Mục lục:
Video: VMware Workspace ONE: Demo - Feature Walk-through (Tháng Mười 2024)
VMware là một cái tên quen thuộc với các chuyên gia CNTT, vì đây là công ty không chỉ tiên phong trong lĩnh vực ảo hóa quy mô doanh nghiệp, mà còn là công ty hàng đầu trong lĩnh vực quản lý thiết bị di động (MDM) với sản phẩm Airwatch. Do toàn bộ mạng doanh nghiệp hiện được ảo hóa và thường vượt ra ngoài tường lửa và thành nhiều phần mềm dưới dạng công cụ dịch vụ (SaaS), nên có nghĩa là VMware cũng sẽ có giải pháp quản lý danh tính (IDM) của riêng mình, được gọi là VMware Workspace One, bắt đầu ở mức 3, 5 đô la cho mỗi thiết bị hoặc 6 đô la cho mỗi người dùng mỗi tháng. Nền tảng này cung cấp một số khả năng lớn, đặc biệt là về việc tích hợp với các sản phẩm VMware khác. Đây là những tính năng giết người cho các công ty đã được chuẩn hóa trên VMware, đặc biệt là những người sử dụng Airwatch, biến Workspace One trở thành không có trí tuệ đối với họ. Tuy nhiên, đối với các tổ chức khác, Workspace One không bắt kịp những người chiến thắng Sự lựa chọn của các Biên tập viên khác của chúng tôi trong danh mục này, Microsoft Azure Active Directory (AD), Quản lý danh tính Okta và Ly tâm.
Giống như hầu hết các bộ IDM dựa trên đám mây mà chúng tôi đã xem xét, Workspace One hỗ trợ cả tên miền và thư mục Microsoft Active Directory (AD) dựa trên tiêu chuẩn Giao thức truy cập thư mục nhẹ (LDAP). Trong cả hai trường hợp, VMware sử dụng một tác nhân phần mềm làm trình kết nối để liên kết với thư mục công ty của bạn. Điều này mang lại một số lợi ích cho các công ty sử dụng VMware Airwatch để quản lý các thiết bị di động của họ, đầu tiên là khả năng tận dụng cùng một trình kết nối được AirWatch sử dụng để đồng bộ hóa danh tính với Workspace One. Thông qua quy trình thiết lập cơ bản liên quan đến mã kích hoạt thông thường, tài khoản dịch vụ AD và lựa chọn các thùng chứa thư mục khác nhau, thư mục của bạn sẽ nhanh chóng được liên kết với phiên bản Workspace One của bạn.
Mặc dù việc tải xuống và định cấu hình trình kết nối thư mục khá trực quan, vẫn còn nhiều việc phải làm trước khi người dùng của bạn có thể xác thực với Workspace One. Trong khi các giải pháp như Okta, OneLogin và Azure AD sẵn sàng hoạt động một cách hiệu quả khi các trình kết nối của chúng được cài đặt, VMware đã chọn sử dụng một số lớp trừu tượng giữa thư mục và xác thực người dùng, bao gồm không chỉ trình kết nối mà còn cả thư mục, Nhà cung cấp nhận dạng ( IDP) và phương thức xác thực. Mỗi lớp bao gồm một khía cạnh của kết nối thư mục của bạn và trong một số trường hợp áp dụng nó cho các cửa hàng nhận dạng khác, chẳng hạn như thư mục Workspace One bên trong.
