白皮书 英特尔IT部门IT最佳实践使用原生电邮的解决方案2014年2月 使用Android*设备的原生应用处理企业电子邮件、日程表和通讯录 借助我们的解决方案，员工可以使用Android设备上的原生应用访问企业电子邮件、日程表和通讯录。
总体概述 随着英特尔的自带设备（Bring-You-Own-Device，简称BYOD）计划不断发展，加上Android*设备愈来愈加流行，英特尔IT希望能帮助员工克服在使用这些设备的过程中遇到的障碍，同时确保企业的数据安全。
通过交付一款使用原生电邮应用的解决方案（NativeEmailSolution，简称原生电邮解决方案），我们正朝着这个目标进发。
该解决方案可让员工使用Android设备上的原生应用来访问和处理企业的电子邮件、日程表和通讯录。
我们的解决方案在保护这些设备时达到了足够高的标准，这样员工还可以使用其他需要访问公司数据的企业应用。
PaulDonohue英特尔IT移动计算工程师 RobEvered英特尔IT高级信息安全专员 DerekHarkin英特尔IT移动计算工程师 AideenPrendergast英特尔IT项目经理 EmerRoche英特尔IT移动计算工程师 要实现对Android原生应用的支持，我们需要应对三个关键挑战： •信息安全。
在2011年年底发布4.0版本之前，Android尚未提供加密或双重身份验证功能，而这些功能正是我们访问企业数据时的必需。
•OS碎片化。
设备制造商可以定制AndroidOS，导致版本出现了数百种不同形式的变种。
•扩展。
由于存在安全威胁、OS碎片化风险以及越来越多的AndroidOS/设备组合，为设备提供注册和设置方面的支持变得愈加困难。
我们的原生电邮解决方案使用的应用中包括电子邮件、日程表以及通讯录，并且采取以下的方法去解决上述的挑战： •缓解安全风险。
我们针对一系列的威胁、漏洞和后果对Android4.0及其更高版本评估后，开发了各种能够尽可能限制风险的缓解措施。
此外，我们亦要求移动设备管理（MobileDeviceManagement，简称MDM）解决方案供应商添加特定的证书提供功能，以帮助降低风险。
•适应不同制造商提供的多种设备。
员工需要首先使用MDM解决方案注册他们的设备，然后手动设置他们的电子邮件账户。
手动的步骤数量取决于设备的类型—此乃由于AndroidOS碎片化所致。
•支持英特尔员工使用的大多数Android设备。
大多数员工使用的Android设备通常属于以下其中一种：基于英特尔®架构的设备，Android开源项目（AndroidOpenSourceProject，简称AOSP）设备，以及由一家特定的第三方供应商提供的设备。
•帮助员设置工。
详细的步骤描述可以补充通用的自动说明，可指导员工完成设备注册和电子邮件账户的设置流程。
而且，这亦有助减少向IT服务台求助的次数。
我们在2013年中期对首批使用原生电邮解决方案的6,000名员工开展了一次抽样检查，结果显示90%的员工认为这种解决方案可以接受，81%的员工表示与自2005年就在使用的安全容器相比，他们更喜欢使用设备上的原生应用。
除了让员工感到满意和帮助他们获得更高的工作效率外，我们还凭借MDM许可证的价格（比安全容器许可证更为低廉）实现了成本节省。
IT@Intel白皮书使用Android*设备的原生应用处理企业电子邮件、日程表和通讯录 目录 总体概述.......................................1背景...............................................2 保护Android设备的优势..........2挑战...........................................3支持Android原生电件应用的解决方案.......................................41.安全风险评估.........................42.设置解决方案.........................53.