Artigo original publicado terça-feira, 13 de outubro de 2011.

Bem-vindo à parte dois da série sobre o gerenciamento dos ativos do seu Office em um mundo de computação de tablet. Na parte um eu apresentei principalmente as maneiras básicas para consumir o Office com clientes avançados, clientes avançados remotos, Office para Mac, Web Apps e Office no telefone. Agora, eu quero usar o tempo para falar sobre as tecnologias para garantir que emails, calendários e outros conteúdos do Office possam ser consumidos em vários tipos de dispositivos. Eu penso no “Office” como o cargas de trabalho de comunicação, email e colaboração, além dos próprios aplicativos, pois essas cargas de trabalho são partes importantes dessa história. Antes de entrar nos tópicos como personalização do Office UI para dispositivos por toque ou acessar remotamente áreas de trabalho, vamos começar com a criação do ambiente que estou usando e entrar nas noções básicas da conectividade de dispositivos móveis com as cargas de trabalho do Office.

Meu ambiente de compilação

Sou sempre um defensor de que devemos nos certificar de que tudo esteja realmente executando e funcionando antes de tentar descrever algo, desse jeito sei como é a construção e a conexão de tudo. Enquanto eu não tiver algo parecido com todo o ambiente Windows Server System Reference Architecture (WSSRA) – que carinhosamente nos referimos internamente como “Minicore” – em execução para testá-lo, eu preciso de um ambiente relativamente robusto (e portátil). O minicore no WSSRA executava em 32 máquinas virtuais, mas estou executando em seis VMs e usando o host, iPad e Samsung Galaxy Tab como clientes.

  • Laptop HP8540W com Quad Core i7, 16GB RAM e armazenamento de 1 TB RAID 0 SSD. NIC e PCIE NIC integrados.
  • Windows Server 2008 R2 Enterprise com função Hyper-V instalada
  • Seis máquinas virtuais, todas executando o Windows Server 2008 R2 padrão
    • Controlador de domínio
    • SharePoint 2010
    • Exchange Server 2010
    • RDS RemoteApp
    • Citrix XenApp
    • Forefront Unified Access Gateway 2010 (UAG)
  • iPad 2 (com iOS 4)
  • Samsung Galaxy Tab (com Android 2.2)
  • MacBook Air com Office para Mac 2011
  • Roteador sem fio da Cisco conectado ao PCIE NIC

Isso foi o que eu carreguei comigo para a TechEd e para a Conferência do SharePoint este ano, assim você não fica preso atrás de mim na fila da TSA no aeroporto. Este é o ambiente que eu também estarei apresentando nas capturas de tela para o resto da série. Agora, começaremos com as noções básicas.

Exchange ActiveSync

Em 2002, criamos algo chamado AirSync como parte do Microsoft Information Server (MIS) 2002 e, cerca de um ano depois, o recurso foi expandido e transferido para o Exchange Server 2003 e renomeado como Exchange ActiveSync. Eu ainda lembro do recurso inicial para obter email e o calendário no meu telefone nos meus primeiros dias na Microsoft, e ele foi meu salva-vidas. Durante anos o Exchange ActiveSync (EAS) evoluiu, e com sua disponibilidade para plataformas não Windows, ele torna-se um valor principal e a base de segurança em muitos tipos de dispositivos, incluindo o Windows Mobile e o Windows Phone, iPad e iPhone da Apple, bem como dispositivos baseados no Android. Para mim, em relação a essa série de blogs, ele também é o menor denominador comum para acessar o Office em uma variedade de dispositivos.

Exchange ActiveSync fornece uma variedade de recursos administrativos de TI importantes, tais como a capacidade para solicitar e impor um PIN para desbloquear um dispositivo. Isso força um fator adicional de autenticação de forma que, se o dispositivo for perdido, alguém precisaria saber o PIN para acessar o dispositivo inteiro – em casos de dispositivos com suporte Exchange ActiveSync nativo – ou para conexão do ambiente de software para EAS, como TouchDown do NitroDesk ou RoadSync da DataViz.


Acima estão as propriedades do Exchange Server 2010, e além das diretivas de senha, podemos definir diretivas para sincronizar configurações e outros atributos do dispositivo, como a capacidade para desativar câmeras e navegadores do dispositivo. Em ambientes de alta segurança, esses controles fornecem proteção adicional contra vazamento de dados e proteção contra códigos maliciosos entrando via navegadores da web. A Apple também fornece o utilitário de configuração de iPhone para ser usado com infraestrutura de gerenciamento de dispositivo móvel (MDM) de terceiros para eliminar diretivas para dispositivos de iPhone e iPad.

Uma parte substancial da história da segurança empresarial desses dispositivos vem dos recursos do Exchange ActiveSync e do trabalho necessário para esses dispositivos suportá-los. Isso também é verdade para o Android 2.0 e os dispositivos mais recentes com suporte EAS nativo.

A capacidade de configuração de dispositivos usando os controles no Exchange ActiveSync é um passo na direção certa para a maioria dos dispositivos e limitando o número de dias do email armazenado em um dispositivo ajuda a reduzir os riscos associados com a segurança de dados, mas a implementação de EAS em dispositivos, incluindo iOS, Android, Symbian e Windows Phone varia muito de plataforma para plataforma. Esse é especialmente o caso com Gerenciamento de Direitos de Informação (IRM) usando o Exchange ActiveSync, e no momento em que eu estou escrevendo isso, o IRM usando o EAS é limitado às plataformas do Windows Phone e Windows Mobile. Para organizações que exigem o aumento da segurança para tráfego de email específico, o IRM proporciona proteção persistente para o conteúdo de mensagens. Como os clientes EAS estão sendo usados amplamente para acessar email, é importante que seus usuários de dispositivos móveis consigam criar e consumir o conteúdo protegido pelo IRM de uma maneira segura. Quando eu digo que o suporte EAS nesses dispositivos é um passo na direção certa, realmente quero dizer que ele não pode e não se compara aos controles de diretivas de grupo do Active Directory que a maioria dos departamentos de IT costuma usar. Isso é algo para se pensar ao se divertir com a ideia de deslocar usuários para plataformas menos desenvolvidas.

