从微软发iPhone,聊聊企业设备管理

news2024/11/22 16:30:11

今天讲个上周的旧闻,微软给员工免费发iPhone。其实上周就有很多朋友私信问我,在知乎上邀请我回答相关话题,今天就抽点时间和大家一起聊聊这事。我不想讨论太多新闻本身,而是更想聊聊事件的主要原因——微软企业设备管理,以及直接原因——企业设备管理在中国大陆“安卓”设备上的困境。

为什么微软发iPhone 15

首先可以排除,微软是发福利,虽然历史上微软确实给员工发过手机,但那是微软自己的Windows Phone,可惜我也没赶上。

网上很多人说,是因为国内“安卓”手机(目前国内没有严格意义上的Android手机,各家大厂都在各显神通的自研系统,这里姑且允许我偷懒将这些设备统称为“安卓”手机吧)缺失谷歌GMS服务,所以“Microsoft Authenticator”无法正常使用,因此微软给员工发iPhone,这样员工可以正常使用“Microsoft Authenticator”(Apple的APNS在中国大陆是可以正常使用的)。这确实是原因之一,但光这个原因并不充分。因为,Microsoft Entra(以前的Azure AD)的MFA(多音字身份验证)支持多种验证方式,如果使用动态口令、短信、电话等,其实并不依赖谷歌GMS。

真正迫使微软给员工iPhone的原因是国内“安卓”手机无法完美支持自家的企业设备管理方案(EMS,也就是过去大家说的MDM和MAM的集合)“Intune”。

其实,不仅仅是微软自家的Intune不行,大部分EMS/MDM方案在国内“安卓”手机上都是困难重重,而大部分专家给出的Workaround(折中方案)都是换iOS,只是微软“慷慨”给员工发放的iPhone,有些企业就会让员工自掏腰包购买符合条件的设备,否则就会失去移动办公的便利性。

什么是企业终端管理?

刚才我反复提到“企业终端管理”,那什么是企业终端管理?下面我就以微软“Intune”为例,介绍什么是企业终端管理,企业终端管理可以做什么,企业终端管理有哪些价值?

什么是企业设备管理

企业设备管理是指通过一套综合性的方法和工具来管理、监控和保护企业内的所有计算设备,包括桌面电脑、笔记本、平板电脑和智能手机。企业设备管理旨在确保这些设备的安全性、合规性,并提升其使用效率,进而支持企业的业务目标。

企业设备管理的体系结构

企业设备管理的体系结构通常包括以下几个部分:

  1. 设备注册与配置:这一步骤涉及将设备加入到企业的管理系统中,并按照企业的安全和使用策略进行配置。
  2. 策略管理:管理和分发设备策略,包括安全策略(如密码要求、加密)、配置策略(如Wi-Fi、VPN设置)以及应用管理策略。
  3. 应用管理:分发和管理企业应用程序,确保员工能够访问必要的工具,同时防止未经授权的应用使用。
  4. 设备监控和报告:实时监控设备状态,收集使用数据,并生成报告,以便企业能够了解设备的健康状况和使用情况。
  5. 安全与合规管理:确保设备和数据的安全,通过监控合规性、实施安全策略和响应安全事件来保护企业资源。

企业设备管理能做什么

企业设备管理通过多种功能和服务,帮助企业更有效地管理其设备:

  1. 统一设备管理:通过集中管理工具,管理员可以对企业内的所有设备进行统一管理,无论这些设备是Windows、macOS、iOS还是Android系统。
  2. 安全保护:通过策略和配置管理,保护设备上的企业数据,防止数据泄露和未授权访问。
  3. 应用分发:确保员工能访问所需的应用,同时控制和监控应用的使用情况。
  4. 远程支持:提供远程诊断和故障排除功能,帮助IT团队快速解决设备问题。
  5. 合规性管理:监控设备的合规状态,确保其符合企业和行业的法规要求。
  6. 设备生命周期管理:从设备采购到报废,全程管理设备的使用和维护。

为什么企业需要设备管理

  1. 增强安全性:随着移动设备和远程工作的普及,企业面临更多的安全威胁。通过设备管理,可以确保设备上的数据安全,防止泄露和攻击。
  2. 提高生产力:设备管理确保员工能够顺利访问所需的工具和资源,减少技术问题对工作的干扰,提升工作效率。
  3. 成本控制:通过集中管理和监控,企业可以更有效地利用资源,降低设备维护和管理成本。
  4. 合规性和报告:确保设备符合行业和法律法规要求,提供详细的报告和监控,帮助企业满足审计和合规需求。
  5. 支持灵活办公:随着远程办公和移动办公的普及,企业设备管理变得尤为重要。它能够确保无论员工身处何地,都能安全地访问企业资源和数据。

