Главная System Center, Без рубрики, Новое SCMDM 2008. Часть IV. Управление устройствами.
  • SCMDM 2008. Часть IV. Управление устройствами.

    sprint Перед вами предпоследняя часть из цикла статей, посвященного System Center Mobile Device Manager 2008. В первых трех частях я рассказал о теоретической части и о внедрении SCMDM, в этой же статье речь пойдет о самом главном – об управлении мобильными устройствами.

    Условно задачи управления можно разделить на четыре категории, и для выполнения каждой из задач применяются различные инструменты, как входящие в состав SCMDM, так и доступные для скачивания на сайте Microsoft:

    Инициализация устройств – Mobile Device Manager Console, Mobile Device Manager Shell и Self Service Portal

    Управление политиками устройств – Group Policy Management Console (GPMC) и Group Policy Extensions

    Управлениесостояниемустройств – Mobile Device Manager Console, Mobile Device Manager Shell и Self Service Portal

    Управление распространением ПО на устройства – Mobile Device Manager Software Distribution

    Итак, по порядку про каждую из категорий.

    Инициализация устройств

    Коротко об инициализации устройств я уже писал в первой статье цикла, но сейчас расскажу об этом процессе подробнее.

    Самое первое действие, которое необходимо выполнить для работы с устройствами в MDM – это инициализировать их в системе. Этот процесс можно разделить на две части:

    Pre-enrollment – т.е. предварительное создание записи об устройстве в системе

    Enrollment – процедура инициализации устройства

    Операция создания записи об устройстве (preenrollment) может быть выполнена как администратором системы, так и конечным пользователем. Администратор для выполнения pre-enrollment’а может использовать два доступных ему инструмента – Mobile Device Manager Console и Mobile Device Manager Shell. При использовании консоли Mobile Device Manager Console, администратор должен вызвать контекстное меню раздела «Pending Enrollments» и выбрать пункт «Create PreEnrollment», после чего запустится помощник «PreEnrollment Wizard».

    Создание предварительной записи об устройстве

    В процессе прохождения шагов помощника администратору необходимо будет указать имя инициализируемого устройства, выполнить привязку к учетной записи пользователя в Active Directory и указать, требуется ли высылать письмо с данными для инициализации устройства на почтовый ящик пользователя. При этом можно выполнить pre-enrollment не на пользователя Active Directory, а указать либо некий идентификатор пользователя, либо вообще провести подготовку для использования устройства анонимным пользователем, но в этих случаях использование объектов групповых политик будет недоступно. Также хочу отметить, что пересылка писем с данными на почтовый ящик пользователя выполняется только в том случае, если был настроен почтовый сервер для Enrollment Server.

    В результате описанных действий в Active Directory, в контейнере, предназначенном для устройств MDM, появится объект инициализируемого устройства, а администратор (и пользователь, если рассылка писем не отключена) получит одноразовый пароль, необходимый конечному пользователю для завершения процедуры инициализации устройства.

    Второй способ pre-enrollmet’а, доступный администраторам MDM, заключается в использовании среды PowerShell и следующих командлет:

    New-EnrollmentRequest – создание запроса на инициализацию устройства

    GetEnrollmentRequest – получение списка устройств, ожидающих инициализации

    RemoveEnrollmentRequest – удаление запроса на инициализацию устройства

    Результат выполнения команды NewEnrollmentRequest полностью совпадает с результатом использования помощника, но при этом данный командлет позволяет использовать дополнительные параметры для указания контейнера Active Directory и состояния VPN для данного устройства. При использовании помощника эти данные берутся из значений по умолчанию.

    Конечным пользователям также доступен способ пре-инициализации устройства – через портал самообслуживания (Self Service Portal). Данный портал может быть развернут во внутренней сети предприятия, может быть опубликован во внешнюю сеть и доступен для всех сотрудников компании. Доступ к нему осуществляется из браузера по протоколу HTTPS, а внешний вид может быть настроен администраторами с учетом корпоративного стиля.

    После того, как пользователь вошел на портал, ему необходимо создать предварительную запись об устройстве. Для этого ему нужно выбрать пункт «New Enrollment», указать имя устройства и нажать кнопку «Create Enrollment Request».

    Создание предварительной записи об устройстве через Self Service Portal

    В результате действий пользователь получит пароль, который необходим ему на втором этапе инициализации.

