VMware Workspace ONE开启远程办公（上）

介绍

在目前的全球疫情下，很多企业正在努力让员工有能力进行远程办公。老实说很多企业对此都措不及防。本文提供了相关指导：VMware如何快速帮助企业使用VMware Workspace ONE实现远程办公。

VMware Workspace ONE是一个强大的数字工作空间集成解决方案，包括访问管理、统一端点管理(UEM)，分析，桌面和应用虚拟化以及端点安全。这些都是非常关键的解决方案，让企业安全不受损坏，同时提供出色的用户体验。Workspace ONE 分为四个核心解决方案：

Workspace ONE UEM – 提供统一端点管理，可管理Windows, Mac, iOS 和安卓设备，保护企业应用和数据。
Workspace ONE Access – 提供统一应用门户，通过门户可安全访问企业的所有应用，可单点登录，用户可通过Hub Service非常简易的获取到企业各种应用。
VMware Horizon – 提供虚拟应用和桌面，所有的数据都在数据中心运行。
Carbon Black Cloud – 原生基于云的端点保护平台(EPP) 结合智能系统固化和行为检测，使用单个轻量级代理程序和易于使用的控制台来抵御最新的威胁。

图 1. Workspace ONE 平台

第一步-获取 Workspace ONE SaaS服务

你马上可以会提问：“我怎么才能获得这个解决方案并用起来呢？”企业目前的硬件和能力可能非常有限，大部分，如果不是所有员工都需要远程办公。VMware可以快速置备完整的 Workspace ONE 云端SaaS环境，基于企业需求提供快速访问和随时扩展。

VMware已经提供并管理相关SaaS服务，包括：Workspace ONE UEM 和Workspace ONE Access，贵公司的IT团队只需要关注如何管理设备、应用和安全策略。（笔者按：到目前为止中国只提供了由代理商运维的Workspace ONE UEM SaaS）

对于 VMware Horizon来说，企业可选择所使用 Horizon Cloud Service 来管理自己的云端虚拟桌面和应用，目前在 Microsoft Azure 或 AWS。（笔者按：到目前为止中国还没有）

第二步-用户身份集成和企业资源访问

从最基本的集成来说，活动目录（Active Directory）可作为认证用户身份源和授权访问， Workspace ONE 提供连接器，可以安装在本地，这样可以实现集成和同步用户以及用户组。这种集成是最基本的，可以用来实现企业应用安全访问，基于设备的条件访问，身份和用户行为等等。同时集成也可以帮助打造统一门户，这样最终用户可以在任意设备上同一位置访问所有应用。

远程办公另一基本要素是要能访问到私有部署的企业数据。员工可能需要访问文件、邮件和应用，这些都在内网存放。IT为了满足这些需求，就需要在不损坏安全的前提下提供外部访问支持。Workspace ONE提供了安全网关组件（UAG），可部署在DMZ区，以确保所以访问请求都被认证并来自于企业纳管设备。一台UAG就可以处理多种使用案例和上千用户。

图2. 通过统一应用门户，最终用户可访问web，原生和远程虚拟应用

统一应用门户作为Workspace ONE Intelligent HUB的一部分提供了无缝集成，让员工可以访问企业的各种应用，如 Service Now, Salesforce, Slack, Office 365, 远程虚拟桌面和应用，单点登录和多因素认证 (MFA) 可用来加强应用访问时的安全性。

第三步-定义访问策略和部署应用

清楚认识到企业需要具备能力让员工可以远程办公，这可以大大推动解决方案的落地实施和访问策略的制定。员工的职能角色和设备的所有权（企业配发或自带设备）非常重要，必须在这一步考虑进去，因为这将驱动安全策略如果制定，以及应用如何交付。

从应用的角度看，必须计划好最终用户能看到什么应用，以及如何交付使用。Workspace ONE 可以交付并管理原生和Web应用，集成设置设备安全策略。Workspace ONE 同样可以提供远程虚拟桌面和应用，这些桌面和应用都在数据中心运行和维护。

