• 大咖博聞薈 | 如何利用VMware Workspace ONE開(kāi)啟遠(yuǎn)程辦公（上）

　　接上篇文章，今天，讓我們更進(jìn)一步看看如何利用VMware Workspace ONE開(kāi)啟遠(yuǎn)程辦公，本文有更多的操作細(xì)節(jié)。筆者也決定用更加活潑一點(diǎn)的語(yǔ)言，半翻譯半創(chuàng)作。讓大家看起來(lái)更加舒服一些。

• Workspace ONE UEM – 提供統(tǒng)一端點(diǎn)管理，可管理Windows, Mac, iOS 和安卓設(shè)備，保護(hù)企業(yè)應(yīng)用和數(shù)據(jù)。
• Workspace ONE Access – 提供統(tǒng)一應(yīng)用門戶，通過(guò)門戶可安全訪問(wèn)企業(yè)的所有應(yīng)用，可單點(diǎn)登錄，用戶可通過(guò)Hub Service非常簡(jiǎn)易的獲取到企業(yè)各種應(yīng)用。
• VMware Horizon – 提供虛擬應(yīng)用和桌面，所有的數(shù)據(jù)都在數(shù)據(jù)中心運(yùn)行。
• Carbon Black Cloud – 原生基于云的端點(diǎn)保護(hù)平臺(tái)（EPP） 結(jié)合智能系統(tǒng)固化和行為檢測(cè)，使用單個(gè)輕量級(jí)代理程序和易于使用的控制臺(tái)來(lái)抵御最新的威脅。**CB確實(shí)是個(gè)好東西，可惜還沒(méi)進(jìn)入國(guó)內(nèi)哈。

• 聯(lián)系VMware 銷售和代理

　　由于SaaS的便捷性和Workspace ONE UEM的多租戶架構(gòu)，申請(qǐng)后很快就可以拿到一個(gè)SaaS環(huán)境了（幾小時(shí)到一天不等<-筆者不對(duì)時(shí)效負(fù)責(zé)，通常都很快就對(duì)了）。

1. Workspace ONE UEM有豐富的向?qū)Чδ埽�足以完成各種推出前的準(zhǔn)備，自動(dòng)發(fā)現(xiàn)，APNS證書(shū)，配置文件，單點(diǎn)登錄等等等等。
2. Workspace ONE UEM有多租戶架構(gòu)（tenant），所以你自己也可以接著創(chuàng)建子組織組，平行組織組可以有不同的安全策略、配置、應(yīng)用分發(fā)等等等等。是不是很cool？

• 部署并配置 AirWatch Cloud Connector （ACC） – 安裝在內(nèi)網(wǎng)，作為云鏈接器可以替Workspace ONE UEM完成和企業(yè)后端資源集成。防火墻上就不用打洞了（不是開(kāi)車）。
• 部署并配置Workspace ONE Access Connector – 給Workspace ONE Access服務(wù)用的鏈接器。
• 部署并配置Unified Access Gateway （UAG） – 統(tǒng)一網(wǎng)關(guān)，訪問(wèn)和安全并重。目前開(kāi)啟遠(yuǎn)程辦公必備。里面有很多服務(wù)。
• 配置VMware Tunnel 邊緣服務(wù) – 應(yīng)用級(jí)安全隧道，可用于原生和web應(yīng)用，不管是移動(dòng)端還是桌面都可以用（Windows10，macOS）啦。
• 配置Secure Email Gateway 服務(wù)– 安全郵件網(wǎng)關(guān)，原先是單獨(dú)套件，UAG3.6（大約是吧）也加入了SEG服務(wù)。非常常用的對(duì)吧。
• 配置Content Gateway邊緣服務(wù)– VMware Workspace ONE? Content 應(yīng)用可以通過(guò)這個(gè)服務(wù)訪問(wèn)內(nèi)部文件共享、SharePoint資料庫(kù)等等。
• 配置 Web 反向代理和身份橋接 – 為web應(yīng)用提供反向代理，為身份認(rèn)證服務(wù)提供橋接，如Kerberos 或基于header的認(rèn)證。
• 配置Horizon 邊緣服務(wù) – Horizon從內(nèi)網(wǎng)走向外網(wǎng)的保證，替換原先的Security Server。

