Уже не один десяток лет перед ИТ-подразделениями современных предприятий стоит задача предоставления удалённого доступа к внутрикорпоративным информационным системам. Для этих целей были разработаны решения, которые обеспечивают надёжное защищённое соединение рабочих мест пользователей при помощи различных средств связи. Таким образом, в организациях появились серверы удалённого доступа, использующие коммутируемые линии связи. С развитием интернета и беспроводных интерфейсов они уступили место виртуальным сетям VPN, а те, в свою очередь, эволюционно развиваются, обеспечивая «прозрачный» для пользователя доступ. В качестве примера можно привести широко распространённый протокол RPC over HTTPS. 
Собственно, к середине первого десятилетия 21 века сложилась ситуация, которую, перефразируя Брэдбери, можно описать, как «имею ноутбук — готов работать». И действительно, наличие ноутбука с беспроводными интерфейсами и модемом в связке с мобильным телефоном, поддерживающим GPRS, EDGE или 3G, даёт его владельцу практически стопроцентную гарантию того, что он сможет выйти на связь в любом месте в любое время. 

Если только не… Если не разрядится батарея, если размеры и вес ноутбука не помешают взять его с собой и если будет возможность остановиться и спокойно, «на коленках», поработать и т.д., и т.п. Именно эти «не» стали препятствием на пути дальнейшего развития подобного сценария. Именно эти «не» вывели на сцену новый вид устройств, породили новый подход к удалённой работе — посредством смартфонов и коммуникаторов. Теперь удалённые пользователи могут получить полную свободу действий и доступа, независимо от того, где они находятся и чем заняты: «есть мобильный — готов работать».

Осталось маленькое «но» — обес-печить организацию такими же простыми и надёжными средствами подключения мобильных устройств, какими являются, например, VPN и их производные. 
Естественно, форм‑фактор, требования к эргономике, размерам и энергопотреблению сотовых терминалов накладывают ограничения, поэтому их возможности отстают от «штатных» ПК по всем показателям — производительности процессора, объёмам доступной оперативной памяти и хранилищ, размерам дисплеев. 
Таким образом, чтобы обеспечить привычную и удобную работу с данными на коммуникаторе, новые средства должны учитывать все нюансы информационных систем и предпочтения пользователя, уметь преобразовать и доставить данные на коммуникатор в распознанном формате. 

Организовать удалённую работу с ПК или ноутбука посредством «пробивания» туннеля VPN не сложно: мы просто «забираем» данные, а обрабатываются они штатным способом на обычном ПК. Иначе обстоит дело с коммуникаторами. В этом случае требуется, чтобы удалённый доступ поддерживался с обеих сторон: инфраструктура ИС должна учитывать наличие пользователей с мобильными терминалами, а сами терминалы — «знать» о возможностях инфраструктуры и управляться ею. 

Microsoft предлагает новый подход к оптимизации ИТ‑инфраструктуры — Infrastructure Optimization Model. Конфигурация решения от Microsoft — штатные серверные продукты, выполняющие свои повседневные задачи в «немобильной» инфраструктуре, и привычная для пользователя программная среда со знакомыми приложениями — позволяет организациям с минимальными начальными вложениями и без существенного повышения ТСО обеспечить своих сотрудников возможностями мобильной работы всегда и везде. 

Что это даёт

Наиболее востребованным в организации, которую необходимо «мобилизовать», является сервис «электронной почты». Этот термин взят в кавычки неспроста, поскольку в настоящий момент он имеет широкое трактование: это и непосредственно приём и отправка электронных сообщений, и централизация хранения и управления контактами пользователя, единая глобальная адресная книга организации для быстрого поиска электронных адресов и телефонов, управление временем посредством календарей и заданий и, наконец, хранение заметок и комментариев. 

