Guide de référence produit

Transcription

1 Guide de référence produit 1

2

3 Table des matières Introduction... 1 Présentation de System Center Mobile Device Manager Mode de licence de System Center Mobile Device Manager Présentation de l infrastructure de System Center Mobile Device Manager Fonctionnement de System Center Mobile Device Manager Inscription des appareils... 7 VPN pour équipement mobile... 8 Administration des appareils... 9 Client Mobile Device Manager...10 Topologie de déploiement de System Center Mobile Device Manager Utilisation des principaux services informatiques...12 Gestion de la sécurité...13 Appartenance à un domaine Active Directory...13 Application des stratégies à l aide du ciblage Active Directory/Stratégie de groupe...13 Désactivation des communications et de l appareil photo...14 Chiffrement des fichiers...14 Désactivation et activation des applications...14 Effacement à distance...14 Conformité OMA DM...15 Administration des appareils...16 Console d administration centrale pour les appareils mobiles...16 Déploiement et amorçage par voie hertzienne (OTA)...16 Distribution de logiciels par voie hertzienne via WSUS 3.0 (Windows Server Update Service)...17 Inventaire et création de rapports...17 Administration basée sur des rôles...17 Portail d auto-assistance (libre-service)...17 Architecture à forte capacité d évolution...18 Composants enfichables MMC et cmdlets (scripts) de Windows PowerShell...19 Contrôle des mises à jour fournies via Windows Mobile Update pour Windows Mobile...19 VPN pour équipement mobile...20 Authentification des appareils et sécurité à deux niveaux...20 Session persistante et reconnexion rapide...20 Itinérance d un réseau à un autre...21

4 Modèle de sécurité fondé sur des standards...22 de stratégie de System Center Mobile Device Manager...23 Stratégies de mot de passe...23 Verrouillage de la plateforme...24 de désactivation des applications...27 Stratégies de sécurité...27 Chiffrement de l appareil...28 VPN pour équipement mobile...29 Algorithmes d échange de clés...30 Distribution des logiciels...30 ActiveSync...31 Heures de pointe et Heures creuses d ActiveSync...32 S/MIME...33 Annexe A : Informations d inventaire...34 Annexe B : Glossaire...37 Annexe C : Conditions requises pour le matériel et les logiciels...38 Logiciels requis...38 Outils d administration...38 Matériel...38

5 Introduction Microsoft System Center Mobile Device Manager 2008 est une solution d administration complète qui permet un contrôle efficace des appareils Windows Mobile. Son intégration à l infrastructure Microsoft rend l administration facile, fiable, économique et cohérente, et garantit un accès sécurisé au réseau de l entreprise. La solution Mobile Device Manager permet aux appareils Windows Mobile de devenir des éléments à part entière de l infrastructure informatique. Elle aide les responsables informatiques à répondre aux exigences croissantes de sécurité et d administration tout en laissant les utilisateurs accéder aux informations qu il leur faut, où et quand ils en ont besoin. Les informaticiens ont besoin d une solution globale pour sécuriser et administrer les appareils Windows Mobile comme s il s agissait d ordinateurs de bureau. Grâce à un point d accès central, les responsables informatiques peuvent renforcer la sécurité et mieux contrôler la façon dont les applications métier et les utilisateurs accèdent aux informations de l entreprise depuis les appareils Windows Mobile. Pour les informaticiens, Mobile Device Manager agit selon trois axes clés : gestion de la sécurité, administration des appareils et sécurisation des accès. Toutes les informations fournies dans ce document peuvent être modifiées sans préavis. Gestion de la sécurité Avec System Center Mobile Device Manager 2008, solution basée sur Active Directory, le service d annuaire d entreprise le plus répandu dans le monde, les responsables informatiques bénéficient d une plateforme d administration robuste pour renforcer la sécurité des appareils Windows Mobile. Plus de 125 stratégies et des capacités de ciblage supérieures facilitent considérablement la mise en place de stratégies pour les appareils. Les responsables informatiques ont la possibilité de verrouiller certaines fonctions de communication et d appareil photo, et d exercer un contrôle plus strict sur les logiciels à installer ou à exécuter sur l équipement. Mobile Device Manager contribue à renforcer la sécurité des appareils Windows Mobile grâce au chiffrement des informations confidentielles sur l équipement même. De plus, des mécanismes sophistiqués empêchent le vol et la perte des données d entreprise. Administration des appareils Avec System Center Mobile Device Manager 2008, les responsables informatiques disposent d une solution complète pour administrer des appareils Windows Mobile, distribuer des logiciels et établir un état précis du parc en circulation dans une organisation complexe. Dotée d une architecture plus fiable et capable de monter rapidement en puissance, cette infrastructure contribue à réduire les coûts et les complexités. Elle permet un enrôlement peu coûteux et efficace des appareils mobiles puisque le déploiement et l amorçage se font par voie hertzienne (OTA). Mobile Device Manager s appuie sur des outils d inventaire et de création de rapports de Microsoft SQL Server pour donner aux responsables informatiques une meilleure visibilité des mobiles en circulation dans l entreprise. Il exploite aussi l administration basée sur les rôles, les composants enfichables de MMC et les cmdlets de Microsoft Windows PowerShell pour faciliter l administration des appareils. Les entreprises sont en mesure de distribuer rapidement des outils de productivité et des logiciels par voie hertzienne à l aide de technologies Microsoft éprouvées, comme WSUS 3.0 (Windows Server Update Services). Mobile Device Manager respecte également des normes reconnues comme OMA DM 1.3 (Open Mobile Alliance Device Management). VPN pour équipement mobile System Center Mobile Device Manager 2008 accroît l efficacité des utilisateurs en leur donnant la possibilité d accéder, depuis leurs appareils Windows Mobile, à des données d entreprise et à des applications métier résidant derrière le pare-feu. Pour cela, ils passent par un point central sécurisé via un VPN optimisé pour l environnement mobile. La plateforme Windows Mobile constitue un environnement de choix, peu coûteux et simple d emploi, pour toute une gamme d applications métier. 1

