Innehållsförteckning:
Video: VMware Workspace ONE: Demo - Feature Walk-through (Oktober 2024)
VMware är ett välkänt namn för IT-proffs, eftersom det är företaget som inte bara pionjärer i företagskala virtualisering, det är också ledande inom MDM-utrymmet med sin Airwatch-produkt. Eftersom hela företagsnätverk nu är virtualiserade och ofta sträcker sig bortom brandväggen och i en mängd olika programvara (SaaS) -verktyg, är det meningsfullt att VMware också skulle ha sin egen IDM-lösning, kallat VMware Workspace One, som börjar på $ 3, 50 per enhet eller $ 6 per användare per månad. Denna plattform erbjuder vissa rejäla funktioner, speciellt kring integration med andra VMware-produkter. Det här är mördarefunktioner för företag som redan standardiserats på VMware, särskilt de som använder Airwatch, vilket gör Workspace One till en icke-brainer för dem. För andra organisationer kommer Workspace One emellertid inte riktigt in på våra andra Editors 'Choice-vinnare i denna kategori, Microsoft Azure Active Directory (AD), Okta Identity Management och Centrify.
Som de flesta av de molnbaserade IDM-sviterna som vi har granskat, stöder Workspace One både Microsoft Active Directory-domäner och kataloger baserade på LDAP-standarden Lightweight Directory Access Protocol. I båda fallen använder VMware en programvaruagent som ett kontaktdon för att länka upp till din företagskatalog. Detta ger ett antal fördelar för företag som använder VMware Airwatch för att hantera sina mobila enheter, varav den första är möjligheten att utnyttja samma anslutning som AirWatch använder för att synkronisera identiteter till Workspace One. Genom en grundläggande installationsprocess som involverar den vanliga aktiveringskoden, AD-servicekonto och val av olika katalogbehållare, kommer din katalog snabbt att kopplas till din Workspace One-instans.
Även om nedladdning och konfigurering av katalogkontakten är ganska intuitiv, finns det mer arbete som ska göras innan dina användare kan autentisera till Workspace One. Medan lösningar som Okta, OneLogin och Azure AD faktiskt är redo att rulla när deras anslutningar har installerats, valde VMware att använda flera lager av abstraktion mellan katalogen och användarverifiering, inklusive inte bara kontakten utan också katalogen, Identity Provider (IDP) och autentiseringsmetoden. Varje lager består av en aspekt av din kataloganslutning och tillämpar i vissa fall den på andra identitetslagrar, till exempel den interna katalogen Workspace One.
Katalogintegration
Programvaruagenter är vanliga bland IDM-verktyg, så det är ingen överraskning att det första katalogintegrationsskiktet är anslutningen. VMware kallar det andra lagret en katalog, men i VMwares terminologi hänvisar det till en kopia av objekten och en delmängd av attribut som synkroniseras från din företags AD- eller LDAP-katalog. Kataloger är konfigurerade för att använda en av dina synkroniseringsanslutningar, tillsammans med det utmärkta namnet på baskatalogvägen för användare samt sökvägen till användarkontot och lösenord för servicekontot. Katalogkonfiguration ger dig också kontroll över vilka attribut som synkroniseras. Slutligen har du möjligheten att lägga till skyddsåtgärder i din katalogsynkronisering. Dessa låter dig hantera trösklar som begränsar ändringar till en procentandel av dina befintliga katalogobjekt, vilket kan hjälpa till att begränsa effekterna av massförändringar eller konfigurationsfel på Active Directory-nivån.
Arbetare är nästa stycke i katalogintegrationspusslet i VMware Workspace One. Arbetare är associerade med kontakter och kataloger och hanterar olika autentiseringsmetoder som lösenord, RADIUS, RSA, certifikat, AirWatch eller VMware Verify, som är VMwares tvåfaktors autentiseringsmotor.
