Présentation de Good Technology
Ce document vise à présenter rapidement l'usage et l'exploitation des serveurs Good Technology, c'est-à-dire, Good for Enterprise (produits Good Mobile Control (GMC) et Good Mobile Messaging (GMM)).
Nous disposons, dans notre infrastructure, des éléments suivants :
-
Un 1er serveur, contrôleur de domaine
-
Un 2ème serveur, servant un SQL Server 2008 par ailleurs mutualisé, et un Exchange 2010
-
Un 3e serveur, sur lequel nous avons installé GMC 1.3.1.20 et GMM 6.3.1.8. Nous avons volontairement évité l'installation automatique d'un serveur SQL Standalone.
Nos trois serveurs sont des machines virtuelles, présentes sur un même LAN. Elles tournent toutes les trois sous Windows Server Enterprise Edition 2008 R2.
Une fois installés, ces deux produits Good offrent une simple console d'administration, accessible sous forme d'intranet, hébergé sur notre 3e serveur :
|
|
|
GoodAdmin est le nom par défaut du user servant à l'administration de GMC et GMM. Il a été créé dans l'AD en amont au cours de l'installation de Good for Enterprise. Nous l'utilisons pour nous logger à la console. |
|
|
|
Cette dernière apparaît complète et conviviale. Dès le premier écran, nous obtenons un rapide inventaire des mobiles et tablettes gérés, ainsi que de l'état de nos fermes de serveurs Good. Dans notre environnement de test, les performances sont assez réduites… |
|
|
|
Le « provisioning » des nouveaux appareils s'effectue en quelques clics. Si nous cliquons sur « Add Handheld », nous obtenons rapidement un numéro de série, qu'il suffira ensuite de saisir sur l'appareil, dans l'application Good. Un test sur iPhone suit dans le présent document. |
|
|
|
Peut-être souhaite-t-on définir des politiques par groupes d'utilisateurs ? la chose se définit sur cet écran. Nous allons en créer une nouvelle, afin d'obtenir un aperçu des possibilités. |
|
|
|
Créons par exemple un groupe de politiques pour nos VIP. |
|
|
|
|
|
Pas mal d'écrans de configuration à notre disposition. Le premier fait office d'inventaire. |
|
|
|
Un peu de sécurité… En cas d'inactivité prolongée, on peut forcer le verrouillage de… l'application Good, ou bien de l'appareil ? Seule l'application Good est ici concernée. |
|
|
|
Sur cet écran, on gère réellement le type de synchronisation qu'on souhaite obtenir. On parle bien ici du mail, des contacts et agendas gérés par l'application mobile Good. Des captures d'écran de l'application suivent dans le présent document. |
|
|
|
Ici, on peut choisir les réseaux qui seront utilisés par l'application mobile Good pour fonctionner (que ce soit pour synchroniser les données, déployer les nouveaux paramètres de sécurité, ou surfer avec chiffrement). On peut ainsi interdire l'usage de l'application en dehors de réseaux connus et sécurisés. La 3G et Edge semblent considérés comme nécessairement sécurisés, puisqu'on ne peut les désactiver ici. Ca semble logique. |
|
|
|
La configuration OTA (over the air) se configure aussi. C'est réellement la dernière chose qu'on voudrait interdire…! |
|
|
|
Je ne pense pas que cet écran de gestion des cartes SD concerne iOS et Android, dont les applications fonctionnent en mode sandbox (c'est-à-dire de manière étanche, sans accès au reste du filesystem de l'appareil). Du fait du manque d'intérêt suscité aujourd'hui par les systèmes basés sur Symbian, Palm OS ou Windows, ce paramétrage revêt une importance plutôt relative. |
|
|
|
La même remarque s'applique quant au blocage de certaines applications, impossible avec Good sous iOS et Android sur cet écran – mais possible depuis la console Good par un autre moyen, qu'on décrira plus loin dans le présent document. |
|
|
|
C'est également vrai du déploiement d'applications pré-requises au bon fonctionnement de Good, impossible sous iOS et Android depuis cet écran. |
|
|
|
Egalement du chiffrement des données. |
|
|
|
