隨著移動(dòng)終端的飛速發(fā)展，智能手機(jī)、平板電腦商用化已經(jīng)隨處可見。原本為個(gè)人消費(fèi)者設(shè)計(jì)的智能手機(jī)和平板電腦正在不斷被企業(yè)用于承載關(guān)鍵業(yè)務(wù)及核心應(yīng)用，這就需要企業(yè)能夠應(yīng)用相關(guān)IT 策略及規(guī)范管理這些設(shè)備。移動(dòng)終端管理（Mobile Device Management，MDM）的概念由此應(yīng)運(yùn)而生，目前主流的移動(dòng)終端操作系統(tǒng)均不同程度地支持MDM管理協(xié)議。

本次評(píng)測(cè)涵蓋了目前市面上主流的五款MDM軟件，其中包括Tangoe MDM、SOTI MobiControl、Webroot SAB-MP、藍(lán)代斯克移動(dòng)管理器以及SAP Afaria 7。不同于以往主要偏重于資產(chǎn)管理，包括移動(dòng)設(shè)備的配置、保護(hù)和控制等方面的測(cè)試，本次測(cè)試大大加強(qiáng)了對(duì)部分智能手機(jī)和終端操作系統(tǒng)控制能力的測(cè)試。另外，還有像基于位置的跟蹤、移動(dòng)終端使用情況跟蹤、雙因子驗(yàn)證以及隔離個(gè)人身份和企業(yè)身份的沙箱機(jī)制等方面的測(cè)試。

功能強(qiáng)大的Tangoe MDM

Tangoe公司最初只是開發(fā)手機(jī)費(fèi)用控制和資產(chǎn)控制應(yīng)用軟件，不過現(xiàn)在其產(chǎn)品已經(jīng)能夠提供全方位的移動(dòng)設(shè)備生命周期管理。Tangoe MDM（以下簡稱MDM）功能比較成熟，適用于iOS、安卓、黑莓和Windows Mobile系統(tǒng)，而且MDM可以充分體現(xiàn)大型企業(yè)的工作流程。例如，在測(cè)試中，雖然MDM的Web用戶界面并未完全定義工作流程，但是通過簡單體驗(yàn)，很快就可以掌握并靈活操作。

MDM的整個(gè)部署過程首先從配置MDM組件開始，然后安裝應(yīng)用程序和軟件。MDM可以安裝在遠(yuǎn)程主機(jī)中，也可以部署在企業(yè)內(nèi)部，本次測(cè)試我們選擇安裝在遠(yuǎn)程主機(jī)中。因?yàn)檫@樣的話，整個(gè)安裝過程都可以通過虛擬專用網(wǎng)（VPN）來訪問，實(shí)現(xiàn)起來更容易。

在部署過程中，MDM會(huì)提供兩種模式來定義安全和合規(guī)策略，分別是所有設(shè)備執(zhí)行相同策略和個(gè)人、企業(yè)設(shè)備分別執(zhí)行各自的策略。

在實(shí)際的測(cè)試中發(fā)現(xiàn)，其中的一些功能需要復(fù)制資源（包括應(yīng)用程序、設(shè)置和配置），所以在實(shí)際應(yīng)用中，必須充分考慮將來為企業(yè)與個(gè)人（音樂、應(yīng)用程序和視頻等）預(yù)留的存儲(chǔ)容量，以免某些功能因缺少存儲(chǔ)空間而受影響。

另外，MDM也可以對(duì)移動(dòng)設(shè)備所使用的數(shù)據(jù)、語音和文本等資源進(jìn)行跟蹤分析。用戶可以通過策略選項(xiàng)獲得相關(guān)信息，這其中包括設(shè)備已經(jīng)使用了多少資源、套餐內(nèi)還剩余多少資源。而且如果個(gè)別應(yīng)用程序耗費(fèi)資源比較多，還可能“被驅(qū)逐”，比如視頻。

關(guān)于應(yīng)用程序的分發(fā)，我們可以通過移動(dòng)設(shè)備的類別進(jìn)行設(shè)定，然后通過“企業(yè)商店”（Enterprise Store）或者借助GooglePlay等平臺(tái)商店實(shí)現(xiàn)。不過，這些平臺(tái)并不會(huì)對(duì)應(yīng)用程序進(jìn)行安全方面的審查，這項(xiàng)工作需要用戶自己來完成。另外，在這些平臺(tái)上，我們還可以增加應(yīng)用程序的數(shù)量，也可以把應(yīng)用程序推送到移動(dòng)終端，以便終端進(jìn)行初始更新、更換或其他用途。

