5G局域網新時代的移動設備管理
企業專用蜂窩網絡(即所謂的5G局域網)的出現和創新,為企業提供了一個重大機遇,可以提供到目前為止還不可行的新水平的確定性無線服務。這些私有移動網絡通常由企業IT部門或內部網絡人員部署、運營和管理。
盡管如此,IT人員在引入5G局域網時可能面臨的最大挑戰之一是,如何處理大量不同的客戶端設備訪問和驗證這種新型企業移動網絡。對于企業IT人員來說,蜂窩網絡本身就比傳統的無線局域網(WLAN)更安全,而且通過正確的方法,用戶和IT人員都可以更容易地連接到蜂窩網絡。
但是,了解移動設備管理(MDM)和MDM在專用LTE和5G蜂窩網絡上的操作的復雜性和細微差別,對于成功部署企業5G局域網至關重要。
在部署私有蜂窩基礎設施時,企業IT部門必須首先根據其業務模式和涉及的員工參與方面確定用戶設備的首選。企業有可能希望根據企業內必須管理的用戶群體使用不同類型的設備。這些通常包括三種主要類型:
- 公司自有業務專用設備:由公司采購,配置,安全,并始終監控,以及由企業維護和管理。
- 企業擁有的、個人使用的設備:由企業擁有,預先配置以維持數據安全要求,并對特定類型的訪問進行監管。
- 預先批準的移動設備,用戶可以從中選擇。取決于企業政策,并配置安全協議和商業應用,由公司和用戶共同負責。
權衡利弊
企業需要通過權衡其中的利弊來做出適當的選擇。應始終考慮企業的安全需求和產生的成本與員工滿意度、設備控制的靈活性和生產力之間的權衡。可能需要根據所涉及的員工和企業類型做出一些妥協。
要使企業園區連接到新的專用蜂窩網絡,IT部門需要對設備進行規劃,以支持和管理其訪問和安全姿態。這些選擇將決定企業IT對設備的控制程度,以及支持設備的成本。
為確保與現有IT基礎設施無縫銜接,這些新的專用流動網絡的安裝和管理應理想地模仿Wi-Fi的部署便捷性,同時保留蜂窩3GPP網絡的功能和操作。但說起來容易做起來難。
與蜂窩網絡的區別
與傳統的WLAN相比,蜂窩網絡的設備訪問和認證功能有所不同。在蜂窩網絡世界中,強大的安全性被內置到網絡中,媒體訪問由基礎設施安排和完全控制。 用戶不需要做任何事情,就像使用你的個人手機一樣。 這對企業的IT團隊是非常有吸引力的。
在蜂窩網絡中,對網絡進行身份驗證的是設備,而不是用戶。這給企業IT人員帶來了新的好處,也帶來了新的挑戰,他們必須管理各種不同類型的用戶設備(UE)訪問網絡。
用戶名和密碼憑證以及證書通常被用來訪問和驗證企業的無線局域網。但在蜂窩網絡中,這些方法實際上被一個物理或電子的用戶身份模塊(SIM)所取代。
在與蜂窩網絡連接的設備中,SIM包含訪問特定移動網絡服務所需的憑證或訂閱。憑證可以在UE中配置的SIM或嵌入式SIM(eSIM)中定義。
SIM和eSIM需要作為獨立的配置文件進行特定的格式化,即使它們包含相同的信息。憑證本身可以被放入物理SIM卡(可移動)或嵌入式SIM卡(不可移動)。每個物理SIM和eSIM模塊都可以支持一個或多個訂閱。
SIM鎖,也被稱為網絡、運營商或補貼鎖,是許多移動設備中內置的技術限制。這些主要是由服務提供商用來限制手機在特定國家或網絡的使用。手機可以被鎖定,只接受帶有某些可能被限制的國際移動用戶身份(IMSI)的SIM卡。
獲得解鎖
沒有被鎖定的手機被稱為無SIM卡或解鎖的手機,不施加任何SIM卡限制。解鎖手機是一種不與某個特定運營商綁定的設備。 一旦用戶與運營商的合同到期,用戶可以要求運營商對手機進行解鎖。 解鎖的智能設備也可以不加鎖地購買。
解鎖設備提供了很大的靈活性,因為它們允許在設備上添加一個或多個企業憑證。使用這種設備與企業網絡漫游時,支持雙SIM卡配置,一個用于移動網絡運營商(MNO),另一個用于企業網絡。
如果設備需要支持企業憑證,即使設備中支持MNO憑證,也必須處于解鎖狀態。
與任何蜂窩式3GPP網絡一樣,移動設備需要特定的標識符來找到、關聯到企業網絡并進行認證。 由于企業的部署通常是物理上的限制或本地性質的,所以使用共同的標識符,標識符的地址空間在不同的實體之間共享。
每個物理SIM卡和嵌入式SIM卡模塊都可以支持一個或多個憑證。根據GSMA的規范,為了支持雙卡操作,其中一個SIM卡憑證必須在物理SIM卡插槽中,另一個是嵌入式SIM卡。基本上,兩個憑證都不能來自物理SIM卡或嵌入式SIM卡。然而,每個物理或嵌入式SIM卡可以承載多個憑證,每次最多有一個憑證處于活動狀態。
從UE設備能力的角度來看,額外的憑證可以被添加到嵌入式SIM卡中。物理SIM卡不能被更新以添加更新的憑證。UE可以支持在物理SIM卡內已經提供的憑證之間進行切換。
鑒于UE需要潛在地支持設備上的多個企業憑證并支持動態地添加它們,將企業憑證托管為嵌入式SIM卡似乎最適合像手持移動設備這樣的設備。如果靜態配置足夠,可以支持帶有企業憑證的物理SIM,如部署在校園里的安全攝像頭。
蜂窩網絡的訂閱和訪問由企業IT部門管理。在私人企業5G局域網上運行的移動設備
在私人企業5G局域網上運行的移動設備通常被識別、配置,并發放給用戶。
自動化是關鍵
對大多數企業來說,最大的挑戰將是如何有效地簡化或自動化這一入職或客戶啟動過程。顯然,對IT人員來說,部署成百上千張物理SIM卡是一項艱巨的任務。 但這并不是必須的。 事實上,這可以轉化為IT人員的一個巨大的積極因素。
解決這一難題的方法之一是使用QR(快速響應)代碼,可以很容易地分發給用戶掃描。 二維碼包含特定的eSIM憑證,將eSIM配置文件拉到設備上。二維碼可以分發給用戶,他們可以掃描代碼并為其設備自行安裝所需的配置文件。
第二種方法是將UE發送到一個特定的SIM配置平臺,該平臺將預先定義的憑證推送到設備上。在這種MDM模式中,設備被提供SM-DP+(訂閱管理器數據準備)服務器地址,以達到。分配給UE的eSIM憑證在該服務器中與設備的EID(電子識別)配對。
然后,SIM配置平臺在設備訪問服務器時推送預先分配給設備的憑證。
UE可以被設置為直接到達訂閱管理器數據準備平臺(SM-DP+)。這是一個eSIM管理服務器,設備可以安全地下載它存儲在eUICC上的必要的eSIM配置文件。
有了這樣簡單的技術,企業IT人員終于可以更容易地實現移動設備的自動啟動。通過有效地消除任何手動用戶干預,IT人員可以順利過渡到新的5G局域網,以支持傳統企業無線網絡無法支持的用例和設備--同時從根本上改善網絡用戶的安全和體驗。
