1.介绍

MobileIron （中文名称：思可信） 是全球领先且发展最迅速的移动IT解决方案厂商之一，总部位于美国加利福尼亚州硅谷中心的山景城，截止2013年3月，全球超过4700 家企业采用思可信MobileIron的解决方案，世界500强及财富1000 强企业中超过200家公司已经选择 MobileIron 做为其移动IT解决方案。

2011年初 MobileIron在华分支机构－思可信科技发展有限公司 ( MobileIron China)正式成立

思可信MobileIron的移动IT解决方案软件部分主要包括三个大类

1. MDM Mobile Device Management 移动设备管理
2. MAM Mobile Application Management 移动应用管理 ，其中又包括 AppConnect 和 AppTunnel 两项技术
3. MCM Mobile Content Management 移动内容管理

MAM 是MDM（Mobile Device Management ) 向移动应用的延伸， 帮助企业将 IT 策略从 设备级延伸到应用级。 从而具备对于企业应用App 的更高控制能力 ， 实现自动化的应用配置，应用内数据安全管理及移动端应用到后台服务系统的安全数据传输等功能。 例如思可信MobileIron 公司的MAM管理组建可以在 移动设备建立 企业应用沙箱，将企业数据与个人数据完全分隔，从而提供更高的数据安全性及更优秀的客户使用体验。

因为 包括 IOS ， Android ，Windows Phone 等移动操作系统已经严格定义了应用程序权限及操作范围。主流的MAM 厂商都是通过应用App 再次封装和 专有API 的技术来实现对于企业应用管理。

在这方面最为成熟的技术是 AppConnect 和 AppTunnel。

AppConnect 可以将一款 iOS 或安卓应用转变为一个安全的“沙箱（SandBox）”，具有明确的数据划分和无授权访问保护。由于每个用户有多个业务应用，每个应用“沙箱”也可以连接至其它应用“沙箱”，以便安全共享数据（如文件）和策略（如应用单点登入 SSO ）。所有应用“沙箱”都连接至思可信MobileIron管理端以便政策的集中控制。任何应用都可以通过一个易于使用的应用封装或一个简单的软件开发工具包 API而对 AppConnect 加以充分利用。应用封装可以最大程度节省开发人员的时间并保护应用后期开发的安全。软件开发工具包 API可在开发过程的任何时间使用。

AppTunnel 为所有应用逐个提供高度细致的安全，通过一个安全隧道将每个应用“沙箱”连接至企业内部网络。移动应用可以用 AppTunnel 来访问后端企业数据，而无需打开的虚拟专用网络连接（VPN） 或更改周边网络安全设置。AppTunnel 使用经过验证的 思可信 MobileIron Sentry 智能网关，这种网关已在数千家企业中安装。

2.管理系统

思可信（ MobileIron）管理系统包含三个主要组件：Atlas ; VSP ; Sentry 

2.1 MobileIron Atlas

Atlas提供了一个单一控制界面，MI管理员可以通过这个单一的控制界面手机汇总多个VSP服务器的数据，从而可以集中监控企业里的所有移动设备，并对所以VSP里的设备进行管理操作。

思可信 管理系统用户控制台洁面 

Atlas的特点

• 支持通过全球范围部署VSP服务器来实现企业全球部署模式
• 支持多语言：简体中文、英语、韩语、德语、法语、日语
• 集中报表，提供丰富的报表组件
• 帐号权限分级管理（赋予不同的角色，分组管理设备）
• 实时查看策略实施情况和设备详情
• 对所有已管理的VSP服务器进行故障排查
• 指定设备故障排查
• 发送设备管理命令 (锁屏, 擦除, 注销设备, 强制设备连接服务器, 定位, 发送消息，等等)
• 导出CSV格式报表

2.2 VSP 管理引擎

MobileIron让企业做好准备：让移动智能设备进入企业生产环节

MobileIron Logo

对于一个成功的企业来讲，智能手机已经称为不可或缺的工具。然而智能手机的爆炸式的增长和多样性使得这些设备很难管理。IT部门只是粗略的组合一些手动配置方法，以此来配置每一种类型的手机和部署应用程序，这让早已透支的IT资源更加雪上加霜，也让移动互联网服务成为企业里成本增长最快的一项服务。企业面临的挑战如：

