您当前的位置是:  首页 > 资讯 > 国内 >
 首页 > 资讯 > 国内 >

大咖博闻荟 | 如何利用VMware Workspace ONE开启远程办公(上)

2020-04-15 09:54:36   作者:   来源:CTI论坛   评论:0  点击:


  介绍
  在目前的全球疫情下,很多企业正在努力让员工有能力进行远程办公。老实说很多企业对此都措不及防。本文提供了相关指导:VMware如何快速帮助企业使用VMware Workspace ONE实现远程办公。
  VMware Workspace ONE是一个强大的数字工作空间集成解决方案,包括访问管理、统一端点管理(UEM),分析,桌面和应用虚拟化以及端点安全。这些都是非常关键的解决方案,让企业安全不受损坏,同时提供出色的用户体验。Workspace ONE 分为四个核心解决方案:
  • Workspace ONE UEM – 提供统一端点管理,可管理Windows, Mac, iOS 和安卓设备,保护企业应用和数据。
  • Workspace ONE Access – 提供统一应用门户,通过门户可安全访问企业的所有应用,可单点登录,用户可通过Hub Service非常简易的获取到企业各种应用。
  • VMware Horizon – 提供虚拟应用和桌面,所有的数据都在数据中心运行。
  • Carbon Black Cloud – 原生基于云的端点保护平台(EPP) 结合智能系统固化和行为检测,使用单个轻量级代理程序和易于使用的控制台来抵御最新的威胁。
  图 1. Workspace ONE 平台
  第一步 –  获取 Workspace ONE SaaS服务
  你马上可以会提问:“我怎么才能获得这个解决方案并用起来呢?”企业目前的硬件和能力可能非常有限,大部分,如果不是所有员工都需要远程办公。VMware可以快速置备完整的 Workspace ONE 云端SaaS环境,基于企业需求提供快速访问和随时扩展。
  VMware已经提供并管理相关SaaS服务,包括:Workspace ONE UEM 和Workspace ONE Access,贵公司的IT团队只需要关注如何管理设备、应用和安全策略。(笔者按:到目前为止中国只提供了由代理商运维的Workspace ONE UEM SaaS)
  对于 VMware Horizon来说,企业可选择所使用 Horizon Cloud Service 来管理自己的云端虚拟桌面和应用,目前在 Microsoft Azure 或 AWS。(笔者按:到目前为止中国还没有)
  第二步 – 用户身份集成和企业资源访问
  从最基本的集成来说,活动目录(Active Directory)可作为认证用户身份源和授权访问, Workspace ONE 提供连接器,可以安装在本地,这样可以实现集成和同步用户以及用户组。这种集成是最基本的,可以用来实现企业应用安全访问,基于设备的条件访问,身份和用户行为等等。同时集成也可以帮助打造统一门户,这样最终用户可以在任意设备上同一位置访问所有应用。
  远程办公另一基本要素是要能访问到私有部署的企业数据。员工可能需要访问文件、邮件和应用,这些都在内网存放。IT为了满足这些需求,就需要在不损坏安全的前提下提供外部访问支持。Workspace ONE提供了安全网关组件(UAG),可部署在DMZ区,以确保所以访问请求都被认证并来自于企业纳管设备。一台UAG就可以处理多种使用案例和上千用户。
  图2. 通过统一应用门户,最终用户可访问web,原生和远程虚拟应用。
  统一应用门户作为Workspace ONE Intelligent HUB的一部分提供了无缝集成,让员工可以访问企业的各种应用,如 Service Now, Salesforce, Slack, Office 365, 远程虚拟桌面和应用,单点登录和多因素认证 (MFA) 可用来加强应用访问时的安全性。
  第三步 – 定义访问策略和部署应用
  清楚认识到企业需要具备能力让员工可以远程办公,这可以大大推动解决方案的落地实施和访问策略的制定。员工的职能角色和设备的所有权(企业配发或自带设备)非常重要,必须在这一步考虑进去,因为这将驱动安全策略如果制定,以及应用如何交付。
  从应用的角度看,必须计划好最终用户能看到什么应用,以及如何交付使用。Workspace ONE 可以交付并管理原生和Web应用,集成设置设备安全策略。Workspace ONE 同样可以提供远程虚拟桌面和应用,这些桌面和应用都在数据中心运行和维护。
