从微软发iPhone,聊聊企业设备管理

今天讲个上周的旧闻,微软给员工免费发iPhone。其实上周就有很多朋友私信问我,在知乎上邀请我回答相关话题,今天就抽点时间和大家一起聊聊这事。我不想讨论太多新闻本身,而是更想聊聊事件的主要原因——微软企业设备管理,以及直接原因——企业设备管理在中国大陆“安卓”设备上的困境。

为什么微软发iPhone 15

首先可以排除,微软是发福利,虽然历史上微软确实给员工发过手机,但那是微软自己的Windows Phone,可惜我也没赶上。

网上很多人说,是因为国内“安卓”手机(目前国内没有严格意义上的Android手机,各家大厂都在各显神通的自研系统,这里姑且允许我偷懒将这些设备统称为“安卓”手机吧)缺失谷歌GMS服务,所以“Microsoft Authenticator”无法正常使用,因此微软给员工发iPhone,这样员工可以正常使用“Microsoft Authenticator”(Apple的APNS在中国大陆是可以正常使用的)。这确实是原因之一,但光这个原因并不充分。因为,Microsoft Entra(以前的Azure AD)的MFA(多音字身份验证)支持多种验证方式,如果使用动态口令、短信、电话等,其实并不依赖谷歌GMS。

真正迫使微软给员工iPhone的原因是国内“安卓”手机无法完美支持自家的企业设备管理方案(EMS,也就是过去大家说的MDM和MAM的集合)“Intune”。

其实,不仅仅是微软自家的Intune不行,大部分EMS/MDM方案在国内“安卓”手机上都是困难重重,而大部分专家给出的Workaround(折中方案)都是换iOS,只是微软“慷慨”给员工发放的iPhone,有些企业就会让员工自掏腰包购买符合条件的设备,否则就会失去移动办公的便利性。

什么是企业终端管理?

刚才我反复提到“企业终端管理”,那什么是企业终端管理?下面我就以微软“Intune”为例,介绍什么是企业终端管理,企业终端管理可以做什么,企业终端管理有哪些价值?

什么是企业设备管理

企业设备管理是指通过一套综合性的方法和工具来管理、监控和保护企业内的所有计算设备,包括桌面电脑、笔记本、平板电脑和智能手机。企业设备管理旨在确保这些设备的安全性、合规性,并提升其使用效率,进而支持企业的业务目标。

企业设备管理的体系结构

企业设备管理的体系结构通常包括以下几个部分:

  1. 设备注册与配置:这一步骤涉及将设备加入到企业的管理系统中,并按照企业的安全和使用策略进行配置。
  2. 策略管理:管理和分发设备策略,包括安全策略(如密码要求、加密)、配置策略(如Wi-Fi、VPN设置)以及应用管理策略。
  3. 应用管理:分发和管理企业应用程序,确保员工能够访问必要的工具,同时防止未经授权的应用使用。
  4. 设备监控和报告:实时监控设备状态,收集使用数据,并生成报告,以便企业能够了解设备的健康状况和使用情况。
  5. 安全与合规管理:确保设备和数据的安全,通过监控合规性、实施安全策略和响应安全事件来保护企业资源。

企业设备管理能做什么

企业设备管理通过多种功能和服务,帮助企业更有效地管理其设备:

  1. 统一设备管理:通过集中管理工具,管理员可以对企业内的所有设备进行统一管理,无论这些设备是Windows、macOS、iOS还是Android系统。
  2. 安全保护:通过策略和配置管理,保护设备上的企业数据,防止数据泄露和未授权访问。
  3. 应用分发:确保员工能访问所需的应用,同时控制和监控应用的使用情况。
  4. 远程支持:提供远程诊断和故障排除功能,帮助IT团队快速解决设备问题。
  5. 合规性管理:监控设备的合规状态,确保其符合企业和行业的法规要求。
  6. 设备生命周期管理:从设备采购到报废,全程管理设备的使用和维护。

为什么企业需要设备管理

  1. 增强安全性:随着移动设备和远程工作的普及,企业面临更多的安全威胁。通过设备管理,可以确保设备上的数据安全,防止泄露和攻击。
  2. 提高生产力:设备管理确保员工能够顺利访问所需的工具和资源,减少技术问题对工作的干扰,提升工作效率。
  3. 成本控制:通过集中管理和监控,企业可以更有效地利用资源,降低设备维护和管理成本。
  4. 合规性和报告:确保设备符合行业和法律法规要求,提供详细的报告和监控,帮助企业满足审计和合规需求。
  5. 支持灵活办公:随着远程办公和移动办公的普及,企业设备管理变得尤为重要。它能够确保无论员工身处何地,都能安全地访问企业资源和数据。

