Управление мобильными устройствами

Как выглядит контроль над мобильными пользователями
без специального программного обеспечения

Картинка изображает хаос, который царит в большинстве компаний, которые предоставляют своим сотрудникам доступ к рабочим приложениям и данным с мобильных устройств. Сейчас уже никто не представляет себе жизнь без них, у каждого есть смартфон или планшет. Сотрудники хотят получать доступ к корпоративным данным (почта, документы, программы) находясь вне офиса, из дома, в пути. А организация в свою очередь, не хочет терять контроль над информацией имеющей коммерческую ценность, но как это сделать, когда сотрудник пользуется, например, почтой со своего iPhone и может любой файл из вложения сохранить на карте памяти, переслать, опубликовать в Dropbox. Даже если в компании уже внедрена DLP система, когда речь заходит о мобильных устройствах, она бессильна.

Общая стратегия контроля мобильных пользователей

Существуют разные подходы к управлению мобильной инфраструктурой, и вызвано это тем, что пользователь получает доступ к рабочим данным со своего личного устройства, но давать полный доступ (контроль) над смартфоном или планшетом администратору компании (и вообще кому бы то ни было) категорически не желает, и это понятно. Фотографии с отдыха, записная книжка с телефоном любовницы и даже достижения в angry birds – это все конфиденциальная информация, к которой Вася Иванов, администратор компании никакого доступа иметь не должен.
Совсем другое дело, это мобильные устройства, которые компания выдает своим сотрудникам для работы. В этом случае администратор имеет полное право получить максимально возможный контроль над ними, т.к. он отвечает за работу данной мобильной среды.

На западе выделяют три варианта управления:
MDM – mobile device management – полное управление мобильным устройством, возможность доступа ко всей информации, которая хранится на устройстве. Администратор может отследить, где в данный момент находится смартфон, какие приложения на нем установлены, какой в данный момент заряд батареи. Можно, например, удаленно запретить(разрешить) пользоваться камерой, запретить выключать устройство, удалить лишние приложения и установить свои, посмотреть содержимое карты памяти.
На мобильное устройство устанавливается агент MDM программы, который получает права администратора через API интерфейсы операционной системы (Android, iOS, Windows). Агент подключается к серверу и получает с него настройки и политики, которые необходимо применить на смартфоне или планшете. По данной схеме работают все MDM решения на рынке.

MAM – mobile application management – администратор может удаленно применять политики только к определенным приложениям и не имеет полного контроля над устройством. То, о чем я писал выше, пользователи не хотят пускать администратора на свои устройства, но согласны установить специальное приложение, например, для защищенного доступа к корпоративной почте. Чтобы было понятнее, маркетологи придумали неплохое визуальное объяснение, каждое рабочее мобильное приложение помещается в изолированный программный контейнер и полностью отделено от личных приложений и данных пользователя.
Какими приложениями может управлять администратор? Самое распространенное – это почтовый клиент и веб браузер. Если в компании разработаны свои приложения их тоже можно запаковать особым образом и получить возможность управлять ими удаленно.

MIM – mobile information management – администратор может управлять доступом к корпоративным данным — файлам и папкам на смартфонах и планшетах. Для этого разработаны мобильные приложения для SharePoint и аналогов Dropbox. К файлам можно применять целый ряд политик, которые должны помочь избежать кражи конфиденциальной информации.

Программные продукты на рынке

Продолжая тему, смотрим решения от ведущих производителей.

Если вы работаете с устаревшей бесплатной версией G Suite и хотите использовать эту функцию, перейдите на G Suite Basic .

Функции управления мобильными устройствами в Google предназначены для администрирования корпоративных мобильных устройств, обеспечения их безопасности и для их отслеживания. Вы можете управлять различными устройствами, включая телефоны, планшеты и умные часы. Сотрудники организации могут работать с ее ресурсами на личных или предоставленных компанией устройствах.

Базовый режим управления мобильными устройствами

В базовом режиме управления вы можете выполнять следующие действия:

• устанавливать правила, требующие настроить блокировку экрана или пароль, для защиты корпоративных данных на устройствах;
• удалять корпоративные данные с потерянных или украденных устройств;
• предоставлять пользователям доступ к рекомендуемым корпоративным приложениям для устройств Android;
• публиковать и распространять частные приложения;
• смотреть список устройств с доступом к корпоративным данным в консоли администратора Google.

