Komponenten von AirWatch

AirWatch ist eine Enterprise Mobility Management (EMM)-Lösung mit Unified Endpoint Management (UEM), Mobile Device Management (MDM) und Mobile Application Management (MAM)-Funktionen. Komponenten von AirWatch haben einzigartige Architekturen, und jede Komponente ist auf die Lösung einer bestimmten Aufgabe ausgerichtet.

Einleitung

AirWatch integriert alle persönlichen und unternehmenseigenen Endgeräte auf einer einzigen Plattform, die über eine zentrale Admin-Konsole gesichert, verwaltet und ferngesteuert werden kann. Der Onboarding-Prozess ist einfach, benutzerfreundlich, automatisch und bietet Selbstzugriff. Sobald die Geräte registriert sind, kann der Administrator Anwendungen und Sicherheitsmaßnahmen aus der Ferne bereitstellen. Funktionen wie Identity Management (IM), mehrstufige Authentifizierung, GPS-basiertes Tracking, Analysen und künstliche Intelligenz erhöhen die Unternehmenssicherheit weiter. Leistungsstarke Tools für die Zusammenarbeit wie E-Mail, Kalender und soziale Netzwerke ermöglichen den Austausch und die Konnektivität zwischen Mitarbeitern. Single Sign-On (SSO)-Funktionen helfen Benutzern, sich einfach anzumelden, um auf den App-Katalog und die Unternehmensdatenbanken zuzugreifen, ohne sich mehrere Passwörter merken und eine VPN-Verbindung herstellen zu müssen. AirWatch verfügt über einen Client-Server und einen Benutzerserver. Client-Server wird an der Konsole installiert und sendet Befehle Over the Air (OTA). Diese Befehle werden vom Benutzerserver auf Endpunktgeräten empfangen und ausgeführt.

 

Komponenten von AirWatch

AirWatch kann lokal oder cloudbasiert als Software as a Service (SaaS) bereitgestellt werden. Das Cloud-basierte Modell wird dem In-Premise-Modell vorgezogen, da es kostengünstig und schneller ist und keinen größeren Server erfordert. Die Architekturen können leicht variieren, aber die Funktionen der Komponenten sind gleich. Die verschiedenen Komponenten von AirWatch sind:

AirWatch-Gerätedienstserver

Geräteserver befinden sich derzeit bei Endbenutzergeräten und stellen Funktionen der Geräteregistrierung, des Empfangens von bereitgestellten Anwendungen, der Übermittlung von Sendedaten und des Empfangens von Befehlen vom Client-Server und des Empfangens bereitgestellter Anwendungen und Gerätesteuerungen von der zentralen Konsole bereit. Die Endgeräte sind in der Regel mobil und zu unterschiedlichen Zeiten an verschiedenen Orten. Daher sollte sich der Server im Internet befinden. Dies gilt für die SaaS-Bereitstellung. Für die Bereitstellung vor Ort befindet sich der Server in einer DMZ, die mit einem öffentlichen Zertifikat mit SSL-Durchschaltung zum Internet gesichert ist. Der Geräteserver übermittelt Analysedaten an ein Self-Service-Portal namens UEM-Konsole, auf das der Administrator über einen Webbrowser zugreifen kann.

 

AirWatch-Admin-Konsolenserver

AirWatch, der Admin-Konsolenserver, ist ein Client-Server, der auf der Seite des Administrators installiert wird. Die Admin-Konsole bietet ein zentralisiertes Remote-Management-System, bei dem alle Endpunktgeräte auf einer einzigen Plattform registriert sind, um Anwendungen und Sicherheitsrichtlinien bereitzustellen, Geräte und Unternehmensanwendungen zu verwalten und zu steuern sowie Benutzeraktivitäts- und Verhaltensanalysen zu erhalten. Die Admin-Konsole ist ein Self-Service-Portal, auf das über eine Web-App (IIS-Site) zur administrativen Kontrolle der Umgebung zugegriffen wird. Der Konsolenserver kommuniziert und sendet Befehle Over the Air (OTA) an den Geräteserver. Der Konsolenserver befindet sich normalerweise in einem internen LAN, kann jedoch in den Gerätedienstserver integriert werden. Die Admin-Konsole verwaltet auch Integrationen mit E-Mail-Infrastruktur, Inhalts-Repositorys, Verzeichnisdiensten, SQL-Server, Zertifikaten und PKI.

