2011年初 MobileIron在华分支机构－思可信科技发展有限公司 ( MobileIron China)正式成立

思可信MobileIron的移动IT解决方案软体部分主要包括三个大类

1. MDM Mobile Device Management 移动设备管理

2. MAM Mobile Application Management 移动套用管理 ，其中又包括 AppConnect 和 AppTunnel 两项技术

3. MCM Mobile Content Management 移动内容管理

MAM 是MDM（Mobile Device Management ) 向移动套用的延伸， 帮助企业将 IT 策略从 设备级延伸到套用级。 从而具备对于企业套用App 的更高控制能力 ， 实现自动化的套用配置，套用内数据安全管理及移动端套用到后台服务系统的安全数据传输等功能。 例如思可信MobileIron 公司的MAM管理组建可以在 移动设备建立 企业套用沙箱，将企业数据与个人数据完全分隔，从而提供更高的数据安全性及更优秀的客户使用体验。

因为 包括 IOS ， Android ，Windows Phone 等移动作业系统已经严格定义了应用程式许可权及操作範围。主流的MAM 厂商都是通过套用App 再次封装和 专有API 的技术来实现对于企业套用管理。

在这方面最为成熟的技术是 AppConnect 和 AppTunnel。

AppConnect 可以将一款 iOS 或安卓套用转变为一个安全的“沙箱（SandBox）”，具有明确的数据划分和无授权访问保护。由于每个用户有多个业务套用，每个套用“沙箱”也可以连线至其它套用“沙箱”，以便安全共享数据（如档案）和策略（如套用单点登入 SSO ）。所有套用“沙箱”都连线至思可信MobileIron管理端以便政策的集中控制。任何套用都可以通过一个易于使用的套用封装或一个简单的软体开发工具包 API而对 AppConnect 加以充分利用。套用封装可以最大程度节省开发人员的时间并保护套用后期开发的安全。软体开发工具包 API可在开发过程的任何时间使用。

AppTunnel 为所有套用逐个提供高度细緻的安全，通过一个安全隧道将每个套用“沙箱”连线至企业内部网路。移动套用可以用 AppTunnel 来访问后端企业数据，而无需打开的虚拟专用网路连线（VPN） 或更改周边网路安全设定。AppTunnel 使用经过验证的 思可信 MobileIron Sentry 智慧型网关，这种网关已在数千家企业中安装。

思可信（ MobileIron）管理系统包含三个主要组件：Atlas ; VSP ; Sentry

Atlas提供了一个单一控制界面，MI管理员可以通过这个单一的控制界面手机汇总多个VSP伺服器的数据，从而可以集中监控企业里的所有移动设备，并对所以VSP里的设备进行管理操作。

Atlas的特点

· 支持通过全球範围部署VSP伺服器来实现企业全球部署模式

· 支持多语言：简体中文、英语、韩语、德语、法语、日语

· 集中报表，提供丰富的报表组件

· 帐号许可权分级管理（赋予不同的角色，分组管理设备）

· 实时查看策略实施情况和设备详情

· 对所有已管理的VSP伺服器进行故障排查

· 指定设备故障排查

· 传送设备管理命令 (锁屏, 擦除, 注销设备, 强制设备连线伺服器, 定位, 传送讯息，等等)

· 导出CSV格式报表

MobileIron让企业做好準备：让移动智慧型设备进入企业生产环节

MobileIron Logo

对于一个成功的企业来讲，智慧型手机已经称为不可或缺的工具。然而智慧型手机的爆炸式的增长和多样性使得这些设备很难管理。IT部门只是粗略的组合一些手动配置方法，以此来配置每一种类型的手机和部署应用程式，这让早已透支的IT资源更加雪上加霜，也让移动网际网路服务成为企业里成本增长最快的一项服务。企业面临的挑战如：

· 无线推送应用程式：传统桌面网际网路上的办公套用正在融入移动网际网路，套用的推送通过传统的有线和WiFi网路。但移动网际网路设备只能通过3G等无线方式进行程式的部署，企业IT如何建立一个移动智慧型终端管理平台来通过3G等无线方式推送部署应用程式？企业如何集中管理和推送多平台类型的应用程式？

· 安全问题：移动网际网路设备小巧轻便通讯便捷，作为个人消费品，人们的体验非常好，但易丢失，所以作为企业办公设备，一旦丢失企业IT如何保证终端里的企业数据的安全？如何保护终端设备不受病毒的攻击？

· 多操作平台管理：当笔记本渗入企业时，Windows占据了统治地位，IT部门很容易建立一个标準的管理体系，如域控制器等。然而随着iOS、Android等智慧型终端的崛起，企业如何建立一个智慧型移动终端管理平台来应对多操作平台环境？

