很明顯,我們只會在一類發(fā)展趨勢接近或者達到巔峰狀態(tài)時才毅然投身于其中,同樣的道理在移動管理領(lǐng)域自然也遵循這一規(guī)律。多年前以Good Technology與Zenprise為代表的利基廠商外加MobileIron以及AirWatch等初創(chuàng)企業(yè)擔(dān)當(dāng)著這片市場中的先行者。時至今日,眾多主流廠商,包括CA Technologies、思杰系統(tǒng)(已收購Zenprise)、戴爾、EMC VMware(已收購AirWatch)、IBM以及微軟等等,都在積極推廣自己的移動管理工具。
隨著各大主流廠商紛紛涌入移動設(shè)備管理(簡稱MDM)業(yè)務(wù)市場,這一領(lǐng)域本身已經(jīng)被定性為如今我們所熟知的移動范疇。平板設(shè)備,包括另辟新概念的iPad陣營與由微軟及其它Windows設(shè)備制造商大力推動的“解構(gòu)式筆記本電腦”半智能手機、半筆記本產(chǎn)品。對于一部分用戶,平板設(shè)備已經(jīng)足以徹底替代筆記本電腦,而對于另一部分用戶,平板只是對現(xiàn)有計算設(shè)備的一種補充。無論如何,計算機與移動設(shè)備之間的界線正變得愈發(fā)模糊。
即使是在不同設(shè)備擁有明確分工的領(lǐng)域,用戶仍然傾向于利用多種設(shè)備處理日常工作。仿佛在一夜之間,管理者已經(jīng)很難再以過去那種將不同硬件平臺加以確切劃分的方式完成管理工作——密碼、訪問以及其它管理政策開始出現(xiàn)巨大交集,無論相關(guān)工具是否已經(jīng)準(zhǔn)備就緒。
有鑒于此,MDM開始由純粹的移動范疇轉(zhuǎn)向涵蓋用戶可能訪問的任何以及全部領(lǐng)域:智能手機、平板設(shè)備、計算機甚至是云桌面服務(wù)。其中一部分可以由使用者自行持有,也有一些歸企業(yè)方面持有,但大多數(shù)情況下表現(xiàn)出雙方混合持有。其中涉及的操作系統(tǒng)類型同樣多種多樣:不同版本的Windows、OS X、iOS以及Android是必不可少的,此外也許還摻雜著Linux、Windws Phone、Chrome OS以及Blackberry OS等等。
但是實現(xiàn)這種大一統(tǒng)式的客戶管理狀態(tài)絕非易事。不同客戶機上所使用的基本技術(shù)千差萬別,而這又直接影響到安全性、管理性以及這兩大前提性目標(biāo)的實現(xiàn)方式。除此之外,供應(yīng)商也會各自選擇符合實際需要的不同發(fā)展道路。舉例來說,大型企業(yè)已經(jīng)決定在不久的將來徹底終結(jié)PC與移動設(shè)備各行其是的狀態(tài),以統(tǒng)一方式實現(xiàn)設(shè)備管理。
當(dāng)涉及管理工作時,Windows與其它方案完全不同
一款工具要具備怎樣的能力才可以實現(xiàn)統(tǒng)一化管理?事實上,Windows陣營下的各類設(shè)備在管理方面需要使用與其它熱門操作系統(tǒng)完全不同的技術(shù)與投入。造成這個問題的原因由來已久且影響深遠:“在由運營商支持的移動設(shè)備領(lǐng)域,我們用不著對操作系統(tǒng)太過擔(dān)憂——運營商會幫助用戶解決這類問題。但Windows則不同,我們總是需要對其進行全面控制,”戴爾公司移動管理部門產(chǎn)品推廣執(zhí)行主管Neal Foster回憶稱。
