如果您的IT支持團隊對iPhone與iPad感到恐慌甚至畏懼——別怕，聽我慢慢道來。

[[58573]]

一遍又一遍，我已經(jīng)記不得多少IT管理者在我耳邊反復念叨這樣的觀點：沒錯，我們可以利用Exchange或者移動設備管理工具保證安全，但我們真正擔心的是大量iPhone與iPad的涌入給企業(yè)資源帶來沉重負擔。在這里我很高興有機會向大家正式宣布：員工將iOS設備帶入業(yè)務環(huán)境的做法絕不會給IT支持帶來明顯（甚至毫無）額外負擔。

但我得先把話說在前頭：Android設備完全是另一碼事。這套系統(tǒng)平臺在不同供應商之間輾轉往復，定制版本、自制版本層出不窮，就連應用程序的合法性都無法保障，所以我們很難對其進行分析及界定。因此，我要強調，這篇文章中所談到的內容僅適用于以iPad及iPhone為代表的iOS平臺產(chǎn)品。除了版本繁多之外，Android 2.x、3.x、4.x都無法與PEAP保護下的Wi-Fi網(wǎng)絡相連接，這種糟糕的安全狀況使Android基本失去了角逐企業(yè)級工具的資格。另外，Android 2.x智能手機無法支持大多數(shù)Exchange ActiveSync政策，例如設備內置加密及高強度密碼。有鑒于此，我決定在本文中放棄Android，專注于iOS平臺的討論。

首先，最近的一份報告顯示，iOS設備在當前的主流移動平臺中最讓人省心、也足夠令人放心。長久以來備受IT部門追捧的RIM黑莓設備則在支持難度上不夠親民。不過隨著黑莓從業(yè)務環(huán)境中的逐漸淡出，IT移動支持方面的工作負擔也會相應減輕。事實上，積極通過iPhone替代黑莓也許是將IT部門從移動支持苦海中解救出來的最快方式。

Android智能手機需要最大程度的技術支持，但該平臺卻是基本企業(yè)安全及管理功能最薄弱的方案。我個人不建議大家將其引入業(yè)務環(huán)境，這就為技術支持工作省下了大量精力。（摩托羅拉公司的推出的商務型Android手機及三星SAFE系列設備在安全性方面獨樹一幟，不過Android 4.x版本的出現(xiàn)已經(jīng)令局勢趨于好轉。）

iOS用戶界面對于用戶更加友善，因此他們所需要的技術幫助也較少。來自Forrester研究公司及Aberdeen研究公司的報告顯示，自主選擇設備的用戶（無論由個人還是企業(yè)付款）更樂于以自助方式進行支持。另外，如果設備歸個人所有（包括企業(yè)與個人同時持有），用戶往往會在使用中更謹慎、避免設備丟失或損壞。說了這么多，我想說明的是iOS設備在支持方面的需求明顯低于其它平臺。

不過從另一方面看，IT部門因此也需要直接應對由iOS設備帶來的困擾。既然BYOD浪潮不可扼制，下面咱們就一起來看看技術人員該如何以最低的人力成本滿足用戶需求。

采用安全政策與證書

iOS與其它主流移動系統(tǒng)相比，在Exchange ActiveSync（EAS）政策的支持能力方面技壓群雄；只有已經(jīng)壽終正寢、僅僅存在于少數(shù)政府及企業(yè)環(huán)境下的Windows Mobile才能在政策支持數(shù)量上勝過iOS。當用戶嘗試訪問來自Exchange或者企業(yè)Gmail（在啟用EAS的前提下）的郵件時，郵件服務器會立即執(zhí)行管理政策，強迫用戶在遵循政策的前提下進行訪問。由于iOS使用標準EAS政策，用戶僅僅需要部署方案，這與企業(yè)是否引入iOS其實并無關系——因為臺式機在訪問過程中也要用到這些政策。

如果大家使用IBM公司的Lotus Notes及Domino，二者的政策無法正常作用于iOS設備（但Notes Server 8.5.2及更新版本已經(jīng)添加了iOS支持）而僅能奏效在Lotus客戶端當中。這是IBM公司自己設置的局限，蘋果公司其實算是躺著中槍。出于同樣的理由，GroupWise郵件服務器也只有在我們安裝了數(shù)據(jù)移動包的情況下才能實現(xiàn)EAS支持。對于這兩種保守派郵件系統(tǒng)，大家可以嘗試曲線救國的方式、通過部署移動設備管理（MDM）工具通過政策支持多種移動系統(tǒng)平臺。在與IBM與Novell EAS政策協(xié)作時，iOS能夠以遠程方式清除設備內的全部或郵件服務器數(shù)據(jù)。