选择适合此解决方案的 Android设备.........................54.用户培训................................6结果...............................................6总结...............................................7更多信息.......................................7缩写词...........................................7 IT@INTEL IT@Intel计划将全球各地的IT专业人员及其在我们企业中的同仁紧密联系在一起，共同分享经验教训、方法和战略。
我们的目标十分简单：分享英特尔IT获得业务价值并实现IT竞争优势的最佳实践。
如欲了解更多信息，请访问/IT或联系您当地的英特尔代表。
背景 在2011年年底，英特尔IT已管理着约6,000台搭载GoogleAndroid*操作系统的设备，当时员工仅使用一种安全容器解决方案来管理电子邮件、日程表和通讯录。
两年以后，设备的数量几乎翻了四倍。
我们的目标就是持续为员工提供最佳的用户体验，其中一部分就是希望能帮助这个不断增长的用户群体按照他们想要的方式使用Android设备上的原生应用来访问企业电子邮件、日程表和通讯录，同时尽量提高信息安全和IT效率。
这一计划也会为电子邮件、日程表和通讯录之外的业务应用提供基准的数据安全。
提供使用Android原生电邮应用的解决方案是支持IT消费化的一个关键计划。
我们希望在不会增加英特尔风险之际，同时提高员工的选择自由度。
我们的员工希望能快速地发送电子邮件、安排会议，或者使用他们选择的设备（包括Android设备）参加电话会议。
原生电邮解决方案使这种愿望成真。
除了电子邮件以外，它还为其他业务应用提供基本的企业数据安全；这款解决方案不仅降低了Android设备的IT管理成本，而且在性能上并不亚于任何其他操作系统设备上交付的相等应用。
保护Android设备的优势 经过大量的分析之后，我们发现保护Android设备可以获得众多优势： •使用原生电邮应用，我们大幅度降低了安全容器解决方案的许可证开支，或者至少改变了这些许可证的用途，将它们用在其他较不安全或较不成熟的平台上。
•员工在使用配有安全容器解决方案的Android设备时无法体验到诸如电子邮件、日程表和通讯录人等全部的企业服务。
这种限制给产能、工作效率、以及工作满意度都带来了负面的影响。
然而，支持员工使用Android设备上的原生应用查看个人和公司日程表有助于他们在工作和生活间实现平衡。
他们可以更轻松地找到空闲的英特尔同事，从而方便活动的安排，这对于一家员工位于不同时区的跨国公司来说意味着获得了节省时间的优势。
•就使用量而言，基于英特尔®架构的Android设备相比任何其他设备/操作系统组合增长得更快。
为了利用减少了许可证开支的优势，我们希望把尽多的企业服务提供给越来越多在我们的BYOD计划中注册这些设备的员工。
•应用开发团队需要测试基于英特尔架构的Android设备。
我们不想因安全容器解决方案而使他们在设备上测试应用时有所限制。
•使用开源的Android平台让员工可以发挥自己的创造力和创新能力，因而甚得他们的喜爱。
在使用第三方安全容器时，我们不仅限制了Android的优势，还阻碍了员工在他们所选平台上创新。
•许多拥有可穿戴计算设备的员工更愿意使用Android平台。
例如，他们希望在智能手表上接收新的电子邮件或日程表通知，这可能要求该手表上的原生应用能够访问电子邮件。
2/IT 使用Android*设备的原生应用处理企业电子邮件、日程表和通讯录IT@Intel白皮书 挑战 在我们创建一款由IT支持、可扩展的企业级解决方案之前，需要充分了解复杂的Android生态系统和它带来的挑战。
我们从三个方面探索：数据安全、OS碎片化和扩展功能。
数据安全在2011年，英特尔员工使用的Android设备大多是运行着2.3版本。
