新聞

打造兼具安全及效率的行動辦公室

iThome 2017/07/16 12:00(5天前)

以行動化來輔助企業流程或工作流程,是企業近年持續關注的趨勢,面對行動化所需的行動應用傳遞與資安管控的需求,過去也已有不少廠商提供企業行動管理解決方案(Enterprise Mobility Management,EMM),方便企業做好行動裝置集中控管,並增加行動生產力。

基本上,這類產品在經過多年來發展與改版後,基本裝置、應用程式與內容等面向的管理功能,各家產品已經都涵蓋到,也越來越成熟,但近期則有了不一樣的轉變。

我們看到現在一些大廠在談企業行動化管理時,已經不只是單純提供行動裝置控管產品,還提出了行動工作空間(Workspace)概念,建立統一應用存取平臺,以及加入身分識別管控等多面向的管理,建立構面更完整的行動化管理整合方案。

強調任意裝置都可使用的企業應用存取入口平臺

記得,過去我們在行動管理方案採購特輯報導時,都是以各廠商的單一產品角度來看,以這次測試的3家廠商產品而言,就是VMware AirWatch、Citrix XenMobile與微軟Intune。

去年,我們雖然已經看到一些廠商開始提出行動化的整合方案,但當時所檢視的面向仍局限在行動裝置的應用及管理,而無暇顧及其他部分,諸如VDI、單一登入整合。今年這次的採購特輯中,我們也要求廠商提供這些層面的應用,讓我們能實際操作與體驗。

相較之下,過去企業行動應用程式管理,聚焦在行動裝置上提供企業應用程式商店,公司可將各式應用打包成安全的App,同時也提供許多生產力相關的App,方便使用者在行動裝置上存取企業資源。

現在,則是提供更豐富的應用存取環境,尤其是Citrix Workspace Suite與VMware Workspace ONE的行動化方案,因為結合了自家虛擬化技術,增加了跨裝置存取的使用彈性。

舉例來說,我們不論是使用平板、智慧型手機,或是桌機、筆電,不分裝置與系統,都能登入相同或統整的應用存取入口平臺,並存取企業資源。

特別是虛擬桌面與應用程式的應用存取,也更加容易,像是我們在平板電腦上,透過平臺就可以直接開啟一個Excel虛擬應用程式,而不用安裝任何軟體在裝置上,即使工作到一半,想用公司電腦繼續工作時,也只要以自己帳號登入平臺,就能恢復先前在平板上的工作畫面。這樣的使用經驗也讓我們對於行動化應用,感受到更靈活的運用,或許廠商也嘗試由行動應用,帶動桌面虛擬化應用的普及。

而微軟Enterprise Mobility + Security(EMS)的方案中,其實也有Azure AD平臺提供企業應用存取入口網站,方便使用者存取企業的Web與雲端應用程式。只是不像結合桌面與應用程式虛擬化的Citrix與VMware產品,能提供具有跨裝置、一致性的用戶體驗。

另外,這些產品也都會強調提供單一登入(Single Sign On)的應用,支援普遍採用的SAML協議,以及多種驗證機制,這樣的使用體驗也很不錯,可讓整體行動應用更方便,在應用多種服務時,也能減少多組密碼管理的不便。

不論從電腦、行動裝置,都能執行各式跨平臺應用

隨著行動化管理的發展,現在不只是企業行動應用程式商店管理,還能提供更整合的應用存取入口平臺,讓使用者只要登入帳號,就能在電腦、平板或智慧型手機上,取得並執行同樣的應用。(左圖為VMware Workspace ONE入口的Web介面,右圖為VMware Workspace ONE App介面)

強化身分識別管理,提升存取行動化應用安全性

身分識別管理也是這次行動化管理的另一重點,像是VMware Workspace ONE與微軟EMS產品中,都整合了這樣的功能,可以提供像是使用者自助式密碼重設的機制,並有條件式存取(Conditional Access)與多因素驗證(Multi-Factor Authentication)的功能,讓使用者享受應用存取單一登入的方便性時,也避免他人取得企業使用者帳密,就能輕易存取公司資源。

這些行動化管理方案結合了多因素認證機制,在前端使用上也不會太麻煩,使用者能以自己的智慧型手機作為驗證裝置,接收動態驗證碼,確保現在連線登入的是本人。像是VMware強調提供Verify App,可接收動態驗證碼,微軟也提供Authenticator App,不過最簡化的方式當屬VMware的One touch驗證方式,可直接整合指紋辨識的手機,讓驗證流程更方便,使用者輕輕一按就好,省去查看密碼與輸入密碼的動作。

而在條件式存取方面,兩家產品方案提供的管控也都很豐富,在他們的設定介面上,我們可以根據應用程式、網路、裝置類型,或是地點,設定多重的驗證方式。不過微軟EMS更是彈性,可以根據多項條件而觸發動作,當符合時可允許直接存取,或是兩項條件不符合時,強制啟用多因素認證或拒絕存取;甚至還可透過機器學習分析每個存取行為,提供安全性報告與防護建議,管理上更為主動。

至於Citrix產品,由於沒有提供自家專屬的身分識別管理系統,很可惜,但透過自家NetScaler產品提供的安全遠端存取,也還是能支援第三方多因素認證機制。

整合身分識別系統,加入條件式存取

身分識別也成企業行動化管理的一環,而條件式存取是其中管控功能設定,像是我們可以依據使用者、應用程式、裝置類型、位置等項目設定條件,並能設定不符條件時的存取控制,像是觸發強制執行多因素認證。(圖為微軟Azure Active Directory條件式存取設定介面)

延伸更多PC管控及安全分析功能

在這些企業行動化管理解決方案中,還有一些發展面向也很值得注意。舉例來說,雖然各家行動裝置管控產品,都已經將Windows設備納入,但功能完整性畢竟不如傳統PC平臺端點管理系統,然而強調統一端點管理(UEM)也是持續改進重點。近期VMware特別強化Windows 10管控的支援性,還能選搭TrustPoint提升端點安全分析能力,但微軟與Citrix產品則沒有太多強調。

不過,Citrix由於搭配了NetScaler這樣的網路相關產品,因此多出網路效能最佳化,以及NetScaler Insight Center監控與分析工具;而微軟則是加入了一些安全防護相關的產品,像是雲端應用程式安全服務Cloud App Security,以及內網行為分析工具Advanced Threat Analytics,藉此增加方案吸引力。

管理後臺顯得較為複雜

當然,在這些整合式的行動化管理方案架構之下,雖然前端使用者的應用更具整合性,但在後端管理平臺方面,比起過去單一行動管理產品來得複雜,即便我們是使用各廠商提供的測試環境,仍然感到疊床架屋的情況很明顯。

像是以我們在接觸各方案的管理後臺經驗上,可以看出至少需要經過3個以上的管理後臺系統介面,來進行各項功能的設定與監控,即便是以雲端服務為主的微軟產品,EMS中的所有功能服務還是無法統一整合在Azure平臺之內。如果,各廠商能加快這些後臺管理的整合速度,應該能讓企業在導入與管理這類產品時,會有更好的體驗。

 相關報導  

FB留言

即時科技
媒體

降雨:

氣溫: