- О системе
- Управляемые мобильные устройства
- Расширенные права
- Зачем использовать MDM-платформу?
- Mobile Device Manager Plus — долгожданное совершенство или все еще нет?
- Что делает MDM Plus
- Первоначальная настройка и регистрация устройства
- Выполнение общих задач управления с помощью MDM Plus
- В сухом остатке
- Да, можем удалить всё, нет, мы не читаем ваши SMS
- Пятница в баре
- Дорогая, мы купили зоопарк
- Терминалы в McDonald’s
- Сам себе кассир
- Тысяча вкусов
- Продаём пирожки
- Как это выглядит
- Рутованные телефоны
- Вместо вывода
О системе
Зачем нужна система управления Android-устройством (MDM), и как она поможет разработчикам и системным администраторам
Управляемые мобильные устройства
MDM – это сокращение от Mobile Device Management, управление корпоративными мобильными устройствами на базе Android и iOS.
Система Headwind MDM – это решение для управления корпоративными Android-устройствами. На текущий день, устройства на базе iOS не поддерживаются.
Оболочка, осуществляющая управление мобильными устройствами – это приложение, устанавливаемое на «пустое» устройство (либо новое, либо сброшенное к заводским настройкам). Приложение развертывается на устройстве одним из следующих способов:
- Сканирование QR-кода. Администратор или пользователь открывает скрытый экран развертывания, нажимая 7 раз на экране приветствия, после чего настраивает Wi-Fi и сканирует QR-код, сгенерированный сервером. Приложение для управления корпоративными устройствами автоматически скачивается и развертывается.
- Сканирование NFC-метки. Администратор записывает данные, предоставленные сервером, на NFC-метку, после чего подносит метку к мобильному устройству. Оболочка для управления устройствами также скачивается и устанавливается.
- Использование Android Studio и команды adb (только для целей разработки).
Headwind MDM использует для своего развертывания на мобильных устройствах первый способ (сканирование QR-кода).
Расширенные права
После развертывания, управляющее приложение получает больше прав, чем обычное Android-приложение. В частности, оно получает следующие права:
- Установка, удаление и обновление приложений без подтверждения пользователя;
- Управление разрешениями приложений, включая доступ к камере и SD-карте;
- Настройка различных опций устройства (GPS, Bluetooth, Wi-Fi);
- Получение информации об устройстве(заряд батареи, статистика использования сети и т.п.).
Эти расширенные права используются системой Headwind MDM для удаленной настройки корпоративных Андроид-устройств из единой точки (сервера).
Зачем использовать MDM-платформу?
MDM-платформа превращает планшеты и смартфоны в мощный корпоративный инструмент, простой в использовании и управлении.
- Безопасность. Каждая компания заботится о сохранности и целостности корпоративных данных. MDM-платформа может защитить устройство от несанкционированного использования, установить требования к защите PIN-кодом или отпечатком пальца, а также обеспечить безопасность сетевого подключения.
- Обновление программного обеспечения. Корпоративные приложения, как правило, не распространяются через Google Play, чтобы избежать несанкционированного использования. Поэтому обновления мобильных приложений на всех устройствах – это головная боль системного администратора. Для управляемых устройств, эта проблема решается автоматически.
- Удаленная техническая поддержка. Когда пользователь мобильного приложения сообщает о неполадке, очень сложно удаленно диагностировать и исправить проблему. MDM-платформа упрощает эту работу, предоставляя инструменты для удаленной поддержки и отладки.
- Управление. Оболочка управляемого устройства может показывать местоположение и статус пользователя, а также проверять, готово ли устройство к работе. Это делает MDM-оболочку незаменимым инструментом для менеджера компании.
У программного обеспечения для управляемых устройств, однако, есть и недостаток: сложно сделать управляемыми устройства пользователя. В частности, корпоративные данные должны быть отделены от данных пользователя. Headwind MDM на текущий день может использоваться только с полностью управляемыми (корпоративными) устройствами.
Источник
Mobile Device Manager Plus — долгожданное совершенство или все еще нет?
Сегодня я хотел бы познакомить вас с ManageEngine Mobile Device Manager Plus. Хотя решение существует как в локальном варианте, так и в облачном, я ограничу свой рассказ облачным вариантом — просто потому, что на них легче и быстрее начать работу.
Не так много воды утекло с тех пор, как руководители IT-отделов еще были вынуждены выбирать: либо включать в общую сеть корпоративные мобильные девайсы и, следовательно, требовать от сотрудников наличия не менее чем двух мобильных устройств, либо разрешать сотрудникам доступ к корпоративным данным через мобильные устройства.
