有越來越多的企業正在面臨著如何充分的管理管理層與銷售團隊中日益流行的移動設備問題。而企業的IT團隊正在為此感到十分困惑。首先，我們得感謝蘋果和谷歌所開發的設備和操作系統，使得越來越多的智能手機和平板電腦融入了日常生活中。而對于這些設備的使用者，更多是根據個人使用體驗來選擇 Android或iPhone手機，而不是以辦公業務作為主要目的去選擇黑莓設備。這些移動設備的用戶日常經常使用的應用包括應用商店、上網瀏覽、游戲以及移動支付等，另外還有一些與工作相關的應用，比如收發企業郵件。

為什么企業經歷了這么長時間才正式考慮將移動設備納入企業管理中呢?一般來說，這是因為企業總希望先將管理策略部署到位，再開始正式對設備進行管理。這也能夠解釋為IT部門面對MDM(移動設備管理)一開始總是無所適從。不過實際上，MDM解決方案沒有那么復雜。

MaaS360總結出了12個移動設備管理(MDM)的最佳實踐方案。前8條理念是每個企業都需要貫徹的，后4個理念屬于高級方案，可供企業在提高管理水平時采用。

 

務實的策略

你需要：

1. 支持多種設備平臺

2. 允許個人設備

坦白講，幾乎所有的企業都是這樣做的，只不過他們還不知道而已。如果企業已經擁有黑莓方案，那這是一個好機會。如果企業哪怕只有一個人在使用 iPhone或iPad來同步電郵(很可能是企業CEO或董事會成員)那么你的企業肯定也有Exchange ActiveSync或Lotus Notes Traveler這樣的方案了。

如果你的企業是這種情況，那么企業中肯定有不少人在使用iOS系統，或者安卓和Windows移動設備。畢竟，Exchange 開啟Activesync功能后，很多移動設備都可以方便的進行郵件收發。可以搜索一下” Setting up iPhone on Exchange” 看看員工們該如何設置他們的智能手機。

 

覆蓋基本要素：密碼，加密和遠程擦除

確保完成以下步驟：

· 要求至少4位的強壯密碼形式

· 移動設備在5-15分鐘內不使用，必須自動鎖屏。

· 如果手機被盜或連續輸入10次錯誤密碼，手機中的信息會被遠程擦除或自動擦除。

· 允許本地加密

有些企業希望加入更多的安全防護機制。但是企業在強制員工通過自己的手機安裝各種安全機制之前，可以先反思一下，之前一直在使用的筆記本是否也具備了同樣級別的安全機制?

 

確認移動設備的擁有者和他們的行為

如果企業沒有對企業環境內的移動設備擁有良好的數據統計，那么就無法判斷和量化這些設備所帶來的風險程度。比如，離職員工還在使用移動設備進入公司系統的這種情況并不少見，但是如果你不知道這個設備仍在使用中，就無法確保其中的數據安全。

只需要通過一個輕量級的報表和庫存清單，企業就可以快速查出哪些設備在被哪些員工使用。確保企業數據安全的方案包含以下幾部分：

· 桌面支持人員具有維護設備的權利。

· 除IT人員之外的其它特定人員具有訪問設備的權利(比如公司HR在與員工進行離職面談后，可以關閉員工的移動辦公設備。)

· 加入強大的應用軟件檢索和清單管理功能。

#p#

 

像數1,2,3一樣簡單

企業可能會擔心應該建立一個新的方案來實施前面所述的三條建議，其實完全不必。如果你的企業有BlackBerry Enterprise Server，你完全可以在這個基礎上進行開發。通過Exchange或Lotus Notes，還可以強制實施PIN碼策略以及遠程擦除iPhones, iPad, 以及Windows Mobile設備中的數據。 (Android版本2.2之后都支持基于Exchange的安全控制)

前面三個MaaS360總結的基本原則適合利用已有框架對移動設備進行風險管理。但是聰明的讀者肯定會說，我們無法阻止員工不斷帶入新的移動設備進入辦公環境，這該怎么辦呢。

這其中最大的問題在于報告信息有限以及覆蓋面不全，企業需要手動建立報告并解決無法集中化管理全部設備的問題。

但是如果你的企業已經把前面第一步做好了，可以明顯改善企業在面對iPhone和安裝設備時的麻煩。接下來你的企業就可以計劃建立一套更靈活更穩定的安全管理方案了。

 

簡單可靠的解決方案

不要讓IT部門去檢查移動設備的每個設置項目，這樣工作量太大了。企業可以通過一個內部URL，讓移動設備使用者自己檢查自己的設備是否已經爭取設置好并在公司設備名單中登記注冊。企業可以建立一個默認的策略，包含用戶的設備，并將企業郵件和企業的WiFi設置部署到設備上。

為了讓這個過程更加簡單，IT部門也要適當簡化策略方案。比如讓安卓2.2及以上版本的系統自動接入企業網絡，而低于這個版本的系統則被自動屏蔽。

 

