移动应用管理(MoBIle Application Management,MAM)

什么是移动应用管理

移动应用管理是指通过云端对移动设备的各种应用属性进行自主管控。

移动应用管理的功能

• 应用安装、卸载。
• 应用受限安装、卸载
• 应用启动、停止
• 应用受限启动、停止
• 应用清除数据
• 应用通知管控
• 应用meta数据

移动应用管理的运用

为了最大化的利用MAM，企业应采取以下步骤：

1.在选择MAM方案前确定目标

企业在选择MAM方案前，应确定移动化的运用目标、策略以及用户协议，尤其在安全、预算、费用管理、辅助及自带设备（BYOD）方案等方面，并应设定MAM方案的功能范围。

2.决定MAM整体技术策略

一些MAM方案采用了一种叫做“限制应用”的技术，这是指应用的功能范围受到MAM产品中设定的策略的限制。虽然通常不需要新的编码，但是可能需要一些软件开发资源来确保功能能够很好地执行。虚拟化技术也得以应用，尤其是运用在设备上，伴随着应用在云端运行。这可以实现全面的实施但却给网络带来了更大的压力。最后，双重角色方案设置并隔离了移动设备中的私人空间与办公空间，使移动管理不用担心私人应用。这使得企业应用及相关数据完全得到隔离与保护。

3.促使功能满足需求

如今，日益发展的MAM方案提供了许多功能，其核心功能是分发经授权的应用（尤其通过企业应用商店，以及允许或拒绝执行某些应用（通常称为白名单或黑名单）。

一些MAM方案可以将敏感数据禁锢在某一空间，以防止未经授权的复制与分配，并且可以对受到不法分子控制的设备中的企业数据进行有选择性地摧毁，而不是像许多MDM方案那样强力摧毁设备上的所有数据。

4.检查重叠、冲突及整合问题

某些MAM执行方式，可能会导致其跟其它企业移动管理策略及方案有一定地重叠。因此建议分步推行MAM。IT负责人必须评估任何潜在MAM方案，例如评估该方案如何适应已有的管理策略与系统。管理能见度也非常重要，IT可以通过实时监控活动与警报，以及监控管理报告细则来实现，这些都是审核使用情况及发现潜在问题的关键。

移动应用管理的方案类型

应用分发，例如通过公司的应用商店。这种方案主要把重点放在了管理本地Web和原生应用的分发和许可上，不过它还能够为用户提供公共应用商店中推荐应用的链接。部分方案还能够管理公司为内部使用所开发的原生iOS应用。

安全应用开发，为本地应用内容和公司网络资源访问增加安全与许可控制。该方案通常是一个管理控制台，允许IT部门使用内置的控制权。

应用内容管理，例如限制应用与其它应用共享授权的内容。尽管在一些案例中，商业应用开发者也可以使用这种方案与管理工具进行协作，但是这种方案重点还是本地应用。 这一领域厂商Nukona采用了将权限设置在应用周边这种不寻常的解决方案，而不是需要应用的内部代码以执行相关策略——这有点类似DLP封装。其它一些提供商采取的解决方案是依靠在应用代码内部明确指定策略。

安全应用容器，即创建一个独立的分区、应用容器或虚拟机将公司应用与数据与个人应用与数据了隔离起来。除了通过技术确保几个特定应用中的数据安全外，这种方案允许在容器内的应用之间更为自由的使用数据。这一方案不同于使用虚拟桌面基础设施（VDI）在窗口中呈现远程应用。例如，CITrix Receiver 和VMware View等应用除了键盘和虚拟鼠标外，几乎没有访问移动设备的信息或功能的权限。相关的解决方案是在移动设备中创建独立的分区——一个分区用于存储个人应用和数据，另外的分区用于存储可由IT部门管理的业务应用和数据。

MAM系统分析

MAM系统的主要功能

MAM系统的主要功能包括：

• 管理策略实施：通过统一的管理平台，IT管理员可以针对各类移动设备实施统一的管理策略。
• 移动应用发布：基于企业内部的应用商店和管理平台，IT管理员可以快速地将企业移动应用部署到各类移动设备中。
• 移动应用安全管理：IT管理员可以通过管理平台，以安全策略的形式对移动设备和移动应用的访问权限进行管理。
• 移动应用升级：IT管理员可以通过管理平台发布移动应用的更新、补丁，并实现快速同步。
• 用户验证：就像桌面应用管理系统一样，MAM系统也可以使用轻量级目录访问协议（LDAP，Lightweight DireCTOry Access PRoTOCol）或其他标准用户验证协议来验证用户身份。
• 用户授权：IT管理员可以基于用户角色和分组来为不同用户分配访问权限。
• 版本控制：IT管理员可以通过管理平台进行远程版本控制和更新。
• 推送服务：IT管理员可以向用户的移动设备推送提醒、应用更新等信息。
• 跟踪和报告：MAM系统可以提供完善的报告和分析功能，用于了解员工对移动应用的使用情况。

