Gerenciando PCs "BYO" na empresa (inclusive WOA)

Criando o Windows 8

Nos bastidores com a equipe de engenharia do Windows

Gerenciando PCs "BYO" na empresa (inclusive WOA)

  • Comments 0

Com cada vez mais pessoas fornecendo seu próprio hardware para trabalho, o esquema de "trazer o seu próprio" PC (tradução para a sigla BYO, em inglês) está se tornando mais comum e os profissionais de TI querem ter certeza de que podem dar suporte aos clientes que sigam esta tendência. A presença do BYO não muda a necessidade de os profissionais de TI gerenciarem, protegerem e permanecerem responsáveis pelos ativos de rede de uma organização, e todos nós sabemos que só políticas por escrito podem ir tão longe.

Esta postagem tem como foco o gerenciamento de PCs com o WOA, que são projetados com esta "consumerização de TI" em mente. Os PCs de todos os fatores forma criados em arquitetura x86/64 têm disponível o conjunto completo de ferramentas de gerenciamento, especialmente aquelas com suporte de código de terceiros em execução no sistema. Como os PCs com o WOA só dão suporte a código de terceiros por meio da Windows Store e de aplicativos baseados em WinRT, decidimos desenvolver recursos de gerenciamento líderes no setor que suportem PCs com o WOA implantados pela empresa ou que sejam BYO. Esta postagem foi escrita por Jeffrey Sutherland, um gerente líder de programas do grupo de Sistemas de Gerenciamento.

--Steven


Uma das principais tendências na TI nos últimos anos tem sido o movimento rumo à "consumerização de TI", termo que descreve como a tecnologia de consumo, dos telefones aos PCs, está se espalhando de todas as formas em organizações empresariais. Além disso, cada vez mais os dispositivos que estão surgindo pertencem ao funcionário e são responsabilidade dele, e não da organização para a qual ele trabalha. Isso é visto de modo mais acentuado na categoria de dispositivos smartphone, embora mais recentemente também tenha sido observado em tablets ou outros fatores forma de PC portátil que vêm surgindo no ambiente de trabalho. À medida que as organizações adotam a consumerização, a TI deve considerar quanto controle ela pode exercer sobre um dispositivo pertencente ao usuário e quanto o gerenciamento é "bom o bastante". Essas questões eram fundamentais para nós quando começamos nossa jornada para o Windows 8 e, particularmente, quando criamos o Windows para a arquitetura do processador ARM. Nosso foco tem sido como podemos continuar a oferecer os PCs e os softwares de que os usuários precisam (por exemplo, aplicativos e acesso a dados em qualquer dispositivo) com controle de TI suficiente para afirmar que o dispositivo é confiável, evitando qualquer comprometimento da privacidade do usuário em seu dispositivo pessoal.

Na postagem de blog anterior de Steven a respeito do Windows no ARM ou WOA, ele discorreu sobre como a maior parte da experiência com o Windows permanece a mesma no ARM quando está no x86/64, e os produtos compartilham um volume significativo de código. Portanto, embora esta postagem enfoque principalmente o WOA, muitos dos recursos discutidos são igualmente aplicáveis a ambas as arquiteturas de processador. Além disso, esta postagem abrange os recursos no PC propriamente dito, e não a infraestrutura geral de gerenciamento e as ferramentas usadas pela TI. Tenha em mente também todos os recursos de segurança integrados ao Windows que vêm com o WOA, desde os recursos básicos de rede até a criptografia de unidade de disco.