英特尔IT认为这种操作系统相对于我们的业务环境来说是一种不安全的平台，同时它也达不到支持原生应用（电邮、日程表和通讯录）的最低要求。
更确切地说，该版本既不能保护静态数据（即使加密），也无法为我们企业内部服务的访问提供双重身份验证。
为了可以让员工使用自己的Android设备处理工作，我们必须通过一个经过加密的安全容器向这些设备交付电子邮件、日程表和通讯录数据。
这种折衷的方案是当时我们在风险和回报之间获得平衡的唯一办法；虽然实现了员工的部分愿望，但因为以下各种原因，该解决方案尚不够理想： •第三方安全容器的许可证非常昂贵。
•还有一些风险尚未解决—我们使用的容器虽然安全，但它运行的平台却不一定。
•安全容器不允许设备运行任何要求公司数据访问的应用，因此与运行一个不需要安全容器的操作系统相比，员工此时能处理的事比较有限。
•手势控制、语音输入和其他依赖于设备传感器的技术与安全容器不兼容。
•一些安全容器支持公司电话簿同步功能，然而这会暴露更多的企业数据给不安全的Android平台，从而导致风险增加。
•通过安全容器来管理各种业务应用既昂贵又困难，同时还不具备扩展能力。
在2011年年底时发布的Android4.0提供了其他企业安全功能，有助于我们支持使用电子邮件、日程表和通讯录等原生应用时必须实行安全和经济高效的Android设备管理，而这也是我们的员工一直以来的要求。
在托管设备上安全地支持其他Android业务应用方面，这些新功能也提供了基础。
与为多个应用分别提供容器相比，管理整个设备不仅经济高效，而且效率更高。
OS碎片化Android操作系统的碎片化是我们在4.0版本之前支持使用原生应用的另一个阻碍。
每当Android操作系统发布一个新版本时，设备制造商总能对之修改。
这意味着我们必须管理千多种Android操作系统版本和设备的组合。
为这种大规模的OS碎片化提供支持是一件耗时费力的工作。
因此，我们需要创建一款易于扩展和管理的解决方案，尽量减少IT服务台介入支持。
在开发解决方案的过程中，还需要考虑有关OS碎片化其他的因素： •Android4.1.1和Android4.4.0在安装方面让我们遇到了一些与证书有关的问题，这些问题也导致了电子邮件同步的中断。
•操作系统更新发布日期随设备型号、国家和运营商的不同而有差异，我们因此无法仅在操作系统级别上测试。
•设置解决方案所需的步骤也会受到操作系统/设备组合的影响。
•即使使用相同的解决方案，设备的性能也因各种型号、年龄、安装有不同的应用和数据使用而有分别。
扩展功能随着Android操作系统/设备组合的不断增加，加上信息安全的需要和OS碎片化变得更为复杂，创建一款我们可以高效管理的解决方案变得愈发困难。
我们遇到三个主要的问题： •设备资格。
审核每个Android设备是否合资格并不容易。
我们需要对每个型号/操作系统版本组合评估，以确定出需要做些什么才能满足最低的数据安全和技术要求。
相比之下，对于运行其他操作系统的移动设备，我们可以只在操作系统级别上确定资格，因此就可以借助全面自动化的设备设置流程。
•适用于手动流程的用户说明。
由于注册流程要求员工手动操作，需要制作详细地说明和培训材料。
•可扩展的支持。
创建并维持超过1,000种针对不同操作系统/设备组合的说明版本并不可行。
我们需要一种尽可能通用、同时必须足够详细的解决方案，以支持员工独立完成设备的设置，同时有助于避免我们的IT服务台受到过多要求支持的困扰。
/IT3 IT@Intel白皮书使用Android*设备的原生应用处理企业电子邮件、日程表和通讯录 表
1.对Android*设备的要求。
作为评估使用原生电邮应用解决方案的安全风险的一部分，我们需要确定员工的Android设备是否能满足这些最基本的要求。
功能 资格要求 操作系统 必须达到Android*4.0或更高，包括可实施的原生加密功能 设备管理 必须支持英特尔的MDM解决方案 推送电子邮件 必须支持双重身份验证（用户名/密码和证书) 已加密电子邮件恶意代码防护 经过Root的设备开发人员模式 必须不允许访问必须有其他可用的恶意软件控制功能必须被阻断 必须被阻断 支持Android原生电件应用的解决方案 为了应对向Android设备的原生应用发送企业电邮、日程表和通讯录时出现的挑战，我们创建了一个综合的企业级解决方案。