Все эти, да и многие другие возможности для «мобильных» и «немобильных» пользователей, работающих в корпоративной сети или удалённо со своих ПК, предоставляет Microsoft Exchange Server 2007. Для обеспечения мобильности не требуется установки дополнительного ПО, серверов, лицензий и пр. Если в компании развёрнут Exchange Server 2003 SP2 или 2007, её инфраструктура полностью готова к поддержке удалённых пользователей. Осталось только сконфигурировать работу необходимых служб, в самом простом случае — разрешить работу с мобильными устройствами посредством протокола Exchange ActiveSync и описать его маршрутизацию на серверах защиты периметра. 

Exchange ActiveSync — это работающий поверх HTTPS (SSL с поддержкой различных режимов шифрования: TripleDES, AES) протокол вызова клиентом функций Exchange Server для доступа к почтовому ящику, адресным книгам и прочим службам. 

Таким образом, службы Exchange авторизуют поддерживающий Exchange ActiveSync коммуникатор, после чего пользователь получает доступ к своему почтовому ящику, где бы он ни находился. Следует отметить, что с протоколом совместимы не только Windows‑коммуникаторы, но и аппараты на других платформах. Nokia, например, лицензировала протокол для использования на своих устройствах под управлением Symbian. 

Протокол не имеет привязки к определённому мобильному оператору или провайдеру услуг, для синхронизации со своим сервером Exchange пользователю достаточно, чтобы его коммуникатор был подключён к интернету посредством любой возможной сети — сотовых GPRS, EDGE или 3G, беспроводных Wi‑Fi или же через ПК, используемый в качестве шлюза. Такое решение существенно отличается от других решений на рынке, поскольку не привязывает организацию к определённому поставщику услуг доставки мобильной почты и оставляет за организацией полный контроль над доступом к службам, шифрованием, выбором мобильных терминалов. 

Функциональность 
Итак, при начальной синхронизации посредством Exchange ActiveSync установлено защищённое соединение с сервером Exchange, первый набор данных отправлен на коммуникатор и сохранён в локальной почтовой базе. После этого коммуникатор переходит в специальный режим работы с сервером — Direct Push. Этот режим позволяет серверу удерживать постоянное соединение с клиентом с целью мгновенной доставки новых сообщений, поступающих в его почтовый ящик. В режиме Direct Push клиент и сервер один раз в несколько минут производят обмен специальными небольшими пакетами keep‑a‑live, и в случае разрыва соединения осуществляется полный цикл согласования протокола связи, шифрования, аутентификации пользователя. Благодаря этому, по сравнению с режимом частой синхронизации, достигается значительная экономия трафика. 

На стороне Windows‑ коммуникатора пользователь работает с упрощённой версией настольного почтового клиента — Outlook Mobile. Как и его старший «собрат», программа позволяет управлять маркировкой писем, принимать/отклонять приглашения на встречи, создавать и отправлять собственные приглашения, работать с контактами, выполнять поиск и многое другое. Outlook Mobile поддерживает формат Rich HTML, что позволяет пользователям коммуникаторов просматривать и создавать сообщения электронной почты в стандартном для Outlook представлении — с отображением разметки страницы, форматирования текста, таблицами, изображениями, ссылками и т.п.

Таким образом, пользователь имеет дело с одинаковым представлением информации независимо от того, какое устройство он использует. Пользователь может самостоятельно определять размеры загружаемых писем и их вложений, перечень синхронизируемых папок, а также срок хранения писем на мобильном устройстве. Это связано с ограниченностью ресурсов памяти коммуникаторов. Кроме того, для работы с сообщениями, чей объём превышает максимально заданный, предусмотрен режим Fetch E‑Mail, когда данные такого письма или вложения подгружаются в реальном режиме времени по мере его прочтения. 

Если срок локального хранения сообщения истёк и оно было удалено из памяти коммуникатора, но пользователю все‑таки необходимо его прочитать, он может применить функцию Over‑the‑Air Search. Она загружает письмо из почтового ящика пользователя на сервере Exchange на мобильный терминал. 

