什么是企业应用商店

企业应用商店是结合了通信和互联网的优势服务平台，加之云计算所拥有的强大信息资源处理能力，借助广大的终端传递企业的服务和产品信息，SAAS模式的软件服务，可以大幅度的减少企业移动应用的运营成本。同时，企业应用商店是为企业级移动应用而生，用户群体以行业从业者和企业用户为主，用户查找企业应用的目标更强，安装使用的忠诚度更高。企业应用商店以行业和功能为主要分类方式，所有上架软件均通过机器测评和人工审核，且要求上传者对上传应用拥有知识产权和运营推广的权利，既可以保护企业利益，又可以保护用户使用应用的安全性。

企业应用商店的优势

虽然围墙战略已具有明显的安全保障，但一家应用商店所带来的好处绝不仅仅体现在防御层面。

首先，应用商店具有不少的经济优势。通过对应用下载的重新控制以及对授权应用数目的监控可以减少企业开支。企业应用商店还具备一个共性功能，即通过内部应用评定机制，取消那些不受青睐的或热度低的应用授权，从而节约公司的资金。此外，在企业应用商店系统里，能够访问包括苹果应用商店及其批量购买项目在内的公共应用商店，相互支持。

应用商店的企业化还有利于IT部门的维护和管理。例如，管理者重获了控制权，就能确保员工只使用符合公司安全条例的应用。另一方面，一家企业应用商店能够在同一时间把应用推送给整个行业的员工，使得更大群体范围的应用操作更加便捷。

企业应用商店的特征

支持多个移动平台

Virtusa公司首席企业架构师Rauf A.Adil表示，苹果iOS、Android(包括Honeycomb和ICS的多个版本)以及Blackberry操作系统(版本6.x、7.x和支持Blackberry OS和BlackBerry PlayBook OS、QNX)都应该得到支持。一些企业可能还需要支持其他移动平台，包括Windows Phone或者Bada OS(三星基于Linux的操作系统。)

浏览器和本地应用支持

企业应用商店应该允许应用程序从浏览器通过网址或者通过企业市场应用程序(类似于Google Play Store或iTunes App store)下载到设备中。

安全保护

将应用商店与企业单点登录或者身份管理系统以及MDM(移动设备管理)解决方案整合在一起。这样的话，应用程序下载将会位于安全的SSL(HTTPS)或者安全的VPN通道上。你的应用程序不应该允许通过不安全网络连接的下载。

访问控制

只有被授权的用户才能够下载和安装一个应用程序。授权可以通过受用户、角色和指定以及组授权驱动的服务器端ACL(访问控制列表)来实现。例如，在建筑物和设施管理工作的员工不应该被允许下载用于销售业务的移动应用程序。

推送通知

管理员应该能够使用受支持移动平台的推送功能来发送通知。这些通知提醒用户其设备上安装的应用程序已经可以安装更新。

OTA自动更新功能

Android和iOS(5.x)现在都可以支持OTA(通过无线方式自动更新)来更新现有的应用程序、安装补丁和其他相关的修复程序。企业应用商店应该包括将更新推送到设备的功能，通过设备的通知系统来通知用户。

设备登记和管理

企业应用商店应该包括用户、设备和应用程序的数据库。这可以通过使用MDM软件并将其整合到应用商店来实现。在企业中，一个用户可能拥有多个移动设备，同样地，设备可能由不同的用户来使用，每个用户有不同的账户和配置文件。

管理控制台、集中管理和控制

易于使用基于web的管理控制台是一个非常重要的功能，允许管理员批准新的应用程序或者对现有程序进行更新，而且还可以让管理员在必要的时候删除、保存应用程序。

识别恶意代码

恶意软件(例如木马应用程序)是公共应用商店存在的一个大问题，企业应用商店同样可能受到这些恶意软件的攻击，例如来自心怀不满的员工的内部攻击，或者来自与内部企业应用程序捆绑的第三方软件和服务包。应用商店应该提供方法来识别、阻止和删除不符合企业行为守则的应用程序。

发布过程

应用程序提交、批准和撤销应用程序应该有一个明确和简单的过程。应该制定一套明确的指导方针来指导应用程序的审批。还应该对企业的最佳做法、政策和设计指导方针进行验证和执行。

企业应用商店的部署

部署企业应用商店的条件

了解你的用户：了解雇员以及外部顾客如何使用技术和为什么要使用技术。两类人对应用发现的诉求不同。外部顾客可能寻找不同的应用类型，而内部员工则寻找能够提升工作效率的应用。

