无惧BYOD大潮

打开文本图片集

随着移动终端的飞速发展，智能手机、平板电脑商用化已经随处可见。原本为个人消费者设计的智能手机和平板电脑正在不断被企业用于承载关键业务及核心应用，这就需要企业能够应用相关IT 策略及规范管理这些设备。移动终端管理（Mobile Device Management，MDM）的概念由此应运而生，目前主流的移动终端操作系统均不同程度地支持MDM管理协议。

本次评测涵盖了目前市面上主流的五款MDM软件，其中包括Tangoe MDM、SOTI MobiControl、Webroot SAB-MP、蓝代斯克移动管理器以及SAP Afaria 7。不同于以往主要偏重于资产管理，包括移动设备的配置、保护和控制等方面的测试，本次测试大大加强了对部分智能手机和终端操作系统控制能力的测试。另外，还有像基于位置的跟踪、移动终端使用情况跟踪、双因子验证以及隔离个人身份和企业身份的沙箱机制等方面的测试。

功能强大的Tangoe MDM

Tangoe公司最初只是开发手机费用控制和资产控制应用软件，不过现在其产品已经能够提供全方位的移动设备生命周期管理。Tangoe MDM（以下简称MDM）功能比较成熟，适用于iOS、安卓、黑莓和Windows Mobile系统，而且MDM可以充分体现大型企业的工作流程。例如，在测试中，虽然MDM的Web用户界面并未完全定义工作流程，但是通过简单体验，很快就可以掌握并灵活操作。

MDM的整个部署过程首先从配置MDM组件开始，然后安装应用程序和软件。MDM可以安装在远程主机中，也可以部署在企业内部，本次测试我们选择安装在远程主机中。因为这样的话，整个安装过程都可以通过虚拟专用网（VPN）来访问，实现起来更容易。

在部署过程中，MDM会提供两种模式来定义安全和合规策略，分别是所有设备执行相同策略和个人、企业设备分别执行各自的策略。

在实际的测试中发现，其中的一些功能需要复制资源（包括应用程序、设置和配置），所以在实际应用中，必须充分考虑将来为企业与个人（音乐、应用程序和视频等）预留的存储容量，以免某些功能因缺少存储空间而受影响。

另外，MDM也可以对移动设备所使用的数据、语音和文本等资源进行跟踪分析。用户可以通过策略选项获得相关信息，这其中包括设备已经使用了多少资源、套餐内还剩余多少资源。而且如果个别应用程序耗费资源比较多，还可能“被驱逐”，比如视频。

关于应用程序的分发，我们可以通过移动设备的类别进行设定，然后通过“企业商店”（Enterprise Store）或者借助GooglePlay等平台商店实现。不过，这些平台并不会对应用程序进行安全方面的审查，这项工作需要用户自己来完成。另外，在这些平台上，我们还可以增加应用程序的数量，也可以把应用程序推送到移动终端，以便终端进行初始更新、更换或其他用途。

此外，MDM还集成了微软的活动目录、Office 365以及商业生产力在线服务（Business Productivity Online Services）。

虽然MDM制定策略的过程较为复杂，不过其设计的“test”（测试）按钮也带来不少惊喜。在配置完成后，我们可以通过test按钮演示结果，然后再应用到新用户群组。总的来说，MDM是一款功能强大的软件，流程简单、控制力强。

SOTI MobiControl很“恐怖”

在本次测试的几款MDM软件中，SOTI MobiControl算是最“恐怖”的MDM应用。之所以这么说，是因为它有着可怕的控制能力，在MobiControl安装完成后，用户可以在控制台的谷歌地图中跟踪手机在世界上大部分地区的位置。测试中使用三星手机时，甚至可以精确到高尔夫球场上的某个球洞；而使用其他设备时，位置的精确性就会稍微差一些。例如，当我们身处市中心区域时，它有时只能定位在邻近区域，而不是精确的位置。不过，并不是所有人都可以查看这些信息，只有MobiControl的管理员才能看到这些信息。

MobiControl分为两种版本：云版本和预置版。测试中，我们体验了云版本。我们在数据中心采用一台配有独立网络地址的Windows 7虚拟机作为远程主机。因为移动终端要与该虚拟机进行交互，因此该虚拟机需要独立的IP地址、FQDN（完全符合标准的域名）或代理服务器。而且如果设备数量较多的话，该虚拟机还需要配置合理的防火墙保护机制。此外，该虚拟机还需要连接活动目录服务器，以便进行身份验证。

MobiControl适用于iOS、安卓及其他较老的Windows Mobile版本。测试中，我们首先需要创建群组，并将移动设备加入群组，然后通过设备代理管理器（Device Agent Manager）定义设备。就基本的连接和控制而言，可能有些繁琐。

虽然MobiControl也可以对移动设备进行快速配置，不过这取决于移动设备的品牌、型号、操作系统版本以及其他属性。与Tangoe MDM一样，虽然MobiControl的工作流程也不是很清晰，但是经过简单试验，也可以基本掌握。

