用户喜欢iPhone,但是它不是.最大的抱怨:iPhone不能像黑莓罐头的安全和访问策略管理。企业可以买黑莓企业服务器或Motorola Good for Enterprise服务器通过无线方式管理用户配置文件,确保用户遵守密码策略、加密策略、应用程序安装限制等,并预先配置他们的电子邮件、VPN和其他设置,以减少实际部署工作。
一段时间以来,苹果为Windows和Mac提供了免费的iPhone配置实用程序(iPhone Configuration Utility),让IT部门可以像黑莓(blackberry)一样在iPhone上设置和安装配置文件。但它不像黑莓企业服务器那样提供无线接入、控制粒度或可视性。由于缺乏大型企业的这些关键需求,iPhone Configuration Utility已经被当作玩具应用程序而不予考虑。
InfoWorld测试中心第一站:iPhone 3.0给企业带来了什么?它又错过了什么
你应该升级到iPhone 3.0 S或只是获得iPhone 3G s还是汤姆yager调查。
但上周,苹果出货iPhone 3.0操作系统这为Microsoft Exchange ActiveSync策略添加了改进的支持,它可以提供2.0版的iPhone配置实用程序,其中包含重要的新管理和安全功能.IT现在能像黑莓和Windows Mobile设备那样管理iPhone吗?
为了回答这个问题,InfoWorld测试中心一直在测试2.0版iPhone Configuration Utility和Exchange ActiveSync作为管理iPhone的方法,以了解它们的实际工作情况,以及哪些类型的IT和企业可以有效地使用它们,哪些不能。
答案很简单:每个工具都有,其他缺乏重要的功能。管理我们的iPhone(和iPod touch)的车队,我们宁愿在组合使用它们。对于商店不运行Exchange,与iPhone配置实用程序管理部iPhone就有一个重要的缺点:应该在手机丢失或被盗,管理员无法启动远程擦除手机上的数据,或者收到确认擦拭发生了遥控器。但是,我们发现,通过Exchange管理iPhone手机是使用iPhone配置实用工具的替代品。
iPhone配置实用工具2.0:功能强大但无法扩展
苹果的免费iPhone配置实用工具,提升到时iPhone OS 3.0发布一个版本2.0,具有丰富的,让IT在iPhone和iPod touch大权柄的策略控制的阵列。用户界面易于使用,具有各种功能分为“有效载荷”套你之间进行切换并配置一个给定的配置文件。他们真的做的工作,严格执行对客户端设备的规则。
可以设置策略,以便需要递送管理员密码来删除它们,以及允许用户删除或完全防止用户删除。(对于IT admin来解决完全删除预防,您需要将设备连接到PC或MAC,并在该设备上运行iPhone配置实用程序的删除功能。当然可以控制它。)
配置实用程序具有您预期的密码控件,例如强制执行密码条目以使用设备和指定限制(字符数,禁用重复模式,在密码中,最大密码增长,在可以重复使用之前的唯一密码的唯一密码,并且再次需要密码前的宽限锁定时段)。关键能力能够设置有多少失败的密码尝试消除设备的数据,这将设备转换为砖块。(一个“Bricked”iPhone仍然可以进行紧急呼叫,但这就是它。)
如果您关注员工的非工作活动,您可以阻止访问显式内容;使用Safari,YouTube和/或iTunes音乐商店;安装应用程序的能力;和使用iPhone相机的能力。但如果你想禁止特定的应用程序,太糟糕了。这样做的唯一方法是首先在设备上安装允许的应用程序(或删除未审计的版本),然后禁用安装应用程序的功能 - 但也禁用应用程序自动更新。
您还可以通过配置文件安装凭据,如果要要求电子邮件或VPN访问权限,而不是使用用户可能会复制和使用其他地方的明文密码,这是方便的。您可以设置的其他配置包括LDAP服务器信息,订阅日历和默认的Web剪辑(基本上,在主屏幕上显示的网页,就像它是一个应用程序一样,例如您的网络电子邮件页面或客户订单查找页)。
用户可以创建多个配置,并将多个配置应用到单个设备上。因此,您可以对配置进行分层,而不是为每个设备开发自定义配置文件。例如,每个人都可能获得一个配置文件,其中包含针对您的公司标准的Exchange、LDAP、密码和应用程序访问设置。您可能有一个单独的VPN配置文件,只有一些用户可以获得,还有一个单独的Wi-Fi配置文件,它将一些用户限制到特定的无线局域网(基于SSID)。
该工具的一个警告是:如果您打开一个有效负载的设置而没有关闭它(单击减号图标),配置文件将包含该有效负载的所有空值,这从本质上阻止了用户访问这些设置。例如,您可以故意使用此功能,通过只允许访问空SSID(与任何SSID不同)来阻止所有Wi-Fi访问——但很容易无意中阻止您本不想阻止的访问。
有效载荷控制大部分是彻底的,并且有很好的配置选项。但是对于iPhone的更细粒度的设置,比如是否启用或禁用JavaScript,或者用户是否在iTunes中为设备备份设置了加密。
