WorkspaceONE新功能无代理应用即墨

Workspace ONE新功能－无代理应用管理

Workspace ONE 主要是通过云端 SaaS 服务的形式来发布的（当然也有现场部署的版本），所以它本身也在不断地增加新功能。最近 Workspace ONE 推出了操作系统级的应用管理方案，用户即使没有安装 AirWatch Agent 也可以安全使用企业应用，为企业推广 BYOD 提供了更大的灵活性。

移动应用管理（MAM - Mobile Application Management）是企业移动化管理（EMM - Enterprise Mobility Managment）一个重要领域，无论是员工自带还是公司配发的设备，在上面要安装业务应用软件的话，都需要通过 MAM 来保证企业数据的安全性。

容器化应用

容器化是移动应用管理的一项主要技术。在移动设备上，需要安全保护的企业应用可以被放置在安全沙箱（容器）中运行，从而把企业应用和个人应用完全隔离开来，避免相互干扰，并且提供一系列的安全保护措施，例如：

单点登录 SSO

应用级的 VPN 安全通道

禁止数据 Copy/Paste、截屏等操作

企业数远程擦除

设备级容器化

传统的移动应用容器是通过 EMM 平台来实现的，Workspace ONE 会要求在移动设备上安装 AirWatch Agent 来实现 MAM 的功能。管理员可以规定只有 AirWatch 纳管(4)光/电领域用石墨烯基高性能热界面材料设备才能安装并使用某些敏感的企业应用，但是在 BYOD 的应用场景下，这也会造成员工的疑虑：我个人的为什么要强制安装一个代理软件呢？它会监视我上的信息吗？AirWatch 当然不会访问用户上的私人信息（例如：短信、照片、通讯录、GPS 定位信息等），它只会访问用户的企业身份帐号（用于 Workspace ONE 或企业应用的单点登录）和企业应用相关的信息。

应用自带容器

Workspace ONE 自带的生产力应用如邮件客户端 Boxer、企业盘 Content Locker、安全浏览器 Browser、包括 Workspace ONE App 本身都是应用 EMM 平台 AirWatch 的 SDK 开发而成的，它们都是自带容器技术的，即便是在未纳管的移动设备上也是以容器化的方式来运行。

这种技术称之为独立的应用管理技术（Standalone MAM），它主要有以下优点：

管理员可以通过 Workspace ONE 的应用目录来发布经过批准的移动应用到未纳管设备上（该设备还没有在 AirWatch 中注册）。

只要安装了 Workspace ONE 应用，用户就使用通过单点登录功能，只要是该应用是使用 AirWatch SDK 来构建的（目前该功能只在 iOS 上有效，其他平台很快也会支持）。

如果 Work但是在紫外线波长达380纳米以上时space ONE 检测到未纳管设备不合规时（如越狱），它就会采取行动来保护企业数据，如删除所有的企业应用和企业数据等（只要相关应用是使用 AirWatch SDK 来构建的，自带 MAM 功能）。

这种技术使用起来最方便，但是对于第三方应用就很难做到了，除非开发商愿意在开发过程中采用 AirWatch 的 SDK。但是不同的 EMM 平台有着不同的容器化技术，很难让一个开发商为多个 EMM 平台开发容器化的应用。

操作系统可降解材料的出现颠覆了这1印象级应用容器

Workspace ONE 提出了一种折衷的方法，它不需要在移动设备上安装 Agent，也不需要修改应用来实现容器化，而是在安装企业应用时提示用户激活 Workspace Service，实际上是通过安装一个 Workspace Service Profile 来保护相关的企业应用数据。这种激活操作是一次性的，一旦第一次安装企业应用时安装了 Workspace Service Profile，后续安装其他的企业应用就不再需要重复这一操作了。

这种方法相当于在操作系统这一级提供了一个系统级的保护措施，但是并不需要在移动设备上安装任何代理软件，也能为企业应用提供容器化的保护。当然这种级别的保护比起设备级的保护还是要少一些功能，但是对于一般企业应用来讲已经足够安全了，特别适用于 BYOD 的应用场景。

适应性应用管理

利用这种最新的无代理应用管理技术 Workspace ONE 提供了适应性应用管理（Adaptive Management）方案，管理员可以把应用分为需要纳管和无需纳管两类，含有敏感业务数据的应用都需要纳管（如 Salesforce、企业邮箱等）；而象下例中的 WebEx（电视会议）和 Concur（差旅报销）都不含有业务敏感数据，就不需要纳管了。纳管的应用如果是使用 AirWatch SDK 来开发的，就自带应用容器，直接安装就可使用；而第三方的应用如 Salesforce，就需要先安装一个 Workspace Service Profile，然后才能安装并具有应用管理功能。

这种应用管理方案非常灵活，传统的 MAM 需要用户先把设备注册到 AirWatch，现在安装纳管应用时就可以直接注册 AirWatch，并且也不需要下载安装 AirWatch Agent。需要纳管的应用图标上都有一个小锁图样的标记，表示它含有敏感业务数据，很容易区分。

Workspace ONE 的适应性应用管理方案有助于企业降低在内部推广 BYOD 计划的难度，我们鼓励员工用自带设备办公，但是不再需要强制员工在一开始就安装 AirWatch Agent 并注册设备，部分员工对这种安全性要求有抵触情绪。现在，只有当员工想到安装某一企业应用来更方便地工作时，他才会被要求激活一个安全服务（Workspace Service），他会认为因为是自己需要访问企业数据，所以这样的要求是合理的。

在安装 Workspace Service Profile 的提示信息中还有一段 Learn More 的详细说明来解释关于用户隐私的设定，哪些信息会被公司访问和哪些信息不会被访问，从而让用户进从2010年至今一步解除疑虑，放心地安装和使用企业应用。