یکپارچهسازی Workspace ONE UEM و Workspace ONE Access در محیط Workspace ONE مزایای زیادی را ارائه میدهد. Workspace ONE برای احراز هویت، SaaS و دسترسی برنامه کاربردی VMware Horizon از Workspace ONE Access استفاده و از Workspace ONE UEM برای مدیریت و ثبت دستگاه استفاده میکند. یک پیادهسازی Workspace ONE میتواند شامل انواع منابع برنامه کاربردی زیر باشد.
برنامههای کاربردی موبایل Native
برنامههای کاربردی موبایل Native از Apple App Store، Google Play و Microsoft Windows Store راههای جدیدی را برای دسترسی ساده به ابزار و اطلاعات فراهم کرده است تا بهرهوری کاربران افزایش یابد. یکی از چالشهای موجود این است که پیدا کردن، نصب و کنترل برنامههای کاربردی قابل دسترسی ساده باشد. مدت زیادی است که Workspace ONE UEM، پتلفرمی را برای توزیع، مدیریت و امنیت این برنامههای کاربردی فراهم کرده است. برنامههای کاربردی را میتوان از خود App Storeها منتشر کرد و برنامههای کاربردی که بهصورت داخلی توسعه داده میشوند را میتوان جهت توزیع به کاربران نهایی به سرویس Workspace ONE UEM آپلود نمود. شکل پایین برنامههای کاربردی موبایل VMware Native را نمایش می دهد.
وقتی Workspace ONE UEM و Workspace ONE Access یکپارچهسازی میشوند تا برنامههای کاربردی از هر دو پلتفرم را بتوان برای کاربران نهایی فعالسازی نمود، امکان استفاده از کاتالوگ یکپارچه در Workspace ONE Access فعالسازی میگردد. Workspace ONE Client مشخص میکند که کدام برنامههای کاربردی روی کدام پلتفرم نمایش داده شود. برای مثال، برنامههای کاربردی iOS فقط روی دستگاههای خود را نشان میدهند که iOS را اجرا میکنند و برنامههای کاربردی Android فقط روی دستگاههای Android اجرا میگردند. شکل پایین کاتالوگ یکپارچه در Workspace ONE Access را نمایش می دهد.
دسترسی مشروط Workspace ONE
با ویژگی دسترسی مشروط Workspace ONE، ادمینها میتوانند پالیسیهای دسترسی بسازند که فراتر از ارزیابی هویت کاربر و اطلاعات اعتباری معتبر عمل میکنند. ادمینها میتوانند با ترکیب Workspace ONE UEM و Workspace ONE Access منابع هدف که مورد دسترسی قرار میگیرند، شبکهی مبدأ که درخواست از آن شروع میشود و نوع و وضعیت تطبیقپذیری دستگاه را ارزیابی کنند. با این معیارها، پالیسیهای دسترسی میتوانند یک چالش احراز هویت پیچیدهتر را در هنگام نیاز فراهم کنند و یا در هنگامی که شرایط محیا نباشد، دسترسی را رد کنند.
بیشتر بخوانید: معماری و اجزای مختلف VMware Horizon 7 و بررسی Workspace ONE
استفاده از کنسول Workspace ONE UEM برای ایجاد پالیسی دسترسی
پیکربندی تطبیقپذیری در کنسول Workspace ONE UEM شروع میشود. پالیسیهای تطبیقپذیری با تعیین موارد زیر ساخته میشوند:
- معیاری برای چک کردن، مثل یک دستگاه Jail-breakشده یا Rootشده
- اقدامی برای انجام دادن، مثل یک ایمیل به ک ادمین یا پاکسازی دستگاه
- انجام اقدامات بیشتر درصورتیکه دستگاه در زمان مشخصی به تطبیقپذیری بازنگردد
- مأموریتی به دستگاهها یا کاربران
جدول زیر مثالهایی از قواعد پالیسی دسترسی را نمایش می دهد.
