額…不要在意這些細節,完全看心情不好嗎?
好,再開(kāi)始之前…我們先回顧一下Workspace ONE四大核心方案:
- Workspace ONE UEM – 提供統一端點(diǎn)管理,可管理Windows, Mac, iOS 和安卓設備,保護企業(yè)應用和數據。
- Workspace ONE Access – 提供統一應用門(mén)戶(hù),通過(guò)門(mén)戶(hù)可安全訪(fǎng)問(wèn)企業(yè)的所有應用,可單點(diǎn)登錄,用戶(hù)可通過(guò)Hub Service非常簡(jiǎn)易的獲取到企業(yè)各種應用。
- VMware Horizon – 提供虛擬應用和桌面,所有的數據都在數據中心運行。
- Carbon Black Cloud – 原生基于云的端點(diǎn)保護平臺(EPP) 結合智能系統固化和行為檢測,使用單個(gè)輕量級代理程序和易于使用的控制臺來(lái)抵御最新的威脅。**CB確實(shí)是個(gè)好東西,可惜還沒(méi)進(jìn)入國內哈。
接下來(lái)我們進(jìn)入正題:
//第一步-獲取 Workspace ONE SaaS服務(wù)//
VMware Workspace ONE 可以是SaaS的,也可以本地部署(私有化)。在選擇試用時(shí),采用SaaS顯然才是正確的答案(雖然有些客戶(hù)不這么想)。國內怎么才能搞到一個(gè)SaaS環(huán)境呢?
VMware Workspace ONE 可以是SaaS的,也可以本地部署(私有化)。在選擇試用時(shí),采用SaaS顯然才是正確的答案(雖然有些客戶(hù)不這么想)。國內怎么才能搞到一個(gè)SaaS環(huán)境呢?
- 聯(lián)系VMware 銷(xiāo)售和代理
PS:生成一個(gè)SaaS環(huán)境只需要點(diǎn)幾下鼠標,敲點(diǎn)東西…最多兩分鐘搞定。
拿到了SaaS環(huán)境后呢?
- Workspace ONE UEM有豐富的向導功能,足以完成各種推出前的準備,自動(dòng)發(fā)現,APNS證書(shū),配置文件,單點(diǎn)登錄等等等等。
- Workspace ONE UEM有多租戶(hù)架構(tenant),所以你自己也可以接著(zhù)創(chuàng )建子組織組,平行組織組可以有不同的安全策略、配置、應用分發(fā)等等等等。是不是很cool?
其他的SaaS服務(wù)還沒(méi)有完全落地,這里我就不介紹了。等落地了再給大家介紹吧。
//第二步-用戶(hù)身份集成和企業(yè)資源訪(fǎng)問(wèn)//
Workspace ONE是云部署架構沒(méi)錯,和企業(yè)集成只需要很少的本地架構或完全不需要(現實(shí)中完全不需要的大約10%吧)。常見(jiàn)的集成像活動(dòng)目錄啦,證書(shū)頒發(fā)機構啦,非常方便易用。
Workspace ONE是云部署架構沒(méi)錯,和企業(yè)集成只需要很少的本地架構或完全不需要(現實(shí)中完全不需要的大約10%吧)。常見(jiàn)的集成像活動(dòng)目錄啦,證書(shū)頒發(fā)機構啦,非常方便易用。
好了,是時(shí)候看一下架構圖,很簡(jiǎn)單(復雜)對不對:
沒(méi)那么復雜了,其實(shí)不是企業(yè)都要用所有模塊的,一切看需求:
- 部署并配置 AirWatch Cloud Connector (ACC) – 安裝在內網(wǎng),作為云鏈接器可以替Workspace ONE UEM完成和企業(yè)后端資源集成。防火墻上就不用打洞了(不是開(kāi)車(chē))。
- 部署并配置Workspace ONE Access Connector – 給Workspace ONE Access服務(wù)用的鏈接器。