这款解决方案不仅容许我们支持用户和具较低的成本，更重要的是可解决在企业中因愈来愈多的Android设备加入而产生的安全问题。
我们的原生电邮解决方案包含四个部分：针对Android设备的安全风险综合评估，可适应不同制造商的多个设备的解决方案架构，对我们的Android生态系统深入的分析以确定出哪些设备适合该解决方案，以及详尽的用户培训。

1.安全风险评估 在为原生电邮解决方案批准Android设备之前，我们开展了一个针对该操作系统的安全风险综合评估。
（运行Android4.0之前版本的设备不符合要求；表1列出更多设备是否适合要求的条件。
）这允许我们的解决方案将安全风险保持在一个可接受的水平上。
为了让Android设备可以在英特尔计算环境中采用原生电邮的解决方案，我们按照英特尔安全信任模式所定义的特定标准为它提供保护。
1除电子邮件之外，其他内部应用也需要这个标准，所以我们就以电子邮件为建立该标准的基础。
当员工在他们的设备上的电邮应用完成安全设置后，便可以访问或下载任何满足该标准的应用程序。
我们针对
一 系列的威胁、漏洞和后果（范围涵盖被盗硬件、法律风险到远程删除功能）为Android4.0及更高版本进行了评估。
当我们发现中等或高级风险时，我们便制定缓解措施将剩余风险保持在尽可能低的水平上。
与我们的移动设备管理（MobileDeviceManagement，简称MDM）供应商合作我们的MDM供应商帮助我们进一步降低了Android4.0及更高版本中存在的任何剩余风险。
我们与供应商展开协作，确保它可以完成以下工作： •在员工设置他们的电子邮件时为每台设备提供证书。
•提供可以识别并按每年两次向员工通知实时证书更新的报告功能，从而避免服务中断。
•确定该设备是否已经过root，或者启用了开发人员模式。
阻断ROOT访问或检测开发人员模式我们限制使用任何已经过root或正在运行开发人员模式的设备。
Root（也称为越狱）为攻击者提供了Android子系统内的特权控制（称为root访问）。
执行Root的目的就是打破运营商和硬件制造商在一些设备上施加的限制。
这使得攻击者能够改变或替换系统应用或设置、运行要求管理员级许可证的专业级应用，或者其他原本无法访问的操作。
在Android设备上，root也支持将设备操作系统的彻底移除或替换。
1有关安全信任模式的完整解释以及如何评估Android设备，请参阅这些IT@Intel白皮书：“BYOD（BringYourOwnDevice）环境中的Android*设备”，“允许在企业中使用员工私有手持设备并保持信息安全”以及“精细信任模式提高企业信息安全”。
4/IT 使用Android*设备的原生应用处理企业电子邮件、日程表和通讯录IT@Intel白皮书 通常来说，root支持使用所有应用和应用数据。
攻击者只需改变Android上的许可证来让应用作root访问，这可能会增加恶意应用和潜在应用缺陷等安全隐患。
我们还对设备是否运行在开发人员模式下进行了检测，从而降低了恶意应用等安全隐患。
Android设备上的开发人员模式设置允许连接该设备时使用一个名为AndroidDebugBridge（ADB）的工具包。
在开发人员模式下，攻击者可以使用USB和ADB轻松连接到该设备上，从而绕过了足量的加密。
如果在开发人员模式下，攻击者也可以绕过设备的PIN锁。
如果员工的Android设备处于开发人员模式下，我们建议将其关闭，除非员工正在使用与工作有关的应用。
在选择MDM解决方案供应商时，我们考虑的是该供应商收集每个设备信息的能力。
我们还分析了风险隐患，识别出已经过root或运行在开发人员模式下的设备。
基于MDM显示的风险等级，我们可能需要采取进一步的行动—诸如沟通、培训或移除访问。

2.设置解决方案 员工分两个阶段加载原生电邮解决方案（图1）。
