BYOD：应用管理工作不可过度

第三方应用程序在移动领域中的定位与PC领域不同，处理方式也应当有所区别。

即使大家还没有亲自使用，但想必已经接受用户将iPhone、iPad及Android设备带入业务环境这一客观现实。为了满足安全需求，很多朋友可能已经把移动设备管理（MDM）工具部署到企业中，希望以此构建敏感数据的理想保护机制--至少需要与PC安全水准类似。

但移动设备中的应用该如何对待？大家如何着手管理？如何解决定点许可？怎样为应用提供企业技术支持？这些都是摆在IT管理员面前的实际问题。

但答案可能并不顺耳：放弃吧，不要再纠结于上述麻烦事。（对于直接介入企业信息系统及流程的应用，应用管理方案已经非常明确，标准化产品的出现也为管理者省去了收集、整理、归纳解决机制的诸多烦恼。）

为什么应用管理属于遗留方案

IT业界始终笼罩在误解与流言的困扰下，而我在这里必须要说句公道话：第三方应用管理工作所解决的往往都不是预期问题。真正值得审视、需要规划的是掌控信息自身及其访问方式。将应用程序与用户设备以严苛方案加以锁定及管理的日子早已经一去不复返，事实上这类做法最多只能作为实现数据调节与许可限制的一种代理手段。

企业业务边界具有渗透性，而且随着人们居家、差旅办公以及协作团队、分包方案的不断增加，边界已经变得愈发模糊。智能手机与平板设备的全面崛起令未来前景几成定局--任何一家希望通过计算设备与应用控制方案保护信息的企业（与希望通过数据访问规划实现保护效果）都逐渐意识到，自己所做出的诸般努力并没有直接作用于价值保护。

如果能从这个角度思考问题，大家一定会发现对终端的过分关注其实是种错误的信息管理措施。从大型机时代一路走来，IT部门已经习惯于这种监管终端的思维方式；而在今天，真正的计算活动已经转移到数据中心内部，技术人员更希望普通员工能以"傻瓜"方式操作终端、实现业务需求。单单讨论PC机的话，IT部门一直非常反感用户将业务信息保存在个人电脑中，而供应商则及时出现、利用各类技术尝试将PC机牢牢束缚在数据中心的控制之下。无论是加密机制还是强制登录，众多现实方案的目标只有一个--为真正有价值的信息提供帮助。

然而另一种趋势却不那么明显：事务应用程序正在成为数据中心的客户端。微软公司算得上是IT业界的智囊，而他们最赚钱的产品线Office系列应用已经转型为Exchange及其它服务器客户端。

有鉴于此，IT部门所购买的定点软件许可就得搭配昂贵的维护选项并要求管理者始终保持高度关注，这样才能真正确保无论员工如何流动都不会破坏许可规则。微软、Adobe System公司等多家供应商以及资产管理工具承包商都将此作为新的盈利机制，企业用户也把它视为调整IT团队的绝佳方式。新模式让普通员工与技术人士携手联合，安全责任自此由每一位企业成员共同承担。

不过这套方案的问题在于，与真正的服务器基础应用相比，此类产品都不能算是真正的客户端。尽管微软及其它厂商一直在努力尝试，但它们仍然无法实现ERP及CRM系统那样的集中性与托管强度。（我就曾见过一家将90%的Office许可直接替换为谷歌Docs产品的企业，尽管立志摆脱的束缚，却不得不在超过一半的客户访问许可中沿用微软提供的客户端与服务器混合技术。）

相反，iOS用户则在Office之外拥有iWork、Quickoffice及Documents to Go等多种备选方案。Android用户可以选择Quickoffice或DocsToGo，就连黑莓及其它移动操作系统的用户也绝不缺少替代产品。这些方案都能够与本地Office文件顺利对接，因此大多数企业根本无需担心放弃微软Office会带来麻烦；正如用户无论是使用PC还是Mac设备、无论选择OpenOffice、iWork还是谷歌Docs，由于文件格式的通用特性，多套方案也能产出同类结果。随着越来越多的工具支持常见业务流程所需要的Office功能，谁还在乎自己用的到底是哪一款客户端？某些IT部门还有点犹豫，但其实并无必要。

真正给IT管理者带来困扰的根源在于，这些应用全部来自应用软件商店并因此缺乏定点软件认可。另外这些供应商并没有提供企业级支持规划，而这些恰恰是IT消费化趋势的主要特点。

如何在IT消费化时代管理应用程序

无论是来自Mac、Windows、Chrome还是其它什么应用商店的产品，其采购过程都完全由个人为主体；而且大多数应用商店都允许用户通过个人ID将已经购买的应用安装到每一台设备当中。在新机制的影响下，我们不再需要与定点软件许可打交道；就拿苹果的App Store为例，所有交易流程都以围绕个人展开：每位用户在购买后都有权在其它五台设备中安装并使用该产品。而对于那些由多位用户共同使用的设备--例如公用iPad或公共Mac机--许可证同样支持所有使用者在该硬件上的合法性。

同一台设备能够承载来自不同账户的应用程序。因此，一台iPad既能够运行下载自个人iTunes商店账户的应用、也能使用来自企业iTunes商店账户的业务软件--甚至支持验证用户使用由来自网络的企业内部应用。

移动应用管理工具同样能够作用于企业内部广泛铺开的业务应用，无论是本地应用还是HTML 5Web应用都能搞定。

但大家一定要注意：IT部门只能通过长效技术管理内部应用，但商业应用却不在管理范畴之内。

在这片全新的领域中，商业应用与移动设备的角色非常相似：它同样由员工自发引入，许可与个人联系紧密、却与真正承担购买成本的企业毫无交集。而且移动应用的售价往往极低，企业不可能再像过去那样利用大量人力与技术方案负责采购及安装监控--这种思路本身也是与现实脱节的表现。（没错，我知道某些企业确实需要稳固的约束政策，他们应该会按业务需要强化控制。但请大家扪心自问，我们到底需要为应用程序及终端设备实施哪些控制方式？经过仔细度量，各位一定会发现自己的原有政策有些太过严苛、繁复了。）

