iOS與Android移動設備開源管理方案實戰
引言
無論企業信息工作者所攜入的智能移動設備,是個人所擁有(BYOD)還是企業所提供的(COPE),都會為企業的IT環境帶來潛在資安危機。因此您需要有一個有效的配套措施來集中控管它們,而不是下令禁止員工攜帶它們。想想看這樣的部署成本是否會讓IT單位吃不消呢?其實一點都不會,只要您懂得安裝與使用今日所要實戰介紹的這款WSO2 Enterprise Mobility Manager 2.0.1開源方案,一切BYOD與COPE問題都變得很簡單。
簡 介
現在從事IT人員的工作可真是越來越難為了,因為早期的IT工作只要管理好服務器、客戶端計算器以及網絡即可,如今由于智能型手機與平板的普及化,導致企業員工人手一機的攜入作業場合中來使用,造成IT單位在信息安全方面的疑慮。有鑒于此部分公司開始嚴格要求出入門禁的管制,禁止攜帶有上網、照相以及錄像功能的移動設備進入,有如軍事重地門禁的管制一般,如發現違法者一律以開除處分。
其實大可不必如此,畢竟古代圣賢有云:「法令滋彰,盜賊多有」,這意味著越多有形的管制措施,有心的惡意員工只會越多。因此只要有適時的基本門禁管理,再善用信息科技的無形管理工具,便可以妥善管理好人員所攜入的各種智能移動設備,并且還能夠延伸出許多細部管理面的附加價值,像是幫員工找出所遺失的移動設備,或是遠程清除遺失的手機儲存數據,以避免個人或公司的敏感信息因而外流,可算是一個能夠達成企業與員工雙贏的最佳做法。
究竟是什么樣的IT方案,可以有效解決自攜設備(BYOD)以及企業提供設備(COPE)的兩大管理問題呢,答案就是移動設備管理(MDM,Mobile Device Management)系統。不過這一類的相關解決方案,目前市場上已經有許多的大廠紛紛提供,包括了Microsoft、IBM、Cisco、Citrix、Nexus等等,有些是建置于企業私有云中,有些則是提供像是Windows Intune公有云的服務,該如何來選擇呢?
在此筆者的建議是如果您的IT預算相當有限,且又希望能夠將MDM系統部署在企業私有云環境之中,強烈建議您不仿試試開源的WSO2 Enterprise Mobility Manager(簡稱EMM),截至目前為止它的最新版本為2.2.0,您可以在官方網站上來注冊并下載。
WSO2 Enterprise Mobility Manager官方下載網址:
http://wso2.com/products/enterprise-mobility-manager/
至于最新版本的WSO2 Enterprise Mobility Manager有哪一些關鍵的功能呢?
系統功能與安裝要求
最新版本的WSO2 Enterprise Mobility Manager (簡稱:EMM)所提供的功能,主要可從以下幾個面向來說明:
- 移動設備管理(MDM):提供以角色為基礎的設備管理模式(RBAC),來協助企業通過不同控管政策(Policy)的創建,來統一控管以Android、iOS以及Windows為主的三種主流設備。
- 移動App管理:您可以列出已受管理的設備中,所有已安裝的App清單,進一步甚至于可以控管這一些App的安裝、更新以及移除。
- 設備和數據安全保護:為了保護敏感性數據于移動設備中的安全性,IT部門可以預先做好強制加密的動作,并且還能夠在設備不慎遺失時,進行遠程設備數據的清除、重置以及鎖定的控制。
- iOS設備控管功能:您可以對于所有受控管的iOS移動設備,進行設備信息取得、已安裝App清單取得、設置APN與LDAP、設備位置的追蹤、鎖定、網絡設置、設置AirPlay、設置Email賬戶、行事歷訂閱設置、限制設備操作、密碼原則設置、清除現行密碼設置、遠程數據清除等等。
- Android設備控管功能:您可以對于所有受控管的Android移動設備,進行設備信息取得、已安裝App列表取得、設備位置的追蹤、鎖定、網絡設置、相機功能的限制、OTA WiFi的設置、數據加密設置、密碼原則設置、設備重置、設備靜音或響鈴、傳遞屏幕訊息、安裝或移除企業應用程序、支持GCM/LOCAL連接模式。
- Windows設備控管功能:雖然使用Windows系列移動設備的企業客戶少得可憐,但EMM仍是支持的。不過它所能夠控制的功能最少,僅有設備信息取得、密碼原則設置、相機功能的限制、數據加密設置、設備鎖定、設備響鈴以及數據清除。
