Вот что сказал об этом Shankar Iyer, CEO компании Omnissa:
Теперь мы - независимая софтверная компания, обладающая уникальной комбинацией талантов, технологий и активов экосистемы, сосредоточенной исключительно на обеспечении трансформационных рабочих пространств для клиентов и партнеров по всему миру.
С поддержкой KKR мы теперь обладаем гибкостью, приверженностью и инвестициями, чтобы занять наше место в качестве ведущей софтверной компании, определяющей и возглавляющей этот рынок с емкостью в 26 миллиардов долларов.
Этот момент был результатом более чем двухлетней работы, и я горжусь тем, что нахожусь в окружении высококвалифицированной команды менеджеров, которые неустанно работали для реализации нашего общего видения.
Наши 4000 сотрудников будут связаны общей структурой владения, которая объединит нас всех в путешествии по переосмыслению нашей отрасли и будущего работы.
Этот момент стал возможным благодаря нашим клиентам и партнерам. Мы не принимаем вашу лояльность как должное. Наше существование обусловлено вашим глубоким доверием к нашим технологиям и вашим сильным желанием реализовать видение автономных рабочих пространств, управляемых ИИ. Мы намерены продолжать заслуживать ваше доверие, создавая огромную новую ценность на нашей платформе и упрощая совместную работу.
В конце этого месяца мы проведем Omnissa Live, первое из серии мероприятий, чтобы полностью изложить наше видение и стратегию как самостоятельной компании и исследовать захватывающие возможности, которые мы видим впереди. Пожалуйста, запланируйте присоединиться к нам там. Мы знаем, что последние семь месяцев вызвали неопределенность. Сегодня с уверенностью я могу заверить вас, что мы готовы привести вас к новым высотам.
Нашим технологическим коллегам – лидерам инноваций и пионерам в различных категориях, таких как операционные системы, облачные среды, системы безопасности, платформы приложений и устройства – мы с нетерпением ждем тесного сотрудничества с вами и создания экосистемы, наполненной гибкостью и выбором, для наших и ваших клиентов.
Напомним, что продуктовый портфель компании теперь выглядит так (это больше не-VMware продукты):
Консоль Workspace ONE UEM включает различные способы развертывания приложений Win32. Рекомендуемыми методами являются механизм развертывания программного обеспечения (Windows Desktop Software Deployment) и оркестратор для последовательной установки. Метод Product Provisioning, хотя и поддерживается, считается устаревшим для настольных ПК Windows.
Установщики Win32 имеют разные требования в зависимости от типа установки, необходимой для программного обеспечения. Они могут требовать или не требовать административного доступа и могут изменять свое поведение в зависимости от контекста установки. Для эффективного развертывания важно понимать, как работает установщик. Также вы можете самостоятельно перепаковать приложение.
Workspace ONE может устанавливать приложения в системном контексте и в контексте пользователя. Он может устанавливать пользовательские приложения от имени обычного пользователя, если соответствующие права администратора выбраны в параметрах развертывания.
Данное руководство предназначено для ИТ-специалистов и администраторов Workspace ONE в существующих производственных средах. Также будет полезен опыт управления устройствами Windows.
На настольных ПК с Microsoft Windows установщик может запускаться в системном контексте или в контексте пользователя.
Контекст установки:
Device: Команда установки выполняется как System.
User: Команда установки выполняется как User, при необходимости позволяя отображать интерфейс пользователю.
Контекст установки может влиять на поведение установщика. Некоторые установщики могут потребовать ответа на вопрос, предназначена ли установка для всех пользователей или только для текущего пользователя, и в зависимости от ответа установка будет происходить в другом месте.
Если приложение установлено пользователем, но установщик размещает бинарные файлы и ярлыки в папке для всех пользователей/Program Files, то приложение будет доступно другим пользователям. Это важно учитывать в сценарии с несколькими пользователями.
Контекст System
Системный контекст — это контекст, в котором работает операционная система, обладающая полными правами на устройстве. Он не имеет информации о пользователях, не может отображать информацию пользователю в графическом интерфейсе и не имеет доступа к HKCU.
Команда установки унаследует системные права на устройстве, что позволит ей получить доступ к ресурсам с использованием учетной записи "NT AUTHORITY\SYSTEM". Любая попытка доступа к папке или ключу реестра будет оцениваться в соответствии с этой учетной записью и списком управления доступом (ACL), установленным на объекте.
Контекст User
В пользовательском контексте команда установки запускается под учетной записью пользователя, что позволяет отображать интерфейс пользователю и получать доступ к информации и файлам пользователя. Уровень доступа к операционной системе и файлам будет зависеть от прав доступа пользователя.
Если пользователь является обычным, и приложению требуются права, превышающие его права, а административные привилегии не выбраны, установка приложения завершится неудачей из-за отказа в доступе.
В зависимости от требований установщика может потребоваться понимание того, как UAC может повлиять на развертывание приложения.
Как UAC влияет на развертывание приложений
Контроль учетных записей (User Account Control, UAC) — это функция безопасности операционной системы Microsoft Windows. Она основана на принципе, что пользователь или устройство должны иметь возможность вносить определенные изменения в конфигурацию или файлы в операционной системе без дополнительных привилегий, если это не может потенциально повлиять на стабильность или безопасность ОС. В таких случаях требуются административные права, также известные как супер-токены (super tokens).
Супер-токен необходим для изменения защищенных папок, драйверов, системных настроек и прочего. Например, изменение времени требует административных привилегий, так как это может повлиять на системы безопасности.
Защищенные папки включают следующие:
\Program Files\ с подкаталогами
\Windows\system32\
\Program Files (x86)\ с подкаталогами для 64-битных версий Microsoft Windows
Оценка необходимости административных прав
Теперь, когда мы рассмотрели, как Windows реагирует в плане доступа, наш следующий шаг — проанализировать приложение, чтобы определить, будут ли необходимы права администратора.
Как правило, приложения устанавливаются в каталог "Program Files", так как это место по умолчанию. Однако многие приложения могут быть установлены в других местах. Это верно для приложений в пользовательском контексте, которые могут потребовать установки исключительно в области пользователя (т.е. в папке пользователя).
Для установок, связанных с изменением системных настроек или установкой драйверов, требуются права администратора для внесения изменений в важные папки и настройки, так как этого потребует UAC.
Важно четко понимать действия и местоположения установщика, чтобы определить, требуются ли административные права.
Ниже представлена блок-схема, показывающая, требуются ли административные права:
Поведение установки приложений Win32 с использованием ресурсов
Единственный случай, когда установка не работает, это если пользователь является обычным пользователем, а установщику требуются административные привилегии.
Поведение установки приложений Win32 с использованием Product Provisioning
Рекомендуется развертывать приложения Win32 через ресурсы (Resources). Однако, если вы пробовали развертывать приложение через ресурсы, и это вас не устроило, в качестве альтернативного метода вы можете завершить развертывание на своих устройствах с помощью Product Provisioning.
Если вы настраиваете приложения Win32 с использованием Product Provisioning, вы можете воспользоваться следующей таблицей, чтобы понять комбинации установки и запуска манифеста и контекста команды. Вы можете выбрать установку или запуск на системном уровне, уровне пользователя или уровне учетной записи администратора. В зависимости от выбранных параметров ваша установка может различаться.
Обратитесь к таблице, чтобы понять поведение установки приложений Win32 с использованием предоставления продуктов.
Перейдите в раздел Devices > Provisioning > Components > Files/Actions и выберите Add Files/Actions, перейдите на вкладку Manifest и установите Action(s) To Perform = Install/ Run.
Предложения для параметров Retry Count, Retry Interval, Install Timeout для ваших приложений Win32
Значения параметров "Retry Count", "Retry Interval" и "Install Timeout" для приложений Win32 влияют на время, которое система затрачивает на сообщение о неудачном процессе установки. Вы можете изменить значения по умолчанию, чтобы сократить время развертывания.
Значения по умолчанию для этих параметров:
Retry Count — 3 раза
Retry Interval — 5 минут
Install Timeout — 60 минут
работают в следующей последовательности для одного неудачного процесса установки:
Через 3 часа и 15 минут система однократно сообщает о неудачной установке приложения. Затем система устанавливает следующее приложение.
Настройка параметров в зависимости от приложения
Настройте значения, соответствующие приложению.
Пример быстрой установки
Браузерное приложение устанавливается на устройство за четыре минуты. Рассмотрите возможность установки следующих значений для этого приложения:
Retry Count — 2 раза
Retry Interval — 5 минут
Install Timeout — 5 минут
Система сообщает о сбое этого приложения в течение 20 минут. Затем она устанавливает следующее приложение.