此外，MDM還集成了微軟的活動(dòng)目錄、Office 365以及商業(yè)生產(chǎn)力在線服務(wù)（Business Productivity Online Services）。

雖然MDM制定策略的過程較為復(fù)雜，不過其設(shè)計(jì)的“test”（測(cè)試）按鈕也帶來不少驚喜。在配置完成后，我們可以通過test按鈕演示結(jié)果，然后再應(yīng)用到新用戶群組?？偟膩碚f，MDM是一款功能強(qiáng)大的軟件，流程簡單、控制力強(qiáng)。

SOTI MobiControl很“恐怖”

在本次測(cè)試的幾款MDM軟件中，SOTI MobiControl算是最“恐怖”的MDM應(yīng)用。之所以這么說，是因?yàn)樗兄膳碌目刂颇芰?，在MobiControl安裝完成后，用戶可以在控制臺(tái)的谷歌地圖中跟蹤手機(jī)在世界上大部分地區(qū)的位置。測(cè)試中使用三星手機(jī)時(shí)，甚至可以精確到高爾夫球場(chǎng)上的某個(gè)球洞；而使用其他設(shè)備時(shí)，位置的精確性就會(huì)稍微差一些。例如，當(dāng)我們身處市中心區(qū)域時(shí)，它有時(shí)只能定位在鄰近區(qū)域，而不是精確的位置。不過，并不是所有人都可以查看這些信息，只有MobiControl的管理員才能看到這些信息。

MobiControl分為兩種版本：云版本和預(yù)置版。測(cè)試中，我們體驗(yàn)了云版本。我們?cè)跀?shù)據(jù)中心采用一臺(tái)配有獨(dú)立網(wǎng)絡(luò)地址的Windows 7虛擬機(jī)作為遠(yuǎn)程主機(jī)。因?yàn)橐苿?dòng)終端要與該虛擬機(jī)進(jìn)行交互，因此該虛擬機(jī)需要獨(dú)立的IP地址、FQDN（完全符合標(biāo)準(zhǔn)的域名）或代理服務(wù)器。而且如果設(shè)備數(shù)量較多的話，該虛擬機(jī)還需要配置合理的防火墻保護(hù)機(jī)制。此外，該虛擬機(jī)還需要連接活動(dòng)目錄服務(wù)器，以便進(jìn)行身份驗(yàn)證。

MobiControl適用于iOS、安卓及其他較老的Windows Mobile版本。測(cè)試中，我們首先需要?jiǎng)?chuàng)建群組，并將移動(dòng)設(shè)備加入群組，然后通過設(shè)備代理管理器（Device Agent Manager）定義設(shè)備。就基本的連接和控制而言，可能有些繁瑣。

雖然MobiControl也可以對(duì)移動(dòng)設(shè)備進(jìn)行快速配置，不過這取決于移動(dòng)設(shè)備的品牌、型號(hào)、操作系統(tǒng)版本以及其他屬性。與Tangoe MDM一樣，雖然MobiControl的工作流程也不是很清晰，但是經(jīng)過簡單試驗(yàn)，也可以基本掌握。

安裝MobiControl應(yīng)用程序后，我們輸入之前在Windows 7 虛擬機(jī)中設(shè)置的MobiControl管理應(yīng)用程序密碼。驗(yàn)證成功后，就可以根據(jù)管理應(yīng)用程序中的策略控制手機(jī)。

此外，MobiControl還提供了類似企業(yè)商店的應(yīng)用程序目錄，而且它并不會(huì)通過AppThority或其他第三方的移動(dòng)應(yīng)用程序分析器來對(duì)它進(jìn)行審查。

總的來說，MobiControl配置和管理模式較為周全。不過就用戶位置隱私的管理角度而言，其確實(shí)又有點(diǎn)“恐怖”，只有制定了相關(guān)的位置隱私標(biāo)準(zhǔn)，才能決定是不是選擇MobiControl。

Webroot SAB-MP好上手

SecureAnywhere Business-Mobile Protection（以下簡稱SAB-MP）是Webroot在個(gè)人MDM應(yīng)用程序（SecureAnywhere Personal）的基礎(chǔ)上開發(fā)而成的，其專門面向小型企業(yè)。

SAB-MP雖然基本可以提供SOTI涵蓋的所有功能，比如標(biāo)注用戶的地理位置、基于證書的手機(jī)控制等，但是它并沒有SOTI和Afaria的功能強(qiáng)大。不過相比較而言，SAB-MP的操作更為簡便。

