iMC EMO移动办公管理方案介绍

1、H3C iMC EMO移动办公管理方案介绍技术创新 变革未来引入随着移动互联网的不断发展，BYOD移动办公已成趋势，H3CBYOD移动办公解决方案提供了包括vAPP、MAM 和MDM在 内的多种功能，保证了员工anytime、anywhere、anydevice 都可以高效的进行办公；EMO属于BYOD解决方案的一部分，提供了MDM 、MAM和 vAPP等多种功能。课程目标学习完本课程，您应该能够掌握：什么是EMOEMO组件有哪些功能如何利用EMO移动办公目录EMO组件概述EMO功能EMO环境搭建EMO配置FAQEMO组件概述EMO： Endpoint Mobile Office（移动办公管理

2、）iMC的一个功能组件；属于BYOD的功能范畴，为用户提供vAPP、MDM、MAM功能4目录EMO组件概述EMO功能EMO环境搭建EMO配置FAQ5EMO功能6vAPPMDMMAM远程桌面安全邮箱EMO功能vAPP：移动客户端通过RDP协议打开vAPP server中的软件，使在移动终端中 具有展示PC应用的能力，比如在iPad中打开IE、notes客户端；7EMO功能MDM（mobile device management）：移动设备管理，主要是管理、控 制移动终端的功能、行为，比如禁用相机、禁止程序安装、禁用浏览器、 禁止截屏、必须设置锁屏等；8EMO功能MAM（mobile applic

3、ationmanagement）移动应用管理：主 要是指iNode通过应用商店的形式 向移动终端推送本地APP、文档、 邮件等；9EMO功能远程桌面：移动终端通过iNode远程登录到个人电脑进行操作，摆脱了个人电脑必须接入互联网的束缚10EMO功能安全邮箱：H3C基于SDK开发的、在智能终端运行的邮箱客户端优势：1：SSL VPN接入；2：数据沙箱；提供了安全的文件读写和存取方法，自动将应用数据加密，隐藏实际存放路径，并可 根据策略实现定点清除3：权限可控。11EMO应用场景及版本要求12EMO应用场景使用区域：公司外(SSL VPN)或者公司内(Portal)，都可安全接入，远程 办公与EI

4、A联动：接入认证后可直接获取办公资源，实现单点登录客户端版本、操作系统版本客户端版本：iNode PC 7.1 E0303及以上版本iNode MC 7.1.35及以上版本iMC服务器：Windows Server 2008及以上版本（PowerShell2.0及以上 版本）远程应用/远程桌面服务器：Windows Server 2008及以上版本EMO License策略按照注册终端数进行控制13目录EMO组件概述EMO功能EMO环境搭建EMO配置FAQ14EMO组网企业内iMC EMO服务器AD域服务器远程应用服务器 (vAPP服务器）桌面服务器存储服务器企业外SSL VPN网关Porta

5、l/Wlan/emoApp server15EMO接入流程EMO:7VPN网关（1）客户端SSL VPN拨入（3）认证通过后VPN网关下发emo server信息给客户端（2）vpn网关向EIA 发起Radius认证配置emo serverEIA:5（4）客户端进行EMO认证获取可访问资源（5）客户端从emo server下载授权的APP（6）客户端使用下载的APP访问对应的服务器161、终端设备进行注册，iNode先发送0 x3001号（ 用户登录请求）报文，报文中携带接入用户名 称和密码、域名、接入认证类型、设备ID、客 户端信息、设备类型、设备信息(厂商、型号等 基

6、本信息)等上报给EMO服务器2、EMO服务器回应0 x3002号登录回应报文3、 iNode发送0 x3003号报文，报文里携带接入用户、域名、接入认证类型、设备ID、设备操作 系统、设备信息、设备可变信息、位置信息等 上报给EMO服务器4、 EMO服务器回应0 x3004号注册回应报文5、iNode发送0 x3005号报文，请求终端策略6、 EMO服务器回应0 x3006号设备策略回应报文，下发锁屏密码策略备注：0 x3002号报文中有设备注册状态字段，如果 设备已经注册，则没有步骤3、4日志：imc/emo/log/emomsgdetail.logEMO注册17Android注册iOS设备

