【2012年12月4日 51CTO外電頭條】IT部門的關(guān)注重點正迅速由移動設(shè)備管理（簡稱MDM）轉(zhuǎn)向移動應(yīng)用程序管理（MAM），觀念也從過去的猶豫是否應(yīng)該引入移動設(shè)備轉(zhuǎn)變到如今的如何最大程度利用移動技術(shù)優(yōu)勢。我曾經(jīng)親身參加過許多IT討論會議，發(fā)現(xiàn)大家開始圍繞應(yīng)用程序的管理提出一個又一個實際問題。對于使用IBM Tivoli以及微軟SMS等用戶PC軟件管理工具的企業(yè)，iPhone、iPad以及Android系統(tǒng)平臺已經(jīng)成為新時代的“西部拓荒”。這是一片充滿風(fēng)險與機(jī)遇的環(huán)境，誰能占得先機(jī)、誰就能在未來一段時間中笑傲同儕。

移動設(shè)備的多樣性確實令人望而卻步——大多數(shù)臺式機(jī)應(yīng)用程序管理工具連順暢管理Mac OS X應(yīng)用都做不到，我們當(dāng)然不可能指望它們能在移動設(shè)備上一展身手。盡管心理準(zhǔn)備已經(jīng)做完，但移動操作系統(tǒng)相對桌面系統(tǒng)采用了太多顛覆式設(shè)計，就連IT部門也無法通過傳統(tǒng)方案對新應(yīng)用進(jìn)行管理。此外，應(yīng)用程序商店的出現(xiàn)令企業(yè)IT團(tuán)隊無法繼續(xù)扮演移動領(lǐng)域的應(yīng)用提供者角色，而HTML與本地應(yīng)用相混雜的狀況也進(jìn)一步加劇了移動管理的復(fù)雜性。沒錯，IT部門確實可以收集自己的移動應(yīng)用搭建“企業(yè)應(yīng)用商店”，但這實在有名不副實之嫌——一個內(nèi)部站點、幾條允許使用或建議使用的應(yīng)用下載鏈接，這根本不可能引起員工的興趣。

在IT部門逐漸對全面管理移動設(shè)備表示絕望的同時，另一種觀點開始占據(jù)上風(fēng)——既然這些設(shè)備的所有權(quán)屬于用戶，那么IT團(tuán)隊?wèi)?yīng)該有權(quán)對其中面向業(yè)務(wù)的各類應(yīng)用加以控制。這樣一來，如果員工離開企業(yè)或者設(shè)備丟失，應(yīng)用程序及其保存數(shù)據(jù)都能夠被及時清除、進(jìn)而保護(hù)敏感信息安全。IT團(tuán)隊還應(yīng)當(dāng)有權(quán)管理更新及授權(quán)許可，同時追蹤用戶的使用狀態(tài)——尤其是在員工、分包商及企業(yè)合作伙伴選擇各自業(yè)務(wù)應(yīng)用的復(fù)雜前提下——從這個角度來看，即使是以控制為主要服務(wù)對象的專業(yè)企業(yè)也無法利用傳統(tǒng)方案對各類設(shè)備進(jìn)行全面覆蓋。

第一波浪潮：通過政策管理HTML應(yīng)用容器

目前設(shè)備管理領(lǐng)域中的主流方案仍然以面向政策模式居首。在這種情況下，諸如黑莓Enterprise Server（BES）、微軟Exchange（以Exchange ActiveSync協(xié)議為代表）等強(qiáng)勢體系，加上Good Technology、MobileIron以及Trellia等第三方MDM工具，都能夠為郵件、聯(lián)系人等業(yè)務(wù)信息提供恰當(dāng)?shù)臄?shù)據(jù)保護(hù)服務(wù)。此外，它們還以強(qiáng)制手段貫徹密碼保護(hù)、遠(yuǎn)程鎖定等管理政策。某些工具甚至可以管理應(yīng)用程序本身，實現(xiàn)例如允許或禁止訪問及更新推送等功能。

