員工在工作過程中運用智慧型手機與平板電腦已是常態(tài)，移動設(shè)備管理系統(tǒng)也開始崛起，但過去這類產(chǎn)品的運用較缺乏彈性，隨著技術(shù)的改良，現(xiàn)在功能已趨于成熟

　　針對智慧型手機或平板電腦等移動設(shè)備的管理系統(tǒng)，發(fā)展至今已經(jīng)有一段時間，而且從最初的移動設(shè)備功能管理（Mobile Device Management，MDM），例如照相、Wi-Fi、藍牙傳輸，甚之記憶卡的讀取等功能控管，現(xiàn)在已經(jīng)演進成App安裝控管（Mobile Application Management，MAM），包括強制安裝或禁止使用特定應(yīng)用程式，以及針對移動設(shè)備的電子郵件、可存取的各類文件內(nèi)容控管（Mobile Content Management，MCM）。

　　以這樣的發(fā)展過程來看，不難發(fā)現(xiàn)移動設(shè)備的控管，目的都是為了資訊安全，因此作法上，無非是希望限定裝置特定區(qū)域不能使用某些功能、不能使用特定應(yīng)用程式，或是不讓這些裝置變成機敏資料外流的漏洞。

　　管理原則與管控方法已趨于一致

　　在本次測試的5套移動設(shè)備管理系統(tǒng)中，絕大多數(shù)都同時包含了MDM與MAM，例如Citrix XenMobile、SOTI MobiControl、Sophos Mobile Control，以及Kaspersky Security for Mobile等，另外也有針對MCM控管的LetMobile。我們在實際測試與使用這些管理系統(tǒng)之后發(fā)現(xiàn)，可管控的程度已經(jīng)相當(dāng)成熟，差異在于操作介面、管理邏輯，或是管理原則的指派與配對等。

　　目前所有移動設(shè)備管理系統(tǒng)，在發(fā)布與派送管理原則與內(nèi)容的時候，方法大致可分為3種，分別是透過Exchange ActiveSync、App Store與iOS描述檔等。

　　舉例來說，多數(shù)MDM系統(tǒng)對iOS平臺移動設(shè)備的管控方法，都是安裝描述檔，而App的管控，則是采用專屬的App，并在這些移動設(shè)備上開啟特定的App。例如Citrix XenMobile搭配的Worx Home，SOTI的MobiControl及Sophos Mobile Control，都是搭配同名的App，且可以設(shè)定被控的員工移動設(shè)備強迫安裝或建議安裝的App，并可直接開啟。

　　使用Exchange ActiveSync派送

　　在微軟的Exchange ActiveSync協(xié)定中，其實就內(nèi)建移動設(shè)備管理的功能，只要企業(yè)采用支援ActiveSync的電子郵件伺服器，在移動設(shè)備收發(fā)電子郵件的時候，都可將移動設(shè)備管理系統(tǒng)的管理原則，同時派送至裝置上。

　　以Kaspersky Security for Mobile（KSM）為例，管理人員可以在Exchange ActiveSync移動設(shè)備伺服器的設(shè)定中，直接指派設(shè)定檔案給使用者的電子郵件，只要使用者從移動設(shè)備收發(fā)這個帳號的電子郵件，就會一并將管理政策下載并部署與套用到裝置上。

　　安裝應(yīng)用程式

　　在移動設(shè)備上透過安裝專屬應(yīng)用程式App來管控的這種作法，最主要的功能與目的，就是將公事與私人使用隔離。

　　在專屬App內(nèi)，管理人員可以派送建議使用者應(yīng)該裝的應(yīng)用程式或文件，而在App以外的任何操作，都是采用沙盒（SandBox）的設(shè)計，讓該App內(nèi)的所有操作都是獨立的，并不影響移動設(shè)備本身與其他App的使用。另一方面，該App以外的任何操作，也都不會影響到這個App的內(nèi)容（除了移除安裝）。

　　安裝系統(tǒng)描述檔

　　iOS裝置在發(fā)布與接收管控原則時，一般都是使用描述檔的方式，管理者在透過移動設(shè)備管理系統(tǒng)設(shè)定好控管內(nèi)容，并建立好描述檔之后，就會產(chǎn)生描述檔的下載連結(jié)，接著，不論是透過訊息、電子郵件傳送或是產(chǎn)生QR Code，讓使用者從移動設(shè)備開啟該連結(jié)，之后就會自動引導(dǎo)到系統(tǒng)設(shè)定的描述檔安裝畫面中，此時，只要點選安裝，就會將管理原則部署到裝置上。

　　可管控的功能更進階，應(yīng)用情境更廣

　　在移動設(shè)備管理系統(tǒng)管控的功能方面，多數(shù)MDM系統(tǒng)實際上可控管的項目與細節(jié)，其實都相當(dāng)接近。例如基本的照相控管、強制密碼強度、強制開啟GPS定位、遠端抹除設(shè)備、限制特定網(wǎng)頁，或是預(yù)先派送Wi-Fi設(shè)定檔等。

