無懼BYOD大潮

隨著移動終端的飛速發展，智能手機、平板電腦商用化已經隨處可見。原本為個人消費者設計的智能手機和平板電腦正在不斷被企業用于承載關鍵業務及核心應用，這就需要企業能夠應用相關IT 策略及規范管理這些設備。移動終端管理（Mobile Device Management，MDM）的概念由此應運而生，目前主流的移動終端操作系統均不同程度地支持MDM管理協議。

本次評測涵蓋了目前市面上主流的五款MDM軟件，其中包括Tangoe MDM、SOTI MobiControl、Webroot SAB-MP、藍代斯克移動管理器以及SAP Afaria 7。不同于以往主要偏重于資產管理，包括移動設備的配置、保護和控制等方面的測試，本次測試大大加強了對部分智能手機和終端操作系統控制能力的測試。另外，還有像基于位置的跟蹤、移動終端使用情況跟蹤、雙因子驗證以及隔離個人身份和企業身份的沙箱機制等方面的測試。

功能強大的Tangoe MDM

Tangoe公司最初只是開發手機費用控制和資產控制應用軟件，不過現在其產品已經能夠提供全方位的移動設備生命周期管理。Tangoe MDM（以下簡稱MDM）功能比較成熟，適用于iOS、安卓、黑莓和Windows Mobile系統，而且MDM可以充分體現大型企業的工作流程。例如，在測試中，雖然MDM的Web用戶界面并未完全定義工作流程，但是通過簡單體驗，很快就可以掌握并靈活操作。

MDM的整個部署過程首先從配置MDM組件開始，然后安裝應用程序和軟件。MDM可以安裝在遠程主機中，也可以部署在企業內部，本次測試我們選擇安裝在遠程主機中。因為這樣的話，整個安裝過程都可以通過虛擬專用網（VPN）來訪問，實現起來更容易。

在部署過程中，MDM會提供兩種模式來定義安全和合規策略，分別是所有設備執行相同策略和個人、企業設備分別執行各自的策略。

在實際的測試中發現，其中的一些功能需要復制資源（包括應用程序、設置和配置），所以在實際應用中，必須充分考慮將來為企業與個人（音樂、應用程序和視頻等）預留的存儲容量，以免某些功能因缺少存儲空間而受影響。

另外，MDM也可以對移動設備所使用的數據、語音和文本等資源進行跟蹤分析。用戶可以通過策略選項獲得相關信息，這其中包括設備已經使用了多少資源、套餐內還剩余多少資源。而且如果個別應用程序耗費資源比較多，還可能“被驅逐”，比如視頻。

關于應用程序的分發，我們可以通過移動設備的類別進行設定，然后通過“企業商店”（Enterprise Store）或者借助GooglePlay等平臺商店實現。不過，這些平臺并不會對應用程序進行安全方面的審查，這項工作需要用戶自己來完成。另外，在這些平臺上，我們還可以增加應用程序的數量，也可以把應用程序推送到移動終端，以便終端進行初始更新、更換或其他用途。

此外，MDM還集成了微軟的活動目錄、Office 365以及商業生產力在線服務（Business Productivity Online Services）。

雖然MDM制定策略的過程較為復雜，不過其設計的“test”（測試）按鈕也帶來不少驚喜。在配置完成后，我們可以通過test按鈕演示結果，然后再應用到新用戶群組。總的來說，MDM是一款功能強大的軟件，流程簡單、控制力強。

SOTI MobiControl很“恐怖”

在本次測試的幾款MDM軟件中，SOTI MobiControl算是最“恐怖”的MDM應用。之所以這么說，是因為它有著可怕的控制能力，在MobiControl安裝完成后，用戶可以在控制臺的谷歌地圖中跟蹤手機在世界上大部分地區的位置。測試中使用三星手機時，甚至可以精確到高爾夫球場上的某個球洞；而使用其他設備時，位置的精確性就會稍微差一些。例如，當我們身處市中心區域時，它有時只能定位在鄰近區域，而不是精確的位置。不過，并不是所有人都可以查看這些信息，只有MobiControl的管理員才能看到這些信息。

