大咖博聞薈 | 如何利用VMware Workspace ONE開啟遠程辦公（上）

　　接上篇文章，今天，讓我們更進一步看看如何利用VMware Workspace ONE開啟遠程辦公，本文有更多的操作細節(jié)。筆者也決定用更加活潑一點的語言，半翻譯半創(chuàng)作。讓大家看起來更加舒服一些。

　　額…不要在意這些細節(jié)，完全看心情不好嗎？

　　好，再開始之前…我們先回顧一下Workspace ONE四大核心方案：

Workspace ONE UEM – 提供統(tǒng)一端點管理，可管理Windows, Mac, iOS 和安卓設備，保護企業(yè)應用和數(shù)據(jù)。
Workspace ONE Access – 提供統(tǒng)一應用門戶，通過門戶可安全訪問企業(yè)的所有應用，可單點登錄，用戶可通過Hub Service非常簡易的獲取到企業(yè)各種應用。
VMware Horizon – 提供虛擬應用和桌面，所有的數(shù)據(jù)都在數(shù)據(jù)中心運行。
Carbon Black Cloud – 原生基于云的端點保護平臺（EPP）結(jié)合智能系統(tǒng)固化和行為檢測，使用單個輕量級代理程序和易于使用的控制臺來抵御最新的威脅。**CB確實是個好東西，可惜還沒進入國內(nèi)哈。

　　接下來我們進入正題：

　　//第一步-獲取 Workspace ONE SaaS服務//
　　VMware Workspace ONE 可以是SaaS的，也可以本地部署（私有化）。在選擇試用時，采用SaaS顯然才是正確的答案（雖然有些客戶不這么想）。國內(nèi)怎么才能搞到一個SaaS環(huán)境呢？

聯(lián)系VMware 銷售和代理

　　由于SaaS的便捷性和Workspace ONE UEM的多租戶架構(gòu)，申請后很快就可以拿到一個SaaS環(huán)境了（幾小時到一天不等<-筆者不對時效負責，通常都很快就對了）。

　　PS：生成一個SaaS環(huán)境只需要點幾下鼠標，敲點東西…最多兩分鐘搞定。

　　拿到了SaaS環(huán)境后呢？

Workspace ONE UEM有豐富的向?qū)Чδ�，足以完成各種推出前的準備，自動發(fā)現(xiàn)，APNS證書，配置文件，單點登錄等等等等。
Workspace ONE UEM有多租戶架構(gòu)（tenant），所以你自己也可以接著創(chuàng)建子組織組，平行組織組可以有不同的安全策略、配置、應用分發(fā)等等等等。是不是很cool？

　　其他的SaaS服務還沒有完全落地，這里我就不介紹了。等落地了再給大家介紹吧。

　　//第二步-用戶身份集成和企業(yè)資源訪問//
　　Workspace ONE是云部署架構(gòu)沒錯，和企業(yè)集成只需要很少的本地架構(gòu)或完全不需要（現(xiàn)實中完全不需要的大約10%吧）。常見的集成像活動目錄啦，證書頒發(fā)機構(gòu)啦，非常方便易用。

　　好了，是時候看一下架構(gòu)圖，很簡單（復雜）對不對：

　　沒那么復雜了，其實不是企業(yè)都要用所有模塊的，一切看需求：

部署并配置 AirWatch Cloud Connector （ACC） – 安裝在內(nèi)網(wǎng)，作為云鏈接器可以替Workspace ONE UEM完成和企業(yè)后端資源集成。防火墻上就不用打洞了（不是開車）。
部署并配置Workspace ONE Access Connector – 給Workspace ONE Access服務用的鏈接器。
部署并配置Unified Access Gateway （UAG） – 統(tǒng)一網(wǎng)關，訪問和安全并重。目前開啟遠程辦公必備。里面有很多服務。
配置VMware Tunnel 邊緣服務 – 應用級安全隧道，可用于原生和web應用，不管是移動端還是桌面都可以用（Windows10，macOS）啦。
配置Secure Email Gateway 服務– 安全郵件網(wǎng)關，原先是單獨套件，UAG3.6（大約是吧）也加入了SEG服務。非常常用的對吧。
配置Content Gateway邊緣服務– VMware Workspace ONE? Content 應用可以通過這個服務訪問內(nèi)部文件共享、SharePoint資料庫等等。
配置 Web 反向代理和身份橋接 – 為web應用提供反向代理，為身份認證服務提供橋接，如Kerberos 或基于header的認證。
配置Horizon 邊緣服務 – Horizon從內(nèi)網(wǎng)走向外網(wǎng)的保證，替換原先的Security Server。

配置移動郵件管理 – 保護郵件架構(gòu)（不直接開放訪問），提供各種MEM功能：接入控制，合規(guī)，附件加密等等。
配置Workspace ONE Access集成第三方IdP和應用 – Workspace ONE Access 作為身份認證的中心，橋接各種企業(yè)已有的第三方身份認證解決方案，提供無縫SSO體驗。
配置Hub 服務 – Hub 服務將原先的Workspace ONE門戶，People通知等等集成到Hub應用里面，員工有一個就足夠了。本地部署目前還沒法用（因為要SaaS版的Workspace ONE Access），不過后面版本會支持，把hub變成無敵統(tǒng)一門戶。

配置 Workspace ONE Intelligence – 提供洞察力，用戶行為風險分析，自動流程等等各種高級功能。讓企業(yè)可以決策并執(zhí)行的超高級服務（純SaaS，國內(nèi)沒有）。

　　//第三步-定義訪問策略和部署應用//
　　集成好之后，下一步當然是定義各種訪問策略，分配組（智能組這個名字不錯，但分配組可能更直接一些）也要建起來，怎么建當然是根據(jù)實際需求。