企业设备管理是现代企业必不可少的一部分。通过使用 Microsoft Intune 等先进的管理工具,企业能够实现全面的设备管理,确保设备安全、提高生产力、降低成本,并满足合规要求。随着企业环境的不断变化,企业设备管理的重要性也将日益增加。

企业设备管理的“安卓”困境

通过上述介绍,相信大家对企业设备管理有了一个全面的认识,但这样一个好用的生产力工具却在国内“安卓”手机上碰壁了。下面,我继续以“Intune”为例,解释为什么大部分企业设备管理方案与国内“安卓”手机水土不服,如果想在国内使用企业管理设备,该如何办。

为什么“Intune”与国内“安卓”手机水土不服

接触企业设备管理十多年来,我经常被问及为什么Intune 等企业设备管理方案在中国大陆“安卓”手机上难以使用。这个问题的答案并非简单,涉及到技术、政策等多方面因素的复杂交织。

1. Google 移动服务 (GMS) 的缺失

这是 Intune 等企业设备管理方案在中国大陆“安卓”手机上无法正常工作的首要原因。Intune 等企业设备管理方案依赖 GMS 框架中的许多服务,例如 Google Play 服务、Firebase 云消息传递 (FCM) 等,来实现其核心功能,包括:

  • 应用分发和管理: Intune 等企业设备管理方案通常通过 Google Play 商店分发企业应用,并利用 Play Protect 进行安全扫描。GMS 的缺失意味着企业无法通过 Intune 等企业设备管理方案在中国大陆“安卓”设备上部署应用,只能寻求替代方案,例如第三方应用商店或手动安装,这增加了管理成本和安全风险。
  • 远程设备管理: Intune 等企业设备管理方案利用 FCM 推送通知来实现策略更新、远程擦除设备、锁定设备等功能。没有 FCM,这些功能将无法正常工作,企业无法有效地控制和保护移动设备。
  • 数据同步和安全: Intune 等企业设备管理方案利用 GMS 提供的云服务进行数据同步和安全防护。GMS 的缺失会导致数据同步失败、安全策略无法及时更新等问题,降低设备安全性和数据保护能力。

2. Android Enterprise 的限制

Android Enterprise是一种用于企业设备管理的框架,依赖于 GMS 提供的服务。在中国大陆,由于 GMS 的缺失,Android Enterprise 也无法使用。这导致企业无法利用 Android Enterprise 提供的高级管理功能,如工作配置文件和设备策略管理。

3. 应用市场的限制

在中国大陆,Google Play 商店缺失,用户必须依赖本地应用市场(如华为应用市场、腾讯应用宝等)来下载和更新应用。然而,这些市场可能不提供最新版本的 Intune 等企业设备管理方案的客户端应用,或者应用更新不及时,导致用户无法获得最新的功能和安全补丁。

4. 旁加载应用的风险

由于无法通过官方应用市场获取 Intune 等企业设备管理方案的客户端应用,用户可能需要通过旁加载方式安装应用。旁加载应用存在以下风险:

安全风险:旁加载应用可能来自不受信任的来源,增加了恶意软件感染的风险。

更新和维护困难:旁加载应用不会自动接收更新和修复,用户需要手动更新,增加了维护的复杂性和安全隐患。

5. 网络连接问题

中国大陆复杂的网络环境和防火墙设置可能会阻碍 Intune 等企业设备管理方案与其云服务之间的通信。这会导致以下问题:

  • 数据同步延迟: 设备信息、策略更新等数据无法及时同步到Intune 等企业设备管理方案云端,影响设备管理效率。
  • 远程操作失败: 无法远程控制设备,例如远程擦除设备、锁定设备等。
  • 应用下载和更新失败: 无法从Intune 等企业设备管理方案云端下载和更新应用。

6. 兼容性问题

中国大陆的安卓手机厂商众多,定制化系统版本繁多,与国际版本存在较大差异,这可能导致Intune 等企业设备管理方案与某些设备或系统版本不兼容,出现功能异常或无法使用的情况。例如,国内“安卓”系统对某些权限和API的限制可能会影响Intune 等企业设备管理方案的设备管理和安全策略实施。