Пример медленной установки
Крупное приложение для повышения производительности устанавливается на устройство за 30 минут. Рассмотрите следующие значения для этого приложения:
Retry Count — 3 раза
Retry Interval — 5 минут
Install Timeout — 35 минут
Система может сообщить о сбое этого приложения в течение 120 минут. Затем она устанавливает следующее приложение.
Предложения для параметра Device Restart для ваших приложений Win32
Значения для перезагрузки устройства для приложений Win32 позволяют пользователю отложить перезагрузку устройства и установить крайний срок, до которого пользователь может откладывать перезагрузку. Эти значения позволяют администраторам и конечным пользователям иметь больший контроль над перезагрузками, чтобы предотвратить потерю работы пользователем.
Администраторы могут выбрать принудительную перезагрузку ПК после установки приложения или позволить пользователю отложить перезагрузку на более удобное время.
Перезагрузка устройства помогает настроить следующие параметры:
Предупредить пользователя перед перезагрузкой устройства, чтобы он мог сохранить свои файлы и закрыть приложения.
Предупредить пользователя, когда требуется перезагрузка устройства.
Позволить пользователю отложить перезагрузку устройства и перезапустить его в удобное время.
Workspace ONE Intelligent Hub отображает уведомления о перезагрузке устройства на различных этапах. Уведомление об откладывании позволяет пользователю перезагрузить или отложить перезагрузку. Workspace ONE Intelligent Hub обновляет данные о перезагрузке для откладывания или перезагрузки и показывает это уведомление в соответствии с временем, выбранным пользователем.
Следующая таблица показывает уведомления, отображаемые на различных этапах:
Во время установки приложения
Уведомляет пользователя о необходимости сохранить файлы и закрыть приложение.
После установки приложения
Отображает первое уведомление и сообщает пользователю о перезагрузке системы.
За 48 часов до крайнего срока перезагрузки
Отображает второе уведомление и предупреждает пользователя о принудительной перезагрузке.
За 15 минут до крайнего срока перезагрузки
Отображает третье уведомление и предупреждает пользователя о принудительной перезагрузке.
За 5 минут до крайнего срока перезагрузки
Отображает системные подсказки, указывающие дату и время запланированной принудительной перезагрузки.
Определенные типы организаций обязаны настраивать протоколы безопасности своих конечных точек в соответствии с определенными стандартами и бенчмарками, такими как Standards and Technology (NIST) и Center for Internet Security (CIS). Некоторые организации выбирают соответствие этим стандартам просто потому, что это хорошая проверенная практика.
Проект macOS Security Compliance Project (mSCP) является инструментом с открытым исходным кодом, который позволяет администраторам создавать профили безопасности на основе этих стандартов, настраивать их в соответствии с конкретными потребностями их организации, чтобы дальше импортировать их в решение Workspace ONE. Используя эту интеграцию, администраторы могут упростить развертывание и управление своими профилями безопасности, увеличивая общую защищенность их парка устройств на базе macOS.
Преимущества использования mSCP
mSCP предоставляет полный набор руководств по безопасности на основе объединенных знаний и лучших практик отрасли, а также собственной документации по безопасности Apple. Инструмент включает поддерживаемые базовые настройки от организаций, включая упомянутые NIST и CIS, а также Defense Information Systems Agency (DISA) и Committee on National Security Systems Instruction (CNSSI). Используя mSCP, организации могут установить базовую конфигурацию безопасности, которая соответствует стандартам, тщательно разработанным этими структурами для защиты их устройств macOS от угроз и уязвимостей.
Некоторые из ключевых преимуществ mSCP - гибкость и надежность. Поскольку администраторы могут задавать различные настройки базовых уровней, им относительно легко найти правильный баланс между более высоким уровнем безопасности и удобством использования для конкретных потребностей их компании. Что касается надежности, mSCP регулярно обновляется для имплементации последних руководств по безопасности от Apple, помогая организациям опережать появление новых угроз.
Улучшение развертывания с помощью Workspace ONE
Workspace ONE предлагает простой способ развертывания и управления профилями безопасности, сгенерированными с помощью mSCP. Функциональность загрузки профиля в Workspace ONE позволяет администраторам напрямую загружать профили .mobileconfig от mSCP через консоль Workspace ONE.
Эта интеграция упрощает процесс развертывания, позволяя администраторам быстро и эффективно применять конфигурации безопасности к своим устройствам macOS. Более того, Workspace ONE предоставляет мощные возможности управления, такие как проверки соответствия и возможности удаленного стирания контента, обеспечивая безопасность устройств на протяжении всего их жизненного цикла.
В 2022 году надзорный орган Европейского союза (ЕС) - Европейская комиссия - запустила амбициозный проект с целью "обеспечения справедливых и открытых цифровых рынков". Основная цель Закона о цифровых рынках (DMA) заключается в ограничении влияния технологических гигантов и обеспечении их "справедливого поведения в онлайне". Вот шесть онлайн-платформ, определенных как фундаментальные игроки:
Alphabet
Amazon
Apple
ByteDance
Meta
Microsoft
Для этих нескольких платформ еврокомиссия определила ряд бизнес-практик, которые им необходимо изменить в течение ближайших лет, чтобы соответствовать DMA. В случае Apple еврокомиссия считает, что App Store, Safari и Apple Pay считаются "основными сервисами платформы", и что конкурирующим разработчикам должно быть разрешено предлагать альтернативные решения для пользователей iPhone и iPad. В результате в iOS 17.4 было внесено несколько изменений, которые с течением времени значительно повлияют на пользователей в ЕС.
Альтернативные бесконтактные платежные системы
Теперь компании могут разрабатывать решения, использующие технологию бесконтактных платежей (NFC) любым способом, обеспечивающим плавность и удобство, чтобы создавать альтернативные платежные системы tap-and-go, конкурирующие непосредственно с Apple Pay в ЕС. Для того чтобы воспользоваться этой возможностью и конкурировать с Apple Pay, компаниям необходимо получить соответствующие разрешения разработчика. Процесс получения разрешения позволяет Apple обеспечить следующее:
Разработчики будут платить за использование технологии NFC, на которую Apple потратила значительное время и ресурсы на ее создание.
Конкуренты, конечно же, должны иметь лицензию у соответствующих органов для предоставления платежных услуг в Европейской экономической зоне (European Economic Area, EEA).
Разработчики будут соблюдать основные дизайн-принципы Apple.
Если вы являетесь клиентом Workspace ONE и имеете опасения относительно альтернативных платежных систем, работающих на корпоративных устройствах, вы можете просто заблокировать загрузку приложений. С помощью функций mobile device management (MDM) вы также можете использовать профиль ограничений для удаления App Store. Чтобы скрыть отдельные приложения и предотвратить их запуск, вы можете использовать функцию Hide App в профиле Restrictions profile. Для получения дополнительных способов блокировки приложений на корпоративных устройствах с помощью Workspace ONE ознакомьтесь с руководством на Tech Zone.
Альтернативные магазины приложений
С момента появления iPhone миллионы пользователей iOS имели единственное место для загрузки приложений — App Store. Поэтому наиболее значимым изменением в iOS 17.4 является появление альтернативных маркетплейсов приложений, конкурирующих непосредственно с App Store в ЕС. Разработчики приложений также могут использовать альтернативных поставщиков платежных услуг (payment service providers, PSP), чтобы реализовывать покупки в приложениях или отправлять пользователей на сторонние веб-сайты для проведения транзакций. Конечно же, они также могут использовать собственную платежную систему Apple за 3% комиссии (стоимость процессинга).
Apple предупредила, что любые новые рынки или альтернативные методы оплаты могут принести риски в виде угроз конфиденциальности, безопасности и мошенничества, поскольку у Apple будет очень мало контроля над этими аспектами. Ограниченные законом DMA, Apple предпринимает меры для смягчения этих рисков.
Требования для разработчиков сторонних магазинов приложений
Теперь Apple предоставляет новые API, позволяющие сторонним разработчикам создавать и управлять собственными платформами распространения приложений (которые будут доступны для загрузки на их веб-сайтах). Каждому разработчику такого магазина необходимо получить соответствующее разрешение разработчика, через которое Apple будет обеспечивать соблюдение следующих определенных требований:
Маркировка, информирующая пользователей о том, что приложение, которое они загружают, использует платежную систему не от Apple
Уведомления в приложении, предупреждающие пользователей о том, что они собираются провести транзакцию, используя платежную систему не от Apple
Расширенная переносимость данных для пользователей, позволяющая им экспортировать данные о своем использовании приложений
Требования для разработчиков приложений
Помимо этих требований для разработчиков рынка, Apple также внедрила процесс сертификации для распространяемых ими приложений (исторически приложения, распространяемые через App Store, всегда проходили проверку со стороны Apple для обеспечения целостности). Она включает в себя набор автоматизированных и ручных проверок, разработанных как минимальное средство защиты от рисков безопасности и мошенничества. Apple также внедрила новые защиты, которые предотвращают запуск приложений, если они содержат вредоносное программное обеспечение. Однако для приложений, использующих альтернативную платежную систему, Apple предупреждает, что компания не сможет возвращать деньги и будет иметь ограниченные возможности по обслуживанию клиентов.
