在目前的全球疫情下,很多企業(yè)正在努力讓員工有能力進(jìn)行遠程辦公。老實(shí)說(shuō)很多企業(yè)對此都措不及防。本文提供了相關(guān)指導:VMware如何快速幫助企業(yè)使用VMware Workspace ONE實(shí)現遠程辦公。
VMware Workspace ONE是一個(gè)強大的數字工作空間集成解決方案,包括訪(fǎng)問(wèn)管理、統一端點(diǎn)管理(UEM),分析,桌面和應用虛擬化以及端點(diǎn)安全。這些都是非常關(guān)鍵的解決方案,讓企業(yè)安全不受損壞,同時(shí)提供出色的用戶(hù)體驗。Workspace ONE 分為四個(gè)核心解決方案:
- Workspace ONE UEM – 提供統一端點(diǎn)管理,可管理Windows, Mac, iOS 和安卓設備,保護企業(yè)應用和數據。
- Workspace ONE Access – 提供統一應用門(mén)戶(hù),通過(guò)門(mén)戶(hù)可安全訪(fǎng)問(wèn)企業(yè)的所有應用,可單點(diǎn)登錄,用戶(hù)可通過(guò)Hub Service非常簡(jiǎn)易的獲取到企業(yè)各種應用。
- VMware Horizon – 提供虛擬應用和桌面,所有的數據都在數據中心運行。
- Carbon Black Cloud – 原生基于云的端點(diǎn)保護平臺(EPP) 結合智能系統固化和行為檢測,使用單個(gè)輕量級代理程序和易于使用的控制臺來(lái)抵御最新的威脅。
圖 1. Workspace ONE 平臺
第一步 – 獲取 Workspace ONE SaaS服務(wù)
你馬上可以會(huì )提問(wèn):“我怎么才能獲得這個(gè)解決方案并用起來(lái)呢?”企業(yè)目前的硬件和能力可能非常有限,大部分,如果不是所有員工都需要遠程辦公。VMware可以快速置備完整的 Workspace ONE 云端SaaS環(huán)境,基于企業(yè)需求提供快速訪(fǎng)問(wèn)和隨時(shí)擴展。
VMware已經(jīng)提供并管理相關(guān)SaaS服務(wù),包括:Workspace ONE UEM 和Workspace ONE Access,貴公司的IT團隊只需要關(guān)注如何管理設備、應用和安全策略。(筆者按:到目前為止中國只提供了由代理商運維的Workspace ONE UEM SaaS)
對于 VMware Horizon來(lái)說(shuō),企業(yè)可選擇所使用 Horizon Cloud Service 來(lái)管理自己的云端虛擬桌面和應用,目前在 Microsoft Azure 或 AWS。(筆者按:到目前為止中國還沒(méi)有)
第二步 – 用戶(hù)身份集成和企業(yè)資源訪(fǎng)問(wèn)
從最基本的集成來(lái)說(shuō),活動(dòng)目錄(Active Directory)可作為認證用戶(hù)身份源和授權訪(fǎng)問(wèn), Workspace ONE 提供連接器,可以安裝在本地,這樣可以實(shí)現集成和同步用戶(hù)以及用戶(hù)組。這種集成是最基本的,可以用來(lái)實(shí)現企業(yè)應用安全訪(fǎng)問(wèn),基于設備的條件訪(fǎng)問(wèn),身份和用戶(hù)行為等等。同時(shí)集成也可以幫助打造統一門(mén)戶(hù),這樣最終用戶(hù)可以在任意設備上同一位置訪(fǎng)問(wèn)所有應用。
遠程辦公另一基本要素是要能訪(fǎng)問(wèn)到私有部署的企業(yè)數據。員工可能需要訪(fǎng)問(wèn)文件、郵件和應用,這些都在內網(wǎng)存放。IT為了滿(mǎn)足這些需求,就需要在不損壞安全的前提下提供外部訪(fǎng)問(wèn)支持。Workspace ONE提供了安全網(wǎng)關(guān)組件(UAG),可部署在DMZ區,以確保所以訪(fǎng)問(wèn)請求都被認證并來(lái)自于企業(yè)納管設備。一臺UAG就可以處理多種使用案例和上千用戶(hù)。
