Если у сотрудника есть возможность войти в корпоративную почту или работать с рабочими сервисами с мобильного устройства, то фактически оно является продолжением рабочего компьютера. Директор Accenture по цифровизации Мэтью Дэвид дает на портале TechBeacon советы о том, как их защитить при помощи ПО для управления мобильными устройствами (Mobile Device Management, MDM).

Инструменты управления мобильностью ИТ-среды предприятия (Enterprise Mobility Management, EMM) позволяют ПО MDM управлять устройствами в сети предприятия. Это означает, что сотруднику не требуется заниматься этим самостоятельно. Например, если он применяет для работы iOS-устройства, то за это отвечает ПО управления, предоставленное работодателем.

Из-за пандемии удаленная модель работы продолжает пользоваться популярностью, что подталкивает развитие MDM. Не исключено, что в будущем компании не захотят возвращаться к офисной модели работы, по крайней мере, в том объеме, что и до пандемии. Это означает, что теперь мы должны управлять всеми персональными устройствами с помощью MDM.

Соответствует ли сегодняшняя технология MDM поставленной задаче? Ниже приводятся четыре ключевые области, в которых технология MDM и операционные тенденции за последний год изменились в ответ на изменившиеся требования.

MDM расширяет сферу применения устройств

Типичное предприятие может иметь более 10 000 беспроводных точек доступа. Поскольку ПО MDM может управлять всеми ИТ-устройствами, то сетевым администраторам не требуется разворачивать нескольких сетей. MDM-приложение встроено в ОС мобильного устройства, поэтому администратор выбирает устройство для подключения и получает непосредственный доступ ко всем размещенным на нем данным компании. Будь то небольшой офис с 10 сотрудниками или крупная глобальная компания, можно определить, кто и над чем работает на устройстве с ПО MDM. Каждый работник использует идентичные учетные данные, которые применяются в организации. Администратор устройств имеет доступ к учетным записям компании и может управлять удаленным доступом к системе и компьютерам из любого места.

Безопасность является критически важной частью MDM. Управляемое мобильное устройство может подключаться только к приложению MDM, поэтому если оно находится в другой сети, например, в кафе, то оно должно подключаться к сети MDM, а не к другой системе компании. Например, сотрудник может войти в систему на ноутбуке коллеги и просмотреть общие файлы, но, что важно, все они защищены и недоступны из сети компании.

Приложение также может управлять роумингом данных. Допустим, сотрудник покидает компанию и использует устройство, которое не подключено к сети MDM. В этом случае он может выйти из системы компании, и любая конфиденциальная информация на этом устройстве будет стерта.

Существует множество инструментов MDM, и очень важно понять, какая платформа MDM лучше всего подходит для ваших нужд.

В MDM-игру включились Android и iOS

Apple в течение многих лет упрощала MDM для iOS, padOS и MacOS. В iOS 14 она включила такие функции:

  • Automated Device Enrollment. Возможность крупномасштабной автоматической регистрации для сотен iOS-устройств существует уже несколько лет, однако компания каждый год улучшает функциональность сервиса. Теперь к развертываниям iOS и padOS можно добавить tvOS и macOS;
  • UAMDM и Supervision Consolidation. Только для MacOS. Функции UAMDM (User Approved MDM, одобренный пользователем MDM) и Supervision Consolidation (консолидация слежения) были объединены, что сделало управление устройствами более простым. UAMDM предоставляет ПО MDM дополнительные опции, выходящие за рамки того, что разрешено в MDM для MacOS, но не было «одобрено пользователем»;
  • управляемые обновления ОС. Обновления как для MacOS, так и для iOS/padOS могут быть отложены на срок до 90 дней;
  • метрики кэширования контента через MDM. Кэширование контента позволяет устройствам в одной сети «делиться» загрузками, которые поступают от Apple (будь то приложения или обновления ОС). Это снижает нагрузку на полосу пропускания Интернета и ускоряет установку уже кэшированных загрузок на устройства;
  • настройки шифрования DNS. Будучи администратором, вы можете контролировать конфиденциальность и безопасность пользователей, шифруя DNS-трафик между устройствами и DNS-серверами;
  • профили, привязанные к VPN. Теперь вы можете согласовывать специфичные для профиля типы полезной нагрузки с профилями VPN. В результате при взаимодействии с этими службами ОС будет посылать трафик через VPN-соединение. Новые классы включают CalDAV, CardDAV, Exchange ActiveSync, Google Account, LDAP, Mail, Subscribed Calendar.

