引言

無論企業(yè)信息工作者所攜入的智能移動設(shè)備，是個人所擁有(BYOD)還是企業(yè)所提供的(COPE)，都會為企業(yè)的IT環(huán)境帶來潛在資安危機。因此您需要有一個有效的配套措施來集中控管它們，而不是下令禁止員工攜帶它們。想想看這樣的部署成本是否會讓IT單位吃不消呢?其實一點都不會，只要您懂得安裝與使用今日所要實戰(zhàn)介紹的這款WSO2 Enterprise Mobility Manager 2.0.1開源方案，一切BYOD與COPE問題都變得很簡單。

[[183048]]

簡 介

現(xiàn)在從事IT人員的工作可真是越來越難為了，因為早期的IT工作只要管理好服務(wù)器、客戶端計算器以及網(wǎng)絡(luò)即可，如今由于智能型手機與平板的普及化，導(dǎo)致企業(yè)員工人手一機的攜入作業(yè)場合中來使用，造成IT單位在信息安全方面的疑慮。有鑒于此部分公司開始嚴(yán)格要求出入門禁的管制，禁止攜帶有上網(wǎng)、照相以及錄像功能的移動設(shè)備進(jìn)入，有如軍事重地門禁的管制一般，如發(fā)現(xiàn)違法者一律以開除處分。

其實大可不必如此，畢竟古代圣賢有云：「法令滋彰，盜賊多有」，這意味著越多有形的管制措施，有心的惡意員工只會越多。因此只要有適時的基本門禁管理，再善用信息科技的無形管理工具，便可以妥善管理好人員所攜入的各種智能移動設(shè)備，并且還能夠延伸出許多細(xì)部管理面的附加價值，像是幫員工找出所遺失的移動設(shè)備，或是遠(yuǎn)程清除遺失的手機儲存數(shù)據(jù)，以避免個人或公司的敏感信息因而外流，可算是一個能夠達(dá)成企業(yè)與員工雙贏的最佳做法。

究竟是什么樣的IT方案，可以有效解決自攜設(shè)備(BYOD)以及企業(yè)提供設(shè)備(COPE)的兩大管理問題呢，答案就是移動設(shè)備管理(MDM，Mobile Device Management)系統(tǒng)。不過這一類的相關(guān)解決方案，目前市場上已經(jīng)有許多的大廠紛紛提供，包括了Microsoft、IBM、Cisco、Citrix、Nexus等等，有些是建置于企業(yè)私有云中，有些則是提供像是Windows Intune公有云的服務(wù)，該如何來選擇呢?

在此筆者的建議是如果您的IT預(yù)算相當(dāng)有限，且又希望能夠?qū)DM系統(tǒng)部署在企業(yè)私有云環(huán)境之中，強烈建議您不仿試試開源的WSO2 Enterprise Mobility Manager(簡稱EMM)，截至目前為止它的最新版本為2.2.0，您可以在官方網(wǎng)站上來注冊并下載。

WSO2 Enterprise Mobility Manager官方下載網(wǎng)址：

http://wso2.com/products/enterprise-mobility-manager/

至于最新版本的WSO2 Enterprise Mobility Manager有哪一些關(guān)鍵的功能呢?