• 无线推送应用程序：传统桌面互联网上的办公应用正在融入移动互联网，应用的推送通过传统的有线和WiFi网络。但移动互联网设备只能通过3G等无线方式进行程序的部署，企业IT如何建立一个移动智能终端管理平台来通过3G等无线方式推送部署应用程序？企业如何集中管理和推送多平台类型的应用程序？
• 安全问题：移动互联网设备小巧轻便通讯便捷，作为个人消费品，人们的体验非常好，但易丢失，所以作为企业办公设备，一旦丢失企业IT如何保证终端里的企业数据的安全？如何保护终端设备不受病毒的攻击？
• 多操作平台管理：当笔记本渗入企业时，Windows占据了统治地位，IT部门很容易建立一个标准的管理体系，如域控制器等。然而随着iOS、Android等智能终端的崛起，企业如何建立一个智能移动终端管理平台来应对多操作平台环境？
• 隐私问题：智能手机有它独有的隐私问题，因为它设法把笔记本电脑和手机整合到一起，这也不可避免的把笔记本电脑和手机里的内容合并到了一起。但是笔记本电脑使企业发的，上面的内容也自然归企业所有，是企业财产的一部分，但对于智能手机区别就不是很明显了。而且有些企业会允许员工个人所有的智能终端接入企业网络，企业如何在智能终端上区分用户的个人信息和企业数据就变得更加复杂。

MI移动设备管理引擎(VSP)就是一个移动设备管理平台，它帮助企业IT克服了这些挑战，让企业顺利的，安全的把智能终端集成到企业生产环节中去，同时满足了用户和企业IT的需求。

• 即插即用：企业IT只需花半天的时间就可以将MobiIelron VSP集成到现有的网络环境中去，
• 稳如磐石的自身安全：特殊定制化的操作系统，限定端口访问，高稳定性的组件，访问权限的高可控性，对用户凭证的保护，客户端和服务器之间的通讯被加密，持续的漏洞修补和安全更新
• 高效简洁的管理界面：简洁友好的管理界面让管理员轻松上手，通过标签来划分设备组，及时监控终端设备，发送擦除、锁屏等管理命令，等等。
• 用户自服务界面：可以授权用户登录用户自服务页面，对自己名下的设备进行操作，如：定位，擦除，注册，锁屏等。让用户在IT下班时间期间也可以自己管理自己的设备。

2.3 Sentry 智能网关引擎

随着Apple iOS ,Android,Windows Mobile和Symbian等智能移动设备在企业中的普及流行，企业正在寻找安全的方案，以在他们的网络环境中应用 Active Sync 。 虽然 Active Sync 的影响力越来越大，企业正把它作为推送电子邮件的标准, 但是多数企业在企业内应用该技术时遇到了很多挑战。传统意义上讲， Active Sync 自身并提供访问控制和可视化监管功能，这些都是重视安全的企业所要求的。特别是在以下方面， Active Sync 未能满足企业的需求:

访问控制：管理员难于限制未授权的用户注册手机，还必须手动鉴别每一个用户的准入。即使手动设置了‘允许/限制’策略，企业还是受困于如何设置强制策略，来限制注册到某个 Active Sync 邮箱的手机数量。

可视化监控：在全球化的企业里，不做一些定制化的脚本，很确认哪些设备连接到哪些 Active Sync 邮箱。即使Exchange 2010在Exchange Web Services上提供了相关工具，也只能提供有限的针对单个邮箱的查看而非整个企业范围邮箱的查看。

安全：管理员很难根据设备情况来限制设备和 Active Sync 的连接(如操作系统版本，安全设定等),这已经超出了 Active Sync 平台提供的策略强制标准范围。一些基本的策略，如强制设备设置密码策略，在一些托管邮件环境下存在问题。 MobileIron Sentry 提供了企业级的构架,解决了企业众多挑战，让企业有信心启用 Active Sync 并使用iPhone等设备收发邮件。

MobileIron Sentry架构 

MobileIron Sentry扮演了一个Active Sync客户端和邮件服务端之间的代理角色，处于Active Sync客户端和企业Active Sync邮件服务器（群）之间。此种模式提供了一种后置邮件服务器的架构；许多企业已经成功部署MobileIron Sentry， 通过 Sentry让终端设备连接到Microsoft Exchage或Lotus Notes服务器，此方案也是用与托管方案（如BPOS-S,BPOS-D或Google Gmail）

• 确保只有授权的设备才能和Active Sync 连接：采用MobileIron Sentry 后，策略通过网络层强制实现。收发邮件时，每个 Active Sync 设备会首先连接 MobileIron Sentry 服务器。为了鉴别该设备是否授权连接到后端 Active Sync 邮件, MobileIron Sentry 服务器会审查通过Sentry 的邮件数据流；从此数据流中Sentry 会提取其中的设备ID送交MobileIron VSP，或相关的管理服务器。VSP通过此ID验证该设备提供的其他信息，据此判断是否可以让这台设备连接 Active Sync 。这些信息包括设备类型，安全状态，操作系统版本和其他数据等。验证后，VSP会反馈Sentry 该设备是否可以连接。如果不允许，则该设备与后端邮件系统的数据流会被截断。如果不允许，则该设备与后端邮件系统的数据流会被截断。
• 提供了可视化监控所有连接 Active Sync 的设备，无论是否被 MobileIron 管理
• 结合有证书验证功能的前端代理服务器或 负载均衡，实现通过证书及用户名密码的双重验证

