IT部門(mén)的關(guān)注重點(diǎn)正迅速由移動(dòng)設(shè)備管理(簡(jiǎn)稱(chēng)MDM)轉(zhuǎn)向移動(dòng)應(yīng)用程序管理(MAM),觀念也從過(guò)去的猶豫是否應(yīng)該引入移動(dòng)設(shè)備轉(zhuǎn)變到如今的如何最大程度利用移動(dòng)技術(shù)優(yōu)勢(shì)。我曾經(jīng)親身參加過(guò)許多IT討論會(huì)議,發(fā)現(xiàn)大家開(kāi)始圍繞應(yīng)用程序的管理提出一個(gè)又一個(gè)實(shí)際問(wèn)題。對(duì)于使用IBM Tivoli以及微軟SMS等用戶PC軟件管理工具的企業(yè),iPhone、iPad以及Android系統(tǒng)平臺(tái)已經(jīng)成為新時(shí)代的“西部拓荒”。這是一片充滿風(fēng)險(xiǎn)與機(jī)遇的環(huán)境,誰(shuí)能占得先機(jī)、誰(shuí)就能在未來(lái)一段時(shí)間中笑傲同儕。
移動(dòng)設(shè)備的多樣性確實(shí)令人望而卻步——大多數(shù)臺(tái)式機(jī)應(yīng)用程序管理工具連順暢管理Mac OS X應(yīng)用都做不到,我們當(dāng)然不可能指望它們能在移動(dòng)設(shè)備上一展身手。盡管心理準(zhǔn)備已經(jīng)做完,但移動(dòng)操作系統(tǒng)相對(duì)桌面系統(tǒng)采用了太多顛覆式設(shè)計(jì),就連IT部門(mén)也無(wú)法通過(guò)傳統(tǒng)方案對(duì)新應(yīng)用進(jìn)行管理。此外,應(yīng)用程序商店的出現(xiàn)令企業(yè)IT團(tuán)隊(duì)無(wú)法繼續(xù)扮演移動(dòng)領(lǐng)域的應(yīng)用提供者角色,而HTML與本地應(yīng)用相混雜的狀況也進(jìn)一步加劇了移動(dòng)管理的復(fù)雜性。沒(méi)錯(cuò),IT部門(mén)確實(shí)可以收集自己的移動(dòng)應(yīng)用搭建“企業(yè)應(yīng)用商店”,但這實(shí)在有名不副實(shí)之嫌——一個(gè)內(nèi)部站點(diǎn)、幾條允許使用或建議使用的應(yīng)用下載鏈接,這根本不可能引起員工的興趣。
在IT部門(mén)逐漸對(duì)全面管理移動(dòng)設(shè)備表示絕望的同時(shí),另一種觀點(diǎn)開(kāi)始占據(jù)上風(fēng)——既然這些設(shè)備的所有權(quán)屬于用戶,那么IT團(tuán)隊(duì)?wèi)?yīng)該有權(quán)對(duì)其中面向業(yè)務(wù)的各類(lèi)應(yīng)用加以控制。這樣一來(lái),如果員工離開(kāi)企業(yè)或者設(shè)備丟失,應(yīng)用程序及其保存數(shù)據(jù)都能夠被及時(shí)清除、進(jìn)而保護(hù)敏感信息安全。IT團(tuán)隊(duì)還應(yīng)當(dāng)有權(quán)管理更新及授權(quán)許可,同時(shí)追蹤用戶的使用狀態(tài)——尤其是在員工、分包商及企業(yè)合作伙伴選擇各自業(yè)務(wù)應(yīng)用的復(fù)雜前提下——從這個(gè)角度來(lái)看,即使是以控制為主要服務(wù)對(duì)象的專(zhuān)業(yè)企業(yè)也無(wú)法利用傳統(tǒng)方案對(duì)各類(lèi)設(shè)備進(jìn)行全面覆蓋。
第一波浪潮:通過(guò)政策管理HTML應(yīng)用容器