 

AirWatch-Datenbank

Auf AirWatch ist eine Datenbank erforderlich, um Konfigurations- und Geräteinformationen aller registrierten Geräte zu speichern, wie dies bei jedem anderen Unternehmensprodukt erforderlich ist. Die Daten werden in der Microsoft SQL Server-Datenbank für die Bereitstellung vor Ort gespeichert, die von der AirWatch-Anwendungsdatenbank getrennt ist. Jede vorhandene SQL-Datenbank kann verwendet werden, muss jedoch vollständig SQL und nicht Express sein und sollte in größere Bereitstellungspläne unterteilt werden, um Verfügbarkeitspläne zu unterstützen. Die ein- und ausfließenden Daten sollten richtig berechnet werden, um die Größe der Datenbank zu bestimmen.

Bei der SaaS-Bereitstellung werden die Datenbanken von AirWatch gehostet und verwaltet, aber die Geräte müssen vor Ort oder Cloud-basiert konfiguriert werden.

 

AirWatch Cloud-Connector (ACC)

AirWatch Cloud Connector (ACC) wird verwendet, um den AirWatch Device Service Server, den Admin-Konsolenserver und die Datenbank in Unternehmens-Backend-Systeme zu integrieren. Es kann sowohl in On-Premise- als auch in SaaS-basierten Bereitstellungen verwendet werden. ACC wird nur mit direkten ausgehenden Verbindungen im internen LAN platziert, sodass die Kommunikation mit dem AirWatch SaaS-Server direkt (bevorzugte Methode) oder über einen internen Proxy erfolgen kann. Für die Verbindung von Komponenten über einen Proxy werden zum Zeitpunkt des Schreibens (v8.0.1.0) Proxy-PAC-Dateien im ACC nicht unterstützt, aber für das MAG. Ein eingehender Port muss nicht geöffnet werden, um alle internen Systeme zu schützen. ACC ist eine optionale Komponente, da AirWatch Device Service Server eine direkte Verbindung zu Backend-Systemen herstellt. Bei der SaaS-Bereitstellung wird AD lokal gehostet, und für Funktionen wie die automatische Erkennung und Registrierung von Geräten über E-Mail-IDs wird ACC benötigt. Cloud Connector lässt sich in Folgendes integrieren:

  • Syslog
  • Lotus Domino-Webdienste
  • Simple Certificate Enrollment Protocol (SCEP PKI): Zusätzliche Lizenzen erforderlich
  • E-Mail-Management-Austausch 2010
  • E-Mail-Relay (SMTP)
  • Verzeichnisdienste (LDAP/AD)
  • Zertifikatsdienste von Drittanbietern
  • Microsoft Certificate Services (PKI): Zusätzliche Lizenzen erforderlich

 

AirWatch-Tunnel

Der AirWatch-Tunnel ermöglicht die Erstellung von VPN-Verbindungen für den Zugriff auf Unternehmensanwendungen, Datenbanken und Intranets von mobilen Geräten, die sich von außerhalb des Unternehmensnetzwerks verbinden. Backend-Systeme werden durch Identity Management, End-to-End-Verschlüsselung und mehrstufige Authentifizierung gesichert, sodass nur autorisierte Benutzer zugelassen werden. Auf den Benutzergeräten ist ein sicherer Browser namens AirWatch-Browser installiert, um auf das Unternehmensweb und die Anwendungen zuzugreifen.

In früheren Zeiten wurde Linux als Content Gateway verwendet. Eine Linux-basierte Installation mit einer Spezialisierung auf CentOS oder Red Hat Enterprise ist erforderlich. Bei der Linux-Implementierung wurden Content Locker Client App, Wrapped Applications und Per-App VPN-Funktionen für extern veröffentlichte Inhalte nicht bereitgestellt.

AirWatch bietet jetzt sowohl Windows als auch Linux zum Veröffentlichen von Inhalten mithilfe der Content Locker Client App extern, Wrapped Applications und Per-App VPN. Beim VPN-Tunneling pro App wird ein VPN-Profil auf ein Gerät übertragen, das bei jedem Start der App die Unternehmensverbindung zum Unternehmensserver herstellt. AirWatch-Tunnel kann auch als Relay-Konfiguration wie ein Content-Gateway implementiert werden.

