VMware Workspace ONE กับการบริหารจัดการอุปกรณ์ Apple ในระดับองค์กร

หลายคนใช้อุปกรณ์จาก Apple กันอยู่แล้วทั้ง Macbook, iPad และ Phone แต่รู้หรือไม่ว่าองค์กรสามารถนำอุปกรณ์เหล่านี้เข้ามาใช้ทำงานระดับองค์กรได้ด้วย แต่ปัญหาคือจะทำอย่างไรองค์กรจึงจะสามารถบริหารจัดการอุปกรณ์เหล่านั้นให้ตอบโจทย์ Compliance และ Security แต่ไม่ลดทอน User Experience ด้วยเหตุนี้เองทาง VMware Thailand จึงได้ร่วมมือกับ Ingram Micro จัดสัมมนาขึ้นเพื่อให้ความรู้ว่า VMware Workspace ONE จะเข้ามาตอบโจทย์นโยบาย Apple-first ขององค์กรได้อย่างไร

คอนเซปต์เรื่องการบริหารจัดการอุปกรณ์ในองค์กรมีมาหลายปีแล้วไม่ว่าจะเป็น Bring Your Own Device (BYOD), Choose Your Own Device (CYOD), Company Own Business Only (COBO) และ Company-issued,Personally Enable (COPE) แต่ภาพความเป็นจริงนั้นไม่ง่ายเลยเพราะเครื่องมือจะต้องสามารถรองรับอุปกณ์ได้หลายยี่ห้อ แถมยังต้องตามการอัปเดตของซอฟต์แวร์ให้ทันอีก นอกจากนี้เครื่องมือยังต้องสามารถตอบโจทย์ด้าน Security และ Compliance โดยไม่กระทบต่อ User Experience ด้วย จึงเป็นที่มาของผลิตภัณฑ์ที่ชื่อว่า ‘VMware Workspace ONE’

รู้จักกับ VMware Workspace ONE

VMware Workspace ONE คือแพลตฟอร์มบริหารจัดการอุปกรณ์ภายในองค์กรไม่ว่าจะเป็น Windows 10 , MacOS, Android, iOS เป็นต้น โดยมีความสามารถใน 6 ด้านคือ

• Self-Service Access – ผู้ใช้งานสามารถจัดการอุปกรณ์ได้ด้วยตัวเองตั้งแต่ได้เครื่องมาใหม่โดยไม่ต้องพึ่งพาฝ่ายไอที
• Choose Your Device – องค์กรภายใต้ Workspace ONE สามารถรองรับอุปกรณ์และระบบปฏิบัติการอะไรก็ได้เพราะ Workspace ONE UEM Powered by AirWatch รองรับ Windows 10 Modern  Management, iOS, Android , Chromebook และ Rugged Device
• VMware Productivity App เช่น Secure Email-Boxer, Secure Web และ Secure Content –  VMware มีแอพพลิเคชันของตัวเองเป็นทางเลือกในการทำงานเกี่ยวกับ Email และควบคุม Content ซึ่งข้อดีคือสามารถควบคุมเนื้อหาการใช้งานได้ลึกและทำงานร่วมกับโปรโตคอลมาตรฐานได้ เช่น องค์กรใช้ Gmail หรือ Office365 แต่แทนที่จะใช้ผ่าน Client ปกติก็สามารถใช้แอปพิเศษจาก VMware แทนได้ 
• Workspace ONE Access – Unified App Portal รองรับ Win32 App, iOS app , Android  App , Web App ,VDI และ SaaS app นอกจากนี้ยังสามารถทำ Single Sign-On ให้กับแอปพลิเคชันต่างๆ ได้
• Conditional Access – องค์กรสามารถกำหนด Policy เพื่อควบคุมอุปกรณ์ได้ในหลายระดับ เช่น ห้ามอุปกรณ์ที่ถูก Jailbreak/ Root เครื่องเข้าใช้งาน กำหนดให้ใช้ซอฟต์แวร์เวอร์ชันล่าสุด ตรวจสอบมัลแวร์ อนุญาตสถานที่ล็อกอินของอุปกรณ์ ควบคุมตัวบุคคล (Identity) ในการเข้าใช้งาน ทำ Policy ตามแอปพลิเคชัน หรือกำหนด VPN สำหรับแต่ละแอปพลิเคชัน นอกจากนี้ยังสามารถทำรายงานการใช้งานอุปกรณ์และแจ้งเตือนผู้ดูแลได้ด้วยเมื่อเกิดเหตุการณ์ผิดปกติ
• Zero Trust/ Intelligence Platform – ไม่ว่าองค์กรจะมีแอปพลิเคชันหรือจำนวนอุปกรณ์เพิ่มขึ้นแค่ไหน Workspace ONE ก็พร้อมขยายเพื่อรองรับการเพิ่มขึ้นได้เสมอ อีกทั้งยังตอบโจทย์การรักษาความมั่นคงปลอดภัยตามคอนเซปต์ Zero Trust อีกด้วย

