新时代5G局域网的移动设备管理

王雄

企业专用蜂窝网络（5G局域网）的出现和创新，为企业提供了一个重大机遇，可以提供全新水平的确定性无线服务。这些私有移动网络通常由企业IT部门或内部网络人员部署、运营和管理。

尽管如此，IT人员在引入5G局域网时可能面临的最大挑战之一是，如何处理大量不同的客户端设备访问和验证这种新型企业移动网络。对于企业IT人员来说，蜂窝网络本身就比传统的无线局域网（WLAN）更安全，而且通过正确的方法，用户和IT人员都可以更容易地连接到蜂窝网络。

但是，了解移动设备管理（MDM）和MDM在专用LTE和5G蜂窝网络上操作的复杂性和细微差别，对于成功部署企业5G局域网至关重要。

在部署私有蜂窝基础设施时，企业IT部门必须首先根据其业务模式和涉及的员工一同参与设备的选择。企业有可能希望根据企业内必须管理的用户群体使用不同类型的设备，这些通常包括3种主要类型：

公司自有业务专用设备：由公司采购、配置、安装、监控并由企业维护和管理。

企业拥有的、个人使用的设备：由企业拥有，预先配置以维持数据安全要求，并对特定类型的访问进行监管。

预先批准的移动设备：用户可以从中选择。取决于企业政策，并配置安全协议和商业应用，由公司和用户共同负责。

权衡利弊

企业需要通过权衡其中的利弊来做出适当的选择。应始终考虑企业的安全需求和产生成本与员工满意度，以及设备控制的灵活性和生产力之间的取舍。可能需要根据所涉及的员工和企业类型做出一些妥协。

要使企业园区连接到新的专用蜂窝网络，IT部门需要对设备进行规划，以支持和管理其访问和安全姿态，这些选择将决定企业对IT设备的控制程度和支持设备的成本。

为确保与现有IT基础设施无缝衔接，这些新的专用流动网络的安装和管理应模仿WiFi的部署便捷性，同时保留蜂窝3GPP网络的功能和操作。

与蜂窝网络的区别

与传统的WLAN相比，蜂窝网络的设备访问和认证功能有所不同。在蜂窝网络世界中，强大的安全性被内置到网络中，媒体访问由基础设施安排并完全控制。用户不需要做任何事情，就像使用个人手机一样，这对企业的IT团队非常有吸引力。

在蜂窝网络中，对网络进行身份验证的是设备，而不是用户，这给企业IT人员带来了新的好处，也带来了新的挑战，他们必须管理各种不同类型的用户设备（UE）访问网络。用户名和密码凭证以及证书通常被用来访问和验证企业的无线局域网。但在蜂窝网络中，这些方法实际上被一个物理或电子的用户身份模块（SIM）所取代。在与蜂窝网络连接的设备中，SIM包含访问特定移动网络服务所需的凭证或订阅，凭证可以在UE中配置的SIM或嵌入式SIM（eSIM）中定义。

SIM和eSIM需要作为独立的配置文件进行特定的格式化，即使它们包含相同的信息，凭证本身可以被放入物理SIM卡（可移动）或嵌入式SIM卡（不可移动），每个物理SIM和eSIM模块都可以支持一个或多个订阅。

SIM锁，也被称为网络、运营商或补贴锁，是许多移动设备中内置的技术限制，主要是由服务提供商用来限制手机在特定国家或网络的使用，手机被锁定，只接受带有某些可能被限制的国际移动用户身份（IMSI）的SIM卡。

获得解锁

没有被锁定的手机被称为无SIM卡或解锁的手机，不施加任何SIM卡限制。解锁手机是一种不与某个特定运营商绑定的设备。一旦用户与运营商的合同到期，用户可以要求运营商对手机进行解锁，解锁的智能设备可以不加锁购买。

解锁设备提供了很大的灵活性，因为它们允许在设备上添加一个或多个企业凭证。使用这种设备与企业网络漫游时，支持双SIM卡配置，一个用于移动网络运营商（MNO），另一个用于企业网络。如果设备需要支持企业凭证，即使设备中支持MNO凭证，也必须处于解锁状态。

与任何蜂窝式3GPP网络一样，移动设备需要特定的标识符来找到、关联到企业网络并进行认证。由于企业的部署通常是物理上的限制或本地性质的，所以使用共同的标识符，标识符的地址空间在不同的实体之间共享。

每个物理SIM卡和嵌入式SIM卡模块都可以支持一个或多个凭证。根据GSMA的规范，为了支持双卡操作，其中一个SIM卡凭证必须在物理SIM卡插槽中，另一个是嵌入式SIM卡。基本上，2个凭证都不能来自物理SIM卡或嵌入式SIM卡。然而，每个物理或嵌入式SIM卡都可以承载多个凭证，每次最多有一个凭证处于活动状态。

从UE设备的能力来看，额外的凭证可以被添加到嵌入式SIM卡中，物理SIM卡不能被更新以添加更新的凭证，UE可以支持在物理SIM卡内已经提供的凭证之间进行切换。

鉴于UE需要潜在地支持设备上的多个企业凭证并支持动态地添加它们，将企业凭证托管为嵌入式SIM卡似乎最适合像手持移动设备这样的设备。如果静态配置足够，可以支持带有企业凭证的物理SIM，如部署在校园里的安全摄像头。

蜂窝网络的订阅和访问由企业IT部门管理，在私人企业5G局域网上运行的移动设备。

在私人企业5G局域网上运行的移动设备通常被识别、配置，并发放给用户。

自动化是关键

对大多数企业来说，最大的挑战是如何有效地简化或自动化这一入职或客户启动过程。显然，对IT人员来说，部署成百上千张物理SIM卡是一项艰巨的任务。但这并不是必须的，事实上，这可以转化为IT人員的一个巨大的积极因素。

解决这一难题的方法之一是使用快速响应（QR）代码，可以很容易地分发给用户扫描。二维码包含特定的eSIM凭证，将eSIM配置文件拉到设备上，二维码可以分发给用户，他们可以扫描代码并为其设备自行安装所需的配置文件。

第二种方法是将UE发送到一个特定的SIM配置平台，该平台将预先定义的凭证推送到设备上。在这种MDM模式中，设备提供SM-DP+（订阅管理器数据准备）服务器地址，分配给UE的eSIM凭证在该服务器中与设备的EID（电子识别）配对。

然后，SIM配置平台在设备访问服务器时推送预先分配给设备的凭证。

UE可以被设置为直接到达订阅管理器数据准备平台（SM-DP+）。这是一个eSIM管理服务器，设备可以安全地下载存储在eUICC上的必要的eSIM配置文件。

有了这样简单的技术，企业IT人员终于可以更容易地实现移动设备的自动启动。通过有效地消除任何手动用户干预，IT人员可以顺利过渡到新的5G局域网，以支持传统企业无线网络无法支持的用例和设备，同时从根本上改善网络用户的安全和体验。