MobileIron技术白皮书

思可信科技发展有限公司

2011年7月

1系统概述 (3)

1.1 MobileIron为智能手机进入企业做好准备 (3)

1.2为什么管理智能手机是如此难的技术挑战？ (3)

1.2.1管理智能手机所面临的挑战有以下几种基本类型： (3)

1.2.2智能终端管理面临的新挑战 (3)

1.3为什么控制智能手机费用是如此的困难？ (4)

1.3.1使用成本因素实时可见 (5)

1.3.2数据可见 (5)

1.4MI移动互联网设备管理引擎：坚固的护盾 (5)

1.4.1高效的智能手机管理 (6)

1.4.2实时的数据统计和可见的智能手机费用因素 (6)

1.4.3提供用户管控的能力，不再只凭经验 (7)

1.5终端管理对企业的价值 (7)

1.5.1对于首席信息官和IT人员：有条理的控制多种平台操作系统 (7)

1.5.2对于CFO来说：找到费用因素，削减成本 (8)

1.5.3对于终端用户：扩展和增强用户的企业移动互联网体验 (9)

2系统组成 (9)

2.1管理员端 (9)

2.1.1Smartphone Manager模式 (10)

2.1.2System Manager模式 (10)

2.2客户端 (11)

2.2.1MobileIron移动设备客户端软件 (11)

2.2.2MyPhone@work用户自服务端 (12)

2.3MobileIron网络拓扑图 (13)

3系统特点 (14)

3.1MobileIron支持主流智能终端 (14)

3.2集团化的移动设备管理 (14)

3.2.1 批量设备注册 (14)

3.2.2通过标签分组管理设备 (14)

3.2.3 建立企业应用程序库，分组推送应用程序 (15)

3.3安全策略： (16)

3.3.1强制密码安全策略 (16)

3.3.2远程锁定，解锁和擦除手机（恢复出厂值） (17)

3.3.3 越狱设备实时检测并发送通知 (17)

3.3.4 选择性擦除 (17)

3.3.5 隐私保护 (18)

3.3.6设备定位 (18)

3.3.7禁用摄像头，截幕，App Store等功能 (18)

3.3.8程序控制策略 (19)

3.3.9强制设备数据加密 (21)

4功能列表 (21)

1系统概述

MI是一款移动设备管理服务器，用于集中管理企业的移动智能终端，有了

它，企业的IT人员就可以像用域控制器管理企业的PC一样，管理企业里的移动

终端设备。MobileIron可以支持目前主流的操作系统：iOS；Android；Blackberry；windows Mobile；Symbian；

1.1 MobileIron为智能手机进入企业做好准备

对于一个成功的企业来讲，智能手机已经称为不可或缺的工具。然而智能手

机的爆炸式的增长和多样性使得这些设备很难管理。目前IT部门只是粗略的组

合一些手动配置方法，以此来配置每一种类型的手机和部署应用程序，这让早已

透支的IT资源更加雪上加霜，也让移动互联网服务成为企业里成本增长最快的

一项服务。具体来说企业面临的挑战包括：

? 管理多重危险应对机制

? 控制螺旋式上升的成本

MI移动设备管理引擎就是一个移动设备管理平台，它指出了企业持续增长

的需求，即如何智能化和安全的把智能手机集成到企业中去。

? 给IT部门提供高效的智能手机管理工具。

? 给商业运作提供实时可见的智能手机成本因素。

? 给用户提供根据经验管理的能力

1.2为什么管理智能手机是如此难的技术挑战？

1.2.1管理智能手机所面临的挑战有以下几种基本类型：

? 多操作平台

? 安全问题

? 隐私问题

? 应用程序管理

1.2.2智能终端管理面临的新挑战

乍一看，这些问题和几年前笔记本开始流行时非常相似。然而，智能手机把

这些挑战推到了新高度。

1.2.2.1 多操作平台

当笔记本渗入企业时，有两种重要的操纵平台供选择。一种平台占据了统治地位，这给提供给IT部门提供了一个容易建立标准的的途径。并且这种操作只需要做很小的改动就可以移植到不同的笔记本上，这使得配置标准变的非常简单。智能手机的到来则完全是另外的一种情况：

