Windows, iPad и Android — управление активами Office и их использование в мире планшетных компьютеров (часть 2)

  • Article

Исходная статья опубликована в четверг, 13 октября 2011 г.

Добро пожаловать во вторую часть серии об управлении активами Office в мире планшетных компьютеров. В первой части я описал основные способы работы с Office в полнофункциональных клиентах, удаленных полнофункциональных клиентах, Office для Mac, веб-приложениях и Office для телефонов. Теперь я хочу поговорить о технологиях, чтобы электронную почту, календари и другой контент Office можно было использовать на разных типах устройств. Я представляю "Office" не только как сами приложения, но и как соответствующую корреспонденцию, электронную почту и данные совместной работы, поэтому вся эта рабочая нагрузка входит в нашу историю. Перед тем, как я перейду к таким темам, как настройка пользовательского интерфейса Office для сенсорных устройств или удаленных настольных компьютеров, начнем со среды построения, которую я использую. Затем мы рассмотрим основы подключения мобильных устройств к рабочей нагрузке Office.

Моя среда построения

Перед тем, как что-то описывать, я всегда стараюсь убедиться, что все действительно работает — так я знаю все трудности построения программы. Хотя у меня нет полной среды Windows Server System Reference Architecture (WSSRA) (которую мы сами называли "миниядром") для тестирования всех этих программ, у меня есть относительно надежная (и переносимая) среда. Миниядро в среде WSSRA могло использовать 32 виртуальных машины, но я применяю шесть виртуальных машин и использую хост-компьютер, iPad и Samsung Galaxy Tab в качестве клиентов.

  • Ноутбук HP8540W с процессором Quad Core i7, 16 ГБ ОЗУ и хранилищем RAID 0 SSD размером 1 ТБ. Встроенный сетевой адаптер и адаптер PCIE
  • Windows Server 2008 R2 Enterprise с установленной ролью Hyper-V
  • Шесть виртуальных машин под управлением Windows Server 2008 R2 Standard
    • Контроллер домена
    • SharePoint 2010
    • Exchange Server 2010
    • RDS RemoteApp
    • Citrix XenApp
    • Forefront Unified Access Gateway 2010 (UAG)
  • iPad 2 (с iOS 4)
  • Samsung Galaxy Tab (с Android 2.2)
  • MacBook Air с Office для Mac 2011
  • Беспроводной маршрутизатор Cisco, подключенный к сетевому адаптеру PCIE

Вот, что я взял с собой на конференцию TechEd и SharePoint Conference (вы бы не захотели оказаться позади меня на таможенном контроле в аэропорту). В этой среде я буду создавать снимки экрана для всей оставшейся серии статей. А теперь приступим к основам.

Exchange ActiveSync

В 2002 г. мы создали AirSync как часть Microsoft Information Server (MIS) 2002, а еще через год мы расширили этот компонент и перенесли его в Exchange Server 2003 с новым названием Exchange ActiveSync. Я еще помню, как было удобно впервые получать сообщения электронной почты и сведения о календаре на своем телефоне на заре моей карьеры в корпорации Майкрософт. Спустя годы компонент Exchange ActiveSync (EAS) эволюционировал и распространился и на других платформах, отличных от Windows. Он стал столпом для коммуникаций и безопасности на устройствах разных типов, в том числе Windows Mobile и Windows Phone, Apple iPad и iPhone, а также для устройств на основе Android. Что касается меня и этой серии статей для блога, Exchange ActiveSync также был самым простым способом доступа к Office на множестве устройств.

Exchange ActiveSync предоставляет различные ключевые функции администрирования ИТ-системам, такие как возможность требовать и принудительно применять ПИН-код для разблокировки устройства. Так применяется дополнительный фактор проверки подлинности, поэтому при потере устройства необходимо знать ПИН-код, чтобы получить доступ к данным (для устройств со встроенной поддержкой Exchange ActiveSync) или программной среде, подключающейся к EAS, такой как TouchDown компании NitroDesk или RoadSync компании DataViz.

Выше показано представление свойств Exchange Server 2010. Здесь помимо политик паролей можно задавать политики синхронизации и другие атрибуты устройства, например отключить камеры и браузеры. В средах с высокими требованиями к безопасности эти параметры обеспечивают дополнительную защиту от утечки данных и попадания вредоносного кода через браузеры. Компания Apple также предоставляет программу iPhone Configuration Utility для использования с инфраструктурой управления мобильными устройствами (MDM) сторонних производителей для применения политик на устройствах iPhone и iPad.

Значительная часть корпоративных функций обеспечения безопасности для этих устройств реализуется с помощью Exchange ActiveSync и кода, необходимого для их поддержки. Это так и для Android 2.0, и для более новых устройств со встроенной поддержкой EAS.