• 配置移動(dòng)郵件管理 – 保護(hù)郵件架構(gòu)（不直接開(kāi)放訪問(wèn)），提供各種MEM功能：接入控制，合規(guī)，附件加密等等。
• 配置Workspace ONE Access集成第三方IdP和應(yīng)用 – Workspace ONE Access 作為身份認(rèn)證的中心，橋接各種企業(yè)已有的第三方身份認(rèn)證解決方案，提供無(wú)縫SSO體驗(yàn)。
• 配置Hub 服務(wù) – Hub 服務(wù)將原先的Workspace ONE門戶，People通知等等集成到Hub應(yīng)用里面，員工有一個(gè)就足夠了。本地部署目前還沒(méi)法用（因?yàn)橐猄aaS版的Workspace ONE Access），不過(guò)后面版本會(huì)支持，把hub變成無(wú)敵統(tǒng)一門戶。

• 配置 Workspace ONE Intelligence – 提供洞察力，用戶行為風(fēng)險(xiǎn)分析，自動(dòng)流程等等各種高級(jí)功能。讓企業(yè)可以決策并執(zhí)行的超高級(jí)服務(wù)（純SaaS，國(guó)內(nèi)沒(méi)有）。

• 創(chuàng)建并分配設(shè)備配置文件和策略 – 設(shè)備配置文件是管理設(shè)備最重要的啦，講企業(yè)規(guī)劃的安全策略和流程通過(guò)配置文件和合規(guī)策略進(jìn)行功能落地。不知道怎么配置的可以從最常見(jiàn)的開(kāi)始，比如郵件、加密、設(shè)備密碼要求、wifi等等等等。

1. 不同操作系統(tǒng)的配置文件當(dāng)然需要分開(kāi)創(chuàng)建，因?yàn)槊總�(gè)操作系統(tǒng)廠商提供的接口功能也不一樣的，具體可以翻翻我們的手冊(cè)。自己多試試是最好的選擇，因?yàn)榻涌诠δ芤彩歉膩?lái)改去。
2. 創(chuàng)建配置文件時(shí)第一步永遠(yuǎn)是通用（General），之后是各種負(fù)載（Payload，相信我這詞不好翻譯，Apple這么翻譯后大家也就這樣翻譯了）：

• 通用 設(shè)定如何分發(fā)配置文件和分發(fā)給哪些設(shè)備。
• 負(fù)載 才是真正起作用的部分，可以是限制也可以是其他一些配置。一旦安裝即刻生效。

1. 在 Workspace ONE Access中設(shè)定條件訪問(wèn)策略 – 條件訪問(wèn)策略就是把有關(guān)用戶、設(shè)備和應(yīng)用的部分都互相關(guān)聯(lián)起來(lái)，比如用戶能不能看見(jiàn)這些應(yīng)用，如何訪問(wèn)這些應(yīng)用（什么樣的認(rèn)證條件）。

• 利用 風(fēng)險(xiǎn)分析 可以基于用戶行為打分，什么機(jī)器學(xué)習(xí)啦，人工智能啊。

• 添加和分配應(yīng)用到聯(lián)合目錄（門戶） –  Workspace ONE Intelligent Hub 提供聯(lián)合目錄，所有應(yīng)用都可以找到，當(dāng)然具備操作系統(tǒng)感知功能。虛擬應(yīng)用和桌面總是可以跨界的。

• 還有各種移動(dòng)設(shè)備上的生產(chǎn)力工具對(duì)吧？這都是Workspace ONE 自帶的，不用單獨(dú)花錢購(gòu)買的。

