新時代5G局域網(wǎng)的移動設(shè)備管理

王雄

企業(yè)專用蜂窩網(wǎng)絡(luò)（5G局域網(wǎng)）的出現(xiàn)和創(chuàng)新，為企業(yè)提供了一個重大機遇，可以提供全新水平的確定性無線服務(wù)。這些私有移動網(wǎng)絡(luò)通常由企業(yè)IT部門或內(nèi)部網(wǎng)絡(luò)人員部署、運營和管理。

盡管如此，IT人員在引入5G局域網(wǎng)時可能面臨的最大挑戰(zhàn)之一是，如何處理大量不同的客戶端設(shè)備訪問和驗證這種新型企業(yè)移動網(wǎng)絡(luò)。對于企業(yè)IT人員來說，蜂窩網(wǎng)絡(luò)本身就比傳統(tǒng)的無線局域網(wǎng)（WLAN）更安全，而且通過正確的方法，用戶和IT人員都可以更容易地連接到蜂窩網(wǎng)絡(luò)。

但是，了解移動設(shè)備管理（MDM）和MDM在專用LTE和5G蜂窩網(wǎng)絡(luò)上操作的復雜性和細微差別，對于成功部署企業(yè)5G局域網(wǎng)至關(guān)重要。

在部署私有蜂窩基礎(chǔ)設(shè)施時，企業(yè)IT部門必須首先根據(jù)其業(yè)務(wù)模式和涉及的員工一同參與設(shè)備的選擇。企業(yè)有可能希望根據(jù)企業(yè)內(nèi)必須管理的用戶群體使用不同類型的設(shè)備，這些通常包括3種主要類型：

公司自有業(yè)務(wù)專用設(shè)備：由公司采購、配置、安裝、監(jiān)控并由企業(yè)維護和管理。

企業(yè)擁有的、個人使用的設(shè)備：由企業(yè)擁有，預(yù)先配置以維持數(shù)據(jù)安全要求，并對特定類型的訪問進行監(jiān)管。

預(yù)先批準的移動設(shè)備：用戶可以從中選擇。取決于企業(yè)政策，并配置安全協(xié)議和商業(yè)應(yīng)用，由公司和用戶共同負責。

權(quán)衡利弊

企業(yè)需要通過權(quán)衡其中的利弊來做出適當?shù)倪x擇。應(yīng)始終考慮企業(yè)的安全需求和產(chǎn)生成本與員工滿意度，以及設(shè)備控制的靈活性和生產(chǎn)力之間的取舍。可能需要根據(jù)所涉及的員工和企業(yè)類型做出一些妥協(xié)。

要使企業(yè)園區(qū)連接到新的專用蜂窩網(wǎng)絡(luò)，IT部門需要對設(shè)備進行規(guī)劃，以支持和管理其訪問和安全姿態(tài)，這些選擇將決定企業(yè)對IT設(shè)備的控制程度和支持設(shè)備的成本。

為確保與現(xiàn)有IT基礎(chǔ)設(shè)施無縫銜接，這些新的專用流動網(wǎng)絡(luò)的安裝和管理應(yīng)模仿WiFi的部署便捷性，同時保留蜂窩3GPP網(wǎng)絡(luò)的功能和操作。

與蜂窩網(wǎng)絡(luò)的區(qū)別

與傳統(tǒng)的WLAN相比，蜂窩網(wǎng)絡(luò)的設(shè)備訪問和認證功能有所不同。在蜂窩網(wǎng)絡(luò)世界中，強大的安全性被內(nèi)置到網(wǎng)絡(luò)中，媒體訪問由基礎(chǔ)設(shè)施安排并完全控制。用戶不需要做任何事情，就像使用個人手機一樣，這對企業(yè)的IT團隊非常有吸引力。

在蜂窩網(wǎng)絡(luò)中，對網(wǎng)絡(luò)進行身份驗證的是設(shè)備，而不是用戶，這給企業(yè)IT人員帶來了新的好處，也帶來了新的挑戰(zhàn)，他們必須管理各種不同類型的用戶設(shè)備（UE）訪問網(wǎng)絡(luò)。用戶名和密碼憑證以及證書通常被用來訪問和驗證企業(yè)的無線局域網(wǎng)。但在蜂窩網(wǎng)絡(luò)中，這些方法實際上被一個物理或電子的用戶身份模塊（SIM）所取代。在與蜂窩網(wǎng)絡(luò)連接的設(shè)備中，SIM包含訪問特定移動網(wǎng)絡(luò)服務(wù)所需的憑證或訂閱，憑證可以在UE中配置的SIM或嵌入式SIM（eSIM）中定義。

SIM和eSIM需要作為獨立的配置文件進行特定的格式化，即使它們包含相同的信息，憑證本身可以被放入物理SIM卡（可移動）或嵌入式SIM卡（不可移動），每個物理SIM和eSIM模塊都可以支持一個或多個訂閱。