除了Windows與黑莓的傳統(tǒng)BES之外,其它典型解決方案是向設(shè)備當(dāng)中添加一套包含有管理政策的payload。通過這種方式,該設(shè)備將通過其標(biāo)準(zhǔn)API實現(xiàn)相關(guān)政策方針。CA公司的Varadarajan將此類方式稱為單形機制:我們推出政策包,而設(shè)備會在接收到的同時將其付諸執(zhí)行并“消化”相關(guān)payload。未來該設(shè)備嘗試訪問我們的服務(wù)器時,將有對應(yīng)政策檢查其是否已經(jīng)切實采取了正確的管理政策,并在得到肯定結(jié)論后予以放行。
此類payload方案非常適合打理移動設(shè)備,因為大家可以在具備或者不具備連接兩類情況下對其實現(xiàn)同等管理——沒錯,即使缺少聯(lián)網(wǎng)環(huán)境,移動設(shè)備仍然處于管理之下,因此我們甚至用不著提前為政策交付提供一套安全空間。不過此類作法在監(jiān)管方面較為薄弱,我們無法實現(xiàn)合規(guī)性審計、而且只能在設(shè)備嘗試接入時通過報告意識到它的存在。蘋果及其它廠商已經(jīng)為payload方案聚焦起規(guī)模龐大的用戶群體,但某些行業(yè)所需要在持續(xù)保障能力仍然得不到滿足。
Windows則是另一個完全不同的世界,在這里計算機設(shè)備處于受信防火墻的嚴(yán)格保護之下而且永遠不會游離于受信網(wǎng)絡(luò)之外——事實上此類計算設(shè)備被視為接入節(jié)點而非偶然性訪客來看待。造成這一切的根源則在于通過Active Directory與System Center所構(gòu)成而成的域管理體系。當(dāng)然,隨著時間的推移筆記本電腦已經(jīng)成為上流,而Windows陣營的管理工作也需要提供更為便捷的外部網(wǎng)絡(luò)訪問能力——通常利用VPN將受信網(wǎng)絡(luò)拓展至互聯(lián)網(wǎng)當(dāng)中。
加入域類方案允許用戶在客戶端與服務(wù)器之間采取更多主動性措施,同時也能提供更為出色的持續(xù)審計能力。不過其在移動設(shè)備這類頻率登入登出的計算平臺上表現(xiàn)糟糕,這也解釋了為什么就連微軟自己也沒有將加入域機制推向Windows Phone與Windows RT。“加入域在PC設(shè)備領(lǐng)域的作用是作為前提條件存在的,”戴爾公司的Foster指出,“但隨著越來越多PC不再通過域?qū)崿F(xiàn)接入,這種前提條件也就無從談起。”
也就是說,微軟并沒有在其面向移動設(shè)備的移動管理工具Intune當(dāng)中采用域加入機制。相反,這款工具選擇了在PC設(shè)備上安裝客戶端應(yīng)用來處理payload,而后再據(jù)此配置Windows系統(tǒng)環(huán)境并構(gòu)建安全空間——這種作法與iOS、OS X中原生以及在Android上利用第三方軟件實現(xiàn)的沙箱方案相似。
隨著時間推移,payload方案很可能成為一套執(zhí)行標(biāo)準(zhǔn),甚至在Windows陣營中同樣占據(jù)統(tǒng)治地位。微軟的Windows操作系統(tǒng)開發(fā)團隊拒絕就管理問題向我們分享其觀點,而服務(wù)器開發(fā)團隊則拒絕與操作系統(tǒng)團隊交流。不過“在Windows 8.1中,用戶已經(jīng)能夠?qū)C設(shè)備像移動設(shè)備那樣加以管理,例如通過添加代理實現(xiàn)System Center功能或者直接使用管理API。Windows RT同樣支持此類管理方式,”微軟公司W(wǎng)indows Server與Systen Center產(chǎn)品推廣主管Andrew Conway表示。不過即將推出的Windows Phone 8.1則將支持加入域機制,因此微軟可能也在嘗試將兩類方式全部予以保留、并觀察市場的反應(yīng)情況。
