Share via


企業行動裝置管理成功之道:企業行動裝置(Enterprise Mobility)願景

今天開始我們將推出一系列文章,深入介紹為了支持和擴展 企業行動裝置 而正在做的工作的細節。我們相信 企業行動裝置 將是我們目前和可預見的未來中整個行業最具衝擊力、最明確的趨勢之一。

在微軟,我們關注的核心是 “ Mobile first ”  和 “ Cloud first ”  。您可能會問,怎麼可能有兩個 “ first ”,答案很簡單:行動裝置和雲端成得如此緊密,因此要想提供第一流的 企業行動裝置 解決方案, 最好通過雲端來交付。 二者缺一不可。行動裝置設備越來越個人化,同時又在使用雲端服務,雲端從根本上改變了整個行業每天向我們的客戶交付新價值和新功能的能力。

通過此系列文章,我們希望清晰地闡明微軟在 企業行動裝置 方面的 願景行動 。我們將解釋微軟的解決方案與市場上其他方案有哪些不同,以及在哪些領域的投資會給客戶帶來不菲的價值。

透過更進一步地理解微軟在市場中推出的解決方案,並瞭解這些解決方案提供的豐富的最終用戶體驗和資料保護,IT 專業人員可以充滿信心地迎接消費化趨勢的到來。

我們的願景

我們的願景是説明組織 在他們喜歡的設備上高效工作,同時保護企業的安全性。

現在,用戶和企業內部的員工使用各種各樣的設備訪問企業資產,設備的數量和類型每天都在增加,企業認識到,讓使用者能夠在 任何 設備(企業的或個人的)上訪問企業資源,會提高用戶的工作效率和滿意度。 單從經濟效益上來講 ,這種滿意度和效率會對企業產生巨大的積極影響。雖然實現這樣的效率和創新非常重要,但 IT 組織還需要確保被訪問的企業資產的安全性,也要確保存放在 企業行動裝置 上的企業資產是安全的。 這是一種平衡的藝術。

在天平的一端,最終使用者希望將個人設備帶到工作當中,而且為了訪問企業的資產,願意接受 IT 部門一定程度的干涉(例如使用開機密碼)。同時,這些個人設備是完全私有的:在很多方面,他們是個人的延伸,包含著最終用戶不希望 IT 部門看到的資訊。

組織需要的解決方案(天平的另一端),也是最終用戶願意實施的方案,是只允許 IT 部門控制和管理在這些設備上訪問和存儲的企業資產,同時永遠不觸及設備的私人資訊。

尋找正確的平衡 意味著在設備的個人內容和企業內容之間建立適當的邊界。我們的做法一直是:當最終使用者將他們的個人設備帶到工作中時,由最終使用者 完全控制他們個人設備上發生的事情 。但公司應該擁有終極權力, 完全控制存儲在個人設備上的企業資產(應用程式和資料)

雖然個人設備的使用給 IT 部門增加了複雜性,但 我們相信,企業行動裝置解決方案應該成為一個統一的工具, 覆蓋 所有 設備類型和使用情況。通過交付一個能夠跨 所有設備形式統一解決方案 ,會實現以下三個關鍵目標:

  • 最終使用者在他們的設備之間會得到一致而無縫的體驗,並變得更高效。
  • 減少 IT 的複雜性。
  • 更好地保護企業資料。

現在開始:一切從身份開始

所有組織都需要基於對使用者的正確身份驗證來管理對企業資產的訪問。 Active Directory 是全世界企業身份的權威來源,我們已經通過 AzureActive Directory(AAD) 將它擴展到了雲端中。使用 AAD ,我們提交了一個公共且一致的身份/訪問解決方案,使組織能夠將它們對 AD 的運用擴展到跨私有雲和公有雲。

