什么是 UEM - 统一终端管理?

凭借 UEM,IT 和安全团队能够使用一个工具以一致的方式监控、管理和保护网络上的所有最终用户设备。

两名工作人员坐在服务器机房中,在电脑前工作
什么是 UEM?

UEM 即统一终端管理,是用于从单个控制台来监控、管理和保护组织的所有最终用户设备的软件,这些设备包括台式机和笔记本电脑、智能手机、平板电脑、可穿戴设备等,而不论操作系统或位置如何。 UEM 通过简化操作加强了终端安全性,让安全和 IT 团队能够使用一种工具以一致的方式保护所有终端设备。

作为一项相对较新的技术,UEM 将传统移动管理解决方案的功能(包括 MDM(移动设备管理)和 MAM(移动应用管理))与用于管理本地和远程 PC 的工具的功能相结合。 UEM 在管理 BYOD(自带设备)程序和混合(混合的本地和远程)劳动力方面已经很受欢迎,而随着安全和 IT 部门为了应对 COVID-19 疫情而支持扩展的居家办公 (WFH) 计划,UEM 的使用呈现出爆炸式增长。 在可预见的未来,这一趋势将会持续下去:OMDIA 的 2021 年未来工作调查(链接位于 ibm.com 外部)报告称,为了应对疫情,58% 的员工将主要采用居家办公方式或以混合方式工作。


UEM 的演进

UEM 是一系列移动安全管理工具中最新的一款工具,这些工具的出现和演变是为了响应过去二十年来组织、员工、移动设备和工作方式之间不断变化的关系。

从 MDM...

工作场所引入的首批移动设备归公司所有,并且还开发了移动设备管理 (MDM) 工具,让 IT 管理员能够管理和保护这些设备。 MDM 工具让管理员能够完全控制设备的所有功能。 他们可以配置、注册和加密设备,配置和控制无线访问,安装和管理企业应用,跟踪设备的位置,并在设备丢失或被盗时锁定和擦除设备。

...到 MAM...

MDM 是一种可接受的移动管理解决方案,后来智能手机日渐流行,以至于员工希望能够使用他们的个人智能手机开展工作(而不是同时携带工作设备和个人设备)。 BYOD 由此落地。 但很快,员工开始对将个人手机和个人数据的完全控制权交给 MDM 感到愤怒。

一个全新的解决方案 - 移动应用管理 (MAM) 应运而生。 MAM 专注于应用管理,而不是对整个移动设备的管理控制。 有了 MAM,管理员就可以完全控制企业应用以及与之相关的企业数据;他们还可以对员工的个人应用实施足够的控制以保护企业数据,而不必接触甚至查看员工的个人数据。

...到 EMM...

但 MAM 解决方案也存在一定的局限性,这多半是由于它们根本无力处理员工可能会在 iOS 或 Android 设备中添加的大量新增应用所导致的。 作为回应,供应商结合了 MDM、MAM 和一些相关工具来创建企业移动管理 (EMM) 套件。 EMM 提供了 MDM 所具备的企业数据安全性、MAM 所具备的卓越员工体验,以及对办公室外使用的所有设备的管理和安全控制能力,这不仅包括智能手机,还包括异地笔记本电脑和 PC。

...到 UEM

EMM 留下了最后一个终端管理缺口(以及潜在的安全漏洞)。 由于未提供管理现场最终用户设备的功能,所以它要求管理员使用单独的工具和策略来管理现场和非现场设备及安全性。 这带来了额外的工作量、混乱和更高出错几率 - 几乎在同一时间,更多的雇主试图让更多的员工在家办公。

UEM 成为了解决这个问题的方案。 它将 EMM 的功能与传统上用于管理本地 PC 和笔记本电脑的客户端管理工具 (CMT) 的功能结合起来。 大多数 UEM 工具还包括和集成了终端安全工具或与之交互,例如防病毒软件和反恶意软件、Web 控制软件、用户和实体行为分析 (UEBA) 解决方案、集成防火墙等。


UEM 如何提高终端安全性

使用多个终端管理工具来管理和保护不同地点的不同终端设备会产生大量手册,并为安全和 IT 团队带来重复性工作,同时也为不一致、错误配置和错误制造了更多机会,使得终端和网络更容易受到攻击。 通过创建单个中央仪表板,UEM 显著减少了工作量并降低了风险,在这个仪表板中,IT 管理员和安全团队可以查看、管理和保护连接到企业网络的每个终端设备。