目前設(shè)備管理領(lǐng)域中的主流方案仍然以面向政策模式居首。在這種情況下,諸如黑莓Enterprise Server(BES)、微軟Exchange(以Exchange ActiveSync協(xié)議為代表)等強(qiáng)勢(shì)體系,加上Good Technology、MobileIron以及Trellia等第三方MDM工具,都能夠?yàn)猷]件、聯(lián)系人等業(yè)務(wù)信息提供恰當(dāng)?shù)臄?shù)據(jù)保護(hù)服務(wù)。此外,它們還以強(qiáng)制手段貫徹密碼保護(hù)、遠(yuǎn)程鎖定等管理政策。某些工具甚至可以管理應(yīng)用程序本身,實(shí)現(xiàn)例如允許或禁止訪問(wèn)及更新推送等功能。
而同樣的狀況在移動(dòng)應(yīng)用管理領(lǐng)域也開(kāi)始出現(xiàn)。
其中一大選擇是采用Antenna軟件公司提供的方案,這款名為Volt MAM的產(chǎn)品為iPhone及Android環(huán)境打造了一套專(zhuān)門(mén)存放HTMl 5應(yīng)用的虛擬環(huán)境。由于蘋(píng)果、谷歌等巨頭廠商在系統(tǒng)中提供JavaScript API以及支持W3C的BONDI APi,因此上述產(chǎn)品能夠借此調(diào)用設(shè)備本機(jī)功能。(舉例來(lái)說(shuō),它們能夠以這種方式捕捉標(biāo)簽或者欄位代碼。)我們可以根據(jù)自己選擇的IDE進(jìn)行HTML 5應(yīng)用開(kāi)發(fā)(甚至可以使用文檔編輯器進(jìn)行開(kāi)發(fā)),但開(kāi)發(fā)成品必須與Antenna的API相對(duì)接,否則將無(wú)法同Volt客戶端協(xié)作、更不用提接受Antenna移動(dòng)平臺(tái)(簡(jiǎn)稱(chēng)AMP)服務(wù)器的管理。
有鑒于此,大家不妨以用戶政策(例如角色分類(lèi))為基礎(chǔ)編寫(xiě)安裝配置文件。這樣用戶在登錄服務(wù)器(大多處于托管狀態(tài)下)時(shí),應(yīng)用程序會(huì)將與角色相對(duì)應(yīng)的配置文件一同下載至設(shè)備當(dāng)中。服務(wù)器同時(shí)還會(huì)推送軟件更新并為IT部門(mén)提供用于監(jiān)控使用狀況、變更應(yīng)用許可、鎖定下行數(shù)據(jù)以及清除應(yīng)用所必要的功能組件,這樣用戶在離開(kāi)企業(yè)或是調(diào)任其它崗位時(shí),管理者就能夠快速將其角色剔除或是做出相應(yīng)更改。
虛擬環(huán)境的出現(xiàn)終于為業(yè)務(wù)與個(gè)人應(yīng)用及數(shù)據(jù)的劃分指出了一道康莊大道,但具體實(shí)施起來(lái)還是有點(diǎn)問(wèn)題——畢竟強(qiáng)迫用戶打開(kāi)容器應(yīng)用(Antenna的Volt就是最典型的例子)才能訪問(wèn)業(yè)務(wù)HTML應(yīng)用的做法不夠人性、容易引發(fā)員工的反感。但從另一個(gè)角度看,既然是HTML應(yīng)用,咱們也不必要求太多。畢竟用戶在使用任何一款Web應(yīng)用時(shí)都需要先打開(kāi)瀏覽器,這與打開(kāi)容器倒也沒(méi)啥本質(zhì)區(qū)別。另外,由于所有業(yè)務(wù)資源都運(yùn)行于IT部門(mén)的服務(wù)器中,因此管理者能夠直接對(duì)應(yīng)用進(jìn)行控制,這跟傳統(tǒng)的臺(tái)式機(jī)Web應(yīng)用非常類(lèi)似。