6 La technologie VPN pour équipement mobile utilisée dans Mobile Device Manager offre un très grand confort d utilisation. Elle garantit un accès permanent et propose une reconnexion rapide en cas d interruption de la transmission. De plus, les données sont particulièrement bien protégées grâce à un système d authentification des ordinateurs et à une sécurité à deux niveaux. Mobile Device Manager garantit la qualité des connexions et prolonge la durée de vie des batteries via la reconnexion rapide et la persistance des sessions. Les entreprises disposent d une grande souplesse et d une grande liberté de choix lors du déploiement puisque Mobile Device Manager respecte les normes en vigueur. System Center Mobile Device Manager 2008 offre aux utilisateurs une totale transparence et un maximum de convivialité quel que soit le type de connexion (cellulaire ou Wi-Fi) qu ils utilisent pour accéder aux données depuis leurs appareils Windows Mobile. 2

7 Présentation de System Center Mobile Device Manager 2008 Sur le marché d aujourd hui, les appareils mobiles connaissent une formidable croissance du fait d une très forte pénétration de la messagerie mobile et d une convergence avec les applications métier mobiles. Les responsables informatiques souhaitent aligner les stratégies des ordinateurs portables et des appareils mobiles, homogénéiser l infrastructure d accès (qu il s agisse de la messagerie et du gestionnaire d informations personnelles sans fil ou des applications métier), et administrer les appareils mobiles de même que les ordinateurs portables, le tout sans négliger l administration des données ou du réseau d entreprise. Mobile Device Manager apporte de nombreux avantages aux entreprises de taille moyenne à grande qui ont adopté une infrastructure Windows Server et disposent peut-être d un serveur Microsoft Exchange Server 2003 SP2 (ou postérieure). Notez que Mobile Device Manager peut se passer d Exchange Server, mais exige Microsoft Windows Server 2003 SP2 (ou postérieure). Avec les fonctionnalités et avantages qu il offre, System Center Mobile Device Manager répond aux priorités des entreprises qui recherchent une solution serveur complète, capable d administrer les appareils Windows Mobile. Mobile Device Manager donne aux décideurs de l entreprise les moyens d accroître l efficacité des utilisateurs, de gérer le parc des mobiles et d en suivre l évolution avec une extrême fiabilité, de réduire les coûts de maintenance et d abaisser le coût total de possession (TCO). Mobile Device Manager propose aux responsables informatiques un accès sécurisé aux données et au réseau, une infrastructure informatique facile à administrer et à faire évoluer, et une solution globale standardisée, parfaitement compatible avec les systèmes existants. Les utilisateurs ont accès aux données d entreprise et aux informations, bénéficient d un équipement téléphonique fiable et robuste, et gagnent en efficacité grâce notamment à l unification des communications permise par System Center Mobile Device Manager 2008 sur l ensemble de la plateforme Windows Mobile. 3

8 Mode de licence de System Center Mobile Device Manager 2008 System Center Mobile Device Manager 2008 suit les règles d utilisation décrites à la section Licence d accès client/serveur des Droits d utilisation des produits Microsoft (PUR). Mobile Device Manager requiert une licence serveur pour le serveur d administration et une licence d accès client CAL pour chaque utilisateur ou appareil géré par le serveur. Le tableau ci-dessous répertorie les offres disponibles pour System Center Mobile Device Manager Microsoft System Center Mobile Device Manager 2008 Microsoft System Center Mobile Device Manager 2008 Offres Microsoft System Center Mobile Device Manager Licence serveur Microsoft System Center Mobile Device Manager CAL par utilisateur Microsoft System Center Mobile Device Manager CAL par appareil Microsoft System Center Mobile Device Manager 2008 avec Microsoft SQL Server 2008 Standard Edition Fonctionnalités Permet d installer une copie du logiciel serveur Microsoft System Center Mobile Device Manager 2008 sur un seul serveur d administration. Permet de gérer les appareils mobiles d un seul utilisateur sous Microsoft System Center Mobile Device Manager Permet de gérer un seul appareil (téléphone mobile, ordinateur de poche, récepteur de radiomessagerie, téléphone, assistant personnel, scanneur ou autre équipement électronique) sous System Center Mobile Device Manager Permet d installer une copie du logiciel serveur Microsoft System Center Mobile Device Manager 2008 sur un seul serveur, et de réserver une copie de Microsoft SQL Server 2008 à l usage exclusif du serveur de sites principal de System Center Mobile Device Manager Pour fonctionner, System Center Mobile Device Manager 2008 requiert Windows Server 2003 R2 et Microsoft SQL Server 2008 (ou postérieur). Mobile Device Manager est livré avec Microsoft SQL Server 2008 Express, suffisant pour des déploiements petits ou moyens. En cas de déploiements plus vastes de Mobile Device Manager, vous avez la possibilité de vous procurer SQL Server 2008 Standard Edition séparément ou d acquérir Mobile Device Manager 2008 avec SQL Server Dans ce dernier cas, la technologie SQL Server ne sert qu à prendre en charge System Center Mobile Device Manager

9 Présentation de l infrastructure de System Center Mobile Device Manager 2008 En complément des équipements mobiles, le système Mobile Device Manager se compose de quatre grands composants système : Un ou plusieurs serveurs passerelles (GW) Un ou plusieurs serveurs d administration des appareils (DM) Un serveur d enrôlement (EN) Des bases de données Microsoft SQL Server 2005 (DB) La figure 1 explique globalement comment ces composants collaborent dans l infrastructure informatique existante pour assurer une connexion authentifiée aux applications métier, ainsi qu aux packages gérés de stratégies de groupe et d applications. Stratégies de groupe et logiciels Réseau cellulaire DB Serveur DM Contrôleurs de domaine Équipements Windows Mobile gérés Wi-Fi Serveur GW Serveur EN Services de certificats Accès à la messagerie et aux applications métier Figure 1. Présentation de l architecture System Center Mobile Device Manager. Serveurs d applications métier Les composants de Mobile Device Manager sont décrits en détail ci-dessous : Serveur passerelle (GW). Le serveur passerelle est généralement installé sur le réseau de périmètre, connu également sous le nom de zone neutre (DMZ) ou de sous-réseau filtré. Il sert de point d entrée aux sessions de l appareil géré et transmet également les communications d administration du réseau et de l appareil entre le réseau de l entreprise et l appareil lui-même. Le serveur passerelle sert de terminal à la connexion réseau d un appareil, puis : Il authentifie les connexions entrantes des appareils autorisés. Il alloue à l appareil une adresse IP stable (pour permettre des mises à jour via la technologie Direct Push et garantir l accès permanent). 5