К счастью, эта ситуация изменилась. MDM-решения, такие, как VMware AirWatch, Cisco Meraki и Microsoft Intune, позволяют использовать лучшее из обоих вариантов: сотрудники могут носить мобильный телефон по своему выбору, а компания может выборочно управлять устройством для обеспечения безопасности корпоративных данных.
Что делает MDM Plus
Собственно, как ManageEngine MDM Plus обеспечивает безопасный и работоспособный сценарий BYOD? Давайте начнем с рассмотрения наиболее важных операций, которые IT-менеджерам необходимо проводить над мобильными устройствами:
- Управление несколькими платформами для мобильных ОС, включая Apple iOS, Google Android и Microsoft Windows Phone.
- Управление приложениями. Распространение собственных приложений и выборочное одобрение/блокирование сторонних приложений.
- Управление активами: просмотр и управление конфигурациями аппаратного и программного обеспечения каждого мобильного устройства.
- Управление безопасностью. Отслеживание мобильных устройств и выполнение удаленной очистки потерянных или украденных устройств.
Конечно, MDM Plus может даже больше! Давайте взглянем поближе.
Первоначальная настройка и регистрация устройства
ManageEngine предлагает 30-дневную неограниченную пробную облачную версию MDM Plus. Я создал свою учетную запись и вошел в веб-портал MDM Plus за три минуты — все было просто. Повторюсь, вы можете также запустить MDM Plus локально, но, с моей точки зрения, вы это не даст всех возможностей облачной версии.
На домашней странице портала, показанной ниже, можно видеть инфографику, которая поможет в процессе установки. К сожалению, не вся она интерактивная. На мой взгляд, ManageEngine стоит сделать интерактивными все эти графические элементы.
Теперь переходим на страницу Device Mgmt, где можно зарегистрировать iPhone с MDM Plus. Процесс настройки регистрации практически не зависит от используемых мобильных операционных систем:
- Создайте аккаунт (Apple Push Notification Service, Google Cloud Messaging, Windows Push Notification Services).
- Распределите профиль управления, профиль политики и приложения MDM для клиентов.
- Проверьте устройства в консоли MDM Plus.
Повторюсь, я создал свой аккаунт Push Push Notification (APN) Apple за несколько минут. Вы можете зарегистрировать устройства своих пользователей несколькими способами:
- Массовая регистрация через входные файлы CSV.
- Самостоятельная регистрация по электронной почте.
- Административная регистрация с помощью Apple Configurator.
В своей среде я зарегистрировал свой iPhone с помощью приглашения по электронной почте. Как вы можете видеть ниже, я получил сообщение электронной почты от ManageEngine, содержащее ссылку для регистрации и одноразовый пароль (OTP).
ПРИМЕЧАНИЕ. ManageEngine является технически подразделением корпорации Zoho, так что вы увидите ссылки на оба названия в инфраструктуре MDM Plus.
Все, что пользователи должны сделать со своей стороны кроме как пройти по ссылке из электронной почты, это принять профиль управления, который пришлет ваш облачный сервер. После этого на устройстве будет установлено приложение ME MDM, вот как это будет выглядеть:
В приложении ME MDM вы можете получить доступ к Каталогу приложений, где ваши приложения отображаются для конечных пользователей.
Что касается исключений брандмауэра, вы должны открыть порты TCP 5223, 5228, 5229 и 5230 для диапазона IPv4 17.0.0.0/8.
Вы можете проверить, что устройство успешно зарегистрировано, проверив веб-портал, как показано ниже:
Выполнение общих задач управления с помощью MDM Plus
Полагаю, я знаю, о чем вы думаете: «Тим, как я могу ограничить пользователей от проведения Root и jailbreak? Как мы можем заставить пользователей использовать безопасный код?»
Ответ на этот вопрос — это профиль политики. Но, прежде чем мы до него доберемся, давайте получим общий инвентарь устройства. Щелкните в навигационной панели Admin > Enrollment и выберите управляемое устройство:
Обратите внимание, что на приведенном выше снимке экрана можно сразу увидеть, было ли устройство взломано. Перейдя на вкладку «Geo-Tracking», мы можем получить местоположение устройства и, при необходимости, выполнить удаленную очистку или сброс кода доступа, если это необходимо.
Чтобы создать профиль управления, перейдите в Device Mgmt > Profiles и создайте новый профиль iOS, Android или Windows Phone. Как вы можете видеть на следующем скриншоте, вы можете создавать и применять некоторые полезные политики для мобильных устройств, в том числе:
- Настройка блокировки паролей и политики блокировок.