Базовый режим управления включен по умолчанию. Если вы его отключили, узнайте, как настроить этот режим . Пользователям не придется ничего устанавливать. Каждому сотруднику достаточно будет войти в аккаунт на устройстве, используя корпоративный адрес электронной почты.

Примечание. Базовый режим управления мобильными устройствами может быть не включен по умолчанию для некоторых аккаунтов.

Расширенный режим управления мобильными устройствами

Если вам нужно больше функций для контроля устройств с доступом к корпоративным данным, используйте расширенный режим управления. Он позволяет:

• Устанавливать правило, требующее использовать более надежные пароли.
• Предоставлять пользователям доступ к корпоративным приложениям в каталоге рекомендуемого ПО (для Android и iOS).
• Использовать рабочие профили на устройствах Android, чтобы разделить личные и корпоративные приложения.
• Закрывать доступ к определенным настройкам и функциям устройств. Например, вы можете запретить подключение к мобильным сетям или по Wi-Fi, создание скриншотов и т. д.
• Отслеживать соблюдение установленных вами правил, а также получать отчеты о пользователях, устройствах и версиях ОС.
• Узнайте,

Хотите позволить сотрудникам использовать личный ноутбук, планшет, телефон в качестве рабочего - запросто! Но как защитить, разделить персональную информацию от рабочей? А как же быть с приложениями? Нужно настроить все устройства согласно политикам компании? А если кто-то потеряет свое устройство с важной рабочей информацией?

Давайте узнаем ответы на эти и другие вопросы.

Сотрудники могут использую свое личное устройство на работе в личных целях, если политики компании это позволяют. Так почему бы не разрешить им использовать личное устройство и для рабочих задач?

«Возьми Свое Собственное Устройство на работу» - именно так звучит концепция BYOD (Bring Your Own Device). Тенденция BYOD снимает границы между частной жизнью и работой. Для ИТ-специалистов лучше контролировать ситуацию, а не бороться с ней административными способами.Разрешение использовать собственные устройства - это еще и инструмент повышения лояльности сотрудников, что важно для любой компании.

Желание сотрудников работать удаленно очевидно. Есть масса специалистов, которые не только хотят, но и могут работать удаленно. Для этого нужно иметь определенный уровень самоконтроля, но это вполне реально.

Однако, несмотря на неоспоримые плюсы, внедрение BYOD ассоциируется с проблемами безопасности и управляемости. Есть вероятность утери, кражи устройства, заражения зловредом. Но если разобраться, то преимущества BYOD для бизнеса существенно перевешивают недостатки.

Сегодня на рынке масса крупных и мелких компаний предоставляющих сервис MDM (Mobile Device Management).

Список существующих решений

Microsoft Intune
AirWatch by VMWare
Citrix XenMobile
BlackBerry Enterprise Service
SAP Afaria
Symantec Mobile Management
Good Technology
MaaS360 by Fiberlink
Dell Mobile Management
MobileIron
Centrify
FileWave
LANDESK
MobiControl
Sophos Mobile Control
Excitor MobiControl
Amtel
Tangoe Matrix Mobility
Kaseya BYOD
Absolute Manage
BoxTone
SOTI
FAMOC

Много кто пытался создавать, продвигать свое решение, но не все «выжили».

Перейдем к Intune. Доступно много теоретической информации, обзоров про Intune от Microsoft. Вкратце это облачная служба для управления мобильными устройствами на базе Windows, iOS, Android а так же компьютерами c ОС Windows.
Есть несколько конфигураций использования Intune. Я выделил две основные:

1. Автономная - Intune
2. Гибридная - Intune + SCCM 2012 или Intune + SCCM 2012 + Azure

В данной статье рассмотрим управление мобильными устройствами для малого бизнеса с автономной конфигурацией.
Из преимуществ такого решения можно выделить следующие: исчезает необходимость в развертывании, обслуживании и масштабируемости, т.к. решение облачное, Microsoft регулярно обновляет и улучшает его.
Так же упрощена схема подписки основанная на количестве пользователей а не устройств. За одного пользователя придется заплатить $6.00 USD в месяц. В подписку включено 20 GB места в облаке для приложений.
Но не стоит спешить приобретать подписку. Есть 30 дней пробного периода на 100 пользователей, по истечении которого Вы сможете продлить пробный период еще на 30 дней указав номер платежной карточки. Итого 60 дней на то чтобы попробовать и понять нужен ли Вам Intune.