รูป Workspace ONE Platform

รูป Workspace ONE key focus for Zero Trust

Workspace ONE สามารถนำไปใช้งานในลักษณะใดได้บ้าง

ปัจจุบันในไทยเองได้มีการนำ Workspace ONE เข้าไปแก้ปัญหาในหลายธุรกิจ อาทิเช่น

• ธนาคาร – ควบคุมอุปกรณ์การทำงานภายในไม่ให้ผู้ใช้งานดาวน์โหลดแอปพลิเคชันอื่น หรือกำหนดให้ต้องรีโมตกลับเข้ามาใช้งานแอปภายในองค์กรได้ นอกจากนี้ยังสามารถใช้แอปพลิเคชันจาก VMware เพื่อควบคุม Content ของ Email ให้ไม่ละเมิด Compliance และกฏหมายสิทธิส่วนบุคคลอย่าง PDPA ได้เช่นกัน
• Retail  โรงงานอุตสาหกรรม ประกันภัย – ควบคุมอุปกรณ์ Kiosk ให้มีเพียงแอปเดียวในหน้าจอเท่านั้น
• องค์กร – เปิดโอกาสให้พนักงานสามารถนำอุปกรณ์ตัวเองเข้ามาใช้ในที่ทำงานได้ด้วยนโยบาย BYOD ซึ่งจะมีการซิงค์โครไนซ์ตามโปรไฟล์ของผู้ใช้งานโดยไม่สนใจว่าอุปกรณ์นั้นจะเป็นอะไรหรือยี่ห้อไหน

Workspace ONE กับการควบคุมอุปกรณ์ Apple ในระดับองค์กร

ปกติแล้วอุปกรณ์ของ Apple สามารถถูกควบคุมได้หลายโหมดแต่เพื่อการใช้งานในระดับองค์กร Apple จะมีโหมดพิเศษที่เปิดให้องค์กรมีอำนาจควบคุมอุปกรณ์ได้ในเชิงลึก เช่น สั่งลงแอป ลบข้อมูล หรืออื่นๆ โดยเรียกโหมดนี้ว่า Supervision ซึ่งเริ่มขึ้นใน iOS 5 เป็นต้นมาและปัจจุบันสามารถทำได้กับ iPadOS และ tvOS ด้วย โดยวิธีการ Enable โหมดดังกล่าวสามารถทำได้ 2 วิธีคือ

1.เสียบอุปกรณ์เข้ากับ macOS และใช้แอปพลิเคชัน Apple Configurator อย่างไรก็ตามปัญหาคือไม่เหมาะกับการ Deploy อุปกรณ์ระดับองค์กรที่มีจำนวนมากและยังมีโอกาสที่จะรีเซ็ตโหมดกลับไปยัง Unsupervised ได้ (ตามโหมดที่ทำ Backup ไว้เพราะ Apple ป้องกันองค์กรเข้ายึดอุปกรณ์ส่วนตัวของผู้ใช้อย่างสมบูรณ์) ติดตามเพิ่มเติมได้ที่ ) https://kb.vmtestdrive.com/hc/en-us/articles/360000944893-iOS-Supervising-Your-iOS-Device

2.ผ่านบัญชี Apple Business Manager(ABM) หรือ Automate Enrollment (ในอดีตคือ Apple Device Enrollment Program ซึ่งในประเทศไทยเพิ่งจะใช้วิธีนี้ได้เมื่อไม่กี่เดือนที่ผ่านมา) โดย ABM จะทำหน้าได้อย่างสมบูรณ์เมื่อใช้ควบคู่กับโซลูชัน Mobile device Management (MDM) เท่านั้น ซึ่ง Workspace ONE จึงเข้ามาตอบโจทย์ในส่วนนี้ สำหรับขั้นตอนปฏิบัติขององค์กรมีดังนี้

