在目前的全球疫情下，很多企業(yè)正在努力讓員工有能力進行遠程辦公。老實說很多企業(yè)對此都措不及防。本文提供了相關指導：VMware如何快速幫助企業(yè)使用VMware Workspace ONE實現(xiàn)遠程辦公。

　　VMware Workspace ONE是一個強大的數(shù)字工作空間集成解決方案，包括訪問管理、統(tǒng)一端點管理（UEM），分析，桌面和應用虛擬化以及端點安全。這些都是非常關鍵的解決方案，讓企業(yè)安全不受損壞，同時提供出色的用戶體驗。Workspace ONE 分為四個核心解決方案：

　　圖 1. Workspace ONE 平臺

　　你馬上可以會提問：“我怎么才能獲得這個解決方案并用起來呢？”企業(yè)目前的硬件和能力可能非常有限，大部分，如果不是所有員工都需要遠程辦公。VMware可以快速置備完整的 Workspace ONE 云端SaaS環(huán)境，基于企業(yè)需求提供快速訪問和隨時擴展。

　　VMware已經(jīng)提供并管理相關SaaS服務，包括：Workspace ONE UEM 和Workspace ONE Access，貴公司的IT團隊只需要關注如何管理設備、應用和安全策略。（筆者按：到目前為止中國只提供了由代理商運維的Workspace ONE UEM SaaS）

　　對于 VMware Horizon來說，企業(yè)可選擇所使用 Horizon Cloud Service 來管理自己的云端虛擬桌面和應用，目前在 Microsoft Azure 或 AWS。（筆者按：到目前為止中國還沒有）

　　從最基本的集成來說，活動目錄（Active Directory）可作為認證用戶身份源和授權訪問， Workspace ONE 提供連接器，可以安裝在本地，這樣可以實現(xiàn)集成和同步用戶以及用戶組。這種集成是最基本的，可以用來實現(xiàn)企業(yè)應用安全訪問，基于設備的條件訪問，身份和用戶行為等等。同時集成也可以幫助打造統(tǒng)一門戶，這樣最終用戶可以在任意設備上同一位置訪問所有應用。

　　遠程辦公另一基本要素是要能訪問到私有部署的企業(yè)數(shù)據(jù)。員工可能需要訪問文件、郵件和應用，這些都在內網(wǎng)存放。IT為了滿足這些需求，就需要在不損壞安全的前提下提供外部訪問支持。Workspace ONE提供了安全網(wǎng)關組件（UAG），可部署在DMZ區(qū)，以確保所以訪問請求都被認證并來自于企業(yè)納管設備。一臺UAG就可以處理多種使用案例和上千用戶。

　　圖2. 通過統(tǒng)一應用門戶，最終用戶可訪問web，原生和遠程虛擬應用。

　　統(tǒng)一應用門戶作為Workspace ONE Intelligent HUB的一部分提供了無縫集成，讓員工可以訪問企業(yè)的各種應用，如 Service Now, Salesforce, Slack, Office 365, 遠程虛擬桌面和應用，單點登錄和多因素認證 （MFA） 可用來加強應用訪問時的安全性。

　　清楚認識到企業(yè)需要具備能力讓員工可以遠程辦公，這可以大大推動解決方案的落地實施和訪問策略的制定。員工的職能角色和設備的所有權（企業(yè)配發(fā)或自帶設備）非常重要，必須在這一步考慮進去，因為這將驅動安全策略如果制定，以及應用如何交付。

　　從應用的角度看，必須計劃好最終用戶能看到什么應用，以及如何交付使用。Workspace ONE 可以交付并管理原生和Web應用，集成設置設備安全策略。Workspace ONE 同樣可以提供遠程虛擬桌面和應用，這些桌面和應用都在數(shù)據(jù)中心運行和維護。

　　從設備的角度看，有些用戶將繼續(xù)使用企業(yè)配發(fā)的筆記本和手機作為遠程辦公的工具，在這種情況下，Workspace ONE UEM 管理員可以最大權限的控制這些設備。管理員可以應用安全策略，嚴禁最終用戶訪問設備的設置功能。在這種場景下，最終用戶可從設備訪問Web和原生應用，安全策略也會確保設備上的企業(yè)數(shù)據(jù)安全。如果員工把設備丟了，可執(zhí)行遠程擦除指令，清除設備上的企業(yè)數(shù)據(jù)，或者將設備擦除到出廠狀態(tài)。