在Wi-Fi配置也不会让你需要一定的最低连接的安全性(如WPA2)任何Wi-Fi连接;你只能要求对特定的SSID最低安全协议。这太糟糕了,因为这将是允许在满足一定的安全要求,所有的Wi-Fi接入点访问有用的。
但iPhone配置实用程序中最大的缺陷是它如何管理配置。这是一款适用于大型组织的交易破坏者,必须确保他们满足合规要求,或者必须能够通过空中或网络更新配置配置文件。
您可以轻松地通过电子邮件发送它们,或将他们在网站上共享配置文件。如果用户点击附件或链接,配置文件安装。但有没有办法强制他们安装的配置文件,即使他们这样做,你有没有办法知道他们做的,也不是保证,他们将安装任何更新或其他配置文件的任何方式。
iPhone配置实用程序可以很好地定义配置文件。对于为用户设置移动设备的企业来说,这是一个合理的工具,因为it支持可以在准备设备时轻松快速地通过USB连接安装配置文件。
在某些情况下,你可以舒适地依赖于使用的电子邮件发送或Web访问的配置文件。毕竟,如果这些配置文件包含到,比方说,访问电子邮件或VPN(例如规定的证书用于身份验证)什么是用户需要的唯一途径,那么用户将安装他们 - 或者不能利用自己的工作目的的设备摆在首位。我们怀疑许多企业不受法规,例如HIPAA和Sarbanes-Oxley可以用这个策略“因为他们有他们会安装”生活,但它的效果并不理想。毕竟,你还有管理更新,这是很难通过这样严厉的障碍,执行比最初的企业访问的问题。
Exchange ActiveSync:少策略,多触及
在Exchange ActiveSync策略的iPhone支持远远低于由iPhone配置实用程序提供的控件。在这两个Exchange Server 2003和Exchange Server 2007中,您可以强制设备上的使用密码,并确定密码必须的复杂程度和频率,用户必须改变它。您可以设置需要输入密码前设备处于空闲状态的分钟数,你可以在设备上的数据被擦拭干净之前设置的密码尝试失败的最大数量。
不过,唯一的iPhone功能,您可以禁用使用Exchange ActiveSync策略是摄像头,并且只能通过Exchange Server 2007的Exchange ActiveSync的政策提供了使用Safari浏览器,YouTube上,iTunes音乐商店,或在App Store中没有控制权。也不是,当然,可以提供的ActiveSync支持Wi-Fi,VPN,LDAP配置设置,以及日历订阅到你的iPhone用户。对于所有的这些事情,有一个为iPhone配置实用工具的替代品。
然而,Exchange ActiveSync的报价iPhone管理员的iPhone配置实用工具不提供一个基本特征:按下一个按钮,使所有存储在iPhone上的敏感数据的能力消失,不管是iPhone可能。这种“杀死开关”可在这两个Exchange Server 2003和Exchange Server 2007中,但只有在2007年是它也扩展到了iPhone用户,谁可以启动远程从Outlook Web Access擦拭。这似乎是一个好主意,因为用户可能会知道,当他的设备丢失第一个,但你可以隐藏Outlook用户的移动设备管理选项,你不想与这个责任的信任。
我们在Exchange Server 2007上尝试了几次远程擦除,效果非常好。苹果警告说,旧款iPhone每8GB可能需要1个小时才能被“刷砖”,但我们的iPhone 3G手机(数据容量约为1GB,运行的是iPhone OS 2.2或iPhone OS 3.0)每次都能在10到15分钟内被清理并恢复。在Exchange Management Console和Outlook Web Access中都会报告擦除的状态。擦除成功的电子邮件确认也会发送到用户的邮箱。
从实用的角度来看,iPhone Configuration Utility在防止iPhone丢失方面可能和Exchange中的kill switch一样有效。毕竟,如果你设置了一个复杂的密码,并在猜错五、六次后擦除手机,你可以相当肯定的是,数据将被销毁。尽管如此,我们仍然认识到记录擦除操作并确认成功擦除操作的重要性。许多组织不会满足于更低的要求。
苹果/交换组合来接近诱人
因为这个原因,今天管理企业中iPhone的最佳方式涉及使用Apple iPhone配置实用程序和Exchange ActiveSync。但即使是组合,这些工具也不提供管理员目前享受黑莓手机的控制水平。如果Apple想要拥有该企业,则需要将iPhone管理员提供更多的中间地面 - 允许所有App Store应用程序或无,例如或完全关闭Safari之间或完全关闭。
更重要的是,Apple将不得不使iPhone在没有用户的权限的情况下可与或没有用户的权限。iPhone配置实用程序足以获得相当数量的iPhone用户滚动,但只有它们是负责任的人,他们可以被规则播放。随着iPhone用户的数量,需要更多的控制,依赖于用户在被问及时安装个人资料和更新,而不是要削减它。
好消息是,大部分政策已经到位。坏消息是,关键的管理部分仍然缺失。