什么是MDM移动设备管理（Mobile Device Management）

大家好，欢迎来到IT知识分享网。

MDM（移动设备管理）是一种集中管理移动设备的技术，通过设备接口以及整合多平台的通信协议，达到管控Android，iOS，Windows，Linux等操作系统的手机，平板，电脑等设备的目的。

目录

背景

移动设备管理实现方法

EMM企业移动设备管理（Enterprise Mobile Management）

MDM移动设备管理（Mobile Device Management）

移动设备管理主要能力

设备资产管理

策略配置管理

应用策略管理

远程管理

告警管理

总结

移动设备管理行业背景

随着信息化进程的不断深入，数据安全日益受到重视，传统的资产管理已无法满足企业对设备管理的精细化需求。 据市场研究机构 IDC 预测，2024 年全球移动设备管理 (MDM) 市场规模将达到 69 亿美元，预计到 2029 年将增长至 220 亿美元，预测期间内复合年增长率 (CAGR) 将达到 26.1%。推动市场增长的主要因素包括：日益严峻的安全形势、对管理和保护日益增长的移动设备需求、基于云的 MDM 解决方案的普及以及对远程管理功能的不断增长需求。 移动设备管理正日益成为企业提高管理效率、降低成本和实现合规的重要解决方案。

移动设备管理实现方法

EMM企业移动设备管理（Enterprise Mobile Management）

EMM移动设备管理，这里特指的是谷歌提供的安卓设备管理的能力。谷歌作为 Android 操作系统的开发者，也提供了相应的设备管理能力，用于管理搭载 Android 5.0 或更高版本的设备。这些设备支持设备管理模式，允许企业 IT 管理员对已注册的设备进行管控。根据设备不同的注册类型，可以进行对应能力的管控。

Android Enterprise 使用设备政策控制器 (DPC) 应用来强制执行设备管理政策。为客户提供设备管理解决方案，通常包括设备端设备政策应用（DPC 应用）和基于云的 EMM 控制台。企业客户可以注册设备，将管理政策应用于使用 EMM 控制台注册的设备。企业也可以通过集成谷歌提供的EMM设备管控SDK来实现设备管理的目的。

DPC 应用可以在个人设备和公司自有设备上运行，Android Enterprise 可以使用以下设备管理模式：

• 全托管式（Fully managed device）（也称为设备所有者模式（device owner mode））：DPC 应用会在设置期间设为设备所有者，用于管理整个设备。此类设备管理只能出于工作目的在组织自有（公司自有）设备上使用。
• 工作资料（Work profile）（也称为受管理资料模式（managed profile mode））：DPC 应用会设为资料所有者，且仅管理设备上的工作资料，其中也包含个人资料。此类设备管理可在个人设备或组织自有设备上使用。

Device Owner和Work Profile权限简单来说就是设备所授权的功能以及可以达到的管控能力强度不同，这里不展开说明，后续我们会单独介绍。

如果需要使用谷歌EMM的方式管控设备，企业需要先注册谷歌Enterprise企业账号，设备可以通过二维码的注册、基于 NFC 的注册、账号或基于云的注册，的设备与企业账号建立关联。这里需要注意的是，通过EMM注册的设备必须符合并通过GMS框架规范，才能成功注册并管控设备。

MDM移动设备管理（Mobile Device Management）

移动设备管理供应商通过通过网络协议访问移动设备管理平台，并通过DPC与设备接口进行交互，从而达到设备状态上报，策略下发等功能，达到设备管控的目的。这类管控设备的能力更灵活，支持设备种类也更加丰富。值得注意的是，此类设备管控方法仍需遵循一些如数据GDPR，医疗HIPPA等法规和规范。

安卓

目前主流安卓MDM平台一般都采用，设备代理（DPC）来实现对设备的管控，DPC是指安装在移动设备上的软件，它充当 MDM 服务器与设备之间的桥梁。DPC一般以设备应用的形式呈现，他可以预装载设备ROM中，也可以通过其他方式后装指设备中，不同的注册方式（获得不同的设备权限）以及不同的设备，DPC 可以执行以下操作：

