苹果(aapl . o:行情)iPhone苹果公司在工作场合一直存在一些形象问题,这并不奇怪,因为苹果公司的智能手机更多是面向消费者而不是商界。
事实上,当iPhone在2007年首次亮相时,没有办法在不越狱的情况下将第三方应用程序安装到iPhone上,它不支持3G数据网络,也没有与之整合微软你必须先用iTunes激活它,然后再备份或同步数据。此外,还有安全方面的担忧,因为如果iPhone丢失或被盗,人们无法要求获得密码、加密商业数据或远程擦除它。
对于iPhone来说,它的操作系统和手机已经发生了很大的变化智能手机整个行业用了三年时间。对于那些想在工作中使用iPhone的人和支持他们的IT部门来说,这些变化是好的。事实上,iPhone操作系统(现在被称为iOS)的每一次新更新中,都有一些主要的更新是它的成功之处更容易管理确保苹果移动平台的安全。
每过一个夏天,苹果改善了业务和企业iOS的特性。它增加了交换支持,支持远程擦除,安全和配置策略(可以通过交换或者配置文件加载到每个设备上),VPN选项和加密——iPhone 3GS的全设备加密和iOS 4的目标应用数据加密。
虽然每一个改变都是一种进步,但直到今年才有所改善ios4的到来——和iPhone 4本身——6月份,苹果推出了一项企业可以使用的新的移动设备管理(MDM)服务。因此,企业最终获得了企业采用iPhone所迫切需要的东西:更容易部署、管理和监控员工使用的iPhone的能力——长期以来,这一能力让Research In Motion的黑莓(BlackBerry)成为最值得信赖的移动平台之一。
注意:虽然iOS 4已经为iPhone推出,但iPad要到今年秋天才能进行操作系统升级。
第三方供应商是这个等式的一部分
关于Apple如何推出MDM,令人惊讶的一点是,该公司基本上把通过服务器实现MDM留给其他公司。考虑到苹果公司对即将推出的产品保密的嗜好,以及对应用商店的严格控制,这一举动似乎不符合它的特点。包括我在内的大多数人都认为,苹果会提供一种强大的无线设备管理解决方案。我们预计苹果会效仿RIM的黑莓企业服务器,推出一些东西作为其Mac OS X服务器平台的一部分。(在下一个主要的OS X服务器版本中,这种情况仍有可能发生。)
不管苹果是否会推出自己的管理服务器,对于那些希望以安全管理的方式支持iOS设备的公司来说,这都是有优势的。最明显的就是竞争。有7种不同的选择,要么已经上市,要么计划年底上市,公司可以选择最适合自己的一种。尽管iOS 4的许多核心管理特性和各供应商提供的MDM服务在本质上是相同的,但它们之间仍然有很多差异。
在某些情况下,主要的区别可能仅仅是管理界面。或者它可能意味着与其他技术(如Active Directory)的不同级别的集成。其他变量涵盖了从移动设备使用报告的类型和格式到系统需求(一种选择完全基于mac)、成本、与供应商的现有关系,以及每个供应商可以管理的非ios平台的数量。
在移动平台上标准化是很困难的
对于大多数企业来说,拥有一个标准的计算平台是一项相对简单的任务,部分原因是可供选择的范围有限:Windows或Mac OS x的一些变体(是的,Linux和Unix是选项,但通常不为IT之外的人选择。)
获得硬件也很容易,因为大多数购买都是批量的,而且通常是从一个供应商那里购买。如果你是Mac商店,你买的是苹果的硬件;如果你选择Windows,有很多硬件可供选择。
这种标准化并不适用于智能手机和平板电脑。即使你的公司为每个员工购买智能手机,IT商店仍然容易遇到问题。被绑在一个载体上可能不是所有工作场所的好选择;不同型号的手机可能具有不同的功能(可能还有不同的管理能力);手机可能只运行特定版本的操作系统,或提供不同的套装或可用的应用程序;还可能与其他系统(如VPN、邮件服务器和内部网)进行不同级别的集成。
当员工们带着他们的个人设备去上班时——就像我们现在越来越多的人这样——问题的可能性就更大了。IT商店甚至可能不知道员工在使用什么设备,或者出于什么目的——更不用说这些设备有多安全了。
几年前,公司可以为员工购买移动硬件。现在情况已经不一样了,许多组织开始接受“让自己的硬件工作”的概念。这节省了很多钱,因为不需要购买硬件,也没有每月的手机账单(对公司来说)。但是,你必须管理和保护这些设备——或者试图命令你的员工使用什么。(祝你好运。)
苹果采用MDM方法的最重要优势是,除了一家第三方公司之外,已经宣布或发布的管理服务器都提供了对iOS以外平台的支持。其中的绝对管理(Absolute management)和AirWatch为智能手机和平板电脑以外的设备提供管理功能。
和其他智能手机制造商一样,苹果很难开发出自己的多平台系统。当然,每种产品所支持的平台的具体组合不同,所支持的特性的范围也不同。但这就是竞争的优势:你应该能够找到最能满足公司需求的公司。
理解iOS中的配置文件
管理移动设备的一个核心组件涉及苹果所谓的配置文件。这些是自动配置iOS设备的不同配置特性和可选限制的XML列表。