Tích hợp thư mục
Các tác nhân phần mềm là phổ biến trong số các công cụ IDM, vì vậy không có gì ngạc nhiên khi lớp tích hợp thư mục đầu tiên là trình kết nối. VMware gọi lớp thứ hai là một thư mục, nhưng theo thuật ngữ của VMware liên quan đến một bản sao của các đối tượng và một tập hợp con của các thuộc tính được đồng bộ hóa từ thư mục AD hoặc LDAP của công ty bạn. Các thư mục được cấu hình để sử dụng một trong các trình kết nối đồng bộ hóa của bạn, cùng với tên phân biệt của đường dẫn thư mục cơ sở cho người dùng cũng như đường dẫn đến người dùng và mật khẩu của tài khoản dịch vụ. Cấu hình thư mục cũng cho phép bạn kiểm soát các thuộc tính nào được đồng bộ hóa. Cuối cùng, bạn có khả năng thêm các biện pháp bảo vệ để đồng bộ hóa thư mục của mình. Chúng cho phép bạn quản lý các ngưỡng giới hạn thay đổi theo tỷ lệ phần trăm của các đối tượng thư mục hiện có của bạn, điều này có thể giúp hạn chế tác động của thay đổi hàng loạt hoặc lỗi cấu hình ở cấp Active Directory.
Công nhân là phần tiếp theo của câu đố tích hợp thư mục trong VMware Workspace One. Công nhân được liên kết với các trình kết nối và thư mục và xử lý nhiều phương thức xác thực khác nhau như mật khẩu, RADIUS, RSA, chứng chỉ, AirWatch hoặc VMware Confirm, là công cụ xác thực hai yếu tố của VMware.
Cuối cùng, các chính sách được sử dụng để liên kết các ứng dụng với phạm vi mạng và loại thiết bị (trình duyệt web, Android, iOS, v.v.), sau đó gán phương thức xác thực. Các chính sách có thể được áp dụng cho các nhóm người dùng để nhắm mục tiêu đến những người cụ thể và các phương thức xác thực có thể được cấu hình theo bội số để thực thi xác thực đa yếu tố hoặc để cung cấp phương thức xác thực dự phòng nếu phương thức ưa thích thất bại. Phương pháp xử lý chính sách xác thực này giúp dễ dàng định cấu hình cách người dùng có thể xác thực, nhưng nhược điểm là nếu bạn sử dụng quá nhiều chính sách, họ có thể trở nên khó hiểu để quản lý. Ví dụ, nhiều chính sách có thể áp dụng cho cùng một nhóm và ứng dụng. Bạn có thể ngăn chặn hầu hết sự nhầm lẫn này một cách khá dễ dàng bằng cách định cấu hình các chính sách riêng cho mỗi ứng dụng hoặc tài nguyên, nhưng với nhiều công cụ doanh nghiệp, nó giả định mức độ thành thạo của quản trị viên CNTT và quản trị viên không có kỹ năng có thể tự vẽ vào một góc nếu họ không cẩn thận.
Một tính năng mà chúng tôi muốn thấy trong tương lai của Workspace One là tính năng xác thực dựa trên rủi ro sử dụng học máy (ML) và dữ liệu lớn để gán điểm rủi ro cho người dùng, thiết bị hoặc ứng dụng cụ thể. Xác thực dựa trên rủi ro không phải là một trong những tính năng được cung cấp trên bảng trong lĩnh vực IDM, nhưng đó là một tính năng chính cho các đối thủ cạnh tranh hàng đầu, bao gồm Microsoft Azure AD và Centrify. Workspace One cung cấp một tính năng gọi là truy cập có điều kiện dựa trên rủi ro và nó cung cấp khả năng định cấu hình các chính sách để xử lý xác thực dựa trên những thứ như thiết bị di động được vá đủ, mật khẩu thay đổi gần đây hoặc định vị địa lý. Sự khác biệt giữa truy cập có điều kiện dựa trên rủi ro của VMware và xác thực dựa trên rủi ro dựa trên ML mới được cung cấp bởi các đối thủ cạnh tranh là phiên bản của VMware dựa trên bộ tính năng quản lý thiết bị, không phải bất kỳ khả năng học máy nào. Các khả năng mà VMware đang dựa vào là hoàn thiện và chắc chắn hữu ích cho bất kỳ doanh nghiệp nào sử dụng thiết bị di động, nhưng chúng không thêm loại trí thông minh giống như các thuật toán dựa trên thuật toán ML.
