Workspace ONE 主要是通過云端 SaaS 服務(wù)的形式來發(fā)布的(當(dāng)然也有現(xiàn)場部署的版本),所以它本身也在不斷地增加新功能。最近 Workspace ONE 推出了操作系統(tǒng)級的應(yīng)用管理方案,用戶即使沒有安裝 AirWatch Agent 也可以安全使用企業(yè)應(yīng)用,為企業(yè)推廣 BYOD 提供了更大的靈活性。
移動應(yīng)用管理(MAM - Mobile Application Management)是企業(yè)移動化管理(EMM - Enterprise Mobility Managment)一個(gè)重要領(lǐng)域,無論是員工自帶還是公司配發(fā)的設(shè)備,在上面要安裝業(yè)務(wù)應(yīng)用軟件的話,都需要通過 MAM 來保證企業(yè)數(shù)據(jù)的安全性。
容器化應(yīng)用
容器化是移動應(yīng)用管理的一項(xiàng)主要技術(shù)。在移動設(shè)備上,需要安全保護(hù)的企業(yè)應(yīng)用可以被放置在安全沙箱(容器)中運(yùn)行,從而把企業(yè)應(yīng)用和個(gè)人應(yīng)用完全隔離開來,避免相互干擾,并且提供一系列的安全保護(hù)措施,例如:
- 單點(diǎn)登錄 SSO
- 應(yīng)用級的 VPN 安全通道
- 禁止數(shù)據(jù) Copy/Paste、截屏等操作
- 企業(yè)數(shù)遠(yuǎn)程擦除
設(shè)備級容器化
傳統(tǒng)的移動應(yīng)用容器是通過 EMM 平臺來實(shí)現(xiàn)的,Workspace ONE 會要求在移動設(shè)備上安裝 AirWatch Agent 來實(shí)現(xiàn) MAM 的功能。管理員可以規(guī)定只有 AirWatch 納管設(shè)備才能安裝并使用某些敏感的企業(yè)應(yīng)用,但是在 BYOD 的應(yīng)用場景下,這也會造成員工的疑慮:我個(gè)人的手機(jī)為什么要強(qiáng)制安裝一個(gè)代理軟件呢?它會監(jiān)視我手機(jī)上的信息嗎?AirWatch 當(dāng)然不會訪問用戶手機(jī)上的私人信息(例如:短信、照片、通訊錄、GPS 定位信息等),它只會訪問用戶的企業(yè)身份帳號(用于 Workspace ONE 或企業(yè)應(yīng)用的單點(diǎn)登錄)和企業(yè)應(yīng)用相關(guān)的信息。
應(yīng)用自帶容器
Workspace ONE 自帶的生產(chǎn)力應(yīng)用如郵件客戶端 Boxer、企業(yè)網(wǎng)盤 Content Locker、安全瀏覽器 Browser、包括 Workspace ONE App 本身都是應(yīng)用 EMM 平臺 AirWatch 的 SDK 開發(fā)而成的,它們都是自帶容器技術(shù)的,即便是在未納管的移動設(shè)備上也是以容器化的方式來運(yùn)行。
這種技術(shù)稱之為獨(dú)立的應(yīng)用管理技術(shù)(Standalone MAM),它主要有以下優(yōu)點(diǎn):
管理員可以通過 Workspace ONE 的應(yīng)用目錄來發(fā)布經(jīng)過批準(zhǔn)的移動應(yīng)用到未納管設(shè)備上(該設(shè)備還沒有在 AirWatch 中注冊)。
只要安裝了 Workspace ONE 應(yīng)用,用戶就使用通過單點(diǎn)登錄功能,只要是該應(yīng)用是使用 AirWatch SDK 來構(gòu)建的(目前該功能只在 iOS 上有效,其他平臺很快也會支持)。
如果 Workspace ONE 檢測到未納管設(shè)備不合規(guī)時(shí)(如越獄),它就會采取行動來保護(hù)企業(yè)數(shù)據(jù),如刪除所有的企業(yè)應(yīng)用和企業(yè)數(shù)據(jù)等(只要相關(guān)應(yīng)用是使用 AirWatch SDK 來構(gòu)建的,自帶 MAM 功能)。
