未来的移动设备管理

by OMA | Wednesday, June 12, 2013

Windows IT ProMary Paul Thurrott2013611

今年的技术教育大会亮点颇多,比如讨论空前激烈的主题演讲,这恰恰是我认为非常值得效仿和推广的特色。   但是,我今年最大的感受是一切都在不断变化,微软对其即将上市的产品和服务的宣传铺天盖地,   让我疲于应付。

在接下来的至少几周内,如果微软的下一次会议仍然提及这些信息,我怀疑自己必须仔细阅读2013年技术教育大会的资料,查找那些新产品、服务和更新的信息。   如果可能的话,我建议您也这样做:   获取资料的最佳位置应该是第9频道的2013北美技术教育大会页签。该页签提供每次会议的流媒体播放源或可下载的视频,同时还提供演示片头下载。   不管您当时是否在会议的现场,对于IT从业人员来说,这些资源都非常宝贵,不该错过。

本周,我想重点讨论在过去几年一直困扰着我的话题:   移动设备管理。

以前(大概两年前),移动设备管理一般用作应对之策,PC机的粒度化管理用于打造安全、易于理解的企业平台。   但是,随着智能计算设备(主要是智能手机和平板电脑)数量的激增,一切都发生了变化。

对于入门级用户,他们已经觉醒,开始摒弃传统观念中应受像矩阵类输送管控制。   特别是发现平板电脑功能非常强大,足以帮助他们完成很多日常计算任务,而且比PC机要简单的多。很多用户甚至只用智能手机就能处理。考虑到手机技术已接近PI(2006年,或“iPhone之前”)状态,这是一个令人吃惊的转变。

这些用户正期望甚至要求实现这些能力。   正如我以前所写,新一代即将大学毕业的用户有更高的期望。这些期望不仅在于设备本身,而且涉及云业务以及混合与匹配个人技术和以前封闭的公司计算资源。

诚实来讲,   我最初对这些趋势(即IT消费化和自带设备)是比较排斥的。我对微软迅速将这些趋势融入其平台感到有些吃惊。   但是,现在很清楚,微软这种做法是对的,而且智能计算设备作为主要用户计算平台的转型是不可避免的。   不管我们是否喜欢,它都正在发生。

多年以来,微软的移动设备管理方法演变得非常快。   多数人可能至少熟悉Exchange ActiveSync(EAS)协议。正如协议名称所表示的那样,该协议从交换开始,是指移动设备采纳曲线比较容易实现的目标。   通过向移动设备传递EAS策略,可以保证该设备满足某些常见的企业标准:对于新用户登录时要求PIN及设备加密,并且如果设备丢失或被偷可以远程清除掉。

通过电子邮件客户端将EAS协议传递到这些设备。想起来,您可能会感到奇怪。   即使使用现代的移动平台如Windows 8/RT和Windows Phone,这些策略应用到设备的方式也是:用户尝试登录他们的企业邮箱。   EAS协议检查设备是否符合用户的EAS策略,如果发现与策略不符,则提示用户更改设备配置才可继续。

EAS在其设计的功能范围内表现出色,但EAS无法为用户提供工作所需的非电子邮件(和联系人、日历及任务)企业数据。   因此,应用了EAS的设备和通过活动目录及组策略控制的功能强劲的PC之间的差距真的非常大。

为了缩小这一差距,微软开发了一种简单的新型管理基础设施。这种基础设施首先亮相于Windows Intune(即微软的基于云的PC(及后期的设备)管理服务)中。   按照原来的专有解决方案,这种管理基础设施可以应用简单的线性设备策略到连接的智能设备上。   在客户端侧,这种管理基础设施内置到Windows Phone 8和Windows RT中。如果需要,您也可以按照这种方式管理Windows 8 PC机和设备。   (另外,您可以使用EAS来管理其它类型的设备,如:iPhone、iPad和Android设备。)

但是, 基于Intune开发的管理基础设施原本是为了兼容开放移动联盟设备管理(OMA-DM)标准,从而使内置在微软的新移动平台上的智能设备也可以通过第三方解决方案来管理。   Windows 8.1(免费的更新)将会将这种能力添加到Windows 8和Windows RT中。根据我的理解,Windows Phone 8已经支持OMA-DM。

这就意味着这些设备将和第三方管理解决方案配合运行(如果您使用这些解决方案)。   Intune已经集成到微软的系统中心组中,并且通过现有SCCM版本,您已经可以通过单个接口同时管理PC机和移动设备。   在后续版本中(即SCCM 2012 R2)将增加这种集成功能。

从管理的角度来看,OMA-DM和下一代微软移动平台更新将在无需安装客户端的条件下实现自动连接以及在Windows 8.1(和RT 8.1)与Windows Phone 8中无需用户首先配置电子邮件客户端即可应用策略。   您可以在Windows 8/RT 8.1上通过定制门户侧载城域风格的应用、推送第三方VPN配置(兼容的VPN包括F5、Dell SonicWALL、Check Point和Juniper,但很遗憾不包括思科)、实施不断扩展的EAS类策略集并按选择性清除方式执行这些任务(当用户停用设备时,只删除企业数据)。   在基于Windows 8.1的Windows 8和Windows RT PC机上,您也可以让用户访问企业工作文件夹,包括对离线使用的SkyDrive类型的同步能力。

最后,这种新型的管理基础设施在逻辑上依然位于EAS和AD/GP之间,虽然随着时间的推移这种基础设施正变得越发强大。   但是,随着BYOD需求的不断变化,OMA-DM和改进后的SCCM和Intune都比AD/GP简单且更加适用于这种市场需求。   随着员工越来越多的使用智能手机和平板电脑,这种兼容性意味着在让用户轻松完成工作的同时,您可以保护您的公司数据。

我期望在SCCM 2012 R2和Intune的后续Preview版本中测试这种管理基础设施(虽然要到年前公共版本的发布我才能确认Intune是否开始应用),并且携带将在6月26日在Windows和Windows RT上发布的Windows 8.1 Preview。随着EAS和AD/GP之间差距的缩小,情况突然变得非常有趣。