·隐私问题：智慧型手机有它独有的隐私问题，因为它设法把笔记本电脑和手机整合到一起，这也不可避免的把笔记本电脑和手机里的内容合併到了一起。但是笔记本电脑使企业发的，上面的内容也自然归企业所有，是企业财产的一部分，但对于智慧型手机区别就不是很明显了。而且有些企业会允许员工个人所有的智慧型终端接入企业网路，企业如何在智慧型终端上区分用户的个人信息和企业数据就变得更加複杂。

MI移动设备管理引擎(VSP)就是一个移动设备管理平台，它帮助企业IT克服了这些挑战，让企业顺利的，安全的把智慧型终端集成到企业生产环节中去，同时满足了用户和企业IT的需求。

·即插即用：企业IT只需花半天的时间就可以将MobiIelron VSP集成到现有的网路环境中去，

· 稳如磐石的自身安全：特殊定製化的作业系统，限定连线埠访问，高稳定性的组件，访问许可权的高可控性，对用户凭证的保护，客户端和伺服器之间的通讯被加密，持续的漏洞修补和安全更新

· 高效简洁的管理界面：简洁友好的管理界面让管理员轻鬆上手，通过标籤来划分设备组，及时监控终端设备，传送擦除、锁屏等管理命令，等等。

· 用户自服务界面：可以授权用户登录用户自服务页面，对自己名下的设备进行操作，如：定位，擦除，注册，锁屏等。让用户在IT下班时间期间也可以自己管理自己的设备。

随着Apple iOS ,Android,Windows Mobile和Symbian等智慧型移动设备在企业中的普及流行，企业正在寻找安全的方案，以在他们的网路环境中套用 Active Sync 。 虽然 Active Sync 的影响力越来越大，企业正把它作为推送电子邮件的标準, 但是多数企业在企业内套用该技术时遇到了很多挑战。传统意义上讲， Active Sync 自身并提供访问控制和可视化监管功能，这些都是重视安全的企业所要求的。特别是在以下方面， Active Sync 未能满足企业的需求:

访问控制：管理员难于限制未授权的用户注册手机，还必须手动鉴别每一个用户的準入。即使手动设定了‘允许/限制’策略，企业还是受困于如何设定强制策略，来限制注册到某个 Active Sync 信箱的手机数量。

可视化监控：在全球化的企业里，不做一些定製化的脚本，很难确认哪些设备连线到哪些 Active Sync 信箱。即使Exchange 2010在Exchange Web Services上提供了相关工具，也只能提供有限的针对单个信箱的查看而非整个企业範围信箱的查看。

安全：管理员很难根据设备情况来限制设备和 Active Sync 的连线(如作业系统版本，安全设定等),这已经超出了 Active Sync 平台提供的策略强制标準範围。一些基本的策略，如强制设备设定密码策略，在一些託管邮件环境下存在问题。 MobileIron Sentry 提供了企业级的构架,解决了企业众多挑战，让企业有信心启用 Active Sync 并使用iPhone等设备收发邮件。

MobileIron Sentry架构

MobileIron Sentry扮演了一个Active Sync客户端和邮件服务端之间的代理角色，处于Active Sync客户端和企业Active Sync邮件伺服器（群）之间。此种模式提供了一种后置邮件伺服器的架构；许多企业已经成功部署MobileIron Sentry， 通过 Sentry让终端设备连线到Microsoft Exchage或Lotus Notes伺服器，此方案也是用与託管方案（如BPOS-S,BPOS-D或Google Gmail）

· 确保只有授权的设备才能和Active Sync 连线：採用MobileIron Sentry 后，策略通过网路层强制实现。收发邮件时，每个 Active Sync 设备会首先连线 MobileIron Sentry 伺服器。为了鉴别该设备是否授权连线到后端 Active Sync 邮件, MobileIron Sentry 伺服器会审查通过Sentry 的邮件数据流；从此数据流中Sentry 会提取其中的设备ID送交MobileIron VSP，或相关的管理伺服器。VSP通过此ID验证该设备提供的其他信息，据此判断是否可以让这台设备连线 Active Sync 。这些信息包括设备类型，安全状态，作业系统版本和其他数据等。验证后，VSP会反馈Sentry 该设备是否可以连线。如果不允许，则该设备与后端邮件系统的数据流会被截断。如果不允许，则该设备与后端邮件系统的数据流会被截断。