Slutligen används policyer för att koppla appar till nätverksintervall och enhetstyper (webbläsare, Android, iOS osv.) Och sedan tilldela autentiseringsmetoder. Politik kan tillämpas på användargrupper för att rikta in sig på specifika personer, och autentiseringsmetoder kan konfigureras i multiplar för att verkställa multifaktor-autentisering eller för att tillhandahålla en säkerhetskopieringsmetod om den föredragna metoden misslyckas. Den här metoden för att hantera autentiseringspolicyer gör det enkelt att konfigurera hur användare kan autentisera, men nackdelen är att om du slutar med för många policyer kan de bli förvirrande att hantera. Flera policyer kan till exempel gälla för samma grupp och applikation. Du kan förhindra det mesta av denna förvirring ganska enkelt genom att konfigurera enskilda policyer per applikation eller resurs, men som med många företagsverktyg förutsätter det en kompetensnivå från IT-administratörens sida och ofullständiga administratörer kan måla sig i ett hörn om de är inte försiktig.
En funktion som vi gärna skulle vilja se i Workspace One's framtid är en riskbaserad autentiseringsfunktion som använder maskininlärning (ML) och big data för att tilldela riskresultat till specifika användare, enheter eller appar. Riskbaserad autentisering är inte en av de funktioner som erbjuds över hela linjen på IDM-arenan, men det är en nyckelfunktion för toppkonkurrenter, inklusive Microsoft Azure AD och Centrify. Workspace One erbjuder en funktion som kallas riskbaserad villkorad åtkomst, och den ger möjlighet att konfigurera policyer för att hantera autentisering baserat på saker som mobila enheter som är tillräckligt korrigerade, nyligen ändrade lösenord eller geofencing. Skillnaden mellan VMwares riskbaserade villkorade åtkomst och den nya ML-baserade riskbaserade autentiseringen som erbjuds av konkurrenterna är att VMwares version är baserad på enhetshanteringsfunktionen, inte några maskininlärningsmöjligheter. Möjligheterna som VMware litar på är mogna och verkligen användbara för alla företag som använder mobila enheter, men de lägger inte till samma typ av intelligens som baserat på ML-algoritmer.
Single Sign-On (SSO)
När din katalog har konfigurerats och användare och grupper flyter in i Workspace One, kan applikationer tilldelas antingen objekttyp genom att definiera rättigheter. Dessa kan hanteras i användar- eller gruppinställningen eller från applikationsskärmens skärm. Tillhandahållande av SSO i SaaS-applikationer som Google G Suite, Office 365, Dropbox och så många fler är konfigurerade på applikationssidan så länge appen stöder tillhandahållande med hjälp av stadnards eller ett API och Workspace One stöder tillförsel till appen. Vanligtvis handlar det om att hantera anslutningen från Workspace One till appen och konfigurera attributen som överförs, men detta beror delvis på att applikationen riktas in. Workspace One tillhandahåller också några verktyg för att spåra licensanvändning, inklusive möjligheten att definiera trösklar och licenstyper (t.ex. namngivna användare eller samtidiga licenser).
En viktig punkt för differentiering för VMware är förmågan att autentisera till stationära applikationer som är värd i Virtual Desktop Infrastructure (VDI) -miljöer, specifikt VMwares egna Horizon Cloud, dess Horizon View VDI-produkt samt VDI-miljöer standardiserade på Citrix-teknik. Inget av dessa mål är dock en direktanslutning, eftersom alla involverar konfiguration i båda ändarna av processen. Men de är ett mycket kraftfullt alternativ för företag som redan investerat i ett eller flera av dessa system. Dessa alternativ ger användarna möjlighet att säkert få tillgång till skrivbordsapplikationer och andra företagsresurser som om de fysiskt finns i företagets nätverk. Det hjälper inte bara till att säkerställa en optimal säkerhetsställning, utan stöder också företagsappar som använder en stationär klient.