建立一个可以为全公司范围内的设备提供服务的超市：提供尽可能多的智能手机平台的超市，甚至提供PC端的应用超市，覆盖面要广。

创建一个吸引人的应用目录：如果你的企业应用商店与传统的应用超市相比，没有吸引人的应用或者没有特有的移动应用，这将阻碍你的应用超市的发展，用户也将会弃你而去。

确定哪些人可以访问你的企业应用商店，以及如何进行鉴权：用户的访问不能是一个按钮点击就进入所有的应用目录。企业应用商店需要提供用户角色确定的手段，以及根据角色分配不同权限的应用目录的能力。

分权分域管理应用：企业可以对不同机构、不同部门、不同职位的目标对象发布移动应用，为企业移动应用管理提供必要的权限控制手段。

建立统计报表，为移动应用优化提供依据：许多企业不太重视这块，但这是企业移动门户一个很重要的拼图，移动应用的使用情况统计，可以给企业决策者提供针对具体应用/业务的报表分析，从而可以做出更前瞻的业务规划或策略转变。

部署企业应用商店的方式

部署企业应用商店的几 个步骤 部署企业应用商店的5 大关键步骤如下：

1. 全面评估交付给用户的所有应用 —— Windows、数据中心、Web 及移动应用

2. 评估用户及其应用和数据接入需求

3. 定义企业安全要求，及面向每种应用及数据共享的策略

4. 规划合理的基础架构，将用户需要的应用和数据交付到他们选择的设备上，同时帮助IT 部门顺利实施安全性和数据共享策略

5. 通过分阶段方法部署企业应用商店

第 1 步：评估应用

有一点非常重要，那就是全面评估将交付给使用企业应用商店的所有用户组的全部应用。评估应用时，IT 部门应全面考虑并记录以下内容：

应用类型，如：

基于Windows 的应用 – 如Microsoft Office

数据中心应用 – 如SAP 或Oracle

内部Web 应用(在数据中心内进行托管和管理) – 如SharePoint

SaaS 应用(由第三方进行托管和管理) – 如SalesForce

移动应用(专门针对平板电脑或智能手机等移动设备设计，可能通过数据中心或公共应用商店交付) – 如QuickOffice

特定应用是公开交付给所有用户组还是仅交付给特定用户组

长期计划是继续交付该应用还是用原生移动应用版本取代

对于已经实现了Windows 应用虚拟化的企业来说，困难工作已经完成，实施企业应用商店自然而然成了将这些应用通过任何设备交付给用户的下一步。

第 2 步：评估用户

每家企业都有着不同类型的用户，他们对设备、应用和数据的要求也各不相同。进行企业应用商店部署规划时，IT 团队必须确定企业目录内每个用户组的设备、应用和数据接入需求。这些信息对于正确配置企业应用商店，以适合特定时间所使用设备的方式向每个类型的用户交付适当的内容至关重要。

第 3 步：制定正确的设备应用和数据安全策略

随着人们要求使用个人设备办公，自带设备(BYOD)趋势快速普及，而且企业也可以借此提高生产率。这意味着IT 团队再也不能禁止用户使用平板电脑和智能手机等移动设备办公。同时，企业必须牢记保护保密企业数据的责任，因此IT 团队必须确定各种接入方式的“可信性”。这种情况下的关键考虑因素包括：

设备概况:

– 设备是否归企业所有/由企业管理?

– 设备是否安装有最新的防病毒/防恶意软件/防网络钓鱼软件?

– 设备是否安装了最新的操作系统安全补丁?

– 设备是否需要输入密码才能接入?

– 设备是否被越狱?

接入地点：接入请求来自企业网络内部还是外部?

接入网络：用户的网络是专用/安全的还是公用的/不安全?

根据设备概况、接入请求发起地点和所使用的网络，企业应定义每种接入方式的可信度级别并制定独特的策略，规定允许(或不允许)每个级别对应用及数据执行的具体操作。购买并部署允许以细粒度实施所定义策略的安全接入解决方案非常重要。例如：针对每种应用分别制定安全策略，而不是制定适用于所有内容的总括性策略;能够定义具体详细的接入权限级别，如“只读”或“不能打印”(而不是只能无奈地选择“全面接入”或“不能接入”)。

第 4 步：规划基础架构

评估和安全策略制定工作完成后，下一步就是规划适当的基础架构来部署企业应用商店。在IT 团队设计解决方案时，企业应考虑5大核心原则：

通过“容器化(containerization)”保护应用和数据

为了在信息层解决数据安全性问题，“容器化(containerization)”方法可针对多种应用和数据类型提供必要的管控功能。

Windows：鉴于企业已在Windows 应用上进行了大量投资，而现在员工越来越多地需要使用非Windows 设备，因此通过虚拟化从数据中心内交付各种桌面应用对任何企业而言都是一种基本的容器化技术，而且许多企业已开始借助Citrix XenApp?等虚拟化解决方案来应对这一挑战。大多数Windows 应用是针对键盘和鼠标设计的，因此关键是要使用可在移动设备上优化用户体验的解决方案(如将鼠标功能修改为触摸功能，加大图标尺寸，需要输入数据时自动弹出键盘等)。