1. 注册设备

设备注册是 MDM 的第一步，也是至关重要的步骤。它使 MDM 服务器能够识别和管理设备。DPC 通常会负责注册过程，具体步骤如下：

•  设备发现：DPC 会主动搜索附近的设备，或等待用户手动触发注册。
•  设备通信：DPC 与设备建立连接，并进行身份验证。
•  设备信息收集：DPC 收集设备的基本信息，例如设备型号、操作系统版本、IMEI 号码等。
•  设备注册：DPC 将设备信息发送到 MDM 服务器，并将其添加到受管设备列表中。

成功注册后，设备将与 MDM 服务器建立通信通道，并定期进行状态报告和策略更新。

2. 执行策略

MDM 策略是一组配置设置，用于管理设备的行为和安全性。策略可以涵盖广泛的设置，例如：

 密码策略、 应用程序控制、 Wi-Fi 和 VPN 配置、 数据加密、 远程擦除、锁定等等

DPC 负责从 MDM 服务器接收策略并应用于设备。具体来说，DPC 会将策略解析为设备可理解的格式，并逐项实施。如果设备未遵守策略，DPC 会发出警告或采取纠正措施。

3. 报告设备状态

DPC 会定期收集设备状态信息，并将其发送到 MDM 服务器。这些信息通常包括：

 设备位置、 电池电量、 存储空间使用情况、 应用程序使用情况、 安全事件。

MDM 服务器可以使用这些信息来监控设备健康状况、识别潜在问题并衡量策略的有效性，可以实现的功能取决于设备可以提供的API接口。
 

IOS

通过部署移动设备管理 （MDM） 解决方案，管理员可以安全地远程配置已注册的设备。管理员使用 Apple 校园教务管理（Apple School Manager）或 Apple 商务管理（ Apple Business Manager ）来注册组织拥有的设备，进行管理。用户可以注册自己的设备。注册设备后，管理员可以更新软件和设备设置、监控组织策略的合规性、远程抹掉或锁定设备，以及安装内部开发或通过 Apple 校园教务管理或 Apple 商务管理购买的 App 和图书。管控流程分为一以下个步骤

第 1 步：关联至 Apple 或参加计划的经销商
将 Apple 客户编号或经销商编号关联至 Apple 商务管理（ABM）中，则在关联完成后，任何 iPhone、iPad、Apple TV 设备和 Mac 电脑的订单都会自动出现在 Apple 商务管理中。

第 2 步：关联第三方 MDM 解决方案
之后必须在 ABM中至少关联一个第三方移动设备管理 (MDM) 解决方案，然后才能开始分配设备。

第 3 步：将设备添加至 Apple 商务管理
使用你的 Apple 客户编号或经销商编号所购买的设备会自动显示在 Apple 商务管理中。还可以使用 Apple Configurator 手动添加你名下的设备。

第 4 步：将设备分配给 MDM 服务器
待设备出现在 Apple 商务管理中后，你必须将它分配给 MDM 服务器。你可以手动将设备分配给 MDM 服务器或设置自动分配功能。

第 5 步：在 MDM 中注册设备
现在可在 MDM 中注册设备，以便应用管理策略。可以自动注册你名下的设备；或者，用户可以手动注册他们的设备。当用户注册他们的设备时，该设备会分配给MDM并添加到ABM的设备列表中。

MDM 服务器可用于监控设备状态并管理设备。 您可以查看有关设备的信息，例如型号、操作系统版本和安装的应用程序。 还可以远程执行任务，例如更新软件、擦除设备和锁定设备。

Window

Windows 也提供了企业管理的解决方案，帮助 IT 专业人员管理公司安全策略和业务应用程序，同时避免用户在其个人设备上的隐私受到损害。 内置的管理组件可以与管理服务器通信。