圖2. 通過(guò)統一應用門(mén)戶(hù),最終用戶(hù)可訪(fǎng)問(wèn)web,原生和遠程虛擬應用。
統一應用門(mén)戶(hù)作為Workspace ONE Intelligent HUB的一部分提供了無(wú)縫集成,讓員工可以訪(fǎng)問(wèn)企業(yè)的各種應用,如 Service Now, Salesforce, Slack, Office 365, 遠程虛擬桌面和應用,單點(diǎn)登錄和多因素認證 (MFA) 可用來(lái)加強應用訪(fǎng)問(wèn)時(shí)的安全性。
第三步 – 定義訪(fǎng)問(wèn)策略和部署應用
清楚認識到企業(yè)需要具備能力讓員工可以遠程辦公,這可以大大推動(dòng)解決方案的落地實(shí)施和訪(fǎng)問(wèn)策略的制定。員工的職能角色和設備的所有權(企業(yè)配發(fā)或自帶設備)非常重要,必須在這一步考慮進(jìn)去,因為這將驅動(dòng)安全策略如果制定,以及應用如何交付。
從應用的角度看,必須計劃好最終用戶(hù)能看到什么應用,以及如何交付使用。Workspace ONE 可以交付并管理原生和Web應用,集成設置設備安全策略。Workspace ONE 同樣可以提供遠程虛擬桌面和應用,這些桌面和應用都在數據中心運行和維護。
從設備的角度看,有些用戶(hù)將繼續使用企業(yè)配發(fā)的筆記本和手機作為遠程辦公的工具,在這種情況下,Workspace ONE UEM 管理員可以最大權限的控制這些設備。管理員可以應用安全策略,嚴禁最終用戶(hù)訪(fǎng)問(wèn)設備的設置功能。在這種場(chǎng)景下,最終用戶(hù)可從設備訪(fǎng)問(wèn)Web和原生應用,安全策略也會(huì )確保設備上的企業(yè)數據安全。如果員工把設備丟了,可執行遠程擦除指令,清除設備上的企業(yè)數據,或者將設備擦除到出廠(chǎng)狀態(tài)。
另一方面來(lái)說(shuō)說(shuō),有些客戶(hù)會(huì )在遠程辦公使用自己的設備,這樣 UEM管理員又無(wú)法那么強力的管理這些設備了。企業(yè)必須要平衡的考慮是把應用真正分發(fā)到這些個(gè)人設備上,還是分發(fā)虛擬桌面和應用。Workspace ONE可提供兩種選擇,無(wú)縫結合,實(shí)現員工訪(fǎng)問(wèn)和IT安全需求的平衡。
第四步 – 納管用戶(hù)設備
基于企業(yè)所在的行業(yè)或目前的情況,員工可能有或沒(méi)有企業(yè)配發(fā)的專(zhuān)用設備。首先,企業(yè)需要考慮哪些設備平臺或關(guān)鍵因素是員工遠程辦公是所需要的。企業(yè)的移動(dòng)用戶(hù)(那些已經(jīng)居家辦公或使用企業(yè)配發(fā)設備的) 很大可能不需要考慮這些,無(wú)非是加上一層管理功能以獲得設備管理的收益:
- 從任意設備無(wú)縫訪(fǎng)問(wèn)任意應用
- 可發(fā)送實(shí)時(shí)通知到所有員工的所有設備上
- 隔空設設置備配置,策略,企業(yè)安全基線(xiàn)
- 自定義儀表盤(pán)和報表,獲知所有企業(yè)設備狀態(tài)
- 可設置設備最低標準的安全基線(xiàn),部署安全方案和策略,實(shí)時(shí)合規檢測和修復
可通過(guò) What Is Workspace ONE讓最終用戶(hù)了解什么是Workspace ONE,通過(guò)Privacy App讓最終用戶(hù)緩解隱私方面的顧慮。