iOS還支持PEAP安全Wi-Fi訪問及VPN訪問等驗證機制。當然，這類功能在其它設備上也能實現(xiàn)。

使用配置文件

配置文件是大家絕對不能錯過的功能，因為他們能大大節(jié)約用戶自助配置服務的難度與耗時。

蘋果公司的證書交付基于XML，因此用戶能夠通過多種方式自行制作。MDM工具就是很好的證書制作手段。Mac OS X獅子Server與OS X美洲獅Server同樣能夠以用戶或設備為單位創(chuàng)建并遠程安裝證書，將其與Active Directory或者Open Directory基礎設施對接，這樣我們就能針對個人、設備、群組以及設備群組進行設定及政策部署。Web界面非常簡潔，管理者可以通過安裝了獅子或者美洲獅系統(tǒng)的Mac機進行政策變更。這意味著IT部門需要為企業(yè)引入新的管理工具，但使用黑莓設備同樣需要引入黑莓Enterprise Server，所以iOS與黑莓并無本質區(qū)別。Mac OS X獅子Server或者OS X美洲獅Server比MDM工具要便宜得多，因此在管理政策足以應對需求時，大家真的沒必要花冤枉錢。（使用獅子系統(tǒng)的用戶需要50美元即可升級為獅子Server，從雪豹系統(tǒng)升級則需要80美元。從美洲獅系統(tǒng)升級為美洲獅Server則只需20美元。）

免費工具蘋果配置單元也頗具吸引力，它既能支持Windows系統(tǒng)（從XP到7）也能支持Mac機（從雪豹到美洲獅），但為了保持工作風格的一致性，許多IT部門可能更偏愛獅子Server或者美洲獅Server。我們可以為一臺設備創(chuàng)建配置文件，然后將文件通過U盤、郵件或者網(wǎng)絡鏈接的方式同步給其它設備。

不過管理者要想實現(xiàn)自助服務方案，最關鍵的一環(huán)是為各級別用戶分別創(chuàng)建配置文件，而絕不是單獨為每位用戶設定不同的模式。在蘋果配置單元中也能實現(xiàn)同樣的效果：在工具欄的Library選項中選擇配置文件，即可完成創(chuàng)建工作。接下點擊“新建”，其中會列出我們可能要設定的各種政策或配置。逐項選定、逐項設置，大多數(shù)常用管理方案就這樣輕松搞定。

舉例來說，大家可能需要設定VPN共享驗證證書，這樣管理員或者普通員工就不必為每一臺設備輸入證書內容了（這么做其實相對安全，如果某一臺設備丟失，VPN會立即拒絕來自他人的訪問）。與此相似，大家還可以添加Exchange服務器地址、設定內部Wi-Fi訪問點。LDAP配置、日程表信息共享、負載安全證書、指定MDM服務器等等——各類常用功能都能歸在一套群組中。

創(chuàng)建新方案的核心內容在于安全性：在這里，我們控制用戶是否撤銷配置證書，并在此基礎上設定密碼要求。舉例來說，一位IT支持人員在掌握密碼的前提下，能夠手動撤銷配置文件，但用戶則無此權限。

如果大家已經(jīng)為通用需求設定了幾套配置方案，也完全可以針對特定角色或部門設定了一套額外的單獨方案。管理者需要分級制定模板，確保通用型配置文件只采取通用設定、本地配置文件只采取本地設定。iOS系統(tǒng)允許我們安裝多種配置方案，這樣管理者就能夠通過控制機制對通用或本地設備進行升級，而不對其它設備造成任何影響。

配置文件保存好之后，我們可以把它分享給更多需要的用戶。通過郵件將配置文件發(fā)送給用戶，讓他們在自己的iOS設備上打開文件，并根據(jù)提示進行安裝。而作為后備或者說更好的自助型方案，大家也可以把這些配置文件以網(wǎng)絡鏈接或者內部網(wǎng)站（例如在新用戶歡迎頁面中添加鏈接，將其與員工手冊、時間表以及工資單或部門中心頁面并列發(fā)布），這樣用戶可以輕松搞定安裝工作。由于這些文件會自動對iPhone及iPad進行配置，進而讓設備與網(wǎng)絡及其它資源共同協(xié)作，所以真正希望移動設備能為企業(yè)生產(chǎn)力做出貢獻，配置文件體系的加入可謂不可避免。

蘋果配置單元的弊端在于無法以手動方式對已安裝的配置文件進行升級，相比之下MDM工具、獅子Server及美洲獅Server則游刃有余。用戶只要下載最新版本即可進行更新。另外，如果大家希望創(chuàng)建自己的無線政策服務器——蘋果公司已經(jīng)發(fā)布了說明文檔，指導大家如何利用SCEP協(xié)議及思科iOS或者微軟Windows Server平臺實現(xiàn)這類需求。遺憾的是，我還沒有在黑莓、Android或者其它移動平臺上看到類似的自安裝配置文件創(chuàng)建方案。

業(yè)務應用

員工自助服務的另一大組成部分在于為管理員審核過的應用發(fā)布網(wǎng)頁鏈接。蘋果公司創(chuàng)建了一套iTunes迷你網(wǎng)站，其中列出了所有流行業(yè)務應用；在推薦列表中大家能夠輕松找到想要的應用程序。

