移动设备管理平台(MDM)解决方案
2017-03-08胡飞飞徐键洪丹轲黄昱
胡飞飞+徐键+洪丹轲+黄昱
【摘要】 近年来由于IT和移动通讯技术的进一步融合,移动互联网产业得到了迅猛发展,正逐渐渗透到人们生活、工作的各个领域。随着移动通信网络的优化完善,智能手机及平板电脑市场的空前繁荣,基于IOS和Android等主流操作系统的智能终端设备具有普及程度高,计算能力强,存储容量大的特点,利用智能终端设备访问企业IT系统进行移动办公成为市场潮流。未来,越来越多的企业员工将摆脱办公室的约束,通过智能手机等移动终端设备来处理日常事务。
【关键词】 移动互联网 智能终端
一、移动设备管理平台简介
1.1解决方案概述
本文提出的移动管理平台是管理企业移动智能终端的跨平台解决方案,提供了iOS、Android平台下的移动设备管理(MDM)、移动应用管理(MAM)和移动内容管理(MCM)功能,解决企业移动智能终端的安全问题、应用管理问题、统一配置问题、文档共享问题。整个平台分为四大组成部分⑴MDM客户端:提供移动设备管理和移动应用管理功能;⑵MCM客户端:提供移动内容管理功能;⑶自服务平台:供移动终端用户管理自己的设备;⑷管理平台:供系统管理员使用。
1.2整体架构
1.2.1应用架构图
设备客户端通过TCP长连接服务端,获取数据、信息,发送客户端状态。服务器端由MDM连接服务接受客户端的TCP请求,通过指令引擎解析指令,发送到MDM管理模块。具体结构图如下图1。平台入口为负载均衡服务器,具有很好的可扩展性、可伸缩性。当服务器配置无法满足日益增长的需求时,可通过扩展MDM连接服务、MDM管理服务等节点,可以实现无缝扩展服务器配置,来迅速增加服务器的处理能力,且不需要修改代码。
1.2.2硬件架构图
整套硬件按用户设备10万台为基准:
由2台高配置的IBM System x3850 X6 4U机架式服务器和共享存储组成:
硬件系统包括服务器、共享存储、安全设备、网络设备,并应具备基于vmware实时迁移技术,防止单点故障。
实时处理要求高,需要7X24小时不间断服务支持和计算密集型应用可使用本方案。参考图如下:
二、移動设备管理平台功能
2.1设备管理
本文提出的移动管理平台提供完整的移动设备生命周期管理。具体分为用户及设备管理,配置管理,安全管理,资产管理等。
2.2用户管理
2.2.1用户及设备批量注册
管理平台提供批量用户及设备导入功能,包括如下两种方式:
⑴从模板文件导入。系统提供标准模板文件下载,管理员按照模板填写用户、用户组及设备信息,一次性完成大量用户和设备的注册。
⑵从LDAP/AD导入。管理员可将企业LDAP/AD服务器中的用户导入管理平台某个用户组中,然后按照用户组、用户名关键字进行选择性导入。
2.2.2用户及设备详情查询
通过管理平台能对所有用户及设备进行查询。
用户详情展现用户基本信息、帐号信息、权限信息、配置/策略信息、注册/激活/淘汰设备的记录,设备信息等。可支持Dashboard仪表盘显示。
设备详情展现已激活设备的详细信息,包括设备基本信息、硬件信息、运营商信息、流量信息、应用程序信息、配置/策略信息、用户信息等。可了解设备型号、OS及版本、是否受控在线、上次在线时间、是否越狱、SIM卡变更信息、设备漫游信息、下发的配置文件和策略列表及其状态等。可支持Dashboard仪表盘显示。
2.2.3用户禁用及删除
如员工离职,管理员可将用户从管理平台中禁用并删除。支持单个删除和基于组织结构、搜索结果的批量禁用删除。用户删除后,淘汰的设备能形成资产变更历史。
2.2.4通讯录同步
用户可通过客户端或自服务平台设置通讯录自动同步功能,并能够显示上次同步时间。通讯录发生变化时,同一用户的多个设备能保持通讯录联系人一致。
2.3配置管理
在企业内部存在不同的组织,需要对他们进行差异化配置管理。通过预定义好的配置文件,在设备激活后自动向设备下发配置信息,并可通过修改配置文件在线对已激活的设备进行配置信息修改。
2.3.1WIFI热点批量配置