? 多平台操作系统共存，没有清晰的主导者

? 不同的厂家和设备型号都有不同的平台整合方案

? 少数管理解决方案能应对多操作平台环境

1.2.2.2安全问题

笔记本所带来的危险也出现在了智能手机身上：

? 智能手机上存储着企业数据，一旦丢失或被盗，上面的这些数据就变得非常危险。

? 丢失或被盗的智能手机给了有头脑的贼们非法访问企业的机会。

? 病毒使的智能手机变得更加脆弱。

这些危险在智能手机上发生的几率会更大，因为：

? 他们体积小，更容易丢失或被盗。

? 有限的处理能力让病毒防护成为问题。

1.2.2.3隐私问题

智能手机有它独有的隐私问题，因为它设法把笔记本电脑和手机整合到一起，这也不可避免的把笔记本电脑和手机里的内容合并到了一起。但是笔记本电脑使企业发的，上面的内容也自然归企业所有，是企业财产的一部分，但对于智能手机区别不是很明了。也因为企业要接受个人所有的智能手机接入企业内网时，用户的配置信息等内容困扰了很多的企业，授权查看隐私变得更加复杂。

1.2.2.4应用程序管理问题

把集成平台实施方案，多平台操作系统和不断增长的移动设备应用程序整合在一起，导致不断飙升的应用程序管理成本。

?制造商／平台的整合需要独立的配置流程，自动后台访问。

? 只有少数方法可以防止跨平台的应用程序问题。

1.3为什么控制智能手机费用是如此的困难？

虽然管理成本的源头是个明显的问题，还是有其他的因素要承认。

1.3.1使用成本因素实时可见

首席信息官寻找实施有成效的智能手机策略，但是看不到使用成本因素和统计数据。一般来说，他们只能对高的离谱的漫游费账单采取措施，再提供一些基本的指导方针，也许还会实施一个奖励计划。这些尝试对智能手机费用的控制起到的作用微乎其微，并且几乎提供不了什么信息，企业也无法得知这些费用是否能换回相应的高质量的服务。

1.3.2数据可见

在统计整个企业的真实手机费用时，数据就显得特别重要。然而几乎没有什么办法可以协助企业机构做数据或费用对比。哪些人用了什么程序？使用率如何？这些程序是被正确的应用了吗？那种平台或型号的问题最少？目前的策略是有

投资回报的？电话日志和运营商的电话账单基本对这些数据没什么帮助。

1.4MI移动互联网设备管理引擎：坚固的护盾

MI提供企业级的手机管理和控制，以前只有一款智能手机做到过。此外，

MI提供的了必要的情报以定义和强制使用指导方针，这使得用户需求和管理员

的需求一致了。

对于IT来说，这就意味着给他们提供了即插即用功能，方便他们轻松的把MI部署到现有的网络结构种去，提供管理和控制工具以应对不断变化和增长的

进入企业的大量手机。直观的工具简化了用单一的控制台来管理不同的服务，让设备和企业数据可视化。对于首席信息官来说，这意味着通过收集移动设备活动

情报来指导他的决定。由于企业在智能手机的应用上已经很成熟了，MI移动互联网移动设备引擎会促使现有的智能手机技术投入和支持发挥更大的效用，让更多的应用程序从笔记本电脑上移植到智能手机上来。

1.4.1高效的智能手机管理

MI的核心是管理端口，它通过一个简单的控制台来监视和管理多种平台的智能手机。

1.4.2实时的数据统计和可见的智能手机费用因素

MI提供了必要的情报，这些情报有助于帮助制定有关成本费用因素的决定，还有投资回报和服务质量。

1.4.3提供用户管控的能力，不再只凭经验

MI同样可以授权终端用户使用用户自服务界面，这是一个用户可以方便的访问应用程序和数据的地方，比电子邮件还方便。

终端用户可以主动的监看他们自己的行为，选择和安装推荐的应用程序，保护丢失和被盗的手机。

1.5终端管理对企业的价值

MI提供给所有级别的企业所需要的智能手机管理功能。MI不仅满足了IT 人员的需求，也让公司的领导和雇员可以发挥更大的价值。

1.5.1对于首席信息官和IT人员：有条理的控制多种平台操作系统

MI可以在IT人员和企业内部的所有手机之间建立联系，就像有一根看不见的链子一样。无论手机是在IT技术人员的桌面上还是在用户的手中，MI管理端口都可以访问和控制手机和里面的数据。