Aplicativos de linha de negócios e o cliente de gerenciamento do WOA

A demanda por acesso aos aplicativos de negócios nos quais os usuários confiam – de email para software licenciado de um fornecedor de software independente até aplicativos caseiros desenvolvidos pela TI – é um dos mais importantes casos de uso sobre dispositivos de "consumo" na empresa. Sabemos que os desenvolvedores vão achar mais fácil e conveniente criar aplicativos no elegante estilo Metro que funcionem automaticamente em qualquer sistema Windows 8, incluindo o WOA, e os desenvolvedores de aplicativos LOB (linha de negócios) não serão diferentes. Entretanto, muitas empresas desejam controlar e gerenciar diretamente o acesso a seus aplicativos LOB internos, inclusive a distribuição dos binários do aplicativo para instalação. Para essas organizações, não faz sentido publicar seus aplicativos LOB na Windows Store, já que não há motivo para difundir esses aplicativos para outras pessoas ou ter sua implantação gerenciada pelo processo da Windows Store. Além disso, o acesso a esses recursos e aos dados por eles expostos requer da TI uma garantia de que os sistemas que os acessam satisfazem uma restrição estabelecida para segurança e proteção de dados.

Há tempos que as organizações vêm lidando com aplicativos em máquinas com x86/64 usando várias ferramentas e métodos (por exemplo, produtos de gerenciamento como o System Center Configuration Manager e o Windows Intune). O gerenciamento de aplicativos LOB no estilo Metro no x86/64 poderá aproveitar esses métodos e ferramentas já existentes. Ele exige apenas que o cliente seja configurado para confiar nos aplicativos provenientes de outra fonte que não seja a Windows Store. Para obter mais informações sobre esses recursos básicos de adição e remoção de aplicativos no estilo Metro no x86/64, consulte How to Add and Remove Apps (Como adicionar e remover aplicativos). O desenvolvimento do WOA, porém, nos forneceu uma oportunidade única de arquitetar como os aplicativos LOB podem ser fornecidos aos usuários de forma que atendam às necessidades de TI sem deixar de garantir uma experiência completa, consistente e confiável ao longo da vida do PC.

No WOA, integramos um novo cliente de gerenciamento que pode se comunicar com uma infraestrutura de gerenciamento na nuvem para fornecer aplicativos LOB aos usuários. Você vai ouvir mais sobre essa infraestrutura de gerenciamento futuramente de nossos amigos no blog sobre o System Center, por isso esta postagem se concentrará nos benefícios e nos recursos do cliente de gerenciamento do WOA em si.

Na realidade, o cliente de gerenciamento do WOA é composto por duas partes: o componente do sistema interno, que chamamos de agente; e um aplicativo no estilo Metro, que chamamos de portal de autoatendimento ou SSP, utilizado pelo consumidor para procurar e instalar aplicativos LOB disponibilizados para ele. Ambas as partes do cliente de gerenciamento do WOA são aplicativos do Windows 8 com bom desempenho em termos de experiência do usuário, vida útil da bateria/gerenciamento de energia, reconhecimento de rede (para redes limitadas) e funcionalidade geral.

O agente faz a maior parte do trabalho pesado no cliente. Ele configura o cliente para se comunicar com a infraestrutura de gerenciamento da organização; sincroniza periodicamente com a infraestrutura de gerenciamento para verificar se há aplicativos LOB atualizados e aplicar as políticas de configurações mais recentes definidas pela TI para o dispositivo; e controle o download e a instalação reais de qualquer aplicativo LOB que o usuário queira instalar. Finalmente, se o usuário ou o administrador optar por remover o dispositivo da infraestrutura de gerenciamento, ele limpa a configuração do agente em si e desabilita os aplicativos LOB instalados pelo usuário a partir do SSP.

Conectando-se à infraestrutura de gerenciamento

Vamos explorar alguns desses elementos mais detalhadamente, começando pela conexão do cliente com a infraestrutura de gerenciamento. Na verdade, esta etapa começa com o administrador de TI, que especifica o grupo de usuários de domínio do AD (Active Directory) autorizados a conectar dispositivos ao serviço. O administrador também tem a opção de especificar o número máximo de dispositivos permitidos por usuário. Para usuários autorizados, as etapas reais para conectar um dispositivo são bem simples. Usando um novo miniaplicativo do Painel de Controle no dispositivo WOA, o usuário fornece o email e a senha da empresa, exatamente como faria para configurar uma conta de email do Exchange. Em seguida, o agente realiza uma pesquisa no serviço para localizar a infraestrutura de gerenciamento da organização com base no endereço de email do usuário.


