微軟首度發表手持裝置控管方案

微軟日前正式發表了其手持裝置作業系統的最新版本Windows Mobile 6.1，大幅強化企業對手持裝置控管的能力。搭配System Center Mobile Device Manager 2008（MDM）架構，能讓企業的IT部門控管手持裝置上的軟、硬體應用；此外，也強化了先前版本的Mobile VPN功能，確保手持裝置連回企業內網時，能以SSL協定和IPSec的方式建立加密的傳輸通道。MDM和6.1版的推出，可以視作微軟在手持裝置作業系統上，貼近企業資安需求的重要進程，並且也是首次以完整體系架構的方式，確保手持裝置與內網連結的資訊安全。

以MDM做為企業控管 手持裝置的核心
在微軟這次針對企業發表的最新手持裝置控管架構中，MDM是最主要的控管核心。臺灣微軟資訊企業應用經理崔思康表示，MDM是一套伺服器使用的軟體，IT部門能透過MDM查看所有使用Windows Mobile 6.1作業系統的手持裝置軟、硬體資料，並且有能力以政策規範開啟或關閉手持裝置的軟、硬體功能。崔思康說：「舉例來說，比如高科技製造業，通常不希望使用者的手持裝置擁有相機功能，現在透過MDM，就可以直接關閉Windows Mobile 6.1作業系統手持裝置上的相機功能。由於目前多數的PDA都擁有手機和相機的功能，這可以確保企業在導入M化應用時，可以使用較好的機器，而不需要為了相機功能而因此放棄功能合適的硬體。」

企業要使用MDM架構，最少必須建立兩臺伺服器，其中一臺要建立在防火牆後的DMZ（Demilitarized Zone）緩衝區，做為MDM的閘道伺服器，專門負責與後端AD架構溝通，處理身分認證相關的運行，讓手持裝置能透過作業系統內建的Mobile VPN功能，建立與企業內網的連線。另一臺伺服器則必須建立在後端，主要功能包括透過OTA（Over-The-Air）的方式，遠端派送軟體到手持裝置；MDM主要管理功能的運作；以及與SQL資料庫溝通等。

崔思康表示，透過MDM架構，現在企業的IT部門能夠建立手持裝置的資產清單，包括手持裝置使用的CPU、記憶體、作業系統版本等，都能透過MDM伺服器提供的介面看見。此外，過去當手持裝置遺失時，管理者遠端消除資料的功能，現在也能統一透過MDM伺服器處理，只要該手持裝置報失後，又再度連回內網時，就會自動被消除所有的資料。MDM甚至包含了自我服務模組（Self-Help），使用者可以自行透過連線方式做簡單的管理，例如報失、更新密碼等，減少IT管理人員的負擔。

MDM有能力控管 手持裝置軟、硬體功能
除了資產清單和遺失的安全控管外，MDM也提供軟、硬體功能開啟與關閉的控管能力。在硬體上，有能力針對手持裝置的各種硬體內建功能做控管，例如藍牙、紅外線、無線網路、照相功能等，企業的IT管理人員可以以制定政策的方式，搭配AD架構，管控不同群組使用者的手持裝置硬體功能，決定該手持裝置硬體能夠啟用的功能。

手持裝置內建的訊息傳輸類型也能受到控管，例如SMS/MMS簡訊、電子郵件等，都能透過後端的MDM決定是否開啟，避免敏感資料透過手持裝置傳送。而在軟體控管上，MDM內建130個政策，有能力依使用者的權限，決定其手持裝置上能夠使用的應用程式，讓使用者無法在手持裝置上安裝未經許可的應用。

不過崔思康也指出，MDM架構只支援使用Windows Mobile 6.1做為作業系統的手持裝置，內建6.1版的手持裝置預計將在今年中之後才會出現在市面上，但是企業若使用Windows Mobile 6版本的手持裝置，將能夠以升級的方式解決這個問題，不需要重複投資。「升級將會透過手持裝置硬體廠商來提供，」崔思康說，「這方面我們會配合硬體廠商。」

強化Mobile VPN能力，內容與傳輸通道均加密
此次微軟的MDM架構，另一個重點則在於其搭配的Windows Mobile 6.1作業系統，大幅強化了微軟手持裝置作業系統與內網連線的安全性，微軟將之稱為Mobile VPN功能。

根據微軟發布的資料，內建在Windows Mobile 6.1作業系統的Mobile VPN功能，是微軟首度針對其手持裝置作業系統最佳化的VPN連線功能。手持裝置透過此一功能與內網連線時，其身分認證的傳輸通道是以IKEv2（Internet Key Exchange Version 2）標準加密；與後端應用伺服器的傳輸，則是以128位元的SSL加密協定處理。

Mobile VPN同時支援NAT透通（Network Address Translation-Traversal）的能力，讓應用程式能夠穿透防火牆與後端應用伺服器連線。並且支援Multi-homing，手持裝置即便連線中斷，也能快速的重新建立連線，這對具備移動特性的手持裝置來說特別重要，在無法確保穩定的傳輸品質時，能夠減低因為斷線而造成使用上的衝擊。

崔思康表示，目前很多臺灣的大型企業已經有相關的M化應用，例如國泰人壽，以及部分高科技製造業等。此次微軟的MDM，最主要能解決的問題，正是讓使用微軟手持裝置作業系統的企業，有能力做到資安上的妥善管理，並且能夠以單一架構的方式管理，強化過去微軟必須透過不同產品進行手持裝置管理的難處。「手持裝置管理這一方向，將會成為微軟未來在這塊領域上長期發展的方向，這也是微軟在手持裝置的企業解決方案上的重要一步。」崔思康說。

微軟MDM的推出，也代表著該公司進入了一個擁擠的新市場領域，目前包括Nokia、HP、Motorola、Sybase等廠商，都有手持裝置的管理方案，並且不乏同時支援Symbian與Windows Mobile等多種手持裝置作業系統的產品。MDM的計價方式預計將為授權費模式，具體價格現在還未確定。MDM的管理伺服器1臺可以支援5,000人左右使用，這也意謂著臺灣多數的企業都只需要1臺管理伺服器就可以完成MDM架構。MDM最基本的架構雖然只需2臺伺服器，但是微軟建議的架構則是以4臺伺服器建置。文⊙劉哲銘