伴随着企业移动管理的发展以及技术的演进，MDM的反正大致经历了3个阶段：

1、2007-2012设备驱动管理阶段。MDM可交付库存管理，设备状态监测，和桌面帮助支持。在设备层有丰富的安全策略例如预防为认证者访问设备和数据、网络数据传输控制，特别是公网与企业网络之间的数据传输;基础的安全功能例如强制密码认证，远程锁定，远程擦除等。这个时期移动设备管理及移动安全管理厂商在该领域内占主导地位。该时期的管理重点是设备，不是应用，也不是数据。在某些情况下，安全厂商和设备管理厂商会合作提供更全面的解决方案。

2、2011-2012应用管理和沙箱机制出现。MDM厂商提供针对大批量已部署的应用的集中管理、空中升级技术、以及证书支持。MAM厂商也进入了移动管理领域，专注于企业应用超市机器对应用的管理、添加、配置、升级、删除等操作。MAM厂商没有提供更多的设备管理相关的功能，但是MDM厂商则尝试提供应用管理类的产品。该时期移动管理行业的重点转向了如何保证企业员工安全地使用企业数据和企业应用。虚拟化厂商和MAM厂商提供的安全解决方案是建立在沙箱、容器的模式上，隔离管理企业的数据，不用关心员工使用的是否是个人设备。随着移动应用管理提供商对EMM管理重要性的理解，市场上的合作或收购动作也在加速，以便向企业提供完整的EMM解决方案。

3、2013年起，企业从MDM的管理需求转向整个移动全生命周期的管理，而EMM作为整体解决方案备受企业的关注，也成为了供应商们下一个发展的方向。EMM专注于提供与内容相关的管理属性，例如位置、角色、时间、以及内容的类型等。安全策略将覆盖应用程序的每一个环节。企业会根据管理现有移动业务的需求，根据功能来选择EMM，有些企业是因为跨平台的应用而选择，而一些企业则是为了监控各种应用而选择。无线局域网提供商也进入这个市场，将网络内容链接到应用管理中。MDM/MAM产品提供商与无线技术厂商之间产生了合作关系。市场将进一步统一，系统管理也进一步简化。EMM市场将转向员工相互交流和跨平台应用管理。

2014年，作为移动信息化更加深入发展的重要时刻，移动终端接入企业应用会越来越多，对企业安全造成的隐患也越来越严重，因此，企业对于移动管理的需求越来越突出。

2.1 移动化之路：MDM之后，是数据、应用管理和协作

在数周前于纽约召开的高德纳研讨与展示会上，一件备受瞩目的事情就是：移动如何成为企业中的主流?从黑莓开始，智能电话多年来就作为商业工具被人们使用。但是，现在人们关注的重点已经从如何管理这些设备，比如发送邮件、管理联系人以及建立日程计划表，逐渐转移到了在这些设备上开发企业应用方面。

管理数据与应用

约翰·马歇尔是AirWatch(现在是VMware的业务部门)的总经理以及联合创始人，他表示自己去年看到地一个比较大的变化就是：企业对部署到这些移动设备上的内容更为关心，而不仅仅是应用方面。他说那些与他交谈过的IT部门都表示更加关注内容管理与协作。他同时说道，AirWatch与其他竞争对手相比所具有的显著差异之一就是：AirWatch的方案不关心内容存放的具体位置，无论这些内容是被存放在传统的文件服务之上，还是在云端。“我们通过最好的通讯手段，将正确的内容交付到正确的人手里，”马歇尔进一步强调道

“重点在于数据”，Good公司CEO克里斯蒂·怀亚特也说道。她主张将数据放在一个安全的容器中，然后通过更多的应用对该容器进行扩展，或者在“混合云”(hybrid cloud)上完成部署。她称自己观察到IT部门存在的一种趋势，即从单纯的移动设备管理(MDM)过渡到企业移动管理(EMM)。在许多情况下，这都要求IT部门跨多重平台安全地部署应用和数据。

菲尔·里德曼是Citrix移动方案和战略副总裁，他提及自己的公司能够提供多种方案，比如新的WorxMail应用，该应用提供了快速寻找重要消息以及协作的功能。而对于文件共享，他说道，相比较其他通常的服务，如Box、微软 OneDrive或者谷歌Drive，Citrix的ShareFile能够提供更加细粒度的政策来管理数据。

MobileIron的战略副总裁奥加斯?雷奇对此表示赞同。他认为，应用和数据的安全正在变得日益重要，许多大型企业现在不仅仅关注电子邮件的收发，同时也在关心应用和数据的容器。从这个角度来考虑，MobileIron现在开始单独“为每个应用提供VPN”(per-app VPN)，以此向用户提供更多的安全性能。