系統(tǒng)功能與安裝要求

最新版本的WSO2 Enterprise Mobility Manager (簡稱：EMM)所提供的功能，主要可從以下幾個面向來說明：

• 移動設(shè)備管理(MDM)：提供以角色為基礎(chǔ)的設(shè)備管理模式(RBAC)，來協(xié)助企業(yè)通過不同控管政策(Policy)的創(chuàng)建，來統(tǒng)一控管以Android、iOS以及Windows為主的三種主流設(shè)備。
• 移動App管理：您可以列出已受管理的設(shè)備中，所有已安裝的App清單，進(jìn)一步甚至于可以控管這一些App的安裝、更新以及移除。
• 設(shè)備和數(shù)據(jù)安全保護(hù)：為了保護(hù)敏感性數(shù)據(jù)于移動設(shè)備中的安全性，IT部門可以預(yù)先做好強制加密的動作，并且還能夠在設(shè)備不慎遺失時，進(jìn)行遠(yuǎn)程設(shè)備數(shù)據(jù)的清除、重置以及鎖定的控制。
• iOS設(shè)備控管功能：您可以對于所有受控管的iOS移動設(shè)備，進(jìn)行設(shè)備信息取得、已安裝App清單取得、設(shè)置APN與LDAP、設(shè)備位置的追蹤、鎖定、網(wǎng)絡(luò)設(shè)置、設(shè)置AirPlay、設(shè)置Email賬戶、行事歷訂閱設(shè)置、限制設(shè)備操作、密碼原則設(shè)置、清除現(xiàn)行密碼設(shè)置、遠(yuǎn)程數(shù)據(jù)清除等等。
• Android設(shè)備控管功能：您可以對于所有受控管的Android移動設(shè)備，進(jìn)行設(shè)備信息取得、已安裝App列表取得、設(shè)備位置的追蹤、鎖定、網(wǎng)絡(luò)設(shè)置、相機功能的限制、OTA WiFi的設(shè)置、數(shù)據(jù)加密設(shè)置、密碼原則設(shè)置、設(shè)備重置、設(shè)備靜音或響鈴、傳遞屏幕訊息、安裝或移除企業(yè)應(yīng)用程序、支持GCM/LOCAL連接模式。
• Windows設(shè)備控管功能：雖然使用Windows系列移動設(shè)備的企業(yè)客戶少得可憐，但EMM仍是支持的。不過它所能夠控制的功能最少，僅有設(shè)備信息取得、密碼原則設(shè)置、相機功能的限制、數(shù)據(jù)加密設(shè)置、設(shè)備鎖定、設(shè)備響鈴以及數(shù)據(jù)清除。

在EMM系統(tǒng)安裝需求部分，以服務(wù)器來說它是支持Linux與Windows操作系統(tǒng)的，基本上只要其系統(tǒng)上有預(yù)安裝JDK 7或8的套件(不建議采用OpenJDK.)即可。在后端數(shù)據(jù)庫部分，只要是工業(yè)標(biāo)準(zhǔn)的關(guān)系型數(shù)據(jù)庫(RDBMS)，像是Oracle Database、PostgreSQL、MySQL、MS SQL等等都是可以的。

在受控管的移動設(shè)備要求部分，Apple的iOS系統(tǒng)版本需要6.0至10.0之間的版本。Android部分則需要4.1至5.0之間的版本，而Windows移動設(shè)備則是支持8.1與10的版本。必須注意的是如果打算啟用數(shù)據(jù)加密功能，該設(shè)備的電力必須在80%以上。

安裝與執(zhí)行方法

在接下來有關(guān)于EMM服務(wù)器的安裝與管理實戰(zhàn)講解中，筆者將以Ubuntu桌面版本作為運行的操作系統(tǒng)。首先請執(zhí)行以下命令，來完成JDK與MySQL相關(guān)必要套件的安裝。

sudo apt-get install default-jdk default-jre mysql-server-5.6 libmysql-java git eclipse ant maven 

由于安裝的套件中有MySQL，因此系統(tǒng)將會提示我們設(shè)置MySQL默認(rèn)管理員root的密碼，請輸入一個較嚴(yán)謹(jǐn)?shù)拿艽a設(shè)置，以確保數(shù)據(jù)庫的安全。

完成需求套件的安裝之后，請將下載好的EMM套件在解壓縮之后，將整個數(shù)據(jù)夾wso2emm復(fù)制到您希望存放與執(zhí)行的路徑，例如/opt/或/usr/local/bin/路徑下等等。完成復(fù)制與訪問權(quán)限的設(shè)置之后，請如圖1所示執(zhí)行以下命令來完成Java環(huán)境變量的設(shè)置，接著才能成功執(zhí)行EMM的主程序wso2server.sh。若沒有正確設(shè)置環(huán)境變量而直接執(zhí)行該Script程序，將會出現(xiàn)沒有正確設(shè)置JAVA_HOME變量的錯誤訊息，而無法正常啟動程序。

export JAVA_HOME=/usr/lib/jvm/java-7-openjdk-amd64 
export PATH=${JAVA_HOME}/bin:${PATH} 
sh /usr/local/bin/wso2emm/bin/wso2server.sh 