UEM 工具适用于处理所有 PC 和移动操作系统,包括 Apple iOS 和 MacOS、Google ChromeOS 和 Android、Linux 和 Microsoft Windows。 (一些解决方案,尤其是黑莓 UEM,还支持黑莓操作系统和 Windows Phone 移动操作系统。) 许多 UEM 解决方案还支持打印机和其他最终用户物联网设备、智能手表和其他可穿戴设备、虚拟现实耳机、虚拟助手 - 员工或业务合作伙伴可能用来连接到网络并完成工作的任何东西。

UEM 能够识别网络上的所有设备,而不论连接类型、连接频率和连接位置如何。 它甚至还可以实时发现管理员或安全团队并不知晓的已连接设备。

通过这个中央仪表板,管理员可以为任何或所有设备执行或自动完成关键的管理和安全任务,包括:

  • 注册和配置设备:为了减轻 BYOD 的管理负担,UEM 解决方案提供了一个门户,用户可以在此自行注册并自动配置他们的设备。 对于尝试连接到网络的任何新设备或未知设备,UEM 还会自动为其执行注册和配置。
  • 应用和执行安全策略:管理员可以指定多因素身份验证、密码长度和复杂性、密码更新、数据加密方法等等。 通过让管理员能够使用一种工具在所有设备上交付一致的策略,UEM 大大减少了 IT 部门和安全人员的手动工作量。
  • 推送补丁和更新:UEM 可以扫描终端,查找软件、固件或操作系统漏洞,并在需要时自动推送补丁。
  • 控制应用和应用程序:雇主可以批准或禁止使用特定应用或应用程序,并防止未经授权的应用或应用程序访问企业数据。 许多 UEM 工具都支持创建应用商店,用户可以在此下载、安装和定期更新企业认可的应用和桌面应用程序。
  • 隔开企业数据和个人数据:这可以保护企业数据和个人数据,并为 BYOD 提供最佳用户体验。
  • 使终端安全解决方案保持最新状态:管理员可以在设备上安装最新的防病毒软件,使用最新的黑名单或白名单网站更新 Web 过滤器,甚至是调整防火墙来抵御最新威胁。
  • 保护连接:UEM 允许管理员按设备、用户乃至应用指定连接类型,如 WiFi、VPN 等。
  • 识别威胁并予以修复:通过与 UEBA、终端检测和响应 (EDR) 及其他安全技术相集成,UEM 可以帮助识别表明存在持续威胁或潜在威胁的异常设备行为,并触发其他安全工具对威胁采取行动。
  • 擦除和/或锁定丢失、被盗或使用期结束的设备:作为最后一道防线,UEM 支持管理员或安全团队定位、擦除、锁定和/或重置丢失、被盗或报废的设备,防止未经授权即访问网络,并防止设备上的任何敏感数据落入坏人之手。 它还可以重置已停用的设备,以供个人继续使用。

最重要的是,对于这些任务及其他任务,借助 UEM 包罗万象的方法,安全和 IT 部门能够忽略现场和非现场设备、移动和桌面设备、Windows、Mac、Chrome 或 Linux 操作系统之间的区别,而只关注设备和安全管理。


BYOD、居家办公和其他 UEM 用例

如上所述,UEM 是由不断变化的技术相互碰撞演变而来,这些技术用于管理和保护组织的 BYOD 策略、日益混合的劳动力以及日渐扩大的居家办公计划。 而组织则采用 UEM 来支持其他战略管理和安全计划,包括:

简化的法规合规性。 混合劳动力使得证明和强制遵守行业及数据隐私法规变得更加复杂。 UEM 解决方案则可以帮助消除这种复杂性。 例如,组织可以通过 UEM 设置单一策略,确保每台设备都符合 GDPR(《通用数据保护条例》)、HIPAA(《健康保险携带和责任法案》)和其他数据隐私法规所规定的加密要求。 UEM 数据隔离和应用控制功能可帮助管理员确保只有授权的应用或移动应用,才能够访问受到严格监管的数据。

零信任安全性。 在零信任安全方法中,缺省情况下所有终端都被认为是怀有敌意的。 所有实体(用户、设备、帐户)都被授予支持其工作或职能所需的最低访问权限,并且必须持续监控所有实体,且随着访问的持续定期重新授权。 UEM 可以通过多种方式支持实施零信任方法 - 从简化所有设备的最低访问权限的配置,到提供对每个联网设备的实时可见性。