引言
无论企业信息工作者所携入的智能移动设备,是个人所拥有(BYOD)还是企业所提供的(COPE),都会为企业的IT环境带来潜在资安危机。因此您需要有一个有效的配套措施来集中控管它们,而不是下令禁止员工携带它们。想想看这样的部署成本是否会让IT单位吃不消呢?其实一点都不会,只要您懂得安装与使用今日所要实战介绍的这款WSO2 Enterprise Mobility Manager 2.0.1开源方案,一切BYOD与COPE问题都变得很简单。
简 介
现在从事IT人员的工作可真是越来越难为了,因为早期的IT工作只要管理好服务器、客户端计算器以及网络即可,如今由于智能型手机与平板的普及化,导致企业员工人手一机的携入作业场合中来使用,造成IT单位在信息安全方面的疑虑。有鉴于此部分公司开始严格要求出入门禁的管制,禁止携带有上网、照相以及录像功能的移动设备进入,有如军事重地门禁的管制一般,如发现违法者一律以开除处分。
其实大可不必如此,毕竟古代圣贤有云:「法令滋彰,盗贼多有」,这意味着越多有形的管制措施,有心的恶意员工只会越多。因此只要有适时的基本门禁管理,再善用信息科技的无形管理工具,便可以妥善管理好人员所携入的各种智能移动设备,并且还能够延伸出许多细部管理面的附加价值,像是帮员工找出所遗失的移动设备,或是远程清除遗失的手机储存数据,以避免个人或公司的敏感信息因而外流,可算是一个能够达成企业与员工双赢的最佳做法。
究竟是什么样的IT方案,可以有效解决自携设备(BYOD)以及企业提供设备(COPE)的两大管理问题呢,答案就是移动设备管理(MDM,Mobile Device Management)系统。不过这一类的相关解决方案,目前市场上已经有许多的大厂纷纷提供,包括了Microsoft、IBM、Cisco、Citrix、Nexus等等,有些是建置于企业私有云中,有些则是提供像是Windows Intune公有云的服务,该如何来选择呢?
在此笔者的建议是如果您的IT预算相当有限,且又希望能够将MDM系统部署在企业私有云环境之中,强烈建议您不仿试试开源的WSO2 Enterprise Mobility Manager(简称EMM),截至目前为止它的最新版本为2.2.0,您可以在官方网站上来注册并下载。
WSO2 Enterprise Mobility Manager官方下载网址:
http://wso2.com/products/enterprise-mobility-manager/
至于最新版本的WSO2 Enterprise Mobility Manager有哪一些关键的功能呢?
系统功能与安装要求
最新版本的WSO2 Enterprise Mobility Manager (简称:EMM)所提供的功能,主要可从以下几个面向来说明:
- 移动设备管理(MDM):提供以角色为基础的设备管理模式(RBAC),来协助企业通过不同控管政策(Policy)的创建,来统一控管以Android、iOS以及Windows为主的三种主流设备。
- 移动App管理:您可以列出已受管理的设备中,所有已安装的App清单,进一步甚至于可以控管这一些App的安装、更新以及移除。
- 设备和数据安全保护:为了保护敏感性数据于移动设备中的安全性,IT部门可以预先做好强制加密的动作,并且还能够在设备不慎遗失时,进行远程设备数据的清除、重置以及锁定的控制。
- iOS设备控管功能:您可以对于所有受控管的iOS移动设备,进行设备信息取得、已安装App清单取得、设置APN与LDAP、设备位置的追踪、锁定、网络设置、设置AirPlay、设置Email账户、行事历订阅设置、限制设备操作、密码原则设置、清除现行密码设置、远程数据清除等等。
- Android设备控管功能:您可以对于所有受控管的Android移动设备,进行设备信息取得、已安装App列表取得、设备位置的追踪、锁定、网络设置、相机功能的限制、OTA WiFi的设置、数据加密设置、密码原则设置、设备重置、设备静音或响铃、传递屏幕讯息、安装或移除企业应用程序、支持GCM/LOCAL连接模式。
- Windows设备控管功能:虽然使用Windows系列移动设备的企业客户少得可怜,但EMM仍是支持的。不过它所能够控制的功能最少,仅有设备信息取得、密码原则设置、相机功能的限制、数据加密设置、设备锁定、设备响铃以及数据清除。