SIM鎖，也被稱為網(wǎng)絡(luò)、運營商或補貼鎖，是許多移動設(shè)備中內(nèi)置的技術(shù)限制，主要是由服務(wù)提供商用來限制手機在特定國家或網(wǎng)絡(luò)的使用，手機被鎖定，只接受帶有某些可能被限制的國際移動用戶身份（IMSI）的SIM卡。

獲得解鎖

沒有被鎖定的手機被稱為無SIM卡或解鎖的手機，不施加任何SIM卡限制。解鎖手機是一種不與某個特定運營商綁定的設(shè)備。一旦用戶與運營商的合同到期，用戶可以要求運營商對手機進行解鎖，解鎖的智能設(shè)備可以不加鎖購買。

解鎖設(shè)備提供了很大的靈活性，因為它們允許在設(shè)備上添加一個或多個企業(yè)憑證。使用這種設(shè)備與企業(yè)網(wǎng)絡(luò)漫游時，支持雙SIM卡配置，一個用于移動網(wǎng)絡(luò)運營商（MNO），另一個用于企業(yè)網(wǎng)絡(luò)。如果設(shè)備需要支持企業(yè)憑證，即使設(shè)備中支持MNO憑證，也必須處于解鎖狀態(tài)。

與任何蜂窩式3GPP網(wǎng)絡(luò)一樣，移動設(shè)備需要特定的標識符來找到、關(guān)聯(lián)到企業(yè)網(wǎng)絡(luò)并進行認證。由于企業(yè)的部署通常是物理上的限制或本地性質(zhì)的，所以使用共同的標識符，標識符的地址空間在不同的實體之間共享。

每個物理SIM卡和嵌入式SIM卡模塊都可以支持一個或多個憑證。根據(jù)GSMA的規(guī)范，為了支持雙卡操作，其中一個SIM卡憑證必須在物理SIM卡插槽中，另一個是嵌入式SIM卡?；旧?，2個憑證都不能來自物理SIM卡或嵌入式SIM卡。然而，每個物理或嵌入式SIM卡都可以承載多個憑證，每次最多有一個憑證處于活動狀態(tài)。

從UE設(shè)備的能力來看，額外的憑證可以被添加到嵌入式SIM卡中，物理SIM卡不能被更新以添加更新的憑證，UE可以支持在物理SIM卡內(nèi)已經(jīng)提供的憑證之間進行切換。

鑒于UE需要潛在地支持設(shè)備上的多個企業(yè)憑證并支持動態(tài)地添加它們，將企業(yè)憑證托管為嵌入式SIM卡似乎最適合像手持移動設(shè)備這樣的設(shè)備。如果靜態(tài)配置足夠，可以支持帶有企業(yè)憑證的物理SIM，如部署在校園里的安全攝像頭。

蜂窩網(wǎng)絡(luò)的訂閱和訪問由企業(yè)IT部門管理，在私人企業(yè)5G局域網(wǎng)上運行的移動設(shè)備。

在私人企業(yè)5G局域網(wǎng)上運行的移動設(shè)備通常被識別、配置，并發(fā)放給用戶。

自動化是關(guān)鍵

對大多數(shù)企業(yè)來說，最大的挑戰(zhàn)是如何有效地簡化或自動化這一入職或客戶啟動過程。顯然，對IT人員來說，部署成百上千張物理SIM卡是一項艱巨的任務(wù)。但這并不是必須的，事實上，這可以轉(zhuǎn)化為IT人員的一個巨大的積極因素。

解決這一難題的方法之一是使用快速響應(yīng)（QR）代碼，可以很容易地分發(fā)給用戶掃描。二維碼包含特定的eSIM憑證，將eSIM配置文件拉到設(shè)備上，二維碼可以分發(fā)給用戶，他們可以掃描代碼并為其設(shè)備自行安裝所需的配置文件。

第二種方法是將UE發(fā)送到一個特定的SIM配置平臺，該平臺將預(yù)先定義的憑證推送到設(shè)備上。在這種MDM模式中，設(shè)備提供SM-DP+（訂閱管理器數(shù)據(jù)準備）服務(wù)器地址，分配給UE的eSIM憑證在該服務(wù)器中與設(shè)備的EID（電子識別）配對。

然后，SIM配置平臺在設(shè)備訪問服務(wù)器時推送預(yù)先分配給設(shè)備的憑證。

UE可以被設(shè)置為直接到達訂閱管理器數(shù)據(jù)準備平臺（SM-DP+）。這是一個eSIM管理服務(wù)器，設(shè)備可以安全地下載存儲在eUICC上的必要的eSIM配置文件。

有了這樣簡單的技術(shù)，企業(yè)IT人員終于可以更容易地實現(xiàn)移動設(shè)備的自動啟動。通過有效地消除任何手動用戶干預(yù)，IT人員可以順利過渡到新的5G局域網(wǎng)，以支持傳統(tǒng)企業(yè)無線網(wǎng)絡(luò)無法支持的用例和設(shè)備，同時從根本上改善網(wǎng)絡(luò)用戶的安全和體驗。