統(tǒng)一化管理之路
當(dāng)然,在MDM領(lǐng)域探索的各位先行者已經(jīng)意識到統(tǒng)一化管理趨勢的來臨,而且其中一部分也已經(jīng)將Mac納入其移動解決方案當(dāng)中——理由很簡單,蘋果開始跨越iOS與OS X兩套平臺提供大量統(tǒng)一化API以簡化產(chǎn)品操作。眾多合作伙伴以及其它供應(yīng)商則開始推出并非真正擁有集成特性的PC與移動設(shè)備管理方案,這種單純利用不同組件拼湊起來的產(chǎn)品只能夠?qū)崿F(xiàn)一部分共享或者協(xié)作管理政策。
但當(dāng)前市場上的主流供應(yīng)商帶來最為活躍的表現(xiàn),致力于將桌面與移動世界調(diào)和成一套具備通用性的整體管理環(huán)境,其中包括資產(chǎn)追蹤乃至安全政策執(zhí)行等等。理由很簡單,這些主流廠商通常已經(jīng)擁有了面向Windows環(huán)境的工具,因此相當(dāng)于完成了工作場內(nèi)大部分客戶端設(shè)備的支持任務(wù)。接下來要做的就是以Windows PC為起點為IT部門提供其熟知的使用感受。(微軟方面表示,目前有70%企業(yè)采用System Center作為Windows PC的首選管理方案。)
此類產(chǎn)品可以包羅萬向,從單純將兩款獨立產(chǎn)品從共性出發(fā)進行配對——例如政策共享或者通用管理控制臺——到能夠在后臺處理不同客戶端差異的單一工具。大部分企業(yè)仍然傾向于構(gòu)建兩個獨立的團隊對PC與移動設(shè)備進行分別管理,而單一工具類方案只有在企業(yè)放棄了這種隔離性思維之后才有可能派上用場。
“大部分企業(yè)并不會利用同一套人員班子對桌面及移動設(shè)備進行管理。桌面管理已經(jīng)擁有悠久的歷史,而PC管理則被視為一種正常的企業(yè)運營活動。相比之下,移動則屬于新生事物并被交給獨立的團隊負責(zé),”CA公司總經(jīng)理Ram Varadarajan表示。“我們還沒有看到太多推動單一管理系統(tǒng)廣泛普及的實際案例,但這確實是一種分階段的深化趨勢,”戴爾公司的Foster指出。
這就讓管理方案供應(yīng)商陷入了先有雞還是先有蛋的典型困境。就目前而言,移動設(shè)備的管理方式以及負責(zé)團隊與PC設(shè)備有所不同。移動設(shè)備以電子郵件為早期用例開始快速進入Exchange域管理員的視野,而蘋果公司則將微軟的Exchange ActiveSync協(xié)議作為其默認(rèn)管理技術(shù)——谷歌也為其Android選擇了同樣的發(fā)展路線。
因此,IT組織通常會選擇兩款工具對PC與移動設(shè)備加以管理,即使他們總是把統(tǒng)一化作為最終發(fā)展目標(biāo)。“我們已經(jīng)感受到將管理工作推向統(tǒng)一的整體趨勢,”微軟公司的Conway指出。“大部分企業(yè)已經(jīng)不希望再受到這種移動孤島狀況的困擾,他們更傾向于將全部計算設(shè)備視為同類對象,”CA公司的Varadarajan解釋道。
不過在真正著手對各負責(zé)IT團隊加以整合之前,統(tǒng)一化工具仍然無法帶來太多現(xiàn)實意義。當(dāng)然,首先應(yīng)該由IT部門將管理團隊集中起來,并將全部現(xiàn)有備選工具提供給整合后的統(tǒng)一團隊。由這里起步,IT部門接下來可以考慮利用由供應(yīng)商所提供的統(tǒng)一化管理工具對原有獨立工具加以替換。