- 部署并配置Unified Access Gateway (UAG) – 統一網(wǎng)關(guān),訪(fǎng)問(wèn)和安全并重。目前開(kāi)啟遠程辦公必備。里面有很多服務(wù)。
- 配置VMware Tunnel 邊緣服務(wù) – 應用級安全隧道,可用于原生和web應用,不管是移動(dòng)端還是桌面都可以用(Windows10,macOS)啦。
- 配置Secure Email Gateway 服務(wù)– 安全郵件網(wǎng)關(guān),原先是單獨套件,UAG3.6(大約是吧)也加入了SEG服務(wù)。非常常用的對吧。
- 配置Content Gateway邊緣服務(wù)– VMware Workspace ONE? Content 應用可以通過(guò)這個(gè)服務(wù)訪(fǎng)問(wèn)內部文件共享、SharePoint資料庫等等。
- 配置 Web 反向代理和身份橋接 – 為web應用提供反向代理,為身份認證服務(wù)提供橋接,如Kerberos 或基于header的認證。
- 配置Horizon 邊緣服務(wù) – Horizon從內網(wǎng)走向外網(wǎng)的保證,替換原先的Security Server。
- 配置移動(dòng)郵件管理 – 保護郵件架構(不直接開(kāi)放訪(fǎng)問(wèn)),提供各種MEM功能:接入控制,合規,附件加密等等。
- 配置Workspace ONE Access集成第三方IdP和應用 – Workspace ONE Access 作為身份認證的中心,橋接各種企業(yè)已有的第三方身份認證解決方案,提供無(wú)縫SSO體驗。
- 配置Hub 服務(wù) – Hub 服務(wù)將原先的Workspace ONE門(mén)戶(hù),People通知等等集成到Hub應用里面,員工有一個(gè)就足夠了。本地部署目前還沒(méi)法用(因為要SaaS版的Workspace ONE Access),不過(guò)后面版本會(huì )支持,把hub變成無(wú)敵統一門(mén)戶(hù)。
- 配置 Workspace ONE Intelligence – 提供洞察力,用戶(hù)行為風(fēng)險分析,自動(dòng)流程等等各種高級功能。讓企業(yè)可以決策并執行的超高級服務(wù)(純SaaS,國內沒(méi)有)。
//第三步-定義訪(fǎng)問(wèn)策略和部署應用//
集成好之后,下一步當然是定義各種訪(fǎng)問(wèn)策略,分配組(智能組這個(gè)名字不錯,但分配組可能更直接一些)也要建起來(lái),怎么建當然是根據實(shí)際需求。
集成好之后,下一步當然是定義各種訪(fǎng)問(wèn)策略,分配組(智能組這個(gè)名字不錯,但分配組可能更直接一些)也要建起來(lái),怎么建當然是根據實(shí)際需求。
- 創(chuàng )建并分配設備配置文件和策略 – 設備配置文件是管理設備最重要的啦,講企業(yè)規劃的安全策略和流程通過(guò)配置文件和合規策略進(jìn)行功能落地。不知道怎么配置的可以從最常見(jiàn)的開(kāi)始,比如郵件、加密、設備密碼要求、wifi等等等等。
- 不同操作系統的配置文件當然需要分開(kāi)創(chuàng )建,因為每個(gè)操作系統廠(chǎng)商提供的接口功能也不一樣的,具體可以翻翻我們的手冊。自己多試試是最好的選擇,因為接口功能也是改來(lái)改去。
- 創(chuàng )建配置文件時(shí)第一步永遠是通用(General),之后是各種負載(Payload,相信我這詞不好翻譯,Apple這么翻譯后大家也就這樣翻譯了):
- 通用 設定如何分發(fā)配置文件和分發(fā)給哪些設備。
- 負載 才是真正起作用的部分,可以是限制也可以是其他一些配置。一旦安裝即刻生效。
- 在 Workspace ONE Access中設定條件訪(fǎng)問(wèn)策略 – 條件訪(fǎng)問(wèn)策略就是把有關(guān)用戶(hù)、設備和應用的部分都互相關(guān)聯(lián)起來(lái),比如用戶(hù)能不能看見(jiàn)這些應用,如何訪(fǎng)問(wèn)這些應用(什么樣的認證條件)。
- 利用 風(fēng)險分析 可以基于用戶(hù)行為打分,什么機器學(xué)習啦,人工智能啊。
應用其實(shí)才是遠程辦公的核心(這句話(huà)記下來(lái)要考的)。
所有設定都應該圍繞應用展開(kāi)。所以Workspace ONE Intelligent Hub 應用的聯(lián)合統一目錄(門(mén)戶(hù)更好聽(tīng)好記)是核心中的核心。最終用戶(hù)可以非常方便的在這里找到任何他們需要的應用,直接使用或自動(dòng)、按需安裝。
作為管理員,可需要決定到底是使用web還是原生應用,或者使用虛擬應用,一切取決于如何分發(fā)和使用,企業(yè)的安全策略,等等。
- 添加和分配應用到聯(lián)合目錄(門(mén)戶(hù)) – Workspace ONE Intelligent Hub 提供聯(lián)合目錄,所有應用都可以找到,當然具備操作系統感知功能。虛擬應用和桌面總是可以跨界的。
還有一些其他應用是需要分發(fā)的比如 Carbon Black Cloud Sensor 以確保終端安全,Workspace ONE Assist client 讓管理員可以遠程協(xié)助,Workspace ONE Tunnel 提供應用級VPN隧道,安全訪(fǎng)問(wèn)企業(yè)內部資源。
- 還有各種移動(dòng)設備上的生產(chǎn)力工具對吧?這都是Workspace ONE 自帶的,不用單獨花錢(qián)購買(mǎi)的。
- Workspace ONE Boxer – 安全訪(fǎng)問(wèn)郵件、日歷和聯(lián)系人。
- Workspace ONE Web – 使用應用級隧道安全訪(fǎng)問(wèn)內部站點(diǎn)。
- Workspace ONE Smartfolio – 幫助企業(yè)管理和分享給員工他們工作所需的關(guān)鍵企業(yè)內容,符合企業(yè)文檔發(fā)放規定,合規審計等等。
- Workspace ONE Content – 安全訪(fǎng)問(wèn)企業(yè)內部文檔庫里面的內容,文件共享,SharePoint站點(diǎn)和其他內容管理系統(有興趣可以百度CMIS)。
- Workspace ONE Notes – 安全訪(fǎng)問(wèn)備忘錄和任務(wù)管理,最終用戶(hù)可以隨時(shí)隨地安全記錄想法,會(huì )議記錄和任務(wù)等等。
- 配置SDK策略 – Workspace ONE 平臺也提供SDK庫,可以賦予企業(yè)應用一些非常好的能力:認證、DLP設置、單點(diǎn)登錄等等。
//第四步-納管用戶(hù)設備//
如何納管設備很重要,開(kāi)啟前最好和所有相關(guān)部門(mén)溝通,人事、IT和領(lǐng)導,記錄整理他們的需求,專(zhuān)注于提高用戶(hù)體驗,讓員工更具生產(chǎn)力(工具人)。
如何納管設備很重要,開(kāi)啟前最好和所有相關(guān)部門(mén)溝通,人事、IT和領(lǐng)導,記錄整理他們的需求,專(zhuān)注于提高用戶(hù)體驗,讓員工更具生產(chǎn)力(工具人)。
- 是的,VMware官方有 Getting Started with the Workspace ONE End-User Adoption Kit 可以參考。當然你可以自行設計或基于官方文檔參考設計。最后不要忘記培訓最終用戶(hù)!