Ytterligare en fördel för företag som redan använder VMware AirWatch är att de genom att integrera med Workspace One möjliggör ytterligare säkerhet för mobila användare. Genom att tillåta användare att komma åt företagets resurser via mobila enheter införs automatiskt flera potentiella sårbarheter för din företagsinfrastruktur, inklusive möjligheten att en användares enhet kompromitteras och tillhandahåller obehörig åtkomst samt scenarier som involverar företagsdata som laddas ner till enheten och sedan har den enheten förlorat stulen. Att ha förmågan att säkerställa att enheten följer företagets policy, som att förhindra rotade enheter, säkerställa enhetskryptering och ett starkt lösenord, samt möjligheten att fjärrlåsa eller torka av den, kan vara livräddare i många situationer och också hjälpa till företag godkänner säkerhets- eller lagstiftningsrevisioner.
En annan biprodukt av VMwares funktioner i MDM innebär förmågan att säkra mobilappar genom ett antal olika tekniker, vilket ger administratörer mer flexibilitet för att ge användarna de lösningar de behöver. Dessa alternativ inkluderar VPN-tunneling per bas och appen och möjligheten att linda in appar i en säker sandlådemiljö, som effektivt bygger en krypterad version av applikationen som är skyddad från externa faktorer.
Rapportering och prissättning
Om Workspace One har en verklig svaghet rapporterar det. En instrumentpanel för användarengagemang ger några viktiga resultatindikatorer när det gäller användaraktivitet och appanvändning, men det faller långt ifrån instrumentpanelerna som erbjuds av Centrify eller Okta. Även köra rapporter lämnar utrymme för förbättringar med Workspace One som ger en handfull out-of-the-box rapporter men med endast minimala alternativ för att filtrera data (du kan inte ens sortera tabellerna utan att ladda ner till en CSV-fil). Detta visar att rapportering inte har varit ett fokusområde för Workspace One-teamet. Även om detta inte nödvändigtvis är ett mördande slag mot plattformen, är rapportdata ett viktigt krav för företag som behöver verifiera efterlevnaden av revisorer, och bör övervägas noggrant innan de beslutar om en IDM-plattform.
VMwares prissättning för Workspace One ligger i samma bollpark som andra IDM-sviter som erbjuder liknande funktioner, även om Workspace One erbjuder prissättning både per enhet eller per användare. Prissättning per enhet har fördelen att få många funktioner som erbjuds via AirWatch, men har vissa funktionsbegränsningar, till exempel att SSO-portalen är begränsad till endast hanterade enheter. Du har också möjlighet att köpa licenser för att köra Workspace One i dina egna lokaler, vilket sparar på licenskostnader över tid, men kommer att kräva ytterligare omkostnader när det gäller hantering, bemanning och infrastruktur.
Licenspriserna börjar med standardnivån, som kommer att köra $ 3, 50 per enhet eller $ 6 per användare varje månad. I lokaler kommer standardlicenser att köra $ 50 per enhet eller $ 90 per användare som en engångskostnad (evig) kostnad. Den avancerade nivån ger priser upp till $ 5, 50 / $ 10 varje månad per enhet respektive användare, men det lägger till funktioner som containeriserade mobilappar och VPN-tunnlar per app. Eviga licenser för lokalt bruk på avancerad nivå uppgår till $ 90 eller $ 180. Företagets prissättningsnivå är licensierad endast per användare och löper 23, 25 USD varje månad för molnbjudandet eller $ 400 för en evig på lokal licens. Enterprise-nivån ger dig möjligheten att integrera med Horizon för virtuella applikationer och stationära datorer.
Utan tvekan har VMware ett starkt erbjudande i Workspace One. Det finns dock några funktioner som ligger bakom tävlingen, inklusive allt rapportering och brist på riskbaserad autentisering som utnyttjar maskininlärning. Installationsprocessen för att få alla autentiseringslager mellan din katalog och Workspace One är också mindre än intuitivt. Å andra sidan erbjuder VMware mer mervärde för sin kärnkundsbas än någon av sina konkurrenter. Nyckelintegration mellan Workspace One, AirWatch och Horizon samlar vissa allvarliga säkerhets- och autentiseringsfunktioner för mobila arbetare.
