MobileIron移动管理

MobileIron （中文名称：思可信）是全球领先且发展最迅速的移动IT解决方案厂商之一，总部位于美国加利福尼亚州硅谷中心的山景城，截止2013年3月，全球超过4700 家企业采用思可信MobileIron的解决方案，世界500强及财富1000 强企业中超过200家公司已经选择 MobileIron 做为其移动IT解决方案。

2011年初 MobileIron在华分支机构－思可信科技发展有限公司 ( MobileIron China)正式成立

思可信MobileIron的移动IT解决方案软件部分主要包括三个大类

1. MDM Mobile Device Management 移动设备管理

2. MAM Mobile Application Management 移动应用管理，其中又包括 AppConnect 和 AppTunnel 两项技术

3. MCM Mobile Content Management 移动内容管理

MAM 是MDM（Mobile Device Management ) 向移动应用的延伸，帮助企业将 IT 策略从设备级延伸到应用级。从而具备对于企业应用App 的更高控制能力，实现自动化的应用配置，应用内数据安全管理及移动端应用到后台服务系统的安全数据传输等功能。例如思可信MobileIron 公司的MAM管理组建可以在移动设备建立企业应用沙箱，将企业数据与个人数据完全分隔，从而提供更高的数据安全性及更优秀的客户使用体验。

因为包括 IOS ， Android ，Windows Phone 等移动操作系统已经严格定义了应用程序权限及操作范围。主流的MAM 厂商都是通过应用App 再次封装和专有API 的技术来实现对于企业应用管理。

在这方面最为成熟的技术是 AppConnect 和 AppTunnel。

AppConnect 可以将一款 iOS 或安卓应用转变为一个安全的“沙箱（SandBox）”，具有明确的数据划分和无授权访问保护。由于每个用户有多个业务应用，每个应用“沙箱”也可以连接至其它应用“沙箱”，以便安全共享数据（如文件）和策略（如应用单点登入 SSO ）。所有应用“沙箱”都连接至思可信MobileIron管理端以便政策的集中控制。任何应用都可以通过一个易于使用的应用封装或一个简单的软件开发工具包 API而对 AppConnect 加以充分利用。应用封装可以最大程度节省开发人员的时间并保护应用后期开发的安全。软件开发工具包 API可在开发过程的任何时间使用。

AppTunnel 为所有应用逐个提供高度细致的安全，通过一个安全隧道将每个应用“沙箱”连接至企业内部网络。移动应用可以用 AppTunnel 来访问后端企业数据，而无需打开的虚拟专用网络连接（VPN）或更改周边网络安全设置。AppTunnel 使用经过验证的思可信 MobileIron Sentry 智能网关，这种网关已在数千家企业中安装。

管理系统：

思可信（ MobileIron）管理系统包含三个主要组件：Atlas ; VSP ; Sentry

MobileIron Atlas

Atlas提供了一个单一控制界面，MI管理员可以通过这个单一的控制界面手机汇总多个VSP服务器的数据，从而可以集中监控企业里的所有移动设备，并对所以VSP里的设备进行管理操作。

Atlas的特点

· 支持通过全球范围部署VSP服务器来实现企业全球部署模式

· 支持多语言：简体中文、英语、韩语、德语、法语、日语

· 集中报表，提供丰富的报表组件

· 帐号权限分级管理（赋予不同的角色，分组管理设备）

· 实时查看策略实施情况和设备详情

· 对所有已管理的VSP服务器进行故障排查

· 指定设备故障排查

· 发送设备管理命令 (锁屏, 擦除, 注销设备, 强制设备连接服务器, 定位, 发送消息，等等)

· 导出CSV格式报表

管理引擎

VSP 管理引擎

MobileIron让企业做好准备：让移动智能设备进入企业生产环节

对于一个成功的企业来讲，智能手机已经称为不可或缺的工具。然而智能手机的爆炸式的增长和多样性使得这些设备很难管理。IT部门只是粗略的组合一些手动配置方法，以此来配置每一种类型的手机和部署应用程序，这让早已透支的IT资源更加雪上加霜，也让移动互联网服务成为企业里成本增长最快的一项服务。企业面临的挑战如：

· 无线推送应用程序：传统桌面互联网上的办公应用正在融入移动互联网，应用的推送通过传统的有线和WiFi网络。但移动互联网设备只能通过3G等无线方式进行程序的部署，企业IT如何建立一个移动智能终端管理平台来通过3G等无线方式推送部署应用程序？企业如何集中管理和推送多平台类型的应用程序？

· 安全问题：移动互联网设备小巧轻便通讯便捷，作为个人消费品，人们的体验非常好，但易丢失，所以作为企业办公设备，一旦丢失企业IT如何保证终端里的企业数据的安全？如何保护终端设备不受病毒的攻击？

· 多操作平台管理：当笔记本渗入企业时，Windows占据了统治地位，IT部门很容易建立一个标准的管理体系，如域控制器等。然而随着iOS、Android等智能终端的崛起，企业如何建立一个智能移动终端管理平台来应对多操作平台环境？

