[[91883]]

此舉將給對(duì)于移動(dòng) 技術(shù)的使用態(tài)度帶 來巨大而積極的轉(zhuǎn) 變，我甚至可以大 膽地說一句連PC技 術(shù)也將包含在內(nèi)。 特別是對(duì)于使用這 些API的第三方工 具以及軟件開發(fā)人 員。

改變企業(yè)游戲規(guī)則

蘋果在iOS及OS X中推出的針對(duì)內(nèi)容的新型管理API 應(yīng)該會(huì)進(jìn)一步降低IT管理員及CSO們對(duì)安全問題的疑 慮，同時(shí)不會(huì)影響用戶的自由空間。

如果有某家公司能夠在實(shí)現(xiàn)企業(yè) 移動(dòng)安全的同時(shí)保持用戶的自由使 用空間，那一定就是蘋果。事實(shí)也 的確如此，蘋果在保證用戶享受iOS  7及OS X 10.9 Mavericks新型內(nèi) 容與應(yīng)用管理API的同時(shí)，也將安 全水平提升到新的高度（具體細(xì)節(jié) 稍后再進(jìn)行討論）。   此舉將給對(duì) 于移動(dòng)技術(shù)的使用態(tài)度帶來巨大而 積極的轉(zhuǎn)變，我甚至可以大膽地說 一句連PC技術(shù)也將包含在內(nèi)。特 別是對(duì)于使用這些API的第三方工 具以及軟件開發(fā)人員。

幾乎很少有商業(yè)應(yīng)用敢于頂住風(fēng) 險(xiǎn)提供移動(dòng)應(yīng)用管理（簡(jiǎn)稱MAM）API， 愿意支持多套API的產(chǎn)品就更少了。 IT部門也往往不愿從根本層面采取這 種保護(hù)措施——理由很簡(jiǎn)單，一旦將 這些專有API嵌入到自己的應(yīng)用程序 當(dāng)中，他們就會(huì)被鎖定在特定供應(yīng)商身 上。移動(dòng)安全是一片年輕而充滿風(fēng)險(xiǎn)的 市場(chǎng)，過早下注實(shí)在不夠明智。另外， 我們也知道幾乎沒有哪家企業(yè)會(huì)重新調(diào)< 整陳舊應(yīng)用——那些對(duì)ActiveX及IE 存在嚴(yán)重依賴性但卻仍然活躍在我們視 野當(dāng)中的應(yīng)用能夠充分證明這一點(diǎn)。

這是個(gè)不可告 人的秘密—— 盡管針對(duì)移動(dòng) 內(nèi)容“丟失” 的警鐘響個(gè)不 停，但多年來 PC平臺(tái)也始終 存在著同樣的 問題。

情況也確實(shí)如此：AirWatch、Centrify、 思杰、Good Technology、MobileIron、Mob- ileSpace以及其它多家廠商都已經(jīng)確定將在 其管理工具當(dāng)中采用這項(xiàng)技術(shù)——其中一些 目前已正式上市。有趣的是，MobileSpace公 司還為Android平臺(tái)帶來了類似的功能。

當(dāng)蘋果在2010年夏季發(fā)布的iOS 4.2中 采用Exchange ActiveSync（簡(jiǎn)稱EAS）并添 加自有管理與安全API時(shí)，企業(yè)就已經(jīng)加入 了這場(chǎng)影響深遠(yuǎn)的移動(dòng)變革。幾乎在一夜之 間，IT部門得以強(qiáng)制執(zhí)行密碼政策、核實(shí)設(shè) 備上的加密機(jī)制是否啟用，甚至根據(jù)合法安 全需要限制設(shè)備對(duì)于特定Wi-Fi網(wǎng)絡(luò)、裝置 以及各類服務(wù)的訪問。隨著時(shí)間的推移，蘋 果已經(jīng)在各iOS后續(xù)版本當(dāng)中逐步改進(jìn)這些 控制機(jī)制，并將成果添加到OS X當(dāng)中。谷 歌在Android平臺(tái)上借鑒了基礎(chǔ)API，三星 則通過改進(jìn)使其更接受蘋果產(chǎn)品的實(shí)際效果。

因此，移動(dòng)設(shè)備管理（簡(jiǎn)稱MDM）已經(jīng) 成為近乎標(biāo)準(zhǔn)化的普及型安全方案。這也解 釋了為什么有這么多供應(yīng)商及IT部門開始 將注意力轉(zhuǎn)移到其它難題身上：失去對(duì)企業(yè) 信息的控制權(quán)，例如郵件附件、工作文檔等 等。MDM能夠有效阻斷或者限制針對(duì)特定應(yīng) 用程序及網(wǎng)絡(luò)服務(wù)的訪問，但卻對(duì)內(nèi)容管理 無能為力。

