MDM Mobile device management Parte 1
Hola a todos, hoy les traigo algo que muchos clientes no saben como abordar, y que es un dolor de cabeza que muchos han empezado a implementar si saber como hacerlo.
Lo primero que debemos entender que el control de los dispositivos móviles es fundamental para la seguridad de nuestra organización, por ello debemos entender las posibilidades de gestionar, y forzar una política para la correcta utilización de las herramientas que nos facilitaran el acceso a la plataforma de correo desde dispositivos móviles.
Debemos tener en cuenta que en todas las empresas lo mas importante es la información. Quien Domine la información dominara al mundo.
según la Wikipedia, un MDM es “es un tipo de software que permite asegurar, monitorear y administrar dispositivos móviles sin importar el operador de telefonía o proveedor de servicios. La mayoría de las MDM permiten hacer instalación de aplicaciones, localización y rastreo de equipos, sincronización de archivos, reportes de datos y acceso a dispositivos, todo esto de manera remota. Este tipo de aplicaciones ha tenido una gran aceptación por parte de las empresas y su crecimiento ha sido realmente vertiginoso, esto se ha debido en gran medida a la popularidad que han tenido los Smartphones dentro de las corporaciones.”
Muy bien ahora sabiendo que es un MDM tenemos varios sabores y muchos tipo, algunos tiene un elevado coste (que bien lo vale la pena). todos nos ofrecen multitud de propiedades, y diferentes niveles de compatibilidad. en este articulo solo mencionaremos algunos muy conocidos y otros no tantos. Pero que cumplen muchas funciones importantes para mantener control sobre la información delicada de nuestra empresa.
El primero del que les voy a hablar y como no podría ser otro es… Ta Ta TAN!!!!!
Microsoft Exchange Server 2KX.
Debemos tener en cuenta que Exchange Server no es un MDM, pero nos ofrece muy buenas ventajas para la administración de los dispositivos móviles.
En la matriz de compatibilidad y dentro de lo que podemos hacer:
FUENTE: Technet
Dentro de las políticas que podremos distribuir a los usuarios de movilidad tenemos las siguientes características, destacadas por sistema operativo.
Android (2.2 y 2.3):
- Eliminación remota de datos
- Sincroniza el correo electrónico, el calendario y los contactos
- Servicio Autodiscover
- Aplicación de una contraseña en el dispositivo
- Solicitud de contraseña alfanumérica
- Número máximo de fallos permitidos en la contraseña
- Longitud mínima de la contraseña
- En caso de que el usuario falle la contraseña el número máximo de veces, se puede establecer un tiempo para que pueda volver a intentarlo (max. 30 mins)
- Permite que si un dispositivo Android no cumple con todas las políticas aplicadas, entonces no pueda configurarse contra una cuenta de Exchange 2010.
iPhone:
- Sincroniza el correo electrónico, el calendario y los contactos
- Los usuarios no pueden limitar la sincronización a solo 3 días de mensajes de correo electrónico como lo pueden hacer con otros teléfonos
- El iPhone es compatible con Exchange ActiveSync versión 2.5 y no admite todas las características incluidas con Exchange ActiveSync para Exchange 2010. En concreto, Apple iPhone admite solo las siguientes directivas:
- Eliminación remota de datos
- Aplicación de una contraseña en el dispositivo
- Longitud mínima de la contraseña
- Solicitud de contraseña alfanumérica
- Solicitud de contraseña compleja
- Bloqueo de tiempo de inactividad
NOTA: aunque no este implícito, tener en cuenta que por defecto a los 8 reintentos el teléfono o dispositivo (ipad, ipod.), realizara un borrado de toda la información del teléfono.
Nokia:
Ofrece Correo para Exchange en sus teléfonos móviles Eseries. El correo electrónico, el calendario y los datos de contactos se pueden sincronizar a través de una red celular (de telefonía móvil) o una LAN inalámbrica.
Sony Ericsson:
Ofrece compatibilidad con Exchange ActiveSync en varios de sus últimos smartphones. También son compatibles con Direct Push a través de un programa de otro fabricante.
Windows Phone 7 sincronización
Si está configurando un teléfono de Windows 7 de teléfono móvil para sincronizar con un buzón de Exchange utilizando Exchange ActiveSync, la sincronización fallará conforme a las siguientes dos condiciones simultáneas:
Si la propiedad AllowNonProvisionableDevices de la directiva de buzón de Exchange ActiveSync se establece en False.