    После того, как предварительное создание записи об устройстве выполнено, его необходимо ввести в домен. Эта задача, как правило, выполняется конечным пользователем. Для ввода устройства в домен пользователь должен открыть страницу настройки подключений (Start -> Settings -> Connections) на своем устройстве и выбрать пункт включения в домен (Domain Enroll). В результате будет запущен мастер, при прохождении которого пользователю необходимо указать либо свой почтовый ящик, свой пароль и пароль для инициализации (если настроен Enrollment autodiscovery), либо дополнительно указать имя/IP-адрес сервера инициализации (если Enrollment autodiscovery не настроен), к которому производится подключение (тот, на котором опубликован порт 443 Enrollment Server). Если инициализация будет выполнена успешно, то пользователь получит уведомление об успешности этого процесса и предложение перезагрузить устройство. После перезагрузки устройство подключится к Gateway Server и получит настройки групповых политик, а также будет определено время следующей синхронизации и расписание по установке ПО.

    Один из нюансов, которые могут «выплыть» при инициализации устройства, является то, что предварительная запись для устройства создается на определенный срок, по истечении которого данная запись удаляется (по умолчанию через 8 часов). Поэтому, если в рамках заданного времени устройство не введено в домен, то стадию pre-enrollment необходимо повторить заново.

    Управление политиками устройств

    Для управления политиками устройств используется стандартная консоль GPMC и расширения Group Policy Extensions из набора инструментов администратора (MDM Administrator Tools). Сама консоль в состав инструментария не входит и ее придется доустанавливать отдельно. При желании, вы можете использовать GPMC на имеющихся контроллерах домена, либо можете установить ее отдельно на рабочую станцию администратора MDM под управлением Windows XP/Vista/7. Единственное, что у вас не получится – установить консоль на сервера MDM, т.к. варианта GPMC для Windows XP/2003 x64 не существует.

    atoolsselect

    После того, как расширения Group Policy Extensions были установлены, необходимо открыть консоль управления, создать новую политику, которая будет применяться к устройствам, и выполнить импорт шаблона mobile.adm. По окончании импортирования в консоли в ветках «Computer Configuration/Administrative Templates» и «User Configuration/Administrative Templates» появится раздел «Windows Mobile Settings», при помощи которого и будут производиться необходимые настройки.

    admpol

    Все выполняемые администратором MDM действия при создании объектов политик полностью повторяют настройку традиционных политик, и поэтому описывать их я не буду. В самих разделах «Windows Mobile Settings» есть дополнительные подразделы, группирующиеся по областям применения:

    Password Policies – политики, отвечающие за пароли на устройствах – длина, сложность, повторяемость, частота смены и т.д.

    Platform Lockdown – управление периферией устройства, запреты на использование протоколов POP3/IMAP, использование SMS/MMS, синхронизацию ActiveSync

    Application Disable – управление списками разрешенных и запрещенных на устройстве приложений

    Security Policies – управление сертификатами и неподписанными компонентами

    File Encryption – управление шифрованием на устройстве и карте памяти

    Device Management – настройка Windows Update, параметров управления для устройств, находящихся в роуминге, напоминания о требуемой перезагрузке

    Mobile VPN Settings – настройка параметров VPN соединения

    Software Distribution – настройка целевой группы для распространения ПО

    ActiveSync – настройка параметров синхронизации ActiveSync

    Messaging SMIME Policies – управление параметрами SMIME

    Перечислять все доступные политики я не буду – вы можете ознакомиться с ними на соответствующих страницах библиотеки TechNet (политики безопасности, почтовые политики), хочу отметить только, что те, кто, сталкивался с политиками ActiveSync в Exchange 2007/2010, увидят много знакомых настроек.

    Управление состоянием устройств

    Под управлением состоянием устройств понимаются действия, приводящие к блокировке, разблокировке и «очищению» (возврату к заводским настройкам). Данные действия могут выполняться как администраторами MDM, так и пользователями устройств самостоятельно.

    Для изменения состояния устройства администраторы MDM могут воспользоваться консолью Mobile Device Manager Console, либо выполнить необходимые действия в PowerShell из Mobile Device Manager Shell. При управлении из консоли, администратор может заблокировать или очистить устройство, выбрав его в разделе «All Managed Devices», вызвав контекстное меню и выбрав соответствующее действие.

    devstat

    После того, как действие было выбрано, устройство появляется в соответствующем разделе – «Blocked Devices» для заблокированных, либо «Recent Wipes» для ожидающих команды на очистку. При этом из раздела «All Managed Devices» они не исчезают, но при вызове контекстного меню доступные действия изменяются на «Unblock» и «Cancel Wipe» для отмены принятого решения.