面對(duì)新的難題，業(yè)界也作出積極響應(yīng)， 推出大量專有工具、要求開發(fā)人員使用供應(yīng) 商指定的API并使用廠商自有管理工具（或 者來自合作方的相關(guān)工具）。

蘋果的新型管理API在很大程度上杜絕了 此類專有工具的泛濫。如果大家已經(jīng)或者正打 算使用這類工具，請(qǐng)盡早罷手。只需支付一百 美元成為蘋果開發(fā)者、學(xué)習(xí)蘋果API并將其引 入自己的應(yīng)用程序，一切問題都將迎刃而解— —無論是對(duì)企業(yè)內(nèi)部應(yīng)用還是App Store消費(fèi) 應(yīng)用都是如此?？梢钥隙ǖ氖牵恳患抑髁饕?動(dòng)管理工具廠商都將支持這些API，因?yàn)樗鼈?同時(shí)支持OS X應(yīng)用。蘋果所提供的通用型API 在所有應(yīng)用中都能起效、且適用于任何管理服 務(wù)器。如果大家需要更多深層功能，則可以考 慮使用專有API——目前Apperian、Good Technology以及MobileIron等廠商都提供以 蘋果API為基礎(chǔ)的豐富多層控制機(jī)制。

事實(shí)上，新型蘋果API也為Windows PC 的內(nèi)容安全之路指明了方向。這是個(gè)不可告人 的秘密——盡管針對(duì)移動(dòng)內(nèi)容“丟失”的警鐘 響個(gè)不停，但多年來PC平臺(tái)也始終存在著同樣 的問題，而且始終未能出現(xiàn)切實(shí)有效的解決辦 法。但現(xiàn)在不同了，Mac已經(jīng)獲得了與移動(dòng)設(shè)備 相同的安全機(jī)制。也許微軟也會(huì)將蘋果API部 署到Windows PC當(dāng)中，從而真正在不影響使用 的前提下實(shí)現(xiàn)安全訴求。

iOS 7與OS X Mavericks為我們帶來了關(guān)鍵 性內(nèi)容與應(yīng)用程序管理API以及相關(guān)功能。蘋果 自然也在其開發(fā)者網(wǎng)站上提供了大量說明文檔（ 需要開發(fā)者權(quán)限方可閱讀）以及針對(duì)IT部門的 功能概述。

OS X Mavericks 的密碼政策已經(jīng) 能夠識(shí)別iOS 7 系統(tǒng)，因此IT 部門可以不必再 擔(dān)心不同次級(jí)系 統(tǒng)版本所帶來的 小麻煩。

管理“在……中打開

“在……中打開”旨在幫助用戶在iOS中的一 個(gè)應(yīng)用中打開其它應(yīng)用數(shù)據(jù)。iOS系統(tǒng)并未使用 共享式文件系統(tǒng)，從而避免惡意軟件攻擊并保證 不同應(yīng)用程序的內(nèi)容互不干擾。相反，應(yīng)用會(huì)指 定彼此全部支持的某種文件格式，并接受來自其 它應(yīng)用的數(shù)據(jù)。用戶點(diǎn)擊“分享”按鈕或者其它 能夠觸發(fā)“在……中打開”功能的情況下查看兼 容當(dāng)前文件格式的其它應(yīng)用。當(dāng)前文件會(huì)調(diào)用被 選中的應(yīng)用并向其發(fā)送被選中的文件。舉例來說， 大家可以通過這種方式將郵件應(yīng)用中的文件附件 移動(dòng)到GoodReader或者Dropbox當(dāng)中，也可以將Dropbox中的內(nèi)容移動(dòng)到蘋果Pages或者谷歌Quickoffice當(dāng)中。