在EMM系統安裝需求部分,以服務器來說它是支持Linux與Windows操作系統的,基本上只要其系統上有預安裝JDK 7或8的套件(不建議采用OpenJDK.)即可。在后端數據庫部分,只要是工業標準的關系型數據庫(RDBMS),像是Oracle Database、PostgreSQL、MySQL、MS SQL等等都是可以的。
在受控管的移動設備要求部分,Apple的iOS系統版本需要6.0至10.0之間的版本。Android部分則需要4.1至5.0之間的版本,而Windows移動設備則是支持8.1與10的版本。必須注意的是如果打算啟用數據加密功能,該設備的電力必須在80%以上。
安裝與執行方法
在接下來有關于EMM服務器的安裝與管理實戰講解中,筆者將以Ubuntu桌面版本作為運行的操作系統。首先請執行以下命令,來完成JDK與MySQL相關必要套件的安裝。
- sudo apt-get install default-jdk default-jre mysql-server-5.6 libmysql-java git eclipse ant maven
由于安裝的套件中有MySQL,因此系統將會提示我們設置MySQL默認管理員root的密碼,請輸入一個較嚴謹的密碼設置,以確保數據庫的安全。
完成需求套件的安裝之后,請將下載好的EMM套件在解壓縮之后,將整個數據夾wso2emm復制到您希望存放與執行的路徑,例如/opt/或/usr/local/bin/路徑下等等。完成復制與訪問權限的設置之后,請如圖1所示執行以下命令來完成Java環境變量的設置,接著才能成功執行EMM的主程序wso2server.sh。若沒有正確設置環境變量而直接執行該Script程序,將會出現沒有正確設置JAVA_HOME變量的錯誤訊息,而無法正常啟動程序。
- export JAVA_HOME=/usr/lib/jvm/java-7-openjdk-amd64
- export PATH=${JAVA_HOME}/bin:${PATH}
- sh /usr/local/bin/wso2emm/bin/wso2server.sh
圖1啟動EMM程序
沒錯!您沒有弄錯整個EMM的安裝方式就是這么容易,不過別高興太早因為仍是有一些組態設置,需要根據您實際的網絡環境來做一些調整的。在此之前您可以先開啟網頁瀏覽器,連接至https://IP地址:9443/,來開啟如圖2所示的EMM登錄頁面。您可以從這個頁面中進入到官方的社群或下載相關的原文手冊等等。默認的管理員賬號與密碼是admin/admin。請在輸入后點擊[Sign-in]完成登錄即可。
圖2 EMM登錄頁面
在此可以檢視到目前服務器系統的版本信息、網絡信息、目前于伺服端登錄的用戶信息、JAVA版本信息等等。至于左方的工作窗格則是一些進階的組態信息,沒有必要時是不需要進行修改的。
確認EMM的網站可以正常登錄與顯示之后,請開啟終端機窗口修改位在
客戶角色管理
想要讓企業中所有的移動設備客戶端,開始使用EMM的控管功能,首先就必須完成這些人員的賬戶創建。如圖3所示您可以在網站左方窗格的[Users and Roles]節點頁面中,來管理有關于此系統的人員帳戶與角色權限的配置。其中無論是要添加使用者還是角色,除了可以單筆創建之外,也可以采用大容量導入的方式來快速創建。
圖3 添加使用者與角色
在此除了需要輸入用戶的名稱與密碼之外,還可以選擇所屬的網域,也就是說您可以使用不同的網域,來控管不同使用者的連接登錄。不過在默認的狀態下并沒有額外的網域。至于用戶其它的進階信息(例如:Email地址),后續仍是可以開啟并編輯的。點擊[Next]繼續。來到步驟2頁面中,便可以選定要給新使用者的所屬角色。在此所看到的皆是系統內置的角色,其中admin的角色是擁有完整管理權限的角色。后續您仍可以對于這一些角色調整權限的配置,以及添加自定義的角色。點擊[Finish]。
安裝Android App
由于目前全球最多人使用的移動設備(包括了智能型手機與平板)是以Android系統為主,它橫跨了各種大大小小的知名品牌,因此也成為了企業IT首要控管的重點。想要通過EMM來控管大量的Android設備的使用是非常容易的,主要原因是它所需要部署的代理程序(Agent App),并不需要先上架到[Play商店]。不過在開始之前,必須確認使用者的Android設備,已經在[安全性]的設置頁面中,勾選了[允許安裝來源不明的應用程序]設置,否則將無法順利接下來有關于EMM Agent的下載與安裝,因為通常此設置在系統默認的狀態下是尚未勾選的。