Đăng nhập một lần (SSO)
Khi thư mục của bạn được định cấu hình và người dùng và nhóm đang chảy vào Workspace One, các ứng dụng có thể được gán cho một trong hai loại đối tượng bằng cách xác định các quyền. Điều này có thể được quản lý trong cài đặt người dùng hoặc nhóm hoặc từ màn hình cấu hình ứng dụng. Cung cấp SSO vào các ứng dụng SaaS như Google G Suite, Office 365, Dropbox và nhiều ứng dụng khác được định cấu hình ở phía ứng dụng miễn là ứng dụng hỗ trợ cung cấp bằng cách sử dụng stadnards hoặc API và Workspace One hỗ trợ cung cấp vào ứng dụng. Thông thường, điều này liên quan đến việc quản lý kết nối từ Workspace One đến ứng dụng và định cấu hình các thuộc tính được truyền qua, nhưng điều này phụ thuộc một phần vào ứng dụng được nhắm mục tiêu. Workspace One cũng cung cấp một số công cụ để theo dõi việc sử dụng giấy phép, bao gồm tùy chọn xác định ngưỡng và loại giấy phép (như người dùng được đặt tên hoặc giấy phép đồng thời).
Một điểm khác biệt chính của VMware là khả năng xác thực các ứng dụng máy tính để bàn được lưu trữ trong môi trường Cơ sở hạ tầng màn hình ảo (VDI), cụ thể là Horizon Cloud của chính VMware, sản phẩm Horizon View VDI, cũng như môi trường VDI được chuẩn hóa trên công nghệ Citrix. Tuy nhiên, không có mục tiêu nào trong số này là kết nối tức thời, vì tất cả đều liên quan đến cấu hình ở cả hai đầu của quá trình. Tuy nhiên, chúng là một lựa chọn rất mạnh mẽ cho các công ty đã đầu tư vào một hoặc nhiều hệ thống này. Các tùy chọn này cung cấp cho người dùng khả năng truy cập an toàn các ứng dụng máy tính để bàn và các tài nguyên khác của công ty như thể chúng nằm trên mạng công ty. Điều đó không chỉ giúp đảm bảo một tư thế bảo mật tối ưu, nó còn hỗ trợ các ứng dụng doanh nghiệp sử dụng máy khách để bàn.
Tuy nhiên, một lợi ích khác cho các công ty đã sử dụng VMware AirWatch là bằng cách tích hợp với Workspace One, họ cho phép bảo mật bổ sung cho người dùng di động. Cho phép người dùng truy cập tài nguyên của công ty qua thiết bị di động sẽ tự động đưa ra một số lỗ hổng tiềm ẩn cho cơ sở hạ tầng công ty của bạn, bao gồm khả năng thiết bị của người dùng bị xâm phạm và cung cấp quyền truy cập trái phép cũng như các tình huống liên quan đến dữ liệu của công ty được tải xuống thiết bị và sau đó thiết bị đó bị mất hoặc ăn cắp. Có khả năng đảm bảo thiết bị tuân thủ chính sách của công ty, như ngăn chặn thiết bị đã root, đảm bảo mã hóa thiết bị và mật khẩu mạnh, cũng như tùy chọn khóa hoặc xóa từ xa, có thể là trình bảo vệ cuộc sống bảo mật trong nhiều tình huống và cũng giúp các công ty vượt qua kiểm toán tuân thủ an ninh hoặc quy định.
Một sản phẩm phụ khác của các khả năng của VMware trong MDM liên quan đến khả năng bảo mật các ứng dụng di động thông qua một số kỹ thuật khác nhau, giúp quản trị viên linh hoạt hơn để cung cấp cho người dùng các giải pháp họ cần. Các tùy chọn này bao gồm đường hầm VPN trên cơ sở mỗi ứng dụng và khả năng bao bọc các ứng dụng trong môi trường hộp cát an toàn, giúp xây dựng hiệu quả phiên bản mã hóa của ứng dụng được bảo vệ khỏi các yếu tố bên ngoài.
