DA
Service-hotline
Sikker smartphone-adgang til Exchange-servere
Sikkerhedsgatewayen fra Schweiz supplerer AppTec EMM-løsningen med sikker adgang til Exchange-servere for alle administrerede mobile enheder.
Af sikkerhedsmæssige årsager drives Exchange-servere normalt bag en firewall. Dette er praktisk muligt, så længe ingen roamingbrugere anmoder om adgang til Exchange-tjenester, mens de er på farten. At give brugere med smartphones adgang udefra udgør derfor en sikkerhedsrisiko og er nogle gange slet ikke tilladt. AppTec, den schweiziske leverandør af EMM-software, tilbyder en sikkerhedsløsning til dette scenarie. “AppTec Universal Gateway” sørger for, at Exchange-brugere har sikker adgang til mailsystemet udefra.
Omvendt proxy-arkitektur
Universal Gateway opretter forbindelse til netværket som en omvendt proxy og fungerer som et enkelt adgangspunkt for mobile enheder. Den leveres af AppTec som en virtuel appliance og installeres typisk i DMZ (“demilitarized zone”). I forbindelse med EMM-løsningen “AppTec Enterprise Mobility Management” er det kun administrerede smartphones, der får ekstern adgang til Exchange-serveren. EMM-softwaren sikrer fuldautomatisk konfiguration af de mobile enheder.
Opsætning som en virtuel appliance
Gateway-systemet er hurtigt installeret. Den kan betjenes i en virtuel maskine (VM) med enhver standard virtualiseringssoftware. Konfigurationen udføres via en simpel tekstmenu på konsolniveau. I bund og grund skal der kun tildeles adgangskoder til administration, og netværkskonfigurationen skal udføres. Eventuelt kan forbindelsen til AppTec EMM-serveren testes via ping.
Det overordnede system er modulopbygget. Det betyder, at Universal Gateway kan sættes op, uanset om AppTec EMM drives i skyen eller on-premises. Det er kun nødvendigt at aktivere forskellige firewall-porte til kommunikation mellem gatewayen og Exchange og mellem gatewayen og EMM-serveren.
Konfiguration via EMM-webkonsol
Når serversoftwaren er sat op, udføres gateway-konfigurationen via AppTec EMM-webkonsollen. Universal Gateway aktiveres i menupunktet “Add Gateway”. For at gøre dette skal du indtaste apparatets netværksadresse og gemme et SSL-certifikat. I det næste trin defineres forbindelsen til Exchange-serveren via “Add Gateway Configuration”. Her skal du beslutte, om administrerede enheder automatisk skal aktiveres for adgang til Exchange, eller om de i første omgang skal ende på en karantæneliste og aktiveres manuelt af Exchange-administratoren.
Kerberos sikrer sikkerhed og brugervenlighed
Administratorer kan aktivere Kerberos til kommunikation mellem smartphone og gateway. Det øger systemsikkerheden og eliminerer behovet for, at brugerne indtaster eller jævnligt skifter adgangskoder, da det forvandler deres mobile enheder til hardware-tokens. For at kunne bruge Kerberos skal der enten angives en Kerberos keytab-fil under konfigurationen, eller også skal der oprettes en delegationsbruger i Active Directory.
I konfigurationen for ActiveSync kan administratoren også foretage indstillinger for kommunikationsprotokollen mellem Exchange og de mobile enheder. Konfigurationen til Kerberos og ActiveSync rulles derefter automatisk ud til slutenhederne. Fra dette tidspunkt vil de kun oprette forbindelse til Universal Gateway for mailkommunikation. Der er ingen direkte forbindelse til Exchange-serveren.
VPN til Android-smartphones
Android-brugere kan også udstyres med en VPN-forbindelse til virksomhedens netværk via Universal Gateway. Dette defineres via en ekstra gateway-konfigurationsprofil og sikrer, at AppTec VPN-klienten automatisk installeres på slutenheden.
Administratoren kan se forbindelsesstatus for alle enheder i EMM-konsollen. Med indstillingen “Always on” kan han angive, at den mobile enhed altid kommunikerer med omverdenen via VPN. Standardindstillingen er, at appen automatisk registrerer, om der skal oprettes en forbindelse til internettet – f.eks. fordi brugeren åbner en browser – og derefter automatisk starter VPN-forbindelsen efter behov.
Konklusion
Ud over sikkerhedsaspektet giver AppTecs Universal Gateway også brugerne yderligere fordele. Smartphone-brugere behøver ikke at foretage nogen konfiguration. De kan bruge Exchange-tjenesterne, som de plejer, og takket være Kerberos behøver de ikke at indtaste et password eller foretage irriterende password-ændringer.
Priser og tilgængelighed
Universal Gateway kan kun bruges sammen med AppTec EMM-systemet. Det koster 0,79 € pr. enhed pr. måned ud over brugsgebyret for EMM. På anmodning vil den schweiziske producent installere og konfigurere systemet for kunden (mod betaling).
Kilde: https://www.computerwoche.de/a/smartphone-zugriff-auf-exchange-server-absichern,3544683