Et également du déploiement d'applications. Toutefois, pour déployer des applications vers une flotte d'iPhones et d'iPads, on dispose d'outils fournis par Apple. Il s'agit alors d'installer un AppStore d'entreprise, privé, sur lequel on limitera les applications disponibles. A une époque où les entreprises disposent de flottes de BlackBerry qu'elles administrent avec BES, ou se tournent vers iOS et Android, ces écrans peuvent paraître superflus. Toutefois, la situation pourrait évoluer rapidement. Par ailleurs, et comme on le verra un peu plus bas, Good intègre les possibilités mises en place par Apple à destination des entreprises. |
|
|
|
Le secure browsing, c'est-à-dire la possibilité d'utiliser l'application Good pour surfer en toute sécurité sur l'intranet de l'entreprise, se paramètre. Les serveurs Good for Enterprise se trouvant presque nécessairement dans le LAN de l'entreprise, cette possibilité est réellement intéressante. Elle crée une sorte de proxy, sans nécessiter la mise en place d'une architecture VPN. |
|
|
|
Apple a mis en place un système permettant de gérer une flotte iOS (chercher « iPhone OS Enterprise Deployment Guide »). Good for Enterprise a repris toutes les possibilités offertes par Apple, et permet de les gérer de manière centralisée. C'est un réel gain de temps : on n'inventorie donc qu'une seule fois les appareils. C'est ici qu'on dépasse le mode sandbox de l'application Good déployée vers les appareils iOS. |
|
|
|
Toutes les options prévues par Apple dans son guide de déploiement sont gérables depuis l'interface Good : droit d'installer des applications, droit d'usage de l'APN (appareil photo numérique), droit à YouTube… plus la sécurité (verrouillage automatique, etc.) |
|
|
|
|
|
|
|
|
|
Apple a également prévu qu'on puisse pré-paramétrer des réseaux WiFi. C'est encore un réel gain de temps, ainsi qu'une occasion de moins d'exposer le mot de passe d'un WiFi LAN. |
|
|
|
De même, on peut paramétrer automatiquement les liaisons VPN d'iOS. |
|
|
|
Et pré-déployer des web clips, pour autant que cela serve à quelque chose… (?) |
|
|
|
Un onglet supplémentaire permet d'inventorier rapidement les serveurs. Nous n'en avons qu'un, et l'écran peut sembler superflu, mais la volumétrie des serveurs Good fait qu'on peut rapidement devoir multiplier les fermes, surtout si les serveurs sont virtualisés. La virtualisation décuple le nombre de serveurs Good nécessaires ! L'usage du secure browsing décuple encore ce nombre !! Nombre qui, à l'origine et en moyenne, est de 1.000 utilisateurs par serveur GMM, et 6.000 par serveur GMC. Mieux vaut faire les bons choix d'infrastructure en avance de phase… |
|
|
|
La définition de rôles permet de créer des utilisateurs Good autres que GoodAdmin, et de leur attribuer des droits limités. Concrètement, on tisse ainsi les liens entre N1, N2 et N3. |
|
|
|
Viennent finalement les paramètres généraux de la console. |
Qu'en-est-il côté client ? Nous avons créé un user lambda dans notre domaine, pour tester justement le comportement de Good. Sur un PC, rien d'extraordinaire, nous validons simplement la bonne création de notre user, et de son compte de messagerie Exchange :
|
|
|
Configuration Windows assez basique… |
|
|
|
Dès que le provisioning de son compte et de son mobile ont été effectués sur la console Good, le user reçoit un email de bienvenue, qui lui suggère d'installer l'application Good sur son smartphone ou sa tablette. Sur iPhone, cette première installation, gratuite, ne pourra se faire qu'à l'aide d'iTunes ou de l'AppStore. |
Finalement, que donne l'application sur un iPhone ? (3GS, iOS 4.3)
|
|
Suivons les conseils du mail, et rendons-nous avec Safari sur la page indiquée, https://get.good.com . |
|
|
Le site détecte le modèle de mobile, son OS, et renvoie vers l'installeur qui convient. Ce qui nous ouvre l'AppStore automatiquement. |
|
|
L'application est gratuite, ce qui semble assez normal. Elle est suffisamment légère pour qu'une connexion 3G suffise à son installation. Cette qualité non négligeable épargnera à bien des utilisateurs le passage par iTunes, ou la configuration d'une connexion WiFi. |
|
|
|
|
|
Un premier lancement ne saurait tarder. |
|
|
Parfaitement compatible avec iOS 4.3. |
|
|