WLAN作为移动网络的有效补充,企业内部通常部署了多个WiFi热点,手工配置繁琐。通过将WiFi热点的参数加到配置文件中,管理平台统一下发到移动终端,达到迅速开通WLAN的目的。支持个人级Wi-Fi设置,采用WEP或WPA安全鉴定方式。
2.3.2电子邮件自动设置
移动管理平台可以帮助企业用户自动设置电子邮件,每个配置文件中可以包含多个电子邮件配置信息,配置内容包括SMTP、POP、IMAP邮件帐户信息等。对于采用Microsoft Exchange服务器的企业,每个配置文件中可包含多个Microsoft Exchange服务器配置信息。
2.3.3VPN网络配置
企业用户可以配置多个VPN网络,每个配置文件中可以包含多个VPN配置信息。支持L2TP、PPTP、自定义SSLVPN多种方式。
2.3.4APN网络配置
可配置运营商移动网络APN接入信息,包括接入点名称、接入点用户名/密码、代理服务器地址及其端口等。
三、安全管理
3.1管理设备
如果需要找回含有企业数据的丢失设备,可采用自服务平台提供的设备定位功能。定位结果通过地图进行展现并形成文字形式地理位置摘要,地图支持多个设备的同时展现。
设备丢失或暂时找不到时,为防止企业数据被他人获取,通过自服务平台向设备发送消息锁定设备,从而保护企业数据的安全。
用户可在自服务平台进行设备删除,淘汰设备必须提供设备擦除选项(全部擦除、选择性擦除)并填写备注信息,淘汰后的设备脱离与企业MDM平台的关系。
3.2数据擦除
设备确认丢失后,可通过自服务平台进行设备所有信息清除,使设备恢复出厂设置并格式化存储卡,防止企业数据泄漏。
当员工离职需要带走含有私人信息的设备时,可通过自服务平台发送指令,在设备上仅擦除与企业相关数据。企业数据包括:MDM配置及策略文件信息;企业邮件;已安装企业内部应用及其运行数据。
为防止不法分子试探密码,可设置最多允许失败次数:确定尝试输入密码失败超过指定次数之后设备会被擦除。
3.3密码强制设定
移动设备的密码设定是安全保护最简单有效的方式。管理平台可设置一种策略,移动设备会被要求在规定时间内设置密码,如果超时没有设置密码,设备将会被锁定,只有设置密码后,才能继续使用。
当用户忘记设备锁定密码时,可通过自服务平台进行密码重置。
3.4数据加密策略
设置设备数据加密功能的开启状态及加密内容。(1)内置存储器加密(2)SD卡加密
3.5限制相机,截屏等功能
对于禁止拍照摄像的工作场所,或是为防止人员对设备上的企业办公系统进行屏幕捕捉而泄密,可应用相应策略关闭终端相机,截屏等功能。
3.8数据备份及恢复
管理平台硬件故障导致数据丢失,可通过将备份文件导入新设备后快速恢复服务。支持手动和定期自动备份方式。
3.9应用安全管理
恶意软件是公共移动应用商店存在的一个大问题,企业移动应用商店同样可能受到这些恶意软件的攻击,例如来自心怀不满的员工的内部攻击,或者来自内部企业应用程序捆绑的第三方软件和服务包。
为防止企业移动移动应用商店含有恶意软件,提供对上架前的应用软件进行安全扫描服务功能。有安全隐患的应用由管理員决定是否上架。
四、设备管理
资产管理人员需要对企业下发的移动设备进行统一管理,可通过资产列表了解设备相关信息,对某个设备维护备注信息,能够导出设备资产报表。
设备管理提供如下功能:设备列表:显示设备基本信息,设备组别,设备在线状态,绑定SIM卡UIM号,所连接集群服务器地址。设备分组:对不同用户使用设备进行分组,从后台可调整设备组别。设备筛选、排序、查找:根据设备不同状态,在线状态,设备组别,设备MEID号,集群服务器地址等条件进行筛选、排序与查找。设备添加:需要输入设备MEID,设备分组,设备绑定SIM卡UIM号,可批量导入。
五、应用管理
本文提出的移动管理平台方案提供创新的企业移动应用商店,同时支持iOS和Andriod移动平台,能有效地、安全地为企业提供进行移动应用管理。主要功能包括应用安全检测、分类管理、内外部应用管理、策略管理、统计及日志管理等。