 

AirWatch Content Gateway

AirWatch Content Gateway war früher als Mobile Access Gateway Relay bekannt, was dieselbe Option wie ein Installationsprogramm ist, aber als Relais ausgewählt werden kann. Für alle Inhalts-Repositorys wie Dokumente, Anhänge und andere interne Dateien wird eine sichere Plattform geschaffen. Der Administrator definiert den Zugriff als ob ein Benutzer Dateien anzeigen, bearbeiten oder löschen kann. Alle Änderungen werden in Echtzeit auf der Admin-Konsole widergespiegelt. Mitarbeiter können mit Single Sign-On auf unternehmensinterne Dateien zugreifen, ohne sich mit einem VPN zu verbinden oder sich mehrere Passwörter zu merken. Content Gateway verweist auf AirWatch Cloud Messaging Service und befindet sich auf einem lokalen DMZ-Server. Der interne 'MAG Endpoint'-Server kann vollständig für das Chatten mit allen internen Ressourcen geöffnet bleiben, während die Kommunikation mit der Relay-Handling-Konnektivität zwischen den Geräten, AWCM, gesichert bleibt und das interne MAG und die laufende Verwaltung in einem DMZ-Szenario vereinfacht. Die AirWatch Management Console muss nur benachrichtigt werden, dass sie ein Relay-Modell anstelle eines einfachen Endpunkts verwendet.

 

Sicheres AirWatch-E-Mail-Gateway (SEG)

Die Mailkommunikation bildet das Rückgrat der Unternehmenskommunikation. Es ist auch eines der wichtigsten Vermögenswerte eines Unternehmens, das sensible Informationen enthält. E-Mail-Gateway bietet E-Mail-Verwaltung in Endpunktgeräten, indem ein Proxy-Netzwerk zwischen Geräten und E-Mail-Servern des Unternehmens aufgebaut wird. Das AirWatch E-Mail-Gateway ist für das Enterprise-Mail-Framework nicht erforderlich. Dennoch bietet es zusätzliche Sicherheitsstufen mit einer Zugriffskontrolle, die den Zugriff des Benutzers auf die Mailserver des Unternehmens gemäß den Sicherheitsrichtlinien des Unternehmens beschränkt. Benutzer dürfen möglicherweise nur Optionen für E-Mails und Anhänge anzeigen. Sie können keine Anhänge herunterladen oder an einen Drittanbieter-Server weiterleiten. URL-Links, die bösartige Skripte enthalten können, dürfen nicht geöffnet werden. Email Notification Services (ENS) sind ein Teil von Email Gateway, das Benachrichtigungen umgehend an Endpunktgeräte sendet. Auf iOS-Geräten werden E-Mail-Benachrichtigungen entweder durch die Aktualisierung der Apple Background App oder durch Apple Push Notifications (APN) angezeigt. iOS reduziert die App-Aktualisierung im Hintergrund von Apple, wodurch die Geräteleistung optimiert wird, indem Ressourcen anderen Anwendungen zugewiesen werden. Dadurch werden in unregelmäßigen Abständen zufällige Benachrichtigungen bereitgestellt. ENS verbindet sich mit APNs, um Benachrichtigungen von Remote-Servern zu pushen, und zeigt Benachrichtigungen umgehend an, um die Mitarbeiter jederzeit auf dem Laufenden zu halten. ENS Version 2 funktioniert auf Android-Geräten, um Benachrichtigungen sofort herunterzudrücken. Für Administratoren wird eine bessere Kontrolle und Überwachung von E-Mails auf allen registrierten Geräten ermöglicht. SEG sitzt zwischen Exchange ActiveSync-Server(n) und aktiviert global Active Sync auf Exchange. Der Active Sync ist abschaltbar (seit Exchange 2010 SP2) gemäß Geräte-Quarantäne-Richtlinien und nicht ganz einfach zu kontrollieren. SEG stellt die Active Sync-Kommunikation als Proxy her und erlaubt/blockiert gemäß den Sicherheitsrichtlinien des Unternehmens.

Autor

  • Barry Allen

    Ein Full-Stack-Entwickler mit mehr als 10 Jahren Erfahrung in verschiedenen Bereichen, darunter SAP, Blockchain, KI und Webentwicklung.

    Alle Beiträge

Ihre Nachricht

Hinterlassen Sie uns einen Kommentar

E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind MIT * gekennzeichnet. *

Diese Seite verwendet Akismet, um Spam zu reduzieren. Erfahren Sie, wie Ihre Kommentardaten verarbeitet werden.