• 大咖博闻荟 | 如何利用VMware Workspace ONE开启远程办公（上）

　　接上篇文章，今天，让我们更进一步看看如何利用VMware Workspace ONE开启远程办公，本文有更多的操作细节。笔者也决定用更加活泼一点的语言，半翻译半创作。让大家看起来更加舒服一些。

• Workspace ONE UEM – 提供统一端点管理，可管理Windows, Mac, iOS 和安卓设备，保护企业应用和数据。
• Workspace ONE Access – 提供统一应用门户，通过门户可安全访问企业的所有应用，可单点登录，用户可通过Hub Service非常简易的获取到企业各种应用。
• VMware Horizon – 提供虚拟应用和桌面，所有的数据都在数据中心运行。
• Carbon Black Cloud – 原生基于云的端点保护平台（EPP） 结合智能系统固化和行为检测，使用单个轻量级代理程序和易于使用的控制台来抵御最新的威胁。**CB确实是个好东西，可惜还没进入国内哈。

• 联系VMware 销售和代理

　　由于SaaS的便捷性和Workspace ONE UEM的多租户架构，申请后很快就可以拿到一个SaaS环境了（几小时到一天不等<-笔者不对时效负责，通常都很快就对了）。

1. Workspace ONE UEM有丰富的向导功能，足以完成各种推出前的准备，自动发现，APNS证书，配置文件，单点登录等等等等。
2. Workspace ONE UEM有多租户架构（tenant），所以你自己也可以接着创建子组织组，平行组织组可以有不同的安全策略、配置、应用分发等等等等。是不是很cool？

• 部署并配置 AirWatch Cloud Connector （ACC） – 安装在内网，作为云链接器可以替Workspace ONE UEM完成和企业后端资源集成。防火墙上就不用打洞了（不是开车）。
• 部署并配置Workspace ONE Access Connector – 给Workspace ONE Access服务用的链接器。
• 部署并配置Unified Access Gateway （UAG） – 统一网关，访问和安全并重。目前开启远程办公必备。里面有很多服务。
• 配置VMware Tunnel 边缘服务 – 应用级安全隧道，可用于原生和web应用，不管是移动端还是桌面都可以用（Windows10，macOS）啦。
• 配置Secure Email Gateway 服务– 安全邮件网关，原先是单独套件，UAG3.6（大约是吧）也加入了SEG服务。非常常用的对吧。
• 配置Content Gateway边缘服务– VMware Workspace ONE? Content 应用可以通过这个服务访问内部文件共享、SharePoint资料库等等。
• 配置 Web 反向代理和身份桥接 – 为web应用提供反向代理，为身份认证服务提供桥接，如Kerberos 或基于header的认证。
• 配置Horizon 边缘服务 – Horizon从内网走向外网的保证，替换原先的Security Server。

• 配置移动邮件管理 – 保护邮件架构（不直接开放访问），提供各种MEM功能：接入控制，合规，附件加密等等。
• 配置Workspace ONE Access集成第三方IdP和应用 – Workspace ONE Access 作为身份认证的中心，桥接各种企业已有的第三方身份认证解决方案，提供无缝SSO体验。
• 配置Hub 服务 – Hub 服务将原先的Workspace ONE门户，People通知等等集成到Hub应用里面，员工有一个就足够了。本地部署目前还没法用（因为要SaaS版的Workspace ONE Access），不过后面版本会支持，把hub变成无敌统一门户。

• 配置 Workspace ONE Intelligence – 提供洞察力，用户行为风险分析，自动流程等等各种高级功能。让企业可以决策并执行的超高级服务（纯SaaS，国内没有）。

• 创建并分配设备配置文件和策略 – 设备配置文件是管理设备最重要的啦，讲企业规划的安全策略和流程通过配置文件和合规策略进行功能落地。不知道怎么配置的可以从最常见的开始，比如邮件、加密、设备密码要求、wifi等等等等。

