招式四

關注服務交付戰略

移動用戶依賴多種多樣的應用程序，不僅有自定義的移動應用程序，還有第三方原生移動應用程序、移動化Windows應用程序和SaaS解決方案。在製定移動戰略時，企業應考慮清楚員工和小組使用的應用程序組合，以及應該如何在移動設備上訪問。

員工訪問移動設備上的應用程序的方式有以下4種。

原生設備體驗。在這種場景下，用戶的設備完全不受管理。員工自行購買應用程序，可隨意將企業數據與個人數據混合起來，通過任何網絡來工作。與前麵提到的借道繞開一樣，這種做法麵臨高風險，毫無安全性可言，因而絕不允許用於敏感數據。

虛擬化訪問體驗。虛擬桌麵、虛擬應用程序和數據托管在數據中心，通過一種遠程顯示協議來呈現。IT部門管理訪問，確保全麵安全，同時讓員工可以在移動平台上運行Windows應用程序。數據絕不會離開數據中心，那樣不需要設備端數據保護。這種方法確實依賴網絡連接，因而限製了離線使用場景。

容器化體驗。企業在設備上建立一個容器，企業的所有移動應用程序（包括自定義和第三方的原生移動應用程序）將與其他內容分隔開來。IT部門可以管理進入容器的應用程序和數據，同時允許用戶通過企業應用程序商店配置自己的應用程序。可以根據IT策略，自動更新、配置和改動應用程序。SSL、加密和針對特定應用程序的VPN等網絡設置同樣可以添加到容器中，讓員工可以在任何環境下以合適的方式輕鬆連接。萬一設備丟失、被盜、升級或者員工離職，還可以遠程擦除容器中的內容。

全麵管理的企業體驗。這種方法方案借助嵌入式策略對移動設備進行全麵控製，這些策略涉及遠程擦除、地域限製、數據到期及其他安全措施。所有移動應用程序都由IT部門明確選擇和配置，無法進行個性化。雖然這種方法高度安全，適合一些企業和使用場合，可是帶來了用戶體驗受到限製、與BYOD不兼容等缺點。

對於大多數企業來說，虛擬化訪問和容器化體驗的結合將支持員工依賴的一整套應用程序和使用場合。這讓IT部門可以在提供出色用戶體驗的同時，保持可見度和控製度。員工可以通過統一的企業單次登錄技術，訪問托管的應用程序和原生移動應用程序以及SaaS應用程序，比如Salesforce和NetSuite。員工離開企業後，IT部門立馬就能注銷該員工的帳戶，禁止訪問其設備上使用的所有原生移動應用程序、托管應用程序和SaaS應用程序。

招式五

自動獲得預期結果

自動化不僅可以為IT部門簡化工作，還能提供更出色的體驗。不妨看一看自動化在滿足下列常見的移動要求方麵起到的作用：

員工更換丟失的設備或者升級成新設備。隻要點擊一個URL，該員工的所有企業應用程序和工作信息都出現在新設備上，全麵進行了配置和個性化，可準備隨時工作。新員工或合同工可以同樣輕鬆地上崗，所有的企業移動應用程序被配置到任何個人或企業擁有的設備上的容器中。單次登錄（SSO）能夠順暢地訪問托管應用程序和SaaS應用程序。

員工從一個地方移到另一個地方、從一個網絡移到另一個網絡時，可感知環境的自適應訪問控製機製可自動重新配置應用程序，確保適當的安全性。

董事會成員手持平板電腦來開會。會議需要的所有文檔都自動裝入到設備上，設備由IT部門做了選擇性配置，以便隻能讀取文檔，需要的話隻能訪問容器中的應用程序。特別敏感的文檔可以設置成董事會成員一離開會議室，就自動從設備上消失。

員工在企業的角色發生變化後，當前崗位所需的相關應用程序就會自動到位，而不再需要的應用程序就會消失。第三方SaaS許可證將立即收回，用於再次分配。

執行這種自動化的方法之一是借助活動目錄。首先，將特定角色與相應容器關聯起來。任何被賦予該角色的員工都將自動獲得容器及與之相關的所有應用程序、數據、設置和權限。而在設備本身上麵，可以根據需要，使用MDM來集中設置無線PIN和密碼、用戶證書、雙因子驗證以及其他安全機製，以便支持這些自動化流程。

招式六

明確定義網絡

不同的應用程序和使用場合對網絡可能會有不同的要求，從內聯網或微軟SharePoint站點，到外部合作夥伴的門戶網站，再到需要相互SSL驗證的敏感應用程序，不一而足。在設備層麵執行最高級別的安全設置會給用戶體驗造成不必要的負麵影響；另一方麵，要求員工為每個應用程序選擇不同的設置甚至更招人討厭。