圖1啟動EMM程序

沒錯!您沒有弄錯整個EMM的安裝方式就是這么容易，不過別高興太早因為仍是有一些組態(tài)設(shè)置，需要根據(jù)您實際的網(wǎng)絡(luò)環(huán)境來做一些調(diào)整的。在此之前您可以先開啟網(wǎng)頁瀏覽器，連接至https://IP地址:9443/，來開啟如圖2所示的EMM登錄頁面。您可以從這個頁面中進(jìn)入到官方的社群或下載相關(guān)的原文手冊等等。默認(rèn)的管理員賬號與密碼是admin/admin。請在輸入后點擊[Sign-in]完成登錄即可。

圖2 EMM登錄頁面

在此可以檢視到目前服務(wù)器系統(tǒng)的版本信息、網(wǎng)絡(luò)信息、目前于伺服端登錄的用戶信息、JAVA版本信息等等。至于左方的工作窗格則是一些進(jìn)階的組態(tài)信息，沒有必要時是不需要進(jìn)行修改的。

確認(rèn)EMM的網(wǎng)站可以正常登錄與顯示之后，請開啟終端機窗口修改位在/repository/deployment/server/jaggeryapps/ emm-web-agent/config路徑下的config.json設(shè)置檔，其中的host、companyname、browserTitle以及copyrightText字段信息，請修改您實際的服務(wù)器地址。接著您還必須修改位在 /repository/conf路徑下carbon.xml內(nèi)容中的與描述設(shè)置，同樣把它改成您內(nèi)部實際使用的網(wǎng)址即可。

客戶角色管理

想要讓企業(yè)中所有的移動設(shè)備客戶端，開始使用EMM的控管功能，首先就必須完成這些人員的賬戶創(chuàng)建。如圖3所示您可以在網(wǎng)站左方窗格的[Users and Roles]節(jié)點頁面中，來管理有關(guān)于此系統(tǒng)的人員帳戶與角色權(quán)限的配置。其中無論是要添加使用者還是角色，除了可以單筆創(chuàng)建之外，也可以采用大容量導(dǎo)入的方式來快速創(chuàng)建。

圖3 添加使用者與角色

在此除了需要輸入用戶的名稱與密碼之外，還可以選擇所屬的網(wǎng)域，也就是說您可以使用不同的網(wǎng)域，來控管不同使用者的連接登錄。不過在默認(rèn)的狀態(tài)下并沒有額外的網(wǎng)域。至于用戶其它的進(jìn)階信息(例如：Email地址)，后續(xù)仍是可以開啟并編輯的。點擊[Next]繼續(xù)。來到步驟2頁面中，便可以選定要給新使用者的所屬角色。在此所看到的皆是系統(tǒng)內(nèi)置的角色，其中admin的角色是擁有完整管理權(quán)限的角色。后續(xù)您仍可以對于這一些角色調(diào)整權(quán)限的配置，以及添加自定義的角色。點擊[Finish]。

安裝Android App

由于目前全球最多人使用的移動設(shè)備(包括了智能型手機與平板)是以Android系統(tǒng)為主，它橫跨了各種大大小小的知名品牌，因此也成為了企業(yè)IT首要控管的重點。想要通過EMM來控管大量的Android設(shè)備的使用是非常容易的，主要原因是它所需要部署的代理程序(Agent App)，并不需要先上架到[Play商店]。不過在開始之前，必須確認(rèn)使用者的Android設(shè)備，已經(jīng)在[安全性]的設(shè)置頁面中，勾選了[允許安裝來源不明的應(yīng)用程序]設(shè)置，否則將無法順利接下來有關(guān)于EMM Agent的下載與安裝，因為通常此設(shè)置在系統(tǒng)默認(rèn)的狀態(tài)下是尚未勾選的。

