因應BYOD風潮 行動裝置管理系統崛起

針對智慧型手機或平板電腦等行動裝置的管理系統，發展至今已經有一段時間，而且從最初的行動裝置功能管理（Mobile Device Management，MDM），例如照相、Wi-Fi、藍牙傳輸，甚之記憶卡的讀取等功能控管，現在已經演進成App安裝控管（Mobile Application Management，MAM），包括強制安裝或禁止使用特定應用程式，以及針對行動裝置的電子郵件、可存取的各類文件內容控管（Mobile Content Management，MCM）。

以這樣的發展過程來看，不難發現行動裝置的控管，目的都是為了資訊安全，因此作法上，無非是希望限定裝置特定區域不能使用某些功能、不能使用特定應用程式，或是不讓這些裝置變成機敏資料外流的漏洞。

管理原則與管控方法已趨於一致

在本次測試的5套行動裝置管理系統中，絕大多數都同時包含了MDM與MAM，例如Citrix XenMobile、SOTI MobiControl、Sophos Mobile Control，以及Kaspersky Security for Mobile等，另外也有針對MCM控管的LetMobile。我們在實際測試與使用這些管理系統之後發現，可管控的程度已經相當成熟，差異在於操作介面、管理邏輯，或是管理原則的指派與配對等。

目前所有行動裝置管理系統，在發布與派送管理原則與內容的時候，方法大致可分為3種，分別是透過Exchange ActiveSync、App Store與iOS描述檔等。

舉例來說，多數MDM系統對iOS平臺行動裝置的管控方法，都是安裝描述檔，而App的管控，則是採用專屬的App，並在這些行動裝置上開啟特定的App。例如Citrix XenMobile搭配的Worx Home，SOTI的MobiControl及Sophos Mobile Control，都是搭配同名的App，且可以設定被控的員工行動裝置強迫安裝或建議安裝的App，並可直接開啟。

使用Exchange ActiveSync派送

在微軟的Exchange ActiveSync協定中，其實就內建行動裝置管理的功能，只要企業採用支援ActiveSync的電子郵件伺服器，在行動裝置收發電子郵件的時候，都可將行動裝置管理系統的管理原則，同時派送至裝置上。

以Kaspersky Security for Mobile（KSM）為例，管理人員可以在Exchange ActiveSync行動裝置伺服器的設定中，直接指派設定檔案給使用者的電子郵件，只要使用者從行動裝置收發這個帳號的電子郵件，就會一併將管理政策下載並部署與套用到裝置上。

安裝應用程式

在行動裝置上透過安裝專屬應用程式App來管控的這種作法，最主要的功能與目的，就是將公事與私人使用隔離。

在專屬App內，管理人員可以派送建議使用者應該裝的應用程式或文件，而在App以外的任何操作，都是採用沙盒（SandBox）的設計，讓該App內的所有操作都是獨立的，並不影響行動裝置本身與其他App的使用。另一方面，該App以外的任何操作，也都不會影響到這個App的內容（除了移除安裝）。

安裝系統描述檔

iOS裝置在發布與接收管控原則時，一般都是使用描述檔的方式，管理者在透過行動裝置管理系統設定好控管內容，並建立好描述檔之後，就會產生描述檔的下載連結，接著，不論是透過訊息、電子郵件傳送或是產生QR Code，讓使用者從行動裝置開啟該連結，之後就會自動引導到系統設定的描述檔安裝畫面中，此時，只要點選安裝，就會將管理原則部署到裝置上。

可管控的功能更進階，應用情境更廣

在行動裝置管理系統管控的功能方面，多數MDM系統實際上可控管的項目與細節，其實都相當接近。例如基本的照相控管、強制密碼強度、強制開啟GPS定位、遠端抹除設備、限制特定網頁，或是預先派送Wi-Fi設定檔等。

以這些功能來說，其實在前幾年就已經相當成熟，但是本次採購特輯中，我們另外還發現，Android與iOS平臺的裝置管理開始有了一些不一樣的變化。

Android與iOS平臺之間最大的差別，就在於軟、硬體的開放。iOS裝置，不論是手機或平板，作業系統與硬體都是由Apple自行開發，而Android平臺則提供各家廠商自行開發硬體，並可修改與自定使用者介面及功能。

而行動裝置管理系統要對Android裝置進一步的管控，就必須取得由這些手機與平板開發商提供的API，以取得這些裝置的特定功能。

例如，本次除了LetMobile之外，其他MDM廠商都可針對Samsung的行動裝置進行進階的管控。而且管控內容相當詳盡，包括電池電量、手機的電信商，甚至信號強度等，都可以當做是管理原則的條件。另一方面，Samsung也研發加強行動裝置安全的Knox，而上述這些廠商也都提供對Knox的支援。

而Apple的行動裝置從iOS 7開始，也開始加入商務與企業應用的功能，例如能為App設定獨立的VPN、單一登入、以及專屬的MDM設定選項等

你會好奇，能夠取得這些詳細的設定條件，對管理上有什麼幫助。舉例來說，行動裝置的GPS定位功能，以往最常使用的情境，就是在裝置遺失的時候使用，但現在的行動裝置管理系統，可以運用定位的功能，達到在特定區域的時候，就開啟或鎖定某項功能。

以SOTI MobiControl為例，它可以畫定某個區域（必須圍起來），並設定行動裝置抵達或離開該區域的時候，啟動或關閉某功能。例如，可以將公司辦公室的區域，以地理資訊定義起來，並設定裝置抵達公司的時候，就把照相功能關閉。這樣的功能對科技園區的企業或軍方單位等，需要嚴格控管的環境來說，相當實用。

而連線的方式上，許多MDM系統為了加強行動裝置與企業內部連線的安全性，都會建立專屬且全程採加密的連線通道，避免這些裝置成為資安的漏洞。

系統建置與裝置授權價格落差大

在系統建置的需求方面，有不少MDM產品都提供自行建置管理伺服器的選擇，並可與企業既有的IT環境整合，例如AD、Exchange Server等，同時它們也都提供SaaS雲端代管的服務。

唯一例外的，就是Kaspersky的KSM，因為它是卡巴斯基企業端點安全解決方案的一部分模組，因此不像其他MDM系統，可直接與既有環境整合。如果企業環境選用其他防毒系統，且沒有打算更換，在導入與整合這套系統就會比較麻煩。同時，KSM也是唯一無法使用網頁登入管理介面的系統，它必須在特定的電腦上安裝管理應用程式，管理的靈活度比較受限制。

而價格的部份，這5套MDM系統都提供訂閱的授權方式，可用每臺裝置或每位使用者為計價單位，以第一年的費用為例，像Citrix XenMobile（同時包含MDM與MAM功能）的8,000多元，到Kaspersky KSM（KESB標準版）的1,840元，落差相當大，而，後續每年則要支付系統升級維護費用。因為採取這樣的計價方式，長久來看並不划算，因此多數企業都選擇買斷授權，代價是後續將無法更新與升級，但長遠來看比較划算。

相關報導請見4/30發布的行動裝置管理系統採購大特輯。

採用沙盒設計，可獨立運作不影響使用者App

許多MDM廠商在應用程式與文件的控管上，都使用專屬App，並採用沙盒的架構，讓工作相關的應用程式，如電子郵件，可在這個App內開啟，而關閉之後資料並不會遺留在裝置上。且對使用者來說，這樣的設計,可以將個人與公事區隔開，且不會影響到個人隱私。圖為Citrix Worx Home App。