企業(yè)自主開(kāi)發(fā)的HTML 5應(yīng)用借助Volt的強(qiáng)大功能,得以擁有一片獨(dú)立的運(yùn)行空間,因此相關(guān)數(shù)據(jù)的加密與隔離效果也要比設(shè)備上的其它信息好很多。蘋(píng)果的iOS平臺(tái)本身就支持加密及隔離服務(wù),但谷歌的Android 2.x系列卻一項(xiàng)也不支持。雖然在Android 3.x和4.x系統(tǒng)中納入了加密機(jī)制,但隔離仍然是谷歌產(chǎn)品的最大軟肋。由于業(yè)務(wù)HTML 5應(yīng)用的運(yùn)行完全依托于Volt,所以AMP服務(wù)器能夠直接對(duì)其進(jìn)行管理,而且絕不會(huì)對(duì)設(shè)備中的其它應(yīng)用產(chǎn)生干擾。
而在iOS這邊,Amp服務(wù)器同樣能夠利用AMP及其內(nèi)部集成的MDM工具實(shí)現(xiàn)本機(jī)應(yīng)用管理。與此類(lèi)似,AMP中集成的MDM工具還可以管理由自身提供(HTML 5及本機(jī))或工具提供(本機(jī))的應(yīng)用程序。值得一提的是,Volt在離線工作時(shí)HTML 5應(yīng)用仍然能正常運(yùn)行,并在網(wǎng)絡(luò)連接恢復(fù)后第一時(shí)間進(jìn)行數(shù)據(jù)同步。
理論上講,Volt控制下的HTML 5應(yīng)用能夠以獨(dú)立應(yīng)用的狀態(tài)保存在iOS設(shè)備的主屏幕中隨時(shí)等待調(diào)用,這就省去了先開(kāi)容器、再開(kāi)應(yīng)用的弊端。其實(shí)應(yīng)用本身仍然處于AMP所綁定的安全及管理之下,但用戶使用時(shí)的感受與普通應(yīng)用無(wú)疑,并不會(huì)感覺(jué)到AMP的存在。某些用戶可能喜歡按個(gè)人偏好對(duì)應(yīng)用程序進(jìn)行分組,但Volt會(huì)強(qiáng)制要求使用者把業(yè)務(wù)應(yīng)用統(tǒng)統(tǒng)歸在同一個(gè)組中。(Android系統(tǒng)不支持應(yīng)用與容器綁定,因此Volt控制下的HTML 5應(yīng)用必須在打開(kāi)Volt平臺(tái)的情況下才能運(yùn)行。)
Antenna公司CTO Dan Zeck指出,他們更樂(lè)于通過(guò)iOS的方式運(yùn)行應(yīng)用而非強(qiáng)行通過(guò)容器,因?yàn)镮T消費(fèi)者更希望從直觀層面上了解業(yè)務(wù)應(yīng)用與個(gè)人應(yīng)用間的劃分——這樣既能讓IT部門(mén)輕松實(shí)現(xiàn)數(shù)據(jù)隔離,又能幫助用戶在意識(shí)上搞清個(gè)人活動(dòng)與業(yè)務(wù)操作的差異。他同時(shí)表示,讓業(yè)務(wù)應(yīng)用以普通應(yīng)用的面貌出現(xiàn)在iOS主屏幕中、同時(shí)又確保它們始終處于嚴(yán)格監(jiān)控之下其實(shí)并沒(méi)有什么技術(shù)難度。(黑莓OS 6和7同樣支持這種隱性隔離方案,不過(guò)僅有數(shù)款最新黑莓Enter Server版本支持該功能,并只限BES控制下的應(yīng)用。)
隨著MDM工具開(kāi)始廣泛為應(yīng)用程序提供支持,AMP服務(wù)器也開(kāi)始接管起iOS應(yīng)用的安裝與管理工作——但前提是企業(yè)用戶必須采用蘋(píng)果公司推出的企業(yè)級(jí)SDK協(xié)議。AMP能夠在許可證書(shū)的支持下實(shí)現(xiàn)應(yīng)用的直接安裝,這就回避了公共App Store中蘊(yùn)含的潛在風(fēng)險(xiǎn)。這是蘋(píng)果公司的強(qiáng)制要求,目的在于為業(yè)務(wù)應(yīng)用帶來(lái)與其它iOS應(yīng)用同等級(jí)別的高端控制標(biāo)準(zhǔn)。
