以及其他設定。
  • S/MIME 設定可要求進行訊息簽署、訊息加密,或使用指定的演算法。

這些設定,還有其他設定都支援範圍廣泛的案例。它們可讓 IT 專業人員決定要在哪些裝置上執行哪種應用程式。您可以透過無線 (OTA) 啟用或停用硬體功能。例如,您可以停用相機以防有人意外或蓄意入侵機密資訊。您可以在裝置、抽取式儲存卡或兩者上強制資料加密,以降低遺失或遭竊的裝置或儲存卡將專利資料落入未經授權者之手的可能性。

其他安全性管理工具也是 Mobile Device Manager 的一部分。Windows Mobile 裝置現在有上千種應用程式可用,系統管理員確實有需要控制哪些應用程式可以安裝而哪些不行。Mobile Device Manager 可讓您單獨針對這個目的建立和強制應用程式允許及封鎖清單。它也提供強大的遠端清除功能。藉著與裝置進行不間斷的 VPN 連線,裝置不需要等待連接到網路再進行同步處理,就可以立即清除。當從遠端清除裝置時,它會從網域控制站移除,而且它的憑證也會撤銷。如果稍後將裝置復原,您可以在透過單次用的新密碼重新註冊之後設定裝置讓它重新加入網域。

掌控行動裝置

Mobile Device Manager 的設計目的是讓在網路上管理 Windows Mobile 裝置的工作盡可能輕鬆,它以單一解決方案提供完整的裝置管理功能,包括 OTA 佈建、OTA 軟體和更新散佈,以及完整且集中化的清查管理。

OTA 自我註冊的功能應該深得忙碌的 IT 專業人員和使用者之心。使用者可在 Windows Mobile 6.1 的裝置上輸入電子郵件地址,這個動作會根據指定的電子郵件地址嘗試尋找 Mobile Device Management Server。如果找不到伺服器,便會提示使用者手動輸入 Management Server 的位址。若找到伺服器並判定使用者可以註冊,便會要求使用者輸入由系統管理員預先產生的單次用密碼。

電子郵件地址和密碼是供驗證使用者,以及在 Management Server 中註冊他的裝置之用。這項作業完成之後,就會將系統管理員定義的設定和原則推送到裝置。採取自我註冊是為了提高 Windows Mobile 裝置部署的延展性,以及減少讓這些裝置順利運作所需的時間和金錢而設計的。

Mobile Device Manager 的 OTA 軟體散佈功能是以 Windows Software Update Services (WSUS) 3.0 為基礎,世界各地有許多 IT 專業人員都已經在採用軟體更新工具組。如 [圖 2] 所示,WSUS 3.0 提供了目標鎖定和應用程式封裝的功能,滿足複雜的 IT 需要。軟體可以根據系統管理員所設定的規則和原則自動傳遞到適當的裝置。就跟進行伺服器和用戶端更新一樣,您也可以使用 WSUS 3.0 將行動裝置更新和補充程式自動化。另外更不可少的是,您可以針對部署規劃和測試目的關閉自動更新。

Figure 2 Software distribution wizard

Figure 2** Software distribution wizard **(按影像可放大)

管理大規模部署的行動配備最大的挑戰之一,就是記錄追蹤一切項目。Mobile Device Manager 將清查資訊集中化,並根據 SQL Server 2005 提供富彈性、可自訂的報告 — 且同樣是利用許多使用者已經採納和熟悉的軟體。系統管理員可以收集上百種清查資訊的項目,包括 (但不限於) 作業系統和版本、裝置模型、安裝的應用程式,以及安全性原則。清查作業也可擴充,容許系統管理員新增項目和登錄設定。

如需更高的彈性,而且您偏好圖形化使用者介面的話,還可以使用 Microsoft Management Console 嵌入式管理單元來控制 Mobile Device Manager (見 [圖 3]),或者如果您習慣使用命令列的話,也可以利用 Windows PowerShell 主控台。不論是採用哪種方式,都可以擴充和自訂系統 — 這對於希望軟體能夠配合公司的企業使用者來說是最重要的。

Figure 3 Mobile Device Manager Console

Figure 3** Mobile Device Manager Console **(按影像可放大)

Mobile VPN

資訊工作者在行動裝置上彼此傳送電子郵件和訊息已行之多年。現今行動裝置技術當中最實用的發展之一,當屬存取位於防火牆背後的商務資料和應用程式的功能。隨著存取率的增加、新安全性風險的產生,必須更審慎管理新增的功能以防產生漏洞。Mobile Device Manager 提供尖端的 Mobile VPN 功能,讓使用者存取內部網路資料,範圍從 Microsoft DynamicsTM Customer Relationship Management (CRM) 到 SAP,乃至於 Siebel,無所不包。此模型是為了配合桌上型和膝上型電腦現行的遠端存取策略而建置的 (見 [圖 4])。

Figure 4 Mobile VPN settings

Figure 4** Mobile VPN settings **(按影像可放大)

Mobile VPN 會使用雙封套安全性功能將裝置連接到閘道伺服器,當中的資料會透過 IPsec 加密的通道以 SSL 加密的形式進行傳輸。裝置一經授權,使用者就可以結合使用者認證,存取資源特定原則所指定的資源。

Mobile Device Manager 所採用的 Mobile VPN 技術可建立不間斷的連線,不僅可改善使用者的存取,更有助於確保 IT 專業人員使用現行的原則和設定來保持裝置的更新狀態 — 並在裝置遺失或遭竊時立即將之清除。即使工作階段遭到中斷,快速的重新連線可確保裝置工作階段不必重新授權便可持續進行。Mobile Device Manager 可讓 Wi-Fi 與行動網路之間能順利轉換,同時保持連線能力。

Mobile Device Manager Mobile VPN 所採用的安全性技術是以業界標準為基礎,包括 Open Mobile Alliance for Device Management (OMA DM)、網際網路金鑰交換 (IKE) 第 2 版,以及 OMA Software Component Management Object (SCOMO)。當在複雜環境中工作的 IT 專家遇到特定情況時,這有助於使系統更容易擴充和自訂。

完整的解決方案

Mobile Device Manager 提供了一套可透過單一介面存取的完整工具,用來管理 Windows Mobile 裝置。它利用 Active Directory 和群組原則來提供安全性工具,幫助保護資料、裝置和網路的安全。透過 OTA 註冊、佈建和更新,還有強大的清查工具,裝置管理的工作也更加輕鬆。Mobile VPN 是為了在不危及安全性的情況下,提供企業和使用者所要的功能而設計的。

上述所有這些功能都與簡化 IT 專業人員工作的構想是密不可分的,而所採取的作法就是將行動裝置當作第一等公民在網路上進行管理。Mobile Device Manager 讓 IT 專業人員有能力傳達高品質使用者體驗、減輕系統管理負擔,並提供更高的管理投資報酬率 — 這都值得大肆宣揚。

在此感謝 Brian Hoskins、Derek Snyder、Prithvi Raj、Lax Madapaty 和 Katharine Holdsworth 對本文的貢獻。

Matt Fontaine 在 BuzzBee Company 擔任自由技術文件作家兼顧問。他涉獵的行業廣泛,包括高效能運算、企業軟體、精算、商用房地產、工程、建設和消費包裝產品。Matt 是常青州立大學 (The Evergreen State College) 的光榮校友。

© 2008 Microsoft Corporation and CMP Media, LLC. 保留所有權利;未經允許,嚴禁部分或全部複製.