企业移动化管理

出自 MBA智库百科(https://wiki.mbalib.com/)

企业移动化管理(Enterprise mobility management，EMM)

　　企业移动化管理，是一套实现企业员工安全的使用手机、平板等移动终端进行移动化工作的技术平台与管理方法。EMM通过移动信息化技术和管理手段，针对企业移动信息化建设过程中涉及到的企业移动设备、应用、信息等内容提供信息化管理的解决方案与服务。

　　企业移动化管理主要包含移动设备管理(MDM)、移动应用管理(MAM)、移动内容管理(MCM)三个核心内容。对企业各式各样、纷繁杂乱的移动智能终端及应用进行系统化、规范化的管理，以解决企业移动智能终端的安全、应用管理、统一配置、文档分发等各种问题，以让企业始终走在移动安全的正轨上。

　　移动设备管理（MDM）

　　MDM（Mobile Device Management )提供对企业移动设备的全生命周期管理，即从设备的注册、接入控制、设备激活、配置策略、设备监控、设备管理、安全支持，一直到设备淘汰的整个设备的生命周期进行多层次、全方位的管控。

　　移动应用管理（MAM）

　　MAM（ Mobile Application Management）是MDM（Mobile Device Management ) 向移动应用的延伸， 帮助企业将 IT 策略从设备级延伸到应用级，从而具备对于企业应用App 的更高控制能力 ， 实现对企业移动应用的全生命周期管理，包括企业应用门户（超市）、应用发布与更新、应用推送、应用跟踪、应用统计分析等。

　　移动内容管理（MCM）

　　MCM（Mobile Content Management）提供对企业文档进行分发、权限设定、安全策略相关的管理。

　　移动邮件管理（MEM）

　　安全邮件具有安全邮件网关服务器、安全邮件客户端两个模块。

　　安全邮件网关位于企业侧，与企业邮件系统对接，例如Exchange等，避免企业的邮件服务器直接暴露于公网，消除邮件服务器信息泄漏的隐患。

　　安全邮件客户端与安全邮件网关之间采用SSL加密通道访问方式，并对传输的邮件数据内容进行高强度AES的加密。同时安全邮件客户端在手机端的数据存储于安全沙箱内。

　　每一个厂商在争夺制EMM市场的初衷和目的或不尽相同，有的侧重于企业信息的安全，有的侧重于企业的应用开发，有的侧重企业现有业务的升级、提升等，EMM市场拼的不是某个单一的领域，而是一套整体的企业移动化管理解决方案。

　　当前EMM产品以洋品牌居多。Gartner机构在2013年发布的EMM（含MDM）应用市场调查报告，就包含了二十多家较为有名的洋厂商。国内本土EMM厂商为数不多，包括烽火星空在内有10多家，自2012年以来一直奋起直追，新产品频出，广告不断，实力直逼洋品牌。

　　赛迪机构认为，在当前EMM市场，凭借“地利、人和”之势，无论是从技术力还是上线实施，乃至价格、服务水平上，国内EMM产品或更为接地气，更为实用些。随着EMM日益发展、成熟，国内外品牌已进入土洋大战、短兵相拼之境，国内移动服务提供商往往是依靠扎实的技术实力和良好的用户体验来获得用户的充分认可，在性价比、设备兼容性、软件安全性、客户需求理解、服务响应速度等方面相比国外厂商有明显优势。

　　了解用户——不同的用户群拥有不同的需求。企业必须制定能够充分识别用户需求，并提供和保障这些用户群体政策所需的部署控制—— 无论是高级管理人员、经常出差的人员或希望延长工作日的传统上班族。

　　超越现有的设备管理——设备安全是如今企业最小的安全投资，这也正是移动化安全开始而非结束的地方。为了真正服务多个用户群体，并满足他们包括数据保护在内的各种独特需求，企业必须在更先进的安全控制技术上进行投资，包括面向数据和应用程序的安全容器，以及基于用户身份和用户位置以及他们正在使用的设备来实现访问的环境安全控制。

　　创建商业案例——安全领导者仅在移动化资源方面拥有影响力是远远不够的，他们必须灵活地利用这种影响力。这意味着为高级管理人员建立商业案例，来让他们了解企业移动化应如何更好的被管理和保护——从实施有效的政策开始，到部署能够服务多个用户群体和抵御高级威胁的先进管理为止。

　　在采购技术之前先制定政策

　　以提高办公效率的名义使用移动设备的企业任何其它部门。根据用户有多种需求，IT部门必须保证这些需求都是他们创建的政策的一部分。当涉及到BYOD的时候，没有任何问题是有限制的。

　　探索管理大量的设备

　　工具能够实时地与你的电子邮件环境沟通并且检测连接到你的企业网络的所有的设备。所有的移动设备都需要合并到你的移动计划中。需要通知这些设备的拥有者，新的安全政策正在开始执行。

　　简单登记

　　需要使用一次性密码或者使用主动目录/LDAP等公司目录等基本的身份识别流程识别员工。任何设法访问公司资源的新设备都应该隔离和通知IT部门。这为IT部门提供了灵活性：封锁这个设备或者（如果得到批准）开始一个适当的登记流程，以保证遵守公司的政策。

　　无线配置设备

　　所有的设备都应该无线设置以便最大限度地提高IT和业务用户的效率。 一旦用户接受了这个AUA，你的平台应该提供员工需要访问的所有的配置文件、证书和设置，包括：

　　◆电子邮件、联络人和日历

　　◆VPN

　　◆企业文件和内容

　　◆内部和公共应用

　　用户自助服务

　　用户需要正常运转的设备。一个强大的自助服务平台能够让用户直接执行如下任务：

　　◆在用户忘记当前PIN（个人身份识别码）和口令的时候重新设置PIN和口令

　　◆使用集成的地图从网络门户查找丢失的设备的地理位置

　　◆远程删除设备数据，删除全部敏感的公司数据

　　保存个人信息

　　可识别的个人信息可用于识别、联络或者找到一个人。一些隐私法甚至禁止企业查看这种数据。把这个隐私政策告诉员工并且明确说明你不能从员工的移动设备中收集什么数据。如：

　　◆个人电子邮件、联络人和日历

　　◆应用数据和文本信息

　　◆电话历史和语音邮件

　　这有助于企业满足可识别个人信息的规定，并且通过禁止查看智能手机和平板电脑上的个人信息使员工更放心。例如：

　　◆关闭应用目录报告以限制管理员看到个人应用

　　◆关闭位置服务以防止访问物理地址、地理坐标、IP地址和WiFi SSID等位置指标。