Возможность настройки устройств с помощью элементов управления Exchange ActiveSync — это шаг в правильном направлении для большинства устройств. А за счет ограничения периода хранения сообщений электронной почты на устройстве можно снизить риски, связанные с безопасностью данных. Но реализация EAS на разных устройствах под управлением iOS, Android, Symbian и Windows Phone значительно отличается от платформы к платформе. Это особенно очевидно для службы управления правами на доступ к данным (IRM), использующей Exchange ActiveSync. На время написания этой статьи служба IRM с использованием EAS была доступна только для платформ Windows Phone и Windows Mobile. Для организаций, которым требуется повышенная степень безопасности для определенного трафика электронной почты, IRM обеспечивает постоянную защиту содержимого сообщений. Так как клиенты EAS все чаще используются для доступа к электронной почте, важно, чтобы пользователи мобильных устройств могли безопасно создавать и применять контент, защищенный службой IRM. Когда я говорю о том, что поддержка EAS на этих устройствах является шагом в правильном направлении, я имею в виду, что этот компонент ни в коей мере нельзя сравнивать с элементами управления групповой политики Active Directory, к которым привыкли ИТ-специалисты. Об этом стоит подумать при разработке идее о переходе пользователей на менее разработанные платформы.

Управление конфигурацией групповой политики в Office

Office обладает богатой историей управления конфигурацией на платформе Windows. Начиная с возможностей управления политиками в Office 97, функциональность значительно расширилась за последние 15 лет. В те времена было чуть больше 50 параметров, применяемых принудительно, а в Office 2010 их больше 2000. Думаю, некоторые из вас недоумевают, поэтому я скажу, что в Office для Mac 2011 (и предыдущих версиях для Mac) нет принудительно применяемых параметров, а есть только настройки во время установки, которые (о чем я рассказал в 1 части) пользователи могут поменять по своему усмотрению. Если говорить о настройках во время установки, я вспоминаю о способах настройки Office во время установки в Windows. Они очень важны для безопасности и обслуживания Office, так как можно определить не только то, как настраивается Office, но и такие вещи, как параметры конфиденциальности (шифрование и правила IRM), целостности (надежные издатели и расположения, а также правила цифровых подписей) и доступности (правила блокировки макросов VBA, надстроек, элементов управления ActiveX, Internet Explorer и файлов). Эти элементы управления есть только в Office для Windows.

Существует три основных способа настройки Office на компьютере под управлением Windows:

  1. Предварительно заданные параметры групповой политики.
  2. Файл Config.xml.
  3. Настраиваемый MSP-файл, созданный с помощью центра развертывания Office.

Эти способы указаны в порядке приоритета при возникновении конфликтов. Как и ожидалось, параметры групповой политики обладают наивысшим приоритетом и перекрывают все параметры, заданные в файле config.xml, который перекрывает то, что задано в настраиваемом MSP-файле, созданном в центре развертывания Office. При настройке Office 2010 доступны тысячи различных параметров групповой политики. Тут проблема звучит так: "С чего начать?". Но у нас есть Security Compliance Manager для помощи в установке основных концепций, так как легче начать с известной приемлемой конфигурацией и изменить ее, чем начать настройку с чистого листа.

Следующим по важности идет файл config.xml, используемый в тандеме с Office. Так как это XML-файл без кучи предварительно заданных параметров, вы, скорее всего, не будете использовать его для установки длинного списка параметров. Но для настройки простых вызовов службы активации или средств проверки орфографии файл config.xml подходит идеально, а иногда является и единственным доступным способом. Вот, как выглядит относительно стандартный файл config.xml:

Последний используемый вариант — центр развертывания Office. Это средство управляет установкой и настройкой Office. Параметры (как и в случае с config.xml) задаются только во время установки и не применяются принудительно. Если затем не использовать групповую политику, возможности управления и безопасности, которые должны быть применены в среде, будут скомпрометированы, как и для Office для Mac. Центр развертывания Office предоставляет те же параметры, что и групповая политика, и позволяет вам записывать данные в реестр и выполнять различные команды во время установки Office. Самым часто используемым элементом управления в управляемом развертывании Office 2010 может быть параметр "Не отображать диалоговое окно рекомендуемых параметров". Когда появляется такое окно, отображается запрос на подключение к центру обновления Windows, что в большинстве управляемых сред выполняют ИТ-администраторы от лица пользователей с помощью таких средств, как службы Windows Server Update Services (WSUS) или System Center Configuration Manager.

Вот основные способы настройки установки Office в Windows. Я хотел обсудить эту информацию, так как даже если вы читаете этот блог для получения сведений об использовании Office на iPad, эти данные пригодятся, когда мы начнем обсуждать способы размещения Office на удаленном настольном компьютере или сервере и способы доступа через iPad, устройство под управлением Android или Windows. Подготавливаю ли я систему Windows Server 2008 R2 с установленной ролью служб удаленного стола или виртуальную машину Windows 7, я все равно хочу иметь возможность быстро настроить установку, особенно если эта служба предоставляется тысячам пользователей.

И на этой ноте я завершаю 2 часть. Обязательно прочитайте первую часть, если вы этого еще не сделали. Надеюсь, что через пару дней опубликую и третью часть.

Спасибо за внимание.

Джереми Чэпмен (Jeremy Chapman)

Старший менеджер по продуктам

Группа разработчиков Office IT Pro

Это локализованная запись блога. Исходная статья находится по ссылке Windows, iPad and Android - Managing and Using Your Office Assets in a Tablet World (Part 2)