與我們測(cè)試的其他軟件包一樣，SAB-MP的安裝也分為兩方面，首先是服務(wù)端配置，其次是客戶端安裝、設(shè)置。不過，目前SAB-MP還沒有針對(duì)ActiveSync、微軟以及黑莓終端的控制能力。因此，Windows移動(dòng)設(shè)備及相應(yīng)的移動(dòng)設(shè)備應(yīng)用程序或無法準(zhǔn)確地實(shí)施相應(yīng)的控制策略。

SAB-MP的登錄過程很簡單，只需經(jīng)過幾個(gè)簡單的步驟，就可進(jìn)入到基于SaaS的云界面，然后添加用戶（這一過程可手動(dòng)完成，也可以從活動(dòng)目錄列表導(dǎo)出）。

隨后，URL或二維碼會(huì)通過郵件或短信發(fā)送到指定設(shè)備，進(jìn)而引導(dǎo)該設(shè)備指向Google Play或蘋果應(yīng)用程序商店。用戶點(diǎn)擊該鏈接后，可下載相關(guān)的應(yīng)用程序。安裝完成后，輸入用戶名和密碼，手機(jī)就可以被Webroot控制。

Webroot可為用戶提供受限制的瀏覽器權(quán)限，通過黑名單機(jī)制，限制允許用戶瀏覽的網(wǎng)站。而且Webroot會(huì)提供一份名單，其中收錄了被禁止訪問的網(wǎng)站。另外，USB調(diào)試保護(hù)盾（USB Debugging Shield）和“未知來源”保護(hù)盾，可用來過濾USB、藍(lán)牙或存儲(chǔ)卡的內(nèi)容。

需要指出的是，iOS版本的SecureAnywhere需要初始化創(chuàng)建蘋果推送證書（Apple Push Notification Certificate），然后才可以在蘋果應(yīng)用程序商店下載，獲得專門針對(duì)本企業(yè)的鏈接、下載應(yīng)用程序，這個(gè)過程類似安卓版本。

關(guān)于位置服務(wù)方面，手機(jī)必須要開啟某種地理位置服務(wù)，或者至少提供基于運(yùn)營商的位置信息，然后才能在Webroot管理控制臺(tái)上的谷歌地圖中標(biāo)出精確的經(jīng)度、緯度，顯示手機(jī)的位置。比如，如果你的位置已經(jīng)確定，會(huì)在地圖中標(biāo)注一個(gè)大頭針；而如果你的位置比較模糊，則用一個(gè)直徑較大的圓圈標(biāo)注。

另外，SAB-MP還提供丟失設(shè)備保護(hù)（Lost Device Protection）功能。在手機(jī)丟失后，控制臺(tái)的谷歌地圖中可以顯示設(shè)備具體的地理位置，并使手機(jī)發(fā)出尖叫警報(bào)聲，執(zhí)行擦除設(shè)備內(nèi)容、上鎖、開鎖以及發(fā)送消息上鎖等操作。不過，這個(gè)消息的推送過程可能會(huì)出現(xiàn)延遲，這更多歸咎于運(yùn)營商提供的服務(wù)。

總之，SAB-MP應(yīng)用程序功能比較基礎(chǔ)、易于理解，沒有設(shè)備有效負(fù)載限制，也沒有針對(duì)特定手機(jī)型號(hào)的窗口組件，比較適用于小型企業(yè)。雖然Webroot的幫助文檔很簡單，但也基本能夠滿足系統(tǒng)管理員的要求。另外，如果用戶有問題，還可以去Webroot的社區(qū)求助。簡言之，Webroot需要加以完善，才能趕得上其他產(chǎn)品的基本功能。

藍(lán)代斯克移動(dòng)管理器：與微軟結(jié)合緊密

藍(lán)代斯克管理控制臺(tái)（LanDesk Management Console）基于Windows活動(dòng)目錄服務(wù)、Exchange 2007或2010以及RIM黑莓企業(yè)服務(wù)器（BES）。藍(lán)代斯克移動(dòng)管理器只是藍(lán)代斯克管理控制臺(tái)的一個(gè)組件，雖然它可以在沒有活動(dòng)目錄服務(wù)的情況下使用，但我們并不建議這么做，因?yàn)槿绻麤]有活動(dòng)目錄服務(wù)的話，ActiveSync基礎(chǔ)設(shè)施和微軟Exchange將會(huì)變得難于管理。