1.5.1.1高效的配置和管理工具

MI管理端口提供日常管理功能，管理人员呆在座位上就可以维护手持不同设备的各类人群：

?在多平台上远程安装MI客户端

?远程安装，卸载，升级和跟踪智能手机上的应用程序

? 定义组来轻松实现对特定人群的操作

? 通过渐进的控制，定义策略已达到强制的标准

?安排和定义备份流程

?MI可以完成对智能手机内容的病毒扫描，避免影响智能手机的性能

?查看日志细节，监视每个解决方案的细节

1.5.1.2通过仪表板界面提供状态一览

管理端口里的仪表盘界面以图形的方式汇总信息，表单的方式快速评估企业里的智能手机。仪表盘界面还可以提供可能的问题的早期指示，这些问题可能需要更进一步的检验。

1.5.1.3为迅速反应提供重要支持

MI管理端口给了你根据信息快速反应的能力，反应范围从外勤用户的手机及时得到帮助到减少因智能手机丢失和被盗而引起的信息暴露。你可以从菜单里选择相应功能实现如下功能：

? 手机擦除，恢复到出厂值设置

? 有选择的擦除智能手机里的个人文件

? 锁住智能手机的屏幕，只有知道事前设置的密码才能进入手机界面

? 远程登录智能手机，为用户解决问题和配置手机

1.5.2对于CFO来说：找到费用因素，削减成本

在每部智能手机上安装MI客户端后，就可以有机会收集信息细节，实时信息例如：

?国际漫游

?服务质量

?通话记录

MobileIron管理端口收集并显示这些信息，给CIO和其他决策者们提供必要数

据以采取如下行动：

? 指出潜在的使用费用趋势

? 制定企业指导规则

? 根据质量选择提供者

? 根据实时使用统计来选择服务套餐

1.5.3对于终端用户：扩展和增强用户的企业移动互联网体验

在使用MobileIron的企业里，终端用户是设备管理流程里重要的一部分。

基于网页的用户自服务端口提供用户一下功能：

?定位丢失手机

?擦除被盗手机

?注册新手机

?浏览使用统计提供给终端用户实时可见的移动设备使用情况，这样有助于把费用统计能力

转移给终端用户。此外，手机上的基本工具可以提供给用户在出外勤的时候也可

以参与问题排查的环节中去，避免用户寻找可用的IT技术支持人员或把手机送

到相关的技术人员哪里去。

2系统组成

MobileIron主要包括管理员端和客户端两部分

2.1管理员端

MobileIrond的管理员端是一个基于网页的工具，通过它你可以实施各项操

作，管理员端包括Smartphone Manager和System Manager两部分,分别有独立

的管理员帐号和密码，存放于放在两个独立的数据库中的。对其中一个的改动不

会影响另外的一个。从而达到对管理员的分权管理。例如，如果你把Smartphone

Manager中的管理员密码改了，System Manager中的管理员密码是不变的。

MobileIron支持以下的网络浏览器：

?Firefox 3.5

?Internet Explorer 7/8

?Safari 4.0

Javascript

必须启用浏览器的JavaScript，以保障所有功能都能用。

Firefox:

Select Tools | Options | Content | Enable JavaScript.

Internet Explorer:

启用JavaScript后关闭重启浏览器。

对于Safari: JavaScript默认是启用的。

Adobe Flash Player

Adobe Flash Player是用来显示仪表盘界面里的图形的。如果你的Adobe Flash Player的版本不够，在你第一次登录管理端口是会弹出对话框提示你下载合适版本。

2.1.1Smartphone Manager模式

在此模式界面下，管理员可以实施于企业手机相关的日常的一些操作任务

2.1.2System Manager模式

在此模式界面下，管理员主要管理有关MI和内网接口的管理任务：

2.2客户端

2.2.1MobileIron移动设备客户端软件

MobileIron移动设备客户端软件是安装在移动终端上的客户端软件，MobileIron就是通过MobileIron移动设备客户端来管理移动终端的。MobileIron 移动设备客户端，包括一下几部分：

1连接状态指示灯，用于显示当前客户端的连接状态

2企业程序下载区，包括推荐的苹果商店的应用程序连接和企业自有的软件安装连接。

3网络情况报告区，包括掉线报告，实时网速测试和实时定位报告功能。

4配置文件更新区和版本信息区。

2.2.2MyPhone@work用户自服务端

MyPhone@work用户自服务端提供给用户非IT时间段的一些终端操作权限，这样可以分担一部分IT负担，也更方便用户的使用，通过用户自服务端可以授予用户以下权限：

