“应用程序包装还不成熟,”Gartner的Redman说,这个新兴市场中存在的竞争架构阻碍了增长。但他表示,随着这项技术最终被整合到更大、更成熟的MDM平台中,企业和第三方应用的应用包装将会越来越多。
应用包装的缺点是每个应用程序都必须修改,这意味着管理员需要访问应用程序的二进制代码。这意味着一些预装在Android或iOS手机上的应用程序可能不受支持。此外,Android设备的执行可能比iOS设备更顺畅,因为苹果应用商店出售的应用程序的二进制代码存在问题。出于这个原因,包装工具往往不适用于iPhone应用程序。例如,Mocana的移动应用程序保护产品不支持iPhone上的电子邮件客户端,也不支持其他内置应用程序。
用户可以访问免费的iOS应用程序的二进制代码,但对于付费的App Store产品,IT部门需要与供应商达成协议,绕过苹果商店直接购买。
“苹果现在忽略了应用包装的问题,并改变了从他们的商店购买的应用,但根据他们的规则,你不应该这么做。他们可以采取严厉措施,不允许这种情况发生,尽管到目前为止他们还没有这样做。”苹果拒绝置评。(见“苹果和谷歌的立场。”)
移动虚拟机监控程序
第三种遏制方法是创建一个包含自己的移动操作系统实例的虚拟机——一个电话中的虚拟电话。这要求供应商与智能手机制造商和运营商合作,在手机上嵌入并支持一个管理程序。这项技术目前还不普遍,但支持管理程序的设备最终可能允许用户将个人和业务语音和数据分开。
VMware提供的VMware Horizon就是还在发展.它将支持Android和iOS,并作为类型2的管理程序,这意味着虚拟机运行在设备的本地安装的操作系统之上。
让客户操作系统运行在主机操作系统之上往往比直接安装在移动设备硬件上的第1类“裸机”管理程序消耗更多的资源。它也被认为是不安全的,因为底层的主机操作系统可能会被破坏,从而创建一个攻击虚拟机的路径。
另一个供应商,Open Kernel Labs提供了一种类型1的hypervisor,它称之为“防御级”虚拟化“如今,这项技术主要用于为军队服务的移动芯片组和智能手机制造商。Redman说,公司还没有进入商业市场。
VMware Horizon的首席倡导者本·古德曼(Ben Goodman)认为,开发与硬件直接交互的第1类虚拟机监控程序是不切实际的。“我们转向了第二类hypervisor,因为移动设备的更新速度使得它几乎不可能跟上。”
在安全方面,VMware正在研究一种加密方法,类似于可信计算小组的方法可信平台模块标准的越狱检测。
古德曼承诺,性能不会成为问题。“VMware Horizon经过优化,运行非常好,性能也非常出色。”然而,VMware拒绝提供任何可能公开谈论该产品的早期采用者的名字。
以色列初创公司Cellrox Ltd。为Android设备提供了自己的虚拟化。该技术被称为ThinVisor,由哥伦比亚大学开发,它既不是第1类也不是第2类hypervisor,而是“存在于操作系统中的不同级别的虚拟化,允许使用相同内核的多个操作系统实例,”首席执行官Omer Eiferman说。该公司向蜂窝服务提供商和智能手机制造商以及大型企业客户提供该产品。
问题和承诺
并不是所有的容器化产品都支持iOSiPad这是企业中最常见的智能手机。苹果在全球的市场份额为22%,安卓为50%,但在企业市场,这一数字正好相反:Gartner的数据显示,iPhone的市场份额为60%,安卓仅为10%。
对于支持iOS的产品,苹果关于操作系统增强的传奇秘密意味着容器供应商不会收到任何提前通知,每次苹果发布更新时都必须忙活。底线是:如果用户升级个人iPhone的速度过快或过于频繁,他们可能难以访问公司资源。大学医院(University Hospitals)的特里表示:“在Good Technology对产品进行修改、测试、然后面向终端用户发布的同时,iOS的变化往往会导致服务中断。”
大学医院卫生系统(University Hospitals Health System)部门首席信息官和首席技术官瑞恩•特里(Ryan Terry)表示:“我们不能删除私人性质的东西,也不能妨碍(终端用户)使用个人资产的能力。”
目录集成是工具仍在发展的另一个领域。特里说:“我们希望看到与活动目录和PeopleSoft的更多集成,或者其他任何记录源来控制用户配置文件。”“理想情况下,更紧密的集成将自动禁用访问或根据用户的角色限制对已发布应用程序的访问。”如今,企业可能需要转向像Vox Mobile这样的集成商来提供这种级别的集成。
使用Good for enterprise的联合银行(Union Bank)的消息和协作经理Steve Chong认为,如果企业不了解整个设备的性能,那么容器化在故障排除和一般支持问题上也会受到限制。问题与信号强度有关吗?用户用完了吗存储空间?有没有办法让IT人员远程访问手机来诊断问题?
