您当前的位置是:  首页 > 新闻 > 国内 >
 首页 > 新闻 > 国内 >

因应BYOD风潮 移动设备管理系统崛起

2014-04-29 09:18:43   作者:   来源:iThome   评论:0  点击:


  员工在工作过程中运用智慧型手机与平板电脑已是常态,移动设备管理系统也开始崛起,但过去这类产品的运用较缺乏弹性,随着技术的改良,现在功能已趋于成熟

  针对智慧型手机或平板电脑等移动设备的管理系统,发展至今已经有一段时间,而且从最初的移动设备功能管理(Mobile Device Management,MDM),例如照相、Wi-Fi、蓝牙传输,甚之记忆卡的读取等功能控管,现在已经演进成App安装控管(Mobile Application Management,MAM),包括强制安装或禁止使用特定应用程式,以及针对移动设备的电子邮件、可存取的各类文件内容控管(Mobile Content Management,MCM)。

  以这样的发展过程来看,不难发现移动设备的控管,目的都是为了资讯安全,因此作法上,无非是希望限定装置特定区域不能使用某些功能、不能使用特定应用程式,或是不让这些装置变成机敏资料外流的漏洞。

  管理原则与管控方法已趋于一致

  在本次测试的5套移动设备管理系统中,绝大多数都同时包含了MDM与MAM,例如Citrix XenMobile、SOTI MobiControl、Sophos Mobile Control,以及Kaspersky Security for Mobile等,另外也有针对MCM控管的LetMobile。我们在实际测试与使用这些管理系统之后发现,可管控的程度已经相当成熟,差异在于操作介面、管理逻辑,或是管理原则的指派与配对等。

  目前所有移动设备管理系统,在发布与派送管理原则与内容的时候,方法大致可分为3种,分别是透过Exchange ActiveSync、App Store与iOS描述档等。

  举例来说,多数MDM系统对iOS平台移动设备的管控方法,都是安装描述档,而App的管控,则是采用专属的App,并在这些移动设备上开启特定的App。例如Citrix XenMobile搭配的Worx Home,SOTI的MobiControl及Sophos Mobile Control,都是搭配同名的App,且可以设定被控的员工移动设备强迫安装或建议安装的App,并可直接开启。

  使用Exchange ActiveSync派送

  在微软的Exchange ActiveSync协定中,其实就内建移动设备管理的功能,只要企业采用支援ActiveSync的电子邮件伺服器,在移动设备收发电子邮件的时候,都可将移动设备管理系统的管理原则,同时派送至装置上。

  以Kaspersky Security for Mobile(KSM)为例,管理人员可以在Exchange ActiveSync移动设备伺服器的设定中,直接指派设定档案给使用者的电子邮件,只要使用者从移动设备收发这个帐号的电子邮件,就会一并将管理政策下载并部署与套用到装置上。

  安装应用程式

  在移动设备上透过安装专属应用程式App来管控的这种作法,最主要的功能与目的,就是将公事与私人使用隔离。

  在专属App内,管理人员可以派送建议使用者应该装的应用程式或文件,而在App以外的任何操作,都是采用沙盒(SandBox)的设计,让该App内的所有操作都是独立的,并不影响移动设备本身与其他App的使用。另一方面,该App以外的任何操作,也都不会影响到这个App的内容(除了移除安装)。

  安装系统描述档

  iOS装置在发布与接收管控原则时,一般都是使用描述档的方式,管理者在透过移动设备管理系统设定好控管内容,并建立好描述档之后,就会产生描述档的下载连结,接着,不论是透过讯息、电子邮件传送或是产生QR Code,让使用者从移动设备开启该连结,之后就会自动引导到系统设定的描述档安装画面中,此时,只要点选安装,就会将管理原则部署到装置上。