Итак, Вы решили попробовать. После регистрации будет доступна панель управления Intune а так же центр администрирования . Далее администратор создает пользователей вручную в панели управления или импортирует из CSV файла в центре администрирования. Пример файла CSV . Каждый созданный пользователь будет иметь логин в виде UserName @CompanyName .onmicrosoft.com или собственное доменное имя.

Весь процесс управления можно разделить на 5 основных шагов:

Регистрация

Для регистрации необходимо установить приложение «Company Portal» на устройстве пользователя.

Чтобы облегчить администраторам общение с пользователями Microsoft предоставляет список ссылок , данная информация поможет им при регистрации устройств в Intune и выполнения различных задач на устройствах после регистрации.

После того как пользователь установил приложение и залогинился его устройство будет зарегистрировано.

Скриншоты шагов регистрации

Приложение «Портал компании» содержит три основные вкладки:

• Приложения - список всех доступных пользователю приложений
• Мои Устройства - список устройств пользователя (максимум 5)
• Обратится в отдел ИТ - контактная информация для связи с ИТ отделом

После того как устройство зарегистрировано, им можно управлять.
Все зарегистрированные устройства и пользователи добавляются в соответствующие ветки в панели управления вкладки «Groups».
Администратор может группировать устройства (device group) и пользователей (user group) по доступным критериям или напрямую задавать членство в группе для дальнейшего распространения управления ими, аналогично коллекциям в SCCM 2012.

Развертывание приложений

Intune поддерживает установку множества различных приложений, в том числе приложений из магазина приложений, веб-приложений и приложений, разработанных внутри компании.
Существует два типа установки приложения:

• Установщик - указываем файл установки для приложения которое нужно развернуть. Например, APK для Android
• Внешняя ссылка - указываем ссылку на страницу приложения в магазине приложений. Например, Microsoft Store для Windows Mobile

Добавление приложения - установщик

Выбираем установочный файл:

Заполняем описание:

Задаем требования к версии операционной системы:

Приложение добавлено в список приложений в панели управления:

Заполняем описание:

После того как приложение добавлено и доступно в списке приложений осталось лишь развернуть его на устройствах пользователей. Выбрав в контекстом меню «Manage Deployment...» назначаем приложение на группу пользователей или группу устройств.

Доступны следующие опции:

• Принудительная установка
• Доступная установка
• Удаление

На пользовательском устройстве появится приложение назначенное на соответствующую группу.

Пример отображения на различных устройствах

Android:

Windows Mobile:

Windows 10

IOS:

Настройка

Intune использует политики, которые помогут настроить многие параметры и режимы работы для устройств:

• Параметры оборудования, такие как разрешение на использование Bluetooth, NFC,...
• Параметры пароля, включая длину и качество пароля
• Параметры шифрования
• Настройки браузера, например запрет на сохранение cookie, блокировка jscript
• Разрешенные и запрещенные приложения
• Политики соответствия требованиям, например версия ОС

Естественно, в различных ОС список доступных параметров отличается, даже на уровне одной ОС в разных версиях доступны разные параметры, и администратору придется не сладко если у пользователей слишком широкий разброс версий операционных систем. Но при создании конфигурации доступны подсказки, с минимальными требованиями к версии ОС.

Например, политика запрещающая использовать камеру

При запуске камеры пользователь будет уведомлен:

Хотя Intune предоставляет широкий спектр параметров для настройки устройств, может возникнуть ситуация, когда требуемый параметр недоступен. Во многих случаях эту проблему можно решить с помощью настраиваемой политики, которая позволяет настраивать параметры OMA-URI - это общий стандарт для настройки мобильных устройств, чтобы задать необходимые значения.

Развертывание настроек происходит аналогичным образом как и развертывание приложений.

Мониторинг

После развертывания приложений и политик администратор следит за статусом на соответствующих вкладках.

На вкладке ""Dashboard"" отображается общий статус всех компонентов

Более детальная информация о статусе приложений отображается на вкладке ""APPS""

Кликнув по приложению мы увидим детали:

Администратор будет уведомлен о наличии проблем в Intune при помощи оповещения.
Оповещения позволяют отслеживать, что происходит в Microsoft Intune. Например, на компьютере обнаружена вредоносная программа или обнаружен конфликт между двумя политиками Intune.

На вкладке с устройствами доступен очень полезный список фильтров, с помощью которого можно найти устройства с различным статусом.

Список фильтров

Защита

В случае потери сотрудником мобильного устройства или его кражи можно удалить корпоративные данные и приложения с устройства, можно также выполнить полную очистку. При необходимости возможен сброс секретного кода или удаленная блокировка устройства.