他说:“我们不需要在电话上安装多个代理程序,就可以做到这一切。”因为每个代理程序都增加了复杂性,并消耗了资源。
Chong说:“有代理在手机上意味着它需要一直开着进行数据收集,但这意味着它将消耗手机资源。”此外,它是“现在需要在用户手机上管理和更新的软件”。
如今,许多企业如果有BYOD程序,要么不使用MDM,要么使用非常基本的工具,比如微软Exchange ActiveSync,它允许移动访问用户的Exchange电子邮件和日历。“下一个阶段是进入MDM。然后(IT员工)可以研究应用程序安全和管理,”Redman说。
联合银行(Union Bank)消息和协作部门经理Steve Chong认为,如果企业无法了解整个设备的性能,那么容器化在故障排除和一般支持问题上就会受到限制。
在西弗吉尼亚大学(West Virginia University),工具的成本超过了风险——至少目前如此。约恩表示,学校仅使用ActiveSync来支持其4500名教职员工。他还想做得更多,但他说,他研究的集装箱运输工具的许可费用每年将超过10万美元。他表示:“我们会等到价格下跌,或者发生什么事情,然后我们决定需要进行投资。”
在求职网站和人力资源公司凯业必达(CareerBuilder),想要使用自己手机的个人可以通过ActiveSync连接,但下载的数据不会加密,除非用户选择在设备层面这样做。此外,IT不提供任何支持用户与自己的智能手机连接。
用户还可以自行安装应用程序,以访问Concur和Salesforce.com等SaaS应用程序。该公司信息技术高级副总裁罗杰•福格特表示:“我们没有做到这一点。”但凯业必达的2600名员工中,近一半的人现在都自带电子设备,福格特表示,他正在认真研究潜在的风险以及如何缓解这些风险。他关注的是容器化和通用MDM工具。
未来的整合
专业服务公司普华永道(PwC)基础设施实践主管斯蒂芬•辛格(Stephen Singh)表示,集装箱化正迅速成为支持自带设备的必要条件,这项技术也在迅速发展。“它的工作效率相对较高,满足我们接触过的许多客户的监管合规需求。”
在大多数企业中,容器化是(或者应该是)整个MDM策略的一部分。例如,未来应该有可能将一组策略应用于整个设备,另一组策略应用于应用程序存储应用程序的受保护容器,第三组策略应用于特定的企业应用程序,并根据用户的角色或组进行变化。
的确,赛门铁克说在Nukona应用特定于应用程序的控件时,可以使用其Odyssey MDM工具强制执行设备级密码。
容器化已经开始被主要MDM平台所吸收。赛门铁克计划将收购的Nukona集装箱和Odyssey MDM业务合并到Altiris业务中,用于管理服务器、台式机和笔记本电脑;Mobile Iron现在提供了自己的应用集成api。Redman说:“在接下来的6个月里,我们将看到更多的应用安全和管理集成到MDM系统中。
他说,MDM最终将扩展为“企业系统管理平台”,包括安全、内容管理、应用程序管理和应用程序开发,并将扩展到笔记本电脑和台式机,以及平板电脑和智能手机。
这是联合银行(Union Bank)最希望实现的目标,该银行依靠两款不同的主机来管理黑莓和其他移动设备。“我想要一个通用仪表盘。现在还没有技术可以做到这一点。”
纽约梅隆银行已经开始走这条路了。帕金斯表示:“我们选择MaaS360是因为我们可以在整个移动网络上运行它,无论是笔记本电脑、手机还是平板电脑。“我可以同时访问所有这些设备,因为我知道每种设备都有不同的图形模式。这就是我们认为人们将会采取的行动方式。”
辛格认为,管理工具将更广泛地融合在一起,通过任何媒介为任何终端用户设备提供无处不在的访问,包括台式机、笔记本电脑、台式机和应用虚拟化、远程访问、统一通信以及移动设备。“我们离通用主机已经不远了。我们预计三到五年内会出现趋同。”
这看起来似乎有点遥不可及,但重要的是现在就为这个远景做计划,这样容器化、MDM和其他工具就不会随着时间的推移而重叠或冗余。“着眼大局。解决移动设备管理的问题不仅仅是选择供应商,”辛格说。“这是关于跨多个平台和实例应用解决方案。”
罗伯特·米切尔是《计算机世界》的全国通讯员。在Twitter上关注他twitter.com/rmitch,或电邮至rmitchell@computerworld.com.
阅读更多关于自带设备(byod)的内容在计算机世界的自带设备(BYOD)主题中心。
这篇题为“最佳BYOD管理:遏制是你的朋友”的文章最初是由《计算机世界》 .