MobiControl分為兩種版本：云版本和預置版。測試中，我們體驗了云版本。我們在數據中心采用一臺配有獨立網絡地址的Windows 7虛擬機作為遠程主機。因為移動終端要與該虛擬機進行交互，因此該虛擬機需要獨立的IP地址、FQDN（完全符合標準的域名）或代理服務器。而且如果設備數量較多的話，該虛擬機還需要配置合理的防火墻保護機制。此外，該虛擬機還需要連接活動目錄服務器，以便進行身份驗證。

MobiControl適用于iOS、安卓及其他較老的Windows Mobile版本。測試中，我們首先需要創建群組，并將移動設備加入群組，然后通過設備代理管理器（Device Agent Manager）定義設備。就基本的連接和控制而言，可能有些繁瑣。

雖然MobiControl也可以對移動設備進行快速配置，不過這取決于移動設備的品牌、型號、操作系統版本以及其他屬性。與Tangoe MDM一樣，雖然MobiControl的工作流程也不是很清晰，但是經過簡單試驗，也可以基本掌握。

安裝MobiControl應用程序后，我們輸入之前在Windows 7 虛擬機中設置的MobiControl管理應用程序密碼。驗證成功后，就可以根據管理應用程序中的策略控制手機。

此外，MobiControl還提供了類似企業商店的應用程序目錄，而且它并不會通過AppThority或其他第三方的移動應用程序分析器來對它進行審查。

總的來說，MobiControl配置和管理模式較為周全。不過就用戶位置隱私的管理角度而言，其確實又有點“恐怖”，只有制定了相關的位置隱私標準，才能決定是不是選擇MobiControl。

Webroot SAB-MP好上手

SecureAnywhere Business-Mobile Protection（以下簡稱SAB-MP）是Webroot在個人MDM應用程序（SecureAnywhere Personal）的基礎上開發而成的，其專門面向小型企業。

SAB-MP雖然基本可以提供SOTI涵蓋的所有功能，比如標注用戶的地理位置、基于證書的手機控制等，但是它并沒有SOTI和Afaria的功能強大。不過相比較而言，SAB-MP的操作更為簡便。

與我們測試的其他軟件包一樣，SAB-MP的安裝也分為兩方面，首先是服務端配置，其次是客戶端安裝、設置。不過，目前SAB-MP還沒有針對ActiveSync、微軟以及黑莓終端的控制能力。因此，Windows移動設備及相應的移動設備應用程序或無法準確地實施相應的控制策略。

SAB-MP的登錄過程很簡單，只需經過幾個簡單的步驟，就可進入到基于SaaS的云界面，然后添加用戶（這一過程可手動完成，也可以從活動目錄列表導出）。

隨后，URL或二維碼會通過郵件或短信發送到指定設備，進而引導該設備指向Google Play或蘋果應用程序商店。用戶點擊該鏈接后，可下載相關的應用程序。安裝完成后，輸入用戶名和密碼，手機就可以被Webroot控制。

Webroot可為用戶提供受限制的瀏覽器權限，通過黑名單機制，限制允許用戶瀏覽的網站。而且Webroot會提供一份名單，其中收錄了被禁止訪問的網站。另外，USB調試保護盾（USB Debugging Shield）和“未知來源”保護盾，可用來過濾USB、藍牙或存儲卡的內容。

需要指出的是，iOS版本的SecureAnywhere需要初始化創建蘋果推送證書（Apple Push Notification Certificate），然后才可以在蘋果應用程序商店下載，獲得專門針對本企業的鏈接、下載應用程序，這個過程類似安卓版本。

關于位置服務方面，手機必須要開啟某種地理位置服務，或者至少提供基于運營商的位置信息，然后才能在Webroot管理控制臺上的谷歌地圖中標出精確的經度、緯度，顯示手機的位置。比如，如果你的位置已經確定，會在地圖中標注一個大頭針；而如果你的位置比較模糊，則用一個直徑較大的圓圈標注。