企业设备管理是现代企业必不可少的一部分。通过使用 Microsoft Intune 等先进的管理工具,企业能够实现全面的设备管理,确保设备安全、提高生产力、降低成本,并满足合规要求。随着企业环境的不断变化,企业设备管理的重要性也将日益增加。

企业设备管理的“安卓”困境

通过上述介绍,相信大家对企业设备管理有了一个全面的认识,但这样一个好用的生产力工具却在国内“安卓”手机上碰壁了。下面,我继续以“Intune”为例,解释为什么大部分企业设备管理方案与国内“安卓”手机水土不服,如果想在国内使用企业管理设备,该如何办。

为什么“Intune”与国内“安卓”手机水土不服

接触企业设备管理十多年来,我经常被问及为什么Intune 等企业设备管理方案在中国大陆“安卓”手机上难以使用。这个问题的答案并非简单,涉及到技术、政策等多方面因素的复杂交织。

1. Google 移动服务 (GMS) 的缺失

这是 Intune 等企业设备管理方案在中国大陆“安卓”手机上无法正常工作的首要原因。Intune 等企业设备管理方案依赖 GMS 框架中的许多服务,例如 Google Play 服务、Firebase 云消息传递 (FCM) 等,来实现其核心功能,包括:

  • 应用分发和管理: Intune 等企业设备管理方案通常通过 Google Play 商店分发企业应用,并利用 Play Protect 进行安全扫描。GMS 的缺失意味着企业无法通过 Intune 等企业设备管理方案在中国大陆“安卓”设备上部署应用,只能寻求替代方案,例如第三方应用商店或手动安装,这增加了管理成本和安全风险。
  • 远程设备管理: Intune 等企业设备管理方案利用 FCM 推送通知来实现策略更新、远程擦除设备、锁定设备等功能。没有 FCM,这些功能将无法正常工作,企业无法有效地控制和保护移动设备。
  • 数据同步和安全: Intune 等企业设备管理方案利用 GMS 提供的云服务进行数据同步和安全防护。GMS 的缺失会导致数据同步失败、安全策略无法及时更新等问题,降低设备安全性和数据保护能力。

2. Android Enterprise 的限制

Android Enterprise是一种用于企业设备管理的框架,依赖于 GMS 提供的服务。在中国大陆,由于 GMS 的缺失,Android Enterprise 也无法使用。这导致企业无法利用 Android Enterprise 提供的高级管理功能,如工作配置文件和设备策略管理。

3. 应用市场的限制

在中国大陆,Google Play 商店缺失,用户必须依赖本地应用市场(如华为应用市场、腾讯应用宝等)来下载和更新应用。然而,这些市场可能不提供最新版本的 Intune 等企业设备管理方案的客户端应用,或者应用更新不及时,导致用户无法获得最新的功能和安全补丁。

4. 旁加载应用的风险

由于无法通过官方应用市场获取 Intune 等企业设备管理方案的客户端应用,用户可能需要通过旁加载方式安装应用。旁加载应用存在以下风险:

安全风险:旁加载应用可能来自不受信任的来源,增加了恶意软件感染的风险。

更新和维护困难:旁加载应用不会自动接收更新和修复,用户需要手动更新,增加了维护的复杂性和安全隐患。

5. 网络连接问题

中国大陆复杂的网络环境和防火墙设置可能会阻碍 Intune 等企业设备管理方案与其云服务之间的通信。这会导致以下问题:

  • 数据同步延迟: 设备信息、策略更新等数据无法及时同步到Intune 等企业设备管理方案云端,影响设备管理效率。
  • 远程操作失败: 无法远程控制设备,例如远程擦除设备、锁定设备等。
  • 应用下载和更新失败: 无法从Intune 等企业设备管理方案云端下载和更新应用。

6. 兼容性问题

中国大陆的安卓手机厂商众多,定制化系统版本繁多,与国际版本存在较大差异,这可能导致Intune 等企业设备管理方案与某些设备或系统版本不兼容,出现功能异常或无法使用的情况。例如,国内“安卓”系统对某些权限和API的限制可能会影响Intune 等企业设备管理方案的设备管理和安全策略实施。

7. 政策和监管环境

中国政府对数据安全和网络安全有着严格的监管政策,这可能会对 Intune 等海外企业设备管理方案的部署和使用造成限制。

解决方案与替代方案

那国内客户是不是就不能使用Intune 这类企业设备管理方案吗?这倒也不是,如果您的组织对设备管理有强烈需求,不妨考虑如下解决方案:

1、要求员工使用符合条件的移动设备

如微软一样,要求员工统一使用iOS设备,是解决上述问题的最佳方式。当然,你可以选择一些支持GMS的Android设备,例如部分三星、MOTO(联想)品牌的设备,但这样的设备目前越来越少,并且您还需要解决除GMS外的其他影响因素(例如网络、应用市场等),因此意义其实不大。

2、使用MAM替代MDM

应用保护策略 (也称为移动应用程序管理或 MAM) 是个人自带设备 (BYOD) 的绝佳选择。无需设备注册即可使用 APP,从而在不影响最终用户工作效率的情况下保护组织在个人设备上的数据。这也是微软官方对GMS缺失设备管理的推荐方案。但相较于MDM方案,我们需要考虑MAM的以下不足:

  1. 设备安全性不足:MAM主要集中在应用层面的管理,无法对设备本身进行全面的控制。这可能导致设备丢失或被盗时,无法进行远程擦除或锁定,增加了数据泄露的风险。
  2. 无法管理设备设置:管理员无法统一配置设备的网络、VPN、Wi-Fi和其他系统设置,这可能导致配置不一致,影响员工的工作效率和安全性。
  3. 不兼容的第三方应用:MAM的策略和功能可能不适用于所有第三方应用,特别是那些没有内置企业管理功能的应用。这限制了MAM的应用范围,企业可能无法完全控制所有使用的应用程序。
  4. 应用级别的策略配置复杂:由于MAM需要针对每个应用单独配置策略,这可能增加管理员的工作量,特别是在企业使用大量应用程序的情况下。

3、使用VDI方案

在当前企业设备管理中,传统方案面临着诸多挑战,尤其是在国内安卓设备因缺乏Google移动服务(GMS)而带来的困境。基于移动操作系统的虚拟桌面基础架构(VDI)技术(例如云手机)作为一种替代方案,能够有效解决这些问题。

基于移动操作系统的虚拟桌面基础架构(VDI)是一种将移动设备环境虚拟化的技术。通过VDI,用户可以在任何设备上访问虚拟的移动操作系统,无需依赖本地设备的硬件和软件环境。这意味着即使安卓设备没有GMS,用户仍然可以通过VDI访问所需的应用和服务。

优势

  1. 统一的移动操作系统环境:VDI技术允许用户在任何设备上访问相同的移动操作系统环境,避免了因设备差异带来的兼容性问题。
  2. 更高的安全性:所有数据和应用都存储在服务器端,减少了设备丢失或被盗所带来的风险。管理员可以集中管理和更新虚拟移动操作系统,确保所有设备始终运行最新的安全补丁和软件版本。
  3. 灵活的资源管理:VDI技术具有良好的可扩展性,企业可以根据需求动态调整资源分配,满足不同用户和业务场景的需求。这不仅提高了资源利用率,还降低了硬件成本和维护费用。
  4. 解决GMS缺失问题:通过VDI,用户可以在没有GMS的安卓设备上访问所需的应用和服务,从而解决了因缺乏GMS而导致的功能限制。
  5. 更好的移动应用兼容性:基于移动操作系统的VDI专为运行移动应用而设计,能够更好地兼容和支持各种移动应用程序,而传统桌面VDI主要针对桌面应用,可能在运行移动应用时存在兼容性问题。
  6. 更高的便携性:移动操作系统VDI可以在智能手机、平板电脑等移动设备上无缝运行,用户可以随时随地访问虚拟环境。而传统桌面VDI通常需要较大的屏幕和键盘,便携性相对较差。
  7. 更低的硬件要求:移动操作系统VDI对本地设备的硬件要求较低,甚至可以在低端设备上流畅运行。这使得企业可以节省硬件成本,而传统桌面VDI通常需要较高性能的设备来保证流畅运行。
  8. 更好的用户体验:移动操作系统VDI提供了与本地移动设备相似的用户界面和操作体验,用户可以更容易适应和使用。而传统桌面VDI的用户界面和操作方式与移动设备存在较大差异,可能需要一定的学习和适应时间。
  9. 更灵活的使用场景:移动操作系统VDI可以适用于更多的使用场景,例如外勤工作、远程办公等,用户可以随时随地访问工作环境。而传统桌面VDI主要适用于固定办公场所,使用场景相对有限。