在第1阶段中，员工使用我们的MDM解决方案注册他们的Android设备并获得安全风险评估。
在第2阶段中，员工通过手动的方式设置他们的电子邮件账户。
在员工注册了他们的设备之后，我们的MDM解决方案将为该设备提供保护，采用的方法就是执行之前描述的安全风险评估，实施符合安全策略的必要控制，以及支持交付公匙基础架构（PublicKeyInfrastructure，简称PKI）证书。
在MDM解决方案交付证书之后，员工可以采取手动的方式在该设备上设置电子邮件账户，再通过一个web应用防火墙访问该员工的MicrosoftExchange*邮箱，在RADIUS服务器上验证该账户，然后连接至邮箱。

3.选择适合此解决方案的Android设备 制造商、操作系统版本、型号、国家和运营商之间的差异导致了OS碎片化，而碎片化进而会影响Android平台。
这些因 素可在以下多个方面造成Android设备间的不一致：性能，更新发布日期的频率，以及操作系统更新的定制化。
因此，“一刀切”式的解决方案并不现实。
我们的解决方案适用于在英特尔使用的大部分Android设备，首先根据操作系统/制造商/型号类别对这些Android设备划分，然后评估哪些分组的设备最有可能增加数量。
我们优先确定的三个分组为：基于英特尔架构的设备，Android开源项目（AndroidOpenSourceProject，简称AOSP）设备，以及一个特定第三方供应商提供的设备。
英特尔架构和AOSP设备使用同一个原生电邮应用解决方案。
第三方供应商提供的设备需要另一个证书和电子邮件账户设置流程。
然而，与英特尔架构和AOSP设备相比，第三方供应商设备中的附加API确实使设置流程更为简化。
通过优先考虑这三个分组，我们的解决方案就可以适用于员工大多数使用的Android设备。
す1䭣⃢喟⩕MDM∕‫ڹ‬⼨‫ߕ‬䃫ิノ⤳喍MDM喎 ‫ڙ‬䧒ധ⵭᳣Ჱ喍PKI喎䃮Γ Android*4.x䃫ิ す
2䭣⃢喟䃫㒛⩢ၽ䗛У䉓ᝤ WebᏁ⩕䭟▘ෆ MicrosoftExchange*჏ᝤ〜䃬䬛᰺‫ߎ‬க MicrosoftExchange*䗛マ 图
1.使用原生电邮应用解决方案的架构。
员工使用移动设备管理（MDM）解决方案注册他们的Android*设备，先获得安全风险评估，然后再设置电子邮件账户。
/IT5 IT@Intel白皮书使用Android*设备的原生应用处理企业电子邮件、日程表和通讯录 ∕‫ߕ⼨ڹ‬䃫ิノ⤳喍MDM喎Ⴖ㷲হ⓭≨MDM ܳᲽ䃫ิ➦ᕔ ᐭ໸ប㵹ゃ⪒ ౕ䃫ิ̷ᣒᩣ䕇ⴒ ᐭ໸䃫ิ‫ߍ‬ჳ‫ߍ‬ჳ๔㏓䰭㺮30ܳ䧌 ܳᲽ䃫ิ➦ᕔᄳ䃫㒛হ䃮Γᣕ䔮㜠䃫ิᣒᩣহႶ㷲䃮Γ ౕ䃫ิ̷ᣒᩣ䕇ⴒ ᝸‫ߕ‬䃫㒛⩢ၽ䗛У䉓ᝤ 图
2.设置Android*设备的原生电邮应用解决方案的设置流程。
员工采取手动的方式注册他们的设备，接收证书，并设置电子邮件账户。

4.用户培训 由于员工需要手动设置他们的Android设备，因此我们在图2中尽可能直观地阐明该流程。
部分自动提示会指导员工使用MDM解决方案注册他们的设备并设置电子邮件账户。
但这些提示需要保证普遍适用于不同制造商提供的多种设备。
如果这些通用的说明不能满足员工的需求，他们就可以从我们内部的移动设备网站上为他们的操作系统/设备组合下载更为全面的书面说明。
结果 大约有6,000台托管的Android设备使用原生电邮应用的解决方案。
鉴于Android设备的快速普及，以及仍然有Android设备还在采用安全容器，我们希望采用此新解决方案的数字能够持续增长。
我们在2013年年中对使用原生电邮解决方案的员工开展了一次调研，结果显示90%的员工认为这种解决方案可以接受，81%的员工表示与在Android设备上使用安全容器时所得的用户体验相比，他们更较为喜欢使用原生电邮解决方案。
由于我们的MDM许可证在成本上要低于安全容器许可证，因此我们获得了明显的成本优势。
除此之外，由于这6,000台Android设备已迁移到原生电邮解决方案上，那么安全容器许可证便可使用在别的系统中，让我们改变了大约3,000个安全容器许可证的用途，把它们运用在一些较不安全、尚不适合使用原生电邮解决方案的Android设备上。