Si cualquiera de las propiedades de política que no se incluyen en la siguiente lista están configurados para la directiva de buzón de Exchange ActiveSync:
- PasswordRequired
- MinPasswordLength
- IdleTimeoutFrequencyValue
- DeviceWipeThreshold
- AllowSimplePassword
- PasswordExpiration
- passwordHistory
- DisableRemovableStorage
- DisableIrDA
- DisableDesktopSync
- BlockRemoteDesktop
- BlockInternetSharing
Si usted tiene Windows Phone 7 teléfonos móviles en su organización, puede establecer la propiedad AllowNonProvisionalDevices en true o puede crear una directiva de buzón de Exchange independiente ActiveSync para usuarios con Windows Phone 7 teléfonos móviles. Esta nueva directiva de buzón de Exchange ActiveSync o bien debe tener la propiedad AllowNonProvisionalDevices establece en true o sólo tienen la lista anterior de propiedades de la directiva configurados. Para obtener más información acerca de las propiedades de buzón de Exchange ActiveSync políticas y Windows Phone 7.
Servidores de Exchange 2010 SP1 seguir una secuencia simple, lógica para determinar el estado de acceso de cada dispositivo móvil. Cada dispositivo puede ser cualquiera de los dos permitidos, bloqueados o en cuarentena. Se puede definir el estado de acceso de cada dispositivo a través de una regla de la organización o a través de una exención. Una excepción es una regla que se aplica a un solo usuario o dispositivo. Esto ocurre cada vez que se recibe una petición de Exchange ActiveSync desde un dispositivo móvil que está tratando de sincronizar los datos de un buzón almacenado en un servidor de Exchange 2010. La secuencia incluye los siguientes pasos:
- El dispositivo móvil autenticado? De lo contrario, regresa al dispositivo móvil para las credenciales correctas. De lo contrario, continúe con el siguiente paso.
- Exchange ActiveSync habilitado para el usuario actual? Si no, se devuelve un «acceso restringido» error en el dispositivo. De lo contrario, continúe con el siguiente paso.
- Los criterios de aplicación en las políticas móviles cumplir el dispositivo móvil actual? De lo contrario, bloquear el acceso. De lo contrario, continúe con el siguiente paso.
- Este dispositivo móvil bloqueado por una exención personal para el usuario? Si es así, bloquear el acceso. De lo contrario, continúe con el siguiente paso.
- Este dispositivo móvil permite una exención personal para el usuario? Si es así, permitir el acceso completo. De lo contrario, continúe con el siguiente paso.
- Este dispositivo móvil bloqueado por una regla de acceso de dispositivo? Si es así, bloquear el acceso. De lo contrario, continúe con el siguiente paso.
- Este dispositivo móvil en cuarentena por una regla de acceso de dispositivo? Si es así, poner en cuarentena el dispositivo. De lo contrario, continúe con el siguiente paso
- Este dispositivo móvil permitido por una regla de acceso de dispositivo? Si es así, permitir el acceso completo. De lo contrario, continúe con el siguiente paso.
- Aplica el estado de acceso predeterminada por la configuración de Exchange ActiveSync organización. Esto garantiza el acceso, el acceso a los bloques, o pone en cuarentena el dispositivo actual, en función de los contextos organizacionales.
Como sabemos que dispositivos están en nuestra organización.
Tenemos este script de PowerShell que me he encontrado en el scripting guy
################################################################################################### # # The sample scripts are not supported under any Microsoft standard support # program or service. The sample scripts are provided AS IS without warranty # of any kind. Microsoft further disclaims all implied warranties including, without # limitation, any implied warranties of merchantability or of fitness for a particular # purpose. The entire risk arising out of the use or performance of the sample scripts # and documentation remains with you. In no event shall Microsoft, its authors, or # anyone else involved in the creation, production, or delivery of the scripts be liable # for any damages whatsoever (including, without limitation, damages for loss of business # profits, business interruption, loss of business information, or other pecuniary loss) # arising out of the use of or inability to use the sample scripts or documentation, # even if Microsoft has been advised of the possibility of such damages # ################################################################################################### # # ActiveSyncReport.ps1 # Syntax Examples: # .\ActiveSyncReport.ps1 -IISLogs «C:\inetpub\logs\LogFiles\W3SVC1» -LogparserExec «C:\Program Files (x86)\Log Parser 2.2\Logparser.exe» -ActiveSyncOutputFolder c:\EASReports -MinimumHits 1000 # .