本次我們一共測試了4套行動裝置管理系統,包括ForeScout、Good、MobileIron與Sophos,透過實際操作,了解這些系統的基本功能與操作邏輯,並分析它們的系統建置與計價方式。

基本功能均包含裝置功能限制與安全性管理的項目

目前行動裝置管理系統,在可設定與管理的功能方面,基本上都不脫硬體功能限制、加強裝置安全性,以及內容的控管等。
在硬體功能限制方面,常見的功能包括照相功能、讀卡機、螢幕擷取、允許3G或無線網路,都可藉由MDM鎖定或開啟。安全性方面,則可強制採用複雜性密碼、資料加密、禁止安裝或移除App與設定App的黑白名單等,強制行動裝置採用安全性較高的設定。

除了裝置本身功能的限制與管理之外,MDM也可針對手機或平板電腦的內容管控。內容管理的方法可分為兩種,其中一種是可以偵測行為,例如限制作業系統必須在某個版本以上、不能有iOS越獄(JailBreak)與Android破解(Root)等行為,藉由判定是否帶來資安危害,進而禁止裝置存取Exchange伺服器。

另一種內容管理方式,則是進一步將公司電子郵件、聯絡人,甚至文件等存取企業內部資訊的應用,全部整合在一個App中,就像前面提到的,透過管理系統設定安全條件,讓使用者可以有條件的存取這些敏感資料。而這種作法的好處,就是裝置本身的資料,不會和企業內部資訊混淆,只要透過管理系統將裝置設為沒有存取的權限,或是將App刪除,就切斷了使用者存取這些資料的管道,同時還不會影響到手機本身的資料。

政策設定方式相當分歧

在本次測試的4套管理系統中,每一個廠商的政策設定方式都不大相同,大致可分為三直種類型。第一種是逐一新增管理內容,例如要限制藍牙功能,就要新增一個政策,並選擇管理內容為啟用或關閉藍牙即可,這項管理政策並不包含其他原則限制,限制相當單純。而這種類型的管理系統,單一裝置可以和多個管理政策配對。例如本次測試的Sophos Mobile Control,除了裝置原本就支援的安全與設定管理之外,要新增管理功能,就要逐項增加。

第二種是單一管理政策就包含所有的管理內容,例如禁止安裝或移除App、限定作業系統版本、無法使用3G上網等。這種管理方式的裝置,一次只能和一個管理政策配對。例如ForeScout MDM與Good for Enterprise,這兩套系統都是單一裝置只能對應單一政策。

第三種就是管理政策可以設定優先權,在限制的功能上會以高優先權的政策為主。這樣的方式讓一個裝置可以受多個政策管控,本次測試中的4套系統中,只有MobileIron的政策採用這種方式管理。

整體而言,第一種的逐項增加的管理方式,比較適合用在管理原則少的情況下,而第二種單一管理政策就包含所有管理原則的操作比較直覺,因為我們只要針對單一群組或裝置,設定好一種條件即可,是比較符合一般使用者習慣的設定方式。

而第三採用優先權的設定方式,適合用於裝置數量或使用者群組較多的情況,雖然在系統的初期設定與規畫時會比較複雜,但是在日後的設定與調整上,比較有彈性。
系統建置方式都很簡單,但價格落差相當大

在管理系統建置的部份,多數廠商都提供企業可自建與管理後端行動裝置管理系統,以本次的4套系統而言,僅有ForeScout MDM沒有提供企業自建的選擇,只能在廠商提供的SaaS雲端伺服器上使用。這樣的作法可能會給企業帶來控管的疑慮,不過卻也減低企業建置系統的麻煩。

此外,在企業自建管理伺服器的部份,本次測試的4套系統中,有3家廠商就提了這樣的建置方式,不過計價上差異相當大。

例如Good For Enterprise的管理伺服器軟體的售價就高達20萬元;Sophos Mobile Control的管理軟體免費提供;而MobileIron也同樣提供免費的後端管理軟體,但前提是企業要先架設VMware ESX或ESXi的虛擬化平臺,單就管理軟體(不含硬體)而言,價格差異相當大。

除了提供後端管理軟體形式的部署之外, MobileIron本身也提供應用伺服器(Appliance)的建置形式,也就是這設備包含了伺服器硬體,以及MobileIron管理系統軟體,讓用戶也可以直接將管理系統建置起來,不過這臺應用伺服器的售價單臺為45萬元,並不便宜。

另外,目前廠商都是以裝置數量來計價,且價格從最便宜的每年每臺裝置1,600元,到最高每個裝置8,000元,授權的費用價差高達五倍。
因此,在導入系統前,必須評估的項目相當多,包括管理的裝置數量,系統使用時間,以及管理伺服器是企業自行建置管理,或是採用廠商提供的SaaS雲端服務等。

相關報導請參考「行動裝置管理系統採購大特輯」


熱門新聞

Advertisement