很明顯,我們只會(huì)在一類發(fā)展趨勢接近或者達(dá)到巔峰狀態(tài)時(shí)才毅然投身于其中,同樣的道理在移動(dòng)管理領(lǐng)域自然也遵循這一規(guī)律。多年前以Good Technology與Zenprise為代表的利基廠商外加MobileIron以及AirWatch等初創(chuàng)企業(yè)擔(dān)當(dāng)著這片市場中的先行者。時(shí)至今日,眾多主流廠商,包括CA Technologies、思杰系統(tǒng)(已收購Zenprise)、戴爾、EMC VMware(已收購AirWatch)、IBM以及微軟等等,都在積極推廣自己的移動(dòng)管理工具。
隨著各大主流廠商紛紛涌入移動(dòng)設(shè)備管理(簡稱MDM)業(yè)務(wù)市場,這一領(lǐng)域本身已經(jīng)被定性為如今我們所熟知的移動(dòng)范疇。平板設(shè)備,包括另辟新概念的iPad陣營與由微軟及其它Windows設(shè)備制造商大力推動(dòng)的“解構(gòu)式筆記本電腦”半智能手機(jī)、半筆記本產(chǎn)品。對(duì)于一部分用戶,平板設(shè)備已經(jīng)足以徹底替代筆記本電腦,而對(duì)于另一部分用戶,平板只是對(duì)現(xiàn)有計(jì)算設(shè)備的一種補(bǔ)充。無論如何,計(jì)算機(jī)與移動(dòng)設(shè)備之間的界線正變得愈發(fā)模糊。
即使是在不同設(shè)備擁有明確分工的領(lǐng)域,用戶仍然傾向于利用多種設(shè)備處理日常工作。仿佛在一夜之間,管理者已經(jīng)很難再以過去那種將不同硬件平臺(tái)加以確切劃分的方式完成管理工作——密碼、訪問以及其它管理政策開始出現(xiàn)巨大交集,無論相關(guān)工具是否已經(jīng)準(zhǔn)備就緒。
有鑒于此,MDM開始由純粹的移動(dòng)范疇轉(zhuǎn)向涵蓋用戶可能訪問的任何以及全部領(lǐng)域:智能手機(jī)、平板設(shè)備、計(jì)算機(jī)甚至是云桌面服務(wù)。其中一部分可以由使用者自行持有,也有一些歸企業(yè)方面持有,但大多數(shù)情況下表現(xiàn)出雙方混合持有。其中涉及的操作系統(tǒng)類型同樣多種多樣:不同版本的Windows、OS X、iOS以及Android是必不可少的,此外也許還摻雜著Linux、Windws Phone、Chrome OS以及Blackberry OS等等。
但是實(shí)現(xiàn)這種大一統(tǒng)式的客戶管理狀態(tài)絕非易事。不同客戶機(jī)上所使用的基本技術(shù)千差萬別,而這又直接影響到安全性、管理性以及這兩大前提性目標(biāo)的實(shí)現(xiàn)方式。除此之外,供應(yīng)商也會(huì)各自選擇符合實(shí)際需要的不同發(fā)展道路。舉例來說,大型企業(yè)已經(jīng)決定在不久的將來徹底終結(jié)PC與移動(dòng)設(shè)備各行其是的狀態(tài),以統(tǒng)一方式實(shí)現(xiàn)設(shè)備管理。
當(dāng)涉及管理工作時(shí),Windows與其它方案完全不同
一款工具要具備怎樣的能力才可以實(shí)現(xiàn)統(tǒng)一化管理?事實(shí)上,Windows陣營下的各類設(shè)備在管理方面需要使用與其它熱門操作系統(tǒng)完全不同的技術(shù)與投入。造成這個(gè)問題的原因由來已久且影響深遠(yuǎn):“在由運(yùn)營商支持的移動(dòng)設(shè)備領(lǐng)域,我們用不著對(duì)操作系統(tǒng)太過擔(dān)憂——運(yùn)營商會(huì)幫助用戶解決這類問題。但Windows則不同,我們總是需要對(duì)其進(jìn)行全面控制,”戴爾公司移動(dòng)管理部門產(chǎn)品推廣執(zhí)行主管Neal Foster回憶稱。