在EMM系统安装需求部分,以服务器来说它是支持Linux与Windows操作系统的,基本上只要其系统上有预安装JDK 7或8的套件(不建议采用OpenJDK.)即可。在后端数据库部分,只要是工业标准的关系型数据库(RDBMS),像是Oracle Database、PostgreSQL、MySQL、MS SQL等等都是可以的。
在受控管的移动设备要求部分,Apple的iOS系统版本需要6.0至10.0之间的版本。Android部分则需要4.1至5.0之间的版本,而Windows移动设备则是支持8.1与10的版本。必须注意的是如果打算启用数据加密功能,该设备的电力必须在80%以上。
安装与执行方法
在接下来有关于EMM服务器的安装与管理实战讲解中,笔者将以Ubuntu桌面版本作为运行的操作系统。首先请执行以下命令,来完成JDK与MySQL相关必要套件的安装。
- sudo apt-get install default-jdk default-jre mysql-server-5.6 libmysql-java git eclipse ant maven
由于安装的套件中有MySQL,因此系统将会提示我们设置MySQL默认管理员root的密码,请输入一个较严谨的密码设置,以确保数据库的安全。
完成需求套件的安装之后,请将下载好的EMM套件在解压缩之后,将整个数据夹wso2emm复制到您希望存放与执行的路径,例如/opt/或/usr/local/bin/路径下等等。完成复制与访问权限的设置之后,请如图1所示执行以下命令来完成Java环境变量的设置,接着才能成功执行EMM的主程序wso2server.sh。若没有正确设置环境变量而直接执行该Script程序,将会出现没有正确设置JAVA_HOME变量的错误讯息,而无法正常启动程序。
- export JAVA_HOME=/usr/lib/jvm/java-7-openjdk-amd64
- export PATH=${JAVA_HOME}/bin:${PATH}
- sh /usr/local/bin/wso2emm/bin/wso2server.sh
图1启动EMM程序
没错!您没有弄错整个EMM的安装方式就是这么容易,不过别高兴太早因为仍是有一些组态设置,需要根据您实际的网络环境来做一些调整的。在此之前您可以先开启网页浏览器,连接至https://IP地址:9443/,来开启如图2所示的EMM登录页面。您可以从这个页面中进入到官方的社群或下载相关的原文手册等等。默认的管理员账号与密码是admin/admin。请在输入后点击[Sign-in]完成登录即可。
图2 EMM登录页面
在此可以检视到目前服务器系统的版本信息、网络信息、目前于伺服端登录的用户信息、JAVA版本信息等等。至于左方的工作窗格则是一些进阶的组态信息,没有必要时是不需要进行修改的。
确认EMM的网站可以正常登录与显示之后,请开启终端机窗口修改位在
客户角色管理
想要让企业中所有的移动设备客户端,开始使用EMM的控管功能,首先就必须完成这些人员的账户创建。如图3所示您可以在网站左方窗格的[Users and Roles]节点页面中,来管理有关于此系统的人员帐户与角色权限的配置。其中无论是要添加使用者还是角色,除了可以单笔创建之外,也可以采用大容量导入的方式来快速创建。
图3 添加使用者与角色
在此除了需要输入用户的名称与密码之外,还可以选择所属的网域,也就是说您可以使用不同的网域,来控管不同使用者的连接登录。不过在默认的状态下并没有额外的网域。至于用户其它的进阶信息(例如:Email地址),后续仍是可以开启并编辑的。点击[Next]继续。来到步骤2页面中,便可以选定要给新使用者的所属角色。在此所看到的皆是系统内置的角色,其中admin的角色是拥有完整管理权限的角色。后续您仍可以对于这一些角色调整权限的配置,以及添加自定义的角色。点击[Finish]。
安装Android App
由于目前全球最多人使用的移动设备(包括了智能型手机与平板)是以Android系统为主,它横跨了各种大大小小的知名品牌,因此也成为了企业IT首要控管的重点。想要通过EMM来控管大量的Android设备的使用是非常容易的,主要原因是它所需要部署的代理程序(Agent App),并不需要先上架到[Play商店]。不过在开始之前,必须确认使用者的Android设备,已经在[安全性]的设置页面中,勾选了[允许安装来源不明的应用程序]设置,否则将无法顺利接下来有关于EMM Agent的下载与安装,因为通常此设置在系统默认的状态下是尚未勾选的。