10 Il offre aux appareils et aux applications une fonctionnalité de reprise/ reconnexion rapide. Il négocie les clés pour chiffrer le trafic sur Internet. Serveur d administration des appareils (DM). Le serveur d administration des appareils constitue le centre d administration et de gestion de tous les appareils inscrits dans la solution Mobile Device Manager. Il est aussi le centre fonctionnel pour la mise en uvre des stratégies de groupe, la distribution de logiciels et l effacement des données des appareils (wipe). Ce serveur communique avec les serveurs d infrastructure existants, comme les contrôleurs de domaine, et gère l échange d informations et de commandes entre les serveurs Mobile Device Manager et les appareils Windows Mobile. Serveur d enrôlement (EN). Le serveur d enrôlement prend en charge la demande et l extraction des certificats de sécurité pour les appareils mobiles, et crée les objets du service Active Directory qui représenteront ces appareils. Grâce à ces objets, il sera possible d administrer les appareils comme tout autre membre d un domaine. Le processus s appuie sur un mot de passe à utilisation unique pour assurer un enrôlement hautement sécurisé via des connexions peu sûres comme Internet et les réseaux de données mobiles. Ce rôle permet aux utilisateurs d inscrire leurs appareils à tout moment sans passer par un ordinateur ni accéder physiquement au réseau de l entreprise. Pour faciliter la montée en charge, le serveur d enrôlement peut être exécuté sur un serveur distinct. Le serveur d enrôlement exploite Active Directory comme banque d identités pour authentifier à la fois l appareil et le serveur avant d accepter ou d émettre des certificats d enrôlement. Bases de données (DB). Les services du serveur d administration des appareils et du serveur d enrôlement mettent à jour des bases de données pour pouvoir gérer efficacement la configuration des appareils, les tâches et les paramètres d état. Ces bases de données SQL Server constituent le pivot de l administration des configurations et de la mise à jour des clients mobiles. 6

11 Fonctionnement de System Center Mobile Device Manager 2008 Cette section explique comment un appareil Windows Mobile se connecte au serveur System Center Mobile Device Manager Nous allons passer en revue les trois principaux types d interactions, à savoir : enrôlement des appareils, établissement de connexions VPN pour équipements mobiles et administration des appareils. 1. Inscription des appareils. Pour pouvoir utiliser Mobile Device Manager et se connecter à un intranet d entreprise, tout appareil fait l objet d une authentification et d une activation avant de rejoindre, en tant que membre reconnu, le domaine Active Directory d une entreprise. Comme pour tout autre ordinateur ou serveur, l appartenance au domaine facilite l administration. Ce processus peut néanmoins être annulé car Mobile Device Manager a la possibilité de révoquer l enrôlement. 2. VPN pour équipement mobile. Il s agit d une connexion authentifiée et chiffrée qui est établie entre un appareil Windows Mobile et le serveur passerelle pour faire transiter tout le trafic réseau en provenance de l appareil, via une connexion cellulaire ou Wi-Fi, jusqu au serveur passerelle. 3. Administration des appareils. Une fois la liaison établie avec le serveur passerelle et la connexion d accès réseau authentifiée, un appareil peut communiquer avec le serveur d administration. Le serveur peut alors collecter des informations sur l appareil, puis lui faire parvenir les paramètres de stratégie de groupe et les logiciels qui conviennent. Les sections qui suivent décrivent ces processus en détail. Inscription des appareils Composant de Mobile Device Manager, le serveur d enrôlement (EN) permet de demander et de récupérer, par voie hertzienne et en toute sécurité, les certificats des appareils mobiles. Il a également pour rôle de créer les objets Active Directory par lesquels les appareils rejoignent le domaine. La solution Mobile Device Manager est conçue pour résister aux interceptions et aux usurpations. Serveur DM Serveur GW DB Contrôleur de domaine Équipements Windows Mobile gérés Serveur EN Services de certificats Figure 2. Inscription d un équipement mobile. 7