7. 政策和监管环境

中国政府对数据安全和网络安全有着严格的监管政策,这可能会对 Intune 等海外企业设备管理方案的部署和使用造成限制。

解决方案与替代方案

那国内客户是不是就不能使用Intune 这类企业设备管理方案吗?这倒也不是,如果您的组织对设备管理有强烈需求,不妨考虑如下解决方案:

1、要求员工使用符合条件的移动设备

如微软一样,要求员工统一使用iOS设备,是解决上述问题的最佳方式。当然,你可以选择一些支持GMS的Android设备,例如部分三星、MOTO(联想)品牌的设备,但这样的设备目前越来越少,并且您还需要解决除GMS外的其他影响因素(例如网络、应用市场等),因此意义其实不大。

2、使用MAM替代MDM

应用保护策略 (也称为移动应用程序管理或 MAM) 是个人自带设备 (BYOD) 的绝佳选择。无需设备注册即可使用 APP,从而在不影响最终用户工作效率的情况下保护组织在个人设备上的数据。这也是微软官方对GMS缺失设备管理的推荐方案。但相较于MDM方案,我们需要考虑MAM的以下不足:

  1. 设备安全性不足:MAM主要集中在应用层面的管理,无法对设备本身进行全面的控制。这可能导致设备丢失或被盗时,无法进行远程擦除或锁定,增加了数据泄露的风险。
  2. 无法管理设备设置:管理员无法统一配置设备的网络、VPN、Wi-Fi和其他系统设置,这可能导致配置不一致,影响员工的工作效率和安全性。
  3. 不兼容的第三方应用:MAM的策略和功能可能不适用于所有第三方应用,特别是那些没有内置企业管理功能的应用。这限制了MAM的应用范围,企业可能无法完全控制所有使用的应用程序。
  4. 应用级别的策略配置复杂:由于MAM需要针对每个应用单独配置策略,这可能增加管理员的工作量,特别是在企业使用大量应用程序的情况下。

3、使用VDI方案

在当前企业设备管理中,传统方案面临着诸多挑战,尤其是在国内安卓设备因缺乏Google移动服务(GMS)而带来的困境。基于移动操作系统的虚拟桌面基础架构(VDI)技术(例如云手机)作为一种替代方案,能够有效解决这些问题。

基于移动操作系统的虚拟桌面基础架构(VDI)是一种将移动设备环境虚拟化的技术。通过VDI,用户可以在任何设备上访问虚拟的移动操作系统,无需依赖本地设备的硬件和软件环境。这意味着即使安卓设备没有GMS,用户仍然可以通过VDI访问所需的应用和服务。

优势

  1. 统一的移动操作系统环境:VDI技术允许用户在任何设备上访问相同的移动操作系统环境,避免了因设备差异带来的兼容性问题。
  2. 更高的安全性:所有数据和应用都存储在服务器端,减少了设备丢失或被盗所带来的风险。管理员可以集中管理和更新虚拟移动操作系统,确保所有设备始终运行最新的安全补丁和软件版本。
  3. 灵活的资源管理:VDI技术具有良好的可扩展性,企业可以根据需求动态调整资源分配,满足不同用户和业务场景的需求。这不仅提高了资源利用率,还降低了硬件成本和维护费用。
  4. 解决GMS缺失问题:通过VDI,用户可以在没有GMS的安卓设备上访问所需的应用和服务,从而解决了因缺乏GMS而导致的功能限制。
  5. 更好的移动应用兼容性:基于移动操作系统的VDI专为运行移动应用而设计,能够更好地兼容和支持各种移动应用程序,而传统桌面VDI主要针对桌面应用,可能在运行移动应用时存在兼容性问题。
  6. 更高的便携性:移动操作系统VDI可以在智能手机、平板电脑等移动设备上无缝运行,用户可以随时随地访问虚拟环境。而传统桌面VDI通常需要较大的屏幕和键盘,便携性相对较差。
  7. 更低的硬件要求:移动操作系统VDI对本地设备的硬件要求较低,甚至可以在低端设备上流畅运行。这使得企业可以节省硬件成本,而传统桌面VDI通常需要较高性能的设备来保证流畅运行。
  8. 更好的用户体验:移动操作系统VDI提供了与本地移动设备相似的用户界面和操作体验,用户可以更容易适应和使用。而传统桌面VDI的用户界面和操作方式与移动设备存在较大差异,可能需要一定的学习和适应时间。
  9. 更灵活的使用场景:移动操作系统VDI可以适用于更多的使用场景,例如外勤工作、远程办公等,用户可以随时随地访问工作环境。而传统桌面VDI主要适用于固定办公场所,使用场景相对有限。

