4
EAS-Proxy bei Sophos Mobile Control
Hallo,
ich teste gerade die Konfiguration & Integration der EMM-Lösung "Sophos Mobil Control". Die Grundkonfiguration hat ganz gut geklappt. Allerdings hätte ich noch ein paar Fragen zu den Feinheiten.
Infrastruktur:
Ein paar Android und iOS-Geräte werden schon vom SMC zum Test verwaltet. Als Reverse-Proxy, WLAN-Controller sowie VPN-Gateway nutzen wir einen "Sophos UTM SG330-Cluster".
Der Reverse-Proxy leitet Anfragen für SMC.FIRMA.DE an den SMC-Server weiter. Anfragen an OWA.FIRMA.DE gehen an den Exchange.
Die Integration des SMC in die Sophos UTM funktioniert soweit. Anhand des Compliance-Status des Smartphons wird der WLAN/VPN-Zugang zugelassen bzw. verweigert.
Auf Netzwerkebene funktioniert dieses Feature ziemlich gut!
In diese EMM-Software ist zusätzlich noch ein EAS-Proxy integriert. Dieser soll die Exchange-Kommunikation überwachen und bei Compliance-Verletzungen ebenfalls blockieren.
Schema-Zeichnung:
Für mein Verständnis müsste der komplette Active-Sync-Verkehr über den EAS-Proxy laufen, damit dieser die Verbindungen terminieren kann - oder sehe ich das Falsch (rote Linie)?
Wie muss der Reverse-Proxy bzw. generell die Kommunikation zwischen Smartphone, Exchange und SMC konfiguriert werden?
Ich werde aus den Installationsanleitungen nicht schlau. Momentan können Smartphones mit Compliance-Verletzung zwar nicht mehr per VPN/WLAN ins Netzwerk - Exchange geht aber noch.
Danke!
ich teste gerade die Konfiguration & Integration der EMM-Lösung "Sophos Mobil Control". Die Grundkonfiguration hat ganz gut geklappt. Allerdings hätte ich noch ein paar Fragen zu den Feinheiten.
Infrastruktur:
Ein paar Android und iOS-Geräte werden schon vom SMC zum Test verwaltet. Als Reverse-Proxy, WLAN-Controller sowie VPN-Gateway nutzen wir einen "Sophos UTM SG330-Cluster".
Der Reverse-Proxy leitet Anfragen für SMC.FIRMA.DE an den SMC-Server weiter. Anfragen an OWA.FIRMA.DE gehen an den Exchange.
Die Integration des SMC in die Sophos UTM funktioniert soweit. Anhand des Compliance-Status des Smartphons wird der WLAN/VPN-Zugang zugelassen bzw. verweigert.
Auf Netzwerkebene funktioniert dieses Feature ziemlich gut!
In diese EMM-Software ist zusätzlich noch ein EAS-Proxy integriert. Dieser soll die Exchange-Kommunikation überwachen und bei Compliance-Verletzungen ebenfalls blockieren.
Schema-Zeichnung:
Für mein Verständnis müsste der komplette Active-Sync-Verkehr über den EAS-Proxy laufen, damit dieser die Verbindungen terminieren kann - oder sehe ich das Falsch (rote Linie)?
Wie muss der Reverse-Proxy bzw. generell die Kommunikation zwischen Smartphone, Exchange und SMC konfiguriert werden?
Ich werde aus den Installationsanleitungen nicht schlau. Momentan können Smartphones mit Compliance-Verletzung zwar nicht mehr per VPN/WLAN ins Netzwerk - Exchange geht aber noch.
Danke!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 296343
Url: https://administrator.de/contentid/296343
Ausgedruckt am: 26.11.2024 um 05:11 Uhr
4 Kommentare
Neuester Kommentar
Morgen Philipp711,
genau so ist es du musst den kompletten Active-Sync-Verkehr über den EAS-Proxy laufen lassen, sonst kann die MDM-Lösung ja nicht bei Compliance Verstößen die Verbindung unterbrechen.
genau so ist es du musst den kompletten Active-Sync-Verkehr über den EAS-Proxy laufen lassen, sonst kann die MDM-Lösung ja nicht bei Compliance Verstößen die Verbindung unterbrechen.
Das bedeutet für mich entweder:
- Im Reverse-Proxy definiere ich eine Site-Path-Route die den Verkehr für die URL "owa.firma.de/mcirosoft-active-sync" auf den SMC-Server leitet?? Normale Anfragen wie z.B. "owa.firma.de/owa" gehen trotzdem noch direkt an den Exchange...
oder
- Ich konfiguriere die Adresse "smc.firma.de" als Pseudo-Exchange in den Active-Sync-Einstellungen der Smartphones??
- Im Reverse-Proxy definiere ich eine Site-Path-Route die den Verkehr für die URL "owa.firma.de/mcirosoft-active-sync" auf den SMC-Server leitet?? Normale Anfragen wie z.B. "owa.firma.de/owa" gehen trotzdem noch direkt an den Exchange...
oder
- Ich konfiguriere die Adresse "smc.firma.de" als Pseudo-Exchange in den Active-Sync-Einstellungen der Smartphones??
Ja genau,
wir haben das bei uns so gelöst das wir die smc.firma.de als Active-Sync-Einstellungen für die Smartphones nutzen.
Je nachdem welche Geräte es genau sind, kannst du ja die Profile vorkonfigurieren und dann dem Mitarbeiter per MDM übertragen, dann kann es nicht passieren das er die OWA-Adresse als Active-Sync nutzt bzw. es zumindest versucht.
wir haben das bei uns so gelöst das wir die smc.firma.de als Active-Sync-Einstellungen für die Smartphones nutzen.
Je nachdem welche Geräte es genau sind, kannst du ja die Profile vorkonfigurieren und dann dem Mitarbeiter per MDM übertragen, dann kann es nicht passieren das er die OWA-Adresse als Active-Sync nutzt bzw. es zumindest versucht.
Danke! Das ging ja schnell....