另外，SAB-MP還提供丟失設備保護（Lost Device Protection）功能。在手機丟失后，控制臺的谷歌地圖中可以顯示設備具體的地理位置，并使手機發出尖叫警報聲，執行擦除設備內容、上鎖、開鎖以及發送消息上鎖等操作。不過，這個消息的推送過程可能會出現延遲，這更多歸咎于運營商提供的服務。

總之，SAB-MP應用程序功能比較基礎、易于理解，沒有設備有效負載限制，也沒有針對特定手機型號的窗口組件，比較適用于小型企業。雖然Webroot的幫助文檔很簡單，但也基本能夠滿足系統管理員的要求。另外，如果用戶有問題，還可以去Webroot的社區求助。簡言之，Webroot需要加以完善，才能趕得上其他產品的基本功能。

藍代斯克移動管理器：與微軟結合緊密

藍代斯克管理控制臺（LanDesk Management Console）基于Windows活動目錄服務、Exchange 2007或2010以及RIM黑莓企業服務器（BES）。藍代斯克移動管理器只是藍代斯克管理控制臺的一個組件，雖然它可以在沒有活動目錄服務的情況下使用，但我們并不建議這么做，因為如果沒有活動目錄服務的話，ActiveSync基礎設施和微軟Exchange將會變得難于管理。

在部署藍代斯克MDM產品時，首先需要一臺Windows 2003/8（或R2）主目錄服務器和一臺運行藍代斯克管理控制臺的服務器，而且它們需要在同一個目錄林（forest）中。它們可以是虛擬機，不過不管使用虛擬機還是獨立的物理服務器，它們至少需要50GB的閑置存儲空間。如果環境中有微軟Exchange的話，藍代斯克移動管理器還可以使用Exchange提供的API（應用編程接口）控制設備。需要指出的是，藍代斯克移動管理器服務器必須部署在DMZ中，而且該DMZ必須有獨立的（或至少運營商能訪問的）FQDN或IP地址，這一點類似SOTI和Webroot的工作方式。

服務器部署完成后，配置移動終端，從蘋果應用程序商店或Google Play下載藍代斯克應用程序。安裝后，與服務器進行身份驗證。驗證完成后，就可以為移動終端添加應用程序，設置是否允許其訪問門戶網站、應用程序、文件以及下載到設備的其他內容。

藍代斯克移動管理器可以對客戶端移動設備進行初始檢查，分析登記的設備是否rootkit，并且可以對其設定標記，然后將設備的狀態記錄在報告中。雖然其會對移動終端進行標記，但并不會將設備隔離。而且由于其不提供位置跟蹤機制，所以無法標注設備的地理位置。

至于用戶控制方面，藍代斯克移動管理器很容易實施活動目錄策略，然后可以鎖定手機、更改個人身份識別號（PIN）、擦除手機中的內容。另外，我們還可以將VPN和電子郵件的設置，甚至無線預共享密鑰發送到控制的設備中。

如果環境中安裝了Exchange 2010，藍代斯克移動管理器還可以啟用策略防止用戶訪問電子郵件，或者只允許授權用戶獲取電子郵件。如果企業郵件很敏感，或者不該讓BYOD設備訪問，就可啟用策略設置，而且同時可以預防與移動設備有關的電子郵件所帶來的問題。這樣，即便你獲得了訪問權，也訪問不了電子郵件。

另外，藍代斯克移動管理器的設備輪詢頻率也可以調節，在我們提高了頻率后，發現設備的響應時間有所縮短。

藍代斯克移動管理器配置簡便，功能與微軟的應用結合較為緊密，而且能夠識別移動終端的rootkit與否。不過除此之外，如果企業想充分利用可靠的活動目錄基礎設施，Mobility Control附帶的免費的Management Infrastructure肯定是有利因素。