1、应用安全。恶意软件(例如木马应用程序)是公共移动应用商店存在的一个大问题,企业移动应用商店同样可能受到这些恶意软件的攻击,例如来自心怀不满的员工的内部攻击,或者来自内部企业应用程序捆绑的第三方软件和服务包。为防止企业移动移动应用商店含有恶意软件,提供对上架前的应用软件进行安全扫描服务功能。对于返回有安全隐患的应用由管理员决定是否上架。
2、应用分类。本文提出的移动管理平台方案为便于应用搜索和管理,企业可自定义应用分类,供添加应用时选择,一个应用可于多个分类。支持一级分类管理,管理员可以新建、删除、修改分类信息。
六、黑白名单
本文提出的移动管理平台方案提供企业内部应用的添加、更新、删除、修改、列表、详情查看、搜索功能。可针对用户/用户组进行分发,分发方式可使用推送安装包、推送消息、不推送等。可将应用进行黑、白名单的归类。
七、公共应用
企业管理员可以在此放置推荐员工安装的第三方应用。提供苹果应用软件商店、第三方应用软件商店应用、拿到安装包的第三方应用的添加、更新、删除、修改、列表、详情查看、搜索、分发功能。可针对用户/用户组进行分发,分发方式可使用推送安装包、推送消息、不推送等。
八、MDM迁移方案
新平台上线后,为保证新旧系统平滑切换,将实施如下步骤完成新旧平台切换:(1)将旧系统数据全量迁移到新平台。(2)部署新平台,旧平台不下线,新旧平台双轨并行。(3)旧平台给所有设备分批推送新版本客户端。考虑到推送后客户端升级带来的网络带宽压力,每批次推送建议不多于2000台设备。具体情况以实际情况为准。(4)设备安装新版客户端后,访问新平台。(5)所有设备的客户端均已升级到新版本客户端后,旧平台才可下线。(6)旧平台下线后,将旧系统数据增量迁移到新平台,迁移完成。
九、定制化支持
为便于未来针对MDM系统进行定制化功能扩展,系统从设计及实现上考虑,提供灵活的扩展API。
9.1扩展定制接口
接口说明:该接口主要定义MDM系统管理端的扩展规范。
接口定义:业务扩展接口(JSGap)业务集成接口(webPortal)
(1)业务扩展接口(JSGap)是基于JavaScript构建的一套完整的业务服务扩展引擎,它提供一系列的接口适配、组装能力,可用于为移动端、后端业务提供数据服务。
它提供的部分通用接口规范如下所示:
(2)业务集成接口(webPortal)是一个完整的门户解决方案,基于J2EE的架构,前台界面部分使用Spring MVC框架,作为企业业务系统的统一入口和接入平台,提供了登录管理,鉴权验证,资源、菜单管理,应用集成及内容管理等功能,主要是实现对现有业务系统的整合。它提供的主要接口如下:
9.2统一认证接口
接口说明:该接口主要定义MDM系统中认证接口的统一规范。
接口定义:authToken
9.3消息推送接口
接口说明:该接口主要定义MDM系统中的消息推送服务的统一调用接口规范。
接口定义:pushMsg
9.4应用发布接口
接口说明:该接口定义MDM客户端的应用商店API接口规范。
接口定义:ApplicationStore Open API
十、MD 系统升级规则
MDM系统针对升级兼容问题,从技术架构设计、接口设计、数据模型设计等各个环节综合考虑,主要及关键的机制如下:
(1)接口版本号:。所有接口设计,添加严格的版本号兼容控制机制,根据版本号的不同做针对性响应。如果是非强制性的升级导致的版本号差异,则原则上尽可能保证低版本的系统可以正常运行。如MDM客户端与MDM管理端间的接口规范定义。
(2)API兼容。API的兼容设计,主要是考虑MDM客户端的版本升级的自身功能、数据、设置等的兼容问题,如果是正常的应用升级覆盖的前提,则原则上尽可能保证升级后的应用可用性、原始数据状态正常。比如客户端上的嵌入式数据库的升级API设计,数据存储的API设计,新版本增加使用的新功能的API兼容等。
(3)协议兼容。协议的兼容设计,主要是考虑MDM客户端与MDM连接服务端间的兼容问题,主要包括的是基于TCP链路上的消息协议的兼容问题,比如新增加扩展的协议,一定不影响原有的协议正常使用。