| معیارهای تطبیقپذیری | شرح پالیسی |
| فهرست برنامه کاربردی | دستگاه به یکی از دلایل زیر از تطبیقپذیری با پالیسی خارج میشود: برنامههای کاربردی که در فهرست رد شدن قرار دارند روی دستگاه نصب شوند. برنامههای کاربردی در فهرست غیرمجاز روی دستگاه نصب شوند. برنامههای کاربردی ضروری نصب نشوند. نسخهی برنامهی کاربردی نصب شده با چیزی که در پالیسی تعریف شده است متفاوت باشد |
| آخرین اسکن با نقض امنیتی | یک دستگاه درصورتی با این پالیسی تطبیق دارد که آخرین بار در چارچوب زمانی تعریف شده درون پالیسی اسکن شده باشد. |
| رمز عبور | یک دستگاه درصورتی با این پالیسی تطبیق دارد که رمز عبوری توسط کاربر در دستگاه تعیین شده باشد. یک قاعدهی مرتبط اطلاعاتی را در مورد رمز عبور و وضعیت رمزگذاری دستگاه ارائه میدهد. |
| Roaming دستگاه | اگر دستگاهی Roaming باشد، از تطبیقپذیری با این پالیسی خارج است. |
استفاده از Workspace ONE UEM REST API جهت توسعهی پارامترهای تطبیقپذیری دستگاه
با Workspace ONE UEM REST API، تعریف وضعیت تطبیقپذیری یک دستگاه میتواند فراتر از آنچه در چارچوب کنسول Workspace ONE UEM قابل دسترسی است توسعه پیدا کند و این کار با استفاده از یکپارچهسازی با یک یا چند شریک از یک فهرست گسترده از شرکای VMware Mobile Security Alliance یا MSA انجام میشود.
برای استفاده از وضعیت دستگاه از Workspace ONE UEM با Workspace ONE Access، باید در زمان پیکربندی یکپارچهسازی Workspace ONE UEM و Workspace ONE Access گزینهی Device Compliance فعالسازی گردد. عملکرد بررسی تطبیقپذیری نیز باید فعال باشد. شکل پایین فعالسازی بررسی تطبیقپذیری را نمایش می دهد.
پس از اینکه بررسی تطبیقپذیری از طریق Workspace ONE UEM انجام شد، میتوان قاعدهای را اضافه کرد که تعریف میکند چه پارامترهایی بررسی میشوند و از چه روشهای احراز هویتی استفاده میگردد.
شکل بالا پالیسی تطبیقپذیری دستگاه را نمایش میدهد. شناساگرهای منحصربهفرد دستگاه یا همان UDID نیز باید در Workspace ONE UEM ضبط شده و در پیکربندی تطبیقپذیری مورد استفاده قرار بگیرند. این ویژگی با Mobile SSO برای iOS، Mobile SSO برای Android و روشهای احراز هویت پیادهسازی Certificate Cloud کار میکند. پیش از اینکه از روش احراز هویت Device Compliance استفاده شود، باید از روشی برای دستیابی به UDID دستگاه استفاده گردد. ارزیابی تطبیقپذیری دستگاه پیش از دستیابی به UDID به اعتبارسنجی مثبت وضعیت دستگاه منجر نمیگردد.
احراز هویت چندمرحلهای
Workspace ONE Access از احراز هویت زنجیرهای و دومرحلهای پشتیبانی میکند. روشهای احراز هویت اصلی میتوانند نام کاربری و رمز عبور یا Mobile SSO باشند. میتوان این روشهای احراز هویت را با RADIUS، RSA Adaptive Authentication و VMware Workspace ONE Verify بهعنوان روشهای احراز هویت ثانویه ترکیب کرد تا امنیت بیشتری برای کنترل دسترسی ایجاد شود.
BYOD و Mobile Application Management یا MAM
Bring Your Own Device یا همان BYOD به کارمندانی اشاره دارد که با استفاده از دستگاههای شخصی به منابع سازمانی دسترسی پیدا میکنند که ممکن است حاوی اطلاعات حساسی باشند. دستگاههای شخصی میتوانند شامل گوشیهای هوشمند، رایانههای شخصی یا تبلتها باشند.
Mobile Application Management یا همان MAM توانایی ادمینها در ایمنسازی و کنترل IT روی برنامههای کاربردی سازمانی در یک دستگاه موبایل است، مثلاً از طریق درخواست مدیریت کامل دستگاه برای دسترسی به یک برنامه کاربردی یا محدود کردن عملکرد Copy-Paste در یک برنامه کاربردی.
Workspace ONE از انواعی از رویکردهای مدیریت برنامه کاربردی براساس مالکیت دستگاه و سطح امنیت مورد نیاز یک سازمان پشتیبانی مینماید. دستگاههایی که سازمانها مالکیتشان را بر عهده دارند یا دستگاههایی که در یک صنعت سازماندهی شده مورد استفاده قرار میگیرند، احتمالاً در مقایسه با دستگاههایی کارمندان نیازمند سطح بالاتری از مدیریت هستند. بااینحال کارمندان انتظار حریم شخصی بیشتر و محدودیتهای کمتری را روی دستگاههای خود دارند.