12 Dans cette optique, le serveur utilise un chiffrement de type «secret partagé» pour sécuriser les enrôlements qui passent généralement par des connexions peu sûres comme le réseau public GPRS (General Packet Radio Service) ou d autres réseaux de données mobiles. Les utilisateurs peuvent inscrire leurs appareils à tout moment sans se connecter à un ordinateur ni accéder physiquement au réseau d entreprise. Au cours du processus d enrôlement, l appareil Windows Mobile est reconnu comme un objet authentifié dans le service de domaine Active Directory, ce qui lui permet de se connecter au serveur passerelle. La figure 4 présente les composants impliqués dans le processus d enrôlement. Voici, en quelques étapes, comment sécuriser et vérifier l enrôlement des appareils dans le système géré par Mobile Device Manager : 1. L administrateur fait appel à un assistant pour créer une demande d enrôlement. 2. Un mot de passe à utilisation unique est alors généré, puis sera partagé en dehors du serveur avec l utilisateur de l appareil à inscrire. Par nature, le code d identification n est utilisable qu une seule fois et a une durée de vie limitée (8 heures par défaut). 3. L utilisateur ouvre l assistant d enrôlement sur l appareil, puis entre son adresse électronique dont l assistant se sert pour se connecter au serveur d enrôlement. Si le serveur d enrôlement est introuvable, l utilisateur sera invité à entrer l URL du serveur manuellement. 4. L assistant d enrôlement contacte le serveur d enrôlement (EN) et demande le certificat racine d approbation de l entreprise. 5. L assistant d enrôlement authentifie la réponse du serveur en vérifiant que les données renvoyées sont bien dérivées du mot de passe à utilisation unique et du certificat racine d approbation de l entreprise. 6. L assistant d enrôlement génère une demande de certificat et l envoie au serveur d enrôlement, accompagnée du hachage résultant du mot de passe à utilisation unique et de la demande de certificat. 7. Le serveur d enrôlement crée ensuite un compte d ordinateur dans le service de domaine Active Directory pour l appareil et le certificat d ordinateur est émis en réponse à la demande de certificat reçue de l appareil. Le serveur d enrôlement établit ensuite un lien entre ce certificat et l objet représentant l appareil dans le service de domaine Active Directory. 8. Le certificat d ordinateur est renvoyé à l appareil, ce qui met un terme au processus. L appareil peut se déconnecter du serveur d enrôlement. À la fin de cette procédure, l appareil peut être authentifié par un serveur passerelle et devient un appareil géré. VPN pour équipement mobile Si l enrôlement se déroule correctement, l appareil est autorisé à se connecter au serveur passerelle pour accéder aux ressources du réseau interne de l entreprise. Avant d accéder à l intranet, il faut encore publier ces ressources sur le pare-feu. La connexion nécessaire est créée à l aide du client VPN pour équipement mobile depuis l appareil Windows Mobile. Ce client s appuie sur IPSec pour authentifier et chiffrer les données qui transitent entre les appareils et le serveur passerelle. La figure 3 explique comment créer la connexion au serveur passerelle depuis l appareil. L appareil Windows Mobile doit créer un tunnel IPSec vers le serveur passerelle pour accéder aux ressources internes de l entreprise. Les étapes suivantes s avèrent nécessaires : 1. L appareil émet une demande de connexion via le logiciel client VPN pour équipement mobile livré avec le client Mobile Device Manager. 2. Le serveur passerelle (GW) reçoit la demande de connexion (la négociation pour les protocoles IPSec et Internet Key Exchange Protocol version 2 (IKEv2) ou IKEv2 Mobility and Multihoming (MOBIKE) commence entre le serveur et l appareil) pour négocier les paramètres de connexion VPN pour équipement mobile. 3. Au cours de cette négociation, le serveur passerelle authentifie l appareil en vérifiant auprès de l Autorité de certification que le certificat d ordinateur de l appareil est valide et qu il n est pas révoqué. 8

13 Pare-feu Pare-feu Tunnel chiffré IPSec Serveur GW Vers l intranet Trafic chiffré SSL Figure 3.VPN pour équipement mobile. Vers Internet 4. L appareil vérifie le certificat d ordinateur du serveur passerelle pour s assurer qu il est digne de confiance. 5. Si ces contrôles aboutissent, l appareil et le serveur se seront authentifiés mutuellement. 6. À ce stade, l appareil demande une adresse IP virtuelle au serveur passerelle (ou la renouvelle). Le serveur commence par vérifier qu il s agit de la seule connexion dont il dispose pour cet appareil (une seule connexion par certificat est autorisée), puis émet une adresse IP à partir du groupe d adresses IPSec disponibles, configuré en même temps que le serveur passerelle. 7. L appareil utilisera l adresse IP reçue du serveur comme adresse IP virtuelle dans le cadre de la connexion IPSec. Une fois l adresse IP affectée et la négociation des paramètres de connexion terminée, un tunnel IPSec chiffré est établi entre l appareil et le serveur. 8. Cette connexion IPSec fait passer par le tunnel IPSec tout le trafic transitant entre l appareil mobile et le serveur passerelle. Le serveur passerelle gère alors tout le trafic réseau de l appareil et sert de point de terminaison au tunnel VPN pour équipement mobile. Le serveur passerelle peut désormais acheminer le trafic de l appareil vers le réseau interne de l entreprise, ou faire suivre le trafic vers un serveur proxy réseau correctement configuré ou directement vers Internet, selon la configuration définie par l administrateur réseau. Généralement, le trafic réseau de l appareil quittant le serveur passerelle sera filtré par un pare-feu avant d atteindre l intranet. Tout dépend de la conception de l infrastructure et de la place qu occupe le serveur passerelle dans cette infrastructure. Administration des appareils Lorsqu un appareil mobile géré a établi une connexion active avec un serveur passerelle, le serveur d administration peut entrer en action. À lui de vérifier les informations qu il recueille à propos de l appareil et d appliquer les paramètres de stratégies de groupe requis ou de distribuer les logiciels qui conviennent. Comme le montre la figure 4, il s agit d un processus direct entre le serveur d administration et l appareil. (Le serveur passerelle est transparent lors de ces échanges.) Lors de sa première connexion au réseau de l entreprise par le biais du serveur passerelle, l appareil géré communique avec le serveur d administration pour signaler sa configuration et rechercher les modifications. Ce processus compte les étapes suivantes : 1. Une fois que l appareil est connecté au serveur passerelle, une connexion OMA DM (administration de l appareil selon le format Open Mobile Alliance) est établie avec le serveur d administration. 2. Le serveur d administration (DM) authentifie l appareil en s appuyant sur le certificat d ordinateur de l appareil, le processus d authentification SSL et le mappage des comptes d ordinateur du service de domaine Active Directory. Il existe une correspondance un-à-un entre le certificat de l ordinateur et le compte d ordinateur du domaine. 9