- Wi-Fi и VPN-подключения.
- Настройки электронной почты (включая Exchange ActiveSync).
- Корпоративные календари.
- Выборочные разрешения/блокировки для встроенных функций, таких, как камера, захват экрана, покупка в приложении и т.д.
- Вы можете развертывать политики мобильных устройств, которые обеспечивают соблюдение ваших стандартов безопасности ИТ.
Говоря о приложениях, вы можете добавлять, развертывать и управлять самостоятельно разработанными приложениями, а также теми, которые вы получаете из Apple App Store, магазина Google Play или Windows Apps Store. Процесс лицензирования и развертывания так называемых «корпоративных приложений» выходит за рамки нашего сегодняшнего обсуждения, но известно, что это возможно.
ManageEngine MDM Plus также предлагает поддержку безопасности Samsung KNOX. Это классная технология, которая предусматривает создание зашифрованного «контейнера» на управляемых устройствах, где пользователь хранит данные компании. Мне нравится это понятие, потому что оно создает жесткую границу между личными данными пользователя и данными, принадлежащими организации, и, скорее всего, находится в соответствии с отраслевыми и/или правительственными нормами.
В сухом остатке
ManageEngine MDM Plus предлагает администраторам Windows низкий барьер для входа на рынок управления мобильными устройствами. Что еще круче, так это то, что MDM Plus полностью бесплатный для 25 управляемых устройств. Бесплатный режим поддерживает одного администратора и одну роль вспомогательного администратора. (Забыл сказать, что MDM Plus использует модель управления доступом на основе ролей RBAC).
Цены на локальные и облачные опции сопоставимы. На момент написания этой статьи в феврале 2016 года, при условии, что у нее 1 технический специалист и 200 управляемых устройств, ежегодная лицензия на предварительную версию составляет 3245 долларов США, а ежегодная лицензия на облако составляет 4325 долларов США.
Источник
Да, можем удалить всё, нет, мы не читаем ваши SMS
Когда говорят об MDM, который Mobile Device Management, все почему-то сразу представляют kill-switch, который дистанционно подрывает утерянный телефон по команде сотрудника ИБ. Нет, в целом это тоже есть, только без пиротехнических эффектов. Но есть ещё куча других рутинных задач, которые с MDM выполняются намного проще и безболезненнее.
Бизнес стремится к оптимизации и унификации процессов. И если раньше новому сотруднику приходилось идти в таинственный подвал с проводами и лампочками, где мудрые красноглазые старцы помогали настроить корпоративную почту на его Blackberry, то теперь MDM вырос до целой экосистемы, которая позволяет выполнять эти задачи в два клика. Будем говорить о безопасности, огуречно-смородиновой «Кока-Коле» и отличиях MDM от MAM, EMM и UEM. А ещё — о том, как удалённо наняться на работу по продаже пирожков.
Пятница в баре
Даже самые ответственные люди иногда отдыхают. И, как нередко это бывает, они забывают рюкзаки, ноутбуки и мобильные телефоны в кафе и барах. Самая большая проблема в том, что потеря этих устройств может обернуться дикой головной болью для отдела ИБ, если они содержат чувствительную для компании информацию. Сотрудники того же Apple умудрились отметиться как минимум дважды, потеряв вначале прототип iPhone 4, а затем — iPhone 5. Да, сейчас большинство мобильных телефонов идёт с шифрованием из коробки, но те же корпоративные ноутбуки далеко не всегда настраиваются с шифрованием жёсткого диска по умолчанию.
Плюс начали возникать такие угрозы, как целенаправленная кража корпоративных устройств с целью добычи ценных данных. Телефон зашифрован, всё максимально безопасно и всё такое. Вот только заметили ли вы камеру наблюдения, под которой вы разблокировали телефон перед тем, как его украли? С учётом потенциальной ценности данных на корпоративном устройстве такие модели угроз стали вполне реальны.
Вообще люди — те еще склеротики. Многие компании в США вынужденно начали относиться к ноутбукам как к расходникам, которые будут неизбежно забыты в баре, отеле или в аэропорту. Есть данные, что в тех же аэропортах США забывают около 12 000 ноутбуков каждую неделю, из которых минимум половина содержит конфиденциальную информацию без какой-либо защиты.
Всё это изрядно прибавило седых волос безопасникам и привело к разработке вначале MDM (Mobile Device Management). Затем появилась потребность в управлении жизненным циклом мобильных приложений на подконтрольных устройствах, и появились решения MAM (Mobile Application Management). Несколько лет назад они стали объединяться под общим названием EMM (Enterprise Mobility Management) — единая система для управления мобильными устройствами. Апогеем всей этой централизации являются решения UEM (Unified Endpoint Management).