7、注册1：iNode发送0X2001号（用户登录请求）报文，携带账号密码、域名、接入 认证类型、设备ID，注册ID、操作系 统类型、客户端信息、设备信息、设 备可变信息、位置信息等上报给EMO 服务器2：EMO server根据设备ID判断是否注册过如果未注册则启动设备注册流程3：设备根据0X2002用户登录回应报文里 的enrollUrl+设备注册ID进行注册， 到MDMAGENT上进注册/enroll?regid=XXXX，通过MDM Agent安 装MDM PROFILE(根证书和证书服务 器地址)4、iNode到CA上申请并安装客户端证书5、在注册的过程中客户端会每隔60秒向EMO服务器

8、发送一次设备注册状态查 询报文（0X2003），EMO服务器会 通过0X2004号报文把注册状态回应给 客户端18EMO-iOS控制流程iMC服务器发送一个MDM推送信息告诉APNs，服务器需要让终端执行某一命令；APNs通知设备；当设备空闲和在网时去连接MDM Server并告诉服务器状态；MDM Server根据设备状态返回给设备需要执行命令；设备执行命令，并将执行情况返回给MDM Server。APNs:苹果推送消息服务19EMO环境准备20硬件AD、CA、iMC、vAPP、VPN网关、移动终端、Mail server、个人桌面、APP serveriMC需要部署plat、eia、 em

9、oVPN网关支持移动接入功能软件Win server 2008 r2/win server 2012Sql server 2008 r2/sql server 2012exchange 2010/exchange 2013 iMC 7.1及以上版本Android最低2.3iOS 7或者8EMO最低E0304p02VPN网关版本咨询设备侧端口Permit iMC 8443 8080 8088 8444 9058 9018Permit iMC udp 9059 CA 80Permit VPN网关 443没有外网管理需求，无需放 通8080 8443映射iMC 8088 8444 9059 9058

10、 9018公网映射CA 80公网映射外网可以访问的端口iMC/8G 2195 2196 G 2195 2196 2195 2196F 2195 2196iMC需要访问APNs serverEMO基础环境配置部署AD2012系统下的AD、应用服务器搭建部署CABYOD配置自动下发典型配置部署vAPP 2012系统下的AD、应用服务器搭建部署网络环境使相关组件路由、端口可达；部署iMC相关组件H3C iMC server必须以./administrator启动 vAPP server 桌面服务器必须运行emoTool.bat 必须部署ISP21目录EMO组件概述EMO功能EMO环境搭建EMO配置F

11、AQ22组网举例23.1.11/24392IMC3AD CA6vAPP server出口IP：39iMC：2 ；CA：3；vAPP ：6VPN网关：EMO配置24V7 VPN网关配置（与v3网关选其一）V3 VPN网关配置IMC配置出口NAT设备配置V7VPN网关配置25设备证书配置：1：配置PKI域sslvpn system-viewVPN pki domain sslvpnVPN-pki-domain-sslvpn public-key rsa general name sslvpn VPN-pki-domain-sslvpn undo crl checkenable:2：导入CA证书ca

12、.cer和服务器证书server.pfxVPN pki import domain sslvpn der ca filename ca.cerVPN pki import domain sslvpn p12 local filename server.pfx3：配置SSL服务器端策略sslVPN ssl server-policy sslVPN-ssl-server-policy-ssl pki-domain sslvpn4：配置SSL VPN网关gw并引用SSL服务器端策略sslVPN sslvpn gateway gwVPN-sslvpn-gateway-gw ip address por

13、t 2000 VPN-sslvpn-gateway-gw ssl server-policy sslV7网关配置265：配置SSL VPN访问实例imc引用SSL VPN网关及EMO server VPN sslvpn context imcVPN-sslvpn-context-imc gateway gwVPN-sslvpn-context-imc emo-server ip 2 port 90586：创建端口转发列表plistVPN-sslvpn-context-imc port-forward plistVPN-sslvpn-context-imc-port-forward-plist

14、local-port 9059 local-name remote-server 2 remote-port 9059 description emo7：创建SSL VPN策略组pgroup，并引用端口转发列表plistVPN-sslvpn-context-imc policy-group pgroupVPN-sslvpn-context-imc-policy-group-pgroup resources port-forward plist8： 开启SSL VPN访问实例imc。VPN-sslvpn-context-imc aaa domain emo VPN-sslvpn-context-

