黑马科技
人工智能

调研:移动设备管理企业CIO采购选型指南

时间:2019-09-23

员工在工作过程中运用智能型手机与平板计算机已是常态,移动设备管理系统也开始崛起,但过去这类产品的运用较缺乏弹性,随着技术的改良,现在功能已趋于成熟。

MDM管控上,除了可设定规范限定移动设备的功能之外,管理人员还可以透过特定操作系统及设备厂商提供的API,搜集设备上的各种信息,包括地理位置、IP地址、甚至通话记录等,可掌控的信息非常多。图为SOTI MobiControl的网页管理接口。

针对智能型手机或平板计算机等移动设备的管理系统,发展至今已经有一段时间,而且从最初的移动设备功能管理(Mobile Device Management,MDM),例如照相、Wi-Fi、蓝牙传输,甚之记忆卡的读取等功能控管,现在已经演进成App安装控管(Mobile Application Management,MAM),包括强制安装或禁止使用特定应用程序,以及针对移动设备的电子邮件、可存取的各类文件内容控管(Mobile Content Management,MCM)。

以这样的发展过程来看,不难发现移动设备的控管,目的都是为了信息安全,因此作法上,无非是希望限定设备特定区域不能使用某些功能、不能使用特定应用程序,或是不让这些设备变成机敏数据外流的漏洞。

管理原则与管控方法已趋于一致

在本次测试的移动设备管理系统中,绝大多数都同时包含了MDMMAM,例如Citrix XenMobile、SOTI MobiControl、Sophos Mobile Control,以及Kaspersky Security for Mobile等,另外也有针对MCM控管的LetMobile。我们在实际测试与使用这些管理系统之后发现,可管控的程度已经相当成熟,差异在于操作接口、管理逻辑,或是管理原则的指派与配对等。

目前所有移动设备管理系统,在发布与派送管理原则与内容的时候,方法大致可分为3种,分别是透过Exchange ActiveSync、App Store与iOS描述档等。

举例来说,多数MDM系统对iOS平台移动设备的管控方法,都是安装描述档,而App的管控,则是采用专属的App,并在这些移动设备上开启特定的App。例如Citrix XenMobile搭配的Worx Home,SOTI的MobiControl及Sophos Mobile Control,都是搭配同名的App,且可以设定被控的员工移动设备强迫安装或建议安装的App,并可直接开启。

使用Exchange ActiveSync派送

在微软的Exchange ActiveSync协议中,其实就内建移动设备管理的功能,只要企业采用支持ActiveSync的电子邮件服务器,在移动设备收发电子邮件的时候,都可将移动设备管理系统的管理原则,同时派送至设备上。

以Kaspersky Security for Mobile(KSM)为例,管理人员可以在Exchange ActiveSync移动设备服务器的设定中,直接指派配置文件案给用户的电子邮件,只要用户从移动设备收发这个账号的电子邮件,就会一并将管理政策下载并部署与套用到设备上。

安装应用程序

在移动设备上透过安装专属应用程序App来管控的这种作法,最主要的功能与目的,就是将公事与私人使用隔离。

在专属App内,管理人员可以派送建议用户应该装的应用程序或文件,而在App以外的任何操作,都是采用沙盒(SandBox)的设计,让该App内的所有操作都是独立的,并不影响移动设备本身与其他App的使用。另一方面,该App以外的任何操作,也都不会影响到这个App的内容(除了移除安装)。

安装系统描述文件

iOS设备在发布与接收管控原则时,一般都是使用描述档的方式,管理者在透过移动设备管理系统设定好控管内容,并建立好描述档之后,就会产生描述档的下载连结,接着,不论是透过讯息、电子邮件传送或是产生QR Code,让用户从移动设备开启该链接,之后就会自动引导到系统设定的描述文件安装画面中,此时,只要点选安装,就会将管理原则部署到设备上。