不僅 企業行動裝置 身份解決方案應該要求用戶正確地通過身份驗證,身份解決方案也應該驗證用於訪問企業資源的所有設備。這正是過去 15 年前 Domain Join 功能為 Windows 設備所做的工作。在我們的 企業行動裝置 解決方案中,我們增加了現代的 Domain Join 功能,即我們所謂的 Workplace Join工作場所加入 )。它允許用戶在 AAD 上註冊他們的個人設備,這樣 AAD 就能夠知道他們的設備。這非常重要,因為您既需要對使用者也需要對設備執行策略。

在這個系列文章的後面,我們將詳細介紹我們圍繞身份管理所做的工作,以及它對 企業行動裝置 策略的重要性。我們認為,身份管理是 Microsoft 帶來重大價值的領域之一:當前市場上的許多解決方案中都遺漏了這個價值。

定義成功:讓最終用戶和 IT 感到安心

一方面要以非侵入式的方式使最終使用者高效工作,一方面又要保護企業資產,在兩者之間取得適當的平衡是一項長期的挑戰。很多時候,用戶體驗因“保護”之名而受到損害。減少這個損害,正是我們投入大量時間和精力所做的工作。

我們相信,最終所有移動設備和 OS 廠商都會為企業內容提供本機容器(Android 系統上的 SAFE 就是一個很好的示例),這些作業系統元件會集成到 Intune 和 Azure Active Directory 之類的解決方案中。

這裡的一個重要概念是,使用 MDM ,可以提供 設備層的保護 ,使用 MAM ,可以提供 應用程式層 的保護。分層方法對於安全性是至關重要的,保護設備層和應用程式層是有説明的,但也有一些已知的局限。除了這兩個保護層之外,我們還需要 在每個檔案的本機元件上進行保護

目前,微軟已經在市場中推出了一個決方案  Azure RMS  ,它可以隨檔本身移動,對其進行保護。利用 Azure RMS(這是 企業行動裝置 套件的一個元件),訪問保護作為 Office 檔或 Acrobat 之類應用程式的一部分進行本機保存(要瞭解結合使用 Office 和 RMS 的更多資訊,請參閱這裡)。

利用 RMS ,當用戶打開檔時,會驗證該用戶已經正確地通過 AD/AAD 驗證並有權打開這個檔案。如果員工離開組織但他的設備上仍保存了檔案,或者將檔意外地發錯了物件,這會保護檔案。這個功能是 Microsoft 的獨家功能(更多細節請參閱這份白皮書。)要瞭解開始使用 Azure RMS 的更多資訊,請參閱這裡。

這類安全性再怎麼強調也不為過,最近由於行業內的幾個重大安全性漏洞,再次凸顯了它的重要性。最常見的攻擊方式之一就是釣魚網站(向用戶發送貌似合法的邀請,實際將用戶引導到釣魚網站搜集用戶名和密碼)--使用 Azure Active Directory Premium 可以極大減少這類攻擊。AAD Premium 利用機器學習來識別異常的訪問活動(例如試圖從異常地點進行驗證),從而防範這類攻擊。而這也屬於我們提供的獨特功能。

要瞭解 AAD Premium,請參閱這個影片。

定義成功:基於雲端的設備與管理

允許使用者使用他們的全部設備訪問您的企業,這對於您的公司是至關重要的--如果現在還不是這樣,那麼很快就會成為 現實

這裡我所說的 全部 設備包含大多數使用者還在使用的 PC。雖然今天我們更多的是談論 行動裝置 ,但不要忘記企業中的大多數使用者同時在使用 行動裝置 和PC。在這些基於雲端的管理對話中,重要的是不要將PC遺忘。關鍵在於定義和實施管理策略的時候,要 將每個設備考慮在內 。這個策略的理想目標是提供一種集成且一致的方式,通過公共工具來部署、管理和保護PC及 行動裝置

我相信這是微軟解決方案與眾不同的另一個地方。 System Center 迄今為止是管理 PC 最常用的解決方案(管理超過 2/3 的企業 PC ),由於我們已經構建了 企業行動裝置 解決方案,所以我們已經將這變成了起點。這意味著可以使用現有的工具,充分利用多年以來在 Active Directory 和 System Center 上的投資,為企業的未來打造一個可靠的基礎。