基于移动操作系统的VDI技术提供统一的移动操作系统环境、更高的安全性和灵活的资源管理,能够有效替代传统设备管理方案,解决国内安卓设备因没有GMS而带来的困境,为企业提供更高效、安全的设备管理解决方案。

总结

本文通过分析微软向员工发放iPhone 15的事件,深入探讨了企业设备管理(EMS)在中国大陆面临的挑战,尤其是“安卓”设备上Intune等方案的困境,指出了由于Google移动服务(GMS)缺失、Android Enterprise限制、应用市场限制、旁加载风险、网络连接问题、兼容性问题以及政策监管环境等因素造成的障碍,并提出了包括使用iOS设备、移动应用程序管理(MAM)和VDI解决方案来应对这些挑战,以确保企业数据安全和提高管理效率。

参考资料

https://learn.microsoft.com/zh-cn/mem/intune/fundamentals/what-is-device-management https://learn.microsoft.com/zh-cn/mem/intune/fundamentals/what-is-intune

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1936306.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

深入浅出WebRTC—DelayBasedBwe

WebRTC 中的带宽估计是其拥塞控制机制的核心组成部分,基于延迟的带宽估计是其中的一种策略,它主要基于延迟变化推断出可用的网络带宽。 1. 总体架构 1.1. 静态结构 1)DelayBasedBwe 受 GoogCcNetworkController 控制,接收其输入…

C++STL初阶(7):list的运用与初步了解

在了解了vector之后,我们只需要简单学习List与vector不一样的接口即可 1.list的基本接口 1.1 iterator list中,与vector最大的区别就是迭代器由随机迭代器变成双向迭代器 string和vector中的迭代器都是随机迭代器,支持-等,而LIS…

MOGONET:患者分类与biomarker识别

为了充分利用组学技术的进步并更全面地了解人类疾病,需要新的计算方法来综合分析多种类型的组学数据。多组学图卷积网络 (MOGONET,Multi-Omics Graph cOnvolutional NETworks)是一种用于生物医学分类的新型多组学整合方法。MOGONET 包含特定组学的学习和…

Keil开发IDE

Keil开发IDE 简述Keil C51Keil ARMMDK DFP安装 简述 Keil公司是一家业界领先的微控制器(MCU)软件开发工具的独立供应商。Keil公司由两家私人公司联合运营,分别是德国慕尼黑的Keil Elektronik GmbH和美国德克萨斯的Keil Software Inc。Keil公…

三、初识C语言(3)

1.操作符 &#xff08;1&#xff09;算术操作符 - * / % 商 余&#xff08;取模&#xff09; 小算法&#xff1a; 若a<b&#xff0c;则a%b a 若a%b c&#xff0c;则0 < c < b-1 若两个int 类型数相除&#xff0c;结果有小数会被舍弃。 保留小数…

苹果电脑pdf合并软件 苹果电脑合并pdf 苹果电脑pdf怎么合并

在数字化办公日益普及的今天&#xff0c;pdf文件因其跨平台兼容性强、格式稳定等特点&#xff0c;已经成为工作、学习和生活中不可或缺的文件格式。然而&#xff0c;我们常常面临一个问题&#xff1a;如何将多个pdf文件合并为一个&#xff1f;这不仅有助于文件的整理和管理&…

苏州金龙海格汽车入选2024中国汽车行业可持续发展实践案例

2024年7月11日-13日&#xff0c;由中国汽车工业协会主办的第14届中国汽车论坛在上海嘉定举办。本届论坛隆重发布了“2024中国汽车行业可持续发展实践案例”&#xff0c;苏州金龙因在坚持绿色可持续发展方面做出的努力和贡献获评2024中国汽车行业可持续发展实践案例“绿色发展”…

Ideal窗口中左右侧栏消失了

不知道大家在工作过程中有没有遇到过此类问题&#xff0c;不论是Maven项目还是Gradle项目&#xff0c;突然发现Ideal窗口右侧图标丢失了&#xff0c;同事今天突然说大象图标不见了&#xff0c;不知道怎样刷新gradle。 不要慌张&#xff0c;下面提供一些解决思路&#xff1a; 1…

HarmonyOS ArkUi 唤起系统APP:指定设置界面、浏览器、相机、拨号界面、选择通讯录联系人

效果&#xff1a; 完整工具类&#xff1a; import { common, Want } from kit.AbilityKit; import { BusinessError } from kit.BasicServicesKit; import { call } from kit.TelephonyKit; import { promptAction } from kit.ArkUI; import { contact } from kit.Contacts…

