iMC EMO移動(dòng)辦公管理方案介紹

1、H3C iMC EMO移動(dòng)辦公管理方案介紹技術(shù)創(chuàng)新 變革未來(lái)引入隨著移動(dòng)互聯(lián)網(wǎng)的不斷發(fā)展，BYOD移動(dòng)辦公已成趨勢(shì)，H3CBYOD移動(dòng)辦公解決方案提供了包括vAPP、MAM 和MDM在 內(nèi)的多種功能，保證了員工anytime、anywhere、anydevice 都可以高效的進(jìn)行辦公；EMO屬于BYOD解決方案的一部分，提供了MDM 、MAM和 vAPP等多種功能。課程目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠掌握：什么是EMOEMO組件有哪些功能如何利用EMO移動(dòng)辦公目錄EMO組件概述EMO功能EMO環(huán)境搭建EMO配置FAQEMO組件概述EMO： Endpoint Mobile Office（移動(dòng)辦公管理

2、）iMC的一個(gè)功能組件；屬于BYOD的功能范疇，為用戶(hù)提供vAPP、MDM、MAM功能4目錄EMO組件概述EMO功能EMO環(huán)境搭建EMO配置FAQ5EMO功能6vAPPMDMMAM遠(yuǎn)程桌面安全郵箱EMO功能vAPP：移動(dòng)客戶(hù)端通過(guò)RDP協(xié)議打開(kāi)vAPP server中的軟件，使在移動(dòng)終端中 具有展示PC應(yīng)用的能力，比如在iPad中打開(kāi)IE、notes客戶(hù)端；7EMO功能MDM（mobile device management）：移動(dòng)設(shè)備管理，主要是管理、控 制移動(dòng)終端的功能、行為，比如禁用相機(jī)、禁止程序安裝、禁用瀏覽器、 禁止截屏、必須設(shè)置鎖屏等；8EMO功能MAM（mobile applic

3、ationmanagement）移動(dòng)應(yīng)用管理：主 要是指iNode通過(guò)應(yīng)用商店的形式 向移動(dòng)終端推送本地APP、文檔、 郵件等；9EMO功能遠(yuǎn)程桌面：移動(dòng)終端通過(guò)iNode遠(yuǎn)程登錄到個(gè)人電腦進(jìn)行操作，擺脫了個(gè)人電腦必須接入互聯(lián)網(wǎng)的束縛10EMO功能安全郵箱：H3C基于SDK開(kāi)發(fā)的、在智能終端運(yùn)行的郵箱客戶(hù)端優(yōu)勢(shì)：1：SSL VPN接入；2：數(shù)據(jù)沙箱；提供了安全的文件讀寫(xiě)和存取方法，自動(dòng)將應(yīng)用數(shù)據(jù)加密，隱藏實(shí)際存放路徑，并可 根據(jù)策略實(shí)現(xiàn)定點(diǎn)清除3：權(quán)限可控。11EMO應(yīng)用場(chǎng)景及版本要求12EMO應(yīng)用場(chǎng)景使用區(qū)域：公司外(SSL VPN)或者公司內(nèi)(Portal)，都可安全接入，遠(yuǎn)程 辦公與EI

4、A聯(lián)動(dòng)：接入認(rèn)證后可直接獲取辦公資源，實(shí)現(xiàn)單點(diǎn)登錄客戶(hù)端版本、操作系統(tǒng)版本客戶(hù)端版本：iNode PC 7.1 E0303及以上版本iNode MC 7.1.35及以上版本iMC服務(wù)器：Windows Server 2008及以上版本（PowerShell2.0及以上 版本）遠(yuǎn)程應(yīng)用/遠(yuǎn)程桌面服務(wù)器：Windows Server 2008及以上版本EMO License策略按照注冊(cè)終端數(shù)進(jìn)行控制13目錄EMO組件概述EMO功能EMO環(huán)境搭建EMO配置FAQ14EMO組網(wǎng)企業(yè)內(nèi)iMC EMO服務(wù)器AD域服務(wù)器遠(yuǎn)程應(yīng)用服務(wù)器 (vAPP服務(wù)器）桌面服務(wù)器存儲(chǔ)服務(wù)器企業(yè)外SSL VPN網(wǎng)關(guān)Porta