\ActiveSyncReport.ps1 -IISLogs «C:\Server1\W3SVC1″,»C:\Server2\W3SVC1» -LogparserExec «C:\Program Files (x86)\Log Parser 2.2\Logparser.exe» -ActiveSyncOutputFolder c:\EASReports -HTMLReport # .\ActiveSyncReport.ps1 -IISLogs «C:\Server1\W3SVC1» -Date «12-06-2011» -LogparserExec «C:\Program Files (x86)\Log Parser 2.2\Logparser.exe» -ActiveSyncOutputFolder c:\EASReports -Hourly # .\ActiveSyncReport.ps1 -IISLogs «C:\Server1\W3SVC1» -Date «12-06-2011» -DevideID abcdefg123 -LogparserExec «C:\Program Files (x86)\Log Parser 2.2\Logparser.exe» -ActiveSyncOutputFolder c:\EASReports -Hourly # # Written by Brian Drepaul <briandre@microsoft.com> # Technical Documentation provided by Konstantin Papadakis <kpapadak@microsoft.com> # # IIS W3C Default Fields # IIS 6.0 # date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status # IIS 7.0 # date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status time-taken # IIS 7.5 # date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status time-takenparam( [string]$ActiveSyncOutputFolder, # CSV and HTML output directory [string]$ActiveSyncOutputPrefix, # Prefix a string in the file name EASyncOutputReport- [switch]$CreateZip=$false, # Used with -SendEmailReport [int]$CreateZipSize=2, # Used with -SendEmailReport and -CreateZip, Default is if the file is greater then 2MB [string]$Date, # specify a date to parse on [string]$DeviceId, # DeviceID to parse on [switch]$DisableColumnDetect=$false, # Disable the ability to add additional columns to the report that users may have enabled, Example: time-taken [switch]$Help, # Help File [int]$ReportBySeconds, # Generates the report bases in the value entered in seconds [switch]$Hourly, # Generates the report Hourly [switch]$HTMLReport=$false, # Creates an HTML Report [string]$HTMLCSVHeaders=»», # CSV Headers to Export on in the HTML Report this will default to «DeviceID,Hits,Ping,Sync,FolderSync,DeviceType,User-Agent» [array]$IISLogs, # IIS Log Directory [string]$LogparserExec, # Path to LogParser.exe [int]$MinimumHits, # Hit Threshold value where the report will generate on CSV and HTML [switch]$SendEmailReport=$false, # Enable Email report, $true of $false [string]$SMTPRecipient, # SMTP Recipient [string]$SMTPSender, # SMTP Sender [string]$SMTPServer, # SMTP Server [int]$TopHits # Top Hits to return Ex. TopHits 50, This cannot be used with Hourly or ReportBySeconds )################################################################################################### ##### Please do not modify anything below this line #################################################################################################### Last Updated $builddate = «01.23.2012» # Create a Zip file that will be used with Sending HTML Report # Create a new empty Zip FIle $shellApplication = new-object -com shell.application # Add the Zip Files # Build the Log Parser Query Write-Host «Building Log Parser Query…» if (!$DisableColumnDetect) { if ($MinimumHitsQuery) { if ([bool]($results | Select-String «LargestBytesSentToClient»)) { $query = @» «@ «@ Note: The existence of the 503 status code does not imply that a http://tools.ietf.org/html/rfc2616#section-10.5.4 «@ «@ if ($ReportBySeconds) { «@ $query += @» USING SUBSTR(TO_STRING(sc-status),0,1) AS StatusCode, /* Getting any error’s that might be in MyLog */ /* Detect if ActiveSync is disabled for User */ /* Exchange 2010 */ /* END — Detecting if ActiveSync is disabled for User */ CASE MyLogError CASE MyLogError CASE MyLogError CASE MyLogError CASE MyLogError CASE MyLogError CASE MyLogError CASE MyLogError CASE MyLogError CASE MyLogError CASE MyLogError CASE MyLogError CASE StatusCode CASE StatusCode CASE TO_STRING(sc-status) CASE TO_STRING(sc-status) CASE TO_STRING(sc-status) CASE TO_STRING(sc-status) CASE MyCmd CASE MyCmd CASE MyCmd CASE MyCmd CASE MyCmd CASE MyCmd CASE MyCmd END AS MyFolderSync, CASE MyCmd CASE MyCmd CASE MyCmd CASE MyCmd CASE MyCmd CASE MyCmd CASE MyCmd CASE MyCmd CASE MyCmd CASE MyCmd CASE MyCmd CASE MyCmd CASE MyCmd CASE MyCmd CASE MyCmd CASE MyCmd INTO ‘$out’ «@ if ($DeviceID) { «@ «@ «@ # Create the HTML file for HTML Report # Set the Style $html = ConvertTo-HTML -Head $HTMLHeader -Body $body if ($table.count -le 0) { $body += «</body></html>» # Help! Write-Host @» ActiveSynReports.ps1 ($($builddate)) Mandatory Switches Optional Swicthes Examples: Return only the Hits that are greater than 1000 Return the results and also include an HTML Report Return the results and format it per Hour Return the results for only the device that matches WP7abcdef and format it based on hourly «@ # Sanity checks if ($ActiveSyncOutputFolder -eq $null) { Write-Host «-ActiveSyncOutputFolder must be defined. Please use -Help for additional information.» -ForegroundColor Red; Exit} if ($Hourly -and $ReportBySeconds) { # Make sure Top Hits cannot be ran with Hourly or Reports By Seconds # Test the