安装MobiControl应用程序后，我们输入之前在Windows 7 虚拟机中设置的MobiControl管理应用程序密码。验证成功后，就可以根据管理应用程序中的策略控制手机。

此外，MobiControl还提供了类似企业商店的应用程序目录，而且它并不会通过AppThority或其他第三方的移动应用程序分析器来对它进行审查。

总的来说，MobiControl配置和管理模式较为周全。不过就用户位置隐私的管理角度而言，其确实又有点“恐怖”，只有制定了相关的位置隐私标准，才能决定是不是选择MobiControl。

Webroot SAB-MP好上手

SecureAnywhere Business-Mobile Protection（以下简称SAB-MP）是Webroot在个人MDM应用程序（SecureAnywhere Personal）的基础上开发而成的，其专门面向小型企业。

SAB-MP虽然基本可以提供SOTI涵盖的所有功能，比如标注用户的地理位置、基于证书的手机控制等，但是它并没有SOTI和Afaria的功能强大。不过相比较而言，SAB-MP的操作更为简便。

与我们测试的其他软件包一样，SAB-MP的安装也分为两方面，首先是服务端配置，其次是客户端安装、设置。不过，目前SAB-MP还没有针对ActiveSync、微软以及黑莓终端的控制能力。因此，Windows移动设备及相应的移动设备应用程序或无法准确地实施相应的控制策略。

SAB-MP的登录过程很简单，只需经过几个简单的步骤，就可进入到基于SaaS的云界面，然后添加用户（这一过程可手动完成，也可以从活动目录列表导出）。

随后，URL或二维码会通过邮件或短信发送到指定设备，进而引导该设备指向Google Play或苹果应用程序商店。用户点击该链接后，可下载相关的应用程序。安装完成后，输入用户名和密码，手机就可以被Webroot控制。

Webroot可为用户提供受限制的浏览器权限，通过黑名单机制，限制允许用户浏览的网站。而且Webroot会提供一份名单，其中收录了被禁止访问的网站。另外，USB调试保护盾（USB Debugging Shield）和“未知来源”保护盾，可用来过滤USB、蓝牙或存储卡的内容。

需要指出的是，iOS版本的SecureAnywhere需要初始化创建苹果推送证书（Apple Push Notification Certificate），然后才可以在苹果应用程序商店下载，获得专门针对本企业的链接、下载应用程序，这个过程类似安卓版本。

关于位置服务方面，手机必须要开启某种地理位置服务，或者至少提供基于运营商的位置信息，然后才能在Webroot管理控制台上的谷歌地图中标出精确的经度、纬度，显示手机的位置。比如，如果你的位置已经确定，会在地图中标注一个大头针；而如果你的位置比较模糊，则用一个直径较大的圆圈标注。

另外，SAB-MP还提供丢失设备保护（Lost Device Protection）功能。在手机丢失后，控制台的谷歌地图中可以显示设备具体的地理位置，并使手机发出尖叫警报声，执行擦除设备内容、上锁、开锁以及发送消息上锁等操作。不过，这个消息的推送过程可能会出现延迟，这更多归咎于运营商提供的服务。

总之，SAB-MP应用程序功能比较基础、易于理解，没有设备有效负载限制，也没有针对特定手机型号的窗口组件，比较适用于小型企业。虽然Webroot的帮助文档很简单，但也基本能够满足系统管理员的要求。另外，如果用户有问题，还可以去Webroot的社区求助。简言之，Webroot需要加以完善，才能赶得上其他产品的基本功能。

蓝代斯克移动管理器：与微软结合紧密

蓝代斯克管理控制台（LanDesk Management Console）基于Windows活动目录服务、Exchange 2007或2010以及RIM黑莓企业服务器（BES）。蓝代斯克移动管理器只是蓝代斯克管理控制台的一个组件，虽然它可以在没有活动目录服务的情况下使用，但我们并不建议这么做，因为如果没有活动目录服务的话，ActiveSync基础设施和微软Exchange将会变得难于管理。

在部署蓝代斯克MDM产品时，首先需要一台Windows 2003/8（或R2）主目录服务器和一台运行蓝代斯克管理控制台的服务器，而且它们需要在同一个目录林（forest）中。它们可以是虚拟机，不过不管使用虚拟机还是独立的物理服务器，它们至少需要50GB的闲置存储空间。如果环境中有微软Exchange的话，蓝代斯克移动管理器还可以使用Exchange提供的API（应用编程接口）控制设备。需要指出的是，蓝代斯克移动管理器服务器必须部署在DMZ中，而且该DMZ必须有独立的（或至少运营商能访问的）FQDN或IP地址，这一点类似SOTI和Webroot的工作方式。

服务器部署完成后，配置移动终端，从苹果应用程序商店或Google Play下载蓝代斯克应用程序。安装后，与服务器进行身份验证。验证完成后，就可以为移动终端添加应用程序，设置是否允许其访问门户网站、应用程序、文件以及下载到设备的其他内容。

蓝代斯克移动管理器可以对客户端移动设备进行初始检查，分析登记的设备是否rootkit，并且可以对其设定标记，然后将设备的状态记录在报告中。虽然其会对移动终端进行标记，但并不会将设备隔离。而且由于其不提供位置跟踪机制，所以无法标注设备的地理位置。