這種技術(shù)使用起來最方便,但是對于第三方應(yīng)用就很難做到了,除非開發(fā)商愿意在開發(fā)過程中采用 AirWatch 的 SDK。但是不同的 EMM 平臺有著不同的容器化技術(shù),很難讓一個(gè)開發(fā)商為多個(gè) EMM 平臺開發(fā)容器化的應(yīng)用。
操作系統(tǒng)級應(yīng)用容器
Workspace ONE 提出了一種折衷的方法,它不需要在移動設(shè)備上安裝 Agent,也不需要修改應(yīng)用來實(shí)現(xiàn)容器化,而是在安裝企業(yè)應(yīng)用時(shí)提示用戶激活 Workspace Service,實(shí)際上是通過安裝一個(gè) Workspace Service Profile 來保護(hù)相關(guān)的企業(yè)應(yīng)用數(shù)據(jù)。這種激活操作是一次性的,一旦第一次安裝企業(yè)應(yīng)用時(shí)安裝了 Workspace Service Profile,后續(xù)安裝其他的企業(yè)應(yīng)用就不再需要重復(fù)這一操作了。
這種方法相當(dāng)于在操作系統(tǒng)這一級提供了一個(gè)系統(tǒng)級的保護(hù)措施,但是并不需要在移動設(shè)備上安裝任何代理軟件,也能為企業(yè)應(yīng)用提供容器化的保護(hù)。當(dāng)然這種級別的保護(hù)比起設(shè)備級的保護(hù)還是要少一些功能,但是對于一般企業(yè)應(yīng)用來講已經(jīng)足夠安全了,特別適用于 BYOD 的應(yīng)用場景。
適應(yīng)性應(yīng)用管理
利用這種最新的無代理應(yīng)用管理技術(shù) Workspace ONE 提供了適應(yīng)性應(yīng)用管理(Adaptive Management)方案,管理員可以把應(yīng)用分為需要納管和無需納管兩類,含有敏感業(yè)務(wù)數(shù)據(jù)的應(yīng)用都需要納管(如 Salesforce、企業(yè)郵箱等);而象下例中的 WebEx(電視會議)和 Concur(差旅報(bào)銷)都不含有業(yè)務(wù)敏感數(shù)據(jù),就不需要納管了。納管的應(yīng)用如果是使用 AirWatch SDK 來開發(fā)的,就自帶應(yīng)用容器,直接安裝就可使用;而第三方的應(yīng)用如 Salesforce,就需要先安裝一個(gè) Workspace Service Profile,然后才能安裝并具有應(yīng)用管理功能。
這種應(yīng)用管理方案非常靈活,傳統(tǒng)的 MAM 需要用戶先把設(shè)備注冊到 AirWatch,現(xiàn)在安裝納管應(yīng)用時(shí)就可以直接注冊 AirWatch,并且也不需要下載安裝 AirWatch Agent。需要納管的應(yīng)用圖標(biāo)上都有一個(gè)小鎖圖樣的標(biāo)記,表示它含有敏感業(yè)務(wù)數(shù)據(jù),很容易區(qū)分。
Workspace ONE 的適應(yīng)性應(yīng)用管理方案有助于企業(yè)降低在內(nèi)部推廣 BYOD 計(jì)劃的難度,我們鼓勵員工用自帶設(shè)備辦公,但是不再需要強(qiáng)制員工在一開始就安裝 AirWatch Agent 并注冊設(shè)備,部分員工對這種安全性要求有抵觸情緒,F(xiàn)在,只有當(dāng)員工想到安裝某一企業(yè)應(yīng)用來更方便地工作時(shí),他才會被要求激活一個(gè)安全服務(wù)(Workspace Service),他會認(rèn)為因?yàn)槭亲约盒枰L問企業(yè)數(shù)據(jù),所以這樣的要求是合理的。
在安裝 Workspace Service Profile 的提示信息中還有一段"Learn More"的詳細(xì)說明來解釋關(guān)于用戶隱私的設(shè)定,哪些信息會被公司訪問和哪些信息不會被訪問,從而讓用戶進(jìn)一步解除疑慮,放心地安裝和使用企業(yè)應(yīng)用。