接著所有被授權(quán)的使用者，便可以連接到在自己的計算器上開啟網(wǎng)頁瀏覽器，并連接登錄到https://IP地址:9443/emm網(wǎng)址。即可來到如圖4所示的設(shè)備管理頁面，請點擊為在[DEVICES]區(qū)域中的[Add]連接繼續(xù)。

圖4 設(shè)備管理首頁

緊接著將會開啟QR Code頁面，使用者只要拿起自己的Android手機，然后開啟掃描QR Code的App并進(jìn)行掃描，即可自動連接到下載EMM Agent的本地服務(wù)器網(wǎng)址。接著設(shè)備瀏覽器會開啟 [Android Enrollment]網(wǎng)頁，請點擊[Download EMM Agent]按鈕即可。值得注意的是，在這里頭的提示訊息中，也會顯示您在安裝設(shè)置步驟中所輸入的公司名稱。

接著設(shè)備系統(tǒng)會提示我們即將取得的權(quán)限清單，包括了GPS定位、完整網(wǎng)絡(luò)訪問權(quán)限等等。點擊[下一步]再點擊[安裝]即可。完成此App的安裝之后，可以立即開啟它。首次的開啟將會出現(xiàn)服務(wù)器地址設(shè)置提示，在此您只要輸入EMM主機的IP地址或FQDN地址即可，不需要輸入端口編號，除非之前有特別去修改默認(rèn)端口設(shè)置。點擊[Start Registration]按鈕繼續(xù)。

如圖5所示來到帳戶與密碼的設(shè)置頁面中，使用者可以選擇手持的移動設(shè)備是自己個人的(BYOD)，還是由公司發(fā)放給員工使用的(COPE)。不同的設(shè)備類型選擇，在后續(xù)的遠(yuǎn)程控管上會有些許的不同。另外在此還必須特別留意其中的域名(Domain)之輸入，如果用戶并非本EMM系統(tǒng)所額外定義的網(wǎng)域，則請保留空白即可，也就是默認(rèn)的PRIMARY網(wǎng)域設(shè)置。點擊[Register]按鈕完成注冊即可。

圖5帳戶信息輸入

完成設(shè)備于EMM系統(tǒng)的注冊之后，接著系統(tǒng)可能會要求您輸入PIN碼設(shè)置，以便保護(hù)此代理程序在此設(shè)備的使用安全。點擊[Set PIN Code]完成設(shè)置。

完成兩次PIN碼的輸入之后，將會出現(xiàn)[啟動設(shè)備管理員]頁面，來確認(rèn)此代理程序的啟用，將能夠遠(yuǎn)程清除設(shè)備中的所有數(shù)據(jù)，以及強制設(shè)置密碼政策、鎖定屏幕等操作。確認(rèn)后點擊[啟用]。正式完成Android設(shè)備的EMM代理程序之安裝與啟用。

完成啟用后的EMM Agent，將可以通過功能選單來隨時修改自己的PIN碼以及連接的服務(wù)器地址。必要時則還可以移除掉此Agent的安裝。

安裝iOS App

由于iOS的App無法像Android系統(tǒng)一樣，只要封存成一個.apk文件，就可以讓使用者直接連接來下載與安裝。因此必須自行去創(chuàng)建一個Xcode的項目，來產(chǎn)生iOS的應(yīng)用程序(.ipa)至/repository/deployment/server/jaggeryapps/emm/client_apps/路徑下，并且修改位在/repository/deployment/server/jaggeryapps/emm/config/路徑下的config.json設(shè)置檔，來分別增加.ipa程序文件的路徑、Bundle ID、App名稱等描述。

iOS Agent Application下載網(wǎng)址：https://github.com/wso2/emm-agent-ios

此外還有一些屬于iOS Server端的配置需要完成，包括了Apple Push Notification Service (APNS)憑證文件的申請，最后再完成一些與安全性連接有關(guān)的設(shè)置，如此一來使用iPhone或iPad設(shè)備的客戶，才能夠連接到注冊網(wǎng)站，來完成EMM憑證的安裝以及EMM代理程序的下載。否則用戶在點擊[Install EMM Certificate]按鈕時，將會出現(xiàn)下載失敗之錯誤訊息而無法繼續(xù)。