黑莓重新定位了自己在企业市场上的角色，该公司目前提供支持全移动平台(目前支持黑莓、iOS以及安卓，很快就会支持Windows Phone)的内容控制和应用，并且将关注重点放在受控端点上。黑莓的企业产品战略高级主管杰夫·霍勒伦表示，公司长期关注企业数据的安全性，他谈到了黑莓企业服务器(BlackBerry Enterprise Server，BES)网络操作中心(Network Operations Center，NOC)，他表示该方案相比DMZ内的“呼入代理”(in-bound proxy)能够提供更多的安全性能，而后者是目前大多数方案所采用的策略。

但是霍勒伦同时也谈到了容器的重要性。他特别指出在安卓系统上，BES现在提供了一个完整的容器，具有背景同步的功能，如DocsToGo，同时也提供了一个简单但是安全的方式来包装第三方应用。他更进一步说道，黑莓逐渐获得了来自那些具有安全意识和受管制的行业的支持，同时也提到受BBM保护的即时通讯应用也吸引了众多关注。

合并管理与文件管理协作

在展示会上还有一个新的概念，那就是与目前的移动设备一样，Mac和PC最终会以同样的方式被管理。许多传统的MDM厂商现在也开始对Mac以及运行Windows 8.1的PC提供管理方面的支持，而那些PC管理方面的老牌厂商则引入了他们自己的企业移动方案。例如，微软的InTune，以及LANDesk软件，后者很快就会提供类似的功能，比如应用包装(app wrapping)。微软也声称他们会在商业版Office 365中提供MDM的功能。

但是上述领域也没有完全合并。AirWatch的马歇尔觉得从长远来看，桌面设备和移动设备最终会以同样的方式被管理，而且指出他的公司的产品支持Mac以及Windows设备的管理。他说道，IT经理人仍然需要旧的工具，比如微软 System Center来完成更加复杂的管理以及完成大多数PC上的更新工作。MobileIron的雷奇则指出，他们公司的产品已经整合进了System Center。目前看来，在企业IT部门能够使用单一管理工具对所有设备进行管理的那一天到来之前，还有很长的路要走，但是从目前看来，人们在这方面已经取得了一定的进展。

今年，不管是以云端为中心的产品，比如Box和微软OneDrive，还是那些将部分数据存放在企业数据中心的为混合环境设计的产品，比如Accellion Kiteworks、Citrix ShareFile、EMC Syncplicity以及WatchDox，它们都将关注重点放在了共享文档的安全性方面。

如今，越来越多的程序致力于帮助用户将他们的应用迁移到云端，以便能够真正的利用这些应用。Kony公司推出了一个有趣的建模工具，该工具可以让典型用户通过一个可视化开发工具来设计能够满足自己需要的应用程序，而这些应用程序也可以运行在iOS和安卓系统上。Kony也有为iOS、安卓、黑莓以及Windows设计的MDM产品，但是该产品将重点放在了利用单一代码基础创建HTML5以及混合应用程序方面。K2的Blackpearl似乎采用了类似的步骤，该产品将重点放在了基于窗体的应用上。另外，还有SharePoint应用以及很多其他的中间件产品都提供了各自的功能来帮助用户完成类似的事情。

移动设备已经从传统IT环境下的一个小角色，逐渐成为了取代PC地位的主角。这是一次具有深远意义的行业变革，每个厂商都不想落下自己的脚步。

2.2 MDM是否不足，还是一块拼版，EMM是未来，还是下一个功能

MDM不足之处

十多年前，MDM出现在管理Windows CE及黑莓手机的产品中。当iPhone启动BYOD的采用时，MDM产品对苹果和安卓手机进行了支持，但仍然主要侧重于以设备为中心的目标：硬件资产管理、OS配置以及远程发现和擦除功能。总之，MDM提供针对整体设备的管理功能，协助IT部门控制员工自带的个人设备。

这种传统的桌面管理方法可能适用于公司配发的手机，但对公私混用的设备就捉襟见肘了;员工们顾虑个人隐私，而这种方法也将IT部门置于因处理个人应用和数据而不受欢迎的处境。此外，MobileIron的战略副总裁Ojas Rege认为，设备管理关注错了攻击向量。

Rege说，“架构驱动攻击向量。”

Rege认为，在Windows桌面世界，攻击主要利用开放文件系统以及内核态的应用程序。但iOS、Windows Phone以及(在较小程度上)安卓通过严格的用户空间分离以及应用沙箱技术消除了这些向量。而事实上移动设备面临的威胁包括越狱、间谍软件、无线辐射以及用户行为—需要不同方法的架构差异。

因此EMM转移了IT的关注重点，从保护设备转移到保护数据以及控制企业数据如何在应用间流动，从而保障数据处于静止和移动状态的安全。这种EMM方法不仅能更好处理移动威胁，也使得IT部门可以只管理每部智能手机或平板电脑的“业务部分”。

应用EMM来加强安全策略

根据Gartner评估标准，EMM产品必须包括如下功能：硬件和应用清单，OS配置管理，移动应用部署、更新、移除以及配置和策略管理，远程故障诊断和行动，还有移动内容管理。许多这些功能由MDM产品开创，并继续作为EMM的竞争筹码。MDM产品发展成为EMM套件的EMM引爆点附带有内容和应用管理功能，使得IT部门有能力提供、监测和加强更细粒度的安全策略。

