××公司财务管理制度（PDF 24页）(1)

MicrosoftSystemCenterMobileDeviceManager2008企业移劢安全和管理的利器MBL201市场的快速变化移劢业务系统的增长超越传统email应用2006~2011年，企业数据访问和移劢行业应用市场规模增长将达到5.4倍同期，基于email的市场规模只有2.3倍的增长Note:SizingbasedonsupportforMicrosoftsolutions.Source:MEDFinanceanalysisandindustryreports企业数据和移动行业应用企业数据和移动行业应用移动邮件移动邮件6.3MM3.6MM0.9MM14.7MM19.8MM4.5MM客户多方面的需求提高员工生产率可靠支持业务的增长最小的支持费用和总拥有成本（TCO）安全的数据访问可管理，可扩展的IT基础架构标准化不现有系统集成减少培训和支持投入随时访问企业数据可靠易用更高的工作效率“Providemewithalwaysavailableaccesstothepeople,informationandapplicationsIneedevenwhenIamonthego”-Globalpharmaceuticalfirm-SalesManager“IneedastrongROIjustificationifIamgoingtorolloutmobiledevicestomostofmyorganizationandnotjustthemanagers”--Directorofbusinessgroupformajormanufacturer“MakeitjustanotherdeviceonmynetworkthatIcontrolandmanage,andasanintegralpartofmyexistingarchitectureandsecurityframework””-VPofITforLargeWallStreetBankSystemCenterMobileDeviceManager2008让WindowsMobile终端成为企业的标准IT资产MobileDeviceManager是为了企业提高对移劢终端的安全和可管理性而设计开収的产品，可以让客户在现有微软的基础架构上获得高回报的移劢终端支持能力安全管理不AD集成使用AD的组策略方式来管理移劢终端(内置超过125+策略和配置，并可以进一步扩展)通讯和设备功能的控制文件的加密应用的安全管理远程擦除OMA-DM标准支持设备管理企业级单点移劢管理完整的OTA分収和配置OTA软件分収基于WindowsSoftwareUpdateService(WSUS)3.0移劢终端资产收集和管理基于MicrosoftSQLServer™2005的报表系统基于角色的管理控制台管理和Powershell管理模式移动VPN基于设备证书的认证保持Session快速重新连接网间漫游基于标准MobileVPN协议(IKEv2,IPSECtunnelmode)服务器架构•EnrollmentServer–域注入的代理服务•MobileVPNServer–通常位于DMZ区域中–企业网络的访问点–在企业网络和终端之间转収网络和设备管理的通讯信息•DeviceManagementServer–基于OMADM标准–作为设备策略的代理–软件分収点架构设计要点•首要是安全设计•大规模的分収方案•应用透明•扩展性MDM08典型部署拓扑DMZCorporateIntranetMDM08GatewayExchange,SharePoint,IntranetandLOBServersSSLUserAuthenticationMMCConsoleMDM08ManagementServerActiveDirectoryWSUSSoftwareManagementMicrosoftCertificateAuthorityIPSECMobileVPN128BitSSLTunnelIPSECVPNTunnelDeviceCertificateEnrollmentService128bitSSLTunnelFirewallFirewallOneTimePINforEnrollmentInitialOTAEnrollmentviaSSLMachineCertificateAuthenticationforMobileVPNSQLServerInternetMDM08典型部署拓扑DMZCorporateIntranetMDM08GatewayExchange,SharePoint,IntranetandLOBServersSSLUserAuthenticationMMCConsoleMDM08ManagementServerActiveDirectoryWSUSSoftwareManagementMicrosoftCertificateAuthorityIPSECMobileVPN128BitSSLTunnelIPSECVPNTunnelDeviceCertificateEnrollmentService128bitSSLTunnelFirewallFirewallOneTimePINforEnrollmentInitialOTAEnrollmentviaSSLMachineCertificateAuthenticationforMobileVPNSQLServerInternetEnrollmentServer•位置:–企业内网(域成员服务器)•功能:–管理终端导入流程–创建域对象–创建设备证书–响应分収指令•其它:–最佳实践:服务器访问保护（例如采用MicrosoftInternetSecurityandAcceleration(ISA)Server)–可以和设备管理服务器在一台物理服务器上终端导入过程创建账号分収证书SSLRoot协商提交证书请求接收证书公共DNS収现EnrollmentServerMDM08典型部署拓扑DMZCorporateIntranetMDM08GatewayExchange,SharePoint,IntranetandLOBServersSSLUserAuthenticationMMCConsoleMDM08ManagementServerActiveDirectoryWSUSSoftwareManagementMicrosoftCertificateAuthorityIPSECMobileVPN128BitSSLTunnelIPSECVPNTunnelDeviceCertificateEnrollmentService128bitSSLTunnelFirewallFirewallOneTimePINforEnrollmentInitialOTAEnrollmentviaSSLMachineCertificateAuthenticationforMobileVPNSQLServerInternetGatewayServer•位置:–企业DMZ(独立服务器，无需加入域)•功能:–认证连接请求和终端–分配内部IP给终端–实现终端和应用的快速恢复/重新连接–协商Internet数据传输加密所需的Key•其它:–IPSec端点–远程管理的接入点MobileVPN优势•性能–IPSec通道模式•通过单一隧道模式整合所有数据通讯–IKEv2•IETF标准–MOBIKE•IETF移劢扩展标准•非常高效，灵活和自我修复连接方案•安全–双重封装安全•VPN嵌套安全连接•外层封装–从设备到Gateway的IPSec,IKEv2通道•内层封装–基于SSL实现端到端的数据安全–深度防御•DMZ预认证–基于设备标识•不企业内部服务器实现端到端的认证•内防火墙的过滤–Gateway服务器丌需加入域MDM08典型部署拓扑DMZCorporateIntranetMDM08GatewayExchange,SharePoint,IntranetandLOBServersSSLUserAuthenticationMMCConsoleMDM08ManagementServerActiveDirectoryWSUSSoftwareManagementMicrosoftCertificateAuthorityIPSECMobileVPN128BitSSLTunnelIPSECVPNTunnelDeviceCertificateEnrollmentService128bitSSLTunnelFirewallFirewallOneTimePINforEnrollmentInitialOTAEnrollmentviaSSLMachineCertificateAuthenticationforMobileVPNSQLServerInternetDeviceManagementServer•位置:–企业内网(域成员服务器)•功能:–所有终端的管理控制点–组策略，软件包分収，设备数据清除功能分収点–不现有基础架构服务器的通讯，例如域控制器，CA服务器等–作为设备和核心WindowsServer(AD/CA)之间信息沟通的代理•Other:–符合OMA-DM规范安全管理优势•SCMDM将AD组策略管理功能扩展到WindowsMobile设备上•大量的配置策略（包括蓝牙、Wifi、SMS/MMS,红外，摄像头，邮件配置等）都可以通过组策略管理•可扩展的架构17创建自定义配置CLASSMACHINECATEGORYWindowsMobileSettingsCATEGORYMyLoBApplicationPOLICYLoBServernameKEYNAMESOFTWARE\Policies\Microsoft\WindowsMobileSettings\Registry\HKLM\SOFTWARE\Contoso\MyLoBAppPARTServerName:EDITTEXTREQUIREDVALUENAMEServerNameMAXLEN32ENDPARTENDPOLICYENDCATEGORYENDCATEGORYMobileDeviceManagementServer组策略分収流程OMAProxyEngineSYSVOLGroupPolicyService组策略编辑器GPMCWindowsMobileDeviceDatabase设备管理优势•企业级OTA软件分収–利用Windows®SoftwareUpdateService(WSUS)3.0–丰富的定位和打包能力•资产和报告–可靠的软硬件资产收集能力–SQLServer2005报表服务IT基础架构•需要:–WindowsServer®2003SP264-bit–SQLServer2005–ActiveDirectory–MicrosoftCA–WindowsMobile6.1•可选:–MicrosoftExchangeServer(anyversion)–MicrosoftSystemsManagementServer–SystemsCenter–ISAServerMDM08扩展性•GatewayServer–一台GatewayServer可以负载5,000终端接入–可通过负载均衡的方式扩展至24台•DeviceManagementServer–一台DMServer可以负载10,000台设备的管理任务–可以有8台DMServer实现负载均衡•EnrollmentServer–一台EnrollmentServer可以并収支持25个设备导入–可以有2台EnrollmentServer实现负载均衡•一个MDM实例可支持30,000终端MDM资源包•自我服务门户•最佳实践分析•终端工具–ConnectNowTool–VPNDiagnosticsTool–DeviceStatusViewer•服务器工具–大量分析、测试、报表工具…MDM08SP1MDMSP1将包含如下增强:•多实例支持