    Помимо графической консоли администраторы могут воспользоваться Mobile Device Manager Shell, и выполнить все перечисленные выше действия используя командлеты PowerShell:

    Add-BlockedDevice – блокировка устройства

    GetBlockedDevice – получение списка заблокированных устройств

    RemoveBlockedDevice – удаление устройства из списка заблокированных устройств

    NewWipeRequest – создание запроса на очистку устройства

    GetWipeRequest – получение списка устройств, ожидающих очистку

    RemoveWipeRequest – удаление запроса на очистку устройства

    Пользователи также могут самостоятельно управлять состоянием своих устройств, правда им доступно всего два действия – очистка устройства и его отмена. Выполняются эти действия на портале Self Service Portal.

    sspwipe

    Управление распространением ПО на устройства

    Для распространения ПО на мобильные устройства в MDM используется консоль Mobile Device Manager Software Distribution. Но сразу после установки начать «разливку» ПО не получится, т.к. в SCMDM активно используется механизм подписывания пакетов и, соответственно, для этого необходимо выпустить дополнительные сертификаты. Поэтому первоначально нужно провести некоторую подготовку. Делается это так:

    • Необходимо установить корневой сертификат центра сертификации на сервер с ролью MDM DM Server. Выполняется эта задача аналогично установке корневого сертификата на Gateway Server, описанной в предыдущей статье.
    • Необходимо доставить на устройства сертификаты, используемые для проверки подписанных пакетов при установке. Для этого нужно открыть консоль GPMC и создать новую политику. В разделе «Computer Configuration» развернуть «Windows Mobile Setting», на «Certificates» вызвать контекстное меню и выполнить «Import Certificate». В открывшемся окне необходимо выбрать корневой сертификат, а в качестве места хранения SPC (Manager). Затем необходимо проделать процедуру импорта коревого сертификата еще раз, но теперь в хранилище Privileged Execution Trust Authorities. Далее, в правой части консоли необходимо выбрать каждый из импортированных сертификатов и назначить им установку на устройства (Install on Device в контекстном меню). После этого созданную политику необходимо назначить на контейнер, в котором хранятся объекты мобильных устройств.

    certodev

    • Необходимо создать сертификат, которым будут подписываться пакеты. Для этого нужно открыть консоль управления центра сертификации (CertificationAuthority), перейти к разделу с шаблонами (CertificateTemplates) и в контекстном меню выбрать «Manage». Далее нужно выбрать шаблон «CodeSigning» и в контекстном меню выполнить «DuplicateTemplate». На вкладке «General» открывшегося окна необходимо ввести имя нового шаблона, на вкладке «RequestHandling» нужно отметить пункт «Allowprivatekeytobeexported», а на вкладке «Security» необходимо проверить, чтобы напротив опции «Enroll» было выбрано разрешение (Allow) для группы администраторов MDM. После этого нужно закрыть окно с шаблонами, вызвать контекстное меню на «CertificateTemplates» и выбрать «New» -> «CertificateTemplatetoissue». Далее необходимо открыть Web-консоль центра сертификации и выпустить сертификата по созданному шаблону, отметив, что ключи должны быть экспортируемыми (Markkeysasexportable) и сертификат должен храниться в хранилище локального компьютера (Storecertificateinthelocalcomputercertificatestore).
    • Необходимо дважды экспортировать выпущенный сертификат в файл – один раз вместе с его закрытым ключом, а второй – без него. Для этого нужно открыть консоль MMC «Certificates», найти сертификат, который был выпущен, вызвать на нем контекстное меню и выбрать «AllTasks» -> «Export». В запущенном мастере необходимо указать, что сертификат должен быть сохранен с закрытым ключом в формате «PersonalInformationExchangePKCS #12(.PFX)». Второй раз экспорт выполняется без закрытого ключа в формат «DERencodedbinaryX.509 (.CER)».
    • Последний этап – необходимо импортировать файл сертификата без закрытого ключа на MDM Device Management Server в хранилище «TrustedPublishers».

