【2012年12月4日 51CTO外電頭條】IT部門的關注重點正迅速由移動設備管理（簡稱MDM）轉向移動應用程序管理（MAM），觀念也從過去的猶豫是否應該引入移動設備轉變到如今的如何最大程度利用移動技術優勢。我曾經親身參加過許多IT討論會議，發現大家開始圍繞應用程序的管理提出一個又一個實際問題。對于使用IBM Tivoli以及微軟SMS等用戶PC軟件管理工具的企業，iPhone、iPad以及Android系統平臺已經成為新時代的“西部拓荒”。這是一片充滿風險與機遇的環境，誰能占得先機、誰就能在未來一段時間中笑傲同儕。

移動設備的多樣性確實令人望而卻步——大多數臺式機應用程序管理工具連順暢管理Mac OS X應用都做不到，我們當然不可能指望它們能在移動設備上一展身手。盡管心理準備已經做完，但移動操作系統相對桌面系統采用了太多顛覆式設計，就連IT部門也無法通過傳統方案對新應用進行管理。此外，應用程序商店的出現令企業IT團隊無法繼續扮演移動領域的應用提供者角色，而HTML與本地應用相混雜的狀況也進一步加劇了移動管理的復雜性。沒錯，IT部門確實可以收集自己的移動應用搭建“企業應用商店”，但這實在有名不副實之嫌——一個內部站點、幾條允許使用或建議使用的應用下載鏈接，這根本不可能引起員工的興趣。

在IT部門逐漸對全面管理移動設備表示絕望的同時，另一種觀點開始占據上風——既然這些設備的所有權屬于用戶，那么IT團隊應該有權對其中面向業務的各類應用加以控制。這樣一來，如果員工離開企業或者設備丟失，應用程序及其保存數據都能夠被及時清除、進而保護敏感信息安全。IT團隊還應當有權管理更新及授權許可，同時追蹤用戶的使用狀態——尤其是在員工、分包商及企業合作伙伴選擇各自業務應用的復雜前提下——從這個角度來看，即使是以控制為主要服務對象的專業企業也無法利用傳統方案對各類設備進行全面覆蓋。

第一波浪潮：通過政策管理HTML應用容器

目前設備管理領域中的主流方案仍然以面向政策模式居首。在這種情況下，諸如黑莓Enterprise Server（BES）、微軟Exchange（以Exchange ActiveSync協議為代表）等強勢體系，加上Good Technology、MobileIron以及Trellia等第三方MDM工具，都能夠為郵件、聯系人等業務信息提供恰當的數據保護服務。此外，它們還以強制手段貫徹密碼保護、遠程鎖定等管理政策。某些工具甚至可以管理應用程序本身，實現例如允許或禁止訪問及更新推送等功能。

而同樣的狀況在移動應用管理領域也開始出現。

其中一大選擇是采用Antenna軟件公司提供的方案，這款名為Volt MAM的產品為iPhone及Android環境打造了一套專門存放HTMl 5應用的虛擬環境。由于蘋果、谷歌等巨頭廠商在系統中提供JavaScript API以及支持W3C的BONDI APi，因此上述產品能夠借此調用設備本機功能。（舉例來說，它們能夠以這種方式捕捉標簽或者欄位代碼。）我們可以根據自己選擇的IDE進行HTML 5應用開發（甚至可以使用文檔編輯器進行開發），但開發成品必須與Antenna的API相對接，否則將無法同Volt客戶端協作、更不用提接受Antenna移動平臺（簡稱AMP）服務器的管理。

有鑒于此，大家不妨以用戶政策（例如角色分類）為基礎編寫安裝配置文件。這樣用戶在登錄服務器（大多處于托管狀態下）時，應用程序會將與角色相對應的配置文件一同下載至設備當中。服務器同時還會推送軟件更新并為IT部門提供用于監控使用狀況、變更應用許可、鎖定下行數據以及清除應用所必要的功能組件，這樣用戶在離開企業或是調任其它崗位時，管理者就能夠快速將其角色剔除或是做出相應更改。

虛擬環境的出現終于為業務與個人應用及數據的劃分指出了一道康莊大道，但具體實施起來還是有點問題——畢竟強迫用戶打開容器應用（Antenna的Volt就是最典型的例子）才能訪問業務HTML應用的做法不夠人性、容易引發員工的反感。但從另一個角度看，既然是HTML應用，咱們也不必要求太多。畢竟用戶在使用任何一款Web應用時都需要先打開瀏覽器，這與打開容器倒也沒啥本質區別。另外，由于所有業務資源都運行于IT部門的服務器中，因此管理者能夠直接對應用進行控制，這跟傳統的臺式機Web應用非常類似。