Дорогая, мы купили зоопарк
Первыми начали появляться вендоры, которые предлагали решения для централизованного управления мобильными устройствами. Одна из самых известных компаний — Blackberry — до сих пор жива и неплохо себя чувствует. Даже в России присутствует и продаёт свои продукты, в основном для банковского сектора. На этот рынок также зашли SAP и разные компании поменьше вроде Good Technology, позже купленной тем же Blackberry. В это же время набирала популярность концепция BYOD, когда компании пытались экономить на том, что сотрудники таскали свои личные девайсы на работу.
Правда, очень быстро выяснилось, что техподдержка и ИБ уже вздрагивают от запросов вида «Как мне настроить MS Exchange на моем Arch Linux» и «Мне нужен прямой VPN до приватного Git-репозитория и продуктовой БД с моего MacBook». Без централизованных решений вся экономия на BYOD оборачивалась кошмаром в плане поддержания всего зоопарка. Компаниям нужно было, чтобы всё управление было автоматическим, гибким и безопасным.
В розничной торговле история развивалась немного иначе. Примерно лет 10 назад компании внезапно осознали, что появились мобильные устройства. Это раньше сотрудники сидели за тёплыми ламповыми мониторами, а где-то рядом незримо присутствовал бородатый обладатель свитера, заставлявший всё это работать. С появлением полноценных смартфонов функции редких специализированных КПК теперь можно перекладывать на обычное недорогое серийное устройство. Одновременно с этим пришло понимание, что этим зоопарком нужно как-то управлять, так как платформ много, и они все разные: Blackberry, iOS, Android, затем — Windows Phone. В масштабах крупной компании любые ручные телодвижения — это выстрел себе в ногу. Такой процесс съест ценные человеко-часы IT-подразделения и поддержки.
Вендоры в самом начале предлагали отдельные MDM-продукты для каждой платформы. Вполне типичной была ситуация, когда управлялись только смартфоны на iOS или на Android. Когда со смартфонами более или менее разобрались, выяснилось, что терминалами сбора данных на складе тоже надо как-то управлять. При этом вам очень нужно отправить нового сотрудника на склад, чтобы он просто отсканировал штрих-коды на нужных коробках и внёс эти данные в базу. Если у вас склады — по всей стране, то поддержка становилась весьма непростой. Надо каждое устройство подключить к Wi-Fi, установить приложение и обеспечить доступ к базе данных. С современными MDM, а точнее, EMM, вы берёте админа, выдаёте ему консоль управления и конфигурируете тысячи устройств с шаблонными сценариями из одного места.
Терминалы в McDonald’s
В рознице наблюдается интересная тенденция — уход от стационарных касс и точек оформления товара. Если раньше в том же М.Видео понравился чайник, то нужно было звать продавца и топать с ним через весь зал к стационарному терминалу. По дороге клиент успевал десять раз забыть, зачем шёл, и передумать. Терялся тот самый эффект импульсивной покупки. Сейчас MDM-решения позволяют продавцу сразу подойти с POS-терминалом и провести оплату. Система объединяет и конфигурирует терминалы склада и продавцов из одной консоли управления. В своё время одной из первых компаний, которая начала менять модель традиционной кассы, стал McDonald’s с его интерактивными панелями для самообслуживания и девушками с мобильными терминалами, которые принимали заказы прямо посреди очереди.
Burger King тоже начал развивать свою экосистему, добавив приложение, которое позволяло сделать заказ дистанционно, чтобы его приготовили заранее. Всё это объединялось в гармоничную сеть с управляемыми интерактивными стойками и мобильными терминалами у сотрудников.
Сам себе кассир
Многие продуктовые гипермаркеты снижают нагрузку на кассиров установкой касс самообслуживания. «Глобус» пошёл дальше. Они на входе предлагают взять терминал Scan&Go с интегрированным сканером, которым вы просто сканируете весь товар на месте, расфасовываете по пакетам и выходите, оплатив. Потрошить на кассе разложенные по пакетам продукты не нужно. Все терминалы также управляются централизованно и интегрируются как со складами, так и с другими системами. Некоторые компании пробуют аналогичные решения, интегрированные в тележку.
