如果您的IT支持团队对iPhone与iPad感到恐慌甚至畏惧——别怕,听我慢慢道来。
一遍又一遍,我已经记不得多少IT管理者在我耳边反复念叨这样的观点:没错,我们可以利用Exchange或者移动设备管理工具保证安全,但我们真正担心的是大量iPhone与iPad的涌入给企业资源带来沉重负担。在这里我很高兴有机会向大家正式宣布:员工将iOS设备带入业务环境的做法绝不会给IT支持带来明显(甚至毫无)额外负担。
但我得先把话说在前头:Android设备完全是另一码事。这套系统平台在不同供应商之间辗转往复,定制版本、自制版本层出不穷,就连应用程序的合法性都无法保障,所以我们很难对其进行分析及界定。因此,我要强调,这篇文章中所谈到的内容仅适用于以iPad及iPhone为代表的iOS平台产品。除了版本繁多之外,Android 2.x、3.x、4.x都无法与PEAP保护下的Wi-Fi网络相连接,这种糟糕的安全状况使Android基本失去了角逐企业级工具的资格。另外,Android 2.x智能手机无法支持大多数Exchange ActiveSync政策,例如设备内置加密及高强度密码。有鉴于此,我决定在本文中放弃Android,专注于iOS平台的讨论。
首先,最近的一份报告显示,iOS设备在当前的主流移动平台中最让人省心、也足够令人放心。长久以来备受IT部门追捧的RIM黑莓设备则在支持难度上不够亲民。不过随着黑莓从业务环境中的逐渐淡出,IT移动支持方面的工作负担也会相应减轻。事实上,积极通过iPhone替代黑莓也许是将IT部门从移动支持苦海中解救出来的最快方式。
Android智能手机需要最大程度的技术支持,但该平台却是基本企业安全及管理功能最薄弱的方案。我个人不建议大家将其引入业务环境,这就为技术支持工作省下了大量精力。(摩托罗拉公司的推出的商务型Android手机及三星SAFE系列设备在安全性方面独树一帜,不过Android 4.x版本的出现已经令局势趋于好转。)
iOS用户界面对于用户更加友善,因此他们所需要的技术帮助也较少。来自Forrester研究公司及Aberdeen研究公司的报告显示,自主选择设备的用户(无论由个人还是企业付款)更乐于以自助方式进行支持。另外,如果设备归个人所有(包括企业与个人同时持有),用户往往会在使用中更谨慎、避免设备丢失或损坏。说了这么多,我想说明的是iOS设备在支持方面的需求明显低于其它平台。
不过从另一方面看,IT部门因此也需要直接应对由iOS设备带来的困扰。既然BYOD浪潮不可扼制,下面咱们就一起来看看技术人员该如何以最低的人力成本满足用户需求。
采用安全政策与证书
iOS与其它主流移动系统相比,在Exchange ActiveSync(EAS)政策的支持能力方面技压群雄;只有已经寿终正寝、仅仅存在于少数政府及企业环境下的Windows Mobile才能在政策支持数量上胜过iOS。当用户尝试访问来自Exchange或者企业Gmail(在启用EAS的前提下)的邮件时,邮件服务器会立即执行管理政策,强迫用户在遵循政策的前提下进行访问。由于iOS使用标准EAS政策,用户仅仅需要部署方案,这与企业是否引入iOS其实并无关系——因为台式机在访问过程中也要用到这些政策。
如果大家使用IBM公司的Lotus Notes及Domino,二者的政策无法正常作用于iOS设备(但Notes Server 8.5.2及更新版本已经添加了iOS支持)而仅能奏效在Lotus客户端当中。这是IBM公司自己设置的局限,苹果公司其实算是躺着中枪。出于同样的理由,GroupWise邮件服务器也只有在我们安装了数据移动包的情况下才能实现EAS支持。对于这两种保守派邮件系统,大家可以尝试曲线救国的方式、通过部署移动设备管理(MDM)工具通过政策支持多种移动系统平台。在与IBM与Novell EAS政策协作时,iOS能够以远程方式清除设备内的全部或邮件服务器数据。
iOS还支持PEAP安全Wi-Fi访问及VPN访问等验证机制。当然,这类功能在其它设备上也能实现。