除了Windows與黑莓的傳統(tǒng)BES之外,其它典型解決方案是向設(shè)備當(dāng)中添加一套包含有管理政策的payload。通過這種方式,該設(shè)備將通過其標(biāo)準(zhǔn)API實(shí)現(xiàn)相關(guān)政策方針。CA公司的Varadarajan將此類方式稱為單形機(jī)制:我們推出政策包,而設(shè)備會(huì)在接收到的同時(shí)將其付諸執(zhí)行并“消化”相關(guān)payload。未來該設(shè)備嘗試訪問我們的服務(wù)器時(shí),將有對(duì)應(yīng)政策檢查其是否已經(jīng)切實(shí)采取了正確的管理政策,并在得到肯定結(jié)論后予以放行。
此類payload方案非常適合打理移動(dòng)設(shè)備,因?yàn)榇蠹铱梢栽诰邆浠蛘卟痪邆溥B接兩類情況下對(duì)其實(shí)現(xiàn)同等管理——沒錯(cuò),即使缺少聯(lián)網(wǎng)環(huán)境,移動(dòng)設(shè)備仍然處于管理之下,因此我們甚至用不著提前為政策交付提供一套安全空間。不過此類作法在監(jiān)管方面較為薄弱,我們無法實(shí)現(xiàn)合規(guī)性審計(jì)、而且只能在設(shè)備嘗試接入時(shí)通過報(bào)告意識(shí)到它的存在。蘋果及其它廠商已經(jīng)為payload方案聚焦起規(guī)模龐大的用戶群體,但某些行業(yè)所需要在持續(xù)保障能力仍然得不到滿足。
Windows則是另一個(gè)完全不同的世界,在這里計(jì)算機(jī)設(shè)備處于受信防火墻的嚴(yán)格保護(hù)之下而且永遠(yuǎn)不會(huì)游離于受信網(wǎng)絡(luò)之外——事實(shí)上此類計(jì)算設(shè)備被視為接入節(jié)點(diǎn)而非偶然性訪客來看待。造成這一切的根源則在于通過Active Directory與System Center所構(gòu)成而成的域管理體系。當(dāng)然,隨著時(shí)間的推移筆記本電腦已經(jīng)成為上流,而Windows陣營的管理工作也需要提供更為便捷的外部網(wǎng)絡(luò)訪問能力——通常利用VPN將受信網(wǎng)絡(luò)拓展至互聯(lián)網(wǎng)當(dāng)中。
加入域類方案允許用戶在客戶端與服務(wù)器之間采取更多主動(dòng)性措施,同時(shí)也能提供更為出色的持續(xù)審計(jì)能力。不過其在移動(dòng)設(shè)備這類頻率登入登出的計(jì)算平臺(tái)上表現(xiàn)糟糕,這也解釋了為什么就連微軟自己也沒有將加入域機(jī)制推向Windows Phone與Windows RT。“加入域在PC設(shè)備領(lǐng)域的作用是作為前提條件存在的,”戴爾公司的Foster指出,“但隨著越來越多PC不再通過域?qū)崿F(xiàn)接入,這種前提條件也就無從談起。”
也就是說,微軟并沒有在其面向移動(dòng)設(shè)備的移動(dòng)管理工具Intune當(dāng)中采用域加入機(jī)制。相反,這款工具選擇了在PC設(shè)備上安裝客戶端應(yīng)用來處理payload,而后再據(jù)此配置Windows系統(tǒng)環(huán)境并構(gòu)建安全空間——這種作法與iOS、OS X中原生以及在Android上利用第三方軟件實(shí)現(xiàn)的沙箱方案相似。
隨著時(shí)間推移,payload方案很可能成為一套執(zhí)行標(biāo)準(zhǔn),甚至在Windows陣營中同樣占據(jù)統(tǒng)治地位。微軟的Windows操作系統(tǒng)開發(fā)團(tuán)隊(duì)拒絕就管理問題向我們分享其觀點(diǎn),而服務(wù)器開發(fā)團(tuán)隊(duì)則拒絕與操作系統(tǒng)團(tuán)隊(duì)交流。不過“在Windows 8.1中,用戶已經(jīng)能夠?qū)C設(shè)備像移動(dòng)設(shè)備那樣加以管理,例如通過添加代理實(shí)現(xiàn)System Center功能或者直接使用管理API。Windows RT同樣支持此類管理方式,”微軟公司W(wǎng)indows Server與Systen Center產(chǎn)品推廣主管Andrew Conway表示。不過即將推出的Windows Phone 8.1則將支持加入域機(jī)制,因此微軟可能也在嘗試將兩類方式全部予以保留、并觀察市場的反應(yīng)情況。