接著所有被授權的使用者,便可以連接到在自己的計算器上開啟網頁瀏覽器,并連接登錄到https://IP地址:9443/emm網址。即可來到如圖4所示的設備管理頁面,請點擊為在[DEVICES]區域中的[Add]連接繼續。
圖4 設備管理首頁
緊接著將會開啟QR Code頁面,使用者只要拿起自己的Android手機,然后開啟掃描QR Code的App并進行掃描,即可自動連接到下載EMM Agent的本地服務器網址。接著設備瀏覽器會開啟 [Android Enrollment]網頁,請點擊[Download EMM Agent]按鈕即可。值得注意的是,在這里頭的提示訊息中,也會顯示您在安裝設置步驟中所輸入的公司名稱。
接著設備系統會提示我們即將取得的權限清單,包括了GPS定位、完整網絡訪問權限等等。點擊[下一步]再點擊[安裝]即可。完成此App的安裝之后,可以立即開啟它。首次的開啟將會出現服務器地址設置提示,在此您只要輸入EMM主機的IP地址或FQDN地址即可,不需要輸入端口編號,除非之前有特別去修改默認端口設置。點擊[Start Registration]按鈕繼續。
如圖5所示來到帳戶與密碼的設置頁面中,使用者可以選擇手持的移動設備是自己個人的(BYOD),還是由公司發放給員工使用的(COPE)。不同的設備類型選擇,在后續的遠程控管上會有些許的不同。另外在此還必須特別留意其中的域名(Domain)之輸入,如果用戶并非本EMM系統所額外定義的網域,則請保留空白即可,也就是默認的PRIMARY網域設置。點擊[Register]按鈕完成注冊即可。
圖5帳戶信息輸入
完成設備于EMM系統的注冊之后,接著系統可能會要求您輸入PIN碼設置,以便保護此代理程序在此設備的使用安全。點擊[Set PIN Code]完成設置。
完成兩次PIN碼的輸入之后,將會出現[啟動設備管理員]頁面,來確認此代理程序的啟用,將能夠遠程清除設備中的所有數據,以及強制設置密碼政策、鎖定屏幕等操作。確認后點擊[啟用]。正式完成Android設備的EMM代理程序之安裝與啟用。
完成啟用后的EMM Agent,將可以通過功能選單來隨時修改自己的PIN碼以及連接的服務器地址。必要時則還可以移除掉此Agent的安裝。
安裝iOS App
由于iOS的App無法像Android系統一樣,只要封存成一個.apk文件,就可以讓使用者直接連接來下載與安裝。因此必須自行去創建一個Xcode的項目,來產生iOS的應用程序(.ipa)至
iOS Agent Application下載網址:https://github.com/wso2/emm-agent-ios
此外還有一些屬于iOS Server端的配置需要完成,包括了Apple Push Notification Service (APNS)憑證文件的申請,最后再完成一些與安全性連接有關的設置,如此一來使用iPhone或iPad設備的客戶,才能夠連接到注冊網站,來完成EMM憑證的安裝以及EMM代理程序的下載。否則用戶在點擊[Install EMM Certificate]按鈕時,將會出現下載失敗之錯誤訊息而無法繼續。
管理人員的移動設備
一旦有一位以上使用者的移動設備在EMM服務器完成了注冊,管理員在登錄設備管理網站時,便會看到目前所有受管理的設備清單,并且可以看到每一個設備的名稱、擁有人、狀態、系統類型以及所有權的類型等信息。在此您除了可以切換為圖標或列表顯示方式之外,當受管理的設備數量很多時,還可以通過上述五大域值的篩選方式,來找到您想要進一步管理的設備。
如圖6所示在這里我們以檢視一臺ASUS的Android手機為例。在它左方的選單連接之中,可以選擇檢視設備詳細數據、政策應用信息、設備位置定位、已安裝的App列表以及操作管理的記錄。首先在設備詳細數據(Device Details)部分,除了可以檢視到目前此移動設備的剩余電量、本機剩余儲存空間以及外接剩余儲存空間信息之外,還可以執行主要的幾項遠程控管操作,分別是設備鎖定、遠程數據清除、靜音、清除密碼、變更鎖定碼、觸發響鈴以及發送自定義的屏幕訊息等等。
圖6人員Android設備管理