使用配置文件
配置文件是大家绝对不能错过的功能,因为他们能大大节约用户自助配置服务的难度与耗时。
苹果公司的证书交付基于XML,因此用户能够通过多种方式自行制作。MDM工具就是很好的证书制作手段。Mac OS X狮子Server与OS X美洲狮Server同样能够以用户或设备为单位创建并远程安装证书,将其与Active Directory或者Open Directory基础设施对接,这样我们就能针对个人、设备、群组以及设备群组进行设定及政策部署。Web界面非常简洁,管理者可以通过安装了狮子或者美洲狮系统的Mac机进行政策变更。这意味着IT部门需要为企业引入新的管理工具,但使用黑莓设备同样需要引入黑莓Enterprise Server,所以iOS与黑莓并无本质区别。Mac OS X狮子Server或者OS X美洲狮Server比MDM工具要便宜得多,因此在管理政策足以应对需求时,大家真的没必要花冤枉钱。(使用狮子系统的用户需要50美元即可升级为狮子Server,从雪豹系统升级则需要80美元。从美洲狮系统升级为美洲狮Server则只需20美元。)
免费工具苹果配置单元也颇具吸引力,它既能支持Windows系统(从XP到7)也能支持Mac机(从雪豹到美洲狮),但为了保持工作风格的一致性,许多IT部门可能更偏爱狮子Server或者美洲狮Server。我们可以为一台设备创建配置文件,然后将文件通过U盘、邮件或者网络链接的方式同步给其它设备。
不过管理者要想实现自助服务方案,最关键的一环是为各级别用户分别创建配置文件,而绝不是单独为每位用户设定不同的模式。在苹果配置单元中也能实现同样的效果:在工具栏的Library选项中选择配置文件,即可完成创建工作。接下点击“新建”,其中会列出我们可能要设定的各种政策或配置。逐项选定、逐项设置,大多数常用管理方案就这样轻松搞定。
举例来说,大家可能需要设定VPN共享验证证书,这样管理员或者普通员工就不必为每一台设备输入证书内容了(这么做其实相对安全,如果某一台设备丢失,VPN会立即拒绝来自他人的访问)。与此相似,大家还可以添加Exchange服务器地址、设定内部Wi-Fi访问点。LDAP配置、日程表信息共享、负载安全证书、指定MDM服务器等等——各类常用功能都能归在一套群组中。
创建新方案的核心内容在于安全性:在这里,我们控制用户是否撤销配置证书,并在此基础上设定密码要求。举例来说,一位IT支持人员在掌握密码的前提下,能够手动撤销配置文件,但用户则无此权限。
如果大家已经为通用需求设定了几套配置方案,也完全可以针对特定角色或部门设定了一套额外的单独方案。管理者需要分级制定模板,确保通用型配置文件只采取通用设定、本地配置文件只采取本地设定。iOS系统允许我们安装多种配置方案,这样管理者就能够通过控制机制对通用或本地设备进行升级,而不对其它设备造成任何影响。
配置文件保存好之后,我们可以把它分享给更多需要的用户。通过邮件将配置文件发送给用户,让他们在自己的iOS设备上打开文件,并根据提示进行安装。而作为后备或者说更好的自助型方案,大家也可以把这些配置文件以网络链接或者内部网站(例如在新用户欢迎页面中添加链接,将其与员工手册、时间表以及工资单或部门中心页面并列发布),这样用户可以轻松搞定安装工作。由于这些文件会自动对iPhone及iPad进行配置,进而让设备与网络及其它资源共同协作,所以真正希望移动设备能为企业生产力做出贡献,配置文件体系的加入可谓不可避免。
苹果配置单元的弊端在于无法以手动方式对已安装的配置文件进行升级,相比之下MDM工具、狮子Server及美洲狮Server则游刃有余。用户只要下载最新版本即可进行更新。另外,如果大家希望创建自己的无线政策服务器——苹果公司已经发布了说明文档,指导大家如何利用SCEP协议及思科iOS或者微软Windows Server平台实现这类需求。遗憾的是,我还没有在黑莓、Android或者其它移动平台上看到类似的自安装配置文件创建方案。
业务应用