Кроме работы с почтовыми сообщениями, взаимодействие Exchange и коммуникатора на Windows Mobile (WM) обеспечивает эффективную работу с адресной информацией. Помимо собственной базы контактов, пользователь имеет доступ к уникальной функции Exchange — глобальной адресной книге (Global Address List — GAL). В ней представлена контактная информация всех сотрудников компании, взятая из учётных записей пользователей в Active Directory, могут храниться общие контакты внешних объектов. Благодаря использованию встроенной в коммуникатор возможности поиска в глобальной адресной книге, пользователь может быстро находить в ней коллег и клиентов, отправлять им сообщения, приглашения, задачи или выполнять звонки. 

Управление временем и работа с календарями — ещё одна отличительная черта связки Exchange Server + Windows Mobile. Мобильный пользователь получает доступ и может синхронизировать свой календарь в коммуникаторе, планировать встречи, в том числе и с участием других сотрудников, путём отправки приглашений. Календарь Windows Mobile отличается хорошо проработанным интерфейсом, который предоставляет пользователю не только список встреч, но и строку в верхней части экрана, где можно просматривать информацию о встречах на текущий день, разбитую по часам, а также пометки о свободном/занятом времени. Это помогает быстро разбираться в расписании, находить свободные слоты, особенно если встреч запланировано много. Ощутимым удобством является автоматическое уведомление о конфликтах по времени между уже внесёнными в календарь и поступившими на подтверждение встречами. Пользователь может видеть список приглашенных участников и перенаправить кому‑то из коллег данные о встрече, в которой он лично не сможет принять участие. Все изменения автоматически синхронизируются с календарём пользователя в почтовом ящике Exchange.

Но мобильная работа с почтовыми сообщениями не ограничивается только их чтением и отправкой. Очень часто электронные письма содержат файлы вложений, зачастую — формата Microsoft Office: документы, электронные таблицы, презентации. Благодаря единой базовой платформе — Microsoft Windows — устройства под управлением Windows Mobile обладают тем же набором офисных приложений, что и настольные ПК/ноутбуки. Речь идёт об адаптированной под коммуникаторы мобильной версии Microsoft Office — Microsoft Office Mobile, в которую входят Word Mobile, Excel Mobile, PowerPoint Mobile и OneNote Mobile. 

Word Mobile, помимо базовых возможностей редактирования текста, таблиц, имеет функции проверки орфографии, полноценный поиск и замену, отмену ожидания загрузки больших документов и поддержку подгрузки частей документов при работе с вложениями электронной почты и т.п. 

Совместное использование Microsoft Exchange Server 2007 и Windows Mobile обеспечивает поддержку доступа к ссылкам на ресурсы интранет‑сети, помещённым в электронные письма. Например, пользователь получает на коммуникатор электронное письмо, в котором есть ссылка на документ, размещённый на корпоративном портале по адресу http://company‑intranet/sites/department/newproject.doc. Поскольку терминал подключен к сети мобильного оператора и получает электронные сообщения через шлюз, то прямой доступ к таким документам невозможен. Чтобы работать с подобным внутренним документом, пользователю необходимо подключиться по VPN к корпоративной сети, после чего он откроет этот документ, что не всегда возможно «в полях». Для пользователей WM, подключённых к Microsoft Exchange Server 2007, такой проблемы не существует. Новые функции Windows Mobile позволяют использовать Exchange не только как шлюз электронной почты и корпоративной адресной книги, но и как шлюз запросов к внутренним ресурсам. Если пользователь щёлкает мышью на подобной внутренней ссылке на своём коммуникаторе, то запрос от мобильного устройства транслируется сервером Exchange во внутренние адреса сети и с правами пользователя отправляется на соответствующие ресурсы. Если конечным ресурсом будет документ, то на коммуникатор пользователя будет загружена его копия, если веб‑страница — она будет отображена в Internet Explorer Mobile. Если же это будет имя общей сетевой папки — пользователь получит список файлов, которые он сможет открыть аналогичным путём. Такой подход даёт мобильным пользователям возможность без каких‑либо затруднений получать доступ к корпоративным данным посредством самых простых операций.