在部署藍(lán)代斯克MDM產(chǎn)品時(shí)，首先需要一臺(tái)Windows 2003/8（或R2）主目錄服務(wù)器和一臺(tái)運(yùn)行藍(lán)代斯克管理控制臺(tái)的服務(wù)器，而且它們需要在同一個(gè)目錄林（forest）中。它們可以是虛擬機(jī)，不過不管使用虛擬機(jī)還是獨(dú)立的物理服務(wù)器，它們至少需要50GB的閑置存儲(chǔ)空間。如果環(huán)境中有微軟Exchange的話，藍(lán)代斯克移動(dòng)管理器還可以使用Exchange提供的API（應(yīng)用編程接口）控制設(shè)備。需要指出的是，藍(lán)代斯克移動(dòng)管理器服務(wù)器必須部署在DMZ中，而且該DMZ必須有獨(dú)立的（或至少運(yùn)營商能訪問的）FQDN或IP地址，這一點(diǎn)類似SOTI和Webroot的工作方式。

服務(wù)器部署完成后，配置移動(dòng)終端，從蘋果應(yīng)用程序商店或Google Play下載藍(lán)代斯克應(yīng)用程序。安裝后，與服務(wù)器進(jìn)行身份驗(yàn)證。驗(yàn)證完成后，就可以為移動(dòng)終端添加應(yīng)用程序，設(shè)置是否允許其訪問門戶網(wǎng)站、應(yīng)用程序、文件以及下載到設(shè)備的其他內(nèi)容。

藍(lán)代斯克移動(dòng)管理器可以對(duì)客戶端移動(dòng)設(shè)備進(jìn)行初始檢查，分析登記的設(shè)備是否rootkit，并且可以對(duì)其設(shè)定標(biāo)記，然后將設(shè)備的狀態(tài)記錄在報(bào)告中。雖然其會(huì)對(duì)移動(dòng)終端進(jìn)行標(biāo)記，但并不會(huì)將設(shè)備隔離。而且由于其不提供位置跟蹤機(jī)制，所以無法標(biāo)注設(shè)備的地理位置。

至于用戶控制方面，藍(lán)代斯克移動(dòng)管理器很容易實(shí)施活動(dòng)目錄策略，然后可以鎖定手機(jī)、更改個(gè)人身份識(shí)別號(hào)（PIN）、擦除手機(jī)中的內(nèi)容。另外，我們還可以將VPN和電子郵件的設(shè)置，甚至無線預(yù)共享密鑰發(fā)送到控制的設(shè)備中。

如果環(huán)境中安裝了Exchange 2010，藍(lán)代斯克移動(dòng)管理器還可以啟用策略防止用戶訪問電子郵件，或者只允許授權(quán)用戶獲取電子郵件。如果企業(yè)郵件很敏感，或者不該讓BYOD設(shè)備訪問，就可啟用策略設(shè)置，而且同時(shí)可以預(yù)防與移動(dòng)設(shè)備有關(guān)的電子郵件所帶來的問題。這樣，即便你獲得了訪問權(quán)，也訪問不了電子郵件。

另外，藍(lán)代斯克移動(dòng)管理器的設(shè)備輪詢頻率也可以調(diào)節(jié)，在我們提高了頻率后，發(fā)現(xiàn)設(shè)備的響應(yīng)時(shí)間有所縮短。

藍(lán)代斯克移動(dòng)管理器配置簡便，功能與微軟的應(yīng)用結(jié)合較為緊密，而且能夠識(shí)別移動(dòng)終端的rootkit與否。不過除此之外，如果企業(yè)想充分利用可靠的活動(dòng)目錄基礎(chǔ)設(shè)施，Mobility Control附帶的免費(fèi)的Management Infrastructure肯定是有利因素。

來自IT大佬的工具——SAP Afaria 7

SAP Afaria 7是在SAP收購了Sybase和Afaria后整合的一款管理工具，其用戶界面也比較復(fù)雜，不過在閱讀使用文檔、獲得一些幫助后，也并不難，其中包含面向BYOD和威脅控制的眾多工作流程。

整個(gè)Afaria 7軟件包可以基于云，也可以作為企業(yè)網(wǎng)絡(luò)架構(gòu)中的成員（可以是虛擬機(jī)）。

相比上一版本，Afaria 7的改進(jìn)確實(shí)很大。Afaria 7的“單一管理平臺(tái)”克服了Afaria 6存在的許多問題，比如管理復(fù)雜。在現(xiàn)有的云模式中，Afaria仍使用模塊化組件，但這些流程目前已經(jīng)按一定的邏輯聯(lián)系起來了。舉例說，我們需要點(diǎn)擊五下鼠標(biāo)，就可以為設(shè)備設(shè)置特定的群組和策略。

