大咖博闻荟 | 如何利用VMware Workspace ONE开启远程办公(下)

  • 时间:2020-05-07
  • 点击量:180

    接上篇文章,今天,让我们更进一步看看如何利用VMware Workspace ONE开启远程办公,本文有更多的操作细节。笔者也决定用更加活泼一点的语言,半翻译半创作。让大家看起来更加舒服一些。

    在开始之前…我们先回顾一下Workspace ONE四大核心方案:

·     Workspace ONE UEM – 提供统一端点管理,可管理Windows, Mac, iOS和安卓设备,保护企业应用和数据。

·     Workspace ONE Access – 提供统一应用门户,通过门户可安全访问企业的所有应用,可单点登录,用户可通过Hub Service非常简易的获取到企业各种应用。

·     VMware Horizon – 提供虚拟应用和桌面,所有的数据都在数据中心运行。

·     Carbon Black Cloud – 原生基于云的端点保护平台(EPP) 结合智能系统固化和行为检测,使用单个轻量级代理程序和易于使用的控制台来抵御最新的威胁。

*CB确实是个好东西,可惜还没进入国内哈。


接下来我们进入正题:



//第一步-获取 Workspace ONE SaaS服务//


VMware Workspace ONE可以是SaaS的,也可以本地部署(私有化)。在选择试用时,采用SaaS显然才是正确的答案(虽然有些客户不这么想)。国内怎么才能搞到一个SaaS环境呢?


·     联系VMware 销售和代理

由于SaaS的便捷性和Workspace ONE UEM的多租户架构,申请后很快就可以拿到一个SaaS环境了(几小时到一天不等<-笔者不对时效负责,通常都很快就对了)。

PS:生成一个SaaS环境只需要点几下鼠标,敲点东西…最多两分钟搞定。

拿到了SaaS环境后呢?

o  Workspace ONE UEM有丰富的向导功能,足以完成各种推出前的准备,自动发现,APNS证书,配置文件,单点登录等等等等。

o  Workspace ONE UEM有多租户架构(tenant),所以你自己也可以接着创建子组织组,平行组织组可以有不同的安全策略、配置、应用分发等等等等。是不是很cool?



其他的SaaS服务还没有完全落地,这里我就不介绍了。等落地了再给大家介绍吧。


//第二步-用户身份集成和企业资源访问//


Workspace ONE是云部署架构没错,和企业集成只需要很少的本地架构或完全不需要(现实中完全不需要的大约10%吧)。常见的集成像活动目录啦,证书颁发机构啦,非常方便易用。


好了,是时候看一下架构图,很简单(复杂)对不对:



没那么复杂了,其实不是企业都要用所有模块的,一切看需求:

·     部署并配置 AirWatch Cloud Connector (ACC) – 安装在内网,作为云链接器可以替Workspace ONE UEM完成和企业后端资源集成。防火墙上就不用打洞了(不是开车)。

·     部署并配置Workspace ONE Access Connector – 给Workspace ONE Access服务用的链接器。

·     部署并配置Unified Access Gateway (UAG) – 统一网关,访问和安全并重。目前开启远程办公必备。里面有很多服务。

·     配置VMware Tunnel 边缘服务 – 应用级安全隧道,可用于原生和web应用,不管是移动端还是桌面都可以用(Windows10,macOS)啦。

·     配置Secure Email Gateway 服务– 安全邮件网关,原先是单独套件,UAG3.6(大约是吧)也加入了SEG服务。非常常用的对吧。

·     配置Content Gateway边缘服务–VMware Workspace ONE® Content应用可以通过这个服务访问内部文件共享、SharePoint资料库等等。

·     配置 Web 反向代理和身份桥接 – 为web应用提供反向代理,为身份认证服务提供桥接,如Kerberos或基于header的认证。

·     配置Horizon 边缘服务 –Horizon从内网走向外网的保证,替换原先的Security Server。

·     配置移动邮件管理 – 保护邮件架构(不直接开放访问),提供各种MEM功能:接入控制,合规,附件加密等等。

·     配置Workspace ONE Access集成第三方IdP和应用 –Workspace ONE Access作为身份认证的中心,桥接各种企业已有的第三方身份认证解决方案,提供无缝SSO体验。 

·     配置Hub 服务 –Hub服务将原先的Workspace ONE门户,People通知等等集成到Hub应用里面,员工有一个就足够了。本地部署目前还没法用(因为要SaaS版的Workspace ONE Access),不过后面版本会支持,把hub变成无敌统一门户。


·     配置 Workspace ONE Intelligence – 提供洞察力,用户行为风险分析,自动流程等等各种高级功能。让企业可以决策并执行的超高级服务(纯SaaS,国内没有)。


//第三步-定义访问策略和部署应用//


集成好之后,下一步当然是定义各种访问策略,分配组(智能组这个名字不错,但分配组可能更直接一些)也要建起来,怎么建当然是根据实际需求。


·     创建并分配设备配置文件和策略 – 设备配置文件是管理设备最重要的啦,讲企业规划的安全策略和流程通过配置文件和合规策略进行功能落地。不知道怎么配置的可以从最常见的开始,比如邮件、加密、设备密码要求、wifi等等等等。


o  不同操作系统的配置文件当然需要分开创建,因为每个操作系统厂商提供的接口功能也不一样的,具体可以翻翻我们的手册。自己多试试是最好的选择,因为接口功能也是改来改去。

o  创建配置文件时第一步永远是通用(General),之后是各种负载(Payload,相信我这词不好翻译,Apple这么翻译后大家也就这样翻译了):