企業自主開發的HTML 5應用借助Volt的強大功能，得以擁有一片獨立的運行空間，因此相關數據的加密與隔離效果也要比設備上的其它信息好很多。蘋果的iOS平臺本身就支持加密及隔離服務，但谷歌的Android 2.x系列卻一項也不支持。雖然在Android 3.x和4.x系統中納入了加密機制，但隔離仍然是谷歌產品的最大軟肋。由于業務HTML 5應用的運行完全依托于Volt，所以AMP服務器能夠直接對其進行管理，而且絕不會對設備中的其它應用產生干擾。

而在iOS這邊，Amp服務器同樣能夠利用AMP及其內部集成的MDM工具實現本機應用管理。與此類似，AMP中集成的MDM工具還可以管理由自身提供（HTML 5及本機）或工具提供（本機）的應用程序。值得一提的是，Volt在離線工作時HTML 5應用仍然能正常運行，并在網絡連接恢復后第一時間進行數據同步。

理論上講，Volt控制下的HTML 5應用能夠以獨立應用的狀態保存在iOS設備的主屏幕中隨時等待調用，這就省去了先開容器、再開應用的弊端。其實應用本身仍然處于AMP所綁定的安全及管理之下，但用戶使用時的感受與普通應用無疑，并不會感覺到AMP的存在。某些用戶可能喜歡按個人偏好對應用程序進行分組，但Volt會強制要求使用者把業務應用統統歸在同一個組中。（Android系統不支持應用與容器綁定，因此Volt控制下的HTML 5應用必須在打開Volt平臺的情況下才能運行。）

Antenna公司CTO Dan Zeck指出，他們更樂于通過iOS的方式運行應用而非強行通過容器，因為IT消費者更希望從直觀層面上了解業務應用與個人應用間的劃分——這樣既能讓IT部門輕松實現數據隔離，又能幫助用戶在意識上搞清個人活動與業務操作的差異。他同時表示，讓業務應用以普通應用的面貌出現在iOS主屏幕中、同時又確保它們始終處于嚴格監控之下其實并沒有什么技術難度。（黑莓OS 6和7同樣支持這種隱性隔離方案，不過僅有數款最新黑莓Enter Server版本支持該功能，并只限BES控制下的應用。）

隨著MDM工具開始廣泛為應用程序提供支持，AMP服務器也開始接管起iOS應用的安裝與管理工作——但前提是企業用戶必須采用蘋果公司推出的企業級SDK協議。AMP能夠在許可證書的支持下實現應用的直接安裝，這就回避了公共App Store中蘊含的潛在風險。這是蘋果公司的強制要求，目的在于為業務應用帶來與其它iOS應用同等級別的高端控制標準。

而包括AppCentral在內的其它工具也提供相似的功能。不過現在看來，Volt客戶端與AMP托管服務器的組合似乎更適用于企業環境，因為這套方案將LDAP、MDM工具以及高度加密與驗證技術以打包方式集于一身，這極大豐富了管理政策的功能性。（AT&T公司在其Workbench產品中使用的就是AMP，但Volt/AMP這套組合可不只局限于使用AT&T服務的設備。）Volt客戶端能夠作用于使用iOS 4、5的iPhone以及使用2.1、到2.3版本的Android設備；目前其它版本支持對象正在開發之中。

第二波浪潮：通過政策直接管理本機應用

盡管功能強大，但Antenna方案仍然無法作用于本機應用——因為本機應用無法在其它應用內部或IT服務器上運行。這時就要輪到AppCentral和AppGuard服務出場了。AppCentral公司（起初名為Ondeego公司）已經分別為自家MAM技術發布了iOS及Android版本，以迥異的思路為移動應用程序管理及分布指明了新方向。令人欣慰的是，實踐證明了這款產品在本機應用領域的巨大貢獻與完美協調能力。

在由AppGuard服務所構建起的小型獨立環境中，我們可以利用AppCentral管理政策API將“監聽器”功能代碼添加到iOS及Android應用中。在API的幫助下，應用程序將與AppCentral服務器進行交互，使管理者得以將各種政策及用戶劃分方案加入其中——例如限制特定Wi-Fi訪問請求（此類情況在醫療保健行業比較常見）或者在員工權限發生變更時及時清除應用及數據（比如分包商工作完成、需要向總包交接項目資料）。

“監聽器”功能會對應用程序啟動、前臺運行等活動（主要針對應用激活操作）加以監控，并實時檢測當前設備與應用狀態是否有悖于管理政策。“監聽器”功能還能將應用程序（而非設備整體）的狀態與活動單獨反饋給服務器端，這就降低了管理工作中的人為因素，大大緩和員工、分包商及企業合作伙伴對于監控流程的防備心理。