结论与展望
本文提出的移动管理平台解决方案:一方面提供智能終端设备、应用、内容的统一管理,另一方面提供全面的安全防护。通过部署本移动管理平台,可在不影响现有企业信息系统的前提下解决上述难题,实现如下三方面的价值:(一)大幅提升企业生产效率。实现员工在任何时间、任何地点进行无线办公,采用Push通知第一时间精准分发企业应用和文档,使企业在激烈竞争的信息时代赢得市场先机。(二)全面降低企业成本。多操作系统移动设备、应用、内容统一管理,降低IT管理费用;利用员工的设备实现移动办公,降低公司在设备资产方面的开支;监控智能手机消费行为,引导合理套餐设定以节约话费。(三)充分保证企业数据及应用商店的安全。设备定位、锁定及数据擦除保护企业信息不外漏,采用全球最大移动安全知识库让企业应用商店远离病毒干扰。如通过统一下发策略配置保证设备强制密码设定,防止设备非法越狱,限制部分应用、文档的使用权限等。
参 考 文 献
[1]汤玛士.戴文坡.ERP进阶实务[M].商周出版,2011,12.
[2]吉尔伯特.托平,菲奥娜.切尔尼亚夫斯卡.企业咨询[M].东北财经大学出版社,2008,4.
[3]大岛祥誉.麦肯锡工作法[M].中信出版社,2014,5.
[4]维克托.迈尔-舍恩伯格,肯尼思.库克耶.大数据时代[M].浙江人民出版社,2013,1.
[5]Oracle Method CDM Quick Tour, Release 2.0.0, February, 2000.
[6] Oracle Method Application Implementation Method Handbook Release 3.0.0, August, 1999.
[7] Oracle Method Project Managemnt Method Handbook Release 2.6.0, March, 1999.
[8]曾跃.Oracle ERP实施方法论及其在通讯企业的应用[D].硕士学位论文,西南交通大学,2004.
[9]徐宁.基于BPR的SR物流公司ERP系统构建与实施研究[D].硕士学位论文,燕山大学,2012.
[10]赵志芳.基于xSimple的业务流程优化研究[D].硕士学位论文,首都经济贸易大学,2008.
[11]李士强.xSimple系统规划与实施[D].硕士学位论文,南京理工大学,2013.
[12]罗永胜.CZ公司xSimples实施方法体系研究[D].硕士学位论文,广东工业大学,2013.
[13]刘华.PCB行业Oracle ERP实施方案的改进研究[D].硕士学位论文,电子科技大学,2012.
[14]白燕梅.中小企业实施ERP过程及方法的研究[D].硕士学位论文,吉林大学,2005.
[15]周玲.咨询公司ERP咨询项目实施风险评估与对策研究[D].硕士学位论文,西安理工大学,2007.
[16]温和.用友公司xSimple实施方法体系研究[D].硕士学位论文,吉林大学,2011.
[17]徐学军.邹明信.xSimple实施方法论研究[J].中国管理信息化,2006,7.
[18]丁正新.对我国中小企业xSimpless实施的研究[J].经管空间,2014.
[19]崔锦杰.企业成功实施xSimple的实践总结[J].信息与电脑.2014.
[20]盛如龙.ASAP实施方法论及其在奇华顿项目中的应用[D].硕士学位论文,大连理工大学,2009
[21]张玉权.xSimple实施过程控制方法及其在T集团的应用研究[D].硕士学位论文,北京邮电大学,2010
[22]汪晓华.Oracle ERP实施和估算方法的改进研究与应用[D].硕士学位论文,上海交通大学,2009
[23]史英杰.中国本土咨询业发展研究[D].硕士学位论文,天津大学,2002
[24]赵静怡.中国管理咨询公司发展对策研究[D].硕士学位论文,复旦大学,2002
[25]吴亚军.基于ERP实施影响因素的协同机制研究[D].硕士学位论文,西安科技大学,2006