EMM转移了IT的关注重点，由保护设备到保护数据以及控制企业数据如何在应用间流动，以保障数据处于静止和移动状态的安全。

AirWatch by VMware(VMware于2014年1月收购了MDM提供商AirWatch)的首席方案工程师Blake Brannon认为，围绕移动安全的需求通常会引发客户采用EMM。他说：“采用BYOD的厂商、承包商以及员工—所有这些用例分享围绕容器化的更多控制需求，特别是应用和数据。例如，许多设备都支持加密，但某些设备处理得比其他的更妥善。在某些情况下，你不想强制所有BYOD设备加密。而其他情况下，也许会要求FIPS级别的加密，或者仅仅是比原生更强壮的加密。容器这种方案允许更细粒度的加密策略，胜过任何给定设备在硬件级别进行支持的方案。”

Fiberlink(IBM的一个公司)的高级产品经理John Nielsen，描述了应用上的类似趋势。“在BYOD设备上，不仅仅要确保静止内容的安全性，还需要具备擦除(仅企业)内容以及控制容器间内容流的能力。

EMM能设置应用白名单，确定数据被允许流向何处，包括第三方应用、存储以及云。EMM提供的策略控制可以简单如阻断拷贝/粘贴或截屏或打印敏感内容，也可以更高级，如一个文件只被允许在企业版Box.net中打开而不能在iCloud或者Google Drive中打开。”

Rege认为，善意的用户持续唾手可得。“用户收到一封邮件，并打开DropBox中的一份附件—那么现在你有公司数据置于不受控制的公有云中了。该威胁存在于传统设备中，但对于移动设备更为严重，这是因为云是如此紧密地集成于移动设备中。由于数据在设备间移动，[EMM]必须确保数据始终是加密的。”这就是为什么移动应用管理(MAM)在EMM中扮演如此重要的角色。

例如，当有人在智能手机或平板电脑上运行商业应用程序时，企业必须识别该应用的用户(也许使用企业认证或者单点登录)，也必须对应用执行进行授权(基于设备完整性甚至还有地理位置)。必须正确安装与配置应用自身，必须将应用相关的数据加密到要求级别，而且还必须应用数据防泄漏机制。后者也许包括限制应用至应用的数据流，调用受信任的应用程序(“开放”策略)或者强制数据通过安全的会话与网关。如果设备丢失或者员工出国，就破坏了应用完整性，必须隔离或被擦除这个应用以缓解业务风险，且不影响设备的其他应用或工作人员的个人数据与应用。

企业如何使用EMM应对BYOD业务风险

EMM具备所有这些能力，针对个人设备中的安全容器提供全生命周期管理。然而，EMM套件趋于包含相当广泛的能力，其中很多是单独定价模块。安全团队必须调整他们的需求与MIS部门一致，确保任何EMM产品采购都将成本最优地满足这两个群体的目标。为此，让我们考虑EMM采用的当前状态。

在过去一年，根据Nielsen的看法，有更多Fiberlink的客户已在寻求容器化的解决方案。“但对于容器化的主要需求还是围绕电子邮件，这仍然是移动设备上最重要的效率工具。”Nielsen说，“安全的邮件比以往任何时候都更受欢迎，但更多客户正朝着应用的容器化迁移，确保第三方应用可以分享我们容器化的环境并启用带有SDK的私有应用。”

换句话说，高效、易用的容器不能是孤岛;它们必须允许安全的、且基于策略的数据在可信应用间流动，由这些可信应用共同在设备上创建安全移动的工作环境。

Brannon注意到，除了安全邮件和安全内容外， 一些AirWatch的客户还需要安全浏览器应用。“每个企业都有某种形式的企业内网—也许是一个SharePoint站点或者帮助中心。我们的安全浏览器使得员工无需连接VPN即能安全访问内网;也使得IT部门能确保数据安全地移动以及数据防泄露。”他这样说。

Rege说，更多的MobileIron客户正基于用户身份以及设备状态来决定应提供给每个用户和设备的访问级别。“有一些技术在移动世界变得重要得多—PKI和NAC是其中两项这样的技术。”这就是为什么在选择一个EMM套件时，EMM与企业身份管理与网络基础设施集成的能力会如此重要，从而汇集分别管理的安全策略并提供更为健壮的移动威胁防护方案与更为无缝的用户体验。

例如，一个企业的无线局域网(WLAN)可以自动检测一部新的个人设备，将它重定向到EMM系统进行注册、证书安装以及容器部署。此后，WLAN 在授权这部设备网络访问前，会咨询 EMM以确认其完整性;EMM还扮演隔离不合规设备的角色。

在选择EMM时思考这些场景并考虑自动化，会有助于企业不仅仅是容忍而是很大程度完全接受个人设备，这通过使用更细粒度的安全策略、功能更丰富的管理套件以及更佳的一体化来实现安全移动。