14 Console d administration Tunnel IPSec Serveur GW Serveur DM Lecture seule Équipement Windows Mobile géré DB Contrôleur de domaine Serveur EN Figure 4. Administration des équipements mobiles. 3. Le serveur d administration (DM) configure l appareil en appliquant la planification de connexion initiale, puis interroge l appareil sur sa configuration actuelle. Une fois ces données renvoyées, l appareil se déconnecte. 4. Le serveur d administration calcule les paramètres de stratégie de groupe ainsi que les applications gérées initiales requises pour l appareil. Ces paramètres sont calculés et mis en cache en tant que commandes OMA DM dans la base de données de Mobile Device Manager pour être utilisés lors de la reconnexion du client. 5. L appareil se reconnecte au serveur d administration conformément à la planification reçue lors de la première connexion. À ce stade, le serveur d administration envoie les commandes OMA DM à l appareil pour le configurer. 6. Une fois la planification initiale terminée et les changements apportés, l appareil sera configuré pour une planification de reconnexion par défaut de 8 heures. (Ce paramètre peut prendre une valeur comprise entre 2 et 8 heures). Si l appareil doit recevoir des paramètres de stratégie de groupe ou des logiciels, ces derniers lui seront transmis par le serveur d administration, via le serveur passerelle et le tunnel IPSec. Client Mobile Device Manager Le client Mobile Device Manager est livré avec une mise à jour du logiciel Windows Mobile. Ce client sera intégré dans toute version ultérieure de Windows Mobile que les appareils Windows Mobile seront amenés à exécuter. Il se compose de deux éléments clés. Tout d abord, ces appareils incluent le client IPSec qui vise à renforcer la sécurité des connexions avec l entreprise. En deuxième lieu, Mobile Device Manager se dote d un mécanisme qui alerte les utilisateurs des opérations de maintenance à réaliser sur leurs appareils mobiles. Ils peuvent alors procéder aux mises à jour et aux configurations recommandées par l administrateur. Le client permet de distribuer et d installer, par voie hertzienne, des applications sur les appareils mobiles. Pour cela, il a recours à des méthodes ponctuelles, à des actions manuelles ou à une distribution automatique à intervalles réguliers. 10

15 Inscription du client Mobile Device Manager Un appareil compatible Mobile Device Manager s inscrit à un serveur System Center Mobile Device Manager 2008 via le client de l appareil Windows Mobile. Les utilisateurs sélectionnent «Inscription au domaine» dans le menu de connexion, puis fournissent leur adresse électronique et leur code d identification. L appareil redémarre et confirme sa connexion au serveur. Topologie de déploiement de System Center Mobile Device Manager 2008 Cette section présente globalement la topologie de déploiement de System Center Mobile Device Manager 2008, et revient brièvement sur l infrastructure générale dont nous avons parlé dans les sections précédentes. Le schéma ci-dessous explique comment l appareil Windows Mobile se connecte au serveur passerelle via le VPN. Le serveur passerelle se connecte ensuite au service d enrôlement, ainsi qu au serveur d authentification d ordinateur, à l adresse électronique donnée, et aux serveurs métier via une connexion SSL authentifiée. L appareil Windows Mobile peut ensuite accéder à toutes les ressources voulues de l intranet de l entreprise en passant par le pare-feu arrière et les connexions SSL du serveur passerelle mobile Le schéma suivant représente l infrastructure générale mise en place lors du déploiement d un serveur System Center Mobile Device Manager 2008 avec des appareils Windows Mobile. Serveurs applis métier et messagerie Console Catalogue WSUS Équipement géré Inscription initiale par voie hertzienne Mobile VPN Internet Pare-feu frontal Serveur GW Réseau de périmètre (DMZ) Auth SSL mutuelle pour utilisateur ou similaire Pare-feu du réseau interne Auth SSL (PIN+racine entreprise) Auth SSL mutuelle pour système Service d enrôlement Site d autoassistance CA Intranet Lecture seule AD 11

16 Utilisation des principaux services informatiques Du fait de sa capacité d extension et de sa souplesse, System Center Mobile Device Manager permet à une organisation d enrichir son infrastructure par des fonctionnalités qui facilitent l administration de sa flotte Windows Mobile. Les composants Mobile Device Manager fonctionnent avec des services informatiques clés pour permettre aux appareils mobiles d accéder aux données métier sélectionnées. Les principaux services informatiques travaillant de pair avec Mobile Device Manager sont les suivants : Service de domaine Active Directory. Le service d annuaire de Windows sert à stocker les identités des ordinateurs/appareils, à obtenir les certificats 802.1x correspondants et les paramètres de stratégie de groupe qui configurent les paramètres requis sur chacun des appareils mobiles gérés. La configuration des paramètres ActiveSync ou l activation de la stratégie «Mot de passe obligatoire» en sont deux exemples. Windows Server Update Services (WSUS). System Center Mobile Device Manager 2008 a recours à WSUS pour distribuer des applications vers les appareils gérés. La version WSUS 3.0 est obligatoire et sera installée en cas d absence lors de l installation de Mobile Device Manager. En outre, WSUS permet à Mobile Device Manager de rechercher des logiciels et de les transférer sur les appareils gérés. Services de certificats. Côté client et serveur, le modèle de sécurité de Mobile Device Manager requiert des certificats. Mobile Device Manager s appuie directement sur l infrastructure à clé publique existante pour la signature des certificats des clients et des serveurs. L autorité de certification Microsoft peut être ajoutée en l absence d infrastructure à clé publique ou si vous souhaitez gérer une autorité de certification distincte pour l authentification des appareils. Serveurs d applications métier. Les appareils Windows Mobile gérés par Mobile Device Manager peuvent accéder aux serveurs d applications métier de votre entreprise, dont : Serveurs Exchange. Les boîtes aux lettres du ou des serveurs Exchange d une organisation peuvent être configurées pour être accessibles aux appareils Windows Mobile. Les utilisateurs des appareils mobiles peuvent appeler ces services via l interface Microsoft Outlook Mobile. Serveurs d applications personnalisées. Les applications internes qui assurent des services Web aux clients mobiles peuvent être mis à la disposition des appareils mobiles gérés. 12