15、imc service enableV7网关279：开启SSL VPN网关gwVPN-sslvpn-gateway-gw service enable配置验证：VPN display sslvpn gateway Gateway name: gwOperation status: UpIP: port: 2000SSL server-policy: sslVPN display sslvpn contextContext name: imcOperation status: UpV7网关配置28radius scheme emoprimary authentication 2primary a

16、ccounting 2 key authentication simple 123 key accounting simple 123user-name-format without-domaindomain emoauthorization-attribute user-group group1 authentication sslvpn radius-scheme emoauthorization sslvpn radius-scheme emoaccounting sslvpn radius-scheme emo配置用户组：user-group group1-和iMC侧下发的用户组保持一

17、致 authorization-attribute sslvpn-policy-group pgroupV3 VPN网关配置-建域29VPN网关配置登录https：/adminIP:或者映射后的公网IPAdministrator/xxxxx30VPN网关配置-认证配置认证服务器指向iMC（EIA）服务器；不带后缀，同时配置认证和计费密钥和iMC侧保持一致，点击应用生效31VPN网关配置个人桌面与vAPP server都要在VPN网关侧添加，格式固定为iES_IP:PORT,端口固 定为3389，与iMC侧必须保持一致Emoserver添加方式与个人桌面不同，emo server名称必须为EMO

18、server9058， 端口为905832VPN网关配置-IP分配PC认证通过后，会获得VPN网关分配的私网地址，截图为地址池配置手机走tcp接入，无需分配IP地址。33VPN网关配置-可访问目标网络可访问目标网络在主机配置里面配置，配置目的地址即可点击应用生效34VPN网关配置-资源组所有资源都要添加到资源组，资源组与用户组关联资源包括个人桌面、emoserver、Vapp server及目标网络 点击应用生效35VPN网关配置-用户组创建用户组，然后将用户组与资源组关联；用户组名称必须与iMC侧下发的用户组保持一致 点击应用生效36VPN网关配置所有配置完成后，点击保存；网络层配置见附件3

19、7出口路由器配置383020-GigabitEthernet0/1dis this interface GigabitEthernet0/1ip address 3020-GigabitEthernet0/0dis this interface GigabitEthernet0/0nat server protocol tcp global 39 8088 inside 2 8088nat server protocol tcp global 39 8444 inside 2 8444nat server protocol tcp global 39 9018 inside 2 9018nat

20、 server protocol tcp global 39 9058 inside 2 9058nat server protocol udp global 39 9059 inside 2 9059 nat server protocol tcp global 39 80 inside 3 www nat server protocol tcp global 39 443 inside 443ip address 39 iMC配置-EIA配置用户服务接入策略EMO资源1：接入账号必须存在一个服务才能接入认证；2：服务内容由接入策略指定；3：认证通过后，由服务决定用户EMO资源39iMC配置

21、-接入策略服务依赖于接入策略，需要先配置接入策略40iMC配置-接入服务服务与接入策略关联服务里面指定用户的EMO资源41iMC配置-AD用户同步42iMC配置-接入用户iMC分平台用户和接入用户，认证使用的是接入用户，可以理解为账号，平台用户理解为用户名称即可；接入用户一定要有一个平台用户； 对于AD同步：账号：sAMAccountName 姓名：cn43iMC配置-接入设备VPN网关和iMC之间交互radius报文，所以需要将vpn网关已radius客户端的身 份加入到iMC接入设备里面，添加内网IP即可。此处密钥配置和VPN网关保持一致44EMO配置系统参数配置AD配置标签服务器配置图标配置资源分类桌面分类远程资源本地资源终端策略安全邮件办公策略终端信息用户授权45iMC配置-添加域控此处是EMO组件使用的域控； 前面是EIA使用的域控EIA用户与EMO用户是两个不同概念，需要分别同步46iMC配置-EMO用户47系统参数配置SCEP URL:39:80/certsrv/mscep/mscep.dll/pkiclient.exeiOS从这个地址申请客户端证书及校验HTTPs证书，HTTPs证书为iOS与iMC之间的通信提供加密隧道（iOS必须走https连接）；HTTPS证书申请参考HTTPS证书申请指导iMC映射情况需要选择NAT，并输入公网IP80