Все достаточно просто: находим имя пользователя, выбираем из его устройств нужное, и в контекстом меню выбираем необходимое действие:

В качестве заключения хотелось бы отметить зрелость продукта, ведь еще каких-то пару лет назад Intune был сыроват для корпоративного использования. На сегодняшний день это один из немногих стабильных решений с полноценной поддержкой и обновлениями. Кроме того он интегрируется с SCCM что немаловажно для больших корпораций.

Список полезных ресурсов

Хотите позволить сотрудникам использовать личный ноутбук, планшет, телефон в качестве рабочего - запросто! Но как защитить, разделить персональную информацию от рабочей? А как же быть с приложениями? Нужно настроить все устройства согласно политикам компании? А если кто-то потеряет свое устройство с важной рабочей информацией?

Давайте узнаем ответы на эти и другие вопросы.

Сотрудники могут использую свое личное устройство на работе в личных целях, если политики компании это позволяют. Так почему бы не разрешить им использовать личное устройство и для рабочих задач?

«Возьми Свое Собственное Устройство на работу» - именно так звучит концепция BYOD (Bring Your Own Device). Тенденция BYOD снимает границы между частной жизнью и работой. Для ИТ-специалистов лучше контролировать ситуацию, а не бороться с ней административными способами.Разрешение использовать собственные устройства - это еще и инструмент повышения лояльности сотрудников, что важно для любой компании.

Желание сотрудников работать удаленно очевидно. Есть масса специалистов, которые не только хотят, но и могут работать удаленно. Для этого нужно иметь определенный уровень самоконтроля, но это вполне реально.

Однако, несмотря на неоспоримые плюсы, внедрение BYOD ассоциируется с проблемами безопасности и управляемости. Есть вероятность утери, кражи устройства, заражения зловредом. Но если разобраться, то преимущества BYOD для бизнеса существенно перевешивают недостатки.

Сегодня на рынке масса крупных и мелких компаний предоставляющих сервис MDM (Mobile Device Management).

Список существующих решений

Microsoft Intune
AirWatch by VMWare
Citrix XenMobile
BlackBerry Enterprise Service
SAP Afaria
Symantec Mobile Management
Good Technology
MaaS360 by Fiberlink
Dell Mobile Management
MobileIron
Centrify
FileWave
LANDESK
MobiControl
Sophos Mobile Control
Excitor MobiControl
Amtel
Tangoe Matrix Mobility
Kaseya BYOD
Absolute Manage
BoxTone
SOTI
FAMOC

Много кто пытался создавать, продвигать свое решение, но не все «выжили».

Перейдем к Intune. Доступно много теоретической информации, обзоров про Intune от Microsoft. Вкратце это облачная служба для управления мобильными устройствами на базе Windows, iOS, Android а так же компьютерами c ОС Windows.
Есть несколько конфигураций использования Intune. Я выделил две основные:

1. Автономная - Intune
2. Гибридная - Intune + SCCM 2012 или Intune + SCCM 2012 + Azure

В данной статье рассмотрим управление мобильными устройствами для малого бизнеса с автономной конфигурацией.
Из преимуществ такого решения можно выделить следующие: исчезает необходимость в развертывании, обслуживании и масштабируемости, т.к. решение облачное, Microsoft регулярно обновляет и улучшает его.
Так же упрощена схема подписки основанная на количестве пользователей а не устройств. За одного пользователя придется заплатить $6.00 USD в месяц. В подписку включено 20 GB места в облаке для приложений.
Но не стоит спешить приобретать подписку. Есть 30 дней пробного периода на 100 пользователей, по истечении которого Вы сможете продлить пробный период еще на 30 дней указав номер платежной карточки. Итого 60 дней на то чтобы попробовать и понять нужен ли Вам Intune.

Итак, Вы решили попробовать. После регистрации будет доступна панель управления Intune а так же центр администрирования . Далее администратор создает пользователей вручную в панели управления или импортирует из CSV файла в центре администрирования. Пример файла CSV . Каждый созданный пользователь будет иметь логин в виде UserName @CompanyName .onmicrosoft.com или собственное доменное имя.

Весь процесс управления можно разделить на 5 основных шагов:

Регистрация

Для регистрации необходимо установить приложение «Company Portal» на устройстве пользователя.

Чтобы облегчить администраторам общение с пользователями Microsoft предоставляет список ссылок , данная информация поможет им при регистрации устройств в Intune и выполнения различных задач на устройствах после регистрации.