1. Workspace ONE Boxer – 安全訪問(wèn)郵件、日歷和聯(lián)系人。
2. Workspace ONE Web – 使用應(yīng)用級(jí)隧道安全訪問(wèn)內(nèi)部站點(diǎn)。
3. Workspace ONE Smartfolio – 幫助企業(yè)管理和分享給員工他們工作所需的關(guān)鍵企業(yè)內(nèi)容，符合企業(yè)文檔發(fā)放規(guī)定，合規(guī)審計(jì)等等。
4. Workspace ONE Content – 安全訪問(wèn)企業(yè)內(nèi)部文檔庫(kù)里面的內(nèi)容，文件共享，SharePoint站點(diǎn)和其他內(nèi)容管理系統(tǒng)（有興趣可以百度CMIS）。
5. Workspace ONE Notes – 安全訪問(wèn)備忘錄和任務(wù)管理，最終用戶可以隨時(shí)隨地安全記錄想法，會(huì)議記錄和任務(wù)等等。

• 配置SDK策略 – Workspace ONE 平臺(tái)也提供SDK庫(kù)，可以賦予企業(yè)應(yīng)用一些非常好的能力：認(rèn)證、DLP設(shè)置、單點(diǎn)登錄等等。

• 是的，VMware官方有 Getting Started with the Workspace ONE End-User Adoption Kit 可以參考。當(dāng)然你可以自行設(shè)計(jì)或基于官方文檔參考設(shè)計(jì)。最后不要忘記培訓(xùn)最終用戶！

• 訪問(wèn)getwsone.com，下載Workspace ONE Intelligent Hub 應(yīng)用。
• 使用企業(yè)郵箱和憑證納管設(shè)備。
• 納管完成后，打開(kāi)Workspace Intelligent Hub，訪問(wèn)企業(yè)門戶（聯(lián)合目錄）！

• 最終用戶收到郵件（或短信，沒(méi)啥人用了，相信我），掃描二維碼。
• 提示時(shí)輸入企業(yè)憑證。
• 納管完成后，打開(kāi)Workspace Intelligent Hub，訪問(wèn)企業(yè)門戶（聯(lián)合目錄）！

• 好吧我們來(lái)看一下：

1. 計(jì)劃Windows10部署 ，做好一切準(zhǔn)備，參考我們的決策流程（techzone里面有）可以幫助你決定使用那些納管的方式。
2. 使用 Azure AD 講Workspace ONE 和 Azure AD集成，可以實(shí)現(xiàn)開(kāi)箱即用，員工第一次打開(kāi)Windows10設(shè)備就可以無(wú)縫納管。當(dāng)然你需要互聯(lián)網(wǎng)。
3. Dell 工廠預(yù)置 ，管理員可以從Dell直接訂購(gòu)設(shè)備，Dell工廠可以預(yù)置必須的應(yīng)用，設(shè)備直接發(fā)到員工，實(shí)現(xiàn)開(kāi)箱即用。

• 如果已經(jīng)有在用SCCM管理設(shè)備或設(shè)備已經(jīng)加入域，可以看看用命令行 Onboarding using Command-Line enrollment 和 Workspace ONE AirLift.去techzone找這些文檔吧。
• macOS 納管選項(xiàng)：

1. 可以參考Onboarding Options for macOS 文檔。
2. 集成 Apple Business Manager 可實(shí)現(xiàn)Apple設(shè)備開(kāi)箱即用。

• Android 納管選項(xiàng)：

• iOS 納管選項(xiàng)：

• 可以創(chuàng)建不同角色的管理員，分發(fā)給服務(wù)臺(tái)和同事使用。
• 通知最終用戶自服務(wù)門戶Self-Service Portal to 可以讓他們自己控制部分MDM功能（聽(tīng)起來(lái)很cool），減輕IT壓力。

• 人工智能助手是個(gè)好東西，如上圖。國(guó)內(nèi)目前還沒(méi)法用。

• 使用 Workspace ONE Intelligence 可以自動(dòng)化替換即將無(wú)法使用的電池，自動(dòng)化補(bǔ)丁修復(fù)，各種自動(dòng)化非常炫酷，企業(yè)還有全局一覽控制臺(tái)，多棒，就是國(guó)內(nèi)沒(méi)有平臺(tái)。