　　另一方面來說說，有些客戶會在遠程辦公使用自己的設備，這樣 UEM管理員又無法那么強力的管理這些設備了。企業(yè)必須要平衡的考慮是把應用真正分發(fā)到這些個人設備上，還是分發(fā)虛擬桌面和應用。Workspace ONE可提供兩種選擇，無縫結合，實現(xiàn)員工訪問和IT安全需求的平衡。

　　基于企業(yè)所在的行業(yè)或目前的情況，員工可能有或沒有企業(yè)配發(fā)的專用設備。首先，企業(yè)需要考慮哪些設備平臺或關鍵因素是員工遠程辦公是所需要的。企業(yè)的移動用戶（那些已經(jīng)居家辦公或使用企業(yè)配發(fā)設備的） 很大可能不需要考慮這些，無非是加上一層管理功能以獲得設備管理的收益：

　　可通過 What Is Workspace ONE讓最終用戶了解什么是Workspace ONE，通過Privacy App讓最終用戶緩解隱私方面的顧慮。

　　那些沒有企業(yè)配發(fā)設備的員工，從來沒有遠程居家辦公的，企業(yè)最好從一些小技巧開始溝通。除此之外，企業(yè)也可以賦能員工將任意設備（員工自帶設備）納管進來，這些設備是他們非常喜歡的，愿意用它們來辦公的。你可以發(fā)送給他們納管用的鏈接，這將給他們一個快速入口。

　　為了幫助完成這一過程，VMware提供了一個工具包，其中包括預先制作的、可定制的模板、最佳實踐和想法，可以幫助企業(yè)啟動自己的流程，并立即開始使用Workspace ONE平臺推動采用率。

　　從技術角度看，完成 Workspace ONE 安裝需求后，最快讓現(xiàn)有設備納管的方法就是讓用戶訪問 getwsone.com 或 getws1.com ，根據(jù)指引開始納管。請記住這些是流水線式的納管方式，當然他們可能需要一些前置條件或附加的配置才可以實現(xiàn)。簡單舉幾個例子：Windows 的 OOBE/Autopilot（開箱即用），Dell Factory Provisioning（Dell工廠置備），Apple商務管理自動納管 macOS 和 iOS ，或是安卓的Work Managed Device/Work Profile 納管模式。訪問Tech Zone上的quick-start learning paths 可獲得更多信息。

　　圖 3. 統(tǒng)一管理任意操作系統(tǒng)和任意設備類型

　　到這一步企業(yè)已經(jīng)配置了所有項目，開始納管新的用戶和他們的設備，企業(yè)可能在思考： “我們怎么支持這些遠程用戶呢？” 如果企業(yè)支持團隊有多種專業(yè)方向的成員，企業(yè)可以配置自定義管理員角色 （或者使用平臺已經(jīng)定義好的管理員角色），這樣的話每個管理員只能看到和訪問到哪些對他們最重要的部分。最終用戶也可以訪問自服務站點，獲取多種能力，比如找到他們自己的BitLocker （Windows10專業(yè)版或以上）恢復秘鑰，定位自己的設備或是可以選擇擦除/鎖定設備，如果設備遺失或被偷。另外，服務臺可以使用Workspace ONE Assist，非常方便的遠程查看，控制，白板，記錄，查看進行，共享或從目標設備抓取日志，當然這一切都是最終用戶知曉，并在需要更加級別的即時協(xié)助時進行。

　　以上段落描述了如何響應式的支持最終用戶。然而，你還可以利用自動化來預判式幫助最終用戶。通過 Workspace ONE Intelligence，該平臺可以支持和很多第三方服務集成，實現(xiàn)自定義的全局儀表板，報告和強大的自動化操作流程。通過CVE集成和自動補丁分發(fā)，企業(yè)可確保設備安全。在筆記本電池無法充電之前，預先分發(fā)給最終用戶替換用的電池。使用Sensor（自定義屬性）可讓你獲知納管設備上的任意屬性值，并因此執(zhí)行自動化流程。

　　本文的目的是讓企業(yè)開始思考如何將任意應用分發(fā)到任意設備上，使員工可以即使隨地的開展各種各樣的工作，同時保護核心數(shù)據(jù)。請務必查看 Digital Workspace Tech Zone podcasts, Maintaining Business Continuity in Difficult Times – Part 1, 我們將與EUC技術營銷團隊的專家更加詳細的討論本主題！