什么是统一终端管理 (UEM)？

什么是 UEM？

UEM 即统一终端管理，是用于从一站式控制台监控、管理和保护组织中所有最终用户设备的软件，这些设备包括台式机和笔记本电脑、智能手机、平板电脑、可穿戴设备等，而不论操作系统或使用位置。 UEM 通过简化管理，帮助安全和 IT 团队只需使用一种工具，即可通过统一方式保护所有终端设备，从而加强了终端安全性。

作为一种相对较新的技术，UEM 将移动设备管理 (MDM) 和移动应用管理 (MAM) 等传统移动管理解决方案的能力与用于管理本地和远程 PC 的工具相结合。 UEM 在管理自带设备 (BYOD) 计划以及混合员工队伍（本地和远程员工的组合）方面已经很受欢迎，而随着新冠疫情的肆虐，安全和 IT 部门被迫进行调整，以支持范围不断扩大的在家工作 (WFH) 计划，UEM 的使用也随之呈现出爆炸式增长。在可预见的未来，这种趋势将会持续下去：OMDIA 的《2021 年未来工作调研》（链接位于 ibm.com 外部）报告称，为了应对疫情，58% 的员工将主要采用在家工作方式或到公司上班和在家工作的混合方式。

UEM 的发展历程

UEM 是一系列移动安全管理工具中的最新成员；为了应对过去二十年来组织、员工、移动设备和工作方式之间不断变化的关系，这些工具应运而生，并且不断发展。

从 MDM...

工作场所中引入的首批移动设备归公司所有，并且为此开发了移动设备管理 (MDM) 工具，以使 IT 管理员能够管理和保护这些设备。 MDM 工具让管理员能够完全控制设备的所有功能。他们可以置备、注册和加密设备，配置和控制无线访问，安装和管理企业应用，跟踪设备的位置，并在设备丢失或被盗时锁定和擦除设备中的内容。

...到 MAM...

MDM 曾经是受到广泛认可的移动管理解决方案，但在智能手机日益流行，以至于员工希望能够使用自己的个人智能手机开展工作（而不是同时携带工作设备和个人设备）之后，情况发生了变化。自带设备 (BYOD) 策略由此产生。但很快，对于将个人手机和个人数据的完全控制权交给 MDM，员工开始感到不满。

于是一种全新的解决方案 - 移动应用管理 (MAM) 应运而生。 MAM 专注于应用管理，而不是针对整个移动设备的管理控制。借助 MAM，管理员可以完全控制企业应用以及与之相关的企业数据；他们还可以对员工的个人应用实施足够的控制以保护企业数据，而不必接触甚至查看员工的个人数据。

...到 EMM...

但 MAM 解决方案也存在一定的局限性，这主要是因为，员工以爆炸式的速度在 iOS 或 Android 设备中添加新应用，而 MAM 根本无法跟上这种步伐。作为应对之策，供应商将 MDM、MAM 和一些相关工具结合起来，创造出企业移动管理 (EMM) 套件。 EMM 包含 MDM 的企业数据安全能力、MAM 所提供的卓越员工体验，以及对办公场所外使用的所有设备的管理和安全控制能力，这不仅包括智能手机，还包括在办公场所外使用的笔记本电脑和 PC。

...到 UEM

EMM 留下了最后一个终端管理缺口（以及潜在的安全漏洞）。由于未提供管理现场最终用户设备的能力，因此需要管理员使用单独的工具和策略，管理现场和非现场设备及安全性。这带来了额外的工作量、混乱和更高出错几率 - 几乎与此同时，更多的雇主尝试让更多的员工在家工作。

UEM 的出现解决了这个问题。它将 EMM 的功能与传统上用于管理本地 PC 和笔记本电脑的客户端管理工具 (CMT) 结合起来。大多数 UEM 工具还包含或集成了终端安全工具，或者相互配合使用，例如反病毒软件和反恶意软件工具、Web 控制软件、用户和实体行为分析 (UEBA) 解决方案、集成防火墙等。

UEM 如何提高终端安全性

使用多个终端管理工具来管理和保护不同地点的不同终端设备，会给安全和 IT 团队带来大量重复的手动工作，同时也为不一致的措施、不当配置和错误制造了更多机会，使得终端和网络更容易受到攻击。 UEM 有助于显著减少工作量和降低风险 - 通过创建一站式仪表板，使 IT 管理员和安全团队可以集中查看、管理和保护连接到企业网络的每个终端设备。