هر پلتفرم موبایل دارای واژگان متفاوتی برای توصیف روشهای مدیریتی است:
- Mobile Device Management یا MDM کامل نیازمند این است که کاربر دستگاه را برای مدیریت ثبت کند تا به هر برنامه کاربردی کاری دسترسی داشته باشد. ثبت شامل دانلود کردن یک پروفایل مدیریت یا MDM برای دستگاه است، این روش بیشترین کنترل دستگاه را برای ادمین فراهم میکند که شامل پالیسیها و محدودیتهای کامل، گواهی و تطبیقپذیری، دسترسی مشروط و اصلاحات دستگاه است. معمولاً این روش مدیریتی برای دستگاههایی مورد استفاده قرار میگیرد که تحت مالکیت سازمان هستند؛ اما برخی از سازمانها برای BYOD نیز، نیازمند این سطح از مدیریت میباشند.
- بخشبندی سیستم عامل: گزینههای مدیریتی که از طریق تولیدکنندگان دستگاه ممکن میشوند. این امر شامل iOS User Enrollment و Android Enterprise Work Profile است. این پیکربندی برنامههای کاربردی و دادههای کاری را از برنامههای کاربردی و دادههای شخصی جداسازی میکند. بخشبندی سیستم عامل یک گزینهی مدیریتی متداول برای دستگاههای BYOD و سازمانی است، زیرا یک روش ساده را برای تشخیص برنامههای کاربردی شخصی و کاری فراهم مینماید.
- حالت Registered: اگر در کنسول Workspace ONE UEM پیکربندی شود، کاربران میتوانند وارد برنامهی کاربردی Workspace ONE Intelligent Hub شده و بدون مدیریت کامل و در سطح دستگاه، پروفایل MDM، به برنامههای کاربردی دسترسی داشته باشند. این روش مدیریتی بیشترین سطح حریم شخصی را برای کاربر فراهم کرده و گزینهی متداولی برای BYOD است.
- برنامههای کاربردی Containerizeشده: در تمام گزینههای مدیریت دستگاه که بالاتر به آنها اشاره شد، Workspace ONE برنامههای کاربردی ایمنی را فراهم میکند که کاربران میتوانند به آنها دسترسی داشته باشند، فارغ از اینکه آیا دستگاه بهطور کامل مدیریتشده است یا اینکه از حالت Registered استفاده میکند. برنامههای کاربردی Containerizeشده شامل برنامههای کاربردی بهرهوری Workspace ONE مثل Intelligent Hub، Boxer، Content و غیره و برنامههای کاربردی دیگری هستند که شامل Workspace ONE SDK میباشند. استفاده از برنامههای کاربردی Containerizeشده روی یک دستگاه در حالت Registered متداولترین پیکربندی برای رسیدن به BYOD MAM است. شکل پایین گزینههای مدیریت دستگاه Workspace ONE همراه با زنجیره را نمایش می دهد.
فعالسازی مدیریت تطبیقپذیر برای iOS
ادمین Workspace ONE UEM میتواند به کاربران این توانایی را بدهد که بدون نیاز به مدیریت کامل دستگاه وارد Workspace ONE Intelligent Hub شوند. بهعبارتدیگر، کاربر میتواند به مجموعهای از برنامههای کاربردی سازمانی دسترسی داشته باشد، بدون اینکه پروفایل iOS MDM را روی دستگاه خود نصب کند. این گزینه حالت Registered نام دارد: دستگاه کاربر ثبت شده است اما بهطور کامل مدیریتشده نیست.
اما اگر یک کاربر iOS سعی کند به یک برنامه کاربردی سازمانی محدود در آن مجموعه دسترسی پیدا کند که نیازمند ثبت MDM است، از او خواسته میشود که پروفایل iOS MDM را نصب نماید. به این امر تحت عنوان مدیریت تطبیقپذیر اشاره میشود.
مدیریت تطبیقپذیر را میتوان برای هر برنامه کاربردی در کنسول Workspace ONE UEM فعالسازی کرد. همانطور که در شکل زیر نمایش داده شده است، در یک پروفایل برنامه کاربردی، ادمین میتواند پیش از اینکه اجازهی استفاده از یک برنامه کاربردی بهخصوص را صادر کند، مدیریت در سطح دستگاه را درخواست دهد.
وقتی مدیریت تطبیقپذیر برای یک برنامهی کاربردی مورد نیاز باشد، آن برنامهی کاربردی در کاتالوگ خود نشانهای خواهد داشت تا کاربر نهایی متوجه شود که برنامهی کاربردی دارای الزامات بهخصوصی است. مدیریت تطبیقپذیر فقط روی iOS تحت پشتیبانی است، پلتفرم Android دیگر از این عملکرد پشتیبانی نمیکند. استاندارد جدید برای پیادهسازی برنامهی کاربردی در Android از طریق Android Enterprise اتفاق میافتد.
