近十年來,智慧型手機等行動裝置的興起,不僅改變人們的生活習慣,同時也促使企業員工的工作型態發生了不可逆的轉變。過去探討的IT消費化趨勢,隨著BYOD(員工自攜裝置)應用模式日漸發酵,如今已是各行各業普遍的現況。
為了順應前端使用習慣的改變,讓員工得以借助各式行動裝置之便,加快工作效率,進而提升生產力,IT部門可說面臨相當大的挑戰。除了既有的Windows、Linux、Mac OS桌面平台的存取控管,如今又納入Android、iOS等行動裝置特有的系統,以及各式各樣App化的應用軟體,皆必須在可管理性、安全性為前提之下,打造以用戶為中心的工作環境。
個人化行動工作空間興起
市場上因應BYOD浪潮陸續崛起的MDM(行動裝置管理)、MAM(行動應用管理)、MCM(行動內容管理),皆是針對行動裝置系統環境所設計的解決方案。隨著行動化(Mobility)應用需求持續發展,更進一步納入身分驗證、授權、文件保護等措施,整合成為EMM(企業行動管理)統一建置控管平台。
儘管EMM的控管範疇已可涵蓋新興的行動化應用模式,讓員工可基於慣用的裝置與App,在任何時間與地點,執行日常工作。但公司內部傳統應用的系統,可能是Web-based,甚至更早期的Client-Server架構,難以全數轉換為行動平台上的App,仍舊需要透過Windows、Linux等桌面端環境執行存取。市場上解決方案供應商為了建立一致性的用戶體驗,近來更將整合的觸角延伸至桌面虛擬化(VDI),統一透過行動工作空間(Workspace)來實踐。
VMware技術總監吳子強說明,對終端用戶而言,以往是由公司配發桌上型電腦、筆電,以及合法授權的作業系統環境與應用軟體,因此IT管理者有權依照公司的管理政策,建立相關措施。在BYOD興起初期,即便公司允許員工可自由選擇工作所需的設備與系統,不論是桌機、筆電、各種行動裝置皆可,使用者仍會面臨不同系統平台上有著不同應用軟體,操作介面與功能性皆不同,同時,日常工作的檔案,可能存放在不同裝置,使用者難以有一致性的應用模式。但如今的行動化時代,核心的主軸是為了提升用戶體驗,因此Workspace解決方案即是為了解決使用者便利性的問題,不論是傳統或新興的裝置、系統平台、操作的App、存取的檔案,透過個人化Portal,確保一致性。
 |
| ▲整合桌面端、行動端,以及各端點所需的App,搭配身分管理機制,為使用者打造安全、便利的數位工作空間。 |
Citrix香港及台灣區總經理李樂賢亦認為,過去談論的EMM可說是Workspace的其中一部分,因為EMM主要著眼於行動平台應用為主,但Workspace範疇更廣泛,不論是行動裝置或傳統桌機、筆電,使用者均可透過Citrix Receiver統一存取,即使是不同的作業系統環境皆可應用。
行動化應用驅動企業轉型
就趨勢的演進來看,Citrix香港及台灣區技術經理楊耀輝說明,自從iOS、Android系統平台的行動裝置席捲全球,為企業帶來IT消費化的壓力,因而興起BYOD應用模式,員工逐漸基於自己習慣的行動裝置、系統環境、應用程式來完成工作,發展至今,才開始出現Workspace概念。而Citrix於2015年所提出的軟體定義Workspace概念,權威研究機構Gartner稱之為Digital Workspace(數位工作空間),即是由EMM一路演進而來,涵蓋的範疇更為廣泛,不僅只是行動化應用,亦包含桌面端環境、應用程式等方面。
楊耀輝進一步說明,Gartner定義的Digital Workspace有三個主要內涵,首先是技術擁有權與控制權的改變。根據Gartner預估,到2017年將有50%的IT應用不再受公司內部IT部門掌控,不僅是員工自攜裝置,甚至業務部門可自行決定採用的SaaS方案等,同樣非由公司主導提供,既然已是無法逆轉的趨勢,企業勢必要有控管作為,才得以確保安全性。
其次是,對於安全性的重點應在於如何啟用,而非禁止。以往企業面對新應用可能帶來資安風險問題,各行業處理方式大多先採取嚴加禁止,但如今既然已無法抵擋,身為IT管理者,應當要擬定一套可兼顧用戶體驗與控管的機制,在安全性與合規性的前提下,讓員工自由運用於不同工作領域。
第三個,也是最重要,即是新世代的行動化應用,將改變員工完成工作的方法。在「Any Device、Any Time、Any Where」的工作模式下,可能會發生在任何無法預期的應用場景,顛覆長久以來的工作流程(Workflow),例如台灣正在推動的金融科技(FinTech),在行動化時代下,傳統必須親自到銀行櫃檯交易的事項,不久後將逐漸透過行動App來達成,原本配置於各分行的人力,可減少耗費於處理行政庶務的時間,更多投入在創造商機。這同時也是企業邁向數位轉型的主要驅動力。
單一登入成為關鍵要項
整合EMM與VDI技術所提供的Workspace平台,正是企業建立行動化工作模式的基礎設施。不論是公司內部的應用程式,抑或是外部SaaS,運行於傳統桌機、筆電,或是平板電腦、智慧型手機等行動裝置,任何作業系統環境、任何方式存取,皆能以單一登入的驗證機制,可說是Workspace平台中不可或缺的要項。
以微軟企業行動化管理(EMS)方案為例,台灣微軟專案技術副理林敬沂說明,單一登入的整合區分為兩段,首先是搭配Azure AD,讓原本建置在內部的AD帳號與其他PII(個人身份資訊)較不具敏感性的資料,兩地端經由Azure AD Connect同步,如此才得以透過統一帳號存取App。但對於密碼,資安敏感度較高的企業大多選擇將AD密碼的Hash值同步上Azure AD,再透過Azure AD Federation Services(ADFS)回到本地端驗證。
「其實身分驗證機制本就可以完全透過Azure AD執行,但台灣大型企業對於AD密碼敏感度過高,即便是經過Hash,交給外部平台控管保管仍無法安心,因此才需要會再建立ADFS。」林敬沂表示。
此外,當前SaaS服務認證與授權的交換方式,大多採用標準XML框架描述的SAML(Security Assertion Markup Language)協議執行實作,Citrix、VMware、微軟等解決方案供應商皆有支援,大幅降低單一登入的配置門檻,藉此協助構建安全與方便兼顧的行動化應用環境。