【译】A look at MobileIron’s zero sign-on and passwordless authentication plans

本月初，我与MobileIron的产品团队坐下来，看一看他们当前的战略和路线图。我们讨论了整个产品线，但重点是他们的最新公告，零登录计划。

MobileIron的最新业务变化

在我们投入产品之前，有一些新的变更需要解决。去年12月，Rhonda Shantz成为MobileIron的首席营销官。她从Centrify过来，还带来了其他一些团队成员。然后在1月，Brian Foster进入产品管理部门。最后，Ojas Rege在4月转任顾问职位。多年来，Ojas曾担任过各种产品，市场营销和战略领导职务，但对于EMM行业，他不需要任何介绍-他十年来一直是MobileIron的实际面孔。

在业务方面，如果您最近没有查看这些数字，那么MobileIron在2018年的收入达到1.93亿美元（或者如果您喜欢这个数字，则为2.23亿美元的预订额）。他们今年的收入增长目标是6％至11％，即205美元至2.15亿美元。（他们的下一个财报电话会议是在8月1日。）MobileIron的首席执行官西蒙·比多斯科姆比（Simon Biddoscombe）以前是CFO，现在已经担任该职位两年了。

产品总览

在产品方面，MobileIron Access（用于有条件访问和零信任）和Mobile Threat Defense一直是几年来的重点，当然，跟上iOS和Android的工作量总是很大。（正如我曾经写的，尽管有所有预测，但EMM并不是商品。）

在5月的用户会议上，MobileIron 宣布了围绕零登录和无密码身份验证的巨大努力。自上次产品介绍以来，已经太久了，“无密码”可能有很多不同的含义。因此，我在展会结束后通过电话与Brian Foster进行了交谈，最近与Access产品管理副总裁Vijay Pawar，UEM产品管理副总裁Michael Klieman和产品营销高级总监Jay Bhansali进行了会面。

今天的MobileIron Access

MobileIron Access于2016年推出。我之前已经写过基本的Access架构，但是这里有一个快速概述。

从本质上讲，Access充当SAML连接的代理。它与MobileIron的UEM平台（云或核心）和MobileIron移动威胁防御进行通信，以根据管理和安全策略检查设备，从而实现有条件访问。您可以使用MobileIron的安全连接产品Tunnel and Sentry来获得更精细的信息，并确保用户来自正确的应用程序托管实例。这适用于已注册MDM的设备，以及使用AppConnect（其应用程序级别MAM SDK）的非托管设备。

通过将桌面注册到MobileIron或使用MobileIron信任代理（如果它们由另一个系统管理），Access也可以与桌面一起使用。Access还支持委托模型，因此您的常规IdP（Okta，Ping，ADFS等）可以处理来自台式机的身份验证请求，而移动设备将重定向到Access进行身份验证。

关于实际的身份验证机制，在移动设备上，大多数公司都可能使用证书，因此日常的移动身份验证应该已经很容易了。（这是移动性的胜利之一-自从MDM诞生以来，基于证书的身份验证一直是一个大卖点。）MobileIron还拥有自己的身份验证器应用程序和堆栈。

新的零登录功能

因此，移动身份验证已经很容易且无需密码（至少在大多数情况下至少在首次注册后）。现在，“零登录”从何而来？当我第一次听到这个短语时，我有些困惑，但是事实证明，MobileIron正在将他们的注意力转向桌面方案。

在用户会议上，他们宣布了使用Access登录非托管桌面上的Web应用程序的过程。他们在博客文章中描述了该过程，在这里我将其解释为：

在其移动设备上设置了Access的用户将登录到非托管桌面上的企业Web应用程序。访问（通过其代理功能）是Web应用程序的IdP。
在桌面上的登录过程中，Access会显示一个网页，就像任何SAML IdP一样。除非在这种情况下，否则网页将显示QR码，而不是用户名和密码字段。
用户抓住他们的设备，并通过生物识别技术对其MobileIron客户端进行身份验证，然后使用该应用程序在浏览器中扫描QR码。
然后，授予用户访问非托管设备上的Web应用程序的权限。

因此，桌面上没有密码。而是已在受信任的移动设备上对用户进行了身份验证，并通过QR码扫描验证了用户的存在。自7月16日起，它已成为iPhone的GA，并且也将应用于Android。

未来的零登录计划

关于身份的工作还有很多。

MobileIron计划（通过合作伙伴）集成远程浏览器隔离，以便客户可以将安全性和DLP封装在不受管理的PC上的公司Web应用程序周围。如果您一直关注我一段时间，您就会知道我真的很喜欢这个概念 -您几乎可以将其视为BYO笔记本电脑的MAM形式。

接下来，MobileIron计划在Access中添加FIDO支持。毫无疑问，FIDO确实具有突破性的时刻。另外，MobileIron正在研究通过移动设备对托管笔记本电脑进行身份验证的方法。

MobileIron计划集成ID证明（也通过合作伙伴）。通过使用智能手机摄像头扫描政府颁发的ID（例如驾驶执照或护照），然后将其与用户的自拍照进行比较，可以引导或恢复用户访问权限。关于这个想法我们还没有写太多，但是在Identiverse上它又提出了好几次-继续关注绝对是一个有趣的想法。

最后，他们告诉我，他们将在Access的分析方面投入更多。同样，这遵循行业趋势，即寻找使条件访问策略更智能的方法。

UEM和威胁防御计划

至于端点，就像其他所有人一样，它们正处于对iOS 13用户注册和9月推出的所有其他Apple新功能的支持中。每年这是一个繁忙的时间，但是今年的变化比平常大。

我很高兴听到MobileIron致力于支持Chrome操作系统管理。我将提到的其他一些更新是它们与App Station一起发布的，App Station是面向前线员工的应用程序目录应用程序，并且他们构建了MobileIron Core到Cloud的迁移工具。

但是，他们目前在UEM中最大的投资领域是Mac管理。这是有道理的-我们刚刚看到许多组织开始更加认真地对待Mac，正式支持他们或提供设备选择。

Windows管理现在不再是重点。当然，Windows上的MobileIron Access很重要，但是在实际管理方面，他们不会试图与SCCM或类似的东西抗衡。我们一直想知道他们的计划是什么，可以追溯到MobileIron Bridge的时代，但是最终，这似乎是目前最实用的计划。

在MTD端，请记住，MobileIron移动威胁防御使用了Zimperium的集成SDK。但是最近，他们已经添加了一些自己的网络钓鱼防护，并且他们计划添加一些基于本地VPN的URL过滤，就像我们在该领域中看到的那样。

最后的想法

这里有很多计划。作为UEM供应商，他们始终致力于进行大量工作以跟上年度主要操作系统更新的速度，但是显然，他们看到有条件访问的巨大机会。自然，我同意这一点，因为我已经写过条件访问，身份管理和零信任是当前最终用户计算中最重要的趋势。

综上所述，将来所有的MobileIron零登录功能都将构成一个很棒的演示，我可以在MobileIron用户会议上看到为什么所有人都对它们如此兴奋。

但是，最大的问题是，从长远来看，公司究竟将如何最终建立其条件访问策略和政策。只是有很多，你可以把组件连接在一起不同的方式。客户可以从IT领域的多个领域中获得选择，因此，尚不确定哪个供应商和产品具有战略性，而哪个供应商和产品具有战略性。但是，EMM是一种非常粘的产品，因此可以帮助MobileIron。

总体而言，在我之前提到的各种过渡之后，很高兴与团队坐下来，听听所有这些有趣的产品计划。我们将拭目以待，看看这些如何实现，以及它们下一步对MobileIron的意义。