統(tǒng)一化管理之路
當(dāng)然,在MDM領(lǐng)域探索的各位先行者已經(jīng)意識(shí)到統(tǒng)一化管理趨勢的來臨,而且其中一部分也已經(jīng)將Mac納入其移動(dòng)解決方案當(dāng)中——理由很簡單,蘋果開始跨越iOS與OS X兩套平臺(tái)提供大量統(tǒng)一化API以簡化產(chǎn)品操作。眾多合作伙伴以及其它供應(yīng)商則開始推出并非真正擁有集成特性的PC與移動(dòng)設(shè)備管理方案,這種單純利用不同組件拼湊起來的產(chǎn)品只能夠?qū)崿F(xiàn)一部分共享或者協(xié)作管理政策。
但當(dāng)前市場上的主流供應(yīng)商帶來最為活躍的表現(xiàn),致力于將桌面與移動(dòng)世界調(diào)和成一套具備通用性的整體管理環(huán)境,其中包括資產(chǎn)追蹤乃至安全政策執(zhí)行等等。理由很簡單,這些主流廠商通常已經(jīng)擁有了面向Windows環(huán)境的工具,因此相當(dāng)于完成了工作場內(nèi)大部分客戶端設(shè)備的支持任務(wù)。接下來要做的就是以Windows PC為起點(diǎn)為IT部門提供其熟知的使用感受。(微軟方面表示,目前有70%企業(yè)采用System Center作為Windows PC的首選管理方案。)
此類產(chǎn)品可以包羅萬向,從單純將兩款獨(dú)立產(chǎn)品從共性出發(fā)進(jìn)行配對(duì)——例如政策共享或者通用管理控制臺(tái)——到能夠在后臺(tái)處理不同客戶端差異的單一工具。大部分企業(yè)仍然傾向于構(gòu)建兩個(gè)獨(dú)立的團(tuán)隊(duì)對(duì)PC與移動(dòng)設(shè)備進(jìn)行分別管理,而單一工具類方案只有在企業(yè)放棄了這種隔離性思維之后才有可能派上用場。
“大部分企業(yè)并不會(huì)利用同一套人員班子對(duì)桌面及移動(dòng)設(shè)備進(jìn)行管理。桌面管理已經(jīng)擁有悠久的歷史,而PC管理則被視為一種正常的企業(yè)運(yùn)營活動(dòng)。相比之下,移動(dòng)則屬于新生事物并被交給獨(dú)立的團(tuán)隊(duì)負(fù)責(zé),”CA公司總經(jīng)理Ram Varadarajan表示。“我們還沒有看到太多推動(dòng)單一管理系統(tǒng)廣泛普及的實(shí)際案例,但這確實(shí)是一種分階段的深化趨勢,”戴爾公司的Foster指出。
這就讓管理方案供應(yīng)商陷入了先有雞還是先有蛋的典型困境。就目前而言,移動(dòng)設(shè)備的管理方式以及負(fù)責(zé)團(tuán)隊(duì)與PC設(shè)備有所不同。移動(dòng)設(shè)備以電子郵件為早期用例開始快速進(jìn)入Exchange域管理員的視野,而蘋果公司則將微軟的Exchange ActiveSync協(xié)議作為其默認(rèn)管理技術(shù)——谷歌也為其Android選擇了同樣的發(fā)展路線。
因此,IT組織通常會(huì)選擇兩款工具對(duì)PC與移動(dòng)設(shè)備加以管理,即使他們總是把統(tǒng)一化作為最終發(fā)展目標(biāo)。“我們已經(jīng)感受到將管理工作推向統(tǒng)一的整體趨勢,”微軟公司的Conway指出。“大部分企業(yè)已經(jīng)不希望再受到這種移動(dòng)孤島狀況的困擾,他們更傾向于將全部計(jì)算設(shè)備視為同類對(duì)象,”CA公司的Varadarajan解釋道。
不過在真正著手對(duì)各負(fù)責(zé)IT團(tuán)隊(duì)加以整合之前,統(tǒng)一化工具仍然無法帶來太多現(xiàn)實(shí)意義。當(dāng)然,首先應(yīng)該由IT部門將管理團(tuán)隊(duì)集中起來,并將全部現(xiàn)有備選工具提供給整合后的統(tǒng)一團(tuán)隊(duì)。由這里起步,IT部門接下來可以考慮利用由供應(yīng)商所提供的統(tǒng)一化管理工具對(duì)原有獨(dú)立工具加以替換。