我曾就此事與蘋果公司展開討論，而其競(jìng)爭(zhēng)對(duì) 手則開發(fā)出一套更為細(xì)化的信息管理標(biāo)準(zhǔn)——也就是InfoTrust。   iOS 無法同時(shí)運(yùn)行多個(gè)應(yīng)用實(shí)例，因此大家不能同時(shí)擁有一個(gè)未受管個(gè)人副本與一個(gè)受管工作副本，MobileSpaces公司營(yíng)銷副總裁Dan Dearing指出。（Android則不受單一實(shí)例規(guī)則的約束。）這正是蘋果新型應(yīng)用程序管理方案的最大弱點(diǎn)：蘋果真的應(yīng)該以iOS 7為契機(jī)推出至少兩個(gè)應(yīng)用實(shí)例的支持能力，這樣用戶就可以獨(dú)立運(yùn)行Dropbox、Box、Quickoffice、iWork等應(yīng)用實(shí)例，其中一個(gè)由工作區(qū)管理、另一個(gè)由個(gè)人使用環(huán)境管理。

 iOS 7及OS X Mavericks中的新型API允 許大家指定哪些應(yīng)用有權(quán)發(fā)送“在……中打開” 調(diào)用——這基本上相當(dāng)于一種白名單機(jī)制，幫助 應(yīng)用從用戶配置或者管理的應(yīng)用中獲取數(shù)據(jù)。這 種管理機(jī)制源自賬戶層級(jí)，因此所有由企業(yè)方面 配置的賬戶（包括郵件與日歷）及應(yīng)用都遵循“ 在……中打開”政策組的要求。需要著重強(qiáng)調(diào)的 是，受管“在……中打開”都屬于非黑即白機(jī)制： 所有受管應(yīng)用（即由公司配置的應(yīng)用）都擁有同 一套“在……中打開”政策，而所有未受管應(yīng)用 （即那些由用戶配置的、來自App Store的應(yīng)用） 都不遵循“在……中打開”政策，MobileIron公 司戰(zhàn)略副總裁Ojas Rege指出。

不過新型受管“在……中打開”方案也存在 局限，當(dāng)一款應(yīng)用既屬于個(gè)人類型、又被包含在 業(yè)務(wù)用途當(dāng)中時(shí)，問題就會(huì)出現(xiàn)——目前符合此 類情況的商用應(yīng)用數(shù)量不少。“在……中打開”政 策對(duì)應(yīng)用中的任何文檔生效，因?yàn)橄襦]件這樣的 應(yīng)用程序根本無從知曉內(nèi)部數(shù)據(jù)到底屬于業(yè)務(wù)類 型還是個(gè)人類型。

在這一設(shè)想成為現(xiàn)實(shí)之前，IT部門仍然很難將受管 “在……中打開”機(jī)制應(yīng)用到Quickoffice以及Pages 等日常應(yīng)用當(dāng)中，因?yàn)閕OS只能同時(shí)支持一個(gè)運(yùn)行實(shí)例； 換言之，應(yīng)用程序要么處于受管狀態(tài)、因而只能由業(yè)務(wù) 環(huán)境使用；要么處于非受管狀態(tài)、只能由個(gè)人需求使用。 更進(jìn)一步來說，如果一臺(tái)設(shè)備已經(jīng)擁有一個(gè)個(gè)人應(yīng)用副 本，那么如果想將其納入受管“在……中打開”的作用 范疇，用戶必須移除該應(yīng)用、而后重新安裝由企業(yè)配置 的應(yīng)用副本，Rege指出。

解決單一實(shí)例限制的方法之一在于允許開發(fā)人員在 公共App Store當(dāng)中銷售一個(gè)版本、另在企業(yè)App Store 當(dāng)中發(fā)布一個(gè)版本，這樣iOS就能將二者視為彼此獨(dú)立 的兩個(gè)應(yīng)用并將其同時(shí)安裝在同一臺(tái)設(shè)備當(dāng)中。這意味 著用戶不得不用自己的頭腦將兩個(gè)應(yīng)用版本硬性區(qū)分開 來——這種方式也許非常笨拙，但卻是惟一的解決方案。 在這種情況下，對(duì)商業(yè)開發(fā)人員而言只有專有應(yīng)用管理 系統(tǒng)（例如Good公司的Dynamics以及MobileIron的 App@Work）才值得為之分別創(chuàng)建業(yè)務(wù)與個(gè)人兩個(gè)版本。

需要指出的是，這種應(yīng)用程序沖突不會(huì)影響到 面向賬戶的應(yīng)用，例如郵件、記事本、日歷以及提 醒事項(xiàng)等。iOS一直將此類應(yīng)用中的數(shù)據(jù)根據(jù)賬戶 加以隔離，因此它“知曉”來自企業(yè)Exchange服務(wù)器的數(shù)據(jù)不應(yīng)與家中的IMAP（即消息訪問協(xié)議）來 源混雜在一起。正因?yàn)槿绱耍髽I(yè)可以在不影響個(gè) 人郵件的前提下實(shí)現(xiàn)業(yè)務(wù)郵件清理功能。iOS 7能 夠非常簡(jiǎn)便地將企業(yè)賬戶與由企業(yè)配置的應(yīng)用對(duì)接 在一起（事實(shí)上應(yīng)用配置通過的是企業(yè)賬戶所使用 的同一臺(tái)服務(wù)器），這樣Exchange郵件的“在…… 中打開”就可以被限制在某些特定應(yīng)用當(dāng)中，但卻 不會(huì)影響其它賬戶的“在……中打開”政策。