log parser path # If using Hourly or ReportBySeconds set the seconds correctly # Determine what IIS Logs files we are going to use if ($date) { # Make sure there are files in the path before we continue } else { if ($IISLogs -gt 1) { # Create the ActiveSync Output Folder # Handle -DeviceID switch # Set the Base file name for the files # Append the Prefix $baseFileName = «EASyncOutputReport-» + $title.replace(» «,»_») # Build the output file # Create the file incase log parser comes back with 0 results # Query for DeviceId Write-Debug $query Write-Host «Gathering Statistical data for device: $DeviceID» if ((Test-Path -LiteralPath $outfile) -eq $false) { } # Set the Base file name for the files # Append the Prefix $baseFileName = «EASyncOutputReport-» + $title.replace(» «,»_») # Build the output file # Create the file incase log parser comes back with 0 results # General Overview Query Write-Debug $query # Run Log Parse against the IISLog(s) if ((Test-Path -LiteralPath $outfile) -eq $false) { } # Sort by the most Hits if needed Write-Host «Generating the Minimum Hits Report.» # Set the Base file name for the files # Create the Output file for the Min Hits CSV # Create the file incase log parser comes back with 0 results # Min Hits Query Write-Debug $query Write-Host «Running Log Parser Command against the CSV results to determine Minimum hits of $MinimumHits» if ($outfile2 -and (Test-Path -path $outfile2)) { Write-Host «LogParser Command finished CSV, File location: $outfile2» } # Create the HTML File # Import the CSV so we can generate the HTML File # Determine the Headers to display $HTMLReportFile = $ActiveSyncOutputFolder + «\» + $baseFileName + «.html» Write-Host «HTML File location: $HTMLReportFile» # Send the Email if ($CreateZip) { Write-Host «Sending Email Report…» |
lo salvamos en un txt y renombramos a ps1, y lo ejecutamos. para descargarlo directamente AQUI.
La única forma gestionar las políticas de gestión de dispositivos móviles es a través de Exchange Managemen Console, y esta dispuesto en la siguiente ruta.
Microsoft Exchange -> Microsoft Exchange On-Premises-> Client Access -> Exchange ActiveSync MailBox Policies
En la cual podremos configurar las siguientes características.
En la pestaña general podremos definir las características de si queremos dispositivos no aprovisionados, o los intervalos en horas que se debe refrescar dicha política contra los dispositivos móviles.
En la pestaña de Contraseña, se pueden definir las siguientes características.
Al requerir el uso de una contraseña, para proteger el dispositivo móvil de un usuario malicioso o de obtención casual de información o de ser inmediatamente evacuado en el caso de que se pierda o sea robado. A través de la ficha Contraseña ActiveSync, se puede configurar el tiempo que la contraseña debe ser, ¿cuántos intentos fallidos se permiten, complejidad de la contraseña, caducidad de la contraseña, y más. En esta página, también puede indicar que sólo los usuarios con dispositivos que admiten cifrado pueden utilizar ActiveSync.
En la pestaña de Configuración de sincronización, se pueden definir las siguientes características.
La ficha Sync Settings es el lugar para decidir cuánta información debe ser enviada hasta el dispositivo. Tienes la oportunidad de decidir si citas pasadas del calendario están sincronizadas, y usted puede decidir el tamaño máximo de correo electrónico que será empujado. También puede elegir deshabilitar la capacidad de roaming a los usuarios utilizar ActiveSync / Direct Push. En función de los planes de datos de su organización.
En la pestaña de dispositivos, se pueden definir las siguientes características.
Algunas de las funciones del dispositivo, como cámaras, Wi-Fi, y las opciones de conectividad que se indican, pueden presentar un riesgo de seguridad para las organizaciones en las que se deberá facilitar información sensible y se deben de mantener estrechamente controlados. Usted puede optar por desactivar las características específicas de dispositivos como cámaras y Bluetooth con el fin de combatir el problema de seguridad.
En la pestaña de dispositivos, se pueden definir las siguientes características.
¿Cómo se utiliza un dispositivo puede ser tan importante como el tipo de datos que permiten el acceso. ¿Usted desea que los usuarios que acceden a la web mediante el navegador de su teléfono? En caso de que se les permita comprobar su cuenta de correo personal de usar el teléfono?, se puede ver que estos artículos y mucho más se puede configurar en la ficha Device Applications.
En la pestaña de dispositivos, se pueden definir las siguientes características.
En la ficha Otros, Microsoft ha puesto a todo lo demás, en este caso, que se reduce a ser capaz de decidir qué aplicaciones se pueden utilizar en dispositivos móviles.