CA、戴爾與微軟都是很好的依靠對(duì)象,值得管理方案供應(yīng)商在嘗試邁向統(tǒng)一化管理道路的過程中作為參考。也許大家正在考慮或者已經(jīng)開始協(xié)作的供應(yīng)商遵循的正是以上幾家主流企業(yè)的既定路線。
CA公司正在努力拿出一套面向全部管理工作的單一控制臺(tái),Varadarajan指出。該平臺(tái)的差異性主要體現(xiàn)在內(nèi)部層面,而這里作為平臺(tái)實(shí)現(xiàn)管理政策共享的空間也最易于實(shí)現(xiàn)統(tǒng)一化調(diào)整——即使其實(shí)際執(zhí)行方式有所區(qū)別。“我們已經(jīng)見到過一款面向OS X與Windows平臺(tái)的通用管理工具。iOS與Android之間的差別還不及前兩者那么明顯,”他表示,并建議稱統(tǒng)一化進(jìn)程所面臨的挑戰(zhàn)其實(shí)并不像大家想象的那么嚴(yán)峻,因?yàn)槟壳安煌脚_(tái)之間已經(jīng)在某些關(guān)鍵性屬性層面實(shí)現(xiàn)了融合。“沒錯(cuò),我們所采取的措施與實(shí)現(xiàn)方式可能有所區(qū)別,例如我們需要在Windows、OS X以及移動(dòng)系統(tǒng)中使用不同類型的代理,但它們總體而言執(zhí)行的都是同一種任務(wù)。”
換句話來說,供應(yīng)商需要從內(nèi)部對(duì)自己的工具進(jìn)行fork。“作為一項(xiàng)被嚴(yán)重低估的技能,fork確實(shí)能夠推動(dòng)統(tǒng)一化進(jìn)程更上一層樓,”Varadarajan表示。舉例來說,“OS X與iOS使用大量完全相同的API,但所采用的語義卻有所區(qū)別。我希望同樣的情況能夠在未來出現(xiàn)在Android PC之上,而且我相信未來Windows也將實(shí)現(xiàn)這一發(fā)展目標(biāo)——畢竟Windows Phone與PC Windows之間已經(jīng)存在巨大差異。”
當(dāng)然,某些管理策略仍然無法直接作用于一部分設(shè)備,但統(tǒng)一化工具會(huì)識(shí)別出此類情況并將其加以忽略,同時(shí)對(duì)那些無法被部署到特定設(shè)備當(dāng)中的策略進(jìn)行標(biāo)注。最常見的此類實(shí)例就是蘋果的OS X Server,其管理控制臺(tái)會(huì)將其管理策略分為三大類:iOS、OS X以及iOS與OS X。企業(yè)級(jí)工具能夠更為細(xì)致地對(duì)這些狀況進(jìn)行處理,但毫無疑問、仍然沒辦法徹底解決。
Varadarajan同時(shí)指出,客戶機(jī)并不是發(fā)展道路上橫亙于我們面前的惟一障礙。大家還擁有服務(wù)器與網(wǎng)絡(luò)設(shè)備,它們同樣能夠在設(shè)備接入后發(fā)揮巨大作用,例如監(jiān)控流量、驗(yàn)證訪問并直接在服務(wù)器端執(zhí)行管理策略等。后端管理則是統(tǒng)一化設(shè)備管理方案的關(guān)鍵所在,這是因?yàn)槿吭O(shè)備都需要通過后端實(shí)現(xiàn)運(yùn)作——后端可以說是企業(yè)信息與服務(wù)領(lǐng)域的網(wǎng)關(guān)。
微軟公司正在采取兩種途徑實(shí)現(xiàn)統(tǒng)一化管理:第一,將其傳統(tǒng)System Center向移動(dòng)這一頻繁登入登出的新領(lǐng)域拓展; 第二,提供Intune這一面向payload型工具。當(dāng)然,二者并不屬于非此即彼的關(guān)系。Intune同樣能夠通過客戶端應(yīng)用實(shí)現(xiàn)PC設(shè)備,而不僅僅針對(duì)移動(dòng)設(shè)備,不過其主要用例仍然偏向于后者,微軟公司的Conway指出。主要面向PC設(shè)備的System Center則能夠與移動(dòng)設(shè)備上的Intune結(jié)合起來,這樣System Center就可以專門負(fù)責(zé)資產(chǎn)管理與配置、而Intune則專司安全性與設(shè)備管理策略部署。