Теперь разработчики приложений также платят комиссию Apple, называемую Комиссией за базовую технологию (Core Technology Fee, CTF). CTF начинает действовать только после того, как приложение было загружено 1 миллион раз — так что для подавляющего большинства приложений она никогда не будет актуальной. Однако в редких ситуациях это может стать накладным для разработчика. Apple предоставила удобный калькулятор комиссий, чтобы помочь разработчикам быстро понять стоимость своего приложения на альтернативном маркетплейсе.
Важные аспекты для клиентов Workspace ONE
Если у клиентов Workspace ONE возникают опасения относительно альтернативных магазинов приложений на корпоративных устройствах, Apple ввела новый ключ ограничений (Restrictions key), доступный для блокировки их запуска на контролируемых устройствах. Этот ключ будет поддерживаться в следующем релизе продукта Workspace ONE Unified Endpoint Management (UEM). Тем не менее, вы также можете легко реализовать это ограничение как Custom Settings profile, используя следующий XML:
Для получения дополнительной информации о том, как VMware реализует новые ключи профиля, ознакомьтесь вот с этим постом в блоге компании.
Также профиль ограничений можно использовать для удаления подозрительных приложений с контролируемых устройств с помощью функции Hide Apps. Для получения дополнительной информации о способах блокировки приложений на корпоративных устройствах с помощью Workspace ONE ознакомьтесь с обучающим руководством на Tech Zone.
Браузерные приложения и альтернативные браузерные движки в ЕС
iOS 17.4 вводит новый, удобный для пользователей опыт выбора браузера по умолчанию. При первом запуске Safari на устройстве с iOS 17.4 пользователи будут приглашены выбрать свой браузер по умолчанию из списка основных браузерных приложений, доступных на рынке. Apple также позволяет разработчикам приложений внедрять альтернативные браузерные движки в свои приложения, не требуя больше использования WebKit. Для использования альтернативного браузерного движка требуется специальное разрешение разработчика, а также соблюдение расширенных требований безопасности.
Управление приложениями по умолчанию и расширенная совместимость
Кроме перечисленного, Apple позволяет пользователям устанавливать магазины приложений по умолчанию и приложения для бесконтактных платежей по умолчанию. Кроме того, Apple также открыла доступ к более чем 250 000 API-интерфейсам разработчиков для предоставления сторонним приложениям доступа к основным технологиям платформы, таким как Bluetooth-радио, камера и микрофон устройства. Форма запроса на совместимость должна быть заполнена и утверждена Apple для доступа к этому расширенному API.
Возможны дополнительные изменения
На данный момент Apple представила эти изменения в еврокомиссию в качестве своего ответа на поставленные вопросы. ЕК оценивает предложения и собирает обратную связь от заинтересованных сторон. Конечные решения, которые будут реализованы, могут отличаться от того, что здесь описано.
Android 14, выпущенный в октябре прошлого года, получил ряд улучшений в области работы функций Android Enterprise. В этой версии ОС появились новые возможности для лучшей защиты устройств в корпоративной среде и улучшения пользовательского интерфейса рабочего профиля. Также в Android 14 была добавлена поддержка управления финансируемыми устройствами (financed devices). Сегодня мы поговорим о том, какие нововведения появились в работе клиентов VMware Workspace ONE на Android 14 (также посмотрите нашу статью об управлении такими устройствами через интерфейс AMAPI).
Функции безопасности
Android 14 представляет несколько новых возможностей, которые организации могут использовать для лучшей защиты своих устройств и обеспечения соответствия их корпоративным политикам. Первая из них - возможность блокировать использование устройствами сотовых сетей 2G. Сети 2G имеют ряд известных уязвимостей и используют слабое шифрование по современным меркам. Android 14 также позволяет организациям отключать сверхширокополосные (UWB) сети, которые становятся популярными для определения местоположения удаленных устройств и для разблокировки умных автомобилей и домов.
Со стороны приложений Android 14 позволяет администраторам устанавливать список разрешенных программ в личном профиле, которые могут получать доступ к рабочим контактам. Администраторы также могут предотвратить незащищенное использование корпоративных учетных данных, указав, каким приложениям для управления учетными данными разрешается использование API Android Credential Manager.
Улучшения пользовательского интерфейса рабочего профиля
Android 14 вносит ряд улучшений пользовательского интерфейса в сам рабочий профиль. По запросам пользователей, снимки экрана рабочих приложений больше не будут автоматически сохраняться в личном профиле — теперь они будут храниться в рабочем. Также улучшено обнаружение рабочих приложений. Android 14 также улучшает опыт шаринга экрана, позволяя пользователям делиться определенными приложениями в рабочем профиле.
Android 14 также лучше определяет, какое приложение должно открывать ссылку. В предыдущих версиях Android, если пользователь открывал ссылку на нативное приложение, например Google Maps, и это приложение было установлено только в личном профиле, ссылка вместо этого автоматически открывалась в браузере рабочего профиля. Теперь с Android 14 пользователи сначала будут спрашивать, хотят ли они открыть ссылку в нативном приложении в личном профиле, а не автоматически предлагать худший опыт, открывая в браузере. Однако пользователи все равно будут иметь возможность открыть ссылку в рабочем браузере.
Поддержка финансируемых устройств
Исторически некоторые финансируемые устройства Android не поддерживали решения для управления устройствами, такие как Workspace ONE Unified Endpoint Management (UEM). Это происходит, когда финансирующая сторона устанавливает на устройство приложение, например, Google Device Lock Controller. Эти приложения, также называемые агентами финансовых киосков, используют те же API управления устройствами, что и решения типа Workspace ONE UEM. Это позволяет финансирующим сторонам блокировать устройства и легче их выводить из эксплуатации. Именно из-за использования агентами финансовых киосков API управления устройствами решения типа Workspace ONE UEM не могли перенимать управление устройством.
В Android 14 это изменилось - теперь можно нескольким приложениям выступать в роли агентов управления на одном устройстве. Когда решение UEM и другое приложение применяют противоречивые политики, Android 14 применяет наиболее строгий вариант. Таким образом, агент финансового киоска не сможет убрать ограничения, примененные Workspace ONE UEM.
Обнаруживать, является ли устройство финансируемым
Видеть, какие политики применили другие агенты управления устройствами
Быть уведомленными об изменениях этих политик.
Еще несколько функций и изменений в поведении приложений, введенных с Android 14
Во время настройки устройства, принадлежащего компании, экран устройства теперь будет оставаться включенным. Это была необязательная конфигурация, введенная в Android 13, и теперь это поведение по умолчанию.
Появилось несколько улучшений специальных возможностей, включая улучшенное увеличение, нелинейное масштабирование размера шрифта, флэш-уведомления и улучшения для слуховых аппаратов.
Настройки рабочих приложений обнаруживаются при поиске в разделе Settings.
Workspace ONE UEM имеет поддержку управления устройствами Android 14 в решении Intelligent Hub 23.07. Для получения дополнительной информации о специфических изменениях для предприятий в Android 14, вы можете прочитать статью "Getting Ready for Android 14".
На конференции Explore 2023 сотрудники VMware подробно рассказали о следующем этапе развития управления Android-устройствами - Android Management API (AMAPI). Недавно бета-версия AMAPI стала доступна для пользователей. Она поддерживает управление Android-устройствами, зарегистрированными в режиме рабочего профиля, который используется для рабочих или личных устройств.
AMAPI - это новый подход к управлению Android-устройствами уровня предприятия. AMAPI является частью Android — он встроен в ОС и разработан Google. Это открывает возможности, которые недоступны в текущем подходе к управлению платформой Android Enterprise, который называется Custom Device Policy Controller (DPC). Примером функции, доступной только в AMAPI, является недавно введенный режим потерянного устройства (Corporate Owned Personally Enabled, COPE). Вот три основных преимущества AMAPI:
Простота: Workspace ONE Unified Endpoint Management (UEM) создает желаемое состояние устройства и передает его AMAPI, который применяет его. Это упрощает процесс поддержки новых функций Android в консоли Workspace ONE UEM.