Windows 管理组件有两个部分：

• 注册客户端，用于注册并配置设备以与企业管理服务器通信。 
• 管理客户端，定期与管理服务器同步，以检查更新并应用 IT 设置的最新策略。

第三方 MDM 服务器可以使用 MDM 协议管理 Windows 设备。 内置管理客户端能够与支持本文档中所述协议的第三方服务器代理进行通信，以执行企业管理任务。 第三方服务器在注册时具有相同一致的第一方用户体验，这也为 Windows 用户提供了简单性。 MDM 服务器无需创建或下载客户端即可管理 Windows。

本文主要介绍移动设备管理能力，Windows系统之后会在其他文章中详细介绍。

鸿蒙

华为鸿蒙设备也提供了移动设备管理的能力，包括设备管理类API和应用权限管理类API，为安装在华为设备上的用于企业环境下的应用提供系统级权限的管理功能。目前属于刚刚起步阶段。

由于MDM能力API大都具有敏感权限，为保障消费者权益，华为将对开发者的资质、API的具体使用场景等做审核之后，仅对用于企业环境下的应用予以授权使用。目前能够提供鸿蒙设备管控能力的MDM平台还比较少，EasyControl MDM目前是为数不多可以提供成熟鸿蒙设备MDM解决方案的供应商之一。

其他还有Linux，UOS，ChromeOS等等许多系统都提供了设备管理的能力，这里就不逐个展开，有兴趣的小伙伴可以私信交流。

移动设备管理主要能力

MDM 是一种可以帮助组织在其各种企业应用场景中实现安全性和合规性的强大工具。 通过仔细规划和实施，组织可以利用 MDM 的优势来保护数据、降低成本并提高效率。

我们常见的餐厅点餐用平板，公共场所的视频广告播放设备，智能家居设备等等都是MDM能力的具体体现，MDM常见功能包括以下几点。

设备资产管理

 设备资产管理是移动设备管理平台的基础功能之一。主要包括设备信息和设备指令两个部分。MDM服务器通过和DPC或者设备平台API交互，主动上报设备信息或者下发指令2种基础操作。

• 设备信息

通过设备数据上报，获取设备硬件,软件信息，包括品牌，型号，芯片，系统版本等信息。也可以获取设备性能信息，例如cpu，rom，ram使用情况，电池电量，音量等等信息。

• 设备指令

设备指令属于一次性指令，下发后会等待设备消费，在线离线设备都可以发送设备指令。指令包括远程锁定设备，重置密码，恢复出厂设置等等，可以做到批量设置设备的能力。

策略配置管理

设备策略配置管理是移动设备管理平台的另一个重要领域，通过对设备进行不同策略的配置，可以将设备进行指定设置，从而满足企业各种不同的应用场景。EasyControl MDM平台会轮询检查设备配置不被修改，从而确保设备设置长期有效。

• 定制系统

通过DPC与MDM平台的交互，企业可以获得修改设备系统的能力，例如设置开关机动画，屏保，应用图标等等。MDM可以批量定制设备系统，动态管控设备状态，从而大大提高了管理的效率与灵活性。

• 安全设置

MDM平台可以设置不同类型的安全设置，通过与设备DPC的交互，完成对设备的安全设置。例如可以下发禁用摄像头，屏幕截图，恢复出厂设置等策略，从而限制设备的一些危险功能。也可以通过策略下发邮箱，WIFI，APN等配置，免去逐个设置设备的重复工作。DPC或者设备管理平台API提供上百种设备策略设置，从而满足企业不同的使用场景。

应用策略管理

另一块重要的策略就是软件应用的策略管理。如教育，零售，金融银行等等行业对设备应用的应用管控也有着非常高的要求。MDM移动设备管理一样可以提供应用管控的能力。

• 应用市场

提供私有化应用市场的能力，限制设备应用的使用，只有指定的应用可以在设备端安装。设备可以选择自由安装指定应用，也可以通过MDM平台批量安装，卸载，升级应用。支持静默安装卸载，设备端用户不会收到任何提示自动开始安装。