而同樣的狀況在移動應(yīng)用管理領(lǐng)域也開始出現(xiàn)。

其中一大選擇是采用Antenna軟件公司提供的方案，這款名為Volt MAM的產(chǎn)品為iPhone及Android環(huán)境打造了一套專門存放HTMl 5應(yīng)用的虛擬環(huán)境。由于蘋果、谷歌等巨頭廠商在系統(tǒng)中提供JavaScript API以及支持W3C的BONDI APi，因此上述產(chǎn)品能夠借此調(diào)用設(shè)備本機(jī)功能。（舉例來說，它們能夠以這種方式捕捉標(biāo)簽或者欄位代碼。）我們可以根據(jù)自己選擇的IDE進(jìn)行HTML 5應(yīng)用開發(fā)（甚至可以使用文檔編輯器進(jìn)行開發(fā)），但開發(fā)成品必須與Antenna的API相對接，否則將無法同Volt客戶端協(xié)作、更不用提接受Antenna移動平臺（簡稱AMP）服務(wù)器的管理。

有鑒于此，大家不妨以用戶政策（例如角色分類）為基礎(chǔ)編寫安裝配置文件。這樣用戶在登錄服務(wù)器（大多處于托管狀態(tài)下）時，應(yīng)用程序會將與角色相對應(yīng)的配置文件一同下載至設(shè)備當(dāng)中。服務(wù)器同時還會推送軟件更新并為IT部門提供用于監(jiān)控使用狀況、變更應(yīng)用許可、鎖定下行數(shù)據(jù)以及清除應(yīng)用所必要的功能組件，這樣用戶在離開企業(yè)或是調(diào)任其它崗位時，管理者就能夠快速將其角色剔除或是做出相應(yīng)更改。

虛擬環(huán)境的出現(xiàn)終于為業(yè)務(wù)與個人應(yīng)用及數(shù)據(jù)的劃分指出了一道康莊大道，但具體實施起來還是有點問題——畢竟強(qiáng)迫用戶打開容器應(yīng)用（Antenna的Volt就是最典型的例子）才能訪問業(yè)務(wù)HTML應(yīng)用的做法不夠人性、容易引發(fā)員工的反感。但從另一個角度看，既然是HTML應(yīng)用，咱們也不必要求太多。畢竟用戶在使用任何一款Web應(yīng)用時都需要先打開瀏覽器，這與打開容器倒也沒啥本質(zhì)區(qū)別。另外，由于所有業(yè)務(wù)資源都運行于IT部門的服務(wù)器中，因此管理者能夠直接對應(yīng)用進(jìn)行控制，這跟傳統(tǒng)的臺式機(jī)Web應(yīng)用非常類似。

企業(yè)自主開發(fā)的HTML 5應(yīng)用借助Volt的強(qiáng)大功能，得以擁有一片獨立的運行空間，因此相關(guān)數(shù)據(jù)的加密與隔離效果也要比設(shè)備上的其它信息好很多。蘋果的iOS平臺本身就支持加密及隔離服務(wù)，但谷歌的Android 2.x系列卻一項也不支持。雖然在Android 3.x和4.x系統(tǒng)中納入了加密機(jī)制，但隔離仍然是谷歌產(chǎn)品的最大軟肋。由于業(yè)務(wù)HTML 5應(yīng)用的運行完全依托于Volt，所以AMP服務(wù)器能夠直接對其進(jìn)行管理，而且絕不會對設(shè)備中的其它應(yīng)用產(chǎn)生干擾。

而在iOS這邊，Amp服務(wù)器同樣能夠利用AMP及其內(nèi)部集成的MDM工具實現(xiàn)本機(jī)應(yīng)用管理。與此類似，AMP中集成的MDM工具還可以管理由自身提供（HTML 5及本機(jī)）或工具提供（本機(jī)）的應(yīng)用程序。值得一提的是，Volt在離線工作時HTML 5應(yīng)用仍然能正常運行，并在網(wǎng)絡(luò)連接恢復(fù)后第一時間進(jìn)行數(shù)據(jù)同步。