    Все, теперь ПО можно назначать. Для этого нужно открыть консоль Mobile Device Manager Software Distribution, перейти к «Software Packages» и в контекстном меню выбрать «Create» – запустится мастер создания пакетов ПО. По мере прохождения мастера нужно будет указать:

    • Исходный пакет ПО в формате .cab либо .cpf
    • Имя файла и место сохранения подписанного пакета
    • Файл сертификата с закрытым ключом в формате .pfx и пароль для него
    • Имя пакета и его описание
    • Редакция ОС на устройстве (Classic, Standard, Professional), версия ОС, язык ОС
    • Зависимости от других пакетов и от веток реестра
    • Возможность удаления пакета пользователем

    После того, как мастер закончит работу, в разделе «Software Packages» появится созданный пакет и теперь его можно назначить на группы устройств.

    certodev

    Для этого необходимо вызвать контекстное меню на пакете, выбрать «Approve» и в появившемся окне указать на какие группы устройств данное ПО устанавливается.

    softappr

    При необходимости параметры существующих пакетов могут быть изменены, либо сами пакеты удалены.

    Также хочу отметить, что группировка устройств осуществляется либо в ручном режиме путем создания групп и включения устройств в них, либо автоматически через групповые политики – т.е. все аналогично работе WSUS с обычными ПК.

    Управление серверами MDM

    Часть выполняемых администраторами задач по управлению устройствами зависит от настроек серверов MDM. В основном сервера MDM управляются из консоли PowerShell (Mobile Device Manager Shell), в которой имеется ряд командлет, способных оказать влияние на инициализацию, подключение и управление клиентскими устройствами.

    Я хотел бы обратить внимание на несколько из них.

    SetEnrollmentConfig – позволяет управлять настройками Enrollment Server. Некоторые из параметров этого командлета могут усложнить жизнь администратору при некорректном их использовании, хотя некоторые могут упростить жизнь пользователям:

    • ActivateVPNbyDefault – параметр, отвечающий за состояние VPN-подключения на клиенте сразу после выполнения инициализации. Если находится в состоянии False, то подключение не выполняется
    • ForceEnroll – в случае, если этот параметр находится в состоянии True, при инициализации после нахождения Enrollment Server устройством, пользователь всегда получает предложение ввести разовый пароль независимо от того, существует ли в системе предварительная запись об устройстве или нет
    • UsageAttemptLimit – количество попыток инициализации устройства. Если пользователь не смог инициализировать устройство, за количество попыток равное половине от указанного числа, необходимо заново пройти процедуру pre-enrollment’а. Деление числа на два связано с тем, что во время одной инициализации устройство дважды обращается к Enrollment Server
    • PasswordCharacters, SetPasswordLength, ExpirePasswordAfte – параметры, определяющие сложность, длину и срок действия одноразового пароля, генерируемого при инициализации устройства
    • SmtpServer, EmailSender, EmailSubject, EmailBodyTemplate – параметры, отвечающие за настойку почтового сервера и сообщения, отправляемого пользователям на стадии pre-enrollment

    SetDeviceManagementConfig – позволяет управлять глобальными настройками MDM:

    • ConnectInterval – частота подключения устройств к MDM для получения обновленных политик и информации об ожидающем установки ПО
    • EnableDisenroll, DisenrollInterval – параметры, позволяющие настраивать отмену инициализации устройства в случае его долгой неактивности

    SetEnrollmentPermissions – у этого командлета есть единственный параметр Container, который определяет контейнер в Active Directory, в котором по умолчанию создаются объекты устройств на стадии pre-enrollment

    Группы пользователей SCMDM

    И последнее, о чем хотел бы рассказать, это группы пользователей SCMDM.

    В SCMDM реализован подход ролевого управления (Role-Based Access Control) аналогичный тому, что сейчас появился в Exchange Server 2010. При установке в Active Directory создаются несколько групп безопасности:

    • DeviceAdministrators
    • DeviceSupport
    • HelpdeskOperator
    • ServerAdministrators
    • SecurityAdministrators
    • ReadOnlyUsers

    Главной целью этих групп является разграничение допустимых действий пользователя в системе таким образом, что при получении доступа к системной консоли пользователь не имел бы даже возможности выполнить команды, не разрешенные группе, к которой он относится. Более подробно об этом можно прочитать в библиотеке TechNet.

    Заключение

    На этом я хотел бы закончить свой рассказ об управлении мобильными устройствами в SCMDM 2008. В качестве небольшого анонса могу сказать, что последняя часть этой «эпопеи» будет посвящена траблшутингу MDM при внедрении.

    Алексей Ватутин

    Скачать статью в PDF