Jaa


企业移动办公的成功之道:我们的企业移动办公愿景

STB_Banners_Understanding

今天我要开始一个激动人心的博客系列,将深入介绍我们为了支持和扩展企业移动办公而正在做的工作的细节。我相信企业移动办公将是我们目前和可预见的未来中整个行业最具冲击力、最明确的趋势之一。

在微软,我们关注的核心是“Mobile first 和“Cloud first 。确实,您可能会问,怎么可能有两个“first”--答案很简单:移动和云集成得如此紧密,因此要想提供第一流的企业移动办公解决方案,最好通过云来交付。 二者缺一不可。移动设备越来越个人化,同时又在使用云服务,云从根本上改变了整个行业每天向我们的客户交付新价值和新功能的能力。

通过这个博客系列,我希望清晰地阐明微软在企业移动办公方面的愿景行动。我将解释我们的解决方案与市场上其他方案有哪些不同,以及我们在哪些领域的投资会给客户带来不菲的价值。

我相信,通过更好地理解微软在市场中推出的解决方案,并了解这些解决方案提供的丰富的最终用户体验和数据保护,IT专业人员可以充满信心地迎接消费化(即BYOD)趋势的到来。

我们的愿景

我们的愿景是帮助组织在他们喜欢的设备上高效工作,同时保护企业的安全性。

现在,用户和企业内部的员工使用各种各样的设备访问企业资产,设备的数量和类型每天都在增加,企业认识到,让用户能够在任何设备(企业的或个人的)上访问企业资源,会提高用户的工作效率和满意度。单从经济效益上来讲,这种满意度和效率会对企业产生巨大的积极影响。虽然实现这样的效率和创新非常重要,但IT组织还需要确保被访问的企业资产的安全性,也要确保存放在移动设备上的企业资产是安全的。这是一种平衡的艺术。

在天平的一端,最终用户希望将个人设备带到工作当中,而且为了访问企业的资产,愿意接受IT部门一定程度的干涉(例如使用开机密码)。同时,这些个人设备是完全私有的--在很多方面,他们是个人的延伸,包含着最终用户不希望IT部门看到的信息。

组织需要的解决方案(天平的另一端),也是最终用户愿意实施的方案,是只允许IT部门控制和管理在这些设备上访问和存储的企业资产,同时永远不触及设备的私人信息。

寻找正确的平衡意味着在设备的个人内容和企业内容之间建立适当的边界。我们的做法一直是:当最终用户将他们的个人设备带到工作中时,由最终用户完全控制他们个人设备上发生的事情。但公司应该拥有终极权力,完全控制存储在个人设备上的企业资产(应用程序和数据)

虽然个人设备的使用给IT部门增加了复杂性,但我们相信,移动办公解决方案应该成为一个统一的工具, 覆盖所有设备类型和使用情况。通过交付一个能够跨所有设备形式统一解决方案,会实现以下三个关键目标:

  • 最终用户在他们的设备之间会得到一致而无缝的体验,并变得更高效。
  • 减少IT的复杂性。
  • 更好地保护企业数据。

现在开始:一切从身份开始

所有组织都需要基于对用户的正确身份验证来管理对企业资产的访问。Active Directory是全世界企业身份的权威来源,我们已经通过AzureActive Directory(AAD) 将它扩展到了云中。使用AAD,我们提交了一个公共且一致的身份/访问解决方案,使组织能够将它们对AD的运用扩展到跨私有云和公有云。

不仅企业移动办公身份解决方案应该要求用户正确地通过身份验证,身份解决方案也应该验证用于访问企业资源的所有设备。这正是过去15年前 Domain Join功能为Windows设备所做的工作。在我们的企业移动办公解决方案中,我们增加了现代的Domain Join功能,即我们所谓的Workplace Join工作场所加入)。它允许用户在AAD上注册他们的个人设备,这样AAD就能够知道他们的设备。这非常重要,因为您既需要对用户也需要对设备执行策略。

在这个博客系列的后面,我将详细介绍我们围绕身份管理所做的工作,以及它对企业移动办公策略的重要性。我认为,身份管理是微软带来重大价值的领域之一--当前市场上的许多解决方案中都遗漏了这个价值。

定义成功:让最终用户和IT感到安全

一方面要以非侵入式的方式使最终用户高效工作,一方面又要保护企业资产,在两者之间取得适当的平衡是一项长期的挑战。很多时候,用户体验因“保护”之名而受到损害。减少这个损害,正是我们投入大量时间和精力所做的工作。

我相信,最终所有移动设备和OS厂商都会为企业内容提供本机容器(安卓系统上的SAFE就是一个很好的示例),这些操作系统组件会集成到Intune和Azure Active Directory之类的解决方案中。在这个企业移动办公系列博客中,以及在TechEd大会上,我会详细探讨我们的POV以及我们在容器方面所做的工作。

这里的一个重要概念是,使用MDM,可以提供设备层的保护,使用MAM,可以提供应用程序层的保护。分层方法对于安全性是至关重要的,保护设备层和应用程序层是有帮助的,但也有一些已知的局限。除了这两个保护层之外,我们还需要在每个文件的本机组件上进行保护