После того как пользователь установил приложение и залогинился его устройство будет зарегистрировано.

Скриншоты шагов регистрации

Приложение «Портал компании» содержит три основные вкладки:

• Приложения - список всех доступных пользователю приложений
• Мои Устройства - список устройств пользователя (максимум 5)
• Обратится в отдел ИТ - контактная информация для связи с ИТ отделом

После того как устройство зарегистрировано, им можно управлять.
Все зарегистрированные устройства и пользователи добавляются в соответствующие ветки в панели управления вкладки «Groups».
Администратор может группировать устройства (device group) и пользователей (user group) по доступным критериям или напрямую задавать членство в группе для дальнейшего распространения управления ими, аналогично коллекциям в SCCM 2012.

Развертывание приложений

Intune поддерживает установку множества различных приложений, в том числе приложений из магазина приложений, веб-приложений и приложений, разработанных внутри компании.
Существует два типа установки приложения:

• Установщик - указываем файл установки для приложения которое нужно развернуть. Например, APK для Android
• Внешняя ссылка - указываем ссылку на страницу приложения в магазине приложений. Например, Microsoft Store для Windows Mobile

Добавление приложения - установщик

Выбираем установочный файл:

Заполняем описание:

Задаем требования к версии операционной системы:

Приложение добавлено в список приложений в панели управления:

Заполняем описание:

После того как приложение добавлено и доступно в списке приложений осталось лишь развернуть его на устройствах пользователей. Выбрав в контекстом меню «Manage Deployment...» назначаем приложение на группу пользователей или группу устройств.

Доступны следующие опции:

• Принудительная установка
• Доступная установка
• Удаление

На пользовательском устройстве появится приложение назначенное на соответствующую группу.

Пример отображения на различных устройствах

Android:

Windows Mobile:

Windows 10

IOS:

Настройка

Intune использует политики, которые помогут настроить многие параметры и режимы работы для устройств:

• Параметры оборудования, такие как разрешение на использование Bluetooth, NFC,...
• Параметры пароля, включая длину и качество пароля
• Параметры шифрования
• Настройки браузера, например запрет на сохранение cookie, блокировка jscript
• Разрешенные и запрещенные приложения
• Политики соответствия требованиям, например версия ОС

Естественно, в различных ОС список доступных параметров отличается, даже на уровне одной ОС в разных версиях доступны разные параметры, и администратору придется не сладко если у пользователей слишком широкий разброс версий операционных систем. Но при создании конфигурации доступны подсказки, с минимальными требованиями к версии ОС.

Например, политика запрещающая использовать камеру

При запуске камеры пользователь будет уведомлен:

Хотя Intune предоставляет широкий спектр параметров для настройки устройств, может возникнуть ситуация, когда требуемый параметр недоступен. Во многих случаях эту проблему можно решить с помощью настраиваемой политики, которая позволяет настраивать параметры OMA-URI - это общий стандарт для настройки мобильных устройств, чтобы задать необходимые значения.

Развертывание настроек происходит аналогичным образом как и развертывание приложений.

Мониторинг

После развертывания приложений и политик администратор следит за статусом на соответствующих вкладках.

На вкладке ""Dashboard"" отображается общий статус всех компонентов

Более детальная информация о статусе приложений отображается на вкладке ""APPS""

Кликнув по приложению мы увидим детали:

Администратор будет уведомлен о наличии проблем в Intune при помощи оповещения.
Оповещения позволяют отслеживать, что происходит в Microsoft Intune. Например, на компьютере обнаружена вредоносная программа или обнаружен конфликт между двумя политиками Intune.

На вкладке с устройствами доступен очень полезный список фильтров, с помощью которого можно найти устройства с различным статусом.

Список фильтров

Защита

В случае потери сотрудником мобильного устройства или его кражи можно удалить корпоративные данные и приложения с устройства, можно также выполнить полную очистку. При необходимости возможен сброс секретного кода или удаленная блокировка устройства.

Все достаточно просто: находим имя пользователя, выбираем из его устройств нужное, и в контекстом меню выбираем необходимое действие:

В качестве заключения хотелось бы отметить зрелость продукта, ведь еще каких-то пару лет назад Intune был сыроват для корпоративного использования. На сегодняшний день это один из немногих стабильных решений с полноценной поддержкой и обновлениями. Кроме того он интегрируется с SCCM что немаловажно для больших корпораций.

Список полезных ресурсов