UEM 是一系列移动安全管理工具中最新的一款，这些工具的出现是为了应对过去二十年中组织、员工、移动设备和工作方式之间不断变化的关系，且这些工具一直在演变。

从 MDM...

工作场所引入的第一批移动设备是公司所有的设备，并且开发出移动设备管理 (MDM) 工具，以便 IT 管理员管理和保护这些设备。借助 MDM 工具，管理员能够完全控制设备的所有功能。他们可以配置、注册和加密设备，配置和控制无线访问，安装和管理企业应用程序，跟踪设备的位置，以及在设备丢失或被盗时锁定设备并擦除设备内容。

...到 MAM...

原本，MDM 是一种可接受的移动管理解决方案，但在智能手机日益流行，以至于员工希望使用个人智能手机工作，而不愿意同时携带工作设备和个人设备之后，一切发生了改变。BYOD 出现了。很快，员工就开始一窝蜂地将他们的个人手机和个人数据的完全控制权交给了 MDM。

由此，一种新型解决方案应运而生，这就是移动应用程序管理 (MAM)。MAM 不再专注于对整个移动设备进行管理控制，而是专注于应用程序管理。利用 MAM，管理员可以完全控制企业应用程序以及与之相关的企业数据，他们还可以对员工的个人应用程序施加足够的控制，以保护公司数据，同时又无需接触甚至不会看到员工的个人数据。

...到 EMM...

但 MAM 解决方案也存在局限性，而大部分原因是，面对员工可能添加到其 iOS 或 Android 设备的新应用程序的爆炸式增长，此类解决方案根本无力应对。为此，供应商将 MDM、MAM 和一些相关工具结合起来，创建了企业移动管理 (EMM) 套件。EMM 提供了 MDM 的企业数据安全、MAM 的卓越员工体验，以及对办公室外使用的所有设备（不仅是智能手机，还包括异地笔记本电脑和 PC）的管理和安全控制。

...到 UEM

EMM 还遗留了最后一个端点管理问题（和潜在的安全漏洞）。由于它不提供管理现场最终用户设备的功能，因此需要管理员利用不同的工具和策略来管理现场和场外设备，并确保安全性。这会加大工作量、造成混乱并增加了出错的机会，而与此同时，越来越多的雇主尝试让更多的员工居家办公。

为解决这一问题，UEM 应运而生。它将 EMM 的功能与传统上用于管理本地部署 PC 和笔记本电脑的客户端管理工具 (CMT) 的功能相结合。大多数 UEM 工具还包括端点安全工具，与之集成或与之交互，例如防病毒和反恶意软件、Web 控制软件、 用户和实体行为分析 （UEBA） 解决方案、集成防火墙等。

利用多种端点管理工具来管理和保护分布于不同位置的不同端点设备时，会给安全和 IT 团队带来大量手动的重复工作，并增加了出现不一致、错误配置和错误的机会，从而使端点和网络极易受到攻击。

UEM 创建了单一的中央仪表板，供 IT 管理员和安全团队在其中查看、管理和保护连接到企业网络的每个端点设备，从而大幅降低了工作量和风险。

UEM 工具适用于所有 PC 和移动操作系统，包括 Apple iOS 和 MacOS、Google ChromeOS 以及 Android、Linux® 和 Microsoft Windows。（某些解决方案可能还支持 BlackBerry OS 和 Windows Phone 移动操作系统。）许多 UEM 解决方案还支持打印机和其他最终用户 IoT 设备、智能手表和其他可穿戴设备、虚拟现实头戴设备和虚拟助理，以及员工或业务合作伙伴可能用来连接网络并完成工作的任何设备。

UEM 可以识别网络上的所有设备，无论其连接类型、连接频率以及连接位置如何。它甚至可以实时发现管理员或安全团队未发现的已连接设备。

由此，中央仪表板管理员可以执行或自动执行任何或所有设备的关键管理和安全任务，包括：

• 注册和配置设备：为缓解 BYOD 的管理负担，UEM 解决方案提供了一个门户，供用户自助注册并自动配置设备。UEM 还会自动为尝试连接到网络的任何新设备或未知设备强制执行注册和配置。
  
  
• 应用和强制实施安全策略：管理员可以指定多因素身份验证、密码长度和复杂性、密码更新、数据加密方法等。UEM 支持管理员通过一种工具在所有设备上实施一致的策略，从而大大减少了 IT 部门和安全人员的手动工作。
  
  
• 推送补丁和更新：UEM 可以扫描软件、固件或操作系统的端点以查找漏洞，并在需要时自动推送补丁。
  
  
• 控制应用和应用程序：雇主可以批准或禁止使用特定的应用或应用程序，防止未经授权的应用或应用程序访问企业数据。许多 UEM 工具均支持创建应用商店，供用户下载、安装并定期更新企业批准的应用和桌面应用程序。
  
  
• 隔离企业数据和个人数据：这样可以保护企业数据和个人数据的安全，并为用户提供最佳的 BYOD 体验。
  
  
• 保持端点安全解决方案为最新版本：管理员可以在设备上安装最新的防病毒定义，使用最新的黑名单或白名单网站更新网络过滤器，甚至调整防火墙以抵御最新威胁。
  
  
• 确保连接安全：管理员可通过 UEM 指定连接类型。例如，wifi、VPN，以及按设备、按用户甚至按应用程序连接。
  
  
• 识别和修复威胁：通过与 UEBA、端点检测和响应 (EDR) 以及其他安全技术集成，UEM 可以帮助识别表明存在持续或潜在威胁的异常设备行为，并触发其他安全工具，以采取行动，应对威胁。
  
  
• 锁定丢失、被盗或报废的设备并擦除设备内容：作为最后一道防线，管理员或安全团队可以利用 UEM 来定位、锁定和/或重置丢失、被盗或报废的设备，并擦除和清理设备内容，以防止设备未经授权访问网络，并防止设备上的任何敏感数据落入不法分子手中。还可以重置报废的设备以供个人继续使用。

最重要的是，在这些任务及其他任务中，UEM 包罗万象的方法可以让安全和 IT 部门忽略现场和非现场设备、移动和桌面设备，以及 Windows、Mac、Chrome 或 Linux 操作系统之间的区别，单纯专注于设备和安全管理。

如上所述，管理和保护组织 BYOD 策略、日趋混合的员工队伍和范围不断扩大的居家办公计划所用的技术不断变化，而 UEM 正是在这些技术的相互碰撞中发展而来的。但组织也采用 UEM 来支持其他战略管理和安全计划，包括：

简化法规合规性：混合员工队伍会让证明行业及数据隐私法规合规性，以及强制实施此类法规变得更加复杂。UEM 解决方案可以帮助降低这种复杂性。

例如，利用 UEM，组织可以制定单一策略，确保每台设备都符合 GDPR（通用数据保护条例）、HIPAA（健康保险流通和责任法案）和其他数据隐私法规规定的加密要求。UEM 数据隔离和应用程序控制功能可帮助管理员确保只有获得授权的应用程序或移动应用才能访问高度监管的数据。

零信任安全：在零信任安全方法中，默认情况下，所有端点均被视为恶意端点。所有实体（包括用户、设备、帐户）都被授予支持其工作或职能所需的最低访问权限，并且必须持续监控所有实体，在持续访问的过程中还需要定期重新授权。UEM 可以通过多种方式支持零信任实施，如简化所有设备的最低访问权限配置，支持实时查看连接到网络的每台设备等等。