• องค์กรสมัครบัญชี ABM ซึ่งจะได้รับ Organization ID มา (ฟรี! สามารถดูรายละเอียดการสมัครได้ที่นี่)
• ซื้อเครื่องในนามองค์กรผ่านตัวแทนจำหน่ายอย่างเป็นทางการ ซึ่งจะมีสิทธิ์ให้ความช่วยเหลือแก้ปัญหาและจัดเทรนนิ่งได้ พร้อมทั้งแจ้ง Organization ID แก่ตัวแทนจำหน่าย
• นำ Reseller ID เข้าไปทำ Whitelist หรือเป็นการผูกผู้ขายเข้ากับ ABM ของเรานั่นเอง
• ในขณะเดียวกันผู้ขายจากนำเลข Serial Number อุปกรณ์ขององค์กรเพิ่มเข้าไปในระบบของ ABM ด้วย (หากไม่ใช่ตัวแทนทางการจะไม่สามารถทำได้) 
• ผู้ดูแลขององค์กรเข้าไปตั้งค่าการทำงานใน ABM ให้ชี้ไปยังเซิร์ฟเวอร์ของ VMware Workspace ONE ให้รู้จักกัน จากนั้นอุปกรณ์ก็สามารถถูกควบคุมโดยองค์กรได้แล้วอย่างสมบูรณ์ (คล้ายกับขั้นตอนการแลกคีย์ ชี้ไอพี เหมือนตั้งค่า VPN ปกติ)
• ผู้ดูแลขององค์กรเข้าไปสร้างโปรไฟล์ใน Workspace ONE ให้เรียบร้อย
• ในมุมของผู้ใช้งานเองเพียงแค่แกะกล่องอุปกรณ์ที่ได้รับมาและเชื่อมต่ออินเทอร์เน็ตให้ได้ จากนั้นอุปกรณ์จะเข้าไปซิงโครไนซ์กับ ABM และจะถูกส่งต่อมายัง Workspace ONE เพื่อดาวน์โหลดโปรไฟล์ของผู้ใช้มาอย่างอัตโนมัติ จึงเป็นที่มาของโหมดที่ชื่อ ‘Automate Enrollment’ นั่นเอง 

วิธีการ Enrollment ด้วย ABM เป็นวิธีการควบคุมอุปกรณ์ได้อย่างสมบูรณ์ ที่ตอบโจทย์เรื่อง Security อย่างแท้จริง ในกรณีที่อุปกรณ์ถูกจัดซื้อในนามองค์กร โดยจะไม่มีวิธีการรีเซ็ตเครื่องหรือกระบวนการใดที่จะปลดล็อกเครื่องให้หลุดจากการควบคุมได้ (Supervised Mode) ยกเว้นเสียว่าผู้ดูแลขององค์กรจะทำการปลดอุปกรณ์ออกจาก ABM เสียเองประกอบกับขั้นตอนอื่นๆ เช่นกรณีที่บริษัทต้องการขายต่อเครื่องเก่าให้พนักงาน เป็นต้น นอกจากนี้ ABM ยังสามารถทำให้ซื้อ License และ Deploy Application จำนวนมากผ่าน MDM โดยไม่ต้องมี Apple ID รวมถึงผู้ดูแลขององค์กรยังสามารถสั่งลบข้อมูลกรณีเครื่องของพนักงานสูญหาย (Remote Wiping) หรือต้องการควบคุมความมั่นคงปลอดภัยเมื่อพนักงานลาออก ผู้สนใจสามารถศึกษาฟังก์ชันในการควบคุมอุปกรณ์ Apple ด้วย Workspace ONE เพิ่มเติมได้ที่นี่

ตอบโจทย์ BYOD ด้วยฟีเจอร์ใหม่ใน iOS 13 และ macOS 10.15

สำหรับองค์กรใดที่มีนโยบายอนุญาตให้พนักงานนำอุปกรณ์ตัวเองเข้ามาใช้ในองค์กรได้ (BYOD) ข่าวดีล่าสุดคือเมื่อกลางปีที่ผ่านมาทาง Apple ได้มีการประกาศอัปเดตโหมดของการ Enrollment ใหม่ที่ชื่อ User Enrollment ภายใต้ iOS 13 ซึ่งทำให้องค์กรสามารถควบคุมการใช้งานอุปกรณ์เบื้องต้นได้ เช่น บังคับใช้ Proxy, กำหนด Passcode Requirement, Per-app VPN, Exchange/Active Sync และ Email แต่ไม่รองรับการควบคุมขั้นสูงเช่น สั่ง Clear Passcode หรือสั่งลบแอปของผู้ใช้งานที่ติดตั้งเอง โดยผู้ใช้งานยังมีสิทธิ์ลบแอปที่ถูกสั่งติดตั้งได้เสมอ

User Enrollment ออกมาเพื่อรักษา Privacy ให้ผู้ใช้งานเพราะอุปกรณ์เหล่านี้ถือเป็นทรัพย์สินส่วนตัวและ Apple เองก็เคารพกติกานี้อย่างสูงสุด ด้วยเหตุนี้แม้การใช้งานดูเหมือนมีอิสระมากก็ตาม แต่ก็ยังมีการแบ่งแยกการใช้ข้อมูลระดับองค์กรออกจากข้อมูลส่วนตัว (Data Separation) ทำให้องค์กรสามารถสั่งลบข้อมูลในส่วนขององค์กรโดยไม่กระทบข้อมูลของผู้ใช้งานได้เช่นกัน โดย User Enrollment จะสามารถใช้ Azure AD Username เป็น Manage Apple ID (สร้างขึ้นจากโปรแกรม ABM) และฟีเจอร์นี้ต้องทำงานร่วมกับ Workspace ONE เวอร์ชัน 1909 ขึ้นไป ผู้สนใจสามารถชมวีดีโอได้ที่นี่ 

