利用集成工具為BYOD配置無線局域網(wǎng)
當(dāng)涉及BYOD和無線局域網(wǎng)(WLAN)接入時,IT網(wǎng)絡(luò)團隊面臨著進退兩難的局面。他們沒有資源來手動配置數(shù)百臺個人設(shè)備,然而,要求用戶配置自己的客戶端通常會招致錯誤和安全問題。幸運的是,現(xiàn)在我們有工具可以自動化個人設(shè)備配置,甚至執(zhí)行不同水平的訪問政策。關(guān)鍵在于網(wǎng)絡(luò)團隊要整合這些工具來獲得必要的訪問控制。
現(xiàn)在,IT部門可以使用桌面管理系統(tǒng)和Active Directory組策略對象(AD GPO)來在企業(yè)配發(fā)的筆記本電腦上自動配置企業(yè)WLAN憑證和設(shè)置,不過,這些工具通常不能用于智能手機或平板電腦。
而有了新自動化WLAN聯(lián)網(wǎng)工具,用戶可以選擇一個指定的SSID,然后被導(dǎo)向到強制門戶初始頁面來登錄和接受服務(wù)條款。這可以立即將用戶路由到一些有限的訪客網(wǎng)絡(luò),但這僅僅是第一步。一般情況下,企業(yè)需要更深入的工具來基于政策分配訪問權(quán)限,這也是配置工具發(fā)揮作用的地方。
用于WLAN訪問的自我配置工具
自動化WLAN聯(lián)網(wǎng)工具的目的是讓用戶自己配置連接,而無需IT人員的協(xié)助。很多Wi-Fi智能手機和平板電腦允許用戶配置網(wǎng)絡(luò)連接設(shè)置,包括企業(yè)級WPA2 EAP參數(shù)和服務(wù)器/用戶證書。例如,一旦用戶被允許訪問一個開放的企業(yè)“訪客”WLAN,他們就可以訪問URL來下載配置文件。這會變得很復(fù)雜,所以一些企業(yè)現(xiàn)在使用Cloudpath Networks的Xpress Connect等平臺,為Windows、Mac OSX、Ubuntu、Android和iOS用戶(包括非托管Windows BYOD的ActiveX)自動化基于門戶的WLAN連接。
這種方法通過最大限度地減少依賴關(guān)系以適應(yīng)不同設(shè)備和所有權(quán),自動化和簡化WLAN聯(lián)網(wǎng)。它甚至可以與企業(yè)目錄以及證書頒發(fā)機構(gòu)整合,從而為每個認(rèn)證用戶/設(shè)備來安裝不同的WLAN憑證。然而,這種方法并不支持配置更新或者持續(xù)的執(zhí)行,也不能擴展來滿足其他BYOD需求。
配置平臺 深化WLAN接入政策
當(dāng)與網(wǎng)絡(luò)中內(nèi)置的流量檢測功能整合時,自動化WLAN聯(lián)網(wǎng)可以有具體的接入政策。在這種情況下,強制門戶網(wǎng)站可以為用戶提供相同的自行安裝鏈接,然后訪問游客網(wǎng)絡(luò),然后,WLAN接入點(AP)可以通過客戶端分類政策配置,提供更為精確的網(wǎng)絡(luò)接入。
例如,Aerohive Networks的HiveAPs可以用客戶端分類政策配置,基于Wi-Fi MAC地址前綴、操作系統(tǒng)和設(shè)備域來自動重定向個人設(shè)備。這些分類可以用來將不同的防火墻規(guī)則應(yīng)用到未知的Android平臺而不是已知的iPad。通過這種方法,已知的iPad可能會被重定向到一個平臺,根據(jù)看到的用戶名來為設(shè)備安裝iOS配置文件,而未知的設(shè)備將被重定向到一個門戶網(wǎng)站,在該網(wǎng)站中,用戶將接收個人PSK,從而加入個人WPA2安全的WLAN。
這種方法側(cè)重于利用網(wǎng)絡(luò)本身以及其流量內(nèi)容來自動化WLAN聯(lián)網(wǎng)。結(jié)合WLAN流量檢測和防火墻功能與設(shè)備和OS指紋識別,簡化了用戶設(shè)備連接到網(wǎng)絡(luò)的步驟。不過,更廣泛的BYOD管理可能需要額外的步驟或者IT資源。
移動設(shè)備管理器(MDM)實現(xiàn)自動登陸
移動設(shè)備管理器(MDM)可以幫助IT部門部署更復(fù)雜的政策,它根據(jù)用戶或組、設(shè)備所有權(quán)、品牌和型號、操作系統(tǒng)級別、配置和完整性來分配接入權(quán)限。它們還可以更新設(shè)置來響應(yīng)WLAN設(shè)計中持續(xù)的變化,以及執(zhí)行實時政策來解決BYOD誤用或破壞問題。
使用這種方法時,連接到開放企業(yè)“訪客”WLAN的用戶被重定向到MDM注冊頁面(另外,用戶可能會接收包含個性化注冊網(wǎng)址的電子郵件或短信通知)。在接入注冊頁面時,用戶被要求登錄或者提供一個激活碼,這樣一來,MDM可以比較用戶或組、所有權(quán)和設(shè)備詳細(xì)信息,從而確定配置。如果個人設(shè)備被接受,系統(tǒng)會發(fā)出一個設(shè)備證書,并給設(shè)備配置很多設(shè)置和應(yīng)用,包括企業(yè)WLAN憑證和連接、企業(yè)VPN通道和企業(yè)郵件設(shè)置。
很多MDM產(chǎn)品支持完整的設(shè)備注冊,并可以用來自動化WLAN聯(lián)網(wǎng),其中一些還專門與WLAN基礎(chǔ)設(shè)施集成。例如,Meraki為其企業(yè)云控制器客戶提供免費的基本款MDM。Aerohive與JAMF SoftwareLLC合作提供蘋果設(shè)備的自動化MDM注冊。Aruba Networks公司提供ClearPass接入管理系統(tǒng)設(shè)備,該設(shè)備可通過已發(fā)布的API與第三方MDM整合。
這些只是WLAN基礎(chǔ)設(shè)施與MDM及其他自動化BYOD接入配置工具整合的幾個例子。還有很多其他更多策略將會出現(xiàn)。如果你正在尋找一種方法來管理BYOD和WLAN接入,從詢問WLAN和MDM供應(yīng)商的WLAN聯(lián)網(wǎng)辦法開始,確保他們考慮了自動化、靈活性和設(shè)備的多樣性。