Janela Sistema do Painel de Controle sobreposta por caixa de diálogo para digitar as credenciais da empresa, a fim de acessar recursos e aplicativos da companhia
Conectar-se à infraestrutura de gerenciamento é tão fácil quanto inserir o endereço de email e a senha da empresa

Uma vez tendo encontrado o endereço certo, o agente estabelece uma conexão segura com a infraestrutura de gerenciamento usando a Autenticação do Servidor SSL e autentica o usuário. Se o usuário for autenticado com êxito e tiver sido autorizado pelo administrador para se conectar a dispositivos, o serviço emitirá um certificado de usuário para quem iniciou a conexão. Esse certificado é enviado ao agente juntamente com o certificado raiz da organização e instruções, que ele usa para configurar suas comunicações em andamento com a infraestrutura de gerenciamento. Tudo isso acontece em questão de segundos e normalmente não requer nenhuma interação posterior do usuário. Após a conclusão, o usuário é direcionado para instalar o SSP enquanto o agente completa a conexão em segundo plano.

Janela Sistema do Painel de Controle sobreposta por caixa de diálogo Conectando

Janela Sistema do Painel de Controle sobreposta por caixa de diálogo mostrando que o usuário está conectado à rede da empresa

Concluindo a conexão

A seguir, o agente inicia automaticamente uma sessão com a infraestrutura de gerenciamento, usando o certificado do usuário para autenticar. Esta sessão e todas as subsequentes são executadas com o uso da autenticação mútua SSL para garantir a segurança da conexão. Esta sessão inicial completa o registro do dispositivo no serviço fornecendo algumas informações básicas do dispositivo, como marca e modelo, versão do sistema operacional, recursos de dispositivo e outras informações de hardware. Isso permite que os administradores de TI monitorem os tipos de dispositivos que estão se conectando à organização, para que possam aprimorar os aplicativos e os serviços fornecidos por eles aos usuários ao longo do tempo.

Após a sessão inicial, o agente inicia a comunicação com a infraestrutura de gerenciamento em duas circunstâncias:

  • Primeiro, como uma tarefa de manutenção que é executada diariamente em um horário que pode ser configurado pelo usuário no cliente. As atividades realizadas durante essas sessões de manutenção enfocam relatar informaç��es de hardware atualizadas à infraestrutura de gerenciamento, aplicar alterações às políticas de configurações do dispositivo, relatar conformidade à infraestrutura de gerenciamento e aplicar atualizações de aplicativos LOB ou recuperar instalações de aplicativos LOB iniciadas a partir do SSP que apresentaram falha anteriormente.
  • Em segundo lugar, o agente se comunicará com a infraestrutura de gerenciamento sempre que o usuário iniciar uma instalação de aplicativo a partir do SSP. Essas sessões iniciadas pelo usuário se concentram exclusivamente na instalação do aplicativo e não realizam as atividades de manutenção e gerenciamento descritas no primeiro caso.

Independentemente de uma sessão ter sido iniciada automaticamente por uma tarefa de manutenção agendada ou manualmente pelo usuário, o cliente de gerenciamento do WOA continuará tendo um bom desempenho em relação ao estado da bateria no dispositivo e a suas condições de rede atuais.