CA、戴爾與微軟都是很好的依靠對象,值得管理方案供應(yīng)商在嘗試邁向統(tǒng)一化管理道路的過程中作為參考。也許大家正在考慮或者已經(jīng)開始協(xié)作的供應(yīng)商遵循的正是以上幾家主流企業(yè)的既定路線。
CA公司正在努力拿出一套面向全部管理工作的單一控制臺,Varadarajan指出。該平臺的差異性主要體現(xiàn)在內(nèi)部層面,而這里作為平臺實現(xiàn)管理政策共享的空間也最易于實現(xiàn)統(tǒng)一化調(diào)整——即使其實際執(zhí)行方式有所區(qū)別。“我們已經(jīng)見到過一款面向OS X與Windows平臺的通用管理工具。iOS與Android之間的差別還不及前兩者那么明顯,”他表示,并建議稱統(tǒng)一化進程所面臨的挑戰(zhàn)其實并不像大家想象的那么嚴(yán)峻,因為目前不同平臺之間已經(jīng)在某些關(guān)鍵性屬性層面實現(xiàn)了融合。“沒錯,我們所采取的措施與實現(xiàn)方式可能有所區(qū)別,例如我們需要在Windows、OS X以及移動系統(tǒng)中使用不同類型的代理,但它們總體而言執(zhí)行的都是同一種任務(wù)。”
換句話來說,供應(yīng)商需要從內(nèi)部對自己的工具進行fork。“作為一項被嚴(yán)重低估的技能,fork確實能夠推動統(tǒng)一化進程更上一層樓,”Varadarajan表示。舉例來說,“OS X與iOS使用大量完全相同的API,但所采用的語義卻有所區(qū)別。我希望同樣的情況能夠在未來出現(xiàn)在Android PC之上,而且我相信未來Windows也將實現(xiàn)這一發(fā)展目標(biāo)——畢竟Windows Phone與PC Windows之間已經(jīng)存在巨大差異。”
當(dāng)然,某些管理策略仍然無法直接作用于一部分設(shè)備,但統(tǒng)一化工具會識別出此類情況并將其加以忽略,同時對那些無法被部署到特定設(shè)備當(dāng)中的策略進行標(biāo)注。最常見的此類實例就是蘋果的OS X Server,其管理控制臺會將其管理策略分為三大類:iOS、OS X以及iOS與OS X。企業(yè)級工具能夠更為細致地對這些狀況進行處理,但毫無疑問、仍然沒辦法徹底解決。
Varadarajan同時指出,客戶機并不是發(fā)展道路上橫亙于我們面前的惟一障礙。大家還擁有服務(wù)器與網(wǎng)絡(luò)設(shè)備,它們同樣能夠在設(shè)備接入后發(fā)揮巨大作用,例如監(jiān)控流量、驗證訪問并直接在服務(wù)器端執(zhí)行管理策略等。后端管理則是統(tǒng)一化設(shè)備管理方案的關(guān)鍵所在,這是因為全部設(shè)備都需要通過后端實現(xiàn)運作——后端可以說是企業(yè)信息與服務(wù)領(lǐng)域的網(wǎng)關(guān)。
微軟公司正在采取兩種途徑實現(xiàn)統(tǒng)一化管理:第一,將其傳統(tǒng)System Center向移動這一頻繁登入登出的新領(lǐng)域拓展; 第二,提供Intune這一面向payload型工具。當(dāng)然,二者并不屬于非此即彼的關(guān)系。Intune同樣能夠通過客戶端應(yīng)用實現(xiàn)PC設(shè)備,而不僅僅針對移動設(shè)備,不過其主要用例仍然偏向于后者,微軟公司的Conway指出。主要面向PC設(shè)備的System Center則能夠與移動設(shè)備上的Intune結(jié)合起來,這樣System Center就可以專門負責(zé)資產(chǎn)管理與配置、而Intune則專司安全性與設(shè)備管理策略部署。
