System Center:管理行動裝置
現在人人都有智慧電話、膝上型電腦和平板電腦,因此擁有完備的策略來保護裝置管理的安全必不可少。
Brien Posey
行動裝置的管理挑戰已苦腦組織多時。在過去,當中的許多挑戰都是源自於裝置本身及裝置管理軟體的專利本質。因此,許多公司都侷限於使用單一特定類型的裝置。
舉例來說,想像一下貴組織希望員工執行只存在於 Windows Phone 7 平台的應用程式。在購買幾台 Windows Phone 7 裝置後,您的 IT 小組可能發現您需要更妥善的方法來管理這些裝置。於是您選擇 Microsoft System Center Mobile Device Manager (MDM)。
過了一段時間後,貴公司決定需要使用只在 Apple iPhone 上執行的應用程式。雖然貴公司購買 iPhone 勢不可擋,但是您將無法使用 MDM 來管理它們。您得投資專為管理 iPhone 而設計的管理工具。
您可以想像,這種狀況很可能轉變成支援方面的夢魘。您的支援工程師突然間需要支援多種行動 OS 和多種管理工具 — 取得這些工具的授權和訓練支援人員使用這些工具的成本更是不在話下。
但是情況確實開始慢慢在轉變。現在市面上有好幾種不同的工具能夠管理不同類型的裝置。連 Microsoft 也開始採取行動,將目標從 MDM 轉移,改把行動裝置管理功能直接整合至 System Center Configuration Manager (SCCM) 2012。這個新版本將持續支援 Windows Phone 7,但是也提供對 iPhone 和 Google Anroid 手機的管理支援。
既然 Microsoft 和其他公司都有提供跨平台管理行動裝置的功能,問題應該解決了,對吧?可沒那麼快,要有效管理行動裝置,您還是必須考量一些問題。
決定裝置
我們很容易假設控制行動裝置全然取決於您所選的管理軟體。但是您還有其他因素需要考量。第一個主要的問題是,您打算指定在組織內核准和支援使用的行動裝置或裝置類型。
您部署和需要支援的行動裝置對於您所選的管理軟體將有直接的影響,但情況並沒有這麼單純。您將根據幾個不同的條件來選擇行動裝置。
公司往往是根據執行特定應用程式的需要來選擇行動裝置。選擇行動裝置時,應用程式可用性是一項重要的因素,但絕不是唯一的因素。安全性是另一項重要的考量。有些組織禁止使用不支援加密存放裝置的行動裝置。
決定貴組織要使用的行動裝置,最佳的方法是擬定一組行動裝置必須遵守的需求,然後尋求符合這些條件的裝置。
即使行動裝置完全符合您擬定的條件,允許所有員工使用該裝置不一定是理想的做法。試著盡可能避免在貴組織內使用許多不同的裝置類型。使用的行動裝置種類越繁多,支援的成本就越高。如果您發現有很多不同的行動裝置都可以滿足您的需要,就挑選少數幾種提供最多功能集的裝置,並且限制只能使用該些裝置。當然啦,核准的裝置清單將隨著技術的變遷而改變。
確立可接受的使用原則
我們很容易把確立行動裝置可接受的使用原則,想像成不過是無止盡又繁瑣的官僚作業。然而,審慎考量且一貫厲行的可接受使用原則,實際上有助於簡化行動裝置的管理工作。
有家公司為了降低成本,最近決定修改他們的可接受使用原則,指明只有特定主管在漫遊時可以存取網際網路。雖然這項原則變更的目的是要降低漫遊成本,但也有助於降低支援電話量。
有些員工過去曾在漫遊時遇到存取公司電子郵件的問題 (大概是因為行動網路不支援資料傳輸)。可接受的使用原則一變更為制止在漫遊時使用員工裝置後,這些問題就迎刃而解了。
您的可接受使用原則也可能透過其他方式來降低支援成本。比方說,可接受的使用原則一般可以規定允許使用哪些裝置功能。有些組織無所不用其極,甚至停用像是行動裝置相機、藍芽連結和儲存卡。停用這類功能,支援工程師就不需要支援,而支援成本自然就會下降。