·     通用 设定如何分发配置文件和分发给哪些设备。

·     负载 才是真正起作用的部分,可以是限制也可以是其他一些配置。一旦安装即刻生效。

o  在 Workspace ONE Access中设定条件访问策略 – 条件访问策略就是把有关用户、设备和应用的部分都互相关联起来,比如用户能不能看见这些应用,如何访问这些应用(什么样的认证条件)。

·     利用 风险分析 可以基于用户行为打分,什么机器学习啦,人工智能啊。

应用其实才是远程办公的核心(这句话记下来要考的)。



所有设定都应该围绕应用展开。所以Workspace ONE Intelligent Hub应用的联合统一目录(门户更好听好记)是核心中的核心。最终用户可以非常方便的在这里找到任何他们需要的应用,直接使用或自动、按需安装。


作为管理员,可需要决定到底是使用web还是原生应用,或者使用虚拟应用,一切取决于如何分发和使用,企业的安全策略,等等。


·     添加和分配应用到联合目录(门户) –  Workspace ONE Intelligent Hub提供联合目录,所有应用都可以找到,当然具备操作系统感知功能。虚拟应用和桌面总是可以跨界的。

o  还有一些其他应用是需要分发的比如 Carbon Black Cloud Sensor 以确保终端安全,Workspace ONE Assist client 让管理员可以远程协助,Workspace ONE Tunnel提供应用级VPN隧道,安全访问企业内部资源。

·     还有各种移动设备上的生产力工具对吧?这都是Workspace ONE自带的,不用单独花钱购买的。


o  Workspace ONE Boxer – 安全访问邮件、日历和联系人。

o  Workspace ONE Web– 使用应用级隧道安全访问内部站点。

o  Workspace ONE Smartfolio– 帮助企业管理和分享给员工他们工作所需的关键企业内容,符合企业文档发放规定,合规审计等等。

o  Workspace ONE Content– 安全访问企业内部文档库里面的内容,文件共享,SharePoint站点和其他内容管理系统(有兴趣可以百度CMIS)。

o  Workspace ONE Notes– 安全访问备忘录和任务管理,最终用户可以随时随地安全记录想法,会议记录和任务等等。

·     配置SDK策略 –Workspace ONE平台也提供SDK库,可以赋予企业应用一些非常好的能力:认证、DLP设置、单点登录等等。


//第四步-纳管用户设备//

如何纳管设备很重要,开启前最好和所有相关部门沟通,人事、IT和领导,记录整理他们的需求,专注于提高用户体验,让员工更具生产力(工具人)。

·     是的,VMware官方有 Getting Started with the Workspace ONE End-User Adoption Kit 可以参考。当然你可以自行设计或基于官方文档参考设计。最后不要忘记培训最终用户!

OK,从技术角度看,最快的方式是利用VMware Workspace ONE Intelligent Hub应用。不管什么样的平台都可以从访问这个地址开始: getwsone.com. 当然,你可以选择下发邮件,附上注册扫描用的二维码和简单的指引。

当然,从最终用户的角度看

·     访问getwsone.com,下载Workspace ONE Intelligent Hub应用。

·     使用企业邮箱和凭证纳管设备。

·     纳管完成后,打开Workspace Intelligent Hub,访问企业门户(联合目录)!

使用二维码的话,你就需要考虑是不是自动发送用户激活邮件,提示用户纳管是设备,从控制台访问Device & Settings > All Settings > Device & Users > General > Message Templates 可以自定义邮件模板.

·     最终用户收到邮件(或短信,没啥人用了,相信我),扫描二维码。

·     提示时输入企业凭证。

·     纳管完成后,打开Workspace Intelligent Hub,访问企业门户(联合目录)!

给一个激活邮件的例子吧。

当然我们还有很多的选择不是吗?尤其是Windows10的开箱即用,如果有AAD Premium就再方便不过了(不,你并没有)

·     好吧我们来看一下:

o  计划Windows10部署 ,做好一切准备,参考我们的决策流程(techzone里面有)可以帮助你决定使用那些纳管的方式。

o  使用 Azure AD 讲Workspace ONE和Azure AD集成,可以实现开箱即用,员工第一次打开Windows10设备就可以无缝纳管。当然你需要互联网。

o  Dell 工厂预置 ,管理员可以从Dell直接订购设备,Dell工厂可以预置必须的应用,设备直接发到员工,实现开箱即用。

·     如果已经有在用SCCM管理设备或设备已经加入域,可以看看用命令行 Onboarding using Command-Line enrollment 和 Workspace ONE AirLift.去techzone找这些文档吧。

·     macOS 纳管选项:

o  可以参考Onboarding Options for macOS文档。

o  集成 Apple Business Manager 可实现Apple设备开箱即用。

·     Android 纳管选项:

o  Managing Android Devices文档提供多种纳管选项,Work Profile (BYOD), Work Managed (Corporate-Owned) and COPE (Hybrid)。国内…你懂得,用传统模式吧。

·     iOS 纳管选项:

o  集成 Apple Business Manager 可实现Apple设备开箱即用。


//第五步-跟踪员工体验&提供不间断的支持//


希望你坚持着看到这一步。

废话不多说。

·     可以创建不同角色的管理员,分发给服务台和同事使用。

·     通知最终用户自服务门户Self-Service Portal to可以让他们自己控制部分MDM功能(听起来很cool),减轻IT压力。

·     人工智能助手是个好东西,如上图。国内目前还没法用。

·     使用Workspace ONE Intelligence可以自动化替换即将无法使用的电池,自动化补丁修复,各种自动化非常炫酷,企业还有全局一览控制台,多棒,就是国内没有平台。

太多太多东西了。Workspace ONE方案是一个非常庞大的综合解决方案,功能也在不断加入和变化。但笔者相信这确实是一个了不起的平台。


北京群柏创联信息技术有限公司-版权所有        京公网安备 11010802023988号