MobileIron

2011年初 MobileIron在華分支機構－MobileIron China正式成立

MobileIron的移動IT解決方案軟件部分主要包括三個大類

1. MDM Mobile Device Management 移動設備管理

2. MAM Mobile Application Management 移動應用管理 ，其中又包括 AppConnect 和 AppTunnel 兩項技術

3. MCM Mobile Content Management 移動內容管理

MAM 是MDM（Mobile Device Management ） 向移動應用的延伸， 幫助企業將 IT 策略從 設備級延伸到應用級。 從而具備對於企業應用App 的更高控制能力 ， 實現自動化的應用配置，應用內數據安全管理及移動端應用到後台服務系統的安全數據傳輸等功能。 例如MobileIron 公司的MAM管理組建可以在 移動設備建立 企業應用沙箱，將企業數據與個人數據完全分隔，從而提供更高的數據安全性及更優秀的客户使用體驗。

因為 包括 IOS ， Android ，Windows Phone 等移動操作系統已經嚴格定義了應用程序權限及操作範圍。主流的MAM 廠商都是通過應用App 再次封裝和 專有API 的技術來實現對於企業應用管理。

在這方面最為成熟的技術是 AppConnect 和 AppTunnel。

AppConnect 可以將一款 iOS 或安卓應用轉變為一個安全的“沙箱（SandBox）”，具有明確的數據劃分和無授權訪問保護。由於每個用户有多個業務應用，每個應用“沙箱”也可以連接至其它應用“沙箱”，以便安全共享數據（如文件）和策略（如應用單點登入 SSO ）。所有應用“沙箱”都連接至MobileIron管理端以便政策的集中控制。任何應用都可以通過一個易於使用的應用封裝或一個簡單的軟件開發工具包 API而對 AppConnect 加以充分利用。應用封裝可以最大程度節省開發人員的時間並保護應用後期開發的安全。軟件開發工具包 API可在開發過程的任何時間使用。

AppTunnel 為所有應用逐個提供高度細緻的安全，通過一個安全隧道將每個應用“沙箱”連接至企業內部網絡。移動應用可以用 AppTunnel 來訪問後端企業數據，而無需打開的虛擬專用網絡連接（VPN） 或更改周邊網絡安全設置。AppTunnel 使用經過驗證的 MobileIron Sentry 智能網關，這種網關已在數千家企業中安裝。

MobileIron管理系統包含三個主要組件：Atlas ; VSP ; Sentry

Atlas提供了一個單一控制界面，MI管理員可以通過這個單一的控制界面手機彙總多個VSP服務器的數據，從而可以集中監控企業裏的所有移動設備，並對所以VSP裏的設備進行管理操作。

管理系統用户控制枱界面(4張)

Atlas的特點

· 支持通過全球範圍部署VSP服務器來實現企業全球部署模式

· 支持多語言：簡體中文、英語、韓語、德語、法語、日語

· 集中報表，提供豐富的報表組件

· 賬號權限分級管理（賦予不同的角色，分組管理設備）

· 實時查看策略實施情況和設備詳情

· 對所有已管理的VSP服務器進行故障排查

· 指定設備故障排查

· 發送設備管理命令 (鎖屏, 擦除, 註銷設備, 強制設備連接服務器, 定位, 發送消息，等等)

MobileIron讓企業做好準備：讓移動智能設備進入企業生產環節

對於一個成功的企業來講，智能手機已經稱為不可或缺的工具。然而智能手機的爆炸式的增長和多樣性使得這些設備很難管理。IT部門只是粗略的組合一些手動配置方法，以此來配置每一種類型的手機和部署應用程序，這讓早已透支的IT資源更加雪上加霜，也讓移動互聯網服務成為企業裏成本增長最快的一項服務。企業面臨的挑戰如：

· 無線推送應用程序：傳統桌面互聯網上的辦公應用正在融入移動互聯網，應用的推送通過傳統的有線和WiFi網絡。但移動互聯網設備只能通過3G等無線方式進行程序的部署，企業IT如何建立一個移動智能終端管理平台來通過3G等無線方式推送部署應用程序,企業如何集中管理和推送多平台類型的應用程序.

· 安全問題：移動互聯網設備小巧輕便通訊便捷，作為個人消費品，人們的體驗非常好，但易丟失，所以作為企業辦公設備，一旦丟失企業IT如何保證終端裏的企業數據的安全,如何保護終端設備不受病毒的攻擊.

· 多操作平台管理：當筆記本滲入企業時，Windows佔據了統治地位，IT部門很容易建立一個標準的管理體系，如域控制器等。然而隨着iOS、Android等智能終端的崛起，企業如何建立一個智能移動終端管理平台來應對多操作平台環境.