Нативность: AMAPI является частью Android и обновляется и поддерживается Google. Следовательно, лучшие практики управления устройствами встроены в AMAPI компанией Google, и это общий стек, используемый в экосистеме Android.
Возможности: AMAPI имеет дополнительные средства, чтобы гарантировать, что политики применяются к устройствам. Например, AMAPI может обеспечивать минимальные требования к сложности пароля на личных устройствах.
В чем разница между AMAPI и Custom DPC?
Сегодня Workspace ONE UEM использует подход к Android Enterprise, называемый Custom DPC. С Custom DPC решение Workspace ONE UEM распределяет политики, внутренние приложения и многое другое на Workspace ONE Intelligent Hub, который действует как основное управляющее приложение устройства или рабочего профиля. Intelligent Hub применяет эти ресурсы к устройству и возвращает информацию об устройстве в Workspace ONE UEM.
Публичные приложения — это приложения, опубликованные в управляемом Google Play Store. Для распространения и доставки публичных приложений на устройства Workspace ONE UEM использует Google Play EMM API.
Теперь давайте рассмотрим AMAPI. С AMAPI решение Workspace ONE UEM передает желаемое состояние устройства в AMAPI. Аналогично Custom DPC это определяет, какие публичные приложения AMAPI должен установить на устройство. Workspace ONE также передает, какие управляющие политики — требования к паролям, сертификаты, настройки разрешений для приложений — AMAPI должен применить. В свою очередь, AMAPI передает политики клиенту Android Device Policy (ADP), который применяет их к устройству. В AMAPI именно ADP, встроенный компонент Android, выступает в качестве основного управляющего приложения на устройстве. ADP работает на всех Android-устройствах с GMS на Android 5.1+. Обратите внимание, что Workspace ONE UEM сам определяет минимальные поддерживаемые версии ОС.
Помимо применения управляющих политик, ADP также передает информацию о состоянии устройства в AMAPI, который, в свою очередь, передает эту информацию в Workspace ONE UEM через Google Pub/Sub.
Workspace ONE Intelligent Hub остается ключевым компонентом для управления устройствами. Он обрабатывает распространение сертификатов и внутренних приложений и позволяет использовать уникальные функции, такие как предоставление продуктов и Freestyle Orchestrator. Intelligent Hub также является не только управляющим клиентом. Он предоставляет унифицированный каталог приложений VMware, пакет Mobile Threat Defense SDK, интеграцию с Intelligence для продвинутой аналитики и многое другое. Именно поэтому Intelligent Hub присутствует на всех устройствах, которыми управляются с помощью AMAPI.
AMAPI вносит несколько изменений в опыт работы администратора и конечного пользователя устройства.
В качестве администратора вы увидите два основных обновления в консоли Workspace ONE UEM:
При создании профилей Android теперь вы будете выбирать, создавать ли профили для Custom DPC или для AMAPI.
Теперь вы можете выбрать, будут ли новые устройства, регистрирующиеся в Workspace ONE UEM, управляться с использованием Custom DPC или AMAPI. Это может быть установлено по режиму (Рабочий профиль, COPE или полностью управляемый) и по организационной группе.
В качестве конечного пользователя устройства:
Помимо начала регистрации через Intelligent Hub, теперь вы можете начать регистрацию своих личных устройств, запустив URL регистрации AMAPI. Этот URL регистрации предоставляется администратором UEM и может распространяться через QR-код, текст, электронную почту, внутренний сайт или другими способами.
Когда вы устанавливаете политику, требующую взаимодействия конечного пользователя, AMAPI предпримет действия, чтобы удостовериться, что требования политики соблюдаются. Например, когда вы устанавливаете минимальные требования к паролю устройства через профили, AMAPI приостановит управляемые приложения до тех пор, пока пароль устройства не соответствует требованиям политики. AMAPI также направляет конечного пользователя на установку пароля, соответствующего политике.
AMAPI представляет будущее управления устройствами Android и добавляет много преимуществ, включая уникальные функции. VMware рекомендует организациям ознакомиться с AMAPI и применять его в соответствии с их требованиями.
Управляется ли устройство с помощью Custom DPC или AMAPI, изначально нужно будет решить в момент регистрации устройства. Организации смогут внедрить подход "ограничить и развивать" при использовании AMAPI. Не воздействуя на зарегистрированные устройства, управляемые с помощью Custom DPC, организации могут настроить Workspace ONE UEM для использования AMAPI для регистрации новых устройств. Организации могут включить AMAPI для новых регистраций для отдельных режимов управления (рабочий профиль, COPE или полностью управляемый), а также только для конкретных организационных групп.
В будущем будет предусмотрена поддержка миграции устройств с Custom DPC на AMAPI без необходимости повторной регистрации. Такая миграция будет поддерживаться для всех режимов — рабочего профиля, COPE и полностью управляемого.
Бета-версия AMAPI доступна уже сегодня. На текущий момент она поддерживает управление устройствами в режиме рабочего профиля, который используется для управления личными устройствами пользователей (BYOD). По мере развития бета-версии будет добавлена поддержка режима COPE и, позднее, режима полного управления. Для получения дополнительной информации о различных режимах управления Android Enterprise вы можете посмотреть документ "Operational Tutorial for Managing Android Devices".
Аналогично, поддержка режима рабочего профиля в AMAPI будет доступна в производственных средах в первую очередь, затем последует COPE и, в конце концов, режимы полного управления.
На сайте проекта VMware Labs обновилась полезная адмнистраторам инфраструктуры виртуальных ПК утилита Forklift for Workspace ONE UEM до версии 3.0.3 (ранее она называлась Workspace ONE UEM Workload Migration Tool).
Forklift for Workspace ONE UEM позволяет провести бесшовную миграцию конфигураций приложений и устройств между различными окружениями Workspace One UEM (например, тестовой средой и производственной). Ее возможности включают в себя:
Миграцию приложений, профилей, сенсоров (Sensors), скриптов объектов Windows 10 Baselines Continuous Delivery pipelines как часть решения для создания/обновления и апгрейда ресурсов из сред разработчиков в производственные среды.
Шаблоны экспортируемых/импортируемых ресурсов в виде контейнеров для быстрого их развертывания в среде UEM.
Forklift for Workspace ONE UEM представляет собой набор из двух связанных контейнеров, вспомогательные скрипты для их запуска, а также Docker Compose file, чтобы обеспечивать связь этих контейнеров.
Давайте посмотрим, что нового появилось в версиях 3.0.1-3.0.3:
Исправлена миграция профилей для cert profiles
Добавлена поддержка профилей для Linux
Добавлена поддержка Docker-образов для Mac M1
Исправлена проблема с миграцией базовых уровней (baselines)
Улучшена обработка ошибок и система сообщений
Исправлены различные баги
Скачать VMware Forklift for Workspace ONE UEM можно по этой ссылке.
На днях компания VMware анонсировала портал Workspace ONE Marketplace, который содержит различные полезные инструменты для администраторов виртуальной инфраструктуры, такие как шаблоны, сценарии, готовые решения и другие нужные ресурсы. Сам портал пока недоступен, но VMware обещает запустить его в самом ближайшем будущем.
Все эти полезные вещи можно будет применять для линейки решений, входящих в состав концепции Anywhere Workspace. В основном опубликованные материалы и ресурсы касаются решения для управления пользовательскими окружениями Workspace ONE Unified Endpoint Management, который обеспечивает функционирование VDI-инфраструктуры на платформе VMware Horizon.
Работа с порталом начинается со страницы Explore:
Далее портал разделяется на 3 основных секции:
1. Решения
Эта страница описывает унификацированный набор дэшбордов, инсайтов и рабочих процессов, которые решают бизнес-задачи пользователей по доставке рабочих столов и управления инфраструктурой безопасности.
Ранее часть из этих ресурсов была доступна как часть программы Workspace ONE Intelligence. Страница Solutions теперь содержит еще больше контента для создания кастомных решений, там же находятся и обучающие видео, а также ссылки на релевантные блоги, статьи Tech Zone, документацию и Release Notes. Этот контент будет динамически обновляться.
Также есть и специальный раздел по управлению пользовательским опытом (Experience Management):
2. Шаблоны
В разделе Templates собрано множество шаблонов, помогающих в разрезе специфических бизнес-задач. Тут есть 3 основных раздела:
Widget templates - популярных виджеты для создания кастомных дэшбордов (например, список пользователей с наиболее активными устройствами или разбивка андроид-устройств по износу батареи, сгруппированная по организациям).