Apple продолжает вкладывать значительные средства в свои корпоративные MDM-функции. Google также решила не останавливаться на достигнутом. У многих компаний Android всегда вызывала проблемы, связанные с MDM. К сожалению, ранее эта ОС не могла похвастаться внедрением последовательных MDM-решений. Тем не менее, Google серьезно относится к обеспечению MDM-защиты для предприятий. С этой целью она предлагает сервис Android Enterprise. Это открывает хорошие возможности перед компаниям, которые хотят развернуть Android-устройства.

Недавно выпущенный сервис Android Enterprise Essentials улучшает ситуацию. Он включает следующие важные функции:

  • удаленная активация устройств позволяет пользователям начать работу, где бы они ни находились;
  • автоматическое применение политик;
  • компании могут удаленно стирать с устройств корпоративную информацию и сбрасывать блокировку экрана;
  • в случае потери или кражи устройства данные будут защищены.

Android Enterprise Essentials дает предприятиям уверенность в том, что они смогут массово разворачивать устройства Android. Это очень важно для Accenture, так как мои команды часто обращаются к Android как альтернативному решению. Например, когда речь идет о бюджете, Android Enterprise и Android Essentials можно применять для Moto e6 на базе Android, который стоит 30 долл. — намного меньше, чем самый дешевый iPhone.

MDM и управление идентификацией

По сути, нужно исходить из того, что каждое мобильное устройство по своей природе небезопасно. Моя команда придерживается этого подхода и делает его основополагающим элементом всей нашей работы с устройствами. Приняв это как данность, вам нужно ответить на следующие вопросы:

  • кто пользуется устройством?
  • какие данные используются на устройстве?
  • какие учетные данные следует использовать для защиты устройства?

Как видно из перечисленных выше усовершенствований MDM для устройств iOS и Android, особое внимание уделяется безопасности и идентификации. Ущерб от игнорирования безопасности огромен. Современные инструменты MDM значительно упрощают включение защиты устройства и идентификации человека, использующего устройство. Воспользуйтесь этими значительными изменениями.

MDM и магазины приложений

Последняя проблема при управлении устройствами, особенно личными, не принадлежащими компании, — это приложения, которые компания не может контролировать. Android опережает Apple в том плане, что Google дает администраторам MDM гораздо более жесткий контроль над хранением и совместным использованием данных на устройстве. Apple не сильно отстает, но по-прежнему позволяет владельцам устройств устанавливать на свои устройства любые приложения.

App Store зарекомендовал себя как надежный магазин приложений, который не пропускает зловредов. Задача состоит в том, чтобы ограничить данные, которые легко копировать из корпоративной электронной почты и размещать в приложениях социальных сетей. Для этого в Microsoft Intune и MobileIron есть инструменты, предотвращающие копирование корпоративных данных в личные приложения. Однако администратор MDM должен активировать функции повышенной безопасности.

Новая нормальность означает новые элементы управления

Сегодня устройства стали более важной частью нашей жизни, чем когда-либо. Пандемия заставила миллионы людей работать из дома. Стремительно выросла зависимость от компьютеров, планшетов и телефонов. Со временем мы, вероятно, начнем возвращаться к нормальной жизни. Однако некоторые ее моменты навсегда изменились, и работа из дома — одна из них. Убедитесь, что ваша команда использует лучшую защиту.