·隱私問題：智能手機有它獨有的隱私問題，因為它設法把筆記本電腦和手機整合到一起，這也不可避免的把筆記本電腦和手機裏的內容合併到了一起。但是筆記本電腦使企業發的，上面的內容也自然歸企業所有，是企業財產的一部分，但對於智能手機區別就不是很明顯了。而且有些企業會允許員工個人所有的智能終端接入企業網絡，企業如何在智能終端上區分用户的個人信息和企業數據就變得更加複雜。

MI移動設備管理引擎(VSP)就是一個移動設備管理平台，它幫助企業IT克服了這些挑戰，讓企業順利的，安全的把智能終端集成到企業生產環節中去，同時滿足了用户和企業IT的需求。

·即插即用：企業IT只需花半天的時間就可以將MobiIelron VSP集成到現有的網絡環境中去，

· 穩如磐石的自身安全：特殊定製化的操作系統，限定端口訪問，高穩定性的組件，訪問權限的高可控性，對用户憑證的保護，客户端和服務器之間的通訊被加密，持續的漏洞修補和安全更新

· 高效簡潔的管理界面：簡潔友好的管理界面讓管理員輕鬆上手，通過標籤來劃分設備組，及時監控終端設備，發送擦除、鎖屏等管理命令，等等。

· 用户自服務界面：可以授權用户登錄用户自服務頁面，對自己名下的設備進行操作，如：定位，擦除，註冊，鎖屏等。讓用户在IT下班時間期間也可以自己管理自己的設備。

隨着Apple iOS ,Android,Windows Mobile和Symbian等智能移動設備在企業中的普及流行，企業正在尋找安全的方案，以在他們的網絡環境中應用 Active Sync 。 雖然 Active Sync 的影響力越來越大，企業正把它作為推送電子郵件的標準, 但是多數企業在企業內應用該技術時遇到了很多挑戰。傳統意義上講， Active Sync 自身並提供訪問控制和可視化監管功能，這些都是重視安全的企業所要求的。特別是在以下方面， Active Sync 未能滿足企業的需求:

訪問控制：管理員難於限制未授權的用户註冊手機，還必須手動鑑別每一個用户的准入。即使手動設置了‘允許/限制’策略，企業還是受困於如何設置強制策略，來限制註冊到某個 Active Sync 郵箱的手機數量。

可視化監控：在全球化的企業裏，不做一些定製化的腳本，很難確認哪些設備連接到哪些 Active Sync 郵箱。即使Exchange 2010在Exchange Web Services上提供了相關工具，也只能提供有限的針對單個郵箱的查看而非整個企業範圍郵箱的查看。

安全：管理員很難根據設備情況來限制設備和 Active Sync 的連接(如操作系統版本，安全設定等),這已經超出了 Active Sync 平台提供的策略強制標準範圍。一些基本的策略，如強制設備設置密碼策略，在一些託管郵件環境下存在問題。 MobileIron Sentry 提供了企業級的構架,解決了企業眾多挑戰，讓企業有信心啓用 Active Sync 並使用iPhone等設備收發郵件。

MobileIron Sentry架構

MobileIron Sentry扮演了一個Active Sync客户端和郵件服務端之間的代理角色，處於Active Sync客户端和企業Active Sync郵件服務器（羣）之間。此種模式提供了一種後置郵件服務器的架構；許多企業已經成功部署MobileIron Sentry， 通過 Sentry讓終端設備連接到Microsoft Exchage或Lotus Notes服務器，此方案也是用與託管方案（如BPOS-S,BPOS-D或Google Gmail）

· 確保只有授權的設備才能和Active Sync 連接：採用MobileIron Sentry 後，策略通過網絡層強制實現。收發郵件時，每個 Active Sync 設備會首先連接 MobileIron Sentry 服務器。為了鑑別該設備是否授權連接到後端 Active Sync 郵件, MobileIron Sentry 服務器會審查通過Sentry 的郵件數據流；從此數據流中Sentry 會提取其中的設備ID送交MobileIron VSP，或相關的管理服務器。VSP通過此ID驗證該設備提供的其他信息，據此判斷是否可以讓這台設備連接 Active Sync 。這些信息包括設備類型，安全狀態，操作系統版本和其他數據等。驗證後，VSP會反饋Sentry 該設備是否可以連接。如果不允許，則該設備與後端郵件系統的數據流會被截斷。如果不允許，則該設備與後端郵件系統的數據流會被截斷。

