Jag har tidigare skrivit om hur vi kan nyttja Microsoft Forefront för att supportera olika typer av mobila enheter så som smartphones och plattor. (Video och Artikel) En del av detta handlar om hur vi skall kunna synkronisera information så som e-post, kalender med mera till dessa enheter men samtidigt vidhålla en hög säkerhetsnivå i vår infrastruktur.

Det finns alltid risker med att ha för mycket information i dessa mobila enheter och det bästa är att kunna kontrollera exakt vilken information som skall få finnas på vilken enhet och för vilken användare.

Det finns flera bra plugins till både Forefront TMG och UAG. Vi har bland annat ett svenskt företag vid namn PointSharp vars plugin ger funktioner som flerfaktorautentisering och utökad säkerhet för Micrsosoft Exchange ActiveSync.

Till skillnad från flera andra tredjepartsprodukter så kräver inte den här någon som helst installation eller handpåläggning på själva klienten utan alla enheter som kan kommunicera med Exchange ActiveSync kommer fungera precis som vanligt, med undantag av några säkerhetsmässiga fördelar.

Med hjälp av PointSharp kan vi skapa ett separat lösenord som enbart används för ActiveSync, det här lösenordet kan vi spara i befintligt Active Directory så vi behöver ingen separat databas för detta ändamål.
En stor fördel är också att vi kan automatisera mycket av det här flödet och även ge användaren möjlighet att hantera sitt ActiveSynclösenord och sina mobila enheter på egen hand genom en självbetjäningsportal. Alternativet är också att en servicedeskorganisation behöver involveras för att godkänna nya enheter för att på så sätt få kontroll över vilka enheter som får synkronisera företagets information.
När användaren loggar in på självbetjäningsportal med sitt vanliga AD konto första gången autoskapas ett PointSharpkonto med motsvarande namn som användarkontot i ADt, användaren kan sedan själva autogenerera ett lösenord.

Med hjälp av PointSharps TMG Filter och en produkt som heter PointSharp Secure ActiveSync kan vi även sätta upp ett regelverk över vilka Exchange-funktioner som får synkroniseras ut till vilken typ av enhet. På det sättet kan vi säkerhetsklassa de enheter som finns i miljön och därefter sätta upp regler för att exempelvis en viss telefonmodell enbart får synkronisera mail och kalender men inga bifogade filer medans en viss typ av platta kan ta emot alla bifogade filer så länge det inte är ett säkerhetsklassat dokument.

Rent tekniskt bygger autentiseringstekniken på Kerberos Constrained Delegation (KCD) där TMG servern har rätt att delegera autentisering bak mot Exchange och då istället autentisera användaren med sitt PointSharpkonto.

Det här höjer säkerheten på flera plan. Dels så finns inte något AD-lösenord lagrat på telefonen och sedan finns det heller inte risk att felaktiga påloggningsförsök låser det riktiga AD-kontot. En snygg funktion för att inte själva PointSharpkontot skall bli utlåst av en felaktigt konfigurerad telefon är att den registrerar flera påloggningsförsök med samma lösenord som ett enda försök.

En annan säkerhetsaspekt på det hela är att all kontroll av vilka funktioner och vilken information som får synkroniseras ut till telefonerna baserat på telefonmodell och användare och kontrolleras redan på edge-nivå, innan någon som helst information når fram till Exchange.

Genom att integrera PointSharps lösning kan du även nyttja funktioner för att få flerfaktorautentisering mot både webbpubliceringar och VPN lösningar. Ett tänkbart scenario är att även autentisera Outlook Web App (OWA) med PointSharpkontot för att på så sätt undvika att ange ett AD-lösenord från ett Internetcafe.

Det här var bara exempel på några scenarier över hur man kan kombinera dessa produkter för att få en säkrare ActiveSynclösning. Det första man bör göra är att se till vilka verksamhetsbehov man har och vilken information man vill skydda och sedan anpassa den tekniska lösningen utefter de behov som finns.