IT部門的關注重點正迅速由移動設備管理(簡稱MDM)轉向移動應用程序管理(MAM),觀念也從過去的猶豫是否應該引入移動設備轉變到如今的如何最大程度利用移動技術優勢。我曾經親身參加過許多IT討論會議,發現大家開始圍繞應用程序的管理提出一個又一個實際問題。對于使用IBM Tivoli以及微軟SMS等用戶PC軟件管理工具的企業,iPhone、iPad以及Android系統平臺已經成為新時代的“西部拓荒”。這是一片充滿風險與機遇的環境,誰能占得先機、誰就能在未來一段時間中笑傲同儕。
移動設備的多樣性確實令人望而卻步——大多數臺式機應用程序管理工具連順暢管理Mac OS X應用都做不到,我們當然不可能指望它們能在移動設備上一展身手。盡管心理準備已經做完,但移動操作系統相對桌面系統采用了太多顛覆式設計,就連IT部門也無法通過傳統方案對新應用進行管理。此外,應用程序商店的出現令企業IT團隊無法繼續扮演移動領域的應用提供者角色,而HTML與本地應用相混雜的狀況也進一步加劇了移動管理的復雜性。沒錯,IT部門確實可以收集自己的移動應用搭建“企業應用商店”,但這實在有名不副實之嫌——一個內部站點、幾條允許使用或建議使用的應用下載鏈接,這根本不可能引起員工的興趣。
在IT部門逐漸對全面管理移動設備表示絕望的同時,另一種觀點開始占據上風——既然這些設備的所有權屬于用戶,那么IT團隊應該有權對其中面向業務的各類應用加以控制。這樣一來,如果員工離開企業或者設備丟失,應用程序及其保存數據都能夠被及時清除、進而保護敏感信息安全。IT團隊還應當有權管理更新及授權許可,同時追蹤用戶的使用狀態——尤其是在員工、分包商及企業合作伙伴選擇各自業務應用的復雜前提下——從這個角度來看,即使是以控制為主要服務對象的專業企業也無法利用傳統方案對各類設備進行全面覆蓋。
第一波浪潮:通過政策管理HTML應用容器
目前設備管理領域中的主流方案仍然以面向政策模式居首。在這種情況下,諸如黑莓Enterprise Server(BES)、微軟Exchange(以Exchange ActiveSync協議為代表)等強勢體系,加上Good Technology、MobileIron以及Trellia等第三方MDM工具,都能夠為郵件、聯系人等業務信息提供恰當的數據保護服務。此外,它們還以強制手段貫徹密碼保護、遠程鎖定等管理政策。某些工具甚至可以管理應用程序本身,實現例如允許或禁止訪問及更新推送等功能。
而同樣的狀況在移動應用管理領域也開始出現。
其中一大選擇是采用Antenna軟件公司提供的方案,這款名為Volt MAM的產品為iPhone及Android環境打造了一套專門存放HTMl 5應用的虛擬環境。由于蘋果、谷歌等巨頭廠商在系統中提供JavaScript API以及支持W3C的BONDI APi,因此上述產品能夠借此調用設備本機功能。(舉例來說,它們能夠以這種方式捕捉標簽或者欄位代碼。)我們可以根據自己選擇的IDE進行HTML 5應用開發(甚至可以使用文檔編輯器進行開發),但開發成品必須與Antenna的API相對接,否則將無法同Volt客戶端協作、更不用提接受Antenna移動平臺(簡稱AMP)服務器的管理。
有鑒于此,大家不妨以用戶政策(例如角色分類)為基礎編寫安裝配置文件。這樣用戶在登錄服務器(大多處于托管狀態下)時,應用程序會將與角色相對應的配置文件一同下載至設備當中。服務器同時還會推送軟件更新并為IT部門提供用于監控使用狀況、變更應用許可、鎖定下行數據以及清除應用所必要的功能組件,這樣用戶在離開企業或是調任其它崗位時,管理者就能夠快速將其角色剔除或是做出相應更改。
虛擬環境的出現終于為業務與個人應用及數據的劃分指出了一道康莊大道,但具體實施起來還是有點問題——畢竟強迫用戶打開容器應用(Antenna的Volt就是最典型的例子)才能訪問業務HTML應用的做法不夠人性、容易引發員工的反感。但從另一個角度看,既然是HTML應用,咱們也不必要求太多。畢竟用戶在使用任何一款Web應用時都需要先打開瀏覽器,這與打開容器倒也沒啥本質區別。另外,由于所有業務資源都運行于IT部門的服務器中,因此管理者能夠直接對應用進行控制,這跟傳統的臺式機Web應用非常類似。