5、l/Wlan/emoApp server15EMO接入流程EMO:7VPN網(wǎng)關(guān)（1）客戶(hù)端SSL VPN撥入（3）認(rèn)證通過(guò)后VPN網(wǎng)關(guān)下發(fā)emo server信息給客戶(hù)端（2）vpn網(wǎng)關(guān)向EIA 發(fā)起Radius認(rèn)證配置emo serverEIA:5（4）客戶(hù)端進(jìn)行EMO認(rèn)證獲取可訪問(wèn)資源（5）客戶(hù)端從emo server下載授權(quán)的APP（6）客戶(hù)端使用下載的APP訪問(wèn)對(duì)應(yīng)的服務(wù)器161、終端設(shè)備進(jìn)行注冊(cè)，iNode先發(fā)送0 x3001號(hào)（ 用戶(hù)登錄請(qǐng)求）報(bào)文，報(bào)文中攜帶接入用戶(hù)名 稱(chēng)和密碼、域名、接入認(rèn)證類(lèi)型、設(shè)備ID、客 戶(hù)端信息、設(shè)備類(lèi)型、設(shè)備信息(廠商、型號(hào)等 基

6、本信息)等上報(bào)給EMO服務(wù)器2、EMO服務(wù)器回應(yīng)0 x3002號(hào)登錄回應(yīng)報(bào)文3、 iNode發(fā)送0 x3003號(hào)報(bào)文，報(bào)文里攜帶接入用戶(hù)、域名、接入認(rèn)證類(lèi)型、設(shè)備ID、設(shè)備操作 系統(tǒng)、設(shè)備信息、設(shè)備可變信息、位置信息等 上報(bào)給EMO服務(wù)器4、 EMO服務(wù)器回應(yīng)0 x3004號(hào)注冊(cè)回應(yīng)報(bào)文5、iNode發(fā)送0 x3005號(hào)報(bào)文，請(qǐng)求終端策略6、 EMO服務(wù)器回應(yīng)0 x3006號(hào)設(shè)備策略回應(yīng)報(bào)文，下發(fā)鎖屏密碼策略備注：0 x3002號(hào)報(bào)文中有設(shè)備注冊(cè)狀態(tài)字段，如果 設(shè)備已經(jīng)注冊(cè)，則沒(méi)有步驟3、4日志：imc/emo/log/emomsgdetail.logEMO注冊(cè)17Android注冊(cè)iOS設(shè)備

7、注冊(cè)1：iNode發(fā)送0X2001號(hào)（用戶(hù)登錄請(qǐng)求）報(bào)文，攜帶賬號(hào)密碼、域名、接入 認(rèn)證類(lèi)型、設(shè)備ID，注冊(cè)ID、操作系 統(tǒng)類(lèi)型、客戶(hù)端信息、設(shè)備信息、設(shè) 備可變信息、位置信息等上報(bào)給EMO 服務(wù)器2：EMO server根據(jù)設(shè)備ID判斷是否注冊(cè)過(guò)如果未注冊(cè)則啟動(dòng)設(shè)備注冊(cè)流程3：設(shè)備根據(jù)0X2002用戶(hù)登錄回應(yīng)報(bào)文里 的enrollUrl+設(shè)備注冊(cè)ID進(jìn)行注冊(cè)， 到MDMAGENT上進(jìn)注冊(cè)/enroll?regid=XXXX，通過(guò)MDM Agent安 裝MDM PROFILE(根證書(shū)和證書(shū)服務(wù) 器地址)4、iNode到CA上申請(qǐng)并安裝客戶(hù)端證書(shū)5、在注冊(cè)的過(guò)程中客戶(hù)端會(huì)每隔60秒向EMO服務(wù)器