UEM 工具适用于管理所有 PC 和移动操作系统，包括 Apple iOS 和 MacOS、Google ChromeOS 和 Android 以及 Linux 和 Microsoft Windows。（一些解决方案可能还支持 Blackberry OS 和 Windows Phone 移动操作系统。）许多 UEM 解决方案还支持打印机和其他最终用户物联网设备、智能手表和其他可穿戴设备、虚拟现实耳机、虚拟助手 - 覆盖员工或业务合作伙伴可能用来连接到网络并完成工作的任何设备。

UEM 能够识别网络上的所有设备，而不论连接类型、连接频率和连接位置。它甚至还可以实时发现管理员或安全团队并不知晓的已连接设备。

通过这个集中式仪表板，管理员可以为任何或所有设备执行或自动完成关键的管理和安全任务，包括：

注册和配置设备：为了减轻 BYOD 的管理负担，UEM 解决方案提供了一个门户网站，供用户自行注册并自动配置他们的设备。对于尝试连接到网络的任何新设备或未知设备，UEM 还会自动为其执行注册和配置。
应用和实施安全策略：管理员可以指定多因子身份验证、密码长度和复杂性、密码更新、数据加密方法等策略。通过帮助管理员使用一种工具在所有设备上实施一致的策略，UEM 大大减少了 IT 部门和安全人员的手动工作量。
推送补丁和更新：UEM 可以扫描终端以发现软件、固件或操作系统漏洞，并在需要时自动推送补丁。
控制应用：雇主可以批准或禁止使用特定应用，并防止未经授权的应用访问企业数据。许多 UEM 工具都支持创建应用商店，用户可以在此下载、安装和定期更新企业批准的移动应用和桌面应用。
将企业数据与个人数据隔离：这可以保护企业数据和个人数据，并创造最佳的 BYOD 用户体验。
使终端安全解决方案保持最新状态：管理员可以在设备上安装最新的反病毒软件，使用最新的黑名单或白名单网站更新 Web 过滤器，甚至调整防火墙来抵御最新威胁。
保护连接：UEM 支持管理员按设备、用户甚至应用指定连接类型，如 WiFi、VPN 等。
发现并消除威胁：通过与 UEBA、终端检测和响应 (EDR) 及其他安全技术集成，UEM 可以帮助发现表明存在现有威胁或潜在威胁的异常设备行为，并触发其他安全工具，对威胁采取行动。
擦除和/或锁定丢失、被盗或使用期结束的设备：作为最后一道防线，UEM 支持管理员或安全团队定位、擦除、锁定和/或重置丢失、被盗或报废的设备，防止未经授权的网络访问，并防止设备上的任何敏感数据落入坏人之手。它还可以重置已退役的设备，以供个人继续使用。

最重要的是，对于这些任务及其他任务，借助 UEM 包罗万象的方法，安全和 IT 部门能够忽略现场与非现场设备、移动与桌面设备，以及 Windows、Mac、Chrome 与 Linux 操作系统之间的区别，而只关注设备和安全管理。

BYOD、在家工作和其他 UEM 用例

如上所述，UEM 是由不断变化的技术相互碰撞后演变而来的，用于管理和保护组织的 BYOD 策略、日益混合的员工队伍以及不断扩大的在家工作计划。而组织也可采用 UEM 来支持其他战略管理和安全计划，包括：

简化法规合规性。 混合员工队伍使得证明和实施行业及数据隐私法规的合规工作变得更加复杂。 UEM 解决方案则可以帮助消除这种复杂性。例如，组织可以通过 UEM 设置单一策略，确保每台设备都遵守 GDPR（《通用数据保护条例》）、HIPAA（《健康保险可移植性和责任法案》）和其他数据隐私法规所规定的加密要求。 UEM 数据隔离和应用控制功能可帮助管理员确保只有授权的桌面应用或移动应用才能够访问受到严格监管的数据。

零信任安全性。 在零信任安全方法中，默认情况下所有终端都被认为是怀有敌意的。所有实体（用户、设备、帐户）都被授予支持其工作或职能所需的最低访问权限；并且所有实体都必须持续受到监控，且定期重新授权。 UEM 可通过多种方式支持实施零信任方法，例如简化所有设备的最低访问权限的配置，提供对每个联网设备的实时可视性等。