讓終端用戶管理好手機

由于員工需要依賴手機等移動設備完成日常工作，因此企業不會希望由于各種小問題而時常打斷員工的工作。另外，企業也不會希望員工經常打電話給IT部門要求技術支持。因此，你可能需要通過企業內網的自服務端口來讓最終用戶自己解決以下幾個問題：

· 登記員工的設備

· 一旦設備丟失，鎖定并擦除設備中數據

· 重置終端用戶的密碼

· 鎖定設備的物理位置

 

開始計劃集中控制方案

或許，企業中的BlackBerry Enterprise Server已經根深蒂固，操作起來也得心應手。但是這套系統并不支持多平臺，因此你的企業環境還需要一個支持各種手機操作系統的管理平臺。

企業可以考慮以下四個最新的并且經濟實惠的建議：

1. 選擇一種既能支持PC和MAC電腦又支持移動設備的MDM平臺。這種方案跨越了筆記本、平板電腦以及智能手機等設備。而這種MDM解決方案由于支持設備種類眾多，因此可以有效降低企業的架構成本，改善運營效率，并且能夠實現集中化的對設備和數據安全的操作和管理任務。

2. 確保你的企業報表和設備清單工具能同時支持企業已有的BlackBerry管理系統以及新加入的跨平臺MDM系統。每天你都要依賴于這套報表和設備清單工具，它能幫你避免手工進行繁瑣的操作。

3. 考慮一下基于云的MDM服務。當考慮到總體擁有成本時，內部的管理系統總是成本高昂的。

4. 謹慎選擇代理方案。如果你的企業能通過服務器端方案滿足需求那是最好不過。服務器端控制的方案可以長久的滿足企業在硬件、操作系統以及運營商之間的協調問題。而如果選擇了基于代理的方案，企業可能會需要花大量時間在所有移動設備上安裝和維護應用。

 

討論你的項目進程

在你的企業IT運營例會中及時報告和討論移動設備的清單以及策略狀態。這可以讓有關設備管理的討論更好的擴散開，從而更好的發現這種方案對于企業的影響，同時也可能會引出未來企業在面對安全或其它IT項目時的資源需求問題。企業的設備清單工具將幫助企業更好的進行這方面的報告和統計。

通用環境設計

到目前為止，我們討論的幾種建議適合大部分企業的需求。實際上，上述方案可以滿足最嚴格的政策法規的檢驗，比如 HIPAA(健康保險流通與責任法案), FINRA(美國金融業監管局), 以及PCI DSS(支付卡行業數據安全標準)。這些法規實際上只要求了企業對數據進行加密，并且在設備被盜后能夠銷毀設備上的企業數據。上面介紹的最基本的建議，就能滿足這樣的要求。

#p#

根據高級范例建立企業自己的管理系統

根據上面給出的基礎建議，你的企業應該可以搭建出符合標準的移動IT管理平臺。現在你可以考慮是否根據下面的高級建議，讓你的企業搭建出一套更加高級的平臺。

 

掌控使用成本

為了控制成本，企業必須跟蹤、監視以及限制網絡使用量。因為員工的每次出差，都可能帶來上千美元的境外數據流量費用。就算是在國內使用，費用也可能會暴漲，尤其是考慮到2010年AT&T針對iPhone和iPad推出的費率套餐。

 

自動化合規管理

IT部門需要一種機制來自動檢測設備是否合規，并能自動根據檢測結果進行相應處理。比如企業的策略可能規定經過越獄或root的手機不能接入公司網絡，一旦檢測出這樣的手機，系統應該立即撤銷該設備訪問公司網絡的權限。最好的情況下，這種檢測和拒絕都是自動進行的。同時，系統還應該自動通知用戶為何被拒絕進入系統，以及用戶該如何操作才能重新接入公司網絡。當設備經過處理合規后，會自動被重新許可進入企業網絡環境。

 

限制安裝應用以及擁有自己的應用商店

目前很多智能手機和平板電腦廠商都通過認證形式限制手機安裝某些未知應用。有些人認為這么做限制了手機應用的發展。而另一些廠商對于開發手機應用持開放態度，對各種應用也沒有正式的授權或認證機制。也就是說，企業需要對手機上的一些應用進行限制，以確保安全。

如果企業希望預防員工安裝未知應用帶來的安全風險，可以自己在企業內部建立一個應用商店。企業可以在應用商店里列出經過企業認可的手機應用供員工們下載使用。這也可以讓員工有一個可以安全下載應用和升級的渠道。有些MDM方案廠商還會幫助你將PDF文檔或其它文件發送到員工手機中。

 

準備一套備份和恢復服務

如果企業員工在使用除了電子郵件之外的企業關鍵性數據，并且數據是唯一的，建議企業使用一套數據備份和恢復解決方案。使用iPhone或iPad的用戶可以通過iTunes完成數據備份和恢復，只是要注意一下，企業的策略應該設定強制對加密數據進行備份。如果沒有iTunes ，企業可以針對員工使用的手機操作系統，選擇市場上對應的解決方案。