Report templates - популярные отчеты, которые можно сгенерировать по клику, такие как емкость хранилищ, устройства Windows с уязвимостями или андроид-устройства с нужным уровнем патчей безопасности.
Workflow templates - это рабочие процессы для автоматизации типичных ИТ-операций, которые можно изменять в части специфики, касающейся конкретного окружения.
3. Интеграции
Этот раздел еще не готов, но он будет содержать сторонние коннекторы, которые будут расширять возможности экосистемы решения Workspace ONE. Например, тут будут интеграции с решениями Slack или ServiceNow, обеспечивающие расширенные возможности инфраструктуры пользовательских окружений.
В самом начале тут будут размещены шаблоны дэшбордов и виджетов, которые обеспечивают визуализацию релевантных данных на уровне централизованной консоли, а также сенсоры и скрипты, которые будут позволяет исправлять найденные ошибки в конфигурациях для комплекса развернутых виртуальных рабочих столов.
Если у вас есть предложения по содержанию портала Workspace ONE Marketplace, вы можете оставить их здесь.
На сайте проекта VMware Labs появилась очередная полезная утилита - Rollcall. Она предназначена для развертывания пользователей и групп из сред Google Workspace и Azure Active Directory в инфраструктуру Workspace ONE Access. До этого момента не было прямого способа синхронизировать пользователей и группы из облачных директорий, таких как Google и Azure.
Rollcall соединяется с вашим каталогом Cloud Directory, получает информацию о пользователях и группах и транслирует эти данные в формат спецификации SCIM 1.1. Далее эти данные используются для их применения в инфраструктуру пользователей и групп Workspace ONE Access. После этого можно интегрировать Cloud Identity Provider как стороннего провайдера IDP в среду ONE Access для аутентификации пользователей без необходимости дополнительной синхронизации или использования сторонних коннекторов.
Rollcall состоит из двух компонентов:
Rollcall API Server - это приложение, которое можно запустить на любой системе, где установлен NodeJS, и есть доступ в интернет.
Rollcall Manager - это фронтэнд в виде графического интерфейса для управления настройками пользователей и групп, которые должны быть синхронизированы между Cloud User Directory и Workspace ONE Access. Эта консоль доступна для Windows и macOS.
На днях компания VMware объявила о том, что теперь в решении Workspace ONE Assist поддерживаются устройства на базе iOS и Android, которые не включены в инфраструктуру MDM (mobile device management). Напомним, что ONE Assist позволяет осуществлять удаленную поддержку пользователей (в облаке и собственном датацентре) с помощью встроенного в решение инструментария для совместной работы - утилиты для запроса прав у пользователя, выделения областей экрана, записи сессии и многого другого.
С помощью Workspace ONE Intelligent Hub сотрудники технической поддержки могут запустить сессию решения проблем с пользовательским устройством. Это дает дополнительные возможности поддержки для частных устройств пользователей, а также телефонов и планшетов контрактных работников, которым не требуется покупать оборудование за счет компании.
Напомним, что в рамках концепции digital employee experience (DEX) с помощью решения Workspace ONE Assist
вы сможете реализовать следующие функции на пользовательских устройствах:
Запустить удаленные сессии с установленным Workspace ONE Intelligent Hub в течение нескольких секунд из консоли Workspace ONE.
Просматривать и управлять устройствами в реальном времени, включая задачи по решению аппаратных и программных проблем, настройке сети, управление приложениями и многое другое.
Использовать функций рисования на экране Screen Draw для коммуникации с пользователем и проведения его через процесс онбординга.
Оповещать пользователя о том, что его экран видим администратору, а также возможность прервать сессию со стороны пользователя в любой момент для соблюдения его приватности.
Предоставлять безопасный доступ и разделение окружений для пользователей, которые передают свои устройства другим в рамках рабочих смен.
Записывать скриншоты и видео удаленных сессий для целей обучения и расширенной поддержки.
Больше подробностей о решении Workspace ONE Assist
можно получить на этой странице.
Компания VMware на сайте проекта VMware Labs выпустила обновление своего средства Workspace ONE ConQuest 1.2, предназначенного для настройки устройства Meta Quest 2 VR (Firmware v37+) в целях использования с решением VMware Workspace ONE UEM.
С помощью ConQuest, представляющим собой Windows-приложение, администраторы могут запустить его службы на устройстве Meta Quest 2 в режиме разработчика и подсоединить его к Windows-машине через USB-C. Далее будет установлено приложение Workspace ONE Intelligent Hub App под владельцем устройства, затем можно добавить его в Workspace ONE UEM. Пользователь может ввести детали устройства для включения его в инфраструктуру, после чего оно переходит под управление UEM.
Новые возможности Workspace ONE ConQuest 1.2:
Добавлена поддержка ввода учетных записей при массовом добавлении устройств со стороны UEM
Поддержка файла credentials.xml
Поддержка добавления устройств через credentials.bin
Возможность создания пакета staging package в виде zip-файла
Скачать Workspace ONE ConQuest 1.2 можно по этой ссылке.
Компания VMware выпустила большое руководство и серию обучающих видео, посвященных инфраструктуре доставки облачных пользовательских окружений - Evaluation Guide: Setting Up Cloud-Based VMware Workspace ONE. Эта версия материалов по различным практическим аспектам семейства продуктов для поддержки пользовательских сред построена на базе большой статьи Quick-Start Tutorial for Cloud-Based Workspace ONE, выпущенной еще в 2018 году.
Данный обучающий курс построен в виде готовых «рецептов», практических задач и руководств, которые позволят быстро построить инфраструктуру Workspace ONE в соответствии с лучшими практиками и использовать ее на ежедневной основе. Этот документ занимает всего 32 страницы вместо прошлых 100, поэтому информация подается более лаконично и концентрированно.
Плейлист со всеми обучающими видео доступен по этой ссылке.
Скоро также выйдет и вторая часть руководства, посвященная задачам развертывания и управления приложениями, подключению новых устройств и пользователей, а также всем тем Day-2 операциям, которые приходится выполнять администраторам решения VMware Workspace ONE.
Аналитическая компания IDC недавно опубликовала 3 интересных документа, отражающих исследования рынка программного обеспечения в области управления оконечными устройствами на базе различных программно-аппаратных платформ.
Первое исследование - "MarketScape Worldwide Unified Endpoint Management Software" - посвящено решениям для управления пользовательскими средами и устройствами Unified Endpoint Management (UEM) на основе унифицированного подхода. Тут VMware занимает сильную позицию в квадранте лидеров:
Напомним, что у VMware данный аспект управления виртуальной и физической ИТ-средой реализуется продуктом Dynamic Environment Manager (DEM). Он предназначен для настройки и контроля пользовательских окружений на уровне ОС средствами политик (ранее он назывался VMware User Environment Manager, UEM). Этот продукт входит в семейство решений VMware Workspace ONE, которое получило новые возможности по управлению пользовательскими средами (включая мобильные устройства) после покупки компании AirWatch в 2014 году.
Второе исследование IDC - "Worldwide Unified Endpoint Management Software for Ruggedized/Internet of Things Device Deployments 2022" рассказывает о не только о решениях на базе стандартных пользовательских устройств, таких как компьютеры, ноутбуки, телефоны и планшеты, но и о продуктах и технологиях для управления промышленными системами, такими как медицинское оборудование, производственные IoT-устройства и различные платформы отдельных вертикалей, таких как логистика, общественная безопасность, строительство и прочие. Например, посмотрите наши заметки о решениях Workspace ONE ConQuest, XR Hub или Freestyle Orchestrator.
В третьем исследовании - MarketScape for UEM Software for Apple Devices 2022 - рассказывается о сложной для всех крупных предприятий теме - управлении устройствами Apple, которые, как известно, не всегда просто интегрировать в корпоративную инфраструктуру, а сотрудники широко ими пользуются, совмещая личное и рабочее окружение.
Тут VMware также в числе лидеров (забавно, что названия главного игрока, компании Jamf, на картинке не различить):
Тут VMware также имеет инструменты для управления устройствами на базе macOS и iOS, которые входят в состав решения Workspace ONE еще со времен покупки компании AirWatch. Еще здесь можно выделить некоторые новые инструменты, такие как Workspace ONE Mobile Threat Defense, Mobileconfig Importer и App Analyzer for macOS.
Таги: VMware, IDC, Whitepaper, AirWatch, Workspace ONE, DEM
Компания VMware на днях анонсировала новый продукт из линейки Workspace ONE - Mobile Threat Defense. Это решение дополняет существующие средства по защите пользовательских окружений в части мобильных приложений на платформах Android, iOS и Chrome OS. Уже сегодня этот продукт доступен для пользователей и имеет интеграцию с решением Workspace ONE Intelligent Hub и UEM.