理論上講，Volt控制下的HTML 5應(yīng)用能夠以獨立應(yīng)用的狀態(tài)保存在iOS設(shè)備的主屏幕中隨時等待調(diào)用，這就省去了先開容器、再開應(yīng)用的弊端。其實應(yīng)用本身仍然處于AMP所綁定的安全及管理之下，但用戶使用時的感受與普通應(yīng)用無疑，并不會感覺到AMP的存在。某些用戶可能喜歡按個人偏好對應(yīng)用程序進(jìn)行分組，但Volt會強(qiáng)制要求使用者把業(yè)務(wù)應(yīng)用統(tǒng)統(tǒng)歸在同一個組中。（Android系統(tǒng)不支持應(yīng)用與容器綁定，因此Volt控制下的HTML 5應(yīng)用必須在打開Volt平臺的情況下才能運行。）

Antenna公司CTO Dan Zeck指出，他們更樂于通過iOS的方式運行應(yīng)用而非強(qiáng)行通過容器，因為IT消費者更希望從直觀層面上了解業(yè)務(wù)應(yīng)用與個人應(yīng)用間的劃分——這樣既能讓IT部門輕松實現(xiàn)數(shù)據(jù)隔離，又能幫助用戶在意識上搞清個人活動與業(yè)務(wù)操作的差異。他同時表示，讓業(yè)務(wù)應(yīng)用以普通應(yīng)用的面貌出現(xiàn)在iOS主屏幕中、同時又確保它們始終處于嚴(yán)格監(jiān)控之下其實并沒有什么技術(shù)難度。（黑莓OS 6和7同樣支持這種隱性隔離方案，不過僅有數(shù)款最新黑莓Enter Server版本支持該功能，并只限BES控制下的應(yīng)用。）

隨著MDM工具開始廣泛為應(yīng)用程序提供支持，AMP服務(wù)器也開始接管起iOS應(yīng)用的安裝與管理工作——但前提是企業(yè)用戶必須采用蘋果公司推出的企業(yè)級SDK協(xié)議。AMP能夠在許可證書的支持下實現(xiàn)應(yīng)用的直接安裝，這就回避了公共App Store中蘊(yùn)含的潛在風(fēng)險。這是蘋果公司的強(qiáng)制要求，目的在于為業(yè)務(wù)應(yīng)用帶來與其它iOS應(yīng)用同等級別的高端控制標(biāo)準(zhǔn)。

而包括AppCentral在內(nèi)的其它工具也提供相似的功能。不過現(xiàn)在看來，Volt客戶端與AMP托管服務(wù)器的組合似乎更適用于企業(yè)環(huán)境，因為這套方案將LDAP、MDM工具以及高度加密與驗證技術(shù)以打包方式集于一身，這極大豐富了管理政策的功能性。（AT&T公司在其Workbench產(chǎn)品中使用的就是AMP，但Volt/AMP這套組合可不只局限于使用AT&T服務(wù)的設(shè)備。）Volt客戶端能夠作用于使用iOS 4、5的iPhone以及使用2.1、到2.3版本的Android設(shè)備；目前其它版本支持對象正在開發(fā)之中。

第二波浪潮：通過政策直接管理本機(jī)應(yīng)用

盡管功能強(qiáng)大，但Antenna方案仍然無法作用于本機(jī)應(yīng)用——因為本機(jī)應(yīng)用無法在其它應(yīng)用內(nèi)部或IT服務(wù)器上運行。這時就要輪到AppCentral和AppGuard服務(wù)出場了。AppCentral公司（起初名為Ondeego公司）已經(jīng)分別為自家MAM技術(shù)發(fā)布了iOS及Android版本，以迥異的思路為移動應(yīng)用程序管理及分布指明了新方向。令人欣慰的是，實踐證明了這款產(chǎn)品在本機(jī)應(yīng)用領(lǐng)域的巨大貢獻(xiàn)與完美協(xié)調(diào)能力。