創(chuàng)建并分配設備配置文件和策略 – 設備配置文件是管理設備最重要的啦，講企業(yè)規(guī)劃的安全策略和流程通過配置文件和合規(guī)策略進行功能落地。不知道怎么配置的可以從最常見的開始，比如郵件、加密、設備密碼要求、wifi等等等等。

不同操作系統(tǒng)的配置文件當然需要分開創(chuàng)建，因為每個操作系統(tǒng)廠商提供的接口功能也不一樣的，具體可以翻翻我們的手冊。自己多試試是最好的選擇，因為接口功能也是改來改去。
創(chuàng)建配置文件時第一步永遠是通用（General），之后是各種負載（Payload，相信我這詞不好翻譯，Apple這么翻譯后大家也就這樣翻譯了）：

通用設定如何分發(fā)配置文件和分發(fā)給哪些設備。
負載才是真正起作用的部分，可以是限制也可以是其他一些配置。一旦安裝即刻生效。

在 Workspace ONE Access中設定條件訪問策略 – 條件訪問策略就是把有關用戶、設備和應用的部分都互相關聯(lián)起來，比如用戶能不能看見這些應用，如何訪問這些應用（什么樣的認證條件）。

利用風險分析可以基于用戶行為打分，什么機器學習啦，人工智能啊。

　　應用其實才是遠程辦公的核心（這句話記下來要考的）。

　　所有設定都應該圍繞應用展開。所以Workspace ONE Intelligent Hub 應用的聯(lián)合統(tǒng)一目錄（門戶更好聽好記）是核心中的核心。最終用戶可以非常方便的在這里找到任何他們需要的應用，直接使用或自動、按需安裝。

　　作為管理員，可需要決定到底是使用web還是原生應用，或者使用虛擬應用，一切取決于如何分發(fā)和使用，企業(yè)的安全策略，等等。

添加和分配應用到聯(lián)合目錄（門戶） – Workspace ONE Intelligent Hub 提供聯(lián)合目錄，所有應用都可以找到，當然具備操作系統(tǒng)感知功能。虛擬應用和桌面總是可以跨界的。

　　還有一些其他應用是需要分發(fā)的比如 Carbon Black Cloud Sensor 以確保終端安全，Workspace ONE Assist client 讓管理員可以遠程協(xié)助，Workspace ONE Tunnel 提供應用級VPN隧道，安全訪問企業(yè)內(nèi)部資源。

還有各種移動設備上的生產(chǎn)力工具對吧？這都是Workspace ONE 自帶的，不用單獨花錢購買的。

Workspace ONE Boxer – 安全訪問郵件、日歷和聯(lián)系人。
Workspace ONE Web – 使用應用級隧道安全訪問內(nèi)部站點。
Workspace ONE Smartfolio – 幫助企業(yè)管理和分享給員工他們工作所需的關鍵企業(yè)內(nèi)容，符合企業(yè)文檔發(fā)放規(guī)定，合規(guī)審計等等。
Workspace ONE Content – 安全訪問企業(yè)內(nèi)部文檔庫里面的內(nèi)容，文件共享，SharePoint站點和其他內(nèi)容管理系統(tǒng)（有興趣可以百度CMIS）。
Workspace ONE Notes – 安全訪問備忘錄和任務管理，最終用戶可以隨時隨地安全記錄想法，會議記錄和任務等等。

配置SDK策略 – Workspace ONE 平臺也提供SDK庫，可以賦予企業(yè)應用一些非常好的能力：認證、DLP設置、單點登錄等等。

　　//第四步-納管用戶設備//
　　如何納管設備很重要，開啟前最好和所有相關部門溝通，人事、IT和領導，記錄整理他們的需求，專注于提高用戶體驗，讓員工更具生產(chǎn)力（工具人）。

是的，VMware官方有 Getting Started with the Workspace ONE End-User Adoption Kit 可以參考。當然你可以自行設計或基于官方文檔參考設計。最后不要忘記培訓最終用戶！

　　OK，從技術(shù)角度看，最快的方式是利用 VMware Workspace ONE Intelligent Hub應用。不管什么樣的平臺都可以從訪問這個地址開始： getwsone.com. 當然，你可以選擇下發(fā)郵件，附上注冊掃描用的二維碼和簡單的指引。

　　當然，從最終用戶的角度看

訪問getwsone.com，下載Workspace ONE Intelligent Hub 應用。
使用企業(yè)郵箱和憑證納管設備。
納管完成后，打開Workspace Intelligent Hub，訪問企業(yè)門戶（聯(lián)合目錄）！

　　使用二維碼的話，你就需要考慮是不是自動發(fā)送用戶激活郵件，提示用戶納管是設備，從控制臺訪問Device & Settings > All Settings > Device & Users > General > Message Templates 可以自定義郵件模板。

最終用戶收到郵件（或短信，沒啥人用了，相信我），掃描二維碼。
提示時輸入企業(yè)憑證。
納管完成后，打開Workspace Intelligent Hub，訪問企業(yè)門戶（聯(lián)合目錄）！

　　給一個激活郵件的例子吧。

　　當然我們還有很多的選擇不是嗎？尤其是Windows10的開箱即用，如果有AAD Premium就再方便不過了（不，你并沒有）

好吧我們來看一下：

計劃Windows10部署，做好一切準備，參考我們的決策流程（techzone里面有）可以幫助你決定使用那些納管的方式。
使用 Azure AD 講Workspace ONE 和 Azure AD集成，可以實現(xiàn)開箱即用，員工第一次打開Windows10設備就可以無縫納管。當然你需要互聯(lián)網(wǎng)。
Dell 工廠預置，管理員可以從Dell直接訂購設備，Dell工廠可以預置必須的應用，設備直接發(fā)到員工，實現(xiàn)開箱即用。