接着所有被授权的使用者,便可以连接到在自己的计算器上开启网页浏览器,并连接登录到https://IP地址:9443/emm网址。即可来到如图4所示的设备管理页面,请点击为在[DEVICES]区域中的[Add]连接继续。
图4 设备管理首页
紧接着将会开启QR Code页面,使用者只要拿起自己的Android手机,然后开启扫描QR Code的App并进行扫描,即可自动连接到下载EMM Agent的本地服务器网址。接着设备浏览器会开启 [Android Enrollment]网页,请点击[Download EMM Agent]按钮即可。值得注意的是,在这里头的提示讯息中,也会显示您在安装设置步骤中所输入的公司名称。
接着设备系统会提示我们即将取得的权限清单,包括了GPS定位、完整网络访问权限等等。点击[下一步]再点击[安装]即可。完成此App的安装之后,可以立即开启它。首次的开启将会出现服务器地址设置提示,在此您只要输入EMM主机的IP地址或FQDN地址即可,不需要输入端口编号,除非之前有特别去修改默认端口设置。点击[Start Registration]按钮继续。
如图5所示来到帐户与密码的设置页面中,使用者可以选择手持的移动设备是自己个人的(BYOD),还是由公司发放给员工使用的(COPE)。不同的设备类型选择,在后续的远程控管上会有些许的不同。另外在此还必须特别留意其中的域名(Domain)之输入,如果用户并非本EMM系统所额外定义的网域,则请保留空白即可,也就是默认的PRIMARY网域设置。点击[Register]按钮完成注册即可。
图5帐户信息输入
完成设备于EMM系统的注册之后,接着系统可能会要求您输入PIN码设置,以便保护此代理程序在此设备的使用安全。点击[Set PIN Code]完成设置。
完成两次PIN码的输入之后,将会出现[启动设备管理员]页面,来确认此代理程序的启用,将能够远程清除设备中的所有数据,以及强制设置密码政策、锁定屏幕等操作。确认后点击[启用]。正式完成Android设备的EMM代理程序之安装与启用。
完成启用后的EMM Agent,将可以通过功能选单来随时修改自己的PIN码以及连接的服务器地址。必要时则还可以移除掉此Agent的安装。
安装iOS App
由于iOS的App无法像Android系统一样,只要封存成一个.apk文件,就可以让使用者直接连接来下载与安装。因此必须自行去创建一个Xcode的项目,来产生iOS的应用程序(.ipa)至
iOS Agent Application下载网址:https://github.com/wso2/emm-agent-ios
此外还有一些属于iOS Server端的配置需要完成,包括了Apple Push Notification Service (APNS)凭证文件的申请,最后再完成一些与安全性连接有关的设置,如此一来使用iPhone或iPad设备的客户,才能够连接到注册网站,来完成EMM凭证的安装以及EMM代理程序的下载。否则用户在点击[Install EMM Certificate]按钮时,将会出现下载失败之错误讯息而无法继续。
管理人员的移动设备
一旦有一位以上使用者的移动设备在EMM服务器完成了注册,管理员在登录设备管理网站时,便会看到目前所有受管理的设备清单,并且可以看到每一个设备的名称、拥有人、状态、系统类型以及所有权的类型等信息。在此您除了可以切换为图标或列表显示方式之外,当受管理的设备数量很多时,还可以通过上述五大域值的筛选方式,来找到您想要进一步管理的设备。
如图6所示在这里我们以检视一台ASUS的Android手机为例。在它左方的选单连接之中,可以选择检视设备详细数据、政策应用信息、设备位置定位、已安装的App列表以及操作管理的记录。首先在设备详细数据(Device Details)部分,除了可以检视到目前此移动设备的剩余电量、本机剩余储存空间以及外接剩余储存空间信息之外,还可以执行主要的几项远程控管操作,分别是设备锁定、远程数据清除、静音、清除密码、变更锁定码、触发响铃以及发送自定义的屏幕讯息等等。
图6人员Android设备管理