อย่างไรก็ดียังมีฟีเจอร์ใหม่ที่เพิ่มเข้ามาใน iOS 13 และ macOS 10.15 ที่ทำให้ Workspace ONE (1909 ขึ้นไป) มีความสามารถเพิ่มเติมดังนี้

• หน้าลงทะเบียนของเพื่อเข้า Enrollment กับ Workspace ONE สามารถปรับแต่งให้แสดงโลโก้หรือแบรนด์ของบริษัทได้ รวมถึงการแสดง Consent เพื่อยืนยันว่าผู้ใช้งานรับทราบก่อนแล้วเพื่อตอบโจทย์ Compliance และกฏหมายคุ้มครองความเป็นส่วนตัว
• หน้าลงทะเบียนเพื่อเข้า Enrollment สามารถปรับแต่งให้มีการ Authentication ได้ทั้งจากอุปกรณ์ iPad, iPhone หรือ Mac
• ฟีเจอร์ Restriction บน iOS สามารถป้องกันไม่ให้ผู้ใช้งานเข้ามา Disable บัญชี Exchange ไม่ให้ผู้ใช้งานสั่งปิด/เปิด Wi-Fi หรือใช้งาน Find My Friends/ My iPhone รวมถึงไม่ให้ใช้ QuickPath Keyboard หรือเข้าถึงไฟล์ผ่าน USB Drive ได้
• ฟีเจอร์ Restriction บน iOS ในในสิทธิ์ระดับ Supervision สามารถบังคับป้องกันการใช้ กล้อง, FaceTime, iCloud Document Sync/ Backup/ Keychain, Game Center Control และ Content ได้
• มีฟีเจอร์ใหม่ในโปรไฟล์และคำสั่งบน iOS เช่น เพิ่มชนิดการเข้ารหัสของ WPA3, เพิ่มทางเลือกสำหรับการตั้งค่า VPN, ป้องกันการใช้ Voice Control หรือแม้กระทั่งความสามารถ Wi-Fi Assist Policy 
• เพิ่มให้ macOS รองรับโหมด Supervision ได้แล้ว ซึ่งหมายความว่า Workspace ONE จะสามารถจัดการอุปกรณ์ macOS ได้ลึกมากขึ้น เช่น Handoff Restriction, Privacy Preference Scope, System Extension Profile Payload และ Control Certificate Private Key เป็นต้น
• บน macOS ฟังก์ชัน GateKeeper จะป้องกันไม่ให้ใช้แอปภายนอก App Store เพื่อความมั่นคงปลอดภัยแต่โซลูชัน MDM จาก Workspace ONE อยู่ในข้อยกเว้นที่สามารถทำ Whitelist ให้องค์กรใช้แอปภายนอกได้
• สามารถผูก FaceID ใช้กับ SSO เพื่อเข้าใช้แอปและเลือกใช้ identity provider อื่นก็ได้
• มีการทำ Federation กับ Azure นั่นหมายความว่าองค์กรสามารถใช้อีเมลผูกกับการจัดการได้โดยไม่ต้องพึ่งพา Apple ID

สรุป

สาระสำคัญในงานครั้งนี้คือการประกาศว่า VMware Workspace ONE สามารถทำงานร่วมกันกับ Apple Business Manager ได้ตั้งแต่พนักงานเริ่ม On-boarding ให้สามารถ Self-service ตัวเองเพียงแค่เปิดใช้อุปกรณ์เพื่อทำ Automate Enrollment ในการ Provision อุปกรณ์ได้โดยไม่ต้องพึ่งพาฝ่าย IT เลย นอกจากนี้ยังสามารถทำ Face ID SSO หรือกระทั่งขอความช่วยเหลือผ่าน Remote Assistant เข้ามาที่อุปกรณ์ได้ด้วย จนกระทั่งวันที่พนักงานคนนั้นลาออกผู้ดูแลก็สามารถสั่งลบข้อมูลสำคัญออกได้ ด้วยเหตุนี้เอง VMware Workspace ONE จึงเป็นโซลูชันที่ตอบโจทย์ความต้องการระดับองค์กรในการบริหารจัดการอุปกรณ์ทุกแพลตฟอร์มได้อย่างแท้จริง

ผู้สนใจรายละเอียดเพิ่มเติมหรือต้องการนำเสนอโซลูชันสามารถติดต่อ Ingram Micro ได้ตามที่อยู่ด้านล่าง

อีเมล : TH-VMware@ingrammicro.com

เบอร์โทรศัพท์ : 062-552-5151 (คุณปริ๊น, VMware Product Manager)