至于用户控制方面，蓝代斯克移动管理器很容易实施活动目录策略，然后可以锁定手机、更改个人身份识别号（PIN）、擦除手机中的内容。另外，我们还可以将VPN和电子邮件的设置，甚至无线预共享密钥发送到控制的设备中。

如果环境中安装了Exchange 2010，蓝代斯克移动管理器还可以启用策略防止用户访问电子邮件，或者只允许授权用户获取电子邮件。如果企业邮件很敏感，或者不该让BYOD设备访问，就可启用策略设置，而且同时可以预防与移动设备有关的电子邮件所带来的问题。这样，即便你获得了访问权，也访问不了电子邮件。

另外，蓝代斯克移动管理器的设备轮询频率也可以调节，在我们提高了频率后，发现设备的响应时间有所缩短。

蓝代斯克移动管理器配置简便，功能与微软的应用结合较为紧密，而且能够识别移动终端的rootkit与否。不过除此之外，如果企业想充分利用可靠的活动目录基础设施，Mobility Control附带的免费的Management Infrastructure肯定是有利因素。

来自IT大佬的工具——SAP Afaria 7

SAP Afaria 7是在SAP收购了Sybase和Afaria后整合的一款管理工具，其用户界面也比较复杂，不过在阅读使用文档、获得一些帮助后，也并不难，其中包含面向BYOD和威胁控制的众多工作流程。

整个Afaria 7软件包可以基于云，也可以作为企业网络架构中的成员（可以是虚拟机）。

相比上一版本，Afaria 7的改进确实很大。Afaria 7的“单一管理平台”克服了Afaria 6存在的许多问题，比如管理复杂。在现有的云模式中，Afaria仍使用模块化组件，但这些流程目前已经按一定的逻辑联系起来了。举例说，我们需要点击五下鼠标，就可以为设备设置特定的群组和策略。

Afaria 7的操作类似其他MDM软件包，建立群组、设定策略、登记用户、控制设备，而且无论设备的操作系统是iOS、安卓，还是Windows Mobile（直到版本7），都可以支持。另外，Afaria可以通过多种方式来配置设备，包括活动目录成员身份、企业的证书管理机构、通过MSChap V2等。

目前SAP提供了在AWS上免费试用Afaria两周的机会，而且可选第三方帮助（可以获得售前专业技术支持）便于配置合适的初始平台。而且为想亲自配置（通常是出于安全原因）的用户提供了详细的操作说明。其中在非预装云企业安装环境中，主机平台采用的是安装微软SQL Server 或Sybase iAnywhere的Windows Server实例。

除此之外，Afaria 7可能还需要“主”服务器或分布式服务器，以覆盖不同的业务部门或逻辑区域，存在一定的局限。另外，虽然没有活动目录，Afaria 7也可以部署，但是这意味着用户以及验证管理更费力。

Afaria 7的应用程序并不预置，而是在配置完成后进行推送。你可以开发“企业应用程序商店”，其中的SAP应用程序会接受行为审查，但是用户自身的应用程序是独立的，而且很容易添加到企业应用程序商店，以便订购用户下载。

实际配置中，我们可以把用户分为三个群组：静态群组（Static）、动态群组（Dynamic）或单个群组（Individual），群组成员分别分配策略。如果某个设备是其中两个群组的成员，那么这两个群组的策略都会被添加。

测试中，我们使用了SAP自带（预配置）的自助服务门户（Self Service Portal）。配置中设定不允许受到威胁的设备访问，所以一旦登记完毕，该设备就会收到矫正消息。否则，要是用户访问时被拒绝，则会收到表明设备受到威胁、软件无法安装的消息。不过在这种情况下，rootkit或其他恶意情况被清除之后，Afaria 7重新初始化设备。

在设定完成后，Afaria马上发现了我们的SuperUser rootkit，并且以预想的方式对设备进行了处理。

测试总结

在测试的5款MDM应用软件中，SOTI的MobiControl功能较强，其非常了解某些手机和操作系统平台。Tangoe有着非常强大的企业级管理功能。后起之秀Webroot大有希望，但想赶上本次测试的其他产品，仍得下功夫。SAP的Afaria如今几乎是脱胎换骨，比前一个版本有了大幅改进。蓝代斯克移动服务器虽然安装阶段有些复杂，但是设备控制、策略管理和报告功能还是不错的。

由于这次测试的具体目的是关注移动设备管理，因此除了MDM外，5家厂商所提供的其他可选组件的额外特性并没有进行测试。

比如说，Tangoe的手机费用控制和资产生命周期应用软件；蓝代斯克添加了非常成熟的基于Windows的系统管理控制台；SAP/Afaria添加了可选的分析工具，其MDM应用软件可以内部托管在SAP/Sybase数据库基础设施中（还可以托管在微软的数据库基础设施中）；SOTI添加了MobiAssist，这个 PC、移动设备求助台中心能迅速进行远程控制；Webroot添加了消费级病毒、恶意软件检测系统系列和安全互联网浏览功能。