如图7所示当点击触发响铃时,这时候您会发现目标的移动设备,会出现[Message from EMM]的提示讯息,并出现设备默认的响铃声,直到使用者在此设备上点击[OK]按钮后才会停止。此功能的用意,其实主要就是用来协助使用者,通过响铃辨位方式找到设备遗失的所在之处,由其是在某栋建筑物内弄丢设备时特别有用。而不需要得使用传统的做法,通过拨打此设备电话号码的方式来寻找,更何况如果是平板计算器,大多数是没有电话功能的。
图7 Android响铃
至于如果是将移动设备弄丢在不知道的地方时,除了可以通过GPS卫星定位地图来寻找之外,也可以使用发送自定义屏幕讯息的方式,让拾获的人可以看到您所传递的讯息内容。
前面我们曾提及若想要使用GPS卫星定位地图,来寻找移动设备所在的位置也是可以的,只要切换到[Device Location]页面即可。定位的操作过程之中,您是可以通过鼠标的滚轮,来放大设备所在位置的明确路段。
善用政策管理
当企业中受管理的移动设备数量很多时,通常IT部门会希望根据不同的设备类型,或是组织的部门、职务、地点等归类方式,来应用不同的设备管理设置,在这种需求上您就可以善用EMM所提供的政策管理(Policy Management)功能,将您所制订的各种管理政策,选择应用在现有的使用者或角色。请在设备管理员的选单接口中,点击[POLICY MANAGEMENT]继续。
在[POLICY MANAGEMENT]页面中,默认并没有任何政策设置可以使用。请点击[ADD POLICY]。在如图8所示的添加政策设置页面中,首先必须在步骤1的[Select a Platform]设置中,选择新政策所要应用的设备类型,因为不同的设备系统后续所能够控管的功能选项,也会有所不一样。目前支持的设备系统分别有Android、Apple IOS以及Windows Phone。在此笔者以选取Android为例。
图8 添加政策设置
在[Configure profile]页面中,便可以设置所要控管的设备四项功能,分别是锁定密码政策(Passcode Policy)、相机功能限制(Restrictions on Camera)、设备加密设置(Encryption Settings)以及区域无线网络连接(Wi-Fi Settings)设置。首先在锁定密码政策部分,一旦启用并完成政策设置之后,往后被应用的使用者设备,他们将无法自行修改锁定密码的政策。
在相机功能限制的控管部分,一旦启用之后,就可以决定是否要允许被应用的设备,来使用相机功能进行拍照或是录像。为了预防当使用者的移动设备遗失时,会连同公司的敏感信息外泄(例如:商业文件、Email、联系人信息),您可以启用设备加密设置。如此一来,被应用此政策的Android设备,即便设备被恶意人士所窃,在没有解除设备的锁定之前,被加密的数据都是无法读取的。
在WLAN连接设置页面中,您可以预先帮使用者的设备,设置好所要连接的无线基地台的SSID与密码,如此一来就不用像传统的管理方式一样,得手动一一帮使用者的移动设备,设置公司无线基地台的连接组态。点击[CONTIUNE]继续。
在[Assign to groups]页面中,请先选择设备拥有权类型是BYOD还是COPE。然后再通过关键词的输入,来挑选此政策所要应用的对像是使用者或角色。最后您可以决定此政策对于尚未遵循的设备,是否要强制控管或是仅监视还是要发送警告讯息。点击[CONTIUNE]继续。
在[Publish to devices]页面中,您必须为此政策输入一个30个字符以内的识别名称,需要的话还可以进一步输入详细的描述信息。确认完成设置之后,您可以选择立即将新政策设置,发布至所有选定的使用者设备,当然啦!这一些设备必须预先已经完成注册动作,或是您也可以先点击[SAVE]按钮,来仅储存新政策设置,等到后续适当的时机再来发布此政策。
结 论
长久以来由于大多数的企业IT采用的解决方案,皆是以Windows平台为主,因此产生了一个有趣的现象,那就是当IT人在寻求相关解决方案时,往往第一个念头所联想到都是与Windows相关的产品。其实从信息安全、网络管理、到各类的应用程序服务之IT需求,在开放原始码(Open Source)的世界里,都有许多相当不错的软件套件或公有云服务,可以供全球的IT单位来挑选。许多时候这一类的开源方案,不仅仅只是在成本低廉上吸引人,在功能面与管理面的弹性设计上,甚至于都已经超越了传统商用软件与服务的价值。本文所介绍的这款WSO2 Enterprise Mobility Manager就是一个典型的案例。
【本文为51CTO专栏作者“顾武雄”的原创稿件,转载请联系作者本人获取授权】