8、發(fā)送一次設(shè)備注冊(cè)狀態(tài)查 詢(xún)報(bào)文（0X2003），EMO服務(wù)器會(huì) 通過(guò)0X2004號(hào)報(bào)文把注冊(cè)狀態(tài)回應(yīng)給 客戶(hù)端18EMO-iOS控制流程iMC服務(wù)器發(fā)送一個(gè)MDM推送信息告訴APNs，服務(wù)器需要讓終端執(zhí)行某一命令；APNs通知設(shè)備；當(dāng)設(shè)備空閑和在網(wǎng)時(shí)去連接MDM Server并告訴服務(wù)器狀態(tài)；MDM Server根據(jù)設(shè)備狀態(tài)返回給設(shè)備需要執(zhí)行命令；設(shè)備執(zhí)行命令，并將執(zhí)行情況返回給MDM Server。APNs:蘋(píng)果推送消息服務(wù)19EMO環(huán)境準(zhǔn)備20硬件AD、CA、iMC、vAPP、VPN網(wǎng)關(guān)、移動(dòng)終端、Mail server、個(gè)人桌面、APP serveriMC需要部署plat、eia、 em

9、oVPN網(wǎng)關(guān)支持移動(dòng)接入功能軟件Win server 2008 r2/win server 2012Sql server 2008 r2/sql server 2012exchange 2010/exchange 2013 iMC 7.1及以上版本Android最低2.3iOS 7或者8EMO最低E0304p02VPN網(wǎng)關(guān)版本咨詢(xún)?cè)O(shè)備側(cè)端口Permit iMC 8443 8080 8088 8444 9058 9018Permit iMC udp 9059 CA 80Permit VPN網(wǎng)關(guān) 443沒(méi)有外網(wǎng)管理需求，無(wú)需放 通8080 8443映射iMC 8088 8444 9059 9058

10、 9018公網(wǎng)映射CA 80公網(wǎng)映射外網(wǎng)可以訪問(wèn)的端口iMC/8G 2195 2196 G 2195 2196 2195 2196F 2195 2196iMC需要訪問(wèn)APNs serverEMO基礎(chǔ)環(huán)境配置部署AD2012系統(tǒng)下的AD、應(yīng)用服務(wù)器搭建部署CABYOD配置自動(dòng)下發(fā)典型配置部署vAPP 2012系統(tǒng)下的AD、應(yīng)用服務(wù)器搭建部署網(wǎng)絡(luò)環(huán)境使相關(guān)組件路由、端口可達(dá)；部署iMC相關(guān)組件H3C iMC server必須以./administrator啟動(dòng) vAPP server 桌面服務(wù)器必須運(yùn)行emoTool.bat 必須部署ISP21目錄EMO組件概述EMO功能EMO環(huán)境搭建EMO配置F

11、AQ22組網(wǎng)舉例23.1.11/24392IMC3AD CA6vAPP server出口IP：39iMC：2 ；CA：3；vAPP ：6VPN網(wǎng)關(guān)：EMO配置24V7 VPN網(wǎng)關(guān)配置（與v3網(wǎng)關(guān)選其一）V3 VPN網(wǎng)關(guān)配置IMC配置出口NAT設(shè)備配置V7VPN網(wǎng)關(guān)配置25設(shè)備證書(shū)配置：1：配置PKI域sslvpn system-viewVPN pki domain sslvpnVPN-pki-domain-sslvpn public-key rsa general name sslvpn VPN-pki-domain-sslvpn undo crl checkenable:2：導(dǎo)入CA證書(shū)ca

