
Workspace ONE 主要是通過云端 SaaS 服務的形式來發(fā)布的(當然也有現(xiàn)場部署的版本),所以它本身也在不斷地增加新功能。最近 Workspace ONE 推出了操作系統(tǒng)級的應用管理方案,用戶即使沒有安裝 AirWatch Agent 也可以安全使用企業(yè)應用,為企業(yè)推廣 BYOD 提供了更大的靈活性。
移動應用管理(MAM - Mobile Application Management)是企業(yè)移動化管理(EMM - Enterprise Mobility Managment)一個重要領域,無論是員工自帶還是公司配發(fā)的設備,在上面要安裝業(yè)務應用軟件的話,都需要通過 MAM 來保證企業(yè)數(shù)據(jù)的安全性。
容器化應用
容器化是移動應用管理的一項主要技術。在移動設備上,需要安全保護的企業(yè)應用可以被放置在安全沙箱(容器)中運行,從而把企業(yè)應用和個人應用完全隔離開來,避免相互干擾,并且提供一系列的安全保護措施,例如:
- 單點登錄 SSO
- 應用級的 VPN 安全通道
- 禁止數(shù)據(jù) Copy/Paste、截屏等操作
- 企業(yè)數(shù)遠程擦除

設備級容器化
傳統(tǒng)的移動應用容器是通過 EMM 平臺來實現(xiàn)的,Workspace ONE 會要求在移動設備上安裝 AirWatch Agent 來實現(xiàn) MAM 的功能。管理員可以規(guī)定只有 AirWatch 納管設備才能安裝并使用某些敏感的企業(yè)應用,但是在 BYOD 的應用場景下,這也會造成員工的疑慮:我個人的手機為什么要強制安裝一個代理軟件呢?它會監(jiān)視我手機上的信息嗎?AirWatch 當然不會訪問用戶手機上的私人信息(例如:短信、照片、通訊錄、GPS 定位信息等),它只會訪問用戶的企業(yè)身份帳號(用于 Workspace ONE 或企業(yè)應用的單點登錄)和企業(yè)應用相關的信息。
應用自帶容器
Workspace ONE 自帶的生產(chǎn)力應用如郵件客戶端 Boxer、企業(yè)網(wǎng)盤 Content Locker、安全瀏覽器 Browser、包括 Workspace ONE App 本身都是應用 EMM 平臺 AirWatch 的 SDK 開發(fā)而成的,它們都是自帶容器技術的,即便是在未納管的移動設備上也是以容器化的方式來運行。
這種技術稱之為獨立的應用管理技術(Standalone MAM),它主要有以下優(yōu)點:
管理員可以通過 Workspace ONE 的應用目錄來發(fā)布經(jīng)過批準的移動應用到未納管設備上(該設備還沒有在 AirWatch 中注冊)。
只要安裝了 Workspace ONE 應用,用戶就使用通過單點登錄功能,只要是該應用是使用 AirWatch SDK 來構建的(目前該功能只在 iOS 上有效,其他平臺很快也會支持)。
如果 Workspace ONE 檢測到未納管設備不合規(guī)時(如越獄),它就會采取行動來保護企業(yè)數(shù)據(jù),如刪除所有的企業(yè)應用和企業(yè)數(shù)據(jù)等(只要相關應用是使用 AirWatch SDK 來構建的,自帶 MAM 功能)。
這種技術使用起來最方便,但是對于第三方應用就很難做到了,除非開發(fā)商愿意在開發(fā)過程中采用 AirWatch 的 SDK。但是不同的 EMM 平臺有著不同的容器化技術,很難讓一個開發(fā)商為多個 EMM 平臺開發(fā)容器化的應用。
操作系統(tǒng)級應用容器
Workspace ONE 提出了一種折衷的方法,它不需要在移動設備上安裝 Agent,也不需要修改應用來實現(xiàn)容器化,而是在安裝企業(yè)應用時提示用戶激活 Workspace Service,實際上是通過安裝一個 Workspace Service Profile 來保護相關的企業(yè)應用數(shù)據(jù)。這種激活操作是一次性的,一旦第一次安裝企業(yè)應用時安裝了 Workspace Service Profile,后續(xù)安裝其他的企業(yè)應用就不再需要重復這一操作了。
這種方法相當于在操作系統(tǒng)這一級提供了一個系統(tǒng)級的保護措施,但是并不需要在移動設備上安裝任何代理軟件,也能為企業(yè)應用提供容器化的保護。當然這種級別的保護比起設備級的保護還是要少一些功能,但是對于一般企業(yè)應用來講已經(jīng)足夠安全了,特別適用于 BYOD 的應用場景。
適應性應用管理
利用這種最新的無代理應用管理技術 Workspace ONE 提供了適應性應用管理(Adaptive Management)方案,管理員可以把應用分為需要納管和無需納管兩類,含有敏感業(yè)務數(shù)據(jù)的應用都需要納管(如 Salesforce、企業(yè)郵箱等);而象下例中的 WebEx(電視會議)和 Concur(差旅報銷)都不含有業(yè)務敏感數(shù)據(jù),就不需要納管了。納管的應用如果是使用 AirWatch SDK 來開發(fā)的,就自帶應用容器,直接安裝就可使用;而第三方的應用如 Salesforce,就需要先安裝一個 Workspace Service Profile,然后才能安裝并具有應用管理功能。

這種應用管理方案非常靈活,傳統(tǒng)的 MAM 需要用戶先把設備注冊到 AirWatch,現(xiàn)在安裝納管應用時就可以直接注冊 AirWatch,并且也不需要下載安裝 AirWatch Agent。需要納管的應用圖標上都有一個小鎖圖樣的標記,表示它含有敏感業(yè)務數(shù)據(jù),很容易區(qū)分。

Workspace ONE 的適應性應用管理方案有助于企業(yè)降低在內(nèi)部推廣 BYOD 計劃的難度,我們鼓勵員工用自帶設備辦公,但是不再需要強制員工在一開始就安裝 AirWatch Agent 并注冊設備,部分員工對這種安全性要求有抵觸情緒,F(xiàn)在,只有當員工想到安裝某一企業(yè)應用來更方便地工作時,他才會被要求激活一個安全服務(Workspace Service),他會認為因為是自己需要訪問企業(yè)數(shù)據(jù),所以這樣的要求是合理的。
在安裝 Workspace Service Profile 的提示信息中還有一段"Learn More"的詳細說明來解釋關于用戶隱私的設定,哪些信息會被公司訪問和哪些信息不會被訪問,從而讓用戶進一步解除疑慮,放心地安裝和使用企業(yè)應用。