PHP宠物店萌宠小程序系统源码

&#x1f43e;萌宠生活新方式&#x1f43e; &#x1f3e1;【一键直达萌宠世界】 你是否也梦想着拥有一家随时能“云撸猫”、“云吸狗”的神奇小店&#xff1f;现在&#xff0c;“宠物店萌宠小程序”就是你的秘密花园&#xff01;&#x1f31f;只需轻轻一点&#xff0c;就能瞬…

使用Velero备份与恢复K8s集群及应用

作者&#xff1a;红米 环境 3台虚拟机组成一主两从的测试集群&#xff0c;使用NFS作为动态存储。 主机IP系统k8s-master192.168.1.10centos7.9k8s-node1192.168.1.11centos7.9k8s-node2192.168.1.12centos7.9 1、介绍 1.1 简介 备份容灾 一键恢复 集群迁移 支持备份pv&…

CH04_依赖项属性

第4章&#xff1a;依赖项属性 本章目标 理解依赖项属性理解属性验证 依赖项属性 ​ 属性与事件是.NET抽象模型的核心部分。WPF使用了更高级的依赖项属性&#xff08;Dependency Property&#xff09;功能来替换原来.NET的属性&#xff0c;实现了更高效率的保存机制&#xf…

卷积神经网络【CNN】--池化层的原理详细解读

池化层&#xff08;Pooling Layer&#xff09;是卷积神经网络&#xff08;CNN&#xff09;中的一个关键组件&#xff0c;主要用于减少特征图&#xff08;feature maps&#xff09;的维度&#xff0c;同时保留重要的特征信息。 一、池化层的含义 池化层在卷积神经网络中扮演着降…

python调用chrome浏览器自动化如何选择元素

功能描述&#xff1a;在对话框输入文字&#xff0c;并发送。 注意&#xff1a; # 定位到多行文本输入框并输入内容。在selenium 4版本中&#xff0c;元素定位需要填写父元素和子元素名。 textarea driver.find_element(By.CSS_SELECTOR,textarea.el-textarea__inner) from …

ACM中国图灵大会专题 | 图灵奖得主Manuel Blum教授与仓颉团队交流 | 华为论坛:面向全场景应用编程语言精彩回顾

ACM 中国图灵大会&#xff08;ACM Turing Award Celebration Conference TURC 2024&#xff09;于2024年7月5日至7日在长沙举行。本届大会由ACM主办&#xff0c;in cooperation with CCF&#xff0c;互联网之父Vinton Cerf、中国计算机学会前理事长梅宏院士和廖湘科院士担任学术…

linux进程——状态——linux与一般操作系统的状态

前言&#xff1a;博主在之前的文章已经讲解了PCB里面的pid——主要讲解了父子进程PID&#xff0c; 以及fork的相关内容。 本节进入PCB的下一个成员——状态&#xff0c; 状态是用来表示一个进程在内存中的状态的&#xff0c; 进程在内存中肯能处于各种状态&#xff0c; 比如运行…

十七、【机器学习】【非监督学习】- K-均值 (K-Means)

系列文章目录 第一章 【机器学习】初识机器学习 第二章 【机器学习】【监督学习】- 逻辑回归算法 (Logistic Regression) 第三章 【机器学习】【监督学习】- 支持向量机 (SVM) 第四章【机器学习】【监督学习】- K-近邻算法 (K-NN) 第五章【机器学习】【监督学习】- 决策树…

前端Vue组件化实践:自定义发送短信验证码弹框组件

在前端开发中&#xff0c;随着业务逻辑的日益复杂和交互需求的不断增长&#xff0c;传统的整体式开发方式逐渐暴露出效率低下、维护困难等问题。为了解决这些问题&#xff0c;组件化开发成为了一种流行的解决方案。通过组件化&#xff0c;我们可以将复杂的系统拆分成多个独立的…

使用 OpenCV 和 YOLO 模型进行实时目标检测并在视频流中显示检测结果

文章目录 Github官网简介视频帧推理视频设备ID安装依赖 检测示例分类示例姿势估计 Github https://github.com/ultralytics/ultralytics 官网 https://docs.ultralytics.com/zhhttps://docs.ultralytics.com/zh/quickstart/ 简介 Ultralytics 是一个软件公司&#xff0c;专…

深入浅出WebRTC—NACK

WebRTC 中的 NACK&#xff08;Negative Acknowledgment&#xff09;机制是实时通信中处理网络丢包的关键组件。网络丢包是常见的现象&#xff0c;尤其是在无线网络或不稳定连接中。NACK 机制旨在通过请求重传丢失的数据包来减少这种影响&#xff0c;从而保持通信的连续性和质量…