一个配置文件可以包含iPhone的所有可用设置——包括各种网络资源的用户凭证——或者它可能只包含一个不是特定于用户的值,比如访问邮件服务器、VPN或无线网络的详细信息。如果您放入了与服务器或网络相关的配置,而没有特定的用户凭证,那么用户在第一次访问资源时将被要求进行身份验证。
您可以为任何或所有的电话分配任意多个独立的粒度配置文件,它们都将被强制执行。如果需要根据工作功能或部门分配配置数据,这将非常有用。
您可以使用配置配置文件设置的最重要的特性涉及安全性:要求密码、设置密码限制以及强迫员工使用长而复杂的密码。您还可以指定设备在不使用时锁定的速度,以及在设备自动删除数据之前允许多少次使用密码解锁失败。
另一个与安全相关的选项可以让你禁用iPhone的内置摄像头。对于雇主来说,为了避免敏感信息的泄露,禁止使用带摄像头的设备是很常见的,这在许多组织中是一个重要的选择。
除了安全选项之外,还有许多方法可以定制一个iOS设备,以便与公司的网络和资源一起使用。您可以预先配置对Wi-Fi网络、VPN和电子邮件服务器的访问。您还可以为移动Safari浏览器预填充书签,以确保用户可以轻松访问内部(或外部)基于web的资源。你甚至可以指定网页或网页应用程序作为图标出现在设备的主屏幕上,以便更方便地访问。
简而言之,您可以使用配置文件来锁定iPhone。
有关配置配置文件的更多细节,请查看苹果的iPhone配置实用程序文档。这是苹果开发的用于创建和测试配置文件的免费工具(Mac和Windows都可以使用)。苹果还提供了各种管理和部署场景的信息,以及iOS 4业务集成概述。
除了通过配置文件设置配置外,MDM服务还允许您查询任何托管设备的20多个不同数据片段(包括特定于设备和运营商的详细信息,以及安全策略的使用和验证)。
除了设置配置配置文件和查询设备之外,MDM服务还允许您在受管理的设备上执行某些操作。例如,你可以强制设备锁定和/或擦除所有数据。你还可以临时删除一个密码(以防远程用户忘记了)。如果需要一个密码,用户将需要创建一个新的密码。
您还可以安装或更新配置概要文件以及已安装的应用程序、企业应用程序配置概要文件和内部应用程序。所有这些都可以在后台完成,不需要用户干预,从而确保软件、配置和安全策略到位。
(以下是iOS 4可用的管理和监控功能的完整列表。)
注册iOS设备进行管理
苹果公司使用SCEP使得设置设备管理的过程非常简单。指示用户访问安全Web站点并使用其用户帐户(通常是Active Directory帐户或其他基于ldap的目录服务)进行身份验证。这允许iPhone生成一个证书注册请求,然后为设备生成一个身份证书。
使用该身份证书和用户的凭证建立安全连接,然后设备处理分配的配置列表并将它们呈现给用户。当用户同意配置时,设备将下载并安装相关配置文件,并可以完全管理。
管理服务器选项
既然我们已经讨论了企业管理的内容和方式,下面是供应商列表和他们产品的预期发货日期:
*绝对管理:预计今年第三季度上线。
*赛贝斯的Afaria: iOS 4测试版正在进行中,预计第三季度发布。
* AirWatch:上市日期为2010年夏季。
*适合企业:现在可用。
* MobileIron:现在上线,对现有的好客户打折。
*探戈移动设备管理器:现在可用。
* Tarmac由Equinux:现在可用。
注意:Equinux是Mac OS X和iOS的媒体和网络工具。Tarmac是它进入设备管理领域的第一步,是一种特定于ios的解决方案。它列出了Mac电脑作为系统要求的一部分,总体来说,它可能更适合中小型企业,尤其是那些苹果公司占主导地位的企业。
iOS设备的管理和监视选项
在构建配置时,您可以指定以下详细信息:Exchange或POP/IMAP邮件服务器;VPN配置;Wi-Fi网络(包括隐蔽网络和需要密码或半径认证的网络);用于联系人的LDAP目录,对CalDAV和/或CardDAV服务器的访问,支持iCal (.ics)订阅的公共或私有日历;承运人(APN)设置;数字证书;和Web剪辑。
您还可以强制执行各种安全策略,比如要求使用解锁密码;允许使用简单密码或要求使用带有特殊字符的字母数字密码;设置密码可使用的时间;指定自动屏幕锁定发生前的时间长度;设置设备被自动清除前允许的失败密码尝试次数;要求同步到iTunes时创建的备份被加密;以及指示用户是否可以删除配置文件。
锁定一个iOS设备时,您可以限制访问如下:应用程序安装,摄像头,屏幕截图,自动邮件同步漫游时,语音拨号,而设备被锁定后,通过iTunes应用内购买,物品标记显式和移动Safari浏览器的安全设置浏览器。你还可以阻止用户启动Safari、YouTube、iTunes商店和App Store。
目标很简单:您希望设置尽可能多的参数,以确保设备按照您公司的需要被锁定。
除了设备管理之外,MDM也是一种服务,它依赖苹果的推送通知系统从管理服务器接收查询和指令,以便与后台的任何iOS 4设备交互。它作为一个始终打开的后台进程运行,这就是第三方供应商无法自己创建这样一个解决方案的原因。