Non di rado mi capita di sentire discussioni accalorate sulle caratteristiche e sulle impostazioni dei dispositivi Windows Mobile in cui i vari protagonisti elencano quali sono i migliori secondo certi criteri, ovviamente sempre di parte. In realtà ci dimentichiamo che spesso tali dispositivi fanno parte integrante di reti aziendali la cui gestione e configurazione non è affatto banale. Caliamoci infatti in una situazione (tra le più frequenti) in cui un’azienda fornisce al proprio personale di vendita dei dispositivi Windows Mobile con i quali gestire le visite presso il cliente, includendo operazioni di vendita, gestione anagrafica, consultazioni di magazzino e infine sincronizzazione con il Data Base centrale. Quali sono le problematiche che un amministratore IT dovrà affrontare? Eccone alcune tra le più importanti:
• Configurazione di un alto numero di dispositivi, a volte anche alcune migliaia, con l’esigenza di installare in tutti gli stessi software applicativi
• Gestione degli aggiornamenti software sui devices
• Cancellazione dei dati sul dispositivo in caso di perdita o furto dello stesso
• Connessione dei dispositivi alla rete aziendale con relativa autenticazione e trasmissione di dati sensibili
E’ certo che il nuovo tool di Microsoft denominato Mobile Device Management 2008, nasce proprio per risolvere tutte le problematiche sopraelencate e fornire una soluzione davvero pratica e semplice da implementare. Innanzitutto i requisiti minimi: il tool deve girare minimo su un Windows Server 2003 Standard 64bit con SP2. Sopra deve esserci installato anche IIS 6.0, WSUS 3.0 con SP1 e equipaggiato il .NET Framework > 2.0. Inoltre sui devices deve girare il Windows Mobile 6.1 o superiore. La grande innovazione del Mobile Device Management 2008 (di seguito MDM 2008) è quella di dare la possibilità all’amministratore IT di registrare ogni dispositivo proprio come se fosse un oggetto di Active Directory, permettendogli di gestire il device come se fosse un normalissimo computer della rete aziendale, con tutto ciò che questo implica, non ultimo la gestione di tutti i dispositivi tramite delle Group Policy. L’altra grande novità introdotta, che un po’ rappresenta la naturale conseguenza di quella che abbiamo descritto ora, è il fatto di poter accedere dal device alla rete aziendale tramite VPN! Vediamo in figura l’architettura di base.
Vi sono fondamentalmente 3 server coinvolti in tutto il processo di gestione:
• Enrollment Server
• Gateway Server
• DM Server
Vediamo le funzionalità di ciascuno di essi, premettendo che il funzionamento nel dettaglio viene spiegato esattamente nel web cast che troverete nel DVD in allegato. L’enrollment server, come indica il suo nome, gestisce la fase di iscrizione del device in Active Directory. Tramite la ricezione di un certificato (prodotto dalla infrastruttura PKI della Company Network) il device riesce, come primo step di tutto il processo di gestione, a diventare un oggetto di Active Directory e di conseguenza ad essere riconosciuto come elemento ‘trusted’ della rete. Dopo questa fase il device è in grado di ‘entrare’ dentro la rete aziendale. Questo però viene concretizzato dal secondo server preso in considerazione: il Gateway Server. Tramite quest’ultimo infatti si riesce a creare un Tunnel IPSec utilizzato dal Device per autenticarsi e ad avere accesso all’interno della rete aziendale (con l’aiuto del certificato ricevuto in precedenza). Tutte le comunicazioni tra il device e la rete interna passano tramite il Gateway Server implementando così una vera e propria VPN. La prima volta che il device fa accesso alla rete, viene chiamato in causa il DM Server il quale si fa spedire la configurazione attuale del dispositivo costringendolo a disconnettersi e rischedulandolo per una successiva riconnessione. Nel frattempo il DM prepara le informazioni di configurazione (memorizzate in un DB Server) da spedire al dispositivo non appena si riconnette. Quest’ultimo tramite le informazioni ricevute riesce a configurarsi per essere coerente con le Policy aziendali così da poter accedere a tutte le risorse della rete interna tutte le volte che lo riterrà opportuno, in maniera sicura tramite il solito Gateway .
A questo punto il device viene gestito come una qualsiasi macchina in Active Directory. Vengono create delle specifiche Group Policy da applicare all’accesso del device alla rete, mentre si utilizza la tecnologia WSUS per quanto riguarda l’aggiornamento del software. Non possiamo inoltre non ricordare che dal MDM2008 è possibile effettuare l’operazione di “Device Wipe”. Significa cioè che nel momento in cui si ritiene opportuno (per esempio ci si accorge che il device è stato rubato, perso o che qualcuno ha effettuato più di un certo numero di tentativi di accesso non autorizzato) l’amministratore può mandare da remoto un segnale di “Wipe” che causerà la totale cancellazione dei dati presenti sul device, storage card compresa.
In conclusione, se facciamo un rapido confronto con quelli che erano i mezzi a disposizione per la gestione dei dispositivi in una azienda, ci accorgiamo degli enormi vantaggi che MDM2008 introduce a fronte di un limitato investimento HW e di Licensing.
| | Exchange 2007 | SCCM 2007 | SCMDM 2008 |
| Platform | WM 5,6,6.1 | WinCE, Tutti i WM | WM 6.1 o superiori |
| Agent Provisioning | Non Richiesto | Come per il Provisioning | Non Richiesto |
| Scalabilità | N20K + Utenti | 25K/DM Point | 10K/DM |
| Software Distribution | No | Si | Si |
| Domain Object | No | No | Si |
| Group Policy | No | No | Si |
| VPN Tunnel | No | No | IP Sec/ IKE v2 |
| Reporting | Limitato | Si | Si |
| Reporting | Limitato | Si | Si |
| Password Recovery | Si | No | No |
Subscribe