什么是统一端点管理 (UEM)？

统一终端管理 (UEM) 通过简化的方式来增强端点安全性，使安全和 IT 团队能够以一致的方式，使用一种工具来保护所有端点设备。

UEM 是一项相对较新的技术，它将综合运用传统移动管理解决方案（包括移动设备管理 (MDM) 和移动应用管理 (MAM)）的功能与用于管理本地部署和远程 PC 的工具的功能。

统一终端管理 (UEM) 已被广泛用于管理自带设备 (BYOD) 计划以及结合本地和远程办公的混合工作模式。随着新冠疫情爆发后安全和 IT 团队调整以支持扩展的居家办公 (WFH) 计划，其采用率迅速上升。

UEM 是一系列移动安全管理工具中最新的一款，这些工具的出现是为了应对过去二十年中组织、员工、移动设备和工作方式之间不断变化的关系，且这些工具一直在演变。

从 MDM...

工作场所引入的第一批移动设备是公司所有的设备，并且开发出移动设备管理 (MDM) 工具，以便 IT 管理员管理和保护这些设备。借助 MDM 工具，管理员能够完全控制设备的所有功能。他们可以配置、注册和加密设备，配置和控制无线访问，安装和管理企业应用程序，跟踪设备的位置，以及在设备丢失或被盗时锁定设备并擦除设备内容。

...到 MAM...

原本，MDM 是一种可接受的移动管理解决方案，但在智能手机日益流行，以至于员工希望使用个人智能手机工作，而不愿意同时携带工作设备和个人设备之后，一切发生了改变。BYOD 出现了。很快，员工就开始一窝蜂地将他们的个人手机和个人数据的完全控制权交给了 MDM。

由此，一种新型解决方案应运而生，这就是移动应用管理 (MAM)。移动应用管理 (MAM) 并不是管理整个移动设备，而是专门关注应用程序的监督与控制。利用 MAM，管理员可以完全控制企业应用程序以及与之相关的企业数据，他们还可以对员工的个人应用程序施加足够的控制，以保护公司数据，同时又无需接触甚至不会看到员工的个人数据。

...到 EMM...

但 MAM 解决方案也存在局限性，而大部分原因是，面对员工可能添加到其 iOS 或 Android 设备的新应用程序的爆炸式增长，此类解决方案根本无力应对。

作为回应，供应商结合了 MDM、MAM 和一些相关工具来创建企业移动管理 (EMM) 套件。EMM 结合了 MDM 的企业数据安全、MAM 的优越员工体验，以及对办公室外使用的所有设备（不仅包括智能手机，还包括远程笔记本电脑和台式机）的管理和安全控制。

...到 UEM

EMM 还遗留了最后一个端点管理问题（和潜在的安全漏洞）。由于它不提供管理现场最终用户设备的功能，因此需要管理员利用不同的工具和策略来管理现场和场外设备，并确保安全性。这会加大工作量、造成混乱并增加了出错的机会，而与此同时，越来越多的雇主尝试让更多的员工居家办公。

为解决这一问题，UEM 应运而生。它将 EMM 的功能与传统上用于管理本地部署 PC 和笔记本电脑的客户端管理工具 (CMT) 的功能相结合。大多数 UEM 工具还包括端点安全工具，与之集成或与之交互，例如防病毒和反恶意软件、Web 控制软件、用户和实体行为分析 (UEBA) 解决方案、集成防火墙等。

利用多种端点管理工具来管理和保护分布于不同位置的不同端点设备时，会给安全和 IT 团队带来大量手动的重复工作，并增加了出现不一致、错误配置和错误的机会，从而使端点和网络极易受到攻击。

UEM 创建了单一的中央仪表板，供 IT 管理员和安全团队在其中查看、管理和保护连接到企业网络的每个端点设备，从而大幅降低了工作量和风险。

UEM 工具适用于所有 PC 和移动操作系统，包括 Apple iOS 和 MacOS、Google ChromeOS 以及 Android、Linux 和 Microsoft Windows。（某些解决方案可能还支持 BlackBerry OS 和 Windows Phone 移动操作系统。）许多 UEM 解决方案还支持打印机、终端用户IoT 设备、智能手表、可穿戴设备、虚拟现实头戴设备和虚拟助理。这些工具可帮助员工和业务合作伙伴连接到网络并高效地完成工作。