一套完善的MAM系统应该支持多种移动设备和移动技术：

• iOS原生应用
• AndrOID应用
• Windows Mobile应用（Windows Phone）
• 黑莓（Blackberry）
• HTML5应用
• 企业内部开发的应用（使用XCode或微软Visual Studio）
• 第三方开发的移动应用

MAM系统需要在移动应用中添加特定的MAM策略应用程序接口（API）。移动应用可以通过这些接口与MAM服务器通信，并实施MAM管理策略，如访问权限、功能的开放和锁定、设备信息清除等。

MAM系统还允许IT管理员监控移动应用的使用情况——访问企业资源、使用时间等——并以此判断特定设备是否违反了安全策略。通过内置的程序接口，移动应用的使用情况会备份到服务器中——仅备份企业相关数据，不包含用户的个人数据。

最重要的是，MAM系统的管理是针对移动应用的，并不会影响到员工自有的移动设备。

MAM系统的原则

一套完善的MAM系统需要遵循一定的原则，并兼顾IT管理和企业员工两方面的需求。这些原则包括：

基于应用层面的管理，还不是硬件和框架层面的：将企业应用封装在特定的安全套件内，再安装到用户的移动设备中，可以保证企业应用和信息的安全，同时不影响到用户个人的信息，如游戏、照片、视频、铃声等。

基于策略、规则和用户角色的管理：通过设置合理的用户角色分组和安全策略，MAM系统可以针对移动端进行灵活多样的系统管理操作。

协作式管理：通过企业内部的应用商店，IT管理员可以向企业内部的用户推送和推荐相关的应用，用户可以像在苹果应用商店、AndROId应用商店中选购游戏、音乐和应用一样下载这些应用。这种方式可以满足企业员工使用自己的移动设备进行工作的需求，同时也能保证企业数据的安全性。

基于安全策略的统一管理：一套完善的MAM系统可以提供安全策略的设置和实施功能，IT管理员只需要设置合理的安全策略，就可以快速部署到所有平台的应用中——无论是桌面应用还是移动应用。

可视化监控：IT管理员可以通过MAM系统的管理平台，实时监控所有用户安装的所有应用的使用情况，并生成可视化的报告。

MAM系统的用户

正如桌面应用的管理一样，企业员工可以安装并使用企业移动应用，IT管理员可以通过MAM系统对企业内部的所有移动设备中所安装的企业应用进行管理，并保证企业数据的安全。MAM系统的用户包括：

IT管理员

通过企业内部应用商店部署移动应用

信息安全管理员

设定安全策略，并以此来管理企业内部的移动设备

通过用户验证、用户授权、角色权限管理等方式来管理用户对企业移动应用的使用

管理企业提供的移动设备和员工自有的移动设备，从应用层面保证企业数据的安全性

应用开发者

企业内部开发团队：开发包含了安全管理策略和MAM系统接口的企业应用，并通过MAM系统部署到企业员工的移动设备上

第三方开发团队：通过MAM系统提供的接口开发企业应用，并提供给企业用户使用

MAM系统的工作流程

MAM系统拥有一套清晰的工作流程，将IT管理员、应用开发者和终端用户囊括其中。

IT管理员通过基于浏览器的管理平台来管理应用、用户和移动设备。应用开发者向MAM系统提交应用并由IT管理员审核和部署。IT管理员可以对开发者提交的应用设置不同的用户权限和安全策略。

终端用户进入MAM系统后，需要首先下载企业安全套件，使用的设备可以是企业提供的，也可以是企业员工自有的。在安全套件内，用户可以像在苹果应用商店和AndrOID应用商店中那样选择需要的应用并安装。

IT管理员还可以向安装了企业安全套件的用户推动应用和更新信息。

参考文献

1. ↑ 移动应用管理发展尚不成熟.中华合作时报.2012.08.03.