Acceptons, à titre tout à fait exceptionnel, les notifications push. |
|
|
Acceptons aussi les conditions d'utilisation. NB : pensez à vérifier que vous ne vendez pas votre âme au diable… |
|
|
Oops, un écran manque. Sur cet écran, il fallait saisir un code PIN, disponible sur la console web d'administration lorsqu'on clique sur « Add Handheld ». La configuration s'effectue ensuite automatiquement, comme illustré. |
|
|
Suite… |
|
|
La configuration automatique dure normalement moins d'une minute… |
|
|
…Sauf chez Bouygues. Chez Bouygues, elle n'aboutira jamais, du fait des restrictions imposées par l'opérateur. Je me suis permis d'appeler le service Data de mon cher opérateur, pour leur demander ce qu'ils pensaient de Good. On m'a promis de me rappeler, et c'était le 5 Avril 2011. Je vous préviendrai si on me rappelle :) Que les entreprises qui nous lisent se rassurent, chez Orange, le processus est allé à son terme sans problème. |
|
|
Comme il fallait bien que je parvienne à finir mon test sur mon iPhone, je suis passé en WiFi. Notre réseau étant configuré selon les règles du bon sens commun (je ne vise personne), tout a fonctionné. |
|
|
L'application se révèle parfaitement fonctionnelle et synchronisée. Je retrouve les mails présents sur Outlook, dans tous les dossiers. |
|
|
L'interface ressemble d'ailleurs énormément à celle native à l'iPhone. La charte graphique rouge rappelle, au moins inconsciemment, à l'utilisateur qu'il est sur le mail de l'entreprise, et non sur la partie « ouverte » de son iPhone. |
|
|
Les événements du calendrier sont aussi à jour. |
|
|
L'accès aux contacts de l'AD fonctionne à peu de chose près comme sur le carnet d'adresses d'Outlook. Pas de liste exhaustive, mais un mode requêtes. |
|
|
Quelques préférences assez classiques :
|
|
|
Une préférence assez utile : la possibilité de synchroniser la base des contacts de l'iPhone avec celle de l'entreprise. Cela permet de voir s'afficher, en cas de réception d'un appel, le nom du contact, plutôt que son seul numéro de téléphone. Toutefois, la question de la confidentialité des informations liées à la base des contacts apparaît alors, d'où la possibilité offerte aux administrateurs de Good for Enterprise d'interdire cette réplication de contacts. |
|
|
Good suit le bon fonctionnement de ses applications. On peut donc leur envoyer les logs pour analyse. Un must. |
En conclusion, le produit s'avère utile, et possède d'indéniables qualités :
-
Mises à jour au plus près de ce que les fabricants de portables et tablettes proposent ;
-
Bon niveau de sécurité ;
-
Forte adhérence à l'Active Directory et à Exchange ;
-
Richesse des options de paramétrage ;
-
Gestion d'un très large éventail d'appareils et d'OS (Palm OS, Symbian, Windows Mobile / Windows Phone / Pocket PC, iOS et Android).
De l'éventail des OS pris en charge est exclu BlackBerry. C'est clairement dû à la politique restrictive de RIM, mais aussi à la qualité de son serveur BES, déjà largement présent chez les entreprises disposant de flottes BlackBerry. Good ne pourrait pas faire mieux. Toutefois, RIM vient d'annoncer l'ouverture de son OS aux applications développées pour Android. Good pourrait en profiter pour étendre sa gestion aux BlackBerry, ce qui limiterait l'éventail de technologies devant être maîtrisées par les DSI.
Le véritable écueil de Good se situerait plutôt dans la volumétrie de l'infrastructure à mettre en œuvre. Il faut clairement suivre les recommandations de l'éditeur, qui alerte franchement quant aux faibles performances à attendre de serveurs virtualisés. Cela signifie que des fermes de serveurs physiques nécessiteront des budgets vraiment moindres (compter un rapport de 1 à 5 au minimum). Du fait des I/O intensives liées à Good, les DSI devront certainement réfléchir à des architectures réseau particulières, privilégiant la relation Exchange / Good (on peut par exemple penser à des LAN à 10 gbits dédiés).
In: Ingénierie du Poste de Travail, iOS, iPhone et iPad · Tagged with: console, déploiement, flotte, Good, Good Technology, iPad, iPhone, securite, synchronisation