目录:
视频: VMware Workspace ONE: Demo - Feature Walk-through (十月 2024)
VMware是IT专业人员熟悉的名称,因为它不仅是企业级虚拟化的先驱,而且凭借其Airwatch产品,它还是移动设备管理(MDM)领域的领导者。 由于整个企业网络现在都已虚拟化,并且通常跨越防火墙并进入各种软件即服务(SaaS)工具,因此VMware也将拥有自己的身份管理(IDM)解决方案(称为VMware Workspace One)是有意义的。每台设备$ 3.50或每个用户每月$ 6。 该平台提供了一些强大的功能,尤其是在与其他VMware产品集成方面。 对于已经在VMware上进行标准化的公司,尤其是使用Airwatch的公司,这些功能是杀手features,使Workspace One毫无疑问。 但是,对于其他组织而言,Workspace One在Microsoft Azure Active Directory(AD),Okta Identity Management和Centrify方面并没有赶上我们其他编辑选择奖的获得者。
就像我们已经审查过的大多数基于云的IDM套件一样,Workspace One支持Microsoft Active Directory(AD)域和基于轻型目录访问协议(LDAP)标准的目录。 无论哪种情况,VMware都使用软件代理作为连接器来链接到您的公司目录。 这为使用VMware Airwatch来管理其移动设备的公司带来了许多好处,首先是能够利用AirWatch所使用的相同连接器将身份同步到Workspace One。 通过一个基本的安装过程,包括通常的激活码,AD服务帐户和各种目录容器的选择,您的目录将快速链接到Workspace One实例。
尽管下载和配置目录连接器非常直观,但是在用户可以向Workspace One进行身份验证之前,还有更多工作要做。 安装连接器后,Okta,OneLogin和Azure AD之类的解决方案可以有效地投入使用,而VMware选择在目录和用户身份验证之间使用多层抽象,不仅包括连接器,还包括目录Identity Provider( IDP)以及身份验证方法。 每一层都构成目录连接的一个方面,在某些情况下,它将应用于其他标识存储,例如内部Workspace One目录。
目录整合
软件代理在IDM工具中很常见,因此第一个目录集成层是连接器也就不足为奇了。 VMware将第二层称为目录,但是在VMware的术语中,是指对象副本以及从公司AD或LDAP目录同步的属性的子集。 目录已配置为使用您的同步连接器之一,以及用户的基本目录路径的专有名称以及服务帐户用户和密码的路径。 目录配置还使您可以控制同步哪些属性。 最后,您可以为目录同步添加保护措施。 这些使您可以管理将更改限制为现有目录对象的百分比的阈值,这可以帮助在Active Directory级别限制批量更改或配置错误的影响。
工人是VMware Workspace One中目录集成难题的下一个环节。 工作程序与连接器和目录相关联,并处理各种身份验证方法,例如密码,RADIUS,RSA,证书,AirWatch或VMware Verify(这是VMware的两因素身份验证引擎)。
最后,使用策略将应用程序与网络范围和设备类型(Web浏览器,Android,iOS等)相关联,然后分配身份验证方法。 可以将策略应用于用户组以针对特定人员,并且可以将身份验证方法配置为多个,以强制执行多因素身份验证或在首选方法失败时提供备用身份验证方法。 这种处理身份验证策略的方法使配置用户的身份验证方式变得容易,但是缺点是,如果您过多使用了策略,则可能会使他们难以管理。 例如,多个策略可以应用于同一组和应用程序。 您可以通过为每个应用程序或资源配置单独的策略来相当容易地避免大多数此类混乱,但是与许多企业工具一样,它假定IT管理员具有一定的熟练度,如果非熟练的管理员愿意,可以将自己描绘在一个角落。不小心
我们希望在Workspace的未来中看到的一项功能是基于风险的身份验证功能,该功能使用机器学习(ML)和大数据为特定用户,设备或应用程序分配风险评分。 基于风险的身份验证不是IDM领域中全面提供的功能之一,但它是包括Microsoft Azure AD和Centrify在内的顶级竞争对手的一项关键功能。 Workspace One提供了一种称为基于风险的条件访问的功能,并且它能够基于移动设备被充分打补丁,最近更改的密码或地理围栏等配置策略来处理身份验证。 VMware的基于风险的条件访问与竞争对手提供的新的基于ML的基于风险的身份验证之间的区别在于,VMware的版本基于设备管理功能集,而不是任何机器学习功能。 VMware所依赖的功能已经成熟,并且对于使用移动设备的任何企业肯定是有用的,但是它们所添加的智能与基于ML算法的智能不同。