在由AppGuard服務(wù)所構(gòu)建起的小型獨立環(huán)境中，我們可以利用AppCentral管理政策API將“監(jiān)聽器”功能代碼添加到iOS及Android應(yīng)用中。在API的幫助下，應(yīng)用程序?qū)⑴cAppCentral服務(wù)器進(jìn)行交互，使管理者得以將各種政策及用戶劃分方案加入其中——例如限制特定Wi-Fi訪問請求（此類情況在醫(yī)療保健行業(yè)比較常見）或者在員工權(quán)限發(fā)生變更時及時清除應(yīng)用及數(shù)據(jù)（比如分包商工作完成、需要向總包交接項目資料）。

“監(jiān)聽器”功能會對應(yīng)用程序啟動、前臺運行等活動（主要針對應(yīng)用激活操作）加以監(jiān)控，并實時檢測當(dāng)前設(shè)備與應(yīng)用狀態(tài)是否有悖于管理政策。“監(jiān)聽器”功能還能將應(yīng)用程序（而非設(shè)備整體）的狀態(tài)與活動單獨反饋給服務(wù)器端，這就降低了管理工作中的人為因素，大大緩和員工、分包商及企業(yè)合作伙伴對于監(jiān)控流程的防備心理。

關(guān)鍵在于管理機(jī)制已經(jīng)嵌入到應(yīng)用程序當(dāng)中，因此大家無需再為設(shè)備本身操心。既然消除了后顧之憂，我們就應(yīng)當(dāng)開始考慮將應(yīng)用程序管理以規(guī)范形式普及向更大規(guī)模的用戶群體，而不再僅僅把眼光放在與企業(yè)內(nèi)部與敏感信息相關(guān)的移動設(shè)備身上。

蘋果公司對于AppCentral開發(fā)的技術(shù)贊賞有加，因此iOS開發(fā)人員也就不必?fù)?dān)心自己的應(yīng)用產(chǎn)品會受到非蘋果API的侵?jǐn)_。而在Android領(lǐng)域則缺乏此類官方引導(dǎo)——這毫不令人意外，Android在安全性上的疲軟已經(jīng)不算新聞了。不過AppGuard技術(shù)則為Android指了一條明路，IT部門能夠在它的幫助下將應(yīng)用集中起來，進(jìn)而實現(xiàn)企業(yè)級別的管理與監(jiān)控。

AppCentral工具為應(yīng)用程序提供多項管理服務(wù)，其中包括授權(quán)許可管理、第三方產(chǎn)品發(fā)布等等——這在以往的移動領(lǐng)域、尤其是蘋果強(qiáng)制要求企業(yè)將專有業(yè)務(wù)應(yīng)用以第三方產(chǎn)品的形式通過App Store發(fā)布這一背景下，更加顯得難能可貴。而且在iOS與Android平臺的授權(quán)許可管理方面，由于蘋果App Store與谷歌Play軟件市場都在以用戶為單位進(jìn)行計費管理，AppCentral的授權(quán)許可機(jī)制可謂意義非凡。IT管理者可以批量采購使用許可，并以注冊碼的形式發(fā)放給普通用戶，這樣員工就不必再經(jīng)歷自掏腰包、申請報銷等一系列麻煩的過程——而且在大型企業(yè)方面，批量發(fā)放也讓應(yīng)用程序的實際推廣不再困難。盡管AppCentral提供了較為全面的解決方案，但其中所涉及的問題仍然相當(dāng)復(fù)雜，這就導(dǎo)致IT部門與移動操作系統(tǒng)供應(yīng)商之間的矛盾尚未得到實質(zhì)性緩和。

新型MAM正在針對“消費化”趨勢做出調(diào)整

我們目前還處于移動管理發(fā)展的初級階段。在過去兩年中，MDM領(lǐng)域出現(xiàn)了一股不大不小的淘金熱，十幾家供應(yīng)商的涌入頗有股群雄逐鹿的味道。而就在去年，MDM的概念終于在企業(yè)用戶中扎根，自此即使是對安全性要求最高的公司，也開始嘗試將iPhone、iPad及Android設(shè)備引入業(yè)務(wù)環(huán)境并為其提供支持——這在2009年看來簡直不可想象。