Windows 8.1的出爐標(biāo)志著微軟的PC操作系統(tǒng)已經(jīng)開始步上蘋果在OS X Lion時(shí)代定下了發(fā)展方向:利用API實(shí)現(xiàn)移動(dòng)式、基于payload的管理機(jī)制。
戴爾公司線出的方案則最為傳統(tǒng):其囊括了大量面向不同管理需求的針對(duì)性工具,一部分適用于移動(dòng)設(shè)備、一部分適用于PC設(shè)備、還有一部分同時(shí)適用于兩者。客戶根據(jù)需要選擇合適的工具,無論其相關(guān)團(tuán)隊(duì)是否完成了統(tǒng)一化轉(zhuǎn)型,而戴爾則提供咨詢服務(wù)以幫助客戶根據(jù)特殊需求實(shí)現(xiàn)工具整合。“我們發(fā)現(xiàn)客戶的實(shí)際情況差異很大,因此需要完成大量定制化工作,而這正是我們專業(yè)服務(wù)的施展空間所在,”戴爾公司的Foster解釋稱。
統(tǒng)一化管理并不意味著管理統(tǒng)一化技術(shù)堆棧
計(jì)算機(jī)世界的特色在于異質(zhì)性,大量不同類型的設(shè)備、操作系統(tǒng)、應(yīng)用程序以及服務(wù)摻雜于其中。每個(gè)人都采用標(biāo)準(zhǔn)化PC與一套標(biāo)準(zhǔn)化操作系統(tǒng)鏡像外加應(yīng)用集的時(shí)代早已過去——如今已是“敢叫天地?fù)Q新顏”。“我們必須接受這種異質(zhì)性。如果大家對(duì)這種異質(zhì)性感到不滿甚至惱火,那么結(jié)果也不會(huì)出現(xiàn)任何改變,”CA公司的Varadarajan表示。
云存儲(chǔ)就是這種特性的絕佳體現(xiàn),戴爾公司的Foster指出,他同時(shí)提到了Office 365、Google Drive以及蘋果iWork。“但沒有哪款工具能夠在各個(gè)方面都帶來上佳表現(xiàn),因此用戶需要對(duì)其進(jìn)行混合與匹配。”同樣的混合與匹配情況在應(yīng)用程序、設(shè)備以及其它服務(wù)領(lǐng)域也有所體現(xiàn),因?yàn)闆]有任何一款單一平臺(tái)能夠全面壓倒競爭對(duì)手。這種狀況在未來很長一段時(shí)間內(nèi)都不可能改變,特別是在技術(shù)方案正變得愈發(fā)個(gè)性化的發(fā)展趨勢之下——即使既定效果大體相近,也幾乎不可能出現(xiàn)一款所謂“最佳工具集”。
希望能夠?yàn)楦黝愒O(shè)備、應(yīng)用程序以及服務(wù)找到一套通用型管理方案可以說是白日做夢。不過這并不意味著IT部門應(yīng)當(dāng)徹底放棄對(duì)統(tǒng)一化發(fā)展的追求。IT部門要做的是將關(guān)注范疇進(jìn)一步擴(kuò)大,通用型管理策略就是種不錯(cuò)的思路。此外當(dāng)然還有其它選擇。“目前已經(jīng)采納的最佳實(shí)踐就是以O(shè)Auth與SAML為代表的單點(diǎn)登錄模式。通過這種方式,我們要控制的已經(jīng)不再是代理機(jī)制、而是首先對(duì)訪問本身加以管理,”Foster表示。大家將這種高層級(jí)標(biāo)準(zhǔn)與Foster所謂“端點(diǎn)狀態(tài)”加以匹配,而后將二者納入一套通用型策略框架、從而構(gòu)建起以角色及其它因素為基礎(chǔ)的訪問許可體系。
頗為諷刺的是,通往統(tǒng)一化管理目標(biāo)的道路也同樣呈現(xiàn)出多樣性與異質(zhì)性特征。目前市面上的各類具體工具已經(jīng)足以構(gòu)建起完整的單一管理機(jī)制,但具體的構(gòu)建任務(wù)仍然要由供應(yīng)商及IT部門以自己的方式完成。
英文:http://www.infoworld.com/article/2608380/mobile-device-management/mobile-device-management-mobile-and-pc-management-the-tough-but-unstoppable-union.html