　　以這些功能來說，其實在前幾年就已經(jīng)相當(dāng)成熟，但是本次采購特輯中，我們另外還發(fā)現(xiàn)，Android與iOS平臺的裝置管理開始有了一些不一樣的變化。

　　Android與iOS平臺之間最大的差別，就在于軟、硬件的開放。iOS裝置，不論是手機或平板，作業(yè)系統(tǒng)與硬件都是由Apple自行開發(fā)，而Android平臺則提供各家廠商自行開發(fā)硬件，并可修改與自定使用者介面及功能。

　　而移動設(shè)備管理系統(tǒng)要對Android裝置進一步的管控，就必須取得由這些手機與平板開發(fā)商提供的API，以取得這些裝置的特定功能。

　　例如，本次除了LetMobile之外，其他MDM廠商都可針對Samsung的移動設(shè)備進行進階的管控。而且管控內(nèi)容相當(dāng)詳盡，包括電池電量、手機的電信商，甚至信號強度等，都可以當(dāng)做是管理原則的條件。另一方面，Samsung也研發(fā)加強移動設(shè)備安全的Knox，而上述這些廠商也都提供對Knox的支援。

　　而Apple的移動設(shè)備從iOS 7開始，也開始加入商務(wù)與企業(yè)應(yīng)用的功能，例如能為App設(shè)定獨立的VPN、單一登入、以及專屬的MDM設(shè)定選項等

　　你會好奇，能夠取得這些詳細的設(shè)定條件，對管理上有什麼幫助。舉例來說，移動設(shè)備的GPS定位功能，以往最常使用的情境，就是在裝置遺失的時候使用，但現(xiàn)在的移動設(shè)備管理系統(tǒng)，可以運用定位的功能，達到在特定區(qū)域的時候，就開啟或鎖定某項功能。

　　以SOTI MobiControl為例，它可以畫定某個區(qū)域（必須圍起來），并設(shè)定移動設(shè)備抵達或離開該區(qū)域的時候，啟動或關(guān)閉某功能。例如，可以將公司辦公室的區(qū)域，以地理資訊定義起來，并設(shè)定裝置抵達公司的時候，就把照相功能關(guān)閉。這樣的功能對科技園區(qū)的企業(yè)或軍方單位等，需要嚴(yán)格控管的環(huán)境來說，相當(dāng)實用。

　　而連線的方式上，許多MDM系統(tǒng)為了加強移動設(shè)備與企業(yè)內(nèi)部連線的安全性，都會建立專屬且全程采加密的連線通道，避免這些裝置成為資安的漏洞。

　　系統(tǒng)建置與裝置授權(quán)價格落差大

　　在系統(tǒng)建置的需求方面，有不少MDM產(chǎn)品都提供自行建置管理伺服器的選擇，并可與企業(yè)既有的IT環(huán)境整合，例如AD、Exchange Server等，同時它們也都提供SaaS云端代管的服務(wù)。

　　唯一例外的，就是Kaspersky的KSM，因為它是卡巴斯基企業(yè)端點安全解決方案的一部分模組，因此不像其他MDM系統(tǒng)，可直接與既有環(huán)境整合。如果企業(yè)環(huán)境選用其他防毒系統(tǒng)，且沒有打算更換，在導(dǎo)入與整合這套系統(tǒng)就會比較麻煩。同時，KSM也是唯一無法使用網(wǎng)頁登入管理介面的系統(tǒng)，它必須在特定的電腦上安裝管理應(yīng)用程式，管理的靈活度比較受限制。

　　而價格的部份，這5套MDM系統(tǒng)都提供訂閱的授權(quán)方式，可用每臺裝置或每位使用者為計價單位，以第一年的費用為例，像Citrix XenMobile（同時包含MDM與MAM功能）的8,000多元，到Kaspersky KSM（KESB標(biāo)準(zhǔn)版）的1,840元，落差相當(dāng)大，而，后續(xù)每年則要支付系統(tǒng)升級維護費用。因為采取這樣的計價方式，長久來看并不劃算，因此多數(shù)企業(yè)都選擇買斷授權(quán)，代價是后續(xù)將無法更新與升級，但長遠來看比較劃算。

　　采用沙盒設(shè)計，可獨立運作不影響使用者App

圖為Citrix Worx Home App

　　許多MDM廠商在應(yīng)用程式與文件的控管上，都使用專屬App，并采用沙盒的架構(gòu)，讓工作相關(guān)的應(yīng)用程式，如電子郵件，可在這個App內(nèi)開啟，而關(guān)閉之后資料并不會遺留在裝置上。且對使用者來說，這樣的設(shè)計，可以將個人與公事區(qū)隔開，且不會影響到個人隱私。