  可管控的功能更进阶,应用情境更广

  在移动设备管理系统管控的功能方面,多数MDM系统实际上可控管的项目与细节,其实都相当接近。例如基本的照相控管、强制密码强度、强制开启GPS定位、远端抹除设备、限制特定网页,或是预先派送Wi-Fi设定档等。

  以这些功能来说,其实在前几年就已经相当成熟,但是本次采购特辑中,我们另外还发现,Android与iOS平台的装置管理开始有了一些不一样的变化。

  Android与iOS平台之间最大的差别,就在于软、硬件的开放。iOS装置,不论是手机或平板,作业系统与硬件都是由Apple自行开发,而Android平台则提供各家厂商自行开发硬件,并可修改与自定使用者介面及功能。

  而移动设备管理系统要对Android装置进一步的管控,就必须取得由这些手机与平板开发商提供的API,以取得这些装置的特定功能。

  例如,本次除了LetMobile之外,其他MDM厂商都可针对Samsung的移动设备进行进阶的管控。而且管控内容相当详尽,包括电池电量、手机的电信商,甚至信号强度等,都可以当做是管理原则的条件。另一方面,Samsung也研发加强移动设备安全的Knox,而上述这些厂商也都提供对Knox的支援。

  而Apple的移动设备从iOS 7开始,也开始加入商务与企业应用的功能,例如能为App设定独立的VPN、单一登入、以及专属的MDM设定选项等

  你会好奇,能够取得这些详细的设定条件,对管理上有什麽帮助。举例来说,移动设备的GPS定位功能,以往最常使用的情境,就是在装置遗失的时候使用,但现在的移动设备管理系统,可以运用定位的功能,达到在特定区域的时候,就开启或锁定某项功能。

  以SOTI MobiControl为例,它可以画定某个区域(必须围起来),并设定移动设备抵达或离开该区域的时候,启动或关闭某功能。例如,可以将公司办公室的区域,以地理资讯定义起来,并设定装置抵达公司的时候,就把照相功能关闭。这样的功能对科技园区的企业或军方单位等,需要严格控管的环境来说,相当实用。

  而连线的方式上,许多MDM系统为了加强移动设备与企业内部连线的安全性,都会建立专属且全程采加密的连线通道,避免这些装置成为资安的漏洞。

  系统建置与装置授权价格落差大

  在系统建置的需求方面,有不少MDM产品都提供自行建置管理伺服器的选择,并可与企业既有的IT环境整合,例如AD、Exchange Server等,同时它们也都提供SaaS云端代管的服务。

  唯一例外的,就是Kaspersky的KSM,因为它是卡巴斯基企业端点安全解决方案的一部分模组,因此不像其他MDM系统,可直接与既有环境整合。如果企业环境选用其他防毒系统,且没有打算更换,在导入与整合这套系统就会比较麻烦。同时,KSM也是唯一无法使用网页登入管理介面的系统,它必须在特定的电脑上安装管理应用程式,管理的灵活度比较受限制。

  而价格的部份,这5套MDM系统都提供订阅的授权方式,可用每台装置或每位使用者为计价单位,以第一年的费用为例,像Citrix XenMobile(同时包含MDM与MAM功能)的8,000多元,到Kaspersky KSM(KESB标准版)的1,840元,落差相当大,而,后续每年则要支付系统升级维护费用。因为采取这样的计价方式,长久来看并不划算,因此多数企业都选择买断授权,代价是后续将无法更新与升级,但长远来看比较划算。

  采用沙盒设计,可独立运作不影响使用者App

图为Citrix Worx Home App

  许多MDM厂商在应用程式与文件的控管上,都使用专属App,并采用沙盒的架构,让工作相关的应用程式,如电子邮件,可在这个App内开启,而关闭之后资料并不会遗留在装置上。且对使用者来说,这样的设计,可以将个人与公事区隔开,且不会影响到个人隐私。

【免责声明】本文仅代表作者本人观点,与CTI论坛无关。CTI论坛对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。

专题