MAM則可以看作下一個MDM，IT部門的敏感分子們已經(jīng)把高風(fēng)險的帽子從設(shè)備上取下，轉(zhuǎn)而扣給了應(yīng)用程序——某些是出于合法性考慮、某些則源于新問題的涌現(xiàn)。我個人則滿懷熱情，期待著像Antenna、AppCentral、Mocana以及賽門鐵克這樣的一流安全技術(shù)企業(yè)能夠認(rèn)識現(xiàn)實、制定規(guī)劃，早日引領(lǐng)應(yīng)用程序合法性管理走向正途——正如Good Technology、MobileIron與Sybase等公司當(dāng)前所做的一樣。

再樂觀一點，像AppCentral這樣的方案已經(jīng)成功將全面管理的沉重包袱卸下、將IT部門的工作重心調(diào)整為以“消費化趨勢”為中心、業(yè)務(wù)技術(shù)共享模式為前導(dǎo)，用戶、IT部門及第三方供應(yīng)商各司其職、各負(fù)其責(zé)的良好管理體系。這套方案要求我們采取分塊分類、以政策為基礎(chǔ)的管理模式，并為大家?guī)碜阋詰?yīng)對今后挑戰(zhàn)的優(yōu)秀工具。

移動應(yīng)用管理引發(fā)的焦慮已經(jīng)消弭

一年前，CIO們還普遍認(rèn)為自己絕不可能為iPhone及其它自帶設(shè)備提供任何安全及管理層面的操作政策。而時至今日，上述觀點顯然已經(jīng)過時，這要感謝用戶的大力推動以及面向iOS與Android設(shè)備IT管理需求的各類工具。隨著設(shè)備管理紛爭的日漸平息，圍繞應(yīng)用管理展開的討論又開始充斥在我耳邊——沒錯，無論是私人活動還是正式會議，這都是技術(shù)圈子里最熱門的話題。

不過對于應(yīng)用管理的恐慌情緒也同樣會煙消云散。只需要利用安全網(wǎng)站或在郵件中發(fā)送指定鏈接這類簡單的應(yīng)用交付方案，企業(yè)就完全能夠初步掌握安全主動權(quán)——當(dāng)然這也是去年秋天之前iOS設(shè)備所能采取的最佳安保模式。但如今不同了，企業(yè)希望或需要以更直接的方式進(jìn)行應(yīng)用管理，他們對移動設(shè)備提出了與傳統(tǒng)臺式機(jī)一樣的高要求：控制、安全、合規(guī)性監(jiān)管一項都不能少。而現(xiàn)實沒有令企業(yè)失望，他們需要的工具已經(jīng)蓄勢待發(fā)、準(zhǔn)備投入這場轟轟烈烈的消費化變革。

我們欣喜地看到，管理方案已經(jīng)在正確的道路上漸行漸遠(yuǎn)——賦予IT部門足夠的控制權(quán)、又不過分影響用戶感受，這才是消費化進(jìn)程的精髓與實質(zhì)。隨著移動設(shè)備迅速成為個人事務(wù)及企業(yè)業(yè)務(wù)不可或缺的組成部分，以Volt為代表的一系列工具也已經(jīng)分別為兩種用途提供了理想支持。我們不再需要強(qiáng)迫用戶使用被重重鎖定起來的智能手機(jī)或者平板設(shè)備，而IT部門也擺脫了承擔(dān)一切監(jiān)控工作的壓力——整條產(chǎn)業(yè)鏈中的每一環(huán)都是受益者，健康發(fā)展的經(jīng)濟(jì)觀念在這里體現(xiàn)得淋漓盡致。

 【51CTO獨家特稿非經(jīng)授權(quán)謝絕轉(zhuǎn)載，合作媒體轉(zhuǎn)載請發(fā)轉(zhuǎn)載郵件至zhousn#51cto.com】