1. 不同操作系统的配置文件当然需要分开创建，因为每个操作系统厂商提供的接口功能也不一样的，具体可以翻翻我们的手册。自己多试试是最好的选择，因为接口功能也是改来改去。
2. 创建配置文件时第一步永远是通用（General），之后是各种负载（Payload，相信我这词不好翻译，Apple这么翻译后大家也就这样翻译了）：

• 通用 设定如何分发配置文件和分发给哪些设备。
• 负载 才是真正起作用的部分，可以是限制也可以是其他一些配置。一旦安装即刻生效。

1. 在 Workspace ONE Access中设定条件访问策略 – 条件访问策略就是把有关用户、设备和应用的部分都互相关联起来，比如用户能不能看见这些应用，如何访问这些应用（什么样的认证条件）。

• 利用 风险分析 可以基于用户行为打分，什么机器学习啦，人工智能啊。

• 添加和分配应用到联合目录（门户） –  Workspace ONE Intelligent Hub 提供联合目录，所有应用都可以找到，当然具备操作系统感知功能。虚拟应用和桌面总是可以跨界的。

• 还有各种移动设备上的生产力工具对吧？这都是Workspace ONE 自带的，不用单独花钱购买的。

1. Workspace ONE Boxer – 安全访问邮件、日历和联系人。
2. Workspace ONE Web – 使用应用级隧道安全访问内部站点。
3. Workspace ONE Smartfolio – 帮助企业管理和分享给员工他们工作所需的关键企业内容，符合企业文档发放规定，合规审计等等。
4. Workspace ONE Content – 安全访问企业内部文档库里面的内容，文件共享，SharePoint站点和其他内容管理系统（有兴趣可以百度CMIS）。
5. Workspace ONE Notes – 安全访问备忘录和任务管理，最终用户可以随时随地安全记录想法，会议记录和任务等等。

• 配置SDK策略 – Workspace ONE 平台也提供SDK库，可以赋予企业应用一些非常好的能力：认证、DLP设置、单点登录等等。

• 是的，VMware官方有 Getting Started with the Workspace ONE End-User Adoption Kit 可以参考。当然你可以自行设计或基于官方文档参考设计。最后不要忘记培训最终用户！

• 访问getwsone.com，下载Workspace ONE Intelligent Hub 应用。
• 使用企业邮箱和凭证纳管设备。
• 纳管完成后，打开Workspace Intelligent Hub，访问企业门户（联合目录）！

• 最终用户收到邮件（或短信，没啥人用了，相信我），扫描二维码。
• 提示时输入企业凭证。
• 纳管完成后，打开Workspace Intelligent Hub，访问企业门户（联合目录）！

• 好吧我们来看一下：

1. 计划Windows10部署 ，做好一切准备，参考我们的决策流程（techzone里面有）可以帮助你决定使用那些纳管的方式。
2. 使用 Azure AD 讲Workspace ONE 和 Azure AD集成，可以实现开箱即用，员工第一次打开Windows10设备就可以无缝纳管。当然你需要互联网。
3. Dell 工厂预置 ，管理员可以从Dell直接订购设备，Dell工厂可以预置必须的应用，设备直接发到员工，实现开箱即用。

• 如果已经有在用SCCM管理设备或设备已经加入域，可以看看用命令行 Onboarding using Command-Line enrollment 和 Workspace ONE AirLift.去techzone找这些文档吧。
• macOS 纳管选项：

1. 可以参考Onboarding Options for macOS 文档。
2. 集成 Apple Business Manager 可实现Apple设备开箱即用。

• Android 纳管选项：

• iOS 纳管选项：

• 可以创建不同角色的管理员，分发给服务台和同事使用。
• 通知最终用户自服务门户Self-Service Portal to 可以让他们自己控制部分MDM功能（听起来很cool），减轻IT压力。

• 人工智能助手是个好东西，如上图。国内目前还没法用。

• 使用 Workspace ONE Intelligence 可以自动化替换即将无法使用的电池，自动化补丁修复，各种自动化非常炫酷，企业还有全局一览控制台，多棒，就是国内没有平台。