還有其他方法可以利用可接受的使用原則來降低支援成本。例如,您可以禁止使用者下載和安裝應用程式。這麼做就可以消除與問題連連的應用程式或受惡意程式碼感染的應用程式相關的支援問題。
將行動裝置視為資產
要減輕行動裝置管理的負擔,還有另外一件事您可以做,那就是將行動裝置包含在資產管理系統中。您至少需要一種方法來追蹤哪些裝置提供給哪些使用者。如此有助於預防員工在離職時連行動裝置一起帶走。
您的資產管理系統也可以有效追蹤與行動裝置相關的重要統計資料。資產管理軟體的功能因產品而異,不過您可能可以追蹤哪種裝置機型接到最多的支援電話,以及哪些使用者多次碰到行動裝置遺失或遭竊的情況。
使用組態管理
限制貴組織內使用的行動裝置種類,將使得管理行動裝置組態的工作更容易許多。要減輕行動裝置管理的負擔,最有效的其中一件事,就是針對貴組織使用的各種裝置類型,設立基準組態。基準組態一般包含核准的應用程式集和組態設定等項目。比方說,您可以預先設定裝置的 Wi-Fi 連線,連接到您的網路。
一旦設立符合需要的基準組態,並且也經過徹底測試,證實穩定後,您就可以將該組態新增到您所用的任何組態管理解決方案。如此一來,您就可以輕鬆以基準組態佈建新裝置,而不用手動設定裝置。
這種做法既省時又可減少可能的人為疏失。每次手動設定裝置,總不免發生設定裝置的人忘了實作設定或安裝應用程式的情況。而您可以倚賴從基準映像佈建的裝置是以完全相同的方式設定。
我們很容易將組態管理系統視為佈建新裝置的工具,但是良好的組態管理系統也有助於縮減行動裝置的支援成本。要了解當中的原委,不妨想想組態管理系統如何改變了桌上型電腦疑難排解的工作。
使用者以前有問題時都是打電話給支援工程師,而支援工程師會派遣技術人員來修理使用者的電腦。視問題的嚴重性而定,修復的工作可能需要幾分鐘到幾個小時不等。而較複雜的修復工作 (通常是那些需要資料復原的工作),則可能需要好幾天的時間。
這種方法成本高昂,不僅派遣技術支援人員去修理使用者的電腦需要成本,還有與失去生產力相關的無形成本。因為使用者通常得等到問題解決後才能回到工作崗位。
另外,也可能有其他碰到問題的使用者。他們可能要等到技術人員解決前一名來電者的問題後才能獲得協助。要是技術人員因為特別棘手的問題或是異常沉重的支援量而耽擱,與失去生產力相關的成本很快就會變本加厲。
組織終於領悟到把焦點放在修復桌面映像要有效許多。與其嘗試疑難排解軟體問題,技術人員乾脆直接重新製作桌上型電腦的映像。這個程序可快速且輕鬆地解決使用者的問題。對於行動裝置,您可以也應該採用相同的方法。如果使用者遇到行動裝置方面的問題,只要從基準映像重新佈建該裝置就行了。
備份原則
在可接受的使用者原則內您需要解決的重要問題之一,是使用者是否可以將資料存放在行動裝置上。許多人都把這當作安全性問題來看待,但這其實是邏輯問題。如果使用者把資料存放在行動裝置上,您就需要有備份該資料的程序和原則。
行動連線幾乎無所不在,因此建議您鼓勵使用者將重要的內容存放在可以備份的地方,也就是網路上。即使有應用程式可以備份行動裝置,但是這些應用程式當中有很多只在裝置連接到底座或是當裝置連接到 Wi-Fi 網路時才能夠運作。
您不能指望使用者定期進行這些工作。一般來說,要求使用者把資料存放在網路上進行集中備份,是比較理想的做法。
有些組織會讓使用者把相片、影片或音樂等個人資料存放在行動裝置上,並讓他們知道這類資料不會備份起來。不過,要記住的是,如果組織擁有該裝置,他們對該內容最終還是有責任。要是使用者在行動裝置上放了非法的影片或音樂,可能會造成問題。
您可以理解原則的發展和貫徹的重要性,其影響所及遠遠超過了維護一致的行動裝置基礎結構。
.jpg)
**Brien Posey**是一名 MVP,也是技術文件自由撰稿人,發表過數千篇文章和十幾本書。您可以造訪 Posey 的網站:brienposey.com。