3. 主要产品

3.1 MIE0500

MobileIron思可信智能终端管理引擎性能参数

产品性能：

客户端支持平台：iOS/Android/BlackBerry/Win MO/Web OS/Symbian

设备管理数量：500

设备链接并发连接数：400用户/秒

程序下载并发数：200用户/秒

产品特性：

管理接口模式：Https + WEB API

管理命令传输方式：OTA+SSL加密传输

默认策略推送时间间隔：15分钟～4小时

管理浏览器要求：IE/Safari/FireFox

管理引擎安装部署平均时间：小于2天

高可用性：否

冗余电源

 硬件配置：

平均功率消耗：500W

存储器类型：多层单元（MLC） NAND 闪存

数据接口类型-千兆以太网 ：2x 100/1000

控制接口类型：1x R232/RJ45 串口控制接口

温度范围：0°C 至 +60°C (运行时)

湿度范围：0% 至 95% (不冷凝)

可扩充性：可根据用户实际需求进行扩展

尺寸：2U 机架式, 66x43x9cm

重量：23.6KG

附加部件：电源线/机架导轨

带宽要求：不考虑软件下载，建议最低10MB共享带宽

3.2 MIE3000

产品性能：

客户端支持平台：iOS/Android/BlackBerry/Win MO/Web OS/Symbian

设备管理数量：3000

设备链接并发连接数：1000用户/秒

程序下并发数：500用户/秒

产品特性：

管理接口模式：Https + WEB API

管理命令传输方式：OTA+SSL加密传输

默认策略推送时间间隔：15分钟～4小时

管理浏览器要求：IE/Safari/FireFox

管理引擎安装部署平均时间：小于2天

高可用性：是，需要负载均衡器配合

冗余电源：是

硬件配置：

平均功率消耗：1000W

存储器类型：多层单元（MLC） NAND 闪存

数据接口类型-千兆以太网：2/4 x 100/1000

控制接口类型：1x R232/RJ45 串口控制接口

温度范围：0°C 至 +60°C (运行时)

湿度范围：0% 至 95% (不冷凝)

可扩充性：可根据用户实际需求进行扩展

尺寸：2U 机架式, 66x43x9cm

重量：23.6KG

附加部件：电源线/机架导轨

带宽要求：不考虑软件下载，建议最低10MB共享带宽

3.3 MIE9000

产品性能：

客户端支持平台：iOS/Android/BlackBerry/Win MO/Web OS/Symbian

设备管理数量：9000

设备链接并发连接数：3000用户/秒

程序下载并发数：1000用户/秒

产品特性：

管理接口模式：Https + WEB API

管理命令传输方式：OTA+SSL加密传输

默认策略推送时间间隔：15分钟～4小时

管理浏览器要求：IE/Safari/FireFox

管理引擎安装部署平均时间：视客户需求 1到2周

高可用性：是，需要负载均衡器配合

冗余电源：是

硬件配置：

平均功率消耗：1600W

存储器类型：多层单元（MLC） NAND 闪存

数据接口类型-千兆以太网：4 x 100/1000

控制接口类型：1x R232/RJ45 串口控制接口

温度范围：0°C 至 +60°C (运行时)

湿度范围：0% 至 95% (不冷凝)

可扩充性：可根据用户实际需求进行扩展

尺寸：2U 机架式, 66x43x9cm

重量：23.6KG

附加部件：电源线/机架导轨

带宽要求：不考虑软件下载，建议最低10MB共享带宽

3.4 MIE20000

产品性能：

客户端支持平台：iOS/Android/BlackBerry/Win MO/Web OS/Symbian

设备管理数量：20000

设备链接并发连接数：6000用户/秒

程序下载并发数：3000用户/秒

产品特性：

管理接口模式：Https + WEB API

管理命令传输方式：OTA+SSL加密传输

默认策略推送时间间隔：15分钟～4小时

管理浏览器要求：IE/Safari/FireFox

管理引擎安装部署平均时间：视客户需求 1到2周

高可用性：是，内建

冗余电源：是

硬件配置：

平均功率消耗：3000W

存储器类型：多层单元（MLC） NAND 闪存

数据接口类型-千兆以太网：4/8 x 100/1000

控制接口类型：1x R232/RJ45 串口控制接口

温度范围：0°C 至 +60°C (运行时)

湿度范围：0% 至 95% (不冷凝)

可扩充性：可根据用户实际需求进行扩展

尺寸：4U, 66x43x18cm

重量：43.6KG

附加部件：电源线/机架导轨

带宽要求：不考虑软件下载，建议最低10MB共享带宽

附加部件：电源线/机架导轨

带宽要求：不考虑软件下载，建议最低10MB共享带宽