Тысяча вкусов
Отдельная песня — это вендинговые аппараты. На них точно так же надо обновлять прошивку, следить за остатками горелого кофе и сухого молока. Причём синхронизируя это всё с терминалами обслуживающего персонала. Из крупных компаний в этом плане отличилась Coca-Cola, которая объявила приз в $ 10 000 за самый оригинальный рецепт напитка. В смысле позволила пользователям смешивать самые наркоманские сочетания в фирменных аппаратах. В итоге появились варианты имбирно-лимонной колы без сахара и ванильно-персикового «Спрайта». До вкуса ушной серы, как в конфетах Bertie Bott’s Every Flavour Beans, они вроде пока не дошли, но настроены очень решительно. Вся телеметрия и популярность каждого сочетания тщательно отслеживаются. Всё это также интегрируется с мобильными приложениями пользователей.
Ждём новых вкусов.
Продаём пирожки
Вся прелесть MDM/UEM-систем в том, что вы можете быстро масштабировать свой бизнес, подключая новых сотрудников дистанционно. Вы вполне можете организовать продажу условных пирожков в другом городе с полноценной интеграцией со своими системами в два клика. Выглядеть это будет примерно так.
Сотруднику привозят новое устройство. В коробке — бумажка с баркодом. Сканируем — устройство активируется, регистрируется в MDM, берёт прошивку, применяет и перезагружается. Пользователь вводит свои данные либо одноразовый токен. Всё. Теперь у вас есть новый сотрудник, который имеет доступ к корпоративной почте, данным по остаткам на складе, нужные приложения и интеграцию с мобильным платёжным терминалом. Человек приезжает на склад, забирает товар и везёт его непосредственным клиентам, принимая оплату с помощью этого же устройства. Почти как в стратегиях нанять пару новых юнитов.
Как это выглядит
Одна из самых функциональных систем UEM на рынке — VMware Workspace ONE UEM (бывший AirWatch). Она позволяет интегрироваться практически с любой мобильной и десктопной ОС и с ChromeOS. Даже Symbian был до недавнего времени. А ещё Workspace ONE поддерживает Apple TV.
Ещё один важный плюс. Apple позволяет только двум MDM, в том числе Workspace ONE, заранее поковыряться в API перед выпуском новой версии iOS. Всем в лучшем случае — за месяц, а им — за два.
Вы просто задаёте необходимые сценарии использования, подключаете девайс, и дальше оно работает, что называется, automagically. Прилетают политики, ограничения, предоставляются нужные доступы к внутренним сетевым ресурсам, заливаются ключи и устанавливаются сертификаты. Через несколько минут у нового сотрудника — уже полностью готовое для работы устройство, с которого непрерывно льётся необходимая телеметрия. Количество сценариев огромное начиная от блокировки камеры телефона в конкретной геолокации и заканчивая SSO по отпечатку пальца или лицу.
Админ конфигурирует лаунчер со всеми приложениями, которые прилетят пользователю.
Так же гибко настраиваются все возможные и невозможные параметры вроде размера иконок, запрета на их перемещение, запрета на иконку звонка и контактов. Такой функционал полезен при использовании Android-платформы в качестве интерактивного меню в ресторане и тому подобных задач.
Интересные решения есть и у других вендоров. Например, EMM SafePhone от НИИ СОКБ предоставляет сертифицированные решения для безопасной передачи голоса и сообщений с шифрованием и возможностью записи.
Рутованные телефоны
Головной болью для ИБ являются рутованные телефоны, где пользователь имеет максимальные права. Нет, чисто субъективно это идеальный вариант. Твой девайс должен давать тебе полные права на управление. К сожалению, это идёт вразрез с корпоративными задачами, которые требуют отсутствия у пользователя возможности влиять на корпоративное ПО. Например, он не должен иметь возможности залезть в защищённый раздел памяти с файлами или подсунуть фейковый GPS.
Поэтому все вендоры так или иначе стараются обнаруживать любые подозрительные активности на управляемом устройстве и блокировать доступ при обнаружении рут-прав или нестандартной прошивки.
В Android обычно полагаются на SafetyNet API. Время от времени тот же Magisk позволяет обойти его проверки, но, как правило, Google это очень быстро фиксит. Насколько мне известно, тот же Google Pay так и не заработал снова на рутованных девайсах после весеннего обновления.
Вместо вывода
Если вы крупная компания, то вам стоит задуматься о внедрении UEM/EMM/MDM. Современные тенденции говорят о том, что такие системы находят всё более широкое применение — от залоченных iPad в качестве терминалов в кондитерской до крупных интеграций со складскими базами и курьерскими терминалами. Единая точка управления и быстрая интеграция или смена роли сотрудника дают очень большие преимущества.
Источник