За счет интеграции с Intelligent Hub не требуется установки каких-то новых приложений или сервисов на пользовательские устройства. Администратору требуется лишь включить функции ONE Mobile Threat Defense в настройках, и данное решение автоматически будет развернуто на мобильных устройствах.
Основные возможности по защите мобильных пользовательских сред:
1. Средства защиты мобильных устройств
От атак типа SSL certificate stripping
От слабых алгоритмов (weaker algorithm negotiation)
От сканеров портов
От spyware и surveillance ware
От sideloaded apps
2. Механизмы обработки вредоносного контента и фишинговых угроз
В почте, SMS, мессенжерах и социальных приложениях
Выстраивание цикла обновления ОС и накатывания патчей
Решение проблем с устаревшими и давно не обновляемыми приложениями
4. Управление конфигурациями
Отслеживание Jailbreak / root access
Управление механизмом Wi-Fi auto join
Выявление приложений, которые негативно влияют на пользовательское окружение и устройство
Более подробно о решении Workspace ONE Mobile Threat Defense можно узнать на этой странице (там же есть и небольшое видео о продукте). Документация доступна тут.
На днях компания VMware опубликовала отчет по уязвимостям VMSA-2022-0014, которые были обнаружены в решениях Workspace ONE Access, VMware Identity Manager (vIDM), vRealize Lifecycle Manager, vRealize Automation и VMware Cloud Foundation. Напомним также, что vIDM является компонентом таких продуктов, как NSX vRealize Operations, vRealize Log Insight и vRealize Network Insight. Это критическая уязвимость, которая позволяет обойти процедуры аутентификации пользователя и повысить привилегии в соответствующем продукте.
Обход аутентификации означает, что злоумышленник, который имеет доступ только к сети, в которой работает одно из перечисленных решений, может потенциально получить административный доступ к ним. То есть, уязвимость очень важная и опасная, уровня "emergency" в терминологии ITIL.
Основная информация о том, как закрыть эти дыры, приведена по следующим двум ссылкам:
На сайте проекта VMware Labs появилась очередная новая утилита - Workspace ONE ConQuest. Это средство позволяет сконфигурировать устройства Meta Quest 2 VR (Firmware v37+) для использования с решением VMware Workspace ONE UEM.
С помощью ConQuest, представляющим собой Windows-приложение, администраторы могут запустить его службы на устройстве Meta Quest 2 в режиме разработчика и подсоединить его к Windows-машине через USB-C. Далее будет установлено приложение Workspace ONE Intelligent Hub App под владельцем устройства, затем можно добавить его в Workspace ONE UEM. Пользователь может ввести детали устройства для включения его в инфраструктуру, после чего оно переходит под управление UEM.
Есть 2 версии утилиты ConQuest - ConQuestApp, которое запускается как десктопное приложение, и ConQuestConsole, реализующее сервис через командную строку. Обе они выполняют одинаковые действия на устройствах.
Надо помнить, что данную утилиту нельзя использовать на устройствах Oculus for Business и Quest for Business.
Скачать Workspace ONE ConQuest можно по этой ссылке.
В прошлом году на VMworld 2021 компания VMware представила обновление продукта Workspace ONE Intelligence, который предназначен для для анализа поведения пользователей и устройств и выдачи рекомендации администраторам ИТ-инфраструктуры по применению тех или иных действий. На вход этого движка подаются данные об использовании устройств, приложений и данных пользователей, затем они агрегируются, анализируются, а потом для администраторов генерируются некоторые рекомендации и правила, которые можно применить для повышения эффективности инфраструктуры виртуальных ПК и приложений.
Тогда мы рассказали о новых возможностях этого продукта, а сегодня вкратце расскажем о том, какие основные его функции позволяют повысить безопасность пользовательской среды в рамках концепции Zero Trust Security, то есть когда никакие из систем предприятия по умолчанию не считаются 100% защищенными.
1. Мониторинг и отслеживание аномалий
Workspace ONE Intelligence позволяет пользователям отслеживать изменения метрик в их окружениях, касающихся аномалий в производительности и безопасности, а также проактивно корректировать их с помощью созданных сценариев автоматизации. На картинке ниже представлена временная картинка с трендами рисков, где администратор может погрузиться в отдельную систему для их детального понимания:
2. Доверенная экосистема (Trust Network)
В дополнение к данным окружения платформы Workspace ONE (включая Workspace ONE UEM и Workspace ONE Access), данные могут быть дополнены средствами внешних систем, входящих в доверенную экосистему Trust Network.
Например, вы можете подключить систему VMware Carbon Black, которая также может встроиться в окружение Workspace ONE. Например, вот два виджета, которые отображают Threat Count и Threat Type от Carbon Black в консоли Workspace ONE Intelligence:
3. Автоматизации для работы с данными об угрозах
Вы можете настроить различные автоматизации для действий в ситуации наступления определенных угроз. К примеру, если решение Carbon Black обнаружило какое вредоносное ПО в системе, например, ransomware, то система может быть помещена на карантин, а в Slack будет отправлено сообщение, оповещающее о проблеме. Затем будет создан тикет в ServiceNow, а Workspace ONE UEM протэгирует опасный объект и поместит его на карантин:
4. Аналитика рисков устройств и пользователей
Для дальнейших исследований аномалий в рамках экосистемы инфраструктуры виртуализации система может сделать скоринг рисков для устройств и пользователей на базе датасета, имеющегося в Workspace ONE. Вот так это выглядит:
Более подробно об этих всех возможностях можно почитать в документации.
Еще на конференции VMworld 2020 компания VMware представила новый продукт Freestyle Orchestrator, который дополняет и расширяет возможности UEM (Unified Endpoint Management), являющегося частью платформы по работе с пользовательскими окружениями Workspace ONE. VMware Freestyle Orchestrator - это полностью новый способ развертывания и конфигурирования рабочих станций на базе...
На сайте проекта VMware Labs появилась очередное полезное Enterprise-администраторам средство - Workspace ONE Policy Analyzer for Windows. Это утилита командной строки, которая позволяет просматривать статус профилей и бейслайнов, назначенных отдельному устройству на базе Windows 10, используя Workspace ONE UEM API.
Данное средство генерирует отчет в формате HTML, который содержит все назначенные политики и бейслайны, а также подсвечивает потенциальные конфликты между ними на уровне данного устройства. Также отдельно выводятся "чистые" политики и бейслайны, которые не содержат конфликтов. В итоге, администратор может использовать эту информацию, чтобы корректно настроить политики для нужных устройств.
Утилита имеет 2 опции запуска из командной стройки:
analyze – анализирует политики конкретного устройства (вам нужен UDID устройства, который можно найти в консоли UEM)
list-devices - выводит список устройств для заданного пользователя в виде отчета разбитого по вкладкам
Пользователь, запускающий утилиту должен иметь следующие разрешения в Workspace ONE UEM:
API/Devices/REST API Devices Read
API/Groups/REST API Groups Read
API/Profiles/Updates Policy Read access
API/Profiles/Rest API Profiles Read
Device Management/Baselines/View Baselines
Groups/View/Organization Group
Groups/View/Organization Group List View
Скачать утилиту Workspace ONE Policy Analyzer for Windows можно по этой ссылке.
Во время онлайн-конференции VMworld 2021 компания VMware, как и каждый год, рассказывала о новых продуктах и технологиях (см. наши статьи тут). Одним из неожиданно интересных анонсов стало объявление о доступности бета-версии платформы в виртуальной реальности Workspace ONE XR Hub. Эта платформа позволяет проводить обучение в VR-среде по продуктам инфраструктуры VMware, а также полноценно работать в этой среде в ее продуктах.
Интересно, что уже появляются сообщения о том, что некоторые разработчики проводят по несколько часов в день в VR с множеством виртуальных мониторов, хотя пока это кажется какой-то большой экзотикой. Вот так это выглядит от VMware для пользователей и администраторов:
Платформа XR Hub полностью поддерживает решение Workspace ONE Access для аутентификации пользователей и Workspace ONE UEM для расширенного управления конечными устройствами.
