随着移动互联技术的发展,越来越多的企业开始采用移动设备来开展业务,在市场上众多的选择中,Apple 的 iPhone / iPad / MacBook 以其优质使用体验和高端形象获得了用户的青睐。你知道如何正确地采购用于企业业务的苹果设备吗?大部分用户不觉得这是一个问题,线下商店或网上商城都有苹果设备销售,但是通过这些零售渠道卖给用户都是面向普通消费者的产品,Apple 另外还有企业销售渠道,面向企业的苹果设备跟普通消费者产品的最大区别就是苹果设备的企业管理功能 ABM (Apple Business Manager)。
Apple 是围绕 Apple ID 来管理对于苹果设备的使用的,无论是下载安装应用,还是保证设备的安全都会用到它。但是 Apple ID 是属于使用者私人所有的一个帐号,把它直接用于企业配发设备就会带来很多预想不到的麻烦。
- 首先是软件的采购和安装问题,企业用的商业软件都是通过商业采购流程来购买的,Apple ID 则要求使用者个人从 App Store 中购买软件,这样不但不能享受批量采购的折扣,同时也会造成软件资产归属问题,通过员工个人帐号购买的软件是跟员工的 Apple ID 相绑定的,员工离职后是没有办法把软件所有权转给企业的。
- 其次是设备的生命周期管理问题,员工离职时设备还给企业了,但是他没有把他的 Apple ID 跟这台设备解绑,接手的员工就没有办法登记新的帐号。某些心怀不满的员工还会把设备上锁,要解锁苹果设备还是比较麻烦的,你必须向 Apple 证明你是这台设备的主人,也就是出示购买这台设备的小票 (上面有设备的序列号)。
- 第三是个人隐私问题, 这也是最容易被人所忽视的。曾经有个老板采购了一批 iPad 作为办公之用,他图方便和省钱用他的 Apple ID 注册了所有的设备,从 App Store 采购的软件是可以在同一个 Apple ID 的多台设备上共享的。但是 Apple 认为这些设备都是归你一个人使用的,它也会贴心地帮你在各个设备同步其他信息,包括通讯录、短信和照片等等,这个故事的悲惨结果就不用说了。
实际上 Apple 为企业用户提供了另一种 Managed Apple ID,它属于企业而不是员工个人,自然就解决了上面提到的这些问题。跟 Managed Apple ID 配套的就是 ABM (Apple Business Manager),ABM 整合了 Apple 的企业设备注册管理机制 DEP (Device Enrollment Program) 和软件批量采购计划 VPP (Volume Purchase Program)。
- 企业设备集中管理:每台苹果设备都有一个唯一的序列号,通过企业销售渠道采购的设备都会在 ABM 系统后台留有记录,当用户开机时就会自动完成设备的激活,并且把设备的管理权限转交给企业指定的 MDM (Mobile Device Management) 系统,例如 VMware Workspace ONE,MDM 系统会对属于该企业的所有设备进行统一管理。企业管理员可以通过 ABM 的门户界面来登记 MDM 系统服务的 URL,通过零售渠道采购的设备也可以通过手工方式登记到 ABM 系统后台数据库。
- 企业软件批量采购和分发管理:在 ABM 体系下,企业采购的设备都登记在该企业的 Managed Apple ID 之下,企业可以批量采购软件,并且管理这些软件许可的分配和回收,这些软件都归属于企业的 Managed Apple ID,而不属于任何员工个人。
采用 ABM 管理苹果设备之后,MDM 就成了企业移动设备管理的标配,MDM 系统会在纳管设备上下发一个 MDM Profile (关于设备管理的配置参数),自动安装好相关的应用;并把设备设置为监管模式,在设备上设置各种监管策略,例如:禁止删除企业应用、设置应用黑名单或白名单、在企业网络环境下自动连接 WiFi 等等。这种监管模式是无法被使用者关闭的,一旦发生设备丢失、被盗之类的问题,管理员可以远程锁定设备,让设备无法继续使用 (俗称变砖了)。
VMware Workspace ONE 是目前市场上对苹果设备支持最好的 MDM 解决方案,它曾连续2年 (2018~2019) 被 Garnter 统一端点管理软件魔力象限列为领导者,它的前身 AirWatch 连续7年 (2011~2017) 被 Gartner 企业移动管理软件魔力象限列为领导者;同时也多次被 IDC 和 Forrester 列为市场领导者。VMware 跟 Apple 紧密合作,为苹果设备提供同步支持,每次 Apple 发布新的操作系统版本,Workspace ONE 都是提前做好测试和准备,从而保证在新版本发布的第一天就提供支持,避免了管理的中断。
下面给大家看一段 iPad 在 ABM 和 MDM 的管理下自动完成设备部署的演示视频 (提示:请选择视频下方的“高清 720P”选项来观看) 。新的 iPad 在开机后会提示用户输入语言和国家,连接 WiFi 网络,后续的工作就由 Workspace ONE 接管了,在演示中我们可以看到 iPad 被纳入了公司的远程管理 (Remote Management),Workspace ONE 会自动完成 iPad 的配置工作,安装相关的软件,并且根据公司的统一风格来配置 iPad 主屏幕布局,包括移除不必要的应用、修改墙纸、把应用收纳在文件夹中等等。这种统一的自动化配置对于企业是非常重要的,Workspace ONE 可以对企业采购的所有苹果设备自动完成配置,而不需要管理员或供应商逐台地手工设置,大大减少了管理工作量。
Workspace ONE 除了苹果设备外,还支持 Android、Windows 10、Chrome OS 等多种类型的设备,称之为统一端点管理 UEM (Unified Endpoint Management)。通过 Workspace ONE 一个平台,就可以管理企业内所有的终端设备,这是 Workspace ONE 区别于其他友商的一个重要优势。
