智能手机安全访问 Exchange 服务器
来自瑞士的安全网关对 AppTec EMM 解决方案进行了补充,使所有受管移动设备都能安全访问 Exchange 服务器。
出于安全考虑,Exchange 服务器通常在防火墙后面运行。 只要漫游用户在移动过程中不要求访问 Exchange 服务,这种做法就是可行的。 允许使用智能手机的用户从外部访问存在安全风险,有时甚至根本不允许。瑞士 EMM 软件供应商AppTec 为这种情况提供了安全解决方案。 AppTec 通用网关 “可确保 Exchange 用户从外部安全访问邮件系统。
反向代理架构
通用网关作为反向代理连接到网络,并充当移动设备的单一接入点。 它由 AppTec 作为虚拟设备提供,通常安装在 DMZ(”非军事区”)内。 结合 EMM 解决方案 “AppTecEnterprise Mobility Management“,只有受管理的智能手机才可从外部访问 Exchange 服务器。 EMM 软件可确保对移动设备进行全自动配置。
设置为虚拟设备
网关系统可快速安装。 它可以通过任何标准虚拟化软件在虚拟机(VM)中运行。 配置通过控制台一级的简单文本菜单进行。 基本上,只需为管理分配密码,并进行网络配置即可。 可选择通过 ping 测试与 AppTec EMM 服务器的连接。
整个系统采用模块化设计。 这意味着,无论 AppTec EMM 是在云端还是在企业内部运行,都可以设置通用网关。 网关与 Exchange 之间以及网关与 EMM 服务器之间的通信只需启用各种防火墙端口。
通过 EMM 网络控制台进行配置
服务器软件设置完成后,即可通过 AppTec EMM 网络控制台进行网关配置。 通用网关在 “添加网关 “菜单项中激活。 为此,请输入设备的网络地址并存储 SSL 证书。 下一步,通过 “添加网关配置 “定义与 Exchange 服务器的连接。 在此,您需要决定是否应自动启用受管设备访问 Exchange,或者是否应将其放入隔离区列表,并由 Exchange 管理员手动启用。
Kerberos 确保安全和用户便利
管理员可以为智能手机和网关之间的通信激活 Kerberos。 它提高了系统安全性,用户无需输入或定期更改密码,因为它将用户的移动设备变成了硬件令牌。 要使用 Kerberos,必须在配置时提供 Kerberos keytab 文件,或者在 Active Directory 中创建一个委托用户。
在 ActiveSync 配置中,管理员还可以对 Exchange 和移动设备之间的通信协议进行设置。 然后,Kerberos 和 ActiveSync 的配置会自动推广到终端设备。 从这时起,它们只能连接到通用网关进行邮件通信。 没有与 Exchange 服务器的直接连接。
安卓智能手机 VPN
安卓用户还可以通过通用网关与公司网络进行 VPN 连接。 这是通过附加网关配置文件定义的,可确保 AppTec VPN 客户端自动安装在终端设备上。
管理员可以在 EMM 控制台中查看所有设备的连接状态。 使用 “始终打开 “选项,他可以指定移动设备始终通过 VPN 与外界通信。 默认设置是让应用程序自动检测是否要建立互联网连接(例如,因为用户打开了浏览器),然后根据需要自动启动 VPN 连接。
结论
除了安全方面,AppTec 的通用网关还为用户提供了其他好处。 智能手机用户无需进行任何配置。 他们可以像往常一样使用 Exchange 服务,而且由于使用了 Kerberos,他们不必输入密码或进行任何烦人的密码更改。
价格和供应情况
通用网关只能与 AppTec EMM 系统结合使用。 除 EMM 使用费外,每台设备每月还需支付 0.79 欧元。 根据要求,瑞士制造商将为客户安装和配置系统(收费)。
来源:https://www.computerwoche.de/a/smartphone-zugriff-auf-exchange-server-absichern,3544683