内部Web 应用：思杰最近进行的一项移动性调查显示，接受调查的所有公司中只有四分之一实现了对Web 应用的统一接入。这里所讲的容器化涉及多种下一代单点登录(SSO)技术。这些技术可将对各种网站——不管是企业内部和外部网站——的接入捆绑起来。

云数据：云数据存储的“容器化”通常被称作“Dropbox 问题”。这需要将加密、DLP 和链接文件接入等安全功能添加到企业目录中，进而确保IT 部门可以有效地管理数据保存和共享权限。

SaaS：SalesForce 及Evernote 等SaaS 应用的快速普及使企业无法控制这些关键应用，而顾名思义，这些应用本就在数据中心之外，由第三方厂商进行管理。根据思杰最近进行的一项调查，只有20%的企业相信可以有效地控制SaaS 应用的使用。通过在内部控制这种接入来实现SaaS应用的容器化和管理，并利用Security Assertion Markup Language(SAML)等标准，可以大幅度增强企业重新掌控SaaS使用情况的能力。

通过容器化保护移动设备中的数据安全

一种有效的设备管理方法是设备容器化。这种方法将接入和安全保护工作从设备上卸载掉，帮助IT部门重掌全面的信息控制权。

移动应用：在保护移动应用安全方面，有两点非常关键—对客户端应用进行‘打包’并为跨平台部署提供灵活性。应用打包可以将接入权限捆绑在一起，将原生移动应用放入到容器中，进而使应用可以根据IT策略进行管控、锁定和/或擦除。同时可将HTML5应用放入到容器中的解决方案可以提供一种灵活的跨平台解决方案，实现关键业务流程和应用的移动交付。

移动设备中的云数据：这包括加密移动设备中的数据文件、在不同设备间提供应用“跟随”和数据接入以及在必要时(如用户丢失自己的移动设备)支持擦除数据等。

根据身份控制接入

随着企业内应用的快速增加，需要解决的一个主要问题是将应用和员工的工作职能关联起来。这一原则的核心是基于角色的身份管理。这方面的解决方案包括：

对多种身份验证类型的灵活支持

Active Directory(活动目录)联合

角色与适当应用及数据存储的关联

通过SSO 将SaaS、Web 应用及Windows 应用接入捆绑起来，包括数据中心和外部云环境中的接入。

“活动”身份管理，自动完成应用接入权限的置备和取消置备。

根据策略控制接入

除了身份外，还必须制定全面的策略来提供“环境感知(contextually aware)”型移动信息接入。关键的检查要素和策略应包括：

位置(办公室，远程)

设备类型(智能手机、平板电脑和OS等)

设备状态(设备是否被越狱?是否启用了摄像头?)

网络强度/离线接入

身份验证要求(单因子/多因子)

基于事件的接入权限撤销(如规定时间内禁止接入)

然后，这些策略应深入适用于每个具体应用或文件，进而允许或限制接入。

通过自服务企业应用商店将这一切结合起来

完成上面的容器化和控制步骤后，IT部门就可以支持工作空间内的任何应用、设备或数据。接下来要做的就是平衡IT管控和出色的用户体验——这两方面的需求均可通过企业应用商店得到满足。企业应用商店的关键组件应包括：

交付所有应用和数据的统一应用商店：Windows、数据中心、Web、SaaS、移动应用和云数据

针对企业内每种“角色”的定制接入：例如，销售人员可以接入Salesforce，而财务人员可接入SAP等。

应用请求工作流程：用户可请求接入新应用，而IT部门可配置自动化工作流程，以获取管理许可(或拒绝)，置备新账户并在不需要IT部门干预的情况下将应用交付到用户商店中。

应用更新的自服务预定

面向移动设备的原生应用交付

不同设备间的应用和数据接入“跟随”

这些步骤记起来很简单，那就是“容器化、控制和交付(contain, control, deliver)”。使应用、数据和设备容器化;根据身份和策略控制接入;为每个用户交付个性化应用商店，允许用户通过单一点击接入所有资源。

第 5 步：部署企业应用商店

经验表明，通过分阶段方法可实现有效的部署。对于任何企业应用商店，很重要的一点是应以能获得最明显优势的用户开始。例如，与经常在办公室办公的员工相比，那些使用多种设备并且经常移动的用户是第一阶段部署的理想对象。

最理想的情况是，交付企业应用商店的新基础架构应与现有应用交付基础架构并行部署，以最大限度减少用户业务中断并简化IT变更管理工作。最先的用户组开始使用企业应用商店之后，最好等待两周后再开始下一阶段的工作，以确保定义的使用案例、安全策略和新基础架构如期运行。最先的用户组证明新应用商店的价值之后，就可以更快速地添加更多用户组。