手機或平板電腦等行動裝置的普及,已明顯深入企業應用,並影響企業的IT管理方式,因此行動裝置的管理需求便因應而生。而談到行動裝置管理,一般都會想到裝置管理(MDM)、應用程式管理(MAM),以及內容管理(MCM)等三種。而本次測試的趨勢科技Safe Mobile Workforce(SMW)則跳脫了這些傳統作法,改採虛擬行動架構(Virtual Mobile Infrastructure,VMI),降低開放BYOD政策後,企業機敏資料外洩的風險。

它的概念就和桌面虛擬化一樣,將行動裝置的作業系統與檔案內容等,都透過虛擬化的方式建置,使用者只要透過網路連線,就可在手機或平板電腦上遠端操作這些虛擬的行動裝置作業系統。因此,不論是管理系統的建置或行動裝置端的操作等,都與上述行動裝置管理產品常見的三種形式不一樣,是目前市場上,少數採用虛擬化技術來控管行動裝置的解決方案。

提供虛擬化行動裝置作業系統,資料全部留在企業內部不外流

要建置這套系統相當簡單,我們只需要在企業內部建置一臺管理伺服器,這套系統可安裝在VMWare ESX、ESXi、Windows Hyper V或Citrix XenServer等虛擬主機平臺上,而系統就可依照授權數量,提供使用者連線操作的虛擬化Android作業系統,而這個Android作業系統是趨勢科技修改過的版本,並不是原生的Android。而使用者則是透過行動裝置上安裝的Safe Mobile Workforce App來登入與操作這些虛擬的行動作業系統,進而執行企業許可的各種App。

在管理與功能上,由於SMW是採用虛擬化的方式讓行動裝置與企業內部環境連接,不需要直接對使用者的行動裝置控管,因此管理人員實際上需要管控的內容,與一般行動裝置管理系統相比,明顯少了許多。

管理人員透過網頁瀏覽器,登入Safe Mobile Workforce的管理頁面之後,首先看到的就是呈現使用者連線狀態與常用App等資訊的儀表板,在這裡也可以切換成管理伺服器的整體磁碟、記憶體,以及記憶體的用量等系統資訊。

而管理人員實際上需要設定與控管的項目,包括使用者(Users)、設定檔(Profiles)、應用程式管理,以及要連接的檔案伺服器與郵件伺服器等,需要管理的內容相對傳統MDM少許多,降低了許多管理人員的負擔。

對使用者的控管上,SMW可以和Windows AD整合,便於大量使用者帳號的建置與管理;如果不採用AD匯入方式,管理人員也可以逐一新增使用者帳號,並套用不同的設定檔(Profile),如此,就可以套用每個使用者所擁有的權限,就像是不同部門或職位的使用者,可執行的應用程式與存取檔案伺服器的權限等都可個別設定。

而使用者的操作上,只要下載SMW的App,輸入連線的帳號、密碼與伺服器的IP位置,就可以連接建立在企業內部的虛擬行動裝置作業系統,並操作安裝在這套虛擬作業系統上的各個App、收發公司信件,或是連接企業內部的檔案伺服器開啟文件等,就和一般Android的手機操作一樣,相當簡易。而且最重要的一點,就是透過網路連線的虛擬行動裝置作業系統,實際上是開啟與建立在企業內部,而使用者的手機與平板等裝置,就像是這些虛擬作業系統的KVM一樣,因此全部的資料都沒有傳遞到裝置上,也就是資料沒有儲存或暫存在裝置上,降低資料外流的風險。

在實際使用上,我們在一臺iPad上安裝Safe Mobile Workforce App,並連接伺服器之後,大約5到10秒的時間就可以連線並操作,而啟動與執行虛擬機器App的反應也算相當迅速,在網路速度穩定的狀態下,啟動與執行App的反應相當快速,雖然點選App之後的反應偶爾略有延遲,但是整體來說,系統回應的速度相當即時。不過,在網路較不穩的狀態下,例如手機使用3G連線,操作的延遲就會比較明顯。

針對BYOD的裝置,概念與MDM並不相同

這套系統,可能有些人會拿它來和一般行動裝置管理相提並論,但嚴格來說,它並不能算是MDM,而是類似採沙盒(Sandbox)技術的MAM。因為Safe Mobile Workforce提供的是讓使用者可以連線操作的虛擬化行動作業系統,而不是讓管理人員掌控或限制使用者對行動裝置執行的行為,例如照相、上網,或只能使用特定的App等,因此裝置端只要安裝MW的App,不像一般MDM需要在裝置上安裝系統描述檔,因此對使用者來說,個人的手機或平板電腦,操作上不會有任何限制,也不必擔心所有的使用行為都受到監控。

行動裝置的便利性,在於隨時隨地可以收發公司信件或取得存放在企業內電腦的文件,帶來作業上的便利性,但同時也容易引發資安危機,因此需要使用行動裝置管理系統來控管,不過這樣的管理方式在BYOD的裝置上就會碰到難題,原因在於這些裝置是屬於個人,而不是公司,透過MDM來控管就容易引發隱私的爭議。

而趨勢科技的SMW採用虛擬化的技術,管理人員控管的內容不是個人手機的功能與內容,而是供使用者連線的虛擬作業系統,相較於傳統MDM,是比較適合用於個人攜帶裝置的管理。

不過,SMW也不是真正的完美,因為一旦手機與虛擬作業系統連接,並開啟機敏文件的時候,這套系統並無法控管手機的功能,例如螢幕擷取,仍有一定程度的風險存在,因此權限的控管也相對要求更高。

 

Safe Mobile Workforce的管理人員可透過網頁介面,管理使用者、應用程式與連接企業內部的伺服器等設定,而使用者只要登入App,即可連接這套系統建立的虛擬行動裝置作業系統。

 

連線與操作時需雙重登入

使用者在使用Smart Mobile Workforce App連線時,除了要輸入與伺服器連線的帳號、密碼,以及伺服器的IP位址之外,因為實際執行的是一套虛擬Android作業系統,因此啟動的時候還需要另外輸入圖案、PIN,或密碼等解鎖密碼,算雙重密碼保護。

 

可管理行動作業系統的應用程式

管理人員可透過應用程式管理(Applications)項目,管理全部使用者會使用到的應用程式,再搭配使用者管理與設定檔的使用權限分配,就可讓使用者在連接虛擬行動作業系統的時候,開啟個人或群組有使用權限的應用程式。另外,還可透過Web Clip的功能,讓使用者可直接開啟特定網頁。

 

提供系統連線與狀態的報表檢視

這套系統除了提供儀表板,讓管理人員在登入系統的時候自動顯示全部使用者與伺服器的狀態之外,另外也提供報表的功能,讓管理人員可以定期或手動產生報表,要儲存這個htm格式的系統報表,我們只要在檢視的時候,再選擇使用電子郵件傳送,或直接將報表列印出來。

 

產品資訊

趨勢科技Safe Mobile Workforce 1.1

●計價方式:第一年每個使用者3,000元,(第二年起酌收系統維護費)

●網址:www.trendmicro.tw 

●管理伺服器最低需求:4GB記憶體、30GB硬碟空間、64位元x86架構四核心處理器、GbE網路介面 

●支援行動裝置系統:iOS 4.3以上、Android 2.3以上、Windows 8.1(含Windows Phone、RT)

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】

 


Advertisement

更多 iThome相關內容