如圖7所示當點擊觸發響鈴時,這時候您會發現目標的移動設備,會出現[Message from EMM]的提示訊息,并出現設備默認的響鈴聲,直到使用者在此設備上點擊[OK]按鈕后才會停止。此功能的用意,其實主要就是用來協助使用者,通過響鈴辨位方式找到設備遺失的所在之處,由其是在某棟建筑物內弄丟設備時特別有用。而不需要得使用傳統的做法,通過撥打此設備電話號碼的方式來尋找,更何況如果是平板計算器,大多數是沒有電話功能的。
圖7 Android響鈴
至于如果是將移動設備弄丟在不知道的地方時,除了可以通過GPS衛星定位地圖來尋找之外,也可以使用發送自定義屏幕訊息的方式,讓拾獲的人可以看到您所傳遞的訊息內容。
前面我們曾提及若想要使用GPS衛星定位地圖,來尋找移動設備所在的位置也是可以的,只要切換到[Device Location]頁面即可。定位的操作過程之中,您是可以通過鼠標的滾輪,來放大設備所在位置的明確路段。
善用政策管理
當企業中受管理的移動設備數量很多時,通常IT部門會希望根據不同的設備類型,或是組織的部門、職務、地點等歸類方式,來應用不同的設備管理設置,在這種需求上您就可以善用EMM所提供的政策管理(Policy Management)功能,將您所制訂的各種管理政策,選擇應用在現有的使用者或角色。請在設備管理員的選單接口中,點擊[POLICY MANAGEMENT]繼續。
在[POLICY MANAGEMENT]頁面中,默認并沒有任何政策設置可以使用。請點擊[ADD POLICY]。在如圖8所示的添加政策設置頁面中,首先必須在步驟1的[Select a Platform]設置中,選擇新政策所要應用的設備類型,因為不同的設備系統后續所能夠控管的功能選項,也會有所不一樣。目前支持的設備系統分別有Android、Apple IOS以及Windows Phone。在此筆者以選取Android為例。
圖8 添加政策設置
在[Configure profile]頁面中,便可以設置所要控管的設備四項功能,分別是鎖定密碼政策(Passcode Policy)、相機功能限制(Restrictions on Camera)、設備加密設置(Encryption Settings)以及區域無線網絡連接(Wi-Fi Settings)設置。首先在鎖定密碼政策部分,一旦啟用并完成政策設置之后,往后被應用的使用者設備,他們將無法自行修改鎖定密碼的政策。
在相機功能限制的控管部分,一旦啟用之后,就可以決定是否要允許被應用的設備,來使用相機功能進行拍照或是錄像。為了預防當使用者的移動設備遺失時,會連同公司的敏感信息外泄(例如:商業文件、Email、聯系人信息),您可以啟用設備加密設置。如此一來,被應用此政策的Android設備,即便設備被惡意人士所竊,在沒有解除設備的鎖定之前,被加密的數據都是無法讀取的。
在WLAN連接設置頁面中,您可以預先幫使用者的設備,設置好所要連接的無線基地臺的SSID與密碼,如此一來就不用像傳統的管理方式一樣,得手動一一幫使用者的移動設備,設置公司無線基地臺的連接組態。點擊[CONTIUNE]繼續。
在[Assign to groups]頁面中,請先選擇設備擁有權類型是BYOD還是COPE。然后再通過關鍵詞的輸入,來挑選此政策所要應用的對像是使用者或角色。最后您可以決定此政策對于尚未遵循的設備,是否要強制控管或是僅監視還是要發送警告訊息。點擊[CONTIUNE]繼續。
在[Publish to devices]頁面中,您必須為此政策輸入一個30個字符以內的識別名稱,需要的話還可以進一步輸入詳細的描述信息。確認完成設置之后,您可以選擇立即將新政策設置,發布至所有選定的使用者設備,當然啦!這一些設備必須預先已經完成注冊動作,或是您也可以先點擊[SAVE]按鈕,來僅儲存新政策設置,等到后續適當的時機再來發布此政策。
結 論
長久以來由于大多數的企業IT采用的解決方案,皆是以Windows平臺為主,因此產生了一個有趣的現象,那就是當IT人在尋求相關解決方案時,往往第一個念頭所聯想到都是與Windows相關的產品。其實從信息安全、網絡管理、到各類的應用程序服務之IT需求,在開放原始碼(Open Source)的世界里,都有許多相當不錯的軟件套件或公有云服務,可以供全球的IT單位來挑選。許多時候這一類的開源方案,不僅僅只是在成本低廉上吸引人,在功能面與管理面的彈性設計上,甚至于都已經超越了傳統商用軟件與服務的價值。本文所介紹的這款WSO2 Enterprise Mobility Manager就是一個典型的案例。
【本文為51CTO專欄作者“顧武雄”的原創稿件,轉載請聯系作者本人獲取授權】