从设备的角度看，有些用户将继续使用企业配发的笔记本和手机作为远程办公的工具，在这种情况下，Workspace ONE UEM 管理员可以最大权限的控制这些设备。管理员可以应用安全策略，严禁最终用户访问设备的设置功能。在这种场景下，最终用户可从设备访问Web和原生应用，安全策略也会确保设备上的企业数据安全。如果员工把设备丢了，可执行远程擦除指令，清除设备上的企业数据，或者将设备擦除到出厂状态。

另一方面来说说，有些客户会在远程办公使用自己的设备，这样 UEM管理员又无法那么强力的管理这些设备了。企业必须要平衡的考虑是把应用真正分发到这些个人设备上，还是分发虚拟桌面和应用。Workspace ONE可提供两种选择，无缝结合，实现员工访问和IT安全需求的平衡。

第四步-纳管用户设备

基于企业所在的行业或目前的情况，员工可能有或没有企业配发的专用设备。首先，企业需要考虑哪些设备平台或关键因素是员工远程办公是所需要的。企业的移动用户(那些已经居家办公或使用企业配发设备的) 很大可能不需要考虑这些，无非是加上一层管理功能以获得设备管理的收益：

从任意设备无缝访问任意应用
可发送实时通知到所有员工的所有设备上
隔空设设置备配置，策略，企业安全基线
自定义仪表盘和报表，获知所有企业设备状态
可设置设备最低标准的安全基线，部署安全方案和策略，实时合规检测和修复
可通过 What Is Workspace ONE让最终用户了解什么是Workspace ONE，通过Privacy App让最终用户缓解隐私方面的顾虑。

那些没有企业配发设备的员工，从来没有远程居家办公的，企业最好从一些小技巧开始沟通。除此之外，企业也可以赋能员工将任意设备（员工自带设备）纳管进来，这些设备是他们非常喜欢的，愿意用它们来办公的。你可以发送给他们纳管用的链接，这将给他们一个快速入口。

为了帮助完成这一过程，VMware提供了一个工具包，其中包括预先制作的、可定制的模板、最佳实践和想法，可以帮助企业启动自己的流程，并立即开始使用Workspace ONE平台推动采用率。

从技术角度看，完成 Workspace ONE 安装需求后，最快让现有设备纳管的方法就是让用户访问 getwsone.com 或 getws1.com ，根据指引开始纳管。请记住这些是流水线式的纳管方式，当然他们可能需要一些前置条件或附加的配置才可以实现。简单举几个例子：Windows 的 OOBE/Autopilot（开箱即用），Dell Factory Provisioning（Dell工厂置备），Apple商务管理自动纳管 macOS 和 iOS ，或是安卓的Work Managed Device/Work Profile 纳管模式。访问Tech Zone上的quick-start learning paths 可获得更多信息。

图 3. 统一管理任意操作系统和任意设备类型

第五步-跟踪员工体验&提供不间断的支持

到这一步企业已经配置了所有项目，开始纳管新的用户和他们的设备，企业可能在思考： “我们怎么支持这些远程用户呢？” 如果企业支持团队有多种专业方向的成员，企业可以配置自定义管理员角色 (或者使用平台已经定义好的管理员角色)，这样的话每个管理员只能看到和访问到哪些对他们最重要的部分。最终用户也可以访问自服务站点，获取多种能力，比如找到他们自己的BitLocker （Windows10专业版或以上）恢复秘钥，定位自己的设备或是可以选择擦除/锁定设备，如果设备遗失或被偷。另外，服务台可以使用Workspace ONE Assist，非常方便的远程查看，控制，白板，记录，查看进行，共享或从目标设备抓取日志，当然这一切都是最终用户知晓，并在需要更加级别的即时协助时进行。

以上段落描述了如何响应式的支持最终用户。然而，你还可以利用自动化来预判式帮助最终用户。通过 Workspace ONE Intelligence，该平台可以支持和很多第三方服务集成，实现自定义的全局仪表板，报告和强大的自动化操作流程。通过CVE集成和自动补丁分发，企业可确保设备安全。在笔记本电池无法充电之前，预先分发给最终用户替换用的电池。使用Sensor(自定义属性)可让你获知纳管设备上的任意属性值，并因此执行自动化流程。

返回案例列表

VMware Workspace ONE开启远程办公（上）

公司服务热线