12、.cer和服務(wù)器證書(shū)server.pfxVPN pki import domain sslvpn der ca filename ca.cerVPN pki import domain sslvpn p12 local filename server.pfx3：配置SSL服務(wù)器端策略sslVPN ssl server-policy sslVPN-ssl-server-policy-ssl pki-domain sslvpn4：配置SSL VPN網(wǎng)關(guān)gw并引用SSL服務(wù)器端策略sslVPN sslvpn gateway gwVPN-sslvpn-gateway-gw ip address por

13、t 2000 VPN-sslvpn-gateway-gw ssl server-policy sslV7網(wǎng)關(guān)配置265：配置SSL VPN訪問(wèn)實(shí)例imc引用SSL VPN網(wǎng)關(guān)及EMO server VPN sslvpn context imcVPN-sslvpn-context-imc gateway gwVPN-sslvpn-context-imc emo-server ip 2 port 90586：創(chuàng)建端口轉(zhuǎn)發(fā)列表plistVPN-sslvpn-context-imc port-forward plistVPN-sslvpn-context-imc-port-forward-plist

14、local-port 9059 local-name remote-server 2 remote-port 9059 description emo7：創(chuàng)建SSL VPN策略組pgroup，并引用端口轉(zhuǎn)發(fā)列表plistVPN-sslvpn-context-imc policy-group pgroupVPN-sslvpn-context-imc-policy-group-pgroup resources port-forward plist8： 開(kāi)啟SSL VPN訪問(wèn)實(shí)例imc。VPN-sslvpn-context-imc aaa domain emo VPN-sslvpn-context-

15、imc service enableV7網(wǎng)關(guān)279：開(kāi)啟SSL VPN網(wǎng)關(guān)gwVPN-sslvpn-gateway-gw service enable配置驗(yàn)證：VPN display sslvpn gateway Gateway name: gwOperation status: UpIP: port: 2000SSL server-policy: sslVPN display sslvpn contextContext name: imcOperation status: UpV7網(wǎng)關(guān)配置28radius scheme emoprimary authentication 2primary a

16、ccounting 2 key authentication simple 123 key accounting simple 123user-name-format without-domaindomain emoauthorization-attribute user-group group1 authentication sslvpn radius-scheme emoauthorization sslvpn radius-scheme emoaccounting sslvpn radius-scheme emo配置用戶(hù)組：user-group group1-和iMC側(cè)下發(fā)的用戶(hù)組保持一

17、致 authorization-attribute sslvpn-policy-group pgroupV3 VPN網(wǎng)關(guān)配置-建域29VPN網(wǎng)關(guān)配置登錄https：/adminIP:或者映射后的公網(wǎng)IPAdministrator/xxxxx30VPN網(wǎng)關(guān)配置-認(rèn)證配置認(rèn)證服務(wù)器指向iMC（EIA）服務(wù)器；不帶后綴，同時(shí)配置認(rèn)證和計(jì)費(fèi)密鑰和iMC側(cè)保持一致，點(diǎn)擊應(yīng)用生效31VPN網(wǎng)關(guān)配置個(gè)人桌面與vAPP server都要在VPN網(wǎng)關(guān)側(cè)添加，格式固定為iES_IP:PORT,端口固 定為3389，與iMC側(cè)必須保持一致Emoserver添加方式與個(gè)人桌面不同，emo server名稱(chēng)必須為EMO

18、server9058， 端口為905832VPN網(wǎng)關(guān)配置-IP分配PC認(rèn)證通過(guò)后，會(huì)獲得VPN網(wǎng)關(guān)分配的私網(wǎng)地址，截圖為地址池配置手機(jī)走tcp接入，無(wú)需分配IP地址。33VPN網(wǎng)關(guān)配置-可訪問(wèn)目標(biāo)網(wǎng)絡(luò)可訪問(wèn)目標(biāo)網(wǎng)絡(luò)在主機(jī)配置里面配置，配置目的地址即可點(diǎn)擊應(yīng)用生效34VPN網(wǎng)關(guān)配置-資源組所有資源都要添加到資源組，資源組與用戶(hù)組關(guān)聯(lián)資源包括個(gè)人桌面、emoserver、Vapp server及目標(biāo)網(wǎng)絡(luò) 點(diǎn)擊應(yīng)用生效35VPN網(wǎng)關(guān)配置-用戶(hù)組創(chuàng)建用戶(hù)組，然后將用戶(hù)組與資源組關(guān)聯(lián)；用戶(hù)組名稱(chēng)必須與iMC側(cè)下發(fā)的用戶(hù)組保持一致 點(diǎn)擊應(yīng)用生效36VPN網(wǎng)關(guān)配置所有配置完成后，點(diǎn)擊保存；網(wǎng)絡(luò)層配置見(jiàn)附件3

