В современную эпоху BYOD и мобильности сотрудников предприятий вопросы MDM становятся все актуальнее. Каким образом можно решить данный вопрос с помощью RMM-решений?
Рассмотрим возможные варианты решения на примере Panda Systems Management.
Проблема: как контролировать и управлять корпоративными мобильными устройствами
Стремительное распространение мобильных устройств за последние годы серьезно повлияло на повседневную жизнь многих людей. Помимо целого ряда преимуществ, которые дарят нам мобильные устройства, стоит выделить именно саму мобильность: теперь люди могут читать новости, играть в онлайн-игры, общаться, слушать музыку и просматривать видео в любое время в любом месте. У многих людей мобильное устройство (например, планшет) вообще заменило традиционный в нашем понимании компьютер или ноутбук.
Более того, такие мобильные устройства, что вполне естественно, стали все чаще использоваться на работе в корпоративных целях: контакты с клиентами и партнерами, электронная почта, видеоконференции, работа с документами и т.д.
И вот тут-то начинаются определенные сложности и проблемы для «айтишников» предприятия: мобильность современных сотрудников и широкий круг доступных платформ для мобильных устройств значительно усложняют контроль и управление.
Действительно, если на предприятии к традиционным рабочим станциям применяются различные политики безопасности и конфиденциальности, то как быть с мобильными устройствами? Ведь сотрудники также на них работают с корпоративными документами, имеют доступ к корпоративным ресурсами и т.д. Следовательно, необходимо также управлять мобильными устройствами и контролировать их. И желательно это делать централизованно. Но как?
Кроме того, наличие различных мобильных платформ, конкурирующих между за собой за одну и ту же нишу рынка, еще более усложнило процессы управления сетью и форсировало появление фрагментированных решений управления с очень разными функциональными возможностями.
Итак, что делать и как быть?
Решение: единое RMM-решение для управления всеми корпоративными мобильными устройствами
Да, для централизованного управления мобильными устройствами следует использовать комплексные RMM-решения, которые предоставляют возможности MDM (Mobile Devices Management – управление мобильными устройствами).
Такие решения, как правило, позволяют централизованно управлять различными мобильными устройствами (например, на базе iOS и/или Android), включая сюда также планшеты, нетбуки, ноутбуки, смартфоны и т.д., вне зависимости от их физического местоположения из единой консоли централизованного управления.
Благодаря таким решениям можно контролировать статус этих устройств (аппаратное и программное обеспечение, журналы изменений, версия операционной системы, мобильный оператор, суммарное и свободное дисковое пространство и пр.), применять к ним соответствующие политики безопасности и конфиденциальности, а также