基于移动操作系统的VDI技术提供统一的移动操作系统环境、更高的安全性和灵活的资源管理,能够有效替代传统设备管理方案,解决国内安卓设备因没有GMS而带来的困境,为企业提供更高效、安全的设备管理解决方案。

总结

本文通过分析微软向员工发放iPhone 15的事件,深入探讨了企业设备管理(EMS)在中国大陆面临的挑战,尤其是“安卓”设备上Intune等方案的困境,指出了由于Google移动服务(GMS)缺失、Android Enterprise限制、应用市场限制、旁加载风险、网络连接问题、兼容性问题以及政策监管环境等因素造成的障碍,并提出了包括使用iOS设备、移动应用程序管理(MAM)和VDI解决方案来应对这些挑战,以确保企业数据安全和提高管理效率。

参考资料

https://learn.microsoft.com/zh-cn/mem/intune/fundamentals/what-is-device-management https://learn.microsoft.com/zh-cn/mem/intune/fundamentals/what-is-intune

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/380096.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

私有化种子索引器bitmagnet

本文软件由网友 P家单推人 推荐 什么是 bitmagnet ? bitmagnet 是一个自托管的 BitTorrent 索引器、DHT 爬虫、内容分类器和 torrent 搜索引擎,带有 Web UI、GraphQL API 和 Servarr 堆栈集成。 需要注意的是,该软件目前还处于 alpha 阶段。它…

深入探究理解大型语言模型参数和内存需求

概述 大型语言模型 取得了显著进步。GPT-4、谷歌的 Gemini 和 Claude 3 等模型在功能和应用方面树立了新标准。这些模型不仅增强了文本生成和翻译,还在多模态处理方面开辟了新天地,将文本、图像、音频和视频输入结合起来,提供更全面的 AI 解…

人工智能大模型发展的新形势及其省思

作者简介 肖仰华,复旦大学计算机科学技术学院教授、博导,上海市数据科学重点实验室主任。研究方向为知识图谱、知识工程、大数据管理与挖掘。主要著作有《图对称性理论及其在数据管理中的应用》、《知识图谱:概念与技术》(合著&a…

微服务实战系列之玩转Docker(二)

前言 上一篇,博主对Docker的背景、理念和实现路径进行了简单的阐述。作为云原生技术的核心之一,轻量级的容器Docker,受到业界追捧。因为它抛弃了笨重的OS,也不带Data,可以说,能够留下来的都是打仗的“精锐…

Python游戏开发之制作捕鱼达人游戏-附源码

制作一个简单的“捕鱼达人”游戏可以使用Python结合图形界面库,比如Pygame。Pygame是一个流行的Python库,用于创建视频游戏,它提供了图形、声音等多媒体的支持。以下是一个基础的“捕鱼达人”游戏框架,包括玩家控制一个炮台来射击…

Java性能优化-书写高质量SQL的建议(如何做Mysql优化)

场景 Mysql中varchar类型数字排序不对踩坑记录: Mysql中varchar类型数字排序不对踩坑记录_mysql vachar排序有问题-CSDN博客 为避免开发过程中针对mysql语句的写法再次踩坑,总结开发过程中常用书写高质量sql的一些建议。 注: 博客&#…

特征工程方法总结

方法有以下这些 首先看数据有没有重复值、缺失值情况 离散:独热 连续变量:离散化(也成为分箱) 作用:1.消除异常值影响 2.引入非线性因素,提升模型表现能力 3.缺点是会损失一些信息 怎么分:…

【C++】—— 从 C 到 C++ (下)

【C】—— 从 C 到 C (下) 六、引用6.1、什么是引用6.2、引用在传参的使用6.2.1、例一6.2.2、例二 6.3、引用在做返回值的使用6.4、引用的特性6.5、引用的使用总结6.6、 c o n s t const const 引用6.6.1、 c o n s t const const 引用的规则6.6.2、 c o…

福派斯三文鱼猫粮,养猫新手的福音,让猫咪爱上吃饭!