  从设备的角度看,有些用户将继续使用企业配发的笔记本和手机作为远程办公的工具,在这种情况下,Workspace ONE UEM 管理员可以最大权限的控制这些设备。管理员可以应用安全策略,严禁最终用户访问设备的设置功能。在这种场景下,最终用户可从设备访问Web和原生应用,安全策略也会确保设备上的企业数据安全。如果员工把设备丢了,可执行远程擦除指令,清除设备上的企业数据,或者将设备擦除到出厂状态。
  另一方面来说说,有些客户会在远程办公使用自己的设备,这样 UEM管理员又无法那么强力的管理这些设备了。企业必须要平衡的考虑是把应用真正分发到这些个人设备上,还是分发虚拟桌面和应用。Workspace ONE可提供两种选择,无缝结合,实现员工访问和IT安全需求的平衡。
  第四步 – 纳管用户设备
  基于企业所在的行业或目前的情况,员工可能有或没有企业配发的专用设备。首先,企业需要考虑哪些设备平台或关键因素是员工远程办公是所需要的。企业的移动用户(那些已经居家办公或使用企业配发设备的) 很大可能不需要考虑这些,无非是加上一层管理功能以获得设备管理的收益:
  • 从任意设备无缝访问任意应用
  • 可发送实时通知到所有员工的所有设备上
  • 隔空设设置备配置,策略,企业安全基线
  • 自定义仪表盘和报表,获知所有企业设备状态
  • 可设置设备最低标准的安全基线,部署安全方案和策略,实时合规检测和修复
  可通过 What Is Workspace ONE让最终用户了解什么是Workspace ONE,通过Privacy App让最终用户缓解隐私方面的顾虑。
  那些没有企业配发设备的员工,从来没有远程居家办公的,企业最好从一些小技巧开始沟通。除此之外,企业也可以赋能员工将任意设备(员工自带设备)纳管进来,这些设备是他们非常喜欢的,愿意用它们来办公的。你可以发送给他们纳管用的链接,这将给他们一个快速入口。
  为了帮助完成这一过程,VMware提供了一个工具包,其中包括预先制作的、可定制的模板、最佳实践和想法,可以帮助企业启动自己的流程,并立即开始使用Workspace ONE平台推动采用率。
  从技术角度看,完成 Workspace ONE 安装需求后,最快让现有设备纳管的方法就是让用户访问 getwsone.com 或 getws1.com ,根据指引开始纳管。请记住这些是流水线式的纳管方式,当然他们可能需要一些前置条件或附加的配置才可以实现。简单举几个例子:Windows 的 OOBE/Autopilot(开箱即用),Dell Factory Provisioning(Dell工厂置备),Apple商务管理自动纳管 macOS 和 iOS ,或是安卓的Work Managed Device/Work Profile 纳管模式。访问Tech Zone上的quick-start learning paths 可获得更多信息。
  图 3. 统一管理任意操作系统和任意设备类型
  第五步 – 跟踪员工体验&提供不间断的支持
  到这一步企业已经配置了所有项目,开始纳管新的用户和他们的设备,企业可能在思考: “我们怎么支持这些远程用户呢?” 如果企业支持团队有多种专业方向的成员,企业可以配置自定义管理员角色 (或者使用平台已经定义好的管理员角色),这样的话每个管理员只能看到和访问到哪些对他们最重要的部分。最终用户也可以访问自服务站点,获取多种能力,比如找到他们自己的BitLocker (Windows10专业版或以上)恢复秘钥,定位自己的设备或是可以选择擦除/锁定设备,如果设备遗失或被偷。另外,服务台可以使用Workspace ONE Assist,非常方便的远程查看,控制,白板,记录,查看进行,共享或从目标设备抓取日志,当然这一切都是最终用户知晓,并在需要更加级别的即时协助时进行。
  以上段落描述了如何响应式的支持最终用户。然而,你还可以利用自动化来预判式帮助最终用户。通过 Workspace ONE Intelligence,该平台可以支持和很多第三方服务集成,实现自定义的全局仪表板,报告和强大的自动化操作流程。通过CVE集成和自动补丁分发,企业可确保设备安全。在笔记本电池无法充电之前,预先分发给最终用户替换用的电池。使用Sensor(自定义属性)可让你获知纳管设备上的任意属性值,并因此执行自动化流程。
  本文的目的是让企业开始思考如何将任意应用分发到任意设备上,使员工可以即使随地的开展各种各样的工作,同时保护核心数据。请务必查看 Digital Workspace Tech Zone podcasts, Maintaining Business Continuity in Difficult Times – Part 1, 我们将与EUC技术营销团队的专家更加详细的讨论本主题!
【免责声明】本文仅代表作者本人观点,与CTI论坛无关。CTI论坛对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。

专题

CTI论坛会员企业