Gerenciamento da configuração da diretiva de grupos com o Office

O Office tem uma história rica de gerenciamento granular de configuração na plataforma do Windows. Começando com os recursos de gerenciamento de diretivas na versão do Office 97, recursos que cresceram muito nos últimos 15 anos ou mais. Naquele tempo, havia apenas um pouco mais que 50 configurações aplicáveis, e com o Office 2010, existem mais de 2.000 configurações aplicáveis. Eu sei que alguns de vocês estão se perguntando, então mencionarei que o Office para Mac 2011 (assim como acontece com as versões anteriores do Mac) não contém nenhuma configuração aplicável e utiliza apenas preferências opcionais de tempo de instalação, que conforme em mencionei na parte 1, podem ser alteradas a critérios dos usuários. Falando em preferências de tempo de instalação… isso me leva às maneiras como o Office pode ser configurado no tempo de instalação do Windows. Elas são extremamente importantes para a história de segurança e capacidade de gerenciamento do Office, porque você pode determinar não apenas como o Office é configurado, mas também configurar coisas como as configurações de confidencialidade (criptografia e regras IRM), configurações de integridade (editor e local confiáveis + regras de assinatura digital) e configurações de disponibilidade (VBA Macro, complemento, ActiveX, Internet Explorer e regras de bloqueio de arquivo). Esses controles são exclusivos para o Office em execução em um ambiente Windows.

Existem três mecanismos de controle primário para estabelecer o Office de uma maneira personalizada em uma máquina Windows:

  1. Configurações predefinidas da diretiva de grupos
  2. Config.xml
  3. Personalizar arquivo MSP gerado usando a Ferramenta de Personalização do Office (OCT)

Estes também são listados na ordem de quem vence, se houver conflitos. Como você poderia esperar, as configurações da Diretiva de Grupos tem maior controle e substitui o que você definir no config.xml, que substitui o que estiver em um arquivo MSP personalizado gerado pela OCT. Há milhares de configurações possíveis da Diretiva de Grupos disponíveis para você ao configurar o Office 2010. O problema efetivamente é “Por onde eu começo?” e temos o Gerenciador de Conformidade de Segurança para ajudá-lo a estabelecer linhas de base, porque é mais fácil iniciar com uma configuração e um ajuste utilizável e conhecido do que iniciando com uma tela em branco.

Em seguida, na linha da prioridade está o arquivo config.xml usado em tandem com o Office. Como ele é XML e não há muitas coisas predefinidas, você provavelmente não quer usá-lo para uma longa lista de configurações, mas para configurar coisas como chamadas simples para um serviço de ativação ou personalização das ferramentas de revisão de idioma, o arquivo config.xml é a sua melhor, e às vezes, a única opção. Veja como um arquivo config.xml relativamente padrão se parece:

A última opção é para usar a Ferramenta de Personalização do Office. Essa ferramenta basicamente orienta como o Office é instalado e configurado. Essas configurações – assim como com o config.xml – são definidas somente no momento da instalação e não são aplicadas. Se as suas não foram, use a aplicação da Diretiva de Grupos, a capacidade de gerenciamento e a segurança de que você precisa da diretiva aplicada no ambiente é muito comprometida, similar ao Office para Mac. A OCT expõe as mesmas configurações como Diretiva de Grupos e permite executar gravações de registro e executar comandos personalizados durante o processo de instalação do Office. O controle mais comum usado em uma implementação gerenciada do Office 2010 pode ser a configuração para suprimir a caixa de diálogo das configurações recomendadas – isso exibe uma mensagem para os usuários, basicamente solicitando que eles aceitem o Windows Update, que é algo que a maioria dos administradores de TI de ambientes gerenciados faria em nome dos usuários com ferramentas como Windows Server Update Services (WSUS) ou System Center Configuration Manager.

Essas são maneiras básicas para personalizar uma instalação do Office no Windows, e eu queria ter certeza de ter tratado desse conteúdo, porque mesmo se você estiver lendo esse para saber dicas sobre como instalar o Office em um iPad, elas entram em jogo quando começarmos a discutir maneiras para hospedar o Office em uma área de trabalho remota ou servidor e acessá-lo através de dispositivos iPad, Android ou Windows. Seja provisionando para uma caixa do Windows Server 2008 R2 com a função de Serviços da Área de Trabalho Remota instalados ou uma máquina virtual remota do Windows 7, eu ainda quero a capacidade para personalizar essa instalação dinamicamente – especialmente se estiver fornecendo esse serviço para milhares de usuários.

E com essa sensação, concluirei a parte 2 da série. Leia a parte um se você ainda não leu e eu espero publicar a parte três nos próximos dois dias.

Obrigado pela leitura.

Jeremy Chapman

Gerente sênior de produtos

Office IT Pro Team

Essa é uma postagem localizada do blog. Encontre o artigo original em Windows, iPad and Android - Managing and Using Your Office Assets in a Tablet World (Part 2)