而包括AppCentral在內(nèi)的其它工具也提供相似的功能。不過(guò)現(xiàn)在看來(lái),Volt客戶端與AMP托管服務(wù)器的組合似乎更適用于企業(yè)環(huán)境,因?yàn)檫@套方案將LDAP、MDM工具以及高度加密與驗(yàn)證技術(shù)以打包方式集于一身,這極大豐富了管理政策的功能性。(AT&T公司在其Workbench產(chǎn)品中使用的就是AMP,但Volt/AMP這套組合可不只局限于使用AT&T服務(wù)的設(shè)備。)Volt客戶端能夠作用于使用iOS 4、5的iPhone以及使用2.1、到2.3版本的Android設(shè)備;目前其它版本支持對(duì)象正在開(kāi)發(fā)之中。
第二波浪潮:通過(guò)政策直接管理本機(jī)應(yīng)用
盡管功能強(qiáng)大,但Antenna方案仍然無(wú)法作用于本機(jī)應(yīng)用——因?yàn)楸緳C(jī)應(yīng)用無(wú)法在其它應(yīng)用內(nèi)部或IT服務(wù)器上運(yùn)行。這時(shí)就要輪到AppCentral和AppGuard服務(wù)出場(chǎng)了。AppCentral公司(起初名為Ondeego公司)已經(jīng)分別為自家MAM技術(shù)發(fā)布了iOS及Android版本,以迥異的思路為移動(dòng)應(yīng)用程序管理及分布指明了新方向。令人欣慰的是,實(shí)踐證明了這款產(chǎn)品在本機(jī)應(yīng)用領(lǐng)域的巨大貢獻(xiàn)與完美協(xié)調(diào)能力。
在由AppGuard服務(wù)所構(gòu)建起的小型獨(dú)立環(huán)境中,我們可以利用AppCentral管理政策API將“監(jiān)聽(tīng)器”功能代碼添加到iOS及Android應(yīng)用中。在API的幫助下,應(yīng)用程序?qū)⑴cAppCentral服務(wù)器進(jìn)行交互,使管理者得以將各種政策及用戶劃分方案加入其中——例如限制特定Wi-Fi訪問(wèn)請(qǐng)求(此類(lèi)情況在醫(yī)療保健行業(yè)比較常見(jiàn))或者在員工權(quán)限發(fā)生變更時(shí)及時(shí)清除應(yīng)用及數(shù)據(jù)(比如分包商工作完成、需要向總包交接項(xiàng)目資料)。
“監(jiān)聽(tīng)器”功能會(huì)對(duì)應(yīng)用程序啟動(dòng)、前臺(tái)運(yùn)行等活動(dòng)(主要針對(duì)應(yīng)用激活操作)加以監(jiān)控,并實(shí)時(shí)檢測(cè)當(dāng)前設(shè)備與應(yīng)用狀態(tài)是否有悖于管理政策。“監(jiān)聽(tīng)器”功能還能將應(yīng)用程序(而非設(shè)備整體)的狀態(tài)與活動(dòng)單獨(dú)反饋給服務(wù)器端,這就降低了管理工作中的人為因素,大大緩和員工、分包商及企業(yè)合作伙伴對(duì)于監(jiān)控流程的防備心理。
關(guān)鍵在于管理機(jī)制已經(jīng)嵌入到應(yīng)用程序當(dāng)中,因此大家無(wú)需再為設(shè)備本身操心。既然消除了后顧之憂,我們就應(yīng)當(dāng)開(kāi)始考慮將應(yīng)用程序管理以規(guī)范形式普及向更大規(guī)模的用戶