移動應用管理
出自 MBA智库百科(https://wiki.mbalib.com/)
移動應用管理(Mobile Application Management,MAM)
目錄 |
移動應用管理是指通過雲端對移動設備的各種應用屬性進行自主管控。
- 應用安裝、卸載。
- 應用受限安裝、卸載
- 應用啟動、停止
- 應用受限啟動、停止
- 應用清除數據
- 應用通知管控
- 應用meta數據
為了最大化的利用MAM,企業應採取以下步驟:
1.在選擇MAM方案前確定目標
企業在選擇MAM方案前,應確定移動化的運用目標、策略以及用戶協議,尤其在安全、預算、費用管理、輔助及自帶設備(BYOD)方案等方面,並應設定MAM方案的功能範圍。
2.決定MAM整體技術策略
一些MAM方案採用了一種叫做“限制應用”的技術,這是指應用的功能範圍受到MAM產品中設定的策略的限制。雖然通常不需要新的編碼,但是可能需要一些軟體開發資源來確保功能能夠很好地執行。虛擬化技術也得以應用,尤其是運用在設備上,伴隨著應用在雲端運行。這可以實現全面的實施但卻給網路帶來了更大的壓力。最後,雙重角色方案設置並隔離了移動設備中的私人空間與辦公空間,使移動管理不用擔心私人應用。這使得企業應用及相關數據完全得到隔離與保護。
3.促使功能滿足需求
如今,日益發展的MAM方案提供了許多功能,其核心功能是分發經授權的應用(尤其通過企業應用商店),以及允許或拒絕執行某些應用(通常稱為白名單或黑名單)。
一些MAM方案可以將敏感數據禁錮在某一空間,以防止未經授權的複製與分配,並且可以對受到不法分子控制的設備中的企業數據進行有選擇性地摧毀,而不是像許多MDM方案那樣強力摧毀設備上的所有數據。
4.檢查重疊、衝突及整合問題
某些MAM執行方式,可能會導致其跟其它企業移動管理策略及方案有一定地重疊。因此建議分步推行MAM。IT負責人必須評估任何潛在MAM方案,例如評估該方案如何適應已有的管理策略與系統。管理能見度也非常重要,IT可以通過實時監控活動與警報,以及監控管理報告細則來實現,這些都是審核使用情況及發現潛在問題的關鍵。
移動應用管理的方案類型[1]
應用分發,例如通過公司的應用商店。這種方案主要把重點放在了管理本地Web和原生應用的分發和許可上,不過它還能夠為用戶提供公共應用商店中推薦應用的鏈接。部分方案還能夠管理公司為內部使用所開發的原生iOS應用。
安全應用開發,為本地應用內容和公司網路資源訪問增加安全與許可控制。該方案通常是一個管理控制台,允許IT部門使用內置的控制權。
應用內容管理,例如限制應用與其它應用共用授權的內容。儘管在一些案例中,商業應用開發者也可以使用這種方案與管理工具進行協作,但是這種方案重點還是本地應用。 這一領域廠商Nukona採用了將許可權設置在應用周邊這種不尋常的解決方案,而不是需要應用的內部代碼以執行相關策略——這有點類似DLP封裝。其它一些提供商採取的解決方案是依靠在應用代碼內部明確指定策略。
安全應用容器,即創建一個獨立的分區、應用容器或虛擬機將公司應用與數據與個人應用與數據了隔離起來。除了通過技術確保幾個特定應用中的數據安全外,這種方案允許在容器內的應用之間更為自由的使用數據。這一方案不同於使用虛擬桌面基礎設施(VDI)在視窗中呈現遠程應用。例如,Citrix Receiver 和VMware View等應用除了鍵盤和虛擬滑鼠外,幾乎沒有訪問移動設備的信息或功能的許可權。相關的解決方案是在移動設備中創建獨立的分區——一個分區用於存儲個人應用和數據,另外的分區用於存儲可由IT部門管理的業務應用和數據。
MAM系統的主要功能包括:
- 管理策略實施:通過統一的管理平臺,IT管理員可以針對各類移動設備實施統一的管理策略。
- 移動應用發佈:基於企業內部的應用商店和管理平臺,IT管理員可以快速地將企業移動應用部署到各類移動設備中。
- 移動應用安全管理:IT管理員可以通過管理平臺,以安全策略的形式對移動設備和移動應用的訪問許可權進行管理。
- 移動應用升級:IT管理員可以通過管理平臺發佈移動應用的更新、補丁,並實現快速同步。