Безопасность 
Особо следует остановиться на вопросах безопасности данных при их передаче и хранении на мобильных устройствах. Здесь Exchange, сыграв и без того значительную роль, уступает место другим инфраструктурным технологиям Microsoft, которые, выполняя свои задачи в корпоративной сети для настольных ПК и ноутбуков, «прозрачно» поддерживают работу с мобильными устройствами. Речь идёт о средствах шифрования и цифровой подписи электронной переписки и прочих документов на коммуникаторах. Эти возможности предоставляют интегрированные в платформу Microsoft Windows Server сервис инфраструктуры открытых ключей (Public Key Infrastructure, PKI) и сервис защиты и управления информационными правами (Information Right Management, IRM). 

PKI устанавливается как одна из ролей Windows Server и, благодаря тесной интеграции со службами Microsoft Active Directory, различными серверами приложений Microsoft, клиентскими ОС и офисными продуктами Microsoft, позволяет использовать на коммуникаторах Windows Mobile функции S/MIME для работы с электронной почтой Exchange. Windows Mobile, благодаря глубокой интеграции с инфраструктурой, позволяет получить необходимые сертификаты для работы с защищённой электронной почтой, а также — поскольку PKI‑инфраструктура тесно интегрирована с AD и Exchange — получать сертификаты и прочую информацию о получателях для отправки им защищённых сообщений. Использование данной функции не требует от пользователя специальных навыков и знаний — после того как коммуникатор при первом подключении получил выписанный сервисом PKI сертификат, работающему с Outlook Mobile пользователю достаточно установить в свойствах электронного сообщения опции «шифровать» или «подписывать» письмо. Пришедшие пользователю зашифрованные или подписанные сообщения автоматически расшифровываются. Следует заметить, что службы PKI не требуют приобретения дополнительного программного обеспечения или лицензий — их функционирование полностью обеспечивается самим сервером Windows Server на техническом уровне и стандартными клиентскими лицензиями Windows, которые организация получает при начальном лицензировании. 

Кроме того, в мобильные офисные приложения добавлена поддержка корпоративных функций Information Right Management (IRM) для работы с защищёнными документами. Технология IRM стала существенным развитием PKI и позволяет пользователям шифровать сообщения и документы, а также определять разрешённые процедуры для работы с ними (например: «только читать», «не пересылать вне компании» и т.п.). При этом документы сохраняются локально на ПК, ноутбуке или коммуникаторе в зашифрованном виде и, без получения от корпоративного сервера соответствующих политике работы инструкций, программа, предназначенная для работы с этими данными, открыть или выполнять какие‑то другие операции с таким документом не сможет. Здесь, как и в случае с PKI, мы имеем дело с обычным сервисом инфраструктуры, одинаково доступным как корпоративным пользователям, так и пользователям мобильных устройств. 
Наличие IRM в инфраструктуре организации обеспечивает новую степень защиты информации — на уровне данных. Ведь, независимо от того, в каком виде они будут представлены пользователю — в виде файла, письма, записи в базе данных, — доступ будет определяться не на уровне физического представления (например, файла с его правами доступа на файловой системе), а именно на уровне данных в нём. И даже если разрешение доступа к такому файлу будет определено как «полный контроль», но на сами данные при помощи IRM будет наложено ограничение «только чтение» — пользователь не сможет распечатать, отправить по почте или, скопировав файл, прочитать его вне корпоративной сети или на незарегистрированном ПК. Наличие поддержки мобильных пользователей присутствует как на уровне самого сервиса IRM, так и в коммуникаторах на базе Windows Mobile. 

Кроме защиты передаваемых и обрабатываемых данных с применением служб Microsoft PKI и IRM, устройства Windows Mobile имеют развитые инструменты для обеспечения безопасности работы пользователя в целом и защиты от неавторизованного использования. 