1.自己注册移动设备

2.自己锁定移动设备

3.自已解锁移动设备

4.自己擦除移动设备

2.3MobileIron网络拓扑图

3系统特点

3.1MobileIron支持主流智能终端

MobileIron支持以下的智能手机平台：

?Android2.2及以上版本

?BlackBerry4.2.1及以上版本 ?iOS 3.0 及以上版本 ?Symbian 第三代，base，FP1，FP2 ?webOS ?WindowsMobile 5， 6.1, 6.5 ?Windows Phone 7

3.2集团化的移动设备管理

3.2.1 批量设备注册

通过导入一个标准的用户信息模版表格，一次就可以注册大量的用户设备。

首先从MobileIron中导出用户信息模版表格，然后交给HR的相关人员进行前期

的用户信息收集，收集完成后就可以批量的导入这些信息从而达到批量注册设备

的目的。

3.2.2通过标签分组管理设备

MobileIron通过标签的形式来管理已注册设备。你可以给设备，程序和策

略贴上一个标签，方便今后的查询。这样就形成了一个个的组。例如，你可以创

建一个叫“执行”的标签，然后贴到执行级别的用户。然后你可以通过此标签快

速的查到这些用户的手机，或者应用一个策略到这个标签下的用户手机。有些标

签是MI的缺省标签，包括：All-Smartphones; All-Syscomm; Android;

BlackBerry; Company-Owned; Employee-Owned; iOS; Palm webOS; Symbian;

WinMo.缺省标签不可删除。

3.2.3 建立企业应用程序库，分组推送应用程序

MobileIron应用程序分发库提供一个集中的空间，你可以集中管理用

户的应用程序。针对每种平台可以定制化的进行分发。

先通过标签划分用户组，然后针对不同的用户组，推送不同的应用程序，以后如有程序的升级也可以通过标签来方便的推送升级程序包和通知用户。

针对iOS，你可以把苹果商店里想推荐给用户的程序链接推送到用户终端，或者把内部分发的应用程序链接推送到用户终端，用户就可以直接从MI服务器上下载了。

3.3安全策略：

3.3.1强制密码安全策略

作为一种企业日常使用的办公工具，移动终端的密码是第一道屏障也是最基本的安全要求，MobileIron可以制定一套安全策略，强制所有用户的终端都要设置密码，以保护终端上企业数据的安全。设备会被要求在60分钟内设置密码，如果超过60分钟没有设置密码，设备将会被锁定，只有设置密码后，才能继续使用。

3.3.2远程锁定，解锁和擦除手机（恢复出厂值）

锁定功能用于用户不确定设备是否丢失或被盗的情况，通过OTA的方式给设备发送一条锁屏的命令，这样终端上企业数据就不会被其他人看到，从而保护企业数据的安全。

解锁功能用于用户忘记密码的情况或者特殊情况下需要访问终端用户的设备，此时管理员可以通过OTA的方式给用户终端发送解锁命令，这样终端设备的密码就会被解除。

擦除命令用于设备丢失或不再继续使用的情况，执行该命令后，终端设备会执行恢复出厂值命令，所有数据会被清除，iOS设备需要连接iTunes进行激活。

3.3.3 越狱设备实时检测并发送通知

设备被越狱后，根权限就被破解了，这样的话越狱设备就回成为企业数据安全的一个致命弱点，MobileIron可以实时监控移动终端，一旦发现越狱设备就可以采取相应的措施保护企业数据安全，如禁止访问企业邮箱，发送警告通知，擦除终端设备等。下图中一把开启的锁图标表示该设备是被越狱了。

3.3.4 选择性擦除

当设备不再服役公司时，就可以“退休”了，此时执行了retired的命令后，相关的安全策略，配置文件和企业邮箱回被一并删除，但不回影响其他的数据。

3.3.5 隐私保护

有些设备是员工自己提供的，这样的话就要保护员工自己设备上的隐私，MobileIron可以禁用读取终端设备上的应用程序列表和收集终端设备上的定位信息。

3.3.6设备定位

MobileIron可以通过客户端收集定位信息，从而对终端进行位置定位。

3.3.7禁用摄像头，截幕，App Store等功能

MobileIron可以禁用iOS设备的摄像头，App Store等功能，来更好的取保移动终端符合企业设备安全要求。应用给策略的设备相应的功能图标会消失。

3.3.8程序控制策略

通过MobileIron可以制定程序控制策略，如可以定制哪些软件是必须安装的，哪些软件是不允安装的，如果用户违反了此策略，那么管理员就可以检测到，并发送警告通知相关人员。