· 提供了可视化监控所有连线 Active Sync 的设备，无论是否被 MobileIron 管理

· 结合有证书验证功能的前端代理伺服器或负载均衡器，实现通过证书及用户名密码的双重验证

产品性能：

客户端支持平台：iOS/Android/BlackBerry/Win MO/Web OS/Symbian

设备管理数量：500

设备连结并发连线数：400用户/秒

程式下载并发数：200用户/秒

产品特性：

管理接口模式：Https + WEB API

管理命令传输方式：OTA+SSL加密传输

默认策略推送时间间隔：15分钟～4小时

管理浏览器要求：IE/Safari/FireFox

管理引擎安装部署平均时间：小于2天

高可用性：否

冗余电源：否

硬体配置：

平均功率消耗：500W

存储器类型：多层单元（MLC） NAND 快闪记忆体

数据接口类型-千兆乙太网：2x 100/1000

控制接口类型：1x R232/RJ45 串口控制接口

温度範围：0°C 至 +60°C (运行时)

湿度範围：0% 至 95% (不冷凝)

可扩充性：可根据用户实际需求进行扩展

尺寸：2U 机架式, 66x43x9cm

重量：23.6KG

附加部件：电源线/机架导轨

频宽要求：不考虑软体下载，建议最低10MB共享频宽

产品性能：

客户端支持平台：iOS/Android/BlackBerry/Win MO/Web OS/Symbian

设备管理数量：3000

设备连结并发连线数：1000用户/秒

程式下载并发数：500用户/秒

产品特性：

管理接口模式：Https + WEB API

管理命令传输方式：OTA+SSL加密传输

默认策略推送时间间隔：15分钟～4小时

管理浏览器要求：IE/Safari/FireFox

管理引擎安装部署平均时间：小于2天

高可用性：是，需要负载均衡器配合

冗余电源：是

硬体配置：

平均功率消耗：1000W

存储器类型：多层单元（MLC） NAND 快闪记忆体

数据接口类型-千兆乙太网：2/4 x 100/1000

控制接口类型：1x R232/RJ45 串口控制接口

温度範围：0°C 至 +60°C (运行时)

湿度範围：0% 至 95% (不冷凝)

可扩充性：可根据用户实际需求进行扩展

尺寸：2U 机架式, 66x43x9cm

重量：23.6KG

附加部件：电源线/机架导轨

频宽要求：不考虑软体下载，建议最低10MB共享频宽

产品性能：

客户端支持平台：iOS/Android/BlackBerry/Win MO/Web OS/Symbian

设备管理数量：9000

设备连结并发连线数：3000用户/秒

程式下载并发数：1000用户/秒

产品特性：

管理接口模式：Https + WEB API

管理命令传输方式：OTA+SSL加密传输

默认策略推送时间间隔：15分钟～4小时

管理浏览器要求：IE/Safari/FireFox

管理引擎安装部署平均时间：视客户需求 1到2周

高可用性：是，需要负载均衡器配合

冗余电源：是

硬体配置：

平均功率消耗：1600W

存储器类型：多层单元（MLC） NAND 快闪记忆体

数据接口类型-千兆乙太网：4 x 100/1000

控制接口类型：1x R232/RJ45 串口控制接口

温度範围：0°C 至 +60°C (运行时)

湿度範围：0% 至 95% (不冷凝)

可扩充性：可根据用户实际需求进行扩展

尺寸：2U 机架式, 66x43x9cm

重量：23.6KG

附加部件：电源线/机架导轨

频宽要求：不考虑软体下载，建议最低10MB共享频宽

产品性能：

客户端支持平台：iOS/Android/BlackBerry/Win MO/Web OS/Symbian

设备管理数量：20000

设备连结并发连线数：6000用户/秒

程式下载并发数：3000用户/秒

产品特性：

管理接口模式：Https + WEB API

管理命令传输方式：OTA+SSL加密传输

默认策略推送时间间隔：15分钟～4小时

管理浏览器要求：IE/Safari/FireFox

管理引擎安装部署平均时间：视客户需求 1到2周

高可用性：是，内建

冗余电源：是

硬体配置：

平均功率消耗：3000W

存储器类型：多层单元（MLC） NAND 快闪记忆体

数据接口类型-千兆乙太网：4/8 x 100/1000

控制接口类型：1x R232/RJ45 串口控制接口

温度範围：0°C 至 +60°C (运行时)

湿度範围：0% 至 95% (不冷凝)

可扩充性：可根据用户实际需求进行扩展

尺寸：4U, 66x43x18cm

重量：43.6KG

附加部件：电源线/机架导轨

频宽要求：不考虑软体下载，建议最低10MB共享频宽