17 Gestion de la sécurité Avec System Center Mobile Device Manager 2008, les responsables informatiques bénéficient d une plateforme d administration robuste pour renforcer la sécurité des appareils Windows Mobile. Fondée sur Active Directory, le service d annuaire d entreprise le plus répandu dans le monde, et sur les stratégies de groupe, cette plateforme permet aux informaticiens de définir et de contrôler les stratégies dans un seul environnement. Doté de mécanismes plus performants, Mobile Device Manager empêche le vol ou la perte des données d entreprise en étendant la protection des données sensibles aux appareils proprement dits (chiffrement des fichiers sur les mobiles). Mobile Device Manager assure un accès permanent (en cas de connexion au réseau sans fil d un opérateur ou de connexion Wi-Fi). Ainsi, les informaticiens peuvent instantanément effacer les appareils à distance en cas de vol ou de perte. Les données d entreprise ne risquent plus de tomber entre de mauvaises mains. Pour des raisons de conformité ou de confidentialité, les administrateurs système peuvent verrouiller les communications. Ils sont notamment en mesure de désactiver les interfaces Bluetooth, SMS/MMS, WLAN et infrarouge, les protocoles de messagerie POP/IMAP et la fonction d appareil photo. Avec plus de 125 stratégies, Mobile Device Manager permet de répondre aux exigences de sécurité les plus strictes, et de cibler la protection des appareils en fonction des groupes Active Directory et de l état de l appareil. Grâce aux fonctionnalités «autoriser» et «refuser», les entreprises savent quelles sont les applications installées autorisées sur les appareils Windows Mobile. Avec Mobile Device Manager, les responsables informatiques ont toute latitude pour configurer de nouvelles fonctionnalités d un système d exploitation ou des applications. Appartenance à un domaine Active Directory Bien des responsables informatiques ont exprimé leur volonté d administrer les appareils Windows Mobile avec la même facilité et la même flexibilité que les ordinateurs de bureau ou les portables fonctionnant sous Windows, c est-à-dire avec Active Directory, l un des services d annuaire d entreprise les plus répandus. System Center Mobile Device Manager 2008 permet de répertorier et d administrer les appareils Windows Mobile à l aide d Active Directory. Pour pouvoir utiliser Mobile Device Manager et se connecter à un intranet d entreprise, tout appareil fait l objet d une authentification et d une activation avant de rejoindre, en tant que membre reconnu, le domaine Active Directory d une entreprise. Ainsi, les appareils Windows Mobile deviennent des équipements informatiques à part entière au même titre que les ordinateurs personnels fonctionnant sous Windows. Application des stratégies à l aide du ciblage Active Directory/Stratégie de groupe Devenus membres d Active Directory, les appareils Windows Mobile peuvent désormais être ciblés et administrés par le biais des stratégies de groupe. Active Directory sert à stocker les informations d identité des connexions VPN et des authentifications par certificats 802.1x correspondants, ainsi que les paramètres de stratégie de groupe configurant les paramètres requis sur chacun des appareils mobiles pris en charge. La configuration des paramètres ActiveSync ou l activation de la stratégie «Mot de passe obligatoire» en sont deux exemples. Plusieurs stratégies sont livrées prêtes à l emploi, mais libre aux administrateurs d en créer d autres à l aide des modèles Administration Active Directory. Un appareil Windows Mobile suit les paramètres de stratégie de groupe comme tout autre ordinateur de bureau ou portable sous Windows. Dans leur dernière mouture, les outils d administration des stratégies de groupe permettent d affecter des objets de stratégie de groupe aux unités organisationnelles et aux groupes de sécurité. Si nécessaire, les administrateurs système peuvent également empêcher certains appareils d obtenir des stratégies. En ayant la possibilité d affecter des stratégies à des appareils ou à des ensembles d appareils spécifiques, les administrateurs système parviennent sans peine à administrer toute une flotte d appareils mobiles. 13

18 Désactivation des communications et de l appareil photo Compte tenu de leur omniprésence dans l entreprise, les appareils mobiles doivent faire l objet d une surveillance étroite. Il est essentiel, dans certains cas, de pouvoir intervenir sur les interfaces de communication et sur l appareil photo. Dans les laboratoires de recherche et de développement, par exemple, les entreprises doivent s assurer que les appareils mobiles ne photographient ni ne transmettent la moindre donnée confidentielle. De même, les établissements de services financiers cherchent souvent à désactiver les fonctions SMS/MMS et autres protocoles de communications pour éviter la transmission de données sensibles non surveillées. System Center Mobile Device Manager 2008 donne aux administrateurs la possibilité d établir de puissantes stratégies sur les appareils Windows Mobile gérés par Mobile Device Manager. Ils sont ainsi en mesure d administrer et de bloquer les communications ainsi que la fonction d appareil photo. Les administrateurs peuvent définir des stratégies dans Mobile Device Manager pour obliger les appareils à désactiver toute une série de fonctionnalités, notamment : Appareil photo Bluetooth SMS/MMS Protocoles de messagerie POP/IMAP Chiffrement des fichiers Les entreprises cherchent de plus en plus à sécuriser les données stockées sur un appareil Windows Mobile. À cet effet, Windows Mobile permet aux utilisateurs de chiffrer les documents créés sur des cartes de stockage externes, et Mobile Device Manager étend cette fonctionnalité aux fichiers et dossiers des appareils Windows Mobile. Ainsi, l administrateur système peut chiffrer les informations d identification personnelle, les dossiers comportant des pièces jointes aux messages électroniques, le dossier Mes documents, le cache Web de Microsoft Internet Explorer Mobile, la clé privée de Mobile Device Manager et le mot de passe du domaine. Le chiffrement des fichiers s appuie sur le code d identification qui permet de verrouiller l appareil et sur l algorithme de chiffrement AES 128 bits. Par ailleurs, Mobile Device Manager laisse les administrateurs libres d activer ou de désactiver le chiffrement des appareils. Désactivation et activation des applications Aujourd hui, il existe plus de applications pour les appareils Windows Mobile. System Center Mobile Device Manager 2008 apporte aux responsables informatiques une souplesse sans précédent pour gérer les applications que les utilisateurs installent et exécutent sur leurs appareils. Mobile Device Manager permet aux administrateurs d activer ou de désactiver des applications ou des ensembles d applications spécifiques. Les applications désactivées sont impossibles à exécuter sur un appareil Windows Mobile. System Center Mobile Device Manager dresse également la liste des applications activées, qui sont alors les seules que l utilisateur peut installer sur un appareil. En ayant la possibilité de surveiller les applications chargées sur un appareil, les administrateurs disposent d une fonctionnalité très performante pour mieux administrer et sécuriser les appareils Windows Mobile de leur entreprise. Effacement à distance Ce service permet à un informaticien d effacer immédiatement les données d un appareil Windows Mobile. En raison de l accès permanent assuré par Mobile Device Manager (en cas de connexion au réseau sans fil d un opérateur ou de connexion Wi-Fi), les appareils peuvent être effacés immédiatement dès l émission de la commande, sans avoir à attendre leur connexion au serveur et leur synchronisation. Le service d effacement à distance communique avec un contrôleur de domaine pour supprimer l objet du Service de domaine Active Directory représentant l appareil. Il communique également avec l autorité de certification de façon à révoquer le certificat que l appareil utilise. La commande met également à jour le serveur passerelle et les bases données afin que l appareil ne soit plus en mesure de 14