·隐私问题：智能手机有它独有的隐私问题，因为它设法把笔记本电脑和手机整合到一起，这也不可避免的把笔记本电脑和手机里的内容合并到了一起。但是笔记本电脑使企业发的，上面的内容也自然归企业所有，是企业财产的一部分，但对于智能手机区别就不是很明显了。而且有些企业会允许员工个人所有的智能终端接入企业网络，企业如何在智能终端上区分用户的个人信息和企业数据就变得更加复杂。

MI移动设备管理引擎(VSP)就是一个移动设备管理平台，它帮助企业IT克服了这些挑战，让企业顺利的，安全的把智能终端集成到企业生产环节中去，同时满足了用户和企业IT的需求。

·即插即用：企业IT只需花半天的时间就可以将MobiIelron VSP集成到现有的网络环境中去，

· 稳如磐石的自身安全：特殊定制化的操作系统，限定端口访问，高稳定性的组件，访问权限的高可控性，对用户凭证的保护，客户端和服务器之间的通讯被加密，持续的漏洞修补和安全更新

· 高效简洁的管理界面：简洁友好的管理界面让管理员轻松上手，通过标签来划分设备组，及时监控终端设备，发送擦除、锁屏等管理命令，等等。

· 用户自服务界面：可以授权用户登录用户自服务页面，对自己名下的设备进行操作，如：定位，擦除，注册，锁屏等。让用户在IT下班时间期间也可以自己管理自己的设备。

Sentry 智能网关引擎

随着Apple iOS ,Android,Windows Mobile和Symbian等智能移动设备在企业中的普及流行，企业正在寻找安全的方案，以在他们的网络环境中应用 Active Sync 。虽然 Active Sync 的影响力越来越大，企业正把它作为推送电子邮件的标准, 但是多数企业在企业内应用该技术时遇到了很多挑战。传统意义上讲， Active Sync 自身并提供访问控制和可视化监管功能，这些都是重视安全的企业所要求的。特别是在以下方面， Active Sync 未能满足企业的需求:

访问控制：管理员难于限制未授权的用户注册手机，还必须手动鉴别每一个用户的准入。即使手动设置了‘允许/限制’策略，企业还是受困于如何设置强制策略，来限制注册到某个 Active Sync 邮箱的手机数量。

可视化监控：在全球化的企业里，不做一些定制化的脚本，很难确认哪些设备连接到哪些 Active Sync 邮箱。即使Exchange 2010在Exchange Web Services上提供了相关工具，也只能提供有限的针对单个邮箱的查看而非整个企业范围邮箱的查看。

安全：管理员很难根据设备情况来限制设备和 Active Sync 的连接(如操作系统版本，安全设定等),这已经超出了 Active Sync 平台提供的策略强制标准范围。一些基本的策略，如强制设备设置密码策略，在一些托管邮件环境下存在问题。 MobileIron Sentry 提供了企业级的构架,解决了企业众多挑战，让企业有信心启用 Active Sync 并使用iPhone等设备收发邮件。

MobileIron Sentry 架构

MobileIron Sentry扮演了一个Active Sync客户端和邮件服务端之间的代理角色，处于Active Sync客户端和企业Active Sync邮件服务器（群）之间。此种模式提供了一种后置邮件服务器的架构；许多企业已经成功部署MobileIron Sentry，通过 Sentry让终端设备连接到Microsoft Exchage或Lotus Notes服务器，此方案也是用与托管方案（如BPOS-S,BPOS-D或Google Gmail）

· 确保只有授权的设备才能和Active Sync 连接：采用MobileIron Sentry 后，策略通过网络层强制实现。收发邮件时，每个 Active Sync 设备会首先连接 MobileIron Sentry 服务器。为了鉴别该设备是否授权连接到后端 Active Sync 邮件, MobileIron Sentry 服务器会审查通过Sentry 的邮件数据流；从此数据流中Sentry 会提取其中的设备ID送交MobileIron VSP，或相关的管理服务器。VSP通过此ID验证该设备提供的其他信息，据此判断是否可以让这台设备连接 Active Sync 。这些信息包括设备类型，安全状态，操作系统版本和其他数据等。验证后，VSP会反馈Sentry 该设备是否可以连接。如果不允许，则该设备与后端邮件系统的数据流会被截断。如果不允许，则该设备与后端邮件系统的数据流会被截断。

· 确保连入的设备要通过企业策略评估：由于使用 MobileIron Sentry 后，访问控制是建立在网络层的，你自然会问如何避免用户直接连接 Active Sync 服务器来绕开安全限制。在这种情况下，我们建议用户建立防火墙规则，只允许 Sentry 服务器的IP地址访问企业的 Active Sync 服务器。这将保证只有通过 Sentry 服务器才可以连接到企业的 Active Sync 服务器。同时在VSP服务器中设置企业 Active Sync 安全策略，确保只有符合策略的终端才可以和 Active Sync 服务器连接。以后如果终端设备违反了企业安全策略，就可以将终端设备和 Active Sync 服务器隔离，并可以发送管理指令，如远程擦除设备等

· 提供了可视化监控所有连接 Active Sync 的设备，无论是否被 MobileIron 管理

· 结合有证书验证功能的前端代理服务器或负载均衡器，实现通过证书及用户名密码的双重验证