那些沒(méi)有企業(yè)配發(fā)設備的員工,從來(lái)沒(méi)有遠程居家辦公的,企業(yè)最好從一些小技巧開(kāi)始溝通。除此之外,企業(yè)也可以賦能員工將任意設備(員工自帶設備)納管進(jìn)來(lái),這些設備是他們非常喜歡的,愿意用它們來(lái)辦公的。你可以發(fā)送給他們納管用的鏈接,這將給他們一個(gè)快速入口。
為了幫助完成這一過(guò)程,VMware提供了一個(gè)工具包,其中包括預先制作的、可定制的模板、最佳實(shí)踐和想法,可以幫助企業(yè)啟動(dòng)自己的流程,并立即開(kāi)始使用Workspace ONE平臺推動(dòng)采用率。
從技術(shù)角度看,完成 Workspace ONE 安裝需求后,最快讓現有設備納管的方法就是讓用戶(hù)訪(fǎng)問(wèn) getwsone.com 或 getws1.com ,根據指引開(kāi)始納管。請記住這些是流水線(xiàn)式的納管方式,當然他們可能需要一些前置條件或附加的配置才可以實(shí)現。簡(jiǎn)單舉幾個(gè)例子:Windows 的 OOBE/Autopilot(開(kāi)箱即用),Dell Factory Provisioning(Dell工廠(chǎng)置備),Apple商務(wù)管理自動(dòng)納管 macOS 和 iOS ,或是安卓的Work Managed Device/Work Profile 納管模式。訪(fǎng)問(wèn)Tech Zone上的quick-start learning paths 可獲得更多信息。
圖 3. 統一管理任意操作系統和任意設備類(lèi)型
第五步 – 跟蹤員工體驗&提供不間斷的支持
到這一步企業(yè)已經(jīng)配置了所有項目,開(kāi)始納管新的用戶(hù)和他們的設備,企業(yè)可能在思考: “我們怎么支持這些遠程用戶(hù)呢?” 如果企業(yè)支持團隊有多種專(zhuān)業(yè)方向的成員,企業(yè)可以配置自定義管理員角色 (或者使用平臺已經(jīng)定義好的管理員角色),這樣的話(huà)每個(gè)管理員只能看到和訪(fǎng)問(wèn)到哪些對他們最重要的部分。最終用戶(hù)也可以訪(fǎng)問(wèn)自服務(wù)站點(diǎn),獲取多種能力,比如找到他們自己的BitLocker (Windows10專(zhuān)業(yè)版或以上)恢復秘鑰,定位自己的設備或是可以選擇擦除/鎖定設備,如果設備遺失或被偷。另外,服務(wù)臺可以使用Workspace ONE Assist,非常方便的遠程查看,控制,白板,記錄,查看進(jìn)行,共享或從目標設備抓取日志,當然這一切都是最終用戶(hù)知曉,并在需要更加級別的即時(shí)協(xié)助時(shí)進(jìn)行。
以上段落描述了如何響應式的支持最終用戶(hù)。然而,你還可以利用自動(dòng)化來(lái)預判式幫助最終用戶(hù)。通過(guò) Workspace ONE Intelligence,該平臺可以支持和很多第三方服務(wù)集成,實(shí)現自定義的全局儀表板,報告和強大的自動(dòng)化操作流程。通過(guò)CVE集成和自動(dòng)補丁分發(fā),企業(yè)可確保設備安全。在筆記本電池無(wú)法充電之前,預先分發(fā)給最終用戶(hù)替換用的電池。使用Sensor(自定義屬性)可讓你獲知納管設備上的任意屬性值,并因此執行自動(dòng)化流程。
本文的目的是讓企業(yè)開(kāi)始思考如何將任意應用分發(fā)到任意設備上,使員工可以即使隨地的開(kāi)展各種各樣的工作,同時(shí)保護核心數據。請務(wù)必查看 Digital Workspace Tech Zone podcasts, Maintaining Business Continuity in Difficult Times – Part 1, 我們將與EUC技術(shù)營(yíng)銷(xiāo)團隊的專(zhuān)家更加詳細的討論本主題!