На данный момент там реализованы следующие возможности:
Поддержка нескольких VR-платформ (Pico, Oculus, HTC)
Кастомизируемый режим Kiosk mode
Защищенная процедура логина в корпоративную учетную запись через Workspace ONE Access
Многофакторная аутентификация, условный доступ и single sign-on (через компонент Workspace ONE Tunnel)
Check-in/check-out общих устройств через интеграцию с Workspace ONE UEM
Унифицированный каталог приложений в VR
Возможность запуска нативных VR-приложений и контента
Единый доступ (SSO) в службы Web, SaaS и VDI (службы VMware Horizon)
Кастомизация самого XR Hub и возможность создать свой туториал для пользователей
Также VMware продолжает тестировать последние VR-устройства для службы Workspace ONE Assist (техподдержка в реальном времени). Этими устройствами можно управлять через платформу Android Enterprise, а также Workspace ONE для устройств Work Managed AOSP.
На данный момент платформа XR Hub поддерживает следующие модели устройств:
HTC Vive Focus Plus
Pico Neo 2
Pico Neo 2 Eye
Pico Neo 3 – но официально пока Workspace ONE UEM не поддерживается
Pico G2 4K
Oculus Quest 2 (Oculus for Business, firmware version 28) – пока еще официально не поддерживаеся для Workspace ONE UEM
Вот эти два типа устройств еще не поддерживаются, но планируется их добавить в самое ближайшее время:
HTC VIVE Focus 3 – также не поддерживается для Workspace ONE UEM
Microsoft Windows-совместимые VR-устройства
Для пользователей можно сделать режим kiosk mode, в котором они увидят только те приложения и контент, которые вы настроите. Далее они запускают их в стиле point-and-click.
Пользователь может одновременно работать с несколькими типами приложений - Native VR приложения, веб-приложения WebXR, стриминговые CloudXR-приложения и другие поддерживаемые VR-технологии. Все эти окошки можно выравнивать, перемещать и изменять их размер:
Само виртуальное окружение поддерживает как 3DoF-устройства для картинки в 360-градусов (отслеживание только вращения головы), так 6DoF-устройства (отслеживание еще и перемещения) с поддержкой ходьбы по сцене. С точки зрения кастомизации, можно менять бэкграунд, офисное окружение и логотип компании (все ссылки на ассеты находятся в одном конфигурационном файле).
Управление платформой XR Hub и пользовательскими устройствами происходит централизованно через Workspace ONE UEM. Ну а с помощью Workspace ONE Access можно полностью удаленно управлять всей инфраструктурой. Администратор с помощью Workspace ONE Assist может подключиться к очкам пользователя и видеть то же самое, что он.
Вчера мы начали рассказывать об анонсах завершающегося на этой неделе главного события года в области виртуализации VMware VMworld 2021 Online. Сегодня мы поговорим о новых возможностях Workspace ONE Intelligence - решения, предназначенного для анализа поведения пользователей и устройств и выдачи рекомендации администраторам ИТ-инфраструктуры по применению тех или иных действий. На вход этого движка подаются данные об использовании устройств, приложений и данных пользователей, затем они агрегируются, анализируются, а потом для администраторов генерируются некоторые рекомендации и правила, которые можно применить для повышения эффективности инфраструктуры виртуальных ПК и приложений. Ранее мы писали подробнее об этом тут и тут.
Основной новой возможностью продукта стала поддержка решения для виртуализации и доставки настольных ПК VMware Horizon. Давайте посмотрим, что нового там появилось в этом плане:
1. Расширенная аналитика, метрики и дэшборды
Workspace ONE Intelligence собирает данные из различных источников, включая продукты Workspace ONE UEM, Workspace ONE Access, сторонние системы и теперь VMware Horizon. С помощью средств расширенной аналитики можно отслеживать корреляцию метрик и получать инсайты из отчетов в различных формах. Теперь администраторы могут получить информацию о состоянии системы, потреблении ресурсов, метриках Horizon pods, пользовательских сессиях, использовании емкостей и многом другом.
2. Алерты и оповещения
В Workspace ONE Intelligence теперь можно настраивать кастомные алерты и получать оповещения через сторонние утилиты, такие как Slack, PagerDuty или электронная почта.
Также пользователи получат возможность использовать движок Anomaly Detection - возможность, которая была анонсирована на VMworld 2021. С помощью него автоматически рассчитываются отклонения от нормы по различным параметрам с использованием машинного обучения, после чего происходит идентификация аномалий и оповещение администраторов, когда параметр выпадает за рассчитанные пределы. Плюс здесь в том, что администратору не нужно самому определять эти границы и настраивать алерты вручную - ML-алгоритм сделает все сам.
3. Решение Digital Employee Experience Management (DEEM)
С помощью решения DEEM в платформе Workspace ONE Intelligence for Horizon можно мониторить основные KPI, которые влияют на пользовательский опыт, такие как продолжительность логина, использование CPU и памяти, задержки при обращении к диску (disk latency), производительность приложений, ошибки сессий и прочие сбои.
Это позволяет проактивно решать проблемы, обнаруживая их на ранней стадии, пока они не стали критичными и массовыми для пользователей.
4. Функции Fast remediation
В Workspace ONE Intelligence есть возможности не только аналитики, отчетности и визуализации, но и средства устранения проблем (remediation). С помощью недавно анонсированной возможности инцидентов ИТ-администраторы могут проводить поиск источников проблем (root cause analysis) с помощью контекстных дэшбордов и механизма рекомендаций, после чего использовать автоматический движок для устранения проблем и оповещения пользователей.
Более подробно о новых возможностях Workspace ONE Intelligence for Horizon вы можете узнать из следующих докладов VMworld 2021:
Компания VMware имеет очень долгую историю разработки продукта Horizon, который вырос на базе решения для виртуализации настольных ПК VMware View. Теперь это не только доставка виртуальных рабочих столов, но и виртуализация и доставка приложений, а также специальные средства для виртуализации пользовательских окружений и пользовательских профилей (настольных и мобильных), реализуемые с помощью еще одного решения VMware Workspace ONE Dynamic Environment Manager (DEM).
Сам же Workspace ONE - это большая экосистема продуктов для управления конфигурациями пользователей и их устройствами, которая включает в себя множество различных приложений и утилит. На днях VMware выпустила еще одну из них - Workspace ONE Assist for Horizon.
Это средство позволяет осуществлять удаленную поддержку пользователей (в облаке и собственном датацентре) с помощью встроенного в решение инструментария для совместной работы - утилиты для запроса прав у пользователя, выделения областей экрана, записи сессии и многого другого.
Основные возможности продукта:
Просмотр экрана и контроль средств управления в реальном времени
Запуск напрямую из Horizon Universal Console
Оповещение пользователей Horizon, когда их экран видит администратор, а также возможность остановить сессию со стороны пользователя
Подсветка экрана, средства рисования и выделения курсора мыши - Screen Draw
Возможность работы с различными клавиатурами, в том числе поддержка множества языков и раскладок
Исполнение команд PowerShell из командной строки
Доступ к хранилищу сертификатов
Автоматическое переподключение к сессии при перезагрузке десктопа пользователя или неполадках в сети
Возможность пригласить еще пользователей для просмотра сессии
Запись сессий для передачи проблемы другим лицам или в целях обучения
Также о главных функциях данного средства можно узнать из видео:
Более подробно узнать о VMware Workspace ONE Assist for Horizon можно на странице продукта. Он входит в состав решения Workspace ONE.
На сайте проекта VMware Labs обновилась интересная и полезная многим Enterprise-админстраторам утилита Forklift for Workspace ONE UEM (она же Workspace ONE UEM Workload Migration Tool) - ее третья версия вышла в начале мая. О первой версии этого средства мы писали еще два года назад вот тут.
Forklift for Workspace ONE UEM позволяет провести бесшовную миграцию конфигураций приложений и устройств между различными окружениями Workspace One UEM (например, тестовой средой и производственной). Ее возможности включают в себя:
Миграцию приложений, профилей, сенсоров (Sensors), скриптов объектов Windows 10 Baselines Continuous Delivery pipelines как часть решения для создания/обновления и апгрейда ресурсов из сред разработчиков в производственные среды.
Шаблоны экспортируемых/импортируемых ресурсов в виде контейнеров для быстрого их развертывания в среде UEM.
Forklift for Workspace ONE UEM представляет собой набор из двух связанных контейнеров, вспомогательные скрипты для их запуска, а также Docker Compose file, чтобы обеспечивать связь этих контейнеров.
Что появилось нового в третьей версии:
Поддержка более чем одного окружения (исходного и целевого)
Поддержка MST и иконок для миграции приложений Windows 10
Поддержка приложений размером более 2 ГБ
Поддержка сенсоров и сценариев при миграции
Поддержка объектов Continuous Delivery Pipelines
Скачать VMware Forklift for Workspace ONE UEM можно по этой ссылке.