OK,從技術(shù)角度看,最快的方式是利用 VMware Workspace ONE Intelligent Hub應用。不管什么樣的平臺都可以從訪(fǎng)問(wèn)這個(gè)地址開(kāi)始: getwsone.com. 當然,你可以選擇下發(fā)郵件,附上注冊?huà)呙栌玫亩S碼和簡(jiǎn)單的指引。
當然,從最終用戶(hù)的角度看
- 訪(fǎng)問(wèn)getwsone.com,下載Workspace ONE Intelligent Hub 應用。
- 使用企業(yè)郵箱和憑證納管設備。
- 納管完成后,打開(kāi)Workspace Intelligent Hub,訪(fǎng)問(wèn)企業(yè)門(mén)戶(hù)(聯(lián)合目錄)!
使用二維碼的話(huà),你就需要考慮是不是自動(dòng)發(fā)送用戶(hù)激活郵件,提示用戶(hù)納管是設備,從控制臺訪(fǎng)問(wèn)Device & Settings > All Settings > Device & Users > General > Message Templates 可以自定義郵件模板。
- 最終用戶(hù)收到郵件(或短信,沒(méi)啥人用了,相信我),掃描二維碼。
- 提示時(shí)輸入企業(yè)憑證。
- 納管完成后,打開(kāi)Workspace Intelligent Hub,訪(fǎng)問(wèn)企業(yè)門(mén)戶(hù)(聯(lián)合目錄)!
給一個(gè)激活郵件的例子吧。
當然我們還有很多的選擇不是嗎?尤其是Windows10的開(kāi)箱即用,如果有AAD Premium就再方便不過(guò)了(不,你并沒(méi)有)
- 好吧我們來(lái)看一下:
- 計劃Windows10部署 ,做好一切準備,參考我們的決策流程(techzone里面有)可以幫助你決定使用那些納管的方式。
- 使用 Azure AD 講Workspace ONE 和 Azure AD集成,可以實(shí)現開(kāi)箱即用,員工第一次打開(kāi)Windows10設備就可以無(wú)縫納管。當然你需要互聯(lián)網(wǎng)。
- Dell 工廠(chǎng)預置 ,管理員可以從Dell直接訂購設備,Dell工廠(chǎng)可以預置必須的應用,設備直接發(fā)到員工,實(shí)現開(kāi)箱即用。
- 如果已經(jīng)有在用SCCM管理設備或設備已經(jīng)加入域,可以看看用命令行 Onboarding using Command-Line enrollment 和 Workspace ONE AirLift.去techzone找這些文檔吧。
- macOS 納管選項:
- 可以參考Onboarding Options for macOS 文檔。
- 集成 Apple Business Manager 可實(shí)現Apple設備開(kāi)箱即用。
- Android 納管選項:
Managing Android Devices 文檔提供多種納管選項,Work Profile (BYOD), Work Managed (Corporate-Owned) and COPE (Hybrid)。國內…你懂得,用傳統模式吧。
- iOS 納管選項:
集成 Apple Business Manager 可實(shí)現Apple設備開(kāi)箱即用。
//第五步-跟蹤員工體驗&提供不間斷的支持//
希望你堅持著(zhù)看到這一步。
希望你堅持著(zhù)看到這一步。
廢話(huà)不多說(shuō)。
- 可以創(chuàng )建不同角色的管理員,分發(fā)給服務(wù)臺和同事使用。
- 通知最終用戶(hù)自服務(wù)門(mén)戶(hù)Self-Service Portal to 可以讓他們自己控制部分MDM功能(聽(tīng)起來(lái)很cool),減輕IT壓力。
- 人工智能助手是個(gè)好東西,如上圖。國內目前還沒(méi)法用。
- 使用 Workspace ONE Intelligence 可以自動(dòng)化替換即將無(wú)法使用的電池,自動(dòng)化補丁修復,各種自動(dòng)化非常炫酷,企業(yè)還有全局一覽控制臺,多棒,就是國內沒(méi)有平臺。
太多太多東西了。Workspace ONE方案是一個(gè)非常龐大的綜合解決方案,功能也在不斷加入和變化。但筆者相信這確實(shí)是一個(gè)了不起的平臺。
