数字化工作空间

Workspace ONE — 适应性管理

移动应用管理 (MAM – Mobile Application Management) 是企业移动化管理 (EMM – Enterprise Mobility Managment) 一个重要领域,无论是员工自带还是公司配发的设备,在上面要安装业务应用软件的话,都需要通过 MAM 来保证企业数据的安全性。

 

容器化应用

 

容器化是移动应用管理的一项主要技术。在移动设备上,需要安全保护的企业应用可以被放置在安全沙箱(容器)中运行,从而把企业应用和个人应用完全隔离开来,避免相互干扰,并且提供一系列的安全保护措施,例如:

  • 单点登录 SSO
  • 应用级的 VPN 安全通道
  • 禁止数据 Copy/Paste、截屏等操作
  • 企业数远程擦除

应用安全容器

1. 设备级容器化

传统的移动应用容器是通过 EMM 平台来实现的,Workspace ONE 会要求在移动设备上安装 AirWatch Agent 来实现 MAM 的功能。管理员可以规定只有 AirWatch 纳管设备才能安装并使用某些敏感的企业应用,但是在 BYOD 的应用场景下,这也会造成员工的疑虑:我个人的手机为什么要强制安装一个代理软件呢?它会监视我手机上的信息吗?AirWatch 当然不会访问用户手机上的私人信息(例如:短信、照片、通讯录、GPS 定位信息等),它只会访问用户的企业身份帐号(用于 Workspace ONE 或企业应用的单点登录)和企业应用相关的信息。

 

2. 应用自带容器

Workspace ONE 自带的生产力应用如邮件客户端 Boxer、文档管理平台 Content Locker、安全浏览器 Browser、包括 Workspace ONE App 本身都是应用 EMM 平台 AirWatch 的 SDK 开发而成的,它们都是自带容器技术的,即便是在未纳管的移动设备上也是以容器化的方式来运行。

这种技术称之为独立的应用管理技术 (Standalone MAM),它主要有以下优点:

  • 管理员可以通过 Workspace ONE 的应用目录来发布经过批准的移动应用到未纳管设备上(该设备还没有在 AirWatch 中注册)。
  • 只要安装了 Workspace ONE 应用,用户就使用通过单点登录功能,只要是该应用是使用 AirWatch SDK 来构建的(目前该功能只在 iOS 上有效,其他平台很快也会支持)。
  • 如果 Workspace ONE 检测到未纳管设备不合规时(如越狱),它就会采取行动来保护企业数据,如删除所有的企业应用和企业数据等(只要相关应用是使用 AirWatch SDK 来构建的,自带 MAM 功能)。

这种技术使用起来最方便,但是对于第三方应用就很难做到了,除非开发商愿意在开发过程中采用 AirWatch 的 SDK。但是不同的 EMM 平台有着不同的容器化技术,很难让一个开发商为多个 EMM 平台开发容器化的应用。

 

3. 操作系统级应用容器

Workspace ONE 提出了一种折衷的方法,它不需要在移动设备上安装 Agent,也不需要修改应用来实现容器化,而是在安装企业应用时提示用户激活 Workspace Service,实际上是通过安装一个 Workspace Service Profile 来保护相关的企业应用数据。这种激活操作是一次性的,一旦第一次安装企业应用时安装了 Workspace Service Profile,后续安装其他的企业应用就不再需要重复这一操作了。

这种方法相当于在操作系统这一级提供了一个系统级的保护措施,但是并不需要在移动设备上安装任何代理软件,也能为企业应用提供容器化的保护。当然这种级别的保护比起设备级的保护还是要少一些功能,但是对于一般企业应用来讲已经足够安全了,特别适用于 BYOD 的应用场景。

 

适应性管理 (Adaptive Management)

 

利用这种最新的无代理应用管理技术 Workspace ONE 提供了适应性管理 (Adaptive Management) 方案,管理员可以把应用分为需要纳管和无需纳管两类,含有敏感业务数据的应用都需要纳管(如 Salesforce、企业邮箱等);而象下例中的 WebEx(电视会议)和 Concur(差旅报销)都不含有业务敏感数据,就不需要纳管了。纳管的应用如果是使用 AirWatch SDK 来开发的,就自带应用容器,直接安装就可使用;而第三方的应用如 Salesforce,就需要先安装一个 Workspace Service Profile,然后才能安装并具有应用管理功能。

Workspace ONE 适应性管理

在安装 Workspace Service Profile 的提示信息中还有一段”Learn More”的详细说明来解释关于用户隐私的设定,哪些信息会被公司访问和哪些信息不会被访问,从而让用户进一步解除疑虑,放心地安装和使用企业应用。

这种应用管理方案非常灵活,传统的 MAM 需要用户先把设备注册到 AirWatch,现在安装纳管应用时就可以直接注册 AirWatch,并且也不需要下载安装 AirWatch Agent。需要纳管的应用图标上都有一个小锁图样的标记,表示它含有敏感业务数据,很容易区分。

应用目录中的应用类型

Workspace ONE 的适应性应用管理方案有助于企业降低在内部推广 BYOD 计划的难度,我们鼓励员工用自带设备办公,但是不再需要强制员工在一开始就安装 AirWatch Agent 并注册设备,部分员工对这种安全性要求有抵触情绪。现在,只有当员工想到安装某一企业应用来更方便地工作时,他才会被要求激活一个安全服务 (Workspace Service),他会认为因为是自己需要访问企业数据,所以这样的要求是合理的。