员工自助服务的另一大组成部分在于为管理员审核过的应用发布网页链接。苹果公司创建了一套iTunes迷你网站,其中列出了所有流行业务应用;在推荐列表中大家能够轻松找到想要的应用程序。
在iTunes当中,右击应用图标并选择“复制链接”选项即可。用户点击链接后,iOS设备上的浏览器会自动转向iTunes Store,并完成应用程序购买或下载。因此,大家应该充分利用这种办法敦促员工在业务中使用我们推荐的应用。而对于Android用户,管理员同样可以复制谷歌Play软件市场中的对应链接、将其推荐给广大同事。
将iTunes链接通过邮件发送给用户可能是最简单的推荐应用推广方式。不过如果大家更喜欢亲手进行应用购买及管理工作,苹果公司的Business App Store能够满足对必要或推荐应用的集中结算。这套平台将App Store与开发者定制(非公开)iOS应用汇聚在一起,成为企业用户的理想选择。
如果大家希望强制用户使用指定应用,当然也可以通过管理政策实现,但太过严苛的手段也会令自带设备的收益被扼杀在摇篮之中。在我看来,大多数既希望引入iOS设备、又不想给IT增添压力的企业同样也给普通员工带来了很大压力。毕竟管理者制定的政策越多、所需要的支持负担也就越重。
故障排查
iOS对于大多数用户都有极强的吸引力,但问题并不会在部署初期就显露出来。另外,故障排查在任何类型的设备管理工作中都必不可少。就以密码丢失为例,IT支持团队必然早已构建好通用管理系统作为防范手段。不过移动设备的出现还是会带来很多问题的,下面我们就以问答的形式看看如何让管理工作以员工自理的方式进行:
iCloud会根据用户的Apple ID或者iCloud账户自动将iOS 5设备中的设定进行同步。这能够有效帮助用户在系统发生故障时快速寻回个人信息。不过应用数据却没有被保存在iCloud当中。iTunes同样会追踪用户所购买的应用及媒体产品,这样设备数据被清除或者系统恢复后,已经付过钱的内容会顺利回到消费者手中。另外,iTunes会备份用户数据及设定信息,所以我建议大家定期让iOS设备与iTunes同步。在良好习惯的支持下,用户完全可以自己搞定数据被清除的设备,或者将应用、数据及设定传输到新设备上。iOS 5的无线备份机制进一步简化了整个备份过程。
iOS系统没有直观的文件系统(文件被保存在以应用为单位的独立容器中,这充分符合安全要求),因此用户常常弄不清楚该如何将指定文件通过邮件发送出去或者将某些内容导入应用当中。技巧在于从内容着手。举例来说,要想通过邮件发送图片,首先进入Photos应用、选定要发送的图片、在菜单中选择通过邮件共享该图片。大多数应用都会以相似的方式实现此类功能。另外,要在不同应用之间传递文件,我们需要在菜单中选择“在…中打开”选项——大家可以通过点触及长按目标文档,并在菜单中的共享或者其它特定方式实现文件传递(只有支持的应用才会被列出)。应用必须支持“在…中打开”,因此某些应用无法实现文件传递功能。
如果某位员工在遇上困难时恰巧身边找不到IT技术人员,他或她可以马上通过屏幕截图将当前状况以邮件形式发往服务中心。同时按下休眠/唤醒键加Home键即可实现截屏,截得的图片会立即保存在Photo应用中的相机胶片当中。iOS系统对屏幕截图的数量没有限制。
大多数应用都支持快速回滚功能:只需点击屏幕顶端,应用界面一般就会返回内容顶端(例如邮件消息等)。遗憾的是,目前还没有直接到达页面底端的方法。
多项手势全面通用:一根手指滚动应用界面、两根手指在应用中滚动界面及窗口(通常在网站浏览中)。拇指与另一手指同时合拢实现界面缩小、同时张开实现界面放大。连按两次Home键打开任务管理器,其中显示出所有已经打开的应用程序,用户可以任意进行关闭操作(点触并长按对应图标,并点击图标右上角出现的小叉图形)。
如果大家担心汹涌而来的iOS设备会一举淹没企业技术团队,请暂且放下心来。苹果的产品其实并没有诸位想象中那么难以打理——而且已经有很多现成的技术能够大大降低支持难度、并通过将工作分配给普通员工进一步降低IT部门肩上的负担。