虽然某些MDM工具允许管理者通过设定限制用户设备上所能安装或者有权访问网络资源的应用程序类型，但这类功能还并没有成为MAM产品的标准配置。实际上，这套方案只能在严格控制下的设备中奏效--例如零售店中员工共同使用的iPad--在普通的自带设备领域则并不可行。

但我们的私有、内部应用在管理力度方面通常也没那么强大--无论是下载（对于本机应用而言）还是访问（相对Web应用而言），但凡来自内部网络（最好在VPN的保护下）的软件都不必太过紧张。MAM工具能够有效管理内部应用，例如从合同结束的分包商或即将离职的员工设备中移除指定应用。MAM的介入令本地运行的应用程序受到严格保护、同时不需要访问数据中心内的任何资源--换言之，这是一款我们不希望被用在其它企业中的独立工具。同样，MAM也能够移除或禁用设备当中保存着敏感数据的应用程序。

不过大多数内部应用在本质上属于企业资源的运行前端--ERP、CRM、IT管理控制台、数据库、商务智能、VDI等等皆在此列，这时我们就要通过控制对内部资源的访问实现管理目标。换句话来说，大家应当禁止特定用户对特定信息的访问，而不是考虑过程中会涉及哪些应用。应用程序完全可以面向全部用户，但数据访问则必须有所限制。

这就解释了为什么那么多企业会对像Citrix Receiver这样的工具青眼有加--本质上讲，Web应用的管理模式与本地客户端应用也完全可以借鉴以上思路。访问控制方案相对于应用管理方案不仅更安全、也更显便捷，毕竟尝试追踪每位用户可能用于访问信息的每款终端应用（包括浏览器）绝非易事。另外，这种访问控制方案适用于任何设备：智能手机、平板设备、计算机以及任何目前主流的终端计算工具都覆盖其内，管理者也不必考虑其持有者到底是企业、是用户、还是二者兼具。

IT部门需要开创不同的思路。放开终端思维桎梏，将注意力转型到信息及访问流程身上。如此一来，我们就不必再费心思考如何管理应用或者担心定点许可--至少不必为数据中心之外的领域忧虑。新方案中当之无愧的佼佼者要数Bechtel公司，该公司CIO Geir Ramleth两年前就已经成功将终端从传统机制中解放出来。在各大国际交流会议以及采访活动中，我听到越来越多的CIO表示愿意通过这样的方式调整工作内容。

从客观角度讲，用户们与上世纪八十到九十年代相比，其个人技术水平已经取得长足进步，不再需要管理者严格监控其工作状态。我记得想当年连传真机、复印机以及扫描仪都算是昂贵、复杂、易损坏的精密工具，而如今每位员工都已经能够轻松使用。当时，企业需要专门设置秘书岗位，帮助普通员工使用上述设备、同时防止不懂"技术"的家伙随意操作；许多公司甚至还特意为复印及传真工作创建了负责团队。随着时间的推移，技术越来越易用、成本也越来越低廉，曾经的贵族系统现在也早已平民化。当前，上述设备被广泛部署于企业的每一个角落，并以完全自助的方式供员工们使用--很多人甚至开始将它们搬回家中，满足日常生活中的各类需求。一旦设备损坏，我们只需打个电话给销售方或者服务人员即可。没有人会来审查我们曾经复印或打印的内容是否经过验证；因为大家会默认用户有权访问自己所使用的信息。

好了，这就是我要表达的意见：别把移动技术看得太过特殊，它与PC机一样，早晚会成为大家习以为常的辅助工具。

别忘了反思应用程序支持

在企业级支持规划方面，我们的反思重心只有一个：资金节约。大家是否想过，员工自己采购设备和应用的趋势帮助公司节约了多大一笔资金。没错，企业当然需要培训技术团队以确保他们有能力管理即将成为企业标准或推荐方案的应用程序。但无论引入什么新应用或者旧应用的新版本，我们都得做同样的工作--还记得当年Office系列大改版时的情景吗？

对于那些员工乐于使用却不符合企业标准的工具，我们就要本着谁使用谁负责的原则让员工自己提供技术支持--这等于是牺牲一部分管理规定来换取业务灵活性。（至于那些没啥追求、不打算自己选择工具的员工，我们制定好的产品组合也完全能够满足其日常需求。）

来自应用程序商店的移动与桌面应用产品中也同样包含有SaaS"云"应用与开源应用这两大特殊群体--开发人员会定期为产品开发更新补丁，并在合适的时候向用户发布。在这种情况下，IT部门几乎不用在技术支持工作上操什么心；供应商设置热线进行指导的模式已经接近消亡，大多数面向个人以及一部分面向企业的软件（例如Office以及Creative套件）都在照此执行。即使是移动、应用商店以及云应用这类即时更新活动不明显的产品，实际上也已经采用了上述模式。

如果大家确实需要为这类应用提供支持，其实不难发现以家庭手工业形式进行咨询及支持服务的企业非常乐于帮大公司承担这部分工作。他们并不是应用程序的开发方，但却完全有能力为其提供维护服务。这从本质上来说与复印机、打印机以及传真机等并无区别--甚至我们身边的常用装置或者汽车也符合此理：本地服务供应商扮演维护主体、制造商则充当辅助角色。相信这也会成为计算机甚至应用程序冲出企业自有数据中心、成为独立体系的参考与借鉴。