19 se connecter au système par le biais des informations d identité précédentes. L appareil doit suivre de nouveau toute la procédure d enrôlement pour rejoindre l environnement géré. Conformité OMA DM Le serveur d administration des appareils de Mobile Device Manager ouvre une session OMA DM pour transmettre les tâches et les actions nécessaires à l appareil Windows Mobile. Il convertit les tâches en commandes OMA DM qui sont ensuite émises vers l appareil Windows Mobile. Le standard OMA DM ne sert pas uniquement à la transmission des tâches, il intervient également lors de la configuration initiale avec le serveur Mobile Device Manager. En respectant OMA DM, un protocole basé sur des standards, et en exposant les API clientes OMA DM sur les appareils Windows Mobile gérés par Mobile Device Manager, le serveur System Center Mobile Device Manager 2008 se montre extensible et flexible. 15

20 Administration des appareils Avec System Center Mobile Device Manager 2008, les responsables informatiques disposent d une solution complète pour administrer des appareils Windows Mobile, distribuer des logiciels et établir un état précis du parc en circulation dans une organisation complexe. La fonction de distribution de logiciels par voie hertzienne repose sur WSUS 3.0, l outil de mise à jour logicielle Windows utilisé par de nombreux professionnels dans le monde. WSUS 3.0 propose aussi des fonctionnalités de ciblage et de création de package très appréciées des départements informatiques. Par ailleurs, Mobile Device Manager centralise les informations d inventaire, tant matériel que logiciel, et fournit des rapports de qualité en s appuyant sur l infrastructure souple et personnalisable de SQL Server 2005, bien connue des utilisateurs. Console d administration centrale pour les appareils mobiles System Center Mobile Device Manager 2008 regroupe en une seule solution toutes les fonctionnalités qui, par le passé (si elles existaient) exigeaient la mise en uvre de plusieurs solutions sur des plateformes propriétaires. En ayant sous la main des fonctions avancées comme l application de stratégie, l inventaire, la création de rapports et le ciblage des logiciels, les administrateurs peuvent compter sur Mobile Device Manager pour administrer efficacement toute une flotte d appareils Windows Mobile. Déploiement et amorçage par voie hertzienne (OTA) En passant par la voie hertzienne, System Center Mobile Device Manager 2008 facilite l enrôlement des appareils auprès du serveur d administration. Il offre une interface conviviale et simple aux utilisateurs qui souhaitent inscrire et connecter leurs appareils Windows Mobile à un serveur d administration. L utilisateur dispose d une adresse électronique qu il saisit sur son appareil Windows Mobile. Cette adresse électronique permet de localiser le serveur System Center Mobile Device Manager 2008 auquel il faut se connecter. L utilisateur doit ensuite communiquer le code d identification (qui lui a été transmis séparément par l entreprise) pour authentifier l enrôlement. À l issue de l authentification et de l enrôlement, l appareil peut se connecter au serveur passerelle et transmettre, via le tunnel IPSec chiffré, des données authentifiées SSL. Lors de la première connexion, le serveur System Center Mobile Device Manager 2008 charge directement sur l appareil les applications et stratégies standards définies par l utilisateur. La mise en service de l appareil a ainsi lieu en un clin d il. Le modèle d enrôlement en libre-service de Mobile Device Manager constitue un moyen simple et efficace d activer les appareils. Il s ensuit un gain de temps considérable pour les administrateurs, un allègement des ressources informatiques et une réduction des coûts d assistance. 16

21 Distribution de logiciels par voie hertzienne via WSUS 3.0 (Windows Server Update Service) System Center Mobile Device Manager a recours à WSUS pour distribuer des applications sur les appareils gérés. En outre, WSUS permet à Mobile Device Manager de rechercher des logiciels et de les transférer sur les appareils gérés. Le serveur d administration des appareils vérifie régulièrement auprès de WSUS quels sont les logiciels nouvellement publiés, puis analyse les appareils gérés en tenant compte des conditions d application des logiciels et des informations d approbation. Grâce à ces informations, le serveur d administration identifie les logiciels à installer sur chaque appareil et crée les commandes OMA DM requises dans la base de données. Lorsqu un appareil se connecte, il télécharge et installe les packages qui lui sont proposés par le serveur d administration. Inventaire et création de rapports Au vu de l explosion des appareils mobiles dans les entreprises, les responsables informatiques souhaitent suivre de près le parc et créer des rapports sur tous les mobiles en circulation dans l organisation. System Center Mobile Device Manager 2008 reprend l infrastructure de SQL Server 2005 pour fournir aux informaticiens des informations essentielles sur les appareils Windows Mobile de l entreprise. Cette fonctionnalité, de même que plusieurs modèles de rapports prédéfinis, peut être téléchargée sur Internet. Lorsque l appareil est authentifié par le serveur d administration de Mobile Device Manager, plusieurs informations sont recueillies à son propos. L administrateur a alors à sa disposition une large quantité d informations, notamment : le système d exploitation et sa version ; le modèle, la marque, l ID et la langue de l appareil ; l ID du matériel ; les spécifications du matériel et les informations de stockage ; les paramètres utilisateur. Pour une liste complète des fonctions d inventaire, consultez l annexe A. Administration basée sur des rôles L administration fondée sur des rôles apporte une grande souplesse en termes de privilèges et d administration des appareils Windows Mobile. Un responsable du service d assistance pourrait, par exemple, accéder à un certain groupe de paramètres, délimité par l administrateur système. L administrateur est en mesure de définir les rôles en fonction de besoins spécifiques, et ainsi d administrer les accès de sécurité en toute simplicité. Portail d auto-assistance (libre-service) System Center Mobile Device Manager 2008 propose aux utilisateurs un portail d auto-assistance qui leur permet d administrer en toute liberté leurs propres appareils Windows Mobile. Ce portail apporte les avantages suivants : Affichage d une liste de tous les appareils gérés pour faciliter la création de rapports et le suivi. Création d un enregistrement d enrôlement pour les nouveaux appareils qu ils souhaitent gérer. 17