从在Android设备上支持使用原生电邮应用所得的经验，我们可以保护设备上在其他处理企业数据的原生服务和应用，淘汰成本较高的安全容器，同时改进整个流程的用户体验。
运行原生电邮解决方案的6,000台Android设备也适用于以下用途： •电话会议用的专有应用程序 •即时通讯 •工厂、销售和营销以及其他英特尔业务部门使用的企业应用 随着我们为该解决方案持续推进用户培训，预计员工要求解说以及一般有关设置流程问题都会相应减少。
与运行其他操作系统的设备相比，有关Android设备注册向IT服务台求助的事故数量已经处于一个可接受的范围之内。
我们希望今后发布的Android操作系统版本会改进证书管理和电子邮件设置步骤，从而将流程简化。
在与MDM供应商合作的过程中，我们将持续清除在使用方面的障碍，例如复杂的设置流程和六位密码要求。
实际上，随着双重身份2解决方案的不断发展，员工将能够在他们的设备上使用个人的计算环境，同时还不会受到公司设备管理策略（诸如加密或设置一个六位密码）的影响。
目前我们还会持续改进IT服务台，使其最有效率地解决员工的这些问题。
2借助BYOD计划中的双重身份解决方案，我们可以在一个员工的设备上管理不同的工作和个人环境。
6/IT 使用Android*设备的原生应用处理企业电子邮件、日程表和通讯录IT@Intel白皮书 总结 为支持员工能自由使用自己选择的设备，同时保证企业的数据安全，我们开发了一个解决方案，允许员工使用Android设备上的原生应用访问企业的电子邮件、日程表和通讯录。
Android在企业数据安全、OS碎片化和扩展功能方面的挑战，使其难以成为一个安全的企业平台。
然而，我们使用原生电子邮件应用的解决方案，达到的安全标准，可让员工在Android设备上运行其他企业应用和服务，改进了用户体验。
在本解决方案部署之前，我们通过安全容器在Android设备上管理企业电子邮件数据。
支持员工使用设备的原生应用环境来工作，帮助我们节省了部署安全容器所需的开支，改进了用户体验，同时允许员工在工作中高效、自由地使用Android设备。
这款解决方案适合于英特尔员工目前使用的大多数Android设备。
在更多的制造商改进证书管理和电子邮件设置功能之际，我们亦将持续扩展此解决方案，将其他Android设备拨入到我们支持的范围内。
这些改进也有助于减少设置原生电邮解决方案所需的手动步骤，减少用户对IT服务台的求助。
我们的目标是通过BYOD计划，让员工可以选择使用更多款的设备来处理工作，从而提供高效的支持。
更多信息 请访问/IT查看相关主题的内容： •“BYOD（BringYourOwnDevice）环境中的Android*设备” •“允许在企业中使用员工私有手持设备并保持信息安全” •“精细信任模型提高企业信息安全” 缩写词 ADBAndroidDebugBridgeAOSPAndroid开源项目BYOD自带设备MDM移动设备管理PKI公匙基础架构 如欲了解有关英特尔IT最佳实践的更多信息，请访问：/IT 本文旨在提供一般的信息，并非特定指南。
推荐（包括潜在成本节省）全部基于英特尔的体验，仅为预估。
英特尔不确认或担保他人会得出类似结果。
本文件中包含关于英特尔产品的信息。
本文件不构成对任何知识产权的授权，包括明示的、暗示的，也无论是基于禁止反言的原则或其他。
英特尔不承担任何其他责任。
英特尔在此作出免责声明：本文件不构成英特尔关于其产品的使用和/或销售的任何明示或暗示的保证，包括不就其产品的（i）对某一特定用途的适用性、（ii）适销性以及（iii）对任何专利、版权或其他知识产权的侵害的承担任何责任或作出任何担保。
英特尔、Intel标识、LookInside和LookInside标识是英特尔在美国和/或其他国家的商标。
*其他的名称和品牌可能是其他所有者的资产。
英特尔公司©2014年版权所有。
所有权保留。
请注意环保 0214/JGLU/KC/PDF 329834-001