Afaria 7的操作類似其他MDM軟件包，建立群組、設(shè)定策略、登記用戶、控制設(shè)備，而且無論設(shè)備的操作系統(tǒng)是iOS、安卓，還是Windows Mobile（直到版本7），都可以支持。另外，Afaria可以通過多種方式來配置設(shè)備，包括活動(dòng)目錄成員身份、企業(yè)的證書管理機(jī)構(gòu)、通過MSChap V2等。

目前SAP提供了在AWS上免費(fèi)試用Afaria兩周的機(jī)會(huì)，而且可選第三方幫助（可以獲得售前專業(yè)技術(shù)支持）便于配置合適的初始平臺(tái)。而且為想親自配置（通常是出于安全原因）的用戶提供了詳細(xì)的操作說明。其中在非預(yù)裝云企業(yè)安裝環(huán)境中，主機(jī)平臺(tái)采用的是安裝微軟SQL Server 或Sybase iAnywhere的Windows Server實(shí)例。

除此之外，Afaria 7可能還需要“主”服務(wù)器或分布式服務(wù)器，以覆蓋不同的業(yè)務(wù)部門或邏輯區(qū)域，存在一定的局限。另外，雖然沒有活動(dòng)目錄，Afaria 7也可以部署，但是這意味著用戶以及驗(yàn)證管理更費(fèi)力。

Afaria 7的應(yīng)用程序并不預(yù)置，而是在配置完成后進(jìn)行推送。你可以開發(fā)“企業(yè)應(yīng)用程序商店”，其中的SAP應(yīng)用程序會(huì)接受行為審查，但是用戶自身的應(yīng)用程序是獨(dú)立的，而且很容易添加到企業(yè)應(yīng)用程序商店，以便訂購用戶下載。

實(shí)際配置中，我們可以把用戶分為三個(gè)群組：靜態(tài)群組（Static）、動(dòng)態(tài)群組（Dynamic）或單個(gè)群組（Individual），群組成員分別分配策略。如果某個(gè)設(shè)備是其中兩個(gè)群組的成員，那么這兩個(gè)群組的策略都會(huì)被添加。

測(cè)試中，我們使用了SAP自帶（預(yù)配置）的自助服務(wù)門戶（Self Service Portal）。配置中設(shè)定不允許受到威脅的設(shè)備訪問，所以一旦登記完畢，該設(shè)備就會(huì)收到矯正消息。否則，要是用戶訪問時(shí)被拒絕，則會(huì)收到表明設(shè)備受到威脅、軟件無法安裝的消息。不過在這種情況下，rootkit或其他惡意情況被清除之后，Afaria 7重新初始化設(shè)備。

在設(shè)定完成后，Afaria馬上發(fā)現(xiàn)了我們的SuperUser rootkit，并且以預(yù)想的方式對(duì)設(shè)備進(jìn)行了處理。

測(cè)試總結(jié)

在測(cè)試的5款MDM應(yīng)用軟件中，SOTI的MobiControl功能較強(qiáng)，其非常了解某些手機(jī)和操作系統(tǒng)平臺(tái)。Tangoe有著非常強(qiáng)大的企業(yè)級(jí)管理功能。后起之秀Webroot大有希望，但想趕上本次測(cè)試的其他產(chǎn)品，仍得下功夫。SAP的Afaria如今幾乎是脫胎換骨，比前一個(gè)版本有了大幅改進(jìn)。藍(lán)代斯克移動(dòng)服務(wù)器雖然安裝階段有些復(fù)雜，但是設(shè)備控制、策略管理和報(bào)告功能還是不錯(cuò)的。

由于這次測(cè)試的具體目的是關(guān)注移動(dòng)設(shè)備管理，因此除了MDM外，5家廠商所提供的其他可選組件的額外特性并沒有進(jìn)行測(cè)試。

比如說，Tangoe的手機(jī)費(fèi)用控制和資產(chǎn)生命周期應(yīng)用軟件；藍(lán)代斯克添加了非常成熟的基于Windows的系統(tǒng)管理控制臺(tái)；SAP/Afaria添加了可選的分析工具，其MDM應(yīng)用軟件可以內(nèi)部托管在SAP/Sybase數(shù)據(jù)庫基礎(chǔ)設(shè)施中（還可以托管在微軟的數(shù)據(jù)庫基礎(chǔ)設(shè)施中）；SOTI添加了MobiAssist，這個(gè) PC、移動(dòng)設(shè)備求助臺(tái)中心能迅速進(jìn)行遠(yuǎn)程控制；Webroot添加了消費(fèi)級(jí)病毒、惡意軟件檢測(cè)系統(tǒng)系列和安全互聯(lián)網(wǎng)瀏覽功能。