我們可以將 Windows Intune 想像成從雲端交付的 System Center 。在 Intune 中,我們已經構建了您期望的 企業行動裝置 管理功能(例如,對管理 Windows、iOS 和 Android 設備完整而豐富的支援),我們正在雲端交付這些功能-- 您也可以選擇用自己熟悉的 SCCM 控制台進行所有管理工作。這樣IT專業人員就可以利用現有知識和經驗來管理 PC 和設備。不需要部署任何新伺服器,也不需要維護任何新的基礎結構, 一切 都通過 SCCM 2012 中已經部署的解決方案進行交付。

回顧3月份,我寫過關於 企業 行動裝置 套件 (EMS)的文章,作為 EMS 的一部分,Intune 的更新現在支持業界最優的 MDM/MAM 方案。以雲端為中心的管理解決方案的主要優勢是:Intune 按照雲端的步伐更新和改進。我們在 2013 年 10 月和 2014 年 1 月更新了Intune(增加了新功能,例如 iOS 上的電子郵件設定檔案管理、選擇性刪除、iOS 7 資料保護配置,以及遠端鎖定和密碼重置),上個月的另一個更新增加了更多 Android 設備管理功能,支援三星 KNOX 平臺,還支援 Windows Phone 即將推出的更新。

定義成功:讓獲得和使用變得更容易

解決實際問題的優秀解決方案固然精彩,但我們還必須讓它們 易於獲得和使用企業行動裝置 套件的授權以每用戶為基礎。這意味著不再需要計算組織中設備的數量,也不必擔心使用者帶來更多 企業行動設備 會增加成本。

為了讓我們的企業移動辦公解決方案易於使用,我們還將所有移動管理功能與我們在業內領先的 PC 管理解決方案 System Center 進行了集成。 System Center 管理員現在能夠方便地使用他們目前的 System Center 控制台來管理 企業行動裝置 設備-- 全都從一個控制台管理 。不再需要部署和維護任何額外的基礎結構或者進行新的平臺培訓,最終用戶在他們的 PC 和全部 企業行動裝置設備 上將擁有一致的體驗。

總結一下,EMS 有三大關鍵要素:

  • 雲端身分識別 ,由 Azure Active Directory Premium 提供
  • MDMMAM,由 Windows Intune 提供
  • 資料保護, 由 Azure AD 許可權管理服務提供

 

過去幾個月裡,有很多文章描寫了 “全新微軟”,在許多方面,這種說法是真實的。整個公司跨團隊的密切合作,以前所未有的集成、結合的方式將高價值的方案帶入市場。這些創新來自公司各個團隊,我非常高興地看到我們正在交付跨 System Center 、 Intune 、 Azure Active Directory 、Office和Windows 的 深度智慧集成的解決方案

我相信,我們在市場上的現有產品以及接下來幾個月裡將投入市場的產品,將是迄今為止滿足 企業行動裝置 需求的最完整、最全面、最優秀的解決方案。

在您制定 企業行動裝置 策略時,我鼓勵您認真思考您的組織希望在 多大的範圍內獲取成功 。我們為了支援您的努力做了廣泛投入,我們交付的功能可以讓您的使用者在他們喜歡的設備上高效工作。在您閱讀這個系列文章的時候,您可以看到 Microsoft 在市場上已經推出了一套集成的、全面的功能,並且全面涵蓋以下方面:

  • 行動設備管理
  • PC 管理
  • 應用程式和資料保護
  • 身份管理
  • 託管的應用程式和桌面
  • SaaS 管理
  • Office 生產力套件

這些都是您在選擇合作夥伴、選擇 企業行動裝置 策略時需要的功能。我相信我們正在交付最完整、最全面的解決方案!

原文翻譯自 Success with Enterprise Mobility: Our Enterprise Mobility Vision