• 应用策略

MDM提供批量设置应用策略的能力，主要包括应用的使用时间，授权权限（访问相机，通讯录等），无法被“杀”等等。

• 应用霸屏（Kiosk）

Kiosk模式是设备管理的一个重要应用之一，它支持限制设备一直使用一个或者多个应用，并屏蔽常规设备系统操作，例如开关机，返回桌面等等。许多应用场景，包括样机展示，零售收银，餐厅点餐，大屏广告都是使用了Kiosk应用霸屏的能力。

远程管理

移动设备管理提供了远程管控设备的能力，通过远程访问设备查看设备异常，抓取设备日志并上次MDM服务器。并通过文件同步，远程ADB调试，OTA升级等能力，远程处理设备问题。

• 文件传输

支持批量上传下载设备文件，提高设备管理效率。

• 控制管理

MDM提供远程访问查看并控制设备的能力，极大地降低管理分散设备的成本。

• OTA升级

OTA软硬件升级是企业安全管理的硬性要求之一，保持设备系统以及软件处于最新版本能有效地防止系统漏洞以及提升设备性能。

告警管理

当设备处于异常使用状态的时，DPC或设备平台API可以及时监控设备异常状态。MDM服务器设置异常阈值，从而在异常出现时及时作出对应的处理。并且成功设置后不会收到网络情况的影响，下发设备的安全策略仍然生效。

• 地理围栏

可以指定设备在固定的地理区域使用，并且在设备超出既定的地理范围时，作出对应的操作，例如发出警报，发送邮件或者抹除数据。

• 性能监控

可以持续监控设备电量，CPU占有率，内存使用，设备温度等信息，在检测到异常数据时作出对应的操作。

• 交互警报

可以监控设备是否有被允许的交互操作，例如违规使用USB，蓝牙传输，NFC传输等，在检测到异常交互情况时，作出对应的告警操作。

总结

移动设备管理广泛应用于零售，餐饮，教育，医疗，物流仓储，金融，广告等行业。零售，餐饮等行业通过Kiosk霸屏模式将成本低廉的手机，平板设备变为收银，点餐等专用设备。教育通过私有化应用市场，有效的管控了青少年的智能设备使用策略。仓储物流行业也通过移动设备管理，很好的管控了分散在不同物理位置的移动设备，有效地降低了这些昂贵设备的使用损耗。

例如某政府需要统计某一城市的人口收入数据，需要地推人员拿着移动设备进行调查并上报数据。该政府通过移动设备管理的能力，禁用了设备的摄像头，截屏，电话以及外接数据传输能力，防止了保密数据从设备中外泄的可能。通过地理围栏功能，指定了每一个设备统计固定区域的数据。并通过应用白名单的形式，要求设备只能使用具体的统计应用，提高了效率。并在统计完成后将设备数据上传归档，重新删除设备并重复使用，从而降低了设备成本。

随着企业管理的颗粒度越来越细，越来越多的企业开始了解，学习，应用MDM平台，我们EasyControl MDM有着多年的MDM移动设备管理开发经验，并有着海内外客户的项目经验，如果大家对移动设备管理感兴趣，欢迎和我们学习，沟通和交流。

上海艾拉比智能科技有限公司

电话: 4008-210-928

邮箱: business@easycontrol.io

地址: 上海市浦东新区博云路2号浦软大厦201室

参考资料：

EasyControl MDM 中国 海外

业务介绍-MDM能力 | 华为开发者联盟 (huawei.com)

 移动设备管理描述文件介绍 – 官方 Apple 支持 (中国)

设备管理概览  |  Android 开源项目  |  Android Open Source Project (google.cn)

移动设备管理市场规模和份额分析-行业研究报告-增长趋势 (mordorintelligence.com)

本文作者

范瑞凝

Easycontrol MDM平台产品经理，长期从事移动设备管理、物联网、嵌入式开发等的研究和产品设计工作，有丰富的企业移动设备管理开发以及落地实践产品经验。邮箱：