目前,微软已经在市场中推出了一个决方案Azure RMS,它可以随文件本身移动,对其进行保护。利用Azure RMS(这是企业移动套件的一个组件),访问保护作为Office文件或Acrobat之类应用程序的一部分进行本机保存(要了解结合使用Office和RMS的更多信息,请参阅这里)。

利用RMS,当用户打开文件时,会验证该用户已经正确地通过AD/AAD验证并有权打开这个文件。如果员工离开组织但他的设备上仍保存了文件,或者将文件意外地发错了对象,这会保护文件。这个功能是微软的独家功能(更多细节请参阅这份白皮书。)要了解开始使用Azure RMS的更多信息,请参阅这里。

这类安全性再怎么强调也不为过,最近由于行业内的几个重大安全漏洞,再次凸显了它的重要性。最常见的攻击方式之一就是钓鱼(向用户发送貌似合法的邀请,实际将用户引导到钓鱼网站搜集用户名和密码)--使用Azure Active Directory Premium可以极大减少这类攻击。AAD Premium利用机器学习来识别异常的访问活动(例如试图从异常地点进行验证),从而防范这类攻击。而这也属于我们提供的独特功能。

要了解AAD Premium,请参阅这个视频

定义成功:基于云的设备与管理

允许用户使用他们的全部设备访问您的企业,这对于您的公司是至关重要的--如果现在还不是这样,那么很快就会成为现实

这里我所说的全部设备包含大多数用户还在使用的PC。虽然今天我们更多的是谈论移动设备,但不要忘记企业中的大多数用户同时在使用移动设备和PC。在这些基于云的管理对话中,重要的是不要将PC遗忘。关键在于定义和实施管理策略的时候,要将每个设备考虑在内。这个策略的理想目标是提供一种集成且一致的方式,通过公共工具来部署、管理和保护PC及移动设备。

我相信这是微软解决方案与众不同的另一个地方。System Center迄今为止是管理PC最常用的解决方案(管理超过2/3的企业PC),由于我们已经构建了企业移动办公解决方案,所以我们已经将这变成了起点。这意味着可以使用现有的工具,充分利用多年以来在Active Directory和System Center上的投资,为企业的未来打造一个可靠的基础。

我们可以将Windows Intune想象成从云端交付的System Center。在Intune中,我们已经构建了您期望的移动设备管理功能(例如,对管理Windows、iOS和安卓设备完整而丰富的支持),我们正在云端交付这些功能--您也可以选择用自己熟悉的SCCM控制台进行所有管理工作。这样IT专业人员就可以利用现有知识和经验来管理PC和设备。不需要部署任何新服务器,也不需要维护任何新的基础结构,一切都通过SCCM 2012中已经部署的解决方案进行交付。

回顾3月份,我写过关于企业移动套件(EMS)的文章,作为EMS的一部分,Intune的更新现在支持业界最优的MDM/MAM方案。以云为中心的管理解决方案的主要优势是:Intune按照云的步伐更新和改进。我们在2013年10月和2014年1月更新了Intune(增加了新功能,例如iOS上的电子邮件配置文件管理、选择性擦除、iOS 7数据保护配置,以及远程锁定和密码重置),上个月的另一个更新增加了更多安卓设备管理功能,支持三星KNOX平台,还支持Windows Phone即将推出的更新。

定义成功:让获得和使用变得更容易

解决实际问题的优秀解决方案固然精彩,但我们还必须让它们易于获得和使用。企业移动套件的授权以每用户为基础。这意味着不再需要计算组织中设备的数量,也不必担心用户带来更多移动设备会增加成本。

为了让我们的企业移动办公解决方案易于使用,我们还将所有移动管理功能与我们在业内领先的PC管理解决方案System Center进行了集成。System Center管理员现在能够方便地使用他们目前的System Center控制台来管理移动设备--全都从一个控制台管理。不再需要部署和维护任何额外的基础结构或者进行新的平台培训,最终用户在他们的PC和全部移动设备上将拥有一致的体验。

总结一下,EMS有三大关键要素:

  • 身份和访问管理,由Azure Active      Directory Premium提供
  • MDMMAM,由Windows Intune提供
  • 数据保护, 由Azure AD权限管理服务提供

 

过去几个月里,有很多文章描写了 “全新微软”,在许多方面,这种说法是真实的。整个公司跨团队的密切合作,以前所未有的集成、结合的方式将高价值的方案带入市场。这些创新来自公司各个团队,我非常高兴地看到我们正在交付跨System Center、 Intune、Azure Active Directory、Office和Windows的深度智能集成的解决方案

我相信,我们在市场上的现有产品以及接下来几个月里将投入市场的产品,将是迄今为止满足企业移动需求的最完整、最全面、最优秀的解决方案。

在您制定企业移动办公策略时,我鼓励您认真思考您的组织希望在多大的范围内获取成功。我们为了支持您的努力做了广泛投入,我们交付的功能可以让您的用户在他们喜欢的设备上高效工作。在您阅读这个博客系列的时候,您可以看到微软在市场上已经推出了一套集成的、全面的功能,并且全面涵盖以下方面:

  • 移动设备管理
  • PC管理
  • 应用程序和数据保护
  • 身份管理
  • 托管的应用程序和桌面
  • SaaS管理
  • Office生产力套件

这些都是您在选择合作伙伴、选择企业移动办公策略时需要的功能。我相信我们正在交付最完整、最全面的解决方案!