可管控的功能更进阶,应用情境更广

在移动设备管理系统管控的功能方面,多数MDM系统实际上可控管的项目与细节,其实都相当接近。例如基本的照相控管、强制密码强度、强制开启GPS定位、远程抹除设备、限制特定网页,或是预先派送Wi-Fi配置文件等。

以这些功能来说,其实在前几年就已经相当成熟,但是本次采购特辑中,我们另外还发现,Android与iOS平台的设备管理开始有了一些不一样的变化。

Android与iOS平台之间最大的差别,就在于软、硬件的开放。iOS设备,不论是手机或平板,操作系统与硬件都是由Apple自行开发,而Android平台则提供各家厂商自行开发硬件,并可修改与自定用户接口及功能。

而移动设备管理系统要对Android设备进一步的管控,就必须取得由这些手机与平板开发商提供的API,以取得这些设备的特定功能。

例如,本次除了LetMobile之外,其他MDM厂商都可针对Samsung的移动设备进行进阶的管控。而且管控内容相当详尽,包括电池电量、手机的电信商,甚至信号强度等,都可以当做是管理原则的条件。另一方面,Samsung也研发加强移动设备安全的Knox,而上述这些厂商也都提供对Knox的支持。

而Apple的移动设备从iOS 7开始,也开始加入商务与企业应用的功能,例如能为App设定独立的VPN、单一登录、以及专属的MDM设定选项等

你会好奇,能够取得这些详细的设定条件,对管理上有什么帮助。举例来说,移动设备的GPS定位功能,以往最常使用的情境,就是在设备遗失的时候使用,但现在的移动设备管理系统,可以运用定位的功能,达到在特定区域的时候,就开启或锁定某项功能。

以SOTI MobiControl为例,它可以画定某个区域(必须围起来),并设定移动设备抵达或离开该区域的时候,启动或关闭某功能。例如,可以将公司办公室的区域,以地理信息定义起来,并设定设备抵达公司的时候,就把照相功能关闭。这样的功能对科技园区的企业或军方单位等,需要严格控管的环境来说,相当实用。

而联机的方式上,许多MDM系统为了加强移动设备与企业内部联机的安全性,都会建立专属且全程采加密的联机信道,避免这些设备成为资安的漏洞。

系统建置与设备授权价格落差大

在系统建置的需求方面,有不少MDM产品都提供自行建置管理服务器的选择,并可与企业既有的IT环境整合,例如AD、Exchange Server等,同时它们也都提供SaaS云端代管的服务。

唯一例外的,就是Kaspersky的KSM,因为它是卡巴斯基企业端点安全解决方案的一部分模块,因此不像其他MDM系统,可直接与既有环境整合。如果企业环境选用其他防毒系统,且没有打算更换,在导入与整合这套系统就会比较麻烦。同时,KSM也是唯一无法使用网页登入管理接口的系统,它必须在特定的计算机上安装管理应用程序,管理的灵活度比较受限制。

而价格的部份,这5套MDM系统都提供订阅的授权方式,可用每台设备或每位用户为计价单位,以第一年的费用为例,像Citrix XenMobile(同时包含MDM与MAM功能)的8,000多元,到Kaspersky KSM(KESB标准版)的1,840元,落差相当大,而,后续每年则要支付系统升级维护费用。因为采取这样的计价方式,长久来看并不划算,因此多数企业都选择买断授权,代价是后续将无法更新与升级,但长远来看比较划算。

采用沙盒设计,可独立运作不影响使用者App

许多MDM厂商在应用程序与文件的控管上,都使用专属App,并采用沙盒的架构,让工作相关的应用程序,如电子邮件,可在这个App内开启,而关闭之后数据并不会遗留在设备上。且对使用者来说,这样的设计,可以将个人与公事区隔开,且不会影响到个人隐私。图为Citrix Worx Home App。

移动信息化交流QQ群:一号群:211029692 二号群:344692795 CIO交流群:316076815(需认证)

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源; 2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任; 3.作者投稿可能会经我们编辑修改或补充。转载请注明模板网#