Gerenciamento de políticas de configurações

Conforme já discutido, o acesso a aplicativos LOB normalmente requer que os sistemas estejam em conformidade com as políticas básicas de proteção de dados e segurança. Na infraestrutura de gerenciamento, o administrador de TI pode configurar um conjunto de políticas que, na nossa opinião, são essenciais para dar ao TI as garantias de que ele precisa sem afetar seriamente a experiência do usuário com o dispositivo. São elas:

  • Permitir Logon de Conveniência
  • Máximo de Tentativas de Senha sem Êxito
  • Bloqueio de Tempo Máximo de Inatividade
  • Mínimo de Caracteres Complexos em Senha de Dispositivo
  • Tamanho Mínimo de Senha
  • Senha Habilitada
  • Expiração de Senha
  • Histórico de Senhas

Embora nosso novo cliente de gerenciamento do WOA só possa se conectar a uma única infraestrutura de gerenciamento de cada vez, decidimos adicionar outras origens de política antes de lançarmos o Windows 8 e, por isso, arquitetamos o sistema de políticas para administrar isso. No caso de existir mais de uma política para o mesmo dispositivo de Windows 8, as políticas serão mescladas e a configuração mais restritiva será selecionada para cada uma. Essa política resultante será aplicada a cada usuário administrativo no dispositivo de Windows 8 e a cada usuário padrão com uma conta do Exchange configurada. Os usuários padrão que não tenham uma conta do Exchange não estarão sujeitos à política, mas o Windows 8 já restringe o acesso desses usuários a dados em perfis de outros usuários e de locais privilegiados, protegendo assim automaticamente os dados corporativos.

Além das políticas configuráveis descritas acima, o agente também pode ser usado para configurar automaticamente um perfil de VPN para o usuário, a fim de que os dispositivos WOA se conectem facilmente a uma rede corporativa sem a necessidade de qualquer ação do usuário. Finalmente, o agente também pode monitorar e relatar a conformidade de dispositivos WOA para:

  • Status de Criptografia da Unidade de Disco
  • Status da Atualização Automática
  • Status do Antivírus
  • Status do AntiSpyware

Aproveitando essas informações sobre conformidade, os administradores de TI podem controlar com mais eficácia o acesso a recursos corporativos quando um dispositivo é considerado como estando em risco. Mais uma vez, a experiência básica do usuário com o dispositivo permanece intacta e a privacidade dele é preservada.

Antes de avançarmos, vamos considerar algumas das políticas listadas acima e como elas afetam de forma prática um sistema Windows 8. Primeiro, vamos analisar Permitir Logon de Conveniência. O Windows 8 oferece aos usuários alguns recursos de logon de conveniência, como logon biométrico ou o recurso de senha visual. Essas opções mantêm um alto nível de segurança para dispositivos de Windows 8, ao mesmo tempo em que soluciona uma das maiores dores de cabeça tanto de usuários como da TI: esquecer a senha. Algumas organizações podem precisar de mais tempo de preparação para adotar esses métodos alternativos de logon, por isso a opção Permitir Logon de Conveniência possibilita que a TI gerencie quando os logons de conveniência deverão ser permitidos na organização.

Em segundo lugar, vamos examinar como a criptografia de unidade de disco e a política Máximo de Tentativas de Senha sem Êxito funcionam em conjunto. É provável que você conheça pessoas que pegaram o smartphone apenas para descobrir que o dispositivo foi apagado depois que o filho inseriu inadvertidamente a senha errada várias vezes enquanto brincava com o aparelho. Nada tão grave vai acontecer com seus dispositivos de Windows 8, felizmente. O Windows 8 fornece alta proteção de dados já integrada. Por isso, quando um usuário exceder o limite de entrada de senha, o Windows bloqueará criptograficamente todos os volumes criptografados e reinicializará o dispositivo no console de recuperação do Windows 8. Se o dispositivo tiver sido perdido ou roubado, isso efetivamente o tornará ilegível. Porém, se você simplesmente for vítima do seu filho tentando acessar o Angry Birds enquanto o dispositivo está bloqueado, poderá se recuperar facilmente usando uma chave de recuperação que pode ser armazenada automaticamente pelo Windows 8 em seu nome na sua conta de SkyDrive. Isso permite que o dispositivo volte a funcionar sem que seja necessária uma longa espera para reinstalar todos os aplicativos e copiar todos os dados.