企業自主開發的HTML 5應用借助Volt的強大功能,得以擁有一片獨立的運行空間,因此相關數據的加密與隔離效果也要比設備上的其它信息好很多。蘋果的iOS平臺本身就支持加密及隔離服務,但谷歌的Android 2.x系列卻一項也不支持。雖然在Android 3.x和4.x系統中納入了加密機制,但隔離仍然是谷歌產品的最大軟肋。由于業務HTML 5應用的運行完全依托于Volt,所以AMP服務器能夠直接對其進行管理,而且絕不會對設備中的其它應用產生干擾。
而在iOS這邊,Amp服務器同樣能夠利用AMP及其內部集成的MDM工具實現本機應用管理。與此類似,AMP中集成的MDM工具還可以管理由自身提供(HTML 5及本機)或工具提供(本機)的應用程序。值得一提的是,Volt在離線工作時HTML 5應用仍然能正常運行,并在網絡連接恢復后第一時間進行數據同步。
理論上講,Volt控制下的HTML 5應用能夠以獨立應用的狀態保存在iOS設備的主屏幕中隨時等待調用,這就省去了先開容器、再開應用的弊端。其實應用本身仍然處于AMP所綁定的安全及管理之下,但用戶使用時的感受與普通應用無疑,并不會感覺到AMP的存在。某些用戶可能喜歡按個人偏好對應用程序進行分組,但Volt會強制要求使用者把業務應用統統歸在同一個組中。(Android系統不支持應用與容器綁定,因此Volt控制下的HTML 5應用必須在打開Volt平臺的情況下才能運行。)
Antenna公司CTO Dan Zeck指出,他們更樂于通過iOS的方式運行應用而非強行通過容器,因為IT消費者更希望從直觀層面上了解業務應用與個人應用間的劃分——這樣既能讓IT部門輕松實現數據隔離,又能幫助用戶在意識上搞清個人活動與業務操作的差異。他同時表示,讓業務應用以普通應用的面貌出現在iOS主屏幕中、同時又確保它們始終處于嚴格監控之下其實并沒有什么技術難度。(黑莓OS 6和7同樣支持這種隱性隔離方案,不過僅有數款最新黑莓Enter Server版本支持該功能,并只限BES控制下的應用。)
隨著MDM工具開始廣泛為應用程序提供支持,AMP服務器也開始接管起iOS應用的安裝與管理工作——但前提是企業用戶必須采用蘋果公司推出的企業級SDK協議。AMP能夠在許可證書的支持下實現應用的直接安裝,這就回避了公共App Store中蘊含的潛在風險。這是蘋果公司的強制要求,目的在于為業務應用帶來與其它iOS應用同等級別的高端控制標準。
而包括AppCentral在內的其它工具也提供相似的功能。不過現在看來,Volt客戶端與AMP托管服務器的組合似乎更適用于企業環境,因為這套方案將LDAP、MDM工具以及高度加密與驗證技術以打包方式集于一身,這極大豐富了管理政策的功能性。(AT&T公司在其Workbench產品中使用的就是AMP,但Volt/AMP這套組合可不只局限于使用AT&T服務的設備。)Volt客戶端能夠作用于使用iOS 4、5的iPhone以及使用2.1、到2.3版本的Android設備;目前其它版本支持對象正在開發之中。
第二波浪潮:通過政策直接管理本機應用
盡管功能強大,但Antenna方案仍然無法作用于本機應用——因為本機應用無法在其它應用內部或IT服務器上運行。這時就要輪到AppCentral和AppGuard服務出場了。AppCentral公司(起初名為Ondeego公司)已經分別為自家MAM技術發布了iOS及Android版本,以迥異的思路為移動應用程序管理及分布指明了新方向。令人欣慰的是,實踐證明了這款產品在本機應用領域的巨大貢獻與完美協調能力。
在由AppGuard服務所構建起的小型獨立環境中,我們可以利用AppCentral管理政策API將“監聽器”功能代碼添加到iOS及Android應用中。在API的幫助下,應用程序將與AppCentral服務器進行交互,使管理者得以將各種政策及用戶劃分方案加入其中——例如限制特定Wi-Fi訪問請求(此類情況在醫療保健行業比較常見)或者在員工權限發生變更時及時清除應用及數據(比如分包商工作完成、需要向總包交接項目資料)。
“監聽器”功能會對應用程序啟動、前臺運行等活動(主要針對應用激活操作)加以監控,并實時檢測當前設備與應用狀態是否有悖于管理政策。“監聽器”功能還能將應用程序(而非設備整體)的狀態與活動單獨反饋給服務器端,這就降低了管理工作中的人為因素,大大緩和員工、分包商及企業合作伙伴對于監控流程的防備心理。
關鍵在于管理機制已經嵌入到應用程序當中,因此大家無需再為設備本身操心。既然消除了后顧之憂,我們就應當開始考慮將應用程序管理以規范形式普及向更大規模的用戶
京公網安備 11010502049343號