单点登录(SSO)
一旦配置了目录并且用户和组进入Workspace One,就可以通过定义权限将应用程序分配给任何一种对象类型,可以在用户或组设置中或从应用程序配置屏幕中对其进行管理。 只要在应用程序端配置了将SSO设置到SaaS应用程序(如Google G Suite,Office 365,Dropbox等)中,只要该应用程序支持使用标准工具或API进行设置,并且Workspace One支持对该应用程序进行设置。 通常,这涉及管理从Workspace One到应用程序的连接并配置要传递的属性,但这部分取决于目标应用程序。 Workspace One还提供了一些用于跟踪许可证使用情况的工具,包括用于定义阈值和许可证类型(例如命名用户许可证或并发许可证)的选项。
VMware与众不同的一个关键点是能够对虚拟桌面基础结构(VDI)环境中托管的桌面应用程序进行身份验证的能力,特别是VMware自己的Horizon Cloud,其Horizon View VDI产品以及基于Citrix技术标准化的VDI环境。 但是,这些目标都不是即时连接,因为所有目标都涉及过程两端的配置。 但是,对于已经投资其中一个或多个系统的公司来说,它们是一个非常强大的选择。 这些选项使用户能够安全地访问桌面应用程序和其他公司资源,就像它们实际位于公司网络上一样。 这不仅有助于确保最佳的安全状态,而且还支持使用桌面客户端的企业应用程序。
对于已经使用VMware AirWatch的公司来说,另一个好处是,通过与Workspace One集成,它们可以为移动用户提供额外的安全性。 允许用户通过移动设备访问公司资源会自动给您的公司基础结构带来一些潜在的漏洞,包括用户设备受到损害并提供未经授权的访问的可能性,以及涉及将公司数据下载到该设备然后丢失该设备或被盗。 能够确保设备符合公司策略(例如防止设备生根,确保设备加密和强密码)以及远程锁定或擦除设备的选项,在许多情况下可以节省生命,并且还可以帮助您公司通过了安全性或法规遵从性审核。
VMware在MDM中的功能的另一个副产品涉及通过多种不同技术保护移动应用程序的能力,这为管理员提供了更大的灵活性,可为用户提供所需的解决方案。 这些选项包括基于每个应用程序的VPN隧道以及将应用程序包装在安全沙箱环境中的能力,该功能可以有效地构建受外部因素保护的应用程序的加密版本。
报告与定价
如果Workspace One有一个真正的弱点,那就是报告。 用户参与仪表板提供了一些有关用户活动和应用使用情况的关键性能指标,但与Centrify或Okta提供的仪表板相差甚远。 甚至运行的报告都留下了改进的空间,Workspace One提供了一些现成的报告,但过滤数据的方式只有极少的选择(您必须下载到CSV文件才能对表进行排序)。 这表明报告并不是Workspace One团队关注的重点。 尽管这不一定是对该平台的致命一击,但报表数据是需要验证审计师合规性的公司的一项关键要求,在决定使用IDM平台之前应仔细考虑。
VMware对Workspace One的定价与其他提供类似功能的IDM套件处于同一水平,尽管Workspace One按设备或按用户提供定价。 按设备定价的优点是可以获得通过AirWatch提供的许多功能,但是确实存在一些功能限制,例如SSO门户仅限于受管设备。 您还可以选择购买许可证以在自己的场所中运行Workspace One,这样可以节省一段时间的许可费用,但在管理,人员配备和基础结构方面需要额外的开销。
许可价格从标准层开始,每月每台设备3.5美元或每位用户6美元。 在本地,标准许可证的一次性(永久)费用为每台设备50美元或每位用户90美元。 高级层使每台设备或用户的价格分别高达每月$ 5.50 / $ 10,但它增加了诸如容器化移动应用程序和按应用程序VPN隧道之类的功能。 高级级别的本地永久许可证费用为90或180美元。 企业定价层仅按用户许可,并且针对云产品每月运行23.25美元,对于永久场所许可证每月运行400美元。 企业层使您能够与Horizon集成以用于虚拟应用程序和桌面。
毫无疑问,VMware在Workspace One中提供了强大的产品。 但是,仍有一些功能落后于竞争对手,包括所有内容的报告以及缺乏利用机器学习的基于风险的身份验证。 在目录和Workspace One之间获取所有身份验证层的设置过程也不那么直观。 另一方面,VMware为核心客户群提供的增值额超过其任何竞争对手。 Workspace One,AirWatch和Horizon之间的关键集成为移动工作人员提供了一些重要的安全性和身份验证功能。
