Mal ganz abgesehen von den “üblichen” Themen rund um Endgerät, BlackBerry-News und BES/UEM befasst sich die BB10QNX in ihrem Turnaround auch vermehrt mit allgemeinen Fragen und Lösungen in Sachen Anbindung. Insbesonders der sicheren Anbindung von Endgeräten ans Unternehmens-LAN. Für unser UEM-Kompendium möchten wir in diesem Artikel Sinn und Einrichtung von Gatekeeping unter Microsoft Exchange beschreiben.
Gatekeeping
Der neudeutsche Begriff Gatekeeping steht eigentlich, sinnlich aus dem Englischen übersetzt, für nichts anderes als einen Türsteher. Im Bereich der Endgeräteanbindung bedeutet dies, dass ein Mechanismus darüber entscheidet, ob ein Endgerät eine ActiveSync-Paarung (EAS) mit dem Exchange-Server machen darf oder eben nicht. Was sich zunächst nach Aufwand und weiteren Fehlerquellen anhört, ist in Wirklichkeit eine effiziente Absicherung dafür, dass Unternehmensdaten nicht einfach auf fremde Geräte abfließen können.
Folgendes Szenario stellt für jeden DSB/ISB eine Herausforderung dar: Wie verhindere ich es zuverlässig, dass ein ins Firmen-WLAN eingeschleiftes Endgerät willkürlich mit einem internen Account, dessen Credentials man “zufällig” kennt, verbunden und dieser damit abgeschöpft wird? Eine MDM wie UEM ist hier keine Lösung, da die Anbindung per WLAN “hinter” der MDM erfolgt. Ist das Gerät dann erst mal außerhalb der Reichweite des Firmen-WLAN, kann es auch nicht mehr ferngelöscht und somit die zu Unrecht erhaltenen Informationen ausgiebig ausgewertet werden.
Die Antwort darauf lautet einfach, dass man ungebetenen bzw. unbekannten Geräten verbietet, sich zum Exchange zu verbinden. Dies geschieht im Kern über eine Positivliste. Ist ein Gerät darauf nicht vermerkt, wird eine Kontaktaufnahme abgelehnt. Um sich verbinden zu können, muss ein Gerät anhand seiner Hardware-ID vom Administrator in die Positivliste eingefügt werden. Erst dann gelingt eine dauerhafte EAS-Paarung.
Der Mechanismus in Exchange, der dieses Feature bietet, heißt Gatekeeping. Allerdings ist Gatekeeping in Exchange per Default nicht aktiviert und muss deshalb eigens aktiviert und eingerichtet werden.
Einrichten von Gatekeeping
Die Anleitung beschreibt die Einrichtung von Gatekeeping am Beispiel des Exchange 2016 der BB10QNX Testumgebung. In einer Exchange-Verwaltungsshell gibt man folgende Befehle der Reihe nach ein:
- New-ManagementRole -Name “EAS_GK_Mail” -Parent “Mail Recipients”
- New-ManagementRole -Name “EAS_GK_CA” -Parent “Organization Client Access”
- New-ManagementRole -Name “EAS_GK_Exchange” -Parent “Exchange Servers”
- Get-ManagementRoleEntry “EAS_GK_Mail\*” | Where {$_.Name -ne “Get-ADServerSettings”} | Remove-ManagementRoleEntry
- Get-ManagementRoleEntry “EAS_GK_CA\*” | Where {$_.Name -ne “Get-CasMailbox”} | Remove-ManagementRoleEntry
- Get-ManagementRoleEntry “EAS_GK_Exchange\*” | Where {$_.Name -ne “Get-ExchangeServer”} | Remove-ManagementRoleEntry
- Add-ManagementRoleEntry “EAS_GK_Mail\Get-ActiveSyncDeviceStatistics” -Parameters Mailbox
- Add-ManagementRoleEntry “EAS_GK_Mail\Get-ActiveSyncDevice” -Parameters Identity
- Add-ManagementRoleEntry “EAS_GK_CA\Set-CasMailbox” -Parameters Identity, ActiveSyncBlockedDeviceIDs, ActiveSyncAllowedDeviceIDs
- New-RoleGroup “EAS-GateKeeping” -Roles “EAS_GK_Mail”, “EAS_GK_CA”, “EAS_GK_Exchange”
- Add-RoleGroupMember -Identity “EAS-GateKeeping” -Member “tu_bes”
Diese Befehlssequenz aktiviert Gatekeeping und richtet für die Verwaltung eine neue Rolle EAS-Gatekeeping ein. Mitglieder (hier “tu_bes”) dieser Rollengruppe dürfen dann unbekannte Endgeräte in die Positivliste aufnehmen und bekannte Geräte aus ihr entfernen. Anschließend müssen noch einige Einstellungen auf dem Exchange und dem UEM getätigt werden:
Das Windows Remote Management muss aktiviert werden. (Die Ausgabe von CMD auf einem speziellen Server hängt davon ab, ob Gatekeeping in der Exchange Organisation schon aktiviert war/ist oder nicht).
Anschließend muss die neue Rollengruppe “EAS-Gatekeeping” im virtuellen Verzeichnis “PowerShell” des IIS entsprechende Rechte bekommen, damit diese delegierte Administration den Rolleninhabern auch möglich wird.
Eine technische Voraussetzung zur Remote Administration über WinRM ist dabei die Aktivierung der Windows-Authentifizierung auf dieses spezielle Verzeichnis.
Damit funktioniert Gatekeeping über den Weg der entfernten (remote) Administration. Nun kann man den BES/UEM soweit konfigurieren, dass Geräte bei der Aktivierung automatisch in diese Positivliste aufgenommen werden. Somit wird die Endgeräteadministration komplett auf einen Punkt, nämlich die MDM verlagert, indem man ihr diese Rolle übergibt. Bequemer geht es dann einfach nicht mehr.
Diese Konfiguration findet unter “Einstellungen -> externe Integration -> Microsoft Exchange Gatekeeping” statt.
Update: Ab UEM12.7 wird Gatekeeping über ein eigenes Profil mitgegeben. Zum Artikel
Um Gatekeeping letztlich mit dem Endgerät verknüpfen zu können, wird der / ein Gatekeeping Server dem Mailprofil des Benutzers hinzugefügt. Sinn hierfür ist, auch in großen und standortverteilten Organisationen eine Skalierung auf verschiedene Server hinzubekommen.
Somit ist Gatekeeping eingerichtet und aktiv.
Fazit
Mit nur wenig Aufwand und NULL Kosten kann man mittels des integrierten Exchange Features Gatekeeping die Sicherheit im Unternehmen erheblich erhöhen und damit verhindern, dass durch eingeschleuste EAS-fähige Geräte wie Telefone wichtige Daten abfließen können.
Pingback: BlackBerry Enterprise Service 12 (BES12) – Unified Endpoint Manager (EUM) Kompendium | BB10QNX.de