Gerenciamento de aplicativos LOB

Os recursos que abordamos até agora estão, obviamente, mais focados na mecânica da infraestrutura e do cliente de gerenciamento, juntamente com as necessidades do administrador de TI. Porém, no fundo, a solução inteira existe para beneficiar o usuário final, permitindo que ele acesse os aplicativos LOB. Sem esse benefício, não há motivo para um usuário se sujeitar a usar a infraestrutura de gerenciamento corporativo. Vamos então nos aprofundar no fornecimento de aplicativos LOB na plataforma WOA.

Em nossa postagem de blog anterior sobre o WOA, dissemos que "os consumidores obtêm todos os softwares... por meio da Windows Store e do Microsoft Update ou do Windows Update". Agora, com a adição do cliente de gerenciamento do WOA, estamos acrescentando uma quarta fonte confiável de software para a plataforma WOA. Conforme mencionado, o aplicativo do portal de autoatendimento no estilo Metro (o SSP) é a interface diária para o usuário corporativo acessar sua infraestrutura de gerenciamento. Aqui ele pode navegar para descobrir aplicativos LOB que tenham sido disponibilizados para ele pelo administrador de TI. Existem quatro tipos diferentes de aplicativos que a TI pode publicar para usuários no SSP:

  • Aplicativos no estilo Metro desenvolvidos internamente que não são publicados na Windows Store
  • Aplicativos produzidos por fornecedores independentes de software que são licenciados para a organização para distribuição interna
  • Links da Web que iniciam sites e aplicativos baseados na Web diretamente no navegador
  • Links para detalhes dos aplicativos na Windows Store. Essa é uma maneira conveniente de a TI dar ciência aos usuários sobre aplicativos de negócios úteis que estejam disponíveis publicamente.

Como o usuário especificou suas credenciais corporativas como parte da conexão inicial com a infraestrutura de gerenciamento, o administrador de TI pode especificar quais aplicativos serão publicados para cada usuário individualmente, com base na conta de usuário de domínio do AD do usuário, ou como membro de grupos de usuários do AD. Como resultado, são exibidos para o usuário somente aqueles aplicativos que sejam aplicáveis a ele no SSP.

Aplicativo do SSP Woodgrove Center, com filtros suspensos para categorias e nomes; botões para Apps (Aplicativos), My Devices (Meus Dispositivos) e IT Center (Central de TI); aplicativos disponíveis para download: Woodgrove Supplier, Woodgrove Asset Request, Woodgrove Expenses etc.

Procurando aplicativos LOB no SSP (portal de autoatendimento) para uma empresa fictícia chamada Woodgrove
OBSERVAÇÃO: esta captura de tela mostra um protótipo antigo do SSP e pode não refletir o produto final.

Antes de os aplicativos LOB poderem ser fornecidos por meio da infraestrutura de gerenciamento, duas coisas acontecem no cliente. Primeiro, uma chave de ativação é emitida pela infraestrutura de gerenciamento e aplicada ao dispositivo WOA para permitir que o agente instale os aplicativos. Em segundo lugar, qualquer certificado usado para assinar os aplicativos LOB deve ser adicionado à loja de certificados no dispositivo. Na maioria dos casos, tanto a chave de ativação como os certificados raiz são automaticamente aplicados durante a primeira sessão depois de estabelecer a conexão com a infraestrutura de gerenciamento. Caso contrário, eles serão implantados automaticamente durante uma sessão subsequente depois que o administrador de TI tiver ativado o recurso na infraestrutura de gerenciamento.

