应用软件发布是 IT 部门所要考虑的另一件重要事项,就是如何为每位员工配置好他要用到的各种应用软件。现代企业用到的软件种类繁多,不仅仅包括 Windows 上的原生应用,也包括基于 Web 的应用、来自于公有云的 SaaS 应用、以及远程虚拟桌面或远程应用等等。
Windows 10 中自带了一个应用商店 Windows Store,用户可以很方便地在里面浏览、购买、下载各种软件。但是它只是一个针对个人消费者的应用商店,无法满足企业级用户的一些需求:
- 跟企业现有的身份认证系统相集成:确保应用商店能够识别每个用户的企业用户身份,而不是该用户的个人帐号。
- 支持应用的批量部署:Windows Store 针对个人销售的是一份软件许可,企业用户可不能让她的员工自己来购买软件,而是需要一种批量采购,再分配给员工的机制。
- 软件许可管理:当一名员工离职时,应该有能力回收分配给他的软件,回收后的软件可以再次分配给其他员工,并且要求能够控制分配的软件许可数量在购买的许可证总数范围之内。
- 传统 Windows 应用支持:虽然微软为 Windows 10 推出了全新的通用应用平台(Univeral Windows Application),但是目前还是传统的 Windows 应用(安装包为 .exe、.msi 等)占据多数,大部分的软件供应商还没有推出针对 Windows 10 的通用应用,并且这些应用也不在 Windows Store 中。
- 企业自研软件的分发:每个企业都有一些自己定制的软件,这些软件也需要跟其他应用相同的发布体验,应该让员工在同一个企业应用商店里访问到所有的应用。
针对这些需求,微软又专门开发了一个针对企业用户的应用商店 Windows Store for Business,来满足企业用户管理应用发布的需求。微软企业应用商店一定程度上解决了上面提到的这些问题,但是还是有它的局限性:
- 要求企业必须使用 Azure AD(Active Directory)Service,从而让应用商店能够识别企业员工身份。但是很多企业并没有把本地的 AD 目录迁移到云端的计划,更多的企业甚至用的都不是微软的 AD 目录,他们使用 Open LDAP 等其他的目录服务。
- 微软企业应用商店虽然允许用户上传自己的 Windows 应用(仅该企业可见),但是并不支持其他类型的应用,如:Web 应用、公有云 SaaS 服务、RDSH 桌面和应用。
微软也清楚自己的局限,它通过整合第三方 UEM(Unified EndPoint Managemtn)平台 Workspace ONE 来弥补这方面的缺陷。
用户目录桥接
为了解决企业应用商店中用户身份识别问题,微软为了推广它的 Azure 公有云服务,要求用户使用云端的 Azure AD 服务;或者是在本地安装一个 ADFS(Active Directory Federation Service)服务来同步本地 AD 和云端 Azure AD 的目录数据。Workspace ONE 提供了一套更为简单的解决方案,它可以在微软企业应用商店和客户现有的目录服务之间进行桥接,这样微软企业应用商店就可以直接识别登录的用户身份,从而支持软件许可的分配、回收等管理工作。
统一应用目录
Workspace ONE 提供了一个企业应用发布门户,能够支持 Windows 10 上的各种应用类型:
- 现代 Windows 应用:在 Windows Store 中发布的应用;
- 传统 Windows 应用:传统的 Windows 应用,需要通过安装文件 (通常为 .exe 或 .msi 等格式的文件) 来安装;
- Web 应用:如企业内部的各种电子申批流程;
- 云端 SaaS 应用:如 SalesForce、Workday、Concur 等;
- 远程 VDI 虚拟桌面:直接访问 Horizon 所提供的虚拟桌面;
- 远程 RDS 桌面和应用:远程访问微软 RDS 服务器上的桌面或应用。
Workspace ONE 统一应用目录
Workspace ONE 不但在一个平台上统一发布了所有的应用,它也是一个跨设备的平台,支持 Windows 10、iOS、Android、macOS、ChromeBook 各种平台,并且能针对不同的平台提供该平台原生的应用。例如企业常用的人事管理平台 Workday,在 Windows 平台上发布的是一个 SaaS 服务,在 iPhone/iPad 上发布的就是一个 iOS App,在 Android 平台上发布的就是一个 Android 的原生 App。这样就很好地满足了企业 BYOD 计划的需求,让员工能够利用自带的各种移动设备来辅助办公和处理工作事务。
软件分发
Workspace ONE 应用目录中的应用是如何安装的呢?对于现代 Windows 应用,Workspace ONE 应用目录只是提供一个访问入口,用户选择安装该应用后会重定向至 Windows Store 下载安装该应用。对于传统 Windows 应用,管理员可以把软件安装包上传到 Workspace ONE 服务器,最终用户就可以从服务器上下载和安装应用。如果某些应用有依赖关系,还可以指定应用所依赖的软件模块,如 .NET Framework 等。
对于像跨国公司这类地域分布比较广的企业,受网络访问速度的限制,海外的用户访问集中的 Workspace ONE 服务器有可能速度很慢,非常影响用户体验。Workspace ONE 专门提供了中继服务器(Relay Server)来加速软件下载,位于其他地域的用户可以从就近的中继服务器来下载应用软件,从而大大改善用户体验。中继服务器可以部署在企业在海外的分支机构,也可以部署在该地区的公有云平台上。