IT部门的关注重点正迅速由移动设备管理（简称MDM）转向移动应用程序管理（MAM），观念也从过去的犹豫是否应该引入移动设备转变到如今的如何最大程度利用移动技术优势。我曾经亲身参加过许多IT讨论会议，发现大家开始围绕应用程序的管理提出一个又一个实际问题。对于使用IBM Tivoli以及微软SMS等用户PC软件管理工具的企业，iPhone、iPad以及Android系统平台已经成为新时代的“西部拓荒”。这是一片充满风险与机遇的环境，谁能占得先机、谁就能在未来一段时间中笑傲同侪。

移动设备的多样性确实令人望而却步——大多数台式机应用程序管理工具连顺畅管理Mac OS X应用都做不到，我们当然不可能指望它们能在移动设备上一展身手。尽管心理准备已经做完，但移动操作系统相对桌面系统采用了太多颠覆式设计，就连IT部门也无法通过传统方案对新应用进行管理。此外，应用程序商店的出现令企业IT团队无法继续扮演移动领域的应用提供者角色，而HTML与本地应用相混杂的状况也进一步加剧了移动管理的复杂性。没错，IT部门确实可以收集自己的移动应用搭建“企业应用商店”，但这实在有名不副实之嫌——一个内部站点、几条允许使用或建议使用的应用下载链接，这根本不可能引起员工的兴趣。

在IT部门逐渐对全面管理移动设备表示绝望的同时，另一种观点开始占据上风——既然这些设备的所有权属于用户，那么IT团队应该有权对其中面向业务的各类应用加以控制。这样一来，如果员工离开企业或者设备丢失，应用程序及其保存数据都能够被及时清除、进而保护敏感信息安全。IT团队还应当有权管理更新及授权许可，同时追踪用户的使用状态——尤其是在员工、分包商及企业合作伙伴选择各自业务应用的复杂前提下——从这个角度来看，即使是以控制为主要服务对象的专业企业也无法利用传统方案对各类设备进行全面覆盖。

第一波浪潮：通过政策管理HTML应用容器

目前设备管理领域中的主流方案仍然以面向政策模式居首。在这种情况下，诸如黑莓Enterprise Server（BES）、微软Exchange（以Exchange ActiveSync协议为代表）等强势体系，加上Good Technology、MobileIron以及Trellia等第三方MDM工具，都能够为邮件、联系人等业务信息提供恰当的数据保护服务。此外，它们还以强制手段贯彻密码保护、远程锁定等管理政策。某些工具甚至可以管理应用程序本身，实现例如允许或禁止访问及更新推送等功能。

而同样的状况在移动应用管理领域也开始出现。

其中一大选择是采用Antenna软件公司提供的方案，这款名为Volt MAM的产品为iPhone及Android环境打造了一套专门存放HTMl 5应用的虚拟环境。由于苹果、谷歌等巨头厂商在系统中提供JavaScript API以及支持W3C的BONDI APi，因此上述产品能够借此调用设备本机功能。（举例来说，它们能够以这种方式捕捉标签或者栏位代码。）我们可以根据自己选择的IDE进行HTML 5应用开发（甚至可以使用文档编辑器进行开发），但开发成品必须与Antenna的API相对接，否则将无法同Volt客户端协作、更不用提接受Antenna移动平台（简称AMP）服务器的管理。

有鉴于此，大家不妨以用户政策（例如角色分类）为基础编写安装配置文件。这样用户在登录服务器（大多处于托管状态下）时，应用程序会将与角色相对应的配置文件一同下载至设备当中。服务器同时还会推送软件更新并为IT部门提供用于监控使用状况、变更应用许可、锁定下行数据以及清除应用所必要的功能组件，这样用户在离开企业或是调任其它岗位时，管理者就能够快速将其角色剔除或是做出相应更改。

虚拟环境的出现终于为业务与个人应用及数据的划分指出了一道康庄大道，但具体实施起来还是有点问题——毕竟强迫用户打开容器应用（Antenna的Volt就是最典型的例子）才能访问业务HTML应用的做法不够人性、容易引发员工的反感。但从另一个角度看，既然是HTML应用，咱们也不必要求太多。毕竟用户在使用任何一款Web应用时都需要先打开浏览器，这与打开容器倒也没啥本质区别。另外，由于所有业务资源都运行于IT部门的服务器中，因此管理者能够直接对应用进行控制，这跟传统的台式机Web应用非常类似。