猫粮的选择对于猫咪的健康和日常饮食至关重要。福派斯三文鱼猫粮作为一款备受关注的产品,它在市场上表现如何呢?下面我们将从几个关键方面深入探讨如何选择猫粮,并详细分析福派斯三文鱼猫粮的优缺点。 一、了解猫咪的独特需求 首先&#xff0…

[Redis]典型应用——分布式锁

什么是分布式锁? 在一个分布式系统中,也会涉及到多个节点访问同一个公共资源的情况。此时就需要通过锁来做互斥控制,避免出现类似于"线程安全"的问题 举个例子,在平时抢票时,多个用户可能会同时买票&#…

ubuntu源码安装Odoo

序言:时间是我们最宝贵的财富,珍惜手上的每个时分 Odoo具有非常多的安装方式,除了我最爱用的 apt-get install,我们还可以使用git拉取Odoo源码进行安装。 本次示例于ubuntu20.04 Desktop上进行操作,理论上在ubuntu14.04之后都可以用此操作。 …

第1关 -- Linux 基础知识

闯关任务 完成SSH连接与端口映射并运行hello_world.py ​​​​ ssh -p 37367 rootssh.intern-ai.org.cn -CNg -L 7860:127.0.0.1:7860 -o StrictHostKeyCheckingno可选任务 1 将Linux基础命令在开发机上完成一遍 可选任务 2 使用 VSCODE 远程连接开发机并创建一个conda环境 …

关于c#的简单应用三题

#region 找出100以内与7有关的数并打印&#xff1a; public static void Print() { int sum 0; Console.WriteLine("100以内与7有关的数有&#xff1a;"); for (int i 1; i < 100; i) { if (i % 7 0) { sum; …

【AI教程-吴恩达讲解Prompts】第1篇 - 课程简介

文章目录 简介Prompt学习相关资源 两类大模型原则与技巧 简介 欢迎来到面向开发者的提示工程部分&#xff0c;本部分内容基于吴恩达老师的《Prompt Engineering for Developer》课程进行编写。《Prompt Engineering for Developer》课程是由吴恩达老师与 OpenAI 技术团队成员 I…

Flink HA

目录 Flink HA集群规划 环境变量配置 masters配置 flink-conf.yaml配置 测试 Flink HA集群规划 FLink HA集群规划如下&#xff1a; IP地址主机名称Flink角色ZooKeeper角色192.168.128.111bigdata111masterQuorumPeerMain192.168.128.112bigdata112worker、masterQuorumPee…

js 实现扫雷游戏,源码开放,支持npm引入使用

本人开发的js版本扫雷游戏 体验地址 | Github Minesweeper game Sponsors Install and use npm i minesweeper-gameimport {Map} from minesweeper-game;const map new Map();Reset Map map.reset();TS Statement interface IMapOptions {width?: number; // Map sizeh…

JMeter:BeanShell向JSR223迁移过程遭遇的java标准库不可用问题-如何切换JDK版本

前言 看过我前面文章的人想必记得我因使用BeanShell&#xff0c;遭遇过JMeter OOM的问题。所以想起官网频频提示的&#xff0c;性能测试中建议使用JSR223groovy来代替BeanShell。于是&#xff0c;开启BeanShell脚本向JSR223迁移之旅。 什么是JSR223 JSR223全称为Java Specif…

Python爬虫(1) --基础知识

爬虫 爬虫是什么&#xff1f; spider 是一种模仿浏览器上网过程的一种程序&#xff0c;可以获取一些网页的数据 基础知识 URL 统一资源定位符 uniform resource locator http: 超文本传输协议 HyperText Transfer Protocol 默认端口 80 https: 安全的超文本传输协议 security…

jenkins+gitlab+harbor+maven自动化容器部署

一、gitlab安装配置 1.1、安装 由于比较懒啊&#xff01;这里就直接使用docker安装了啊&#xff01; 没事先更新一个yum源&#xff1a;yum update -y 整一个gitlab镜像&#xff1a;docker pull gitlab/gitlab-ce 运行一个gitlab容器&#xff1a;docker run -d -p 8443:443 -p…

十七、【机器学习】【非监督学习】- K-均值 (K-Means)

系列文章目录 第一章 【机器学习】初识机器学习 第二章 【机器学习】【监督学习】- 逻辑回归算法 (Logistic Regression) 第三章 【机器学习】【监督学习】- 支持向量机 (SVM) 第四章【机器学习】【监督学习】- K-近邻算法 (K-NN) 第五章【机器学习】【监督学习】- 决策树…