19、7出口路由器配置383020-GigabitEthernet0/1dis this interface GigabitEthernet0/1ip address 3020-GigabitEthernet0/0dis this interface GigabitEthernet0/0nat server protocol tcp global 39 8088 inside 2 8088nat server protocol tcp global 39 8444 inside 2 8444nat server protocol tcp global 39 9018 inside 2 9018nat

20、 server protocol tcp global 39 9058 inside 2 9058nat server protocol udp global 39 9059 inside 2 9059 nat server protocol tcp global 39 80 inside 3 www nat server protocol tcp global 39 443 inside 443ip address 39 iMC配置-EIA配置用戶(hù)服務(wù)接入策略EMO資源1：接入賬號(hào)必須存在一個(gè)服務(wù)才能接入認(rèn)證；2：服務(wù)內(nèi)容由接入策略指定；3：認(rèn)證通過(guò)后，由服務(wù)決定用戶(hù)EMO資源39iMC配置

21、-接入策略服務(wù)依賴(lài)于接入策略，需要先配置接入策略40iMC配置-接入服務(wù)服務(wù)與接入策略關(guān)聯(lián)服務(wù)里面指定用戶(hù)的EMO資源41iMC配置-AD用戶(hù)同步42iMC配置-接入用戶(hù)iMC分平臺(tái)用戶(hù)和接入用戶(hù)，認(rèn)證使用的是接入用戶(hù)，可以理解為賬號(hào)，平臺(tái)用戶(hù)理解為用戶(hù)名稱(chēng)即可；接入用戶(hù)一定要有一個(gè)平臺(tái)用戶(hù)； 對(duì)于AD同步：賬號(hào)：sAMAccountName 姓名：cn43iMC配置-接入設(shè)備VPN網(wǎng)關(guān)和iMC之間交互radius報(bào)文，所以需要將vpn網(wǎng)關(guān)已radius客戶(hù)端的身 份加入到iMC接入設(shè)備里面，添加內(nèi)網(wǎng)IP即可。此處密鑰配置和VPN網(wǎng)關(guān)保持一致44EMO配置系統(tǒng)參數(shù)配置AD配置標(biāo)簽服務(wù)器配置圖標(biāo)配置資源分類(lèi)桌面分類(lèi)遠(yuǎn)程資源本地資源終端策略安全郵件辦公策略終端信息用戶(hù)授權(quán)45iMC配置-添加域控此處是EMO組件使用的域控； 前面是EIA使用的域控EIA用戶(hù)與EMO用戶(hù)是兩個(gè)不同概念，需要分別同步46iMC配置-EMO用戶(hù)47系統(tǒng)參數(shù)配置SCEP URL:39:80/certsrv/mscep/mscep.dll/pkiclient.exeiOS從這個(gè)地址申請(qǐng)客戶(hù)端證書(shū)及校驗(yàn)HTTPs證書(shū)，HTTPs證書(shū)為iOS與iMC之間的通信提供加密隧道（iOS必須走h(yuǎn)ttps連接）；HTTPS證書(shū)申請(qǐng)參考HTTPS證書(shū)申請(qǐng)指導(dǎo)iMC映射情況需要選擇NAT，并輸入公網(wǎng)IP80