22 Effacement d un appareil. Ce portail d auto-assistance évite aux utilisateurs de solliciter l administrateur système ou le service d assistance de l entreprise. Il renforce aussi la convivialité de Mobile Device Manager. Architecture à forte capacité d évolution Mobile Device Manager assure un déploiement d une grande fiabilité et monte facilement en puissance. Les entreprises peuvent ainsi prendre en charge plusieurs utilisateurs sur un même serveur pour mieux maîtriser les coûts et la complexité. Comparé aux autres solutions du marché, Mobile Device Manager réduit davantage les coûts de maintenance, monte plus rapidement en charge, accroît les performances et facilite la résolution des problèmes. L architecture de Mobile Device Manager offre une grande souplesse lors de la mise en uvre des serveurs de l entreprise. Différentes configurations de serveurs peuvent être envisagées selon les exigences de l entreprise tant en terme d évolution que de disponibilité. La figure 5 présente un aperçu des trois principales configurations de serveurs. Chacune de ces options fait ci-dessous l objet d une description plus détaillée. Configuration intégrée. Prévoyez au minimum deux serveurs physiques pour installer les composants de Mobile Device Manager : le premier est joint au domaine dans l intranet, et le deuxième est autonome ou réservé à un groupe de travail dans le réseau de périmètre. Cette configuration s avère simple et solide, mais présente des limitations sur le plan de la sécurité. Elle risque en outre de limiter l entreprise quant au nombre d appareils mobiles à gérer. Configuration distribuée (recommandée). Déployez chaque composant de System Center Mobile Device Manager (serveur passerelle, serveur d administration, serveur d enrôlement et bases de données) sur des serveurs physiques distincts. C est de loin la configuration la plus adaptée à un environnement de production d une entreprise. Elle offre le plus fort niveau de sécurité et permet de rapidement monter en puissance. Configuration avec équilibrage de charge. Configurez le serveur passerelle et le serveur d administration dans une grappe à équilibrage de charge. Cette approche optimise la montée en puissance et la disponibilité des appareils mobiles gérés. Montée en charge Con guration en équilibrage de charge Serveur DM DB Configuration distribuée (recommandée) Serveur DM Serveur GW Serveur EN Con guration intégrée DB Serveur EN DBs Serveur GW Serveur GW Serveurs DM & EN Figure 5. Configurations des serveurs. Capacité à monter en charge System Center Mobile Device Manager 2008 est une solution évolutive et facile à déployer à peu de frais. Le tableau qui suit récapitule, pour chaque rôle de serveur, les capacités prises en charge en cas de configuration distribuée. 18

23 Rôle de serveur Nombre maximum d appareils Serveur de passerelle Serveur d administration des appareils Serveur de base de données Serveur d enrôlement 25 enrôlements simultanés Le serveur d enrôlement n intervient qu à la première connexion d un appareil, ce qui permet jusqu à 50 à 100 connexions simultanées. En cas de déploiement totalement intégré où serveurs (enrôlement et administration) et bases de données se trouvent sur un seul système, System Center Mobile Device Manager 2008 peut prendre en charge jusqu à utilisateurs. Ces chiffres sont donnés sous réserve de modification. Composants enfichables MMC et cmdlets (scripts) de Windows PowerShell Pour plus de flexibilité, la console d administration permet d administrer les serveurs et les appareils via une interface graphique ou via la console Windows PowerShell à ligne de commande. Le composant enfichable Console d administration est un outil offrant une interface graphique. C est plus précisément un composant enfichable MMC 3.0 (Microsoft Management Console) qui permet aux administrateurs de contrôler les appareils Windows Mobile et les serveurs Mobile Device Manager. La console Windows PowerShell propose une interface à ligne de commande très performante ainsi que les composants enfichables nécessaires pour les services et les bases de données de Mobile Device Manager. Comme le montre la figure 6, vous pouvez administrer les composants de System Center Mobile Device Manager 2008 directement à partir du serveur d administration (via une console d administration serveur) ou à distance (via une console installée sur un poste de travail). Ces consoles permettent aux administrateurs d assurer toutes les tâches administratives. Quelle que soit la console utilisée, les tâches demandées sont exécutées par une collection de scripts Windows PowerShell, connus sous le nom de «cmdlets». Une cmdlet est une commande à fonctionnalité unique qui manipule des objets dans Windows PowerShell. Elles sont facilement reconnaissables par leur format : un verbe et un substantif anglais, séparés par un tiret (-), comme Get-Help, Get-Process et Start-Service. Ces cmdlets fournissent la logique nécessaire à l exécution des principales tâches administratives dans des domaines comme : Gestion du serveur d administration des appareils Gestion du serveur d enrôlement Tâches urgentes comme l effacement d un appareil Gestion des stratégies de groupe Serveur GW Console PowerShell Station d administration à distance MMC Administration des serveurs Création de rapports sur les appareils et les tâches Cmdlets Gestion du parc Contrôle des mises à jour fournies via Windows Mobile Update pour Windows Mobile Windows Mobile Update permet de distribuer les correctifs les plus critiques sur les appareils Windows Mobile (version 6 et postérieure). Avec System Center Mobile Device Manager 2008, les responsables informatiques peuvent contrôler la distribution de ces mises à jour sur les appareils Windows Mobile de leur entreprise. Ils peuvent notamment activer ou désactiver les mises à jour automatiques de Windows Mobile Update pour les tester et en planifier précisément le déploiement. Réseau de périmètre Serveur DM DB Intranet Figure 6. Architecture de la console d administration Serveur EN 19