· 提供了可視化監控所有連接 Active Sync 的設備，無論是否被 MobileIron 管理

· 結合有證書驗證功能的前端代理服務器或負載均衡器，實現通過證書及用户名密碼的雙重驗證

產品性能：

客户端支持平台：iOS/Android/BlackBerry/Win MO/Web OS/Symbian

設備管理數量：500

設備鏈接併發連接數：400用户/秒

程序下載併發數：200用户/秒

產品特性：

管理接口模式：Https + WEB API

管理命令傳輸方式：OTA+SSL加密傳輸

默認策略推送時間間隔：15分鐘～4小時

管理瀏覽器要求：IE/Safari/FireFox

管理引擎安裝部署平均時間：小於2天

高可用性：否

冗餘電源：否

硬件配置：

平均功率消耗：500W

存儲器類型：多層單元（MLC） NAND 閃存

數據接口類型-千兆以太網：2x 100/1000

控制接口類型：1x R232/RJ45 串口控制接口

温度範圍：0°C 至 +60°C (運行時)

濕度範圍：0% 至 95% (不冷凝)

可擴充性：可根據用户實際需求進行擴展

尺寸：2U 機架式, 66x43x9cm

重量：23.6KG

附加部件：電源線/機架導軌

帶寬要求：不考慮軟件下載，建議最低10MB共享帶寬

產品性能：

客户端支持平台：iOS/Android/BlackBerry/Win MO/Web OS/Symbian

設備管理數量：3000

設備鏈接併發連接數：1000用户/秒

程序下載併發數：500用户/秒

產品特性：

管理接口模式：Https + WEB API

管理命令傳輸方式：OTA+SSL加密傳輸

默認策略推送時間間隔：15分鐘～4小時

管理瀏覽器要求：IE/Safari/FireFox

管理引擎安裝部署平均時間：小於2天

高可用性：是，需要負載均衡器配合

冗餘電源：是

硬件配置：

平均功率消耗：1000W

存儲器類型：多層單元（MLC） NAND 閃存

數據接口類型-千兆以太網：2/4 x 100/1000

控制接口類型：1x R232/RJ45 串口控制接口

温度範圍：0°C 至 +60°C (運行時)

濕度範圍：0% 至 95% (不冷凝)

可擴充性：可根據用户實際需求進行擴展

尺寸：2U 機架式, 66x43x9cm

重量：23.6KG

附加部件：電源線/機架導軌

帶寬要求：不考慮軟件下載，建議最低10MB共享帶寬

產品性能：

客户端支持平台：iOS/Android/BlackBerry/Win MO/Web OS/Symbian

設備管理數量：9000

設備鏈接併發連接數：3000用户/秒

程序下載併發數：1000用户/秒

產品特性：

管理接口模式：Https + WEB API

管理命令傳輸方式：OTA+SSL加密傳輸

默認策略推送時間間隔：15分鐘～4小時

管理瀏覽器要求：IE/Safari/FireFox

管理引擎安裝部署平均時間：視客户需求 1到2周

高可用性：是，需要負載均衡器配合

冗餘電源：是

硬件配置：

平均功率消耗：1600W

存儲器類型：多層單元（MLC） NAND 閃存

數據接口類型-千兆以太網：4 x 100/1000

控制接口類型：1x R232/RJ45 串口控制接口

温度範圍：0°C 至 +60°C (運行時)

濕度範圍：0% 至 95% (不冷凝)

可擴充性：可根據用户實際需求進行擴展

尺寸：2U 機架式, 66x43x9cm

重量：23.6KG

附加部件：電源線/機架導軌

帶寬要求：不考慮軟件下載，建議最低10MB共享帶寬

產品性能：

客户端支持平台：iOS/Android/BlackBerry/Win MO/Web OS/Symbian

設備管理數量：20000

設備鏈接併發連接數：6000用户/秒

程序下載併發數：3000用户/秒

產品特性：

管理接口模式：Https + WEB API

管理命令傳輸方式：OTA+SSL加密傳輸

默認策略推送時間間隔：15分鐘～4小時

管理瀏覽器要求：IE/Safari/FireFox

管理引擎安裝部署平均時間：視客户需求 1到2周

高可用性：是，內建

冗餘電源：是

硬件配置：

平均功率消耗：3000W

存儲器類型：多層單元（MLC） NAND 閃存

數據接口類型-千兆以太網：4/8 x 100/1000

控制接口類型：1x R232/RJ45 串口控制接口

温度範圍：0°C 至 +60°C (運行時)

濕度範圍：0% 至 95% (不冷凝)

可擴充性：可根據用户實際需求進行擴展

尺寸：4U, 66x43x18cm

重量：43.6KG

附加部件：電源線/機架導軌

帶寬要求：不考慮軟件下載，建議最低10MB共享帶寬