Báo cáo và giá cả
Nếu Workspace One có một điểm yếu thực sự, thì đó là báo cáo. Bảng điều khiển tương tác với người dùng cung cấp một số chỉ số hiệu suất chính về hoạt động của người dùng và mức độ sử dụng ứng dụng, nhưng lại thua xa các bảng điều khiển được cung cấp bởi Centrify hoặc Okta. Ngay cả các báo cáo đang chạy cũng có thể cải thiện với Workspace One cung cấp một số báo cáo ngoài luồng nhưng chỉ có các tùy chọn tối thiểu trong cách lọc dữ liệu (bạn thậm chí không thể sắp xếp các bảng mà không tải xuống tệp CSV). Điều này cho thấy rằng báo cáo không phải là một lĩnh vực trọng tâm cho nhóm Workspace One. Mặc dù điều này không nhất thiết là một đòn chí mạng đối với nền tảng, dữ liệu báo cáo là yêu cầu chính đối với các công ty cần xác minh sự tuân thủ của kiểm toán viên và cần được xem xét cẩn thận trước khi quyết định sử dụng nền tảng IDM.
Giá của VMware cho Workspace One nằm trong cùng một sân bóng như các bộ IDM khác có chức năng tương tự, mặc dù Workspace One cung cấp giá cho cả thiết bị hoặc trên mỗi cơ sở người dùng. Giá mỗi thiết bị có lợi thế là đạt được nhiều tính năng được cung cấp qua AirWatch, nhưng đi kèm với một số hạn chế về tính năng, chẳng hạn như cổng SSO bị giới hạn chỉ cho các thiết bị được quản lý. Bạn cũng có tùy chọn mua giấy phép để chạy Workspace One tại cơ sở của mình, việc này sẽ tiết kiệm chi phí cấp phép theo thời gian, nhưng sẽ yêu cầu thêm chi phí quản lý, nhân sự và cơ sở hạ tầng.
Giá cấp phép bắt đầu với cấp tiêu chuẩn, sẽ chạy $ 3, 50 cho mỗi thiết bị hoặc $ 6 mỗi người dùng trên cơ sở hàng tháng. Tại cơ sở giấy phép tiêu chuẩn sẽ chạy $ 50 mỗi thiết bị hoặc $ 90 mỗi người dùng dưới dạng chi phí một lần (vĩnh viễn). Cấp nâng cao mang lại giá lên tới $ 5, 50 / $ 10 hàng tháng cho mỗi thiết bị hoặc người dùng, nhưng nó bổ sung các khả năng như ứng dụng di động được đóng gói và đường hầm VPN trên mỗi ứng dụng. Giấy phép vĩnh viễn để sử dụng tại chỗ ở tầng nâng cao chạy $ 90 hoặc $ 180. Cấp giá doanh nghiệp chỉ được cấp phép cho mỗi người dùng và chạy $ 23, 25 hàng tháng cho dịch vụ đám mây hoặc $ 400 cho giấy phép vĩnh viễn trên cơ sở. Tầng Enterprise cung cấp cho bạn khả năng tích hợp với Horizon cho các ứng dụng ảo và máy tính để bàn.
Không còn nghi ngờ gì nữa, VMware có một ưu đãi mạnh mẽ trong Workspace One. Tuy nhiên, có một số tính năng nằm sau đối thủ, bao gồm tất cả những điều báo cáo và thiếu xác thực dựa trên rủi ro thúc đẩy học máy. Quá trình thiết lập để có được tất cả các lớp xác thực giữa thư mục của bạn và Workspace One cũng ít hơn trực quan. Mặt khác, VMware cung cấp nhiều giá trị gia tăng cho cơ sở khách hàng cốt lõi của mình hơn bất kỳ đối thủ nào. Tích hợp chính giữa Workspace One, AirWatch và Horizon kết hợp một số khả năng bảo mật và xác thực nghiêm trọng cho nhân viên di động.