Компания VMware какое-то время назад добавила возможность Managed Guest Sessions для операционной системы Chrome OS в своем решении Workspace ONE UEM Console (версия 2102 и выше). Эта опция позволяет гибко управлять общими устройствами на базе Chrome OS с точки зрения сессий пользователей.
Эта концепция была доступна и ранее, но для одного приложения в виде single-app kiosk profile, что позволяло путем применения политики залочить десктоп на одно приложение для публичного десктопа, которое могут использовать несколько пользователей.
С помощью нового механизма Managed Guest Sessions можно выделять отдельному пользователю сессию с необходимым доступом к приложениям и другим ресурсам. Теперь администратор может гранулярно настроить права доступа и политики для таких сессий, что значительно расширяет варианты использования решения Workspace ONE для публичных десктопов: например, библиотеки, тренировочные центры, торговые залы и многое другое.
При этом пользователю не нужно вводить свои учетные данные Google и беспокоиться о них - работа происходит в режиме гостя. Пользователь имеет доступ к назначенным администратором приложениям, ресурсам, закладкам и прочему. После выхода пользователя из системы - десктоп готов принимать чистые новые сессии.
В консоли Workspace ONE UEM можно настроить управление сессиями. Вот какие настройки можно делать:
Managed Guest Session Name – отображение настраиваемого имени сессии на устройстве.
Browser Settings – администратор может настроить домашнюю страницу, закладки, а также открывать вкладки при логине в систему.
Security and Privacy - здесь можно включить Safe Browsing, а также создавать allow- и deny- списки для большего контроля над активностью пользователей. Также можно включить Incognito Mode для всех пользователей в целях обеспечения приватности.
Application Control – здесь можно настроить приложения и экстеншены, которые будут доступны в рамках сессии на данном устройстве. Также можно использовать allowed и blocked списки приложений.
Session Length – максимальное время, в течение которого пользователь может находиться в своей сессии, перед тем, как его принудительно разлогинит.
Вот как выглядит управление этими настройками:
Все это дает большие возможности для следующих вариантов использования:
Ритейл - общие устройства могут использоваться как клиентами, так и сотрудниками торговых точек. Также это подойдет в целях обучения.
Офисные работники - если, например, работник забыл свой ноутбук, он может безопасно залогиниться в свое временное окружение в течение дня.
Бизнес-центры - ограничение по времени использования будет большим плюсом для использования общих десктопов в общественных местах, таких как БЦ и отели, библиотеки, киберкафе, где дают устройства в аренду.
За последние дни на сайте проекта VMware Labs обновились некоторые полезные утилиты, а также были выпущены две новые - Workspace ONE Access Migration Tool и VCF Powernova.
Workspace ONE Access Migration Tool - это средство, которое позволяет упростить миграцию приложений от одного облачного клиента (tenant) к другому. Это может быть как в онпремизной, так и в SaaS-среде. Также это может быть полезно в целях отзеркаливания приложений одного тенанта к другому.
Возможности данной утилиты по миграции приложений:
Копирование категорий приложений (App Categories)
Миграция веблинков (сторонних IDO)
Создание ссылок на федерированные (federated) приложения и копирование иконок (чтобы для пользователя ничего не менялось после миграции)
Копирование App Assignment в раздел Category mapping
Скачать Workspace ONE Access Migration Tool можно по этой ссылке.
Вторая утилита - это средство VMware Cloud Foundation Powernova, которое позволяет проводить массовые операции по включению/выключению виртуальных машин по всему инвентарю виртуального датацентра VMware Cloud Foundation.
Утилита очень будет полезна в случае обслуживания инфраструктуры, а также при миграции VCF-окружений или необходимости отключить/подключить на время отдельные домены VCF.
Пока данное средство не работает для следующих окружений:
Хосты vXRail
Домены рабочей нагрузки WCP/Tanzu
Вложенные (Nested) хосты ESXi
Скачать VMware Cloud Foundation Powernova можно по этой ссылке.
На сайте проекта VMware Labs появилась очередная полезная штука - утилита Workspace ONE Discovery. Она запускается на рабочих станциях Windows 10 под управлением решения Workspace ONE, где будет показывает различную информацию об оконечных устройствах (Certificate Management, Application Deployment, Profile Management).
Workspace ONE Discovery выводит сервисы, относящиеся к Workspace ONE, а также информацию о том, какие приложения были развернуты. С помощью специального представления можно увидеть, как были сконфигурированы профили, посмотреть сертификаты и отследить, какие апдейты Microsoft Windows были установлены.
Данную информацию можно использовать для решения проблем с рабочими станциями под управлением Workspace ONE. После запуска вы увидите 6 вкладок:
Overview - общая информация об устройстве, какой экзмепляр Workspace ONE UEM управляет этим устройством, и какие сервисы, относящиеся к Workspace ONE, запущены и работают
Packages – список приложений, которые были поставлены с помощью Workspace ONE UEM
Profiles – список изменений, сделанных в профилях средствами Workspace ONE UEM
User Certificates – список установленных пользовательских сертификатов
Machine Certificates – список установленных сертификатов устройств
Windows Updates – список установленных обновлений
Более подробно о Workspace ONE Discovery рассказано в видео ниже:
Скачать Workspace ONE Discovery можно по этой ссылке. Сама утилита работает только на Windows 10.
В октябре прошлого года компания VMware объявила о покупке компании Carbon Black, занимающейся информационной безопасностью на уровне облака (cloud-native endpoint protection platform, EPP). Решение это позволяет обнаруживать угрозы на стороне рабочих станций, анализировать их на стороне облака и предпринимать действия по защите инфраструктуры десктопов предприятия. Это не антивирус, не сетевой экран, а...
Осенью 2018 года мы писали об утилите True SSO Diagnostic Utility, с помощью которой можно проводить диагностику сертификатов Horizon View Enrollment Server (ES), настроек Active Directory PKI и свойств служб сертификации Enterprise Certificate Authorities (CA).
На днях же VMware на сайте Labs выпустила еще одно средство - True SSO Configuration Utility, предназначенное уже не только для диагностики, но и настройки сертификатов True SSO для использования с View Connection Server, Enrollment Server и вашим центром сертификации (Certificate Authoriry) и Active Directory.
Для корректной работы утилиты вам понадобятся следующие компоненты инфраструктуры:
VMware Horizon Connection Server
VMware Horizon Enrollment Server
Microsoft Certificate Authority
Workspace One Access
Чтобы начать использовать True SSO Configuration Utility нужно лишь запустить ее на Horizon Connection Server.
Видео установки и первоначальной настройки можно скачать по этой ссылке, а само средство True SSO Configuration Utility доступно для загрузки здесь.
Таги: VMware, Labs, Security, Horizon, SSO, Workspace ONE
На сайте проекта VMware Labs появилась очередная полезность - утилита Workspace ONE App Analyzer for macOS, с помощью которой можно детектировать необходимые для устанавливаемого приложения разрешения (Privacy Permissions), расширения ядра (Kernel Extensions) и системные расширения (System Extensions).
Это потом можно использовать для автоматического создания профилей в Workspace ONE UEM, чтобы там добавить в whitelist требуемые настройки для приложений.
Для работы утилиты потребуется MacOS 10.15 или более поздней версии. Утилита была протестирована с Workspace ONE UEM 2004. Скачать Workspace ONE App Analyzer for macOS можно по этой ссылке (на вкладке Instructions есть небольшое описание рабочего процесса).
Оказывается, на ресурсе VMware Techzone есть не только образовательные материалы, но и полезные утилиты, в частности, VMware Digital Workspace Topology Design Tool. С помощью этого средства администратор может выбрать имеющиеся у него компоненты решений VMware Workspace ONE и VMware Horizon, а также указать вариант развертывания - и нарисовать архитектурную диаграмму сетевой инфраструктуры.
Чтобы получить доступ к этой утилите, переходим по данной ссылке и в разделе Architect and Integrate кликаем по ссылке Launch для виджета Digital Workspace Topology Tool:
После этого нас попросят авторизоваться с кредами My VMware или Partner Portal и попросят ввести название профиля:
Далее нужно выбрать компоненты инфраструктуры Workspace ONE, которые будут использоваться для построения архитектуры (то есть те, которые вы планируете развертывать):
Дальше нужно указать уже компоненты инфраструктуры Horizon, для варианта On-Premises нужно выбрать составляющие решения Horizon 7 в инфраструктуре на вашей площадке:
В итоге вы получите результат с архитектурой сетевой инфраструктуры:
Также вы можете отобразить отчет по необходимым для открытия портам сетевых экранов, через которые осуществляется взаимодействие между компонентами:
Также можно и сохранить полученную конфигурацию в своем профиле (иконка с дискетой).