UEM 可以识别网络上的所有设备，无论其连接类型、连接频率以及连接位置如何。UEM 甚至可以实时发现管理员或安全团队未发现的已连接设备。

由此，中央仪表板管理员可以执行或自动执行任何或所有设备的关键管理和安全任务，包括：

• 注册和配置设备：为缓解 BYOD 的管理负担，UEM 解决方案提供了一个门户，供用户自助注册并自动配置设备。UEM 还会自动为尝试连接到网络的任何新设备或未知设备强制执行注册和配置。
  
  
• 应用和强制实施安全策略：管理员可以指定多重身份验证、密码长度和复杂性、密码更新、数据加密方法等。UEM 支持管理员通过一种工具在所有设备上实施一致的策略，从而大大减少了 IT 部门和安全人员的手动工作。
  
  
• 推送补丁和更新：UEM 可以扫描端点的软件、固件或操作系统的漏洞，并在需要的地方自动推送补丁。
  
  
• 控制应用和应用程序：雇主可以批准或禁止使用特定的应用或应用程序，防止未经授权的应用或应用程序访问企业数据。许多 UEM 工具均支持创建应用商店，供用户下载、安装并定期更新企业批准的应用和桌面应用程序。
  
  
• 隔离企业数据和个人数据：这种方法可以保护企业数据和个人数据，并为 BYOD 提供最佳用户体验。
  
  
• 保持端点安全解决方案为最新版本：管理员可以在设备上安装最新的防病毒定义，使用最新的限制或批准网站更新网页过滤器，甚至调整防火墙以防御最新的威胁。
  
  
• 确保连接安全：管理员可通过 UEM 指定连接类型。例如，wifi、VPN，以及按设备、按用户甚至按应用程序连接。
  
  
• 识别和修复威胁：通过与 UEBA、端点检测和响应 (EDR) 以及其他安全技术集成，UEM 可以帮助识别表明存在持续或潜在威胁的异常设备行为，并触发其他安全工具，以采取行动，应对威胁。
  
  
• 擦除和锁定丢失、失窃或生命周期结束的设备：作为最后的防线，管理员或安全团队可以利用 UEM 定位、擦除数据、锁定或重置丢失、被盗或已退役的设备。此 UEM 功能可以防止未经授权访问网络，并确保设备上的任何敏感数据不会落入错误的人手中。还可以重置报废的设备以供个人继续使用。

关键在于，UEM 的全方位方法使安全和 IT 部门能够不再区分设备的在场与否、移动设备与桌面设备，以及 Windows、Mac、Chrome 或 Linux 等各种操作系统。相反，他们可以只专注于高效的设备和安全管理。

如前所述，管理和保护组织 BYOD 策略、日趋混合的员工队伍和范围不断扩大的居家办公计划所用的技术不断变化，而 UEM 正是在这些技术的相互碰撞中发展而来的。但组织也采用 UEM 来支持其他战略管理和安全计划，包括：

简化法规合规性：混合员工队伍会让证明行业及数据隐私法规合规性，以及强制实施此类法规变得更加复杂。UEM 解决方案可以帮助降低这种复杂性。

例如，UEM 使组织能够制定单一策略，确保每台设备都遵守 GDPR（通用数据保护条例）、《健康保险流通和责任法案》 (HIPAA) 以及其他数据隐私法规中规定的加密要求。UEM 数据隔离和应用程序控制功能可帮助管理员确保只有获得授权的应用程序或移动应用才能访问高度监管的数据。

零信任安全：在零信任安全方法中，默认情况下，所有端点均被视为恶意端点。所有实体（包括用户、设备、帐户）都被授予支持其工作或职能所需的最低访问权限，并且必须持续监控所有实体，在持续访问的过程中还需要定期重新授权。UEM 可以通过多种方式支持零信任实施，如简化所有设备的最低访问权限配置，支持实时查看连接到网络的每台设备等等。