在iTunes當中，右擊應用圖標并選擇“復制鏈接”選項即可。用戶點擊鏈接后，iOS設備上的瀏覽器會自動轉向iTunes Store，并完成應用程序購買或下載。因此，大家應該充分利用這種辦法敦促員工在業(yè)務中使用我們推薦的應用。而對于Android用戶，管理員同樣可以復制谷歌Play軟件市場中的對應鏈接、將其推薦給廣大同事。

將iTunes鏈接通過郵件發(fā)送給用戶可能是最簡單的推薦應用推廣方式。不過如果大家更喜歡親手進行應用購買及管理工作，蘋果公司的Business App Store能夠滿足對必要或推薦應用的集中結算。這套平臺將App Store與開發(fā)者定制（非公開）iOS應用匯聚在一起，成為企業(yè)用戶的理想選擇。

如果大家希望強制用戶使用指定應用，當然也可以通過管理政策實現(xiàn)，但太過嚴苛的手段也會令自帶設備的收益被扼殺在搖籃之中。在我看來，大多數(shù)既希望引入iOS設備、又不想給IT增添壓力的企業(yè)同樣也給普通員工帶來了很大壓力。畢竟管理者制定的政策越多、所需要的支持負擔也就越重。

故障排查

iOS對于大多數(shù)用戶都有極強的吸引力，但問題并不會在部署初期就顯露出來。另外，故障排查在任何類型的設備管理工作中都必不可少。就以密碼丟失為例，IT支持團隊必然早已構建好通用管理系統(tǒng)作為防范手段。不過移動設備的出現(xiàn)還是會帶來很多問題的，下面我們就以問答的形式看看如何讓管理工作以員工自理的方式進行：

iCloud會根據(jù)用戶的Apple ID或者iCloud賬戶自動將iOS 5設備中的設定進行同步。這能夠有效幫助用戶在系統(tǒng)發(fā)生故障時快速尋回個人信息。不過應用數(shù)據(jù)卻沒有被保存在iCloud當中。iTunes同樣會追蹤用戶所購買的應用及媒體產(chǎn)品，這樣設備數(shù)據(jù)被清除或者系統(tǒng)恢復后，已經(jīng)付過錢的內容會順利回到消費者手中。另外，iTunes會備份用戶數(shù)據(jù)及設定信息，所以我建議大家定期讓iOS設備與iTunes同步。在良好習慣的支持下，用戶完全可以自己搞定數(shù)據(jù)被清除的設備，或者將應用、數(shù)據(jù)及設定傳輸?shù)叫略O備上。iOS 5的無線備份機制進一步簡化了整個備份過程。

iOS系統(tǒng)沒有直觀的文件系統(tǒng)（文件被保存在以應用為單位的獨立容器中，這充分符合安全要求），因此用戶常常弄不清楚該如何將指定文件通過郵件發(fā)送出去或者將某些內容導入應用當中。技巧在于從內容著手。舉例來說，要想通過郵件發(fā)送圖片，首先進入Photos應用、選定要發(fā)送的圖片、在菜單中選擇通過郵件共享該圖片。大多數(shù)應用都會以相似的方式實現(xiàn)此類功能。另外，要在不同應用之間傳遞文件，我們需要在菜單中選擇“在…中打開”選項——大家可以通過點觸及長按目標文檔，并在菜單中的共享或者其它特定方式實現(xiàn)文件傳遞（只有支持的應用才會被列出）。應用必須支持“在…中打開”，因此某些應用無法實現(xiàn)文件傳遞功能。

如果某位員工在遇上困難時恰巧身邊找不到IT技術人員，他或她可以馬上通過屏幕截圖將當前狀況以郵件形式發(fā)往服務中心。同時按下休眠/喚醒鍵加Home鍵即可實現(xiàn)截屏，截得的圖片會立即保存在Photo應用中的相機膠片當中。iOS系統(tǒng)對屏幕截圖的數(shù)量沒有限制。

大多數(shù)應用都支持快速回滾功能：只需點擊屏幕頂端，應用界面一般就會返回內容頂端（例如郵件消息等）。遺憾的是，目前還沒有直接到達頁面底端的方法。

多項手勢全面通用：一根手指滾動應用界面、兩根手指在應用中滾動界面及窗口（通常在網(wǎng)站瀏覽中）。拇指與另一手指同時合攏實現(xiàn)界面縮小、同時張開實現(xiàn)界面放大。連按兩次Home鍵打開任務管理器，其中顯示出所有已經(jīng)打開的應用程序，用戶可以任意進行關閉操作（點觸并長按對應圖標，并點擊圖標右上角出現(xiàn)的小叉圖形）。

如果大家擔心洶涌而來的iOS設備會一舉淹沒企業(yè)技術團隊，請暫且放下心來。蘋果的產(chǎn)品其實并沒有諸位想象中那么難以打理——而且已經(jīng)有很多現(xiàn)成的技術能夠大大降低支持難度、并通過將工作分配給普通員工進一步降低IT部門肩上的負擔。