單點(diǎn)登錄與統(tǒng)一密碼政策

iOS 7 與OS X Mavericks利用所謂“共享鑰匙 串”實(shí)現(xiàn)存儲(chǔ)統(tǒng)一與登錄密鑰訪問，因此各類應(yīng)用 程序及托管機(jī)制可以通過一臺(tái)MDM服務(wù)器利用這一 功能。

在iOS的其它早期版本當(dāng)中，企業(yè)中的內(nèi)部開 發(fā)團(tuán)隊(duì)可以通過共享式鑰匙串實(shí)現(xiàn)企業(yè)應(yīng)用的單點(diǎn) 登錄。與之類似，擁有一整套應(yīng)用組合的開發(fā)人員 也可以利用該功能實(shí)現(xiàn)同樣的效果。

以Kerberos為基礎(chǔ)的新型單點(diǎn)登錄機(jī)制允許IT 部門將這些共享式鑰匙串與單獨(dú)應(yīng)用的密鑰相結(jié)合， 這樣只需一次通用登錄、所有已關(guān)聯(lián)的應(yīng)用程序密 碼都將被解鎖。單點(diǎn)登錄密碼由iOS負(fù)責(zé)保存而并 非應(yīng)用本身，同時(shí)受到使用者管理服務(wù)器的管理。大 部分應(yīng)用程序無需重新編碼即可實(shí)現(xiàn)與單點(diǎn)登錄機(jī)制 的兼容。不過IT部門仍然需要負(fù)責(zé)單點(diǎn)登錄方案的 部署——即保證Kerberos密鑰機(jī)制能夠通過VPN而 非互聯(lián)網(wǎng)被使用者訪問，MobileIron公司的Rege指 出。

AirPlay、AirPrint以及字體管理

iOS還擁有另一大獨(dú)特亮點(diǎn)，即利用某種新型API 允許MDM服務(wù)器強(qiáng)制將內(nèi)容以鏡像形式投映到Apple TV 或者其它AirPlay目標(biāo)設(shè)備之上，例如作為公共設(shè)備的 iPad。iOS設(shè)備的政策適用范圍還包括獲準(zhǔn)接入的 AirPlay白名單及其密碼，因此企業(yè)完全可以通過對(duì)受管 設(shè)備的配置以自動(dòng)化方式將其與會(huì)議室中的Apple TV相 連，而且完全不必當(dāng)著用戶們的面輸入密碼。與之類似， 大家也可以配置獲準(zhǔn)AirPrint目標(biāo)設(shè)備（也就是打印 機(jī)）。

而在iOS與OS X兩套系統(tǒng)平臺(tái)上，我們現(xiàn)在都可以 在設(shè)備上安裝字體，例如確保整個(gè)企業(yè)都使用同樣的字體 顯示風(fēng)格。

為每款應(yīng)用提供獨(dú)立VPN與Web內(nèi)容過濾機(jī)制

iOS與OS X中的新機(jī)制允許由企業(yè)進(jìn)行配置的應(yīng)用使 用獨(dú)立的VPN連接，這樣企業(yè)就不必?fù)?dān)心某些用戶打開設(shè) 備級(jí)VPN連接后在其上運(yùn)行其它不符合政策要求的應(yīng)用了。 這種作法同時(shí)也確保了個(gè)人應(yīng)用數(shù)據(jù)不會(huì)與企業(yè)VPN產(chǎn)生 不必要的交集——這同時(shí)也是困擾傳統(tǒng)設(shè)備VPN連接的另 一個(gè)難題。在iOS當(dāng)中，應(yīng)用程序需要通過政策進(jìn)行配置， 從而在其被安裝完成后即具備只適用于自身的特定VPN； 而且這一配置無法在其后重新進(jìn)行。值得一提的是，大家 的VPN需要支持各應(yīng)用獨(dú)立通道功能，因此請(qǐng)認(rèn)真向VPN 垂詢其方案與iOS 7之間的兼容性，Rege指出。

iOS的另一大特性是，政策同樣可用于管理Web內(nèi)容 過濾機(jī)制。