- 用戶驗證:就像桌面應用管理系統一樣,MAM系統也可以使用輕量級目錄訪問協議(LDAP,Lightweight Directory Access Protocol)或其他標準用戶驗證協議來驗證用戶身份。
- 用戶授權:IT管理員可以基於用戶角色和分組來為不同用戶分配訪問許可權。
- 版本控制:IT管理員可以通過管理平臺進行遠程版本控制和更新。
- 推送服務:IT管理員可以向用戶的移動設備推送提醒、應用更新等信息。
- 跟蹤和報告:MAM系統可以提供完善的報告和分析功能,用於瞭解員工對移動應用的使用情況。
一套完善的MAM系統應該支持多種移動設備和移動技術:
- iOS原生應用
- Android應用
- Windows Mobile應用(Windows Phone)
- 黑莓(Blackberry)
- HTML5應用
- 企業內部開發的應用(使用XCode或微軟Visual Studio)
- 第三方開發的移動應用
MAM系統需要在移動應用中添加特定的MAM策略應用程式介面(API)。移動應用可以通過這些介面與MAM伺服器通信,並實施MAM管理策略,如訪問許可權、功能的開放和鎖定、設備信息清除等。
MAM系統還允許IT管理員監控移動應用的使用情況——訪問企業資源、使用時間等——並以此判斷特定設備是否違反了安全策略。通過內置的程式介面,移動應用的使用情況會備份到伺服器中——僅備份企業相關數據,不包含用戶的個人數據。
最重要的是,MAM系統的管理是針對移動應用的,並不會影響到員工自有的移動設備。
一套完善的MAM系統需要遵循一定的原則,並兼顧IT管理和企業員工兩方面的需求。這些原則包括:
基於應用層面的管理,還不是硬體和框架層面的:將企業應用封裝在特定的安全套件內,再安裝到用戶的移動設備中,可以保證企業應用和信息的安全,同時不影響到用戶個人的信息,如游戲、照片、視頻、鈴聲等。
基於策略、規則和用戶角色的管理:通過設置合理的用戶角色分組和安全策略,MAM系統可以針對移動端進行靈活多樣的系統管理操作。
協作式管理:通過企業內部的應用商店,IT管理員可以向企業內部的用戶推送和推薦相關的應用,用戶可以像在蘋果應用商店、Android應用商店中選購游戲、音樂和應用一樣下載這些應用。這種方式可以滿足企業員工使用自己的移動設備進行工作的需求,同時也能保證企業數據的安全性。
基於安全策略的統一管理:一套完善的MAM系統可以提供安全策略的設置和實施功能,IT管理員只需要設置合理的安全策略,就可以快速部署到所有平臺的應用中——無論是桌面應用還是移動應用。
可視化監控:IT管理員可以通過MAM系統的管理平臺,實時監控所有用戶安裝的所有應用的使用情況,並生成可視化的報告。
正如桌面應用的管理一樣,企業員工可以安裝並使用企業移動應用,IT管理員可以通過MAM系統對企業內部的所有移動設備中所安裝的企業應用進行管理,並保證企業數據的安全。MAM系統的用戶包括:
IT管理員
通過企業內部應用商店部署移動應用
信息安全管理員
設定安全策略,並以此來管理企業內部的移動設備
通過用戶驗證、用戶授權、角色許可權管理等方式來管理用戶對企業移動應用的使用
管理企業提供的移動設備和員工自有的移動設備,從應用層面保證企業數據的安全性
應用開發者
企業內部開發團隊:開發包含了安全管理策略和MAM系統介面的企業應用,並通過MAM系統部署到企業員工的移動設備上
第三方開發團隊:通過MAM系統提供的介面開發企業應用,並提供給企業用戶使用
MAM系統擁有一套清晰的工作流程,將IT管理員、應用開發者和終端用戶囊括其中。
IT管理員通過基於瀏覽器的管理平臺來管理應用、用戶和移動設備。應用開發者向MAM系統提交應用並由IT管理員審核和部署。IT管理員可以對開發者提交的應用設置不同的用戶許可權和安全策略。
終端用戶進入MAM系統後,需要首先下載企業安全套件,使用的設備可以是企業提供的,也可以是企業員工自有的。在安全套件內,用戶可以像在蘋果應用商店和Android應用商店中那樣選擇需要的應用並安裝。
IT管理員還可以向安裝了企業安全套件的用戶推動應用和更新信息。