管理人員的移動設(shè)備

一旦有一位以上使用者的移動設(shè)備在EMM服務(wù)器完成了注冊，管理員在登錄設(shè)備管理網(wǎng)站時，便會看到目前所有受管理的設(shè)備清單，并且可以看到每一個設(shè)備的名稱、擁有人、狀態(tài)、系統(tǒng)類型以及所有權(quán)的類型等信息。在此您除了可以切換為圖標(biāo)或列表顯示方式之外，當(dāng)受管理的設(shè)備數(shù)量很多時，還可以通過上述五大域值的篩選方式，來找到您想要進(jìn)一步管理的設(shè)備。

如圖6所示在這里我們以檢視一臺ASUS的Android手機為例。在它左方的選單連接之中，可以選擇檢視設(shè)備詳細(xì)數(shù)據(jù)、政策應(yīng)用信息、設(shè)備位置定位、已安裝的App列表以及操作管理的記錄。首先在設(shè)備詳細(xì)數(shù)據(jù)(Device Details)部分，除了可以檢視到目前此移動設(shè)備的剩余電量、本機剩余儲存空間以及外接剩余儲存空間信息之外，還可以執(zhí)行主要的幾項遠(yuǎn)程控管操作，分別是設(shè)備鎖定、遠(yuǎn)程數(shù)據(jù)清除、靜音、清除密碼、變更鎖定碼、觸發(fā)響鈴以及發(fā)送自定義的屏幕訊息等等。

圖6人員Android設(shè)備管理

如圖7所示當(dāng)點擊觸發(fā)響鈴時，這時候您會發(fā)現(xiàn)目標(biāo)的移動設(shè)備，會出現(xiàn)[Message from EMM]的提示訊息，并出現(xiàn)設(shè)備默認(rèn)的響鈴聲，直到使用者在此設(shè)備上點擊[OK]按鈕后才會停止。此功能的用意，其實主要就是用來協(xié)助使用者，通過響鈴辨位方式找到設(shè)備遺失的所在之處，由其是在某棟建筑物內(nèi)弄丟設(shè)備時特別有用。而不需要得使用傳統(tǒng)的做法，通過撥打此設(shè)備電話號碼的方式來尋找，更何況如果是平板計算器，大多數(shù)是沒有電話功能的。

圖7 Android響鈴

至于如果是將移動設(shè)備弄丟在不知道的地方時，除了可以通過GPS衛(wèi)星定位地圖來尋找之外，也可以使用發(fā)送自定義屏幕訊息的方式，讓拾獲的人可以看到您所傳遞的訊息內(nèi)容。

前面我們曾提及若想要使用GPS衛(wèi)星定位地圖，來尋找移動設(shè)備所在的位置也是可以的，只要切換到[Device Location]頁面即可。定位的操作過程之中，您是可以通過鼠標(biāo)的滾輪，來放大設(shè)備所在位置的明確路段。

善用政策管理

當(dāng)企業(yè)中受管理的移動設(shè)備數(shù)量很多時，通常IT部門會希望根據(jù)不同的設(shè)備類型，或是組織的部門、職務(wù)、地點等歸類方式，來應(yīng)用不同的設(shè)備管理設(shè)置，在這種需求上您就可以善用EMM所提供的政策管理(Policy Management)功能，將您所制訂的各種管理政策，選擇應(yīng)用在現(xiàn)有的使用者或角色。請在設(shè)備管理員的選單接口中，點擊[POLICY MANAGEMENT]繼續(xù)。

在[POLICY MANAGEMENT]頁面中，默認(rèn)并沒有任何政策設(shè)置可以使用。請點擊[ADD POLICY]。在如圖8所示的添加政策設(shè)置頁面中，首先必須在步驟1的[Select a Platform]設(shè)置中，選擇新政策所要應(yīng)用的設(shè)備類型，因為不同的設(shè)備系統(tǒng)后續(xù)所能夠控管的功能選項，也會有所不一樣。目前支持的設(shè)備系統(tǒng)分別有Android、Apple IOS以及Windows Phone。在此筆者以選取Android為例。