企业自主开发的HTML 5应用借助Volt的强大功能，得以拥有一片独立的运行空间，因此相关数据的加密与隔离效果也要比设备上的其它信息好很多。苹果的iOS平台本身就支持加密及隔离服务，但谷歌的Android 2.x系列却一项也不支持。虽然在Android 3.x和4.x系统中纳入了加密机制，但隔离仍然是谷歌产品的最大软肋。由于业务HTML 5应用的运行完全依托于Volt，所以AMP服务器能够直接对其进行管理，而且绝不会对设备中的其它应用产生干扰。

而在iOS这边，Amp服务器同样能够利用AMP及其内部集成的MDM工具实现本机应用管理。与此类似，AMP中集成的MDM工具还可以管理由自身提供（HTML 5及本机）或工具提供（本机）的应用程序。值得一提的是，Volt在离线工作时HTML 5应用仍然能正常运行，并在网络连接恢复后第一时间进行数据同步。

理论上讲，Volt控制下的HTML 5应用能够以独立应用的状态保存在iOS设备的主屏幕中随时等待调用，这就省去了先开容器、再开应用的弊端。其实应用本身仍然处于AMP所绑定的安全及管理之下，但用户使用时的感受与普通应用无疑，并不会感觉到AMP的存在。某些用户可能喜欢按个人偏好对应用程序进行分组，但Volt会强制要求使用者把业务应用统统归在同一个组中。（Android系统不支持应用与容器绑定，因此Volt控制下的HTML 5应用必须在打开Volt平台的情况下才能运行。）

Antenna公司CTO Dan Zeck指出，他们更乐于通过iOS的方式运行应用而非强行通过容器，因为IT消费者更希望从直观层面上了解业务应用与个人应用间的划分——这样既能让IT部门轻松实现数据隔离，又能帮助用户在意识上搞清个人活动与业务操作的差异。他同时表示，让业务应用以普通应用的面貌出现在iOS主屏幕中、同时又确保它们始终处于严格监控之下其实并没有什么技术难度。（黑莓OS 6和7同样支持这种隐性隔离方案，不过仅有数款最新黑莓Enter Server版本支持该功能，并只限BES控制下的应用。）

随着MDM工具开始广泛为应用程序提供支持，AMP服务器也开始接管起iOS应用的安装与管理工作——但前提是企业用户必须采用苹果公司推出的企业级SDK协议。AMP能够在许可证书的支持下实现应用的直接安装，这就回避了公共App Store中蕴含的潜在风险。这是苹果公司的强制要求，目的在于为业务应用带来与其它iOS应用同等级别的高端控制标准。

而包括AppCentral在内的其它工具也提供相似的功能。不过现在看来，Volt客户端与AMP托管服务器的组合似乎更适用于企业环境，因为这套方案将LDAP、MDM工具以及高度加密与验证技术以打包方式集于一身，这极大丰富了管理政策的功能性。（AT&T公司在其Workbench产品中使用的就是AMP，但Volt/AMP这套组合可不只局限于使用AT&T服务的设备。）Volt客户端能够作用于使用iOS 4、5的iPhone以及使用2.1、到2.3版本的Android设备；目前其它版本支持对象正在开发之中。

第二波浪潮：通过政策直接管理本机应用

尽管功能强大，但Antenna方案仍然无法作用于本机应用——因为本机应用无法在其它应用内部或IT服务器上运行。这时就要轮到AppCentral和AppGuard服务出场了。AppCentral公司（起初名为Ondeego公司）已经分别为自家MAM技术发布了iOS及Android版本，以迥异的思路为移动应用程序管理及分布指明了新方向。令人欣慰的是，实践证明了这款产品在本机应用领域的巨大贡献与完美协调能力。

在由AppGuard服务所构建起的小型独立环境中，我们可以利用AppCentral管理政策API将“监听器”功能代码添加到iOS及Android应用中。在API的帮助下，应用程序将与AppCentral服务器进行交互，使管理者得以将各种政策及用户划分方案加入其中——例如限制特定Wi-Fi访问请求（此类情况在医疗保健行业比较常见）或者在员工权限发生变更时及时清除应用及数据（比如分包商工作完成、需要向总包交接项目资料）。

“监听器”功能会对应用程序启动、前台运行等活动（主要针对应用激活操作）加以监控，并实时检测当前设备与应用状态是否有悖于管理政策。“监听器”功能还能将应用程序（而非设备整体）的状态与活动单独反馈给服务器端，这就降低了管理工作中的人为因素，大大缓和员工、分包商及企业合作伙伴对于监控流程的防备心理。

关键在于管理机制已经嵌入到应用程序当中，因此大家无需再为设备本身操心。既然消除了后顾之忧，我们就应当开始考虑将应用程序管理以规范形式普及向更大规模的用户