Наиболее доступную и при этом эффективную защиту предоставляют встроенные возможности Microsoft Exchange Server по управлению блокировкой и паролями доступа к WM‑коммуникаторам. Благодаря этим возможностям, администратор Exchange Server может назначать различные параметры политики для всевозможных наборов почтовых ящиков, к которым разрешён удалённый доступ с мобильных устройств. Политика позволяет администратору описать сложность и длину пароля доступа к коммуникатору, число возможных попыток неверного ввода пароля, после которых на коммуникаторе будет удалённо выполнена команда полного стирания данных и возврата к фабричному состоянию. Также поддаётся регулировке время максимальной продолжительности простоя коммуникатора, по истечении которого устройство блокируется и для продолжения работы нужно будет ввести пароль. Применение таких политик происходит при первом подключении коммуникатора к серверу Exchange для синхронизации с почтовым ящиком или при первой синхронизации после изменения самой политики. Во втором случае пользователю предлагается ввести новый пароль для защиты коммуникатора от неавторизованного доступа и выбрать (если это разрешено) другие опции. Самостоятельно отказаться от применения политик или изменить настройки пользователь не может, если это не разрешено администратором. При этом применяться политики будут автоматически к любому коммуникатору, который пользователь будет подключать к своему почтовому ящику. Если же терминал не поддерживает политики, работа с сервером будет прекращена. Но пользователь всё же имеет некоторый инструментарий для управления политиками своих мобильных устройств. Он заключается в наличии на сайте веб‑доступа к почтовому ящику Outlook Web Access страницы настроек, которая позволяет восстановить забытый пароль на коммуникаторе, отключить терминал от действия политик и, соответственно, синхронизации с сервером Exchange, удалённо выполнить команду очистки данных коммуникатора и возврат к фабричным установкам. Последняя функция предназначена для проактивной реакции на потерю или кражу коммуникатора: пользователь сможет убедиться, что данные на потерянном устройстве уже не доступны. Если таких политик для организации недостаточно (хотя, как показывает опыт, они вполне отвечают требованиям по безопасности 95% организаций), то дополнительные функции управления безопасностью коммуникаторов предоставляют продукты семейства System Center.

Таким образом, использование в корпоративной сети стандартной безопасной инфраструктуры обмена сообщениями и управления временем на базе Microsoft Exchange Server 2007 (совместно с Microsoft Active Directory, PKI, IRM) позволяет компаниям организовать быстрое предоставление основных возможностей для удалённой работы пользователей с применением коммуникаторов и смартфонов. Такой сценарий не требует развёртывания дополнительного ПО, приобретения лицензий и даёт пользователям возможность получать доступ к основным информационным службам сразу, без заключения договоров с поставщиками сервисов и услуг. Достаточно настроить соответствующие службы Exchange Server и организовать тренинг сотрудников по первичной конфигурации и использованию ПО на мобильных устройствах Windows Mobile. Эти тренинги не занимают много времени, поскольку пользователи работают в привычной среде Windows и Office. Кроме прямого эффекта «быстрого и бесплатного включения», использование встроенных функций Exchange не приводит, как в случае с конкурентными решениями, к фрагментации самой инфраструктуры сервисов и их обслуживания, повышению ТСО.

Использование решений сторонних производителей в инфраструктуре Exchange требует приобретения новых аппаратных устройств (один физический сервер Exchange позволяет поддерживать до 10000 одновременных подключений пользователей, тогда как сторонние решения — не более 2000). Кроме того, новые программные продукты требуют специально обученного ИТ-персонала для поддержки, необходима также специальная настройка других сервисов инфраструктуры. Нередко это приводит к падению производительности информационной системы в целом. Таким образом, параллельная поддержка нескольких инфраструктур — почтовой отдельно, а средств синхронизации с мобильными устройствами — отдельно, экономически и административно не выгодна. Исполь-зование для этих целей единой инфраструктуры — служб Microsoft Exchange Server — позволяет значительно снизить расходы и получить существенное повышение личной и групповой производительности работы мобильных сотрудников организации.