關鍵在于管理機制已經嵌入到應用程序當中，因此大家無需再為設備本身操心。既然消除了后顧之憂，我們就應當開始考慮將應用程序管理以規范形式普及向更大規模的用戶群體，而不再僅僅把眼光放在與企業內部與敏感信息相關的移動設備身上。

蘋果公司對于AppCentral開發的技術贊賞有加，因此iOS開發人員也就不必擔心自己的應用產品會受到非蘋果API的侵擾。而在Android領域則缺乏此類官方引導——這毫不令人意外，Android在安全性上的疲軟已經不算新聞了。不過AppGuard技術則為Android指了一條明路，IT部門能夠在它的幫助下將應用集中起來，進而實現企業級別的管理與監控。

AppCentral工具為應用程序提供多項管理服務，其中包括授權許可管理、第三方產品發布等等——這在以往的移動領域、尤其是蘋果強制要求企業將專有業務應用以第三方產品的形式通過App Store發布這一背景下，更加顯得難能可貴。而且在iOS與Android平臺的授權許可管理方面，由于蘋果App Store與谷歌Play軟件市場都在以用戶為單位進行計費管理，AppCentral的授權許可機制可謂意義非凡。IT管理者可以批量采購使用許可，并以注冊碼的形式發放給普通用戶，這樣員工就不必再經歷自掏腰包、申請報銷等一系列麻煩的過程——而且在大型企業方面，批量發放也讓應用程序的實際推廣不再困難。盡管AppCentral提供了較為全面的解決方案，但其中所涉及的問題仍然相當復雜，這就導致IT部門與移動操作系統供應商之間的矛盾尚未得到實質性緩和。

新型MAM正在針對“消費化”趨勢做出調整

我們目前還處于移動管理發展的初級階段。在過去兩年中，MDM領域出現了一股不大不小的淘金熱，十幾家供應商的涌入頗有股群雄逐鹿的味道。而就在去年，MDM的概念終于在企業用戶中扎根，自此即使是對安全性要求最高的公司，也開始嘗試將iPhone、iPad及Android設備引入業務環境并為其提供支持——這在2009年看來簡直不可想象。

MAM則可以看作下一個MDM，IT部門的敏感分子們已經把高風險的帽子從設備上取下，轉而扣給了應用程序——某些是出于合法性考慮、某些則源于新問題的涌現。我個人則滿懷熱情，期待著像Antenna、AppCentral、Mocana以及賽門鐵克這樣的一流安全技術企業能夠認識現實、制定規劃，早日引領應用程序合法性管理走向正途——正如Good Technology、MobileIron與Sybase等公司當前所做的一樣。

再樂觀一點，像AppCentral這樣的方案已經成功將全面管理的沉重包袱卸下、將IT部門的工作重心調整為以“消費化趨勢”為中心、業務技術共享模式為前導，用戶、IT部門及第三方供應商各司其職、各負其責的良好管理體系。這套方案要求我們采取分塊分類、以政策為基礎的管理模式，并為大家帶來足以應對今后挑戰的優秀工具。

移動應用管理引發的焦慮已經消弭

一年前，CIO們還普遍認為自己絕不可能為iPhone及其它自帶設備提供任何安全及管理層面的操作政策。而時至今日，上述觀點顯然已經過時，這要感謝用戶的大力推動以及面向iOS與Android設備IT管理需求的各類工具。隨著設備管理紛爭的日漸平息，圍繞應用管理展開的討論又開始充斥在我耳邊——沒錯，無論是私人活動還是正式會議，這都是技術圈子里最熱門的話題。

不過對于應用管理的恐慌情緒也同樣會煙消云散。只需要利用安全網站或在郵件中發送指定鏈接這類簡單的應用交付方案，企業就完全能夠初步掌握安全主動權——當然這也是去年秋天之前iOS設備所能采取的最佳安保模式。但如今不同了，企業希望或需要以更直接的方式進行應用管理，他們對移動設備提出了與傳統臺式機一樣的高要求：控制、安全、合規性監管一項都不能少。而現實沒有令企業失望，他們需要的工具已經蓄勢待發、準備投入這場轟轟烈烈的消費化變革。

我們欣喜地看到，管理方案已經在正確的道路上漸行漸遠——賦予IT部門足夠的控制權、又不過分影響用戶感受，這才是消費化進程的精髓與實質。隨著移動設備迅速成為個人事務及企業業務不可或缺的組成部分，以Volt為代表的一系列工具也已經分別為兩種用途提供了理想支持。我們不再需要強迫用戶使用被重重鎖定起來的智能手機或者平板設備，而IT部門也擺脫了承擔一切監控工作的壓力——整條產業鏈中的每一環都是受益者，健康發展的經濟觀念在這里體現得淋漓盡致。

 【51CTO獨家特稿非經授權謝絕轉載，合作媒體轉載請發轉載郵件至zhousn#51cto.com】