当涉及BYOD和无线局域网(WLAN)接入时,IT网络团队面临着进退两难的局面。他们没有资源来手动配置数百台个人设备,然而,要求用户配置自己的客户端通常会招致错误和安全问题。幸运的是,现在我们有工具可以自动化个人设备配置,甚至执行不同水平的访问政策。关键在于网络团队要整合这些工具来获得必要的访问控制。
现在,IT部门可以使用桌面管理系统和Active Directory组策略对象(AD GPO)来在企业配发的笔记本电脑上自动配置企业WLAN凭证和设置,不过,这些工具通常不能用于智能手机或平板电脑。
而有了新自动化WLAN联网工具,用户可以选择一个指定的SSID,然后被导向到强制门户初始页面来登录和接受服务条款。这可以立即将用户路由到一些有限的访客网络,但这仅仅是第一步。一般情况下,企业需要更深入的工具来基于政策分配访问权限,这也是配置工具发挥作用的地方。
用于WLAN访问的自我配置工具
自动化WLAN联网工具的目的是让用户自己配置连接,而无需IT人员的协助。很多Wi-Fi智能手机和平板电脑允许用户配置网络连接设置,包括企业级WPA2 EAP参数和服务器/用户证书。例如,一旦用户被允许访问一个开放的企业“访客”WLAN,他们就可以访问URL来下载配置文件。这会变得很复杂,所以一些企业现在使用Cloudpath Networks的Xpress Connect等平台,为Windows、Mac OS X、Ubuntu、Android和iOS用户(包括非托管Windows BYOD的ActiveX)自动化基于门户的WLAN连接。
这种方法通过最大限度地减少依赖关系以适应不同设备和所有权,自动化和简化WLAN联网。它甚至可以与企业目录以及证书颁发机构整合,从而为每个认证用户/设备来安装不同的WLAN凭证。然而,这种方法并不支持配置更新或者持续的执行,也不能扩展来满足其他BYOD需求。
配置平台 深化WLAN接入政策
当与网络中内置的流量检测功能整合时,自动化WLAN联网可以有具体的接入政策。在这种情况下,强制门户网站可以为用户提供相同的自行安装链接,然后访问游客网络,然后,WLAN接入点(AP)可以通过客户端分类政策配置,提供更为精确的网络接入。
例如,Aerohive Networks的HiveAPs可以用客户端分类政策配置,基于Wi-Fi MAC地址前缀、操作系统和设备域来自动重定向个人设备。这些分类可以用来将不同的防火墙规则应用到未知的Android平台而不是已知的iPad。通过这种方法,已知的iPad可能会被重定向到一个平台,根据看到的用户名来为设备安装iOS配置文件,而未知的设备将被重定向到一个门户网站,在该网站中,用户将接收个人PSK,从而加入个人WPA2安全的WLAN。
这种方法侧重于利用网络本身以及其流量内容来自动化WLAN联网。结合WLAN流量检测和防火墙功能与设备和OS指纹识别,简化了用户设备连接到网络的步骤。不过,更广泛的BYOD管理可能需要额外的步骤或者IT资源。
移动设备管理器(MDM)实现自动登陆
移动设备管理器(MDM)可以帮助IT部门部署更复杂的政策,它根据用户或组、设备所有权、品牌和型号、操作系统级别、配置和完整性来分配接入权限。它们还可以更新设置来响应WLAN设计中持续的变化,以及执行实时政策来解决BYOD误用或破坏问题。
使用这种方法时,连接到开放企业“访客”WLAN的用户被重定向到MDM注册页面(另外,用户可能会接收包含个性化注册网址的电子邮件或短信通知)。在接入注册页面时,用户被要求登录或者提供一个激活码,这样一来,MDM可以比较用户或组、所有权和设备详细信息,从而确定配置。如果个人设备被接受,系统会发出一个设备证书,并给设备配置很多设置和应用,包括企业WLAN凭证和连接、企业VPN通道和企业邮件设置。
很多MDM产品支持完整的设备注册,并可以用来自动化WLAN联网,其中一些还专门与WLAN基础设施集成。例如,Meraki为其企业云控制器客户提供免费的基本款MDM。Aerohive与JAMF Software LLC合作提供苹果设备的自动化MDM注册。Aruba Networks公司提供ClearPass接入管理系统设备,该设备可通过已发布的API与第三方MDM整合。
这些只是WLAN基础设施与MDM及其他自动化BYOD接入配置工具整合的几个例子。还有很多其他更多策略将会出现。如果你正在寻找一种方法来管理BYOD和WLAN接入,从询问WLAN和MDM供应商的WLAN联网办法开始,确保他们考虑了自动化、灵活性和设备的多样性。