來自IT大佬的工具——SAP Afaria 7

SAP Afaria 7是在SAP收購了Sybase和Afaria后整合的一款管理工具，其用戶界面也比較復雜，不過在閱讀使用文檔、獲得一些幫助后，也并不難，其中包含面向BYOD和威脅控制的眾多工作流程。

整個Afaria 7軟件包可以基于云，也可以作為企業網絡架構中的成員（可以是虛擬機）。

相比上一版本，Afaria 7的改進確實很大。Afaria 7的“單一管理平臺”克服了Afaria 6存在的許多問題，比如管理復雜。在現有的云模式中，Afaria仍使用模塊化組件，但這些流程目前已經按一定的邏輯聯系起來了。舉例說，我們需要點擊五下鼠標，就可以為設備設置特定的群組和策略。

Afaria 7的操作類似其他MDM軟件包，建立群組、設定策略、登記用戶、控制設備，而且無論設備的操作系統是iOS、安卓，還是Windows Mobile（直到版本7），都可以支持。另外，Afaria可以通過多種方式來配置設備，包括活動目錄成員身份、企業的證書管理機構、通過MSChap V2等。

目前SAP提供了在AWS上免費試用Afaria兩周的機會，而且可選第三方幫助（可以獲得售前專業技術支持）便于配置合適的初始平臺。而且為想親自配置（通常是出于安全原因）的用戶提供了詳細的操作說明。其中在非預裝云企業安裝環境中，主機平臺采用的是安裝微軟SQL Server 或Sybase iAnywhere的Windows Server實例。

除此之外，Afaria 7可能還需要“主”服務器或分布式服務器，以覆蓋不同的業務部門或邏輯區域，存在一定的局限。另外，雖然沒有活動目錄，Afaria 7也可以部署，但是這意味著用戶以及驗證管理更費力。

Afaria 7的應用程序并不預置，而是在配置完成后進行推送。你可以開發“企業應用程序商店”，其中的SAP應用程序會接受行為審查，但是用戶自身的應用程序是獨立的，而且很容易添加到企業應用程序商店，以便訂購用戶下載。

實際配置中，我們可以把用戶分為三個群組：靜態群組（Static）、動態群組（Dynamic）或單個群組（Individual），群組成員分別分配策略。如果某個設備是其中兩個群組的成員，那么這兩個群組的策略都會被添加。

測試中，我們使用了SAP自帶（預配置）的自助服務門戶（Self Service Portal）。配置中設定不允許受到威脅的設備訪問，所以一旦登記完畢，該設備就會收到矯正消息。否則，要是用戶訪問時被拒絕，則會收到表明設備受到威脅、軟件無法安裝的消息。不過在這種情況下，rootkit或其他惡意情況被清除之后，Afaria 7重新初始化設備。

在設定完成后，Afaria馬上發現了我們的SuperUser rootkit，并且以預想的方式對設備進行了處理。

測試總結

在測試的5款MDM應用軟件中，SOTI的MobiControl功能較強，其非常了解某些手機和操作系統平臺。Tangoe有著非常強大的企業級管理功能。后起之秀Webroot大有希望，但想趕上本次測試的其他產品，仍得下功夫。SAP的Afaria如今幾乎是脫胎換骨，比前一個版本有了大幅改進。藍代斯克移動服務器雖然安裝階段有些復雜，但是設備控制、策略管理和報告功能還是不錯的。

由于這次測試的具體目的是關注移動設備管理，因此除了MDM外，5家廠商所提供的其他可選組件的額外特性并沒有進行測試。

比如說，Tangoe的手機費用控制和資產生命周期應用軟件；藍代斯克添加了非常成熟的基于Windows的系統管理控制臺；SAP/Afaria添加了可選的分析工具，其MDM應用軟件可以內部托管在SAP/Sybase數據庫基礎設施中（還可以托管在微軟的數據庫基礎設施中）；SOTI添加了MobiAssist，這個 PC、移動設備求助臺中心能迅速進行遠程控制；Webroot添加了消費級病毒、惡意軟件檢測系統系列和安全互聯網瀏覽功能。