Windows 8.1的出爐標(biāo)志著微軟的PC操作系統(tǒng)已經(jīng)開始步上蘋果在OS X Lion時代定下了發(fā)展方向:利用API實現(xiàn)移動式、基于payload的管理機制。
戴爾公司線出的方案則最為傳統(tǒng):其囊括了大量面向不同管理需求的針對性工具,一部分適用于移動設(shè)備、一部分適用于PC設(shè)備、還有一部分同時適用于兩者??蛻舾鶕?jù)需要選擇合適的工具,無論其相關(guān)團隊是否完成了統(tǒng)一化轉(zhuǎn)型,而戴爾則提供咨詢服務(wù)以幫助客戶根據(jù)特殊需求實現(xiàn)工具整合。“我們發(fā)現(xiàn)客戶的實際情況差異很大,因此需要完成大量定制化工作,而這正是我們專業(yè)服務(wù)的施展空間所在,”戴爾公司的Foster解釋稱。
統(tǒng)一化管理并不意味著管理統(tǒng)一化技術(shù)堆棧
計算機世界的特色在于異質(zhì)性,大量不同類型的設(shè)備、操作系統(tǒng)、應(yīng)用程序以及服務(wù)摻雜于其中。每個人都采用標(biāo)準(zhǔn)化PC與一套標(biāo)準(zhǔn)化操作系統(tǒng)鏡像外加應(yīng)用集的時代早已過去——如今已是“敢叫天地換新顏”。“我們必須接受這種異質(zhì)性。如果大家對這種異質(zhì)性感到不滿甚至惱火,那么結(jié)果也不會出現(xiàn)任何改變,”CA公司的Varadarajan表示。
云存儲就是這種特性的絕佳體現(xiàn),戴爾公司的Foster指出,他同時提到了Office 365、Google Drive以及蘋果iWork。“但沒有哪款工具能夠在各個方面都帶來上佳表現(xiàn),因此用戶需要對其進行混合與匹配。”同樣的混合與匹配情況在應(yīng)用程序、設(shè)備以及其它服務(wù)領(lǐng)域也有所體現(xiàn),因為沒有任何一款單一平臺能夠全面壓倒競爭對手。這種狀況在未來很長一段時間內(nèi)都不可能改變,特別是在技術(shù)方案正變得愈發(fā)個性化的發(fā)展趨勢之下——即使既定效果大體相近,也幾乎不可能出現(xiàn)一款所謂“最佳工具集”。
希望能夠為各類設(shè)備、應(yīng)用程序以及服務(wù)找到一套通用型管理方案可以說是白日做夢。不過這并不意味著IT部門應(yīng)當(dāng)徹底放棄對統(tǒng)一化發(fā)展的追求。IT部門要做的是將關(guān)注范疇進一步擴大,通用型管理策略就是種不錯的思路。此外當(dāng)然還有其它選擇。“目前已經(jīng)采納的最佳實踐就是以O(shè)Auth與SAML為代表的單點登錄模式。通過這種方式,我們要控制的已經(jīng)不再是代理機制、而是首先對訪問本身加以管理,”Foster表示。大家將這種高層級標(biāo)準(zhǔn)與Foster所謂“端點狀態(tài)”加以匹配,而后將二者納入一套通用型策略框架、從而構(gòu)建起以角色及其它因素為基礎(chǔ)的訪問許可體系。
頗為諷刺的是,通往統(tǒng)一化管理目標(biāo)的道路也同樣呈現(xiàn)出多樣性與異質(zhì)性特征。目前市面上的各類具體工具已經(jīng)足以構(gòu)建起完整的單一管理機制,但具體的構(gòu)建任務(wù)仍然要由供應(yīng)商及IT部門以自己的方式完成。
英文:http://www.infoworld.com/article/2608380/mobile-device-management/mobile-device-management-mobile-and-pc-management-the-tough-but-unstoppable-union.html