Quando o usuário opta por instalar um aplicativo a partir do SSP, a solicitação é enviada para a infraestrutura de gerenciamento e um link para download é fornecido ao agente. O agente então baixa o aplicativo, verifica a validade do conteúdo, confere a assinatura e instala o aplicativo. Tudo isso normalmente ocorre em poucos segundos e, em geral, é invisível para o usuário. No caso de ocorrer um erro durante alguma parte desse processo (por exemplo, se o local do conteúdo estiver indisponível), o agente irá enfileirar o aplicativo para uma nova tentativa durante a próxima sessão de manutenção agendada regularmente. Em qualquer um dos casos, o agente reporta o estado da instalação para a infraestrutura de gerenciamento.

A página de detalhes do Woodgrove Expenses inclui: Publisher (Editor), Category (Categoria), Description Info (Informações sobre Descrição) e o botão Install (Instalar).
A
página de detalhes de um aplicativo no SSP, onde o usuário pode iniciar a instalação
OBSERVAÇÃO: esta captura de tela mostra um protótipo antigo do SSP e pode não refletir o produto final.

Como parte das sessões de manutenção regular, o agente irá inventariar quais aplicativos LOB estão instalados e relatar informações para a infraestrutura de gerenciamento, a fim de que o administrador de TI possa gerenciar com eficiência os aplicativos LOB. Somente aplicativos no estilo Metro que tenham sido instalados via SSP e o cliente de gerenciamento serão incluídos nesse inventário a partir de um dispositivo WOA. Os aplicativos instalados da Windows Store nunca são relatados como parte do inventário.

Sempre que o administrador de TI publicar uma atualização para um aplicativo que tenha sido instalado em um dispositivo WOA, o agente irá automaticamente baixar e instalar a atualização durante a próxima sessão de manutenção regular.

Desconectando-se da infraestrutura de gerenciamento

Por fim, vejamos como desconectar um dispositivo da infraestrutura de gerenciamento. A desconexão pode ser iniciada localmente pelo usuário ou remotamente pelo administrador de TI. A desconexão iniciada pelo usuário é executada quase da mesma forma que a conexão inicial e é iniciada a partir do mesmo local no Painel de Controle. Os usuários podem optar por se desconectar por vários motivos; por exemplo, sair da empresa ou adquirir um novo dispositivo e não precisar mais de acesso aos aplicativos LOB do dispositivo antigo. Quando um administrador inicia uma desconexão, o agente a executa durante a próxima sessão de manutenção regular. Os administradores podem optar por desconectar o dispositivo de um usuário depois que ele tiver deixado a empresa ou porque o dispositivo não está em conformidade com a política de configurações de segurança da organização.

Durante a desconexão, o agente:

  • Remove a chave de ativação que permitiu que ele instalasse aplicativos LOB. Após a remoção, qualquer aplicativo no estilo Metro que tenha sido instalado através do SSP e do cliente de gerenciamento será desativado. Observe, entretanto, que os aplicativos não são removidos automaticamente do dispositivo, embora já não possam mais ser iniciados e o usuário já não seja mais capaz de instalar outros aplicativos LOB.
  • Remove todos os certificados que o agente tenha provisionado.
  • Cessa a imposição das políticas de configurações que tenham sido aplicadas pela infraestrutura de gerenciamento.
  • Relata a desativação bem-sucedida para a infraestrutura de gerenciamento caso o administrador tenha iniciado o processo.
  • Remove a configuração do agente, incluindo a tarefa de manutenção agendada. Após a conclusão, o agente permanecerá inativo, a menos que o usuário o reconecte à infraestrutura de gerenciamento.

Resumo

Considerando a tendência para "consumerização" de TI e a nossa introdução sobre o WOA com o Windows 8, queríamos a repensar a forma como é feito o gerenciamento de sistemas. Trabalhamos para encontrar um equilíbrio entre as necessidades (às vezes conflitantes) dos administradores de TI e do consumidor que usa o dispositivo diariamente. Com o novo cliente de gerenciamento do WOA se conectando a uma infraestrutura de gerenciamento na nuvem, acreditamos que já alcançamos esses objetivos e esperamos que você concorde quando o vir em ação.

-- Jeffrey Sutherland