圖8 添加政策設(shè)置

在[Configure profile]頁面中，便可以設(shè)置所要控管的設(shè)備四項功能，分別是鎖定密碼政策(Passcode Policy)、相機功能限制(Restrictions on Camera)、設(shè)備加密設(shè)置(Encryption Settings)以及區(qū)域無線網(wǎng)絡(luò)連接(Wi-Fi Settings)設(shè)置。首先在鎖定密碼政策部分，一旦啟用并完成政策設(shè)置之后，往后被應(yīng)用的使用者設(shè)備，他們將無法自行修改鎖定密碼的政策。

在相機功能限制的控管部分，一旦啟用之后，就可以決定是否要允許被應(yīng)用的設(shè)備，來使用相機功能進(jìn)行拍照或是錄像。為了預(yù)防當(dāng)使用者的移動設(shè)備遺失時，會連同公司的敏感信息外泄(例如：商業(yè)文件、Email、聯(lián)系人信息)，您可以啟用設(shè)備加密設(shè)置。如此一來，被應(yīng)用此政策的Android設(shè)備，即便設(shè)備被惡意人士所竊，在沒有解除設(shè)備的鎖定之前，被加密的數(shù)據(jù)都是無法讀取的。

在WLAN連接設(shè)置頁面中，您可以預(yù)先幫使用者的設(shè)備，設(shè)置好所要連接的無線基地臺的SSID與密碼，如此一來就不用像傳統(tǒng)的管理方式一樣，得手動一一幫使用者的移動設(shè)備，設(shè)置公司無線基地臺的連接組態(tài)。點擊[CONTIUNE]繼續(xù)。

在[Assign to groups]頁面中，請先選擇設(shè)備擁有權(quán)類型是BYOD還是COPE。然后再通過關(guān)鍵詞的輸入，來挑選此政策所要應(yīng)用的對像是使用者或角色。最后您可以決定此政策對于尚未遵循的設(shè)備，是否要強制控管或是僅監(jiān)視還是要發(fā)送警告訊息。點擊[CONTIUNE]繼續(xù)。

在[Publish to devices]頁面中，您必須為此政策輸入一個30個字符以內(nèi)的識別名稱，需要的話還可以進(jìn)一步輸入詳細(xì)的描述信息。確認(rèn)完成設(shè)置之后，您可以選擇立即將新政策設(shè)置，發(fā)布至所有選定的使用者設(shè)備，當(dāng)然啦!這一些設(shè)備必須預(yù)先已經(jīng)完成注冊動作，或是您也可以先點擊[SAVE]按鈕，來僅儲存新政策設(shè)置，等到后續(xù)適當(dāng)?shù)臅r機再來發(fā)布此政策。

結(jié) 論

長久以來由于大多數(shù)的企業(yè)IT采用的解決方案，皆是以Windows平臺為主，因此產(chǎn)生了一個有趣的現(xiàn)象，那就是當(dāng)IT人在尋求相關(guān)解決方案時，往往第一個念頭所聯(lián)想到都是與Windows相關(guān)的產(chǎn)品。其實從信息安全、網(wǎng)絡(luò)管理、到各類的應(yīng)用程序服務(wù)之IT需求，在開放原始碼(Open Source)的世界里，都有許多相當(dāng)不錯的軟件套件或公有云服務(wù)，可以供全球的IT單位來挑選。許多時候這一類的開源方案，不僅僅只是在成本低廉上吸引人，在功能面與管理面的彈性設(shè)計上，甚至于都已經(jīng)超越了傳統(tǒng)商用軟件與服務(wù)的價值。本文所介紹的這款WSO2 Enterprise Mobility Manager就是一個典型的案例。

【本文為51CTO專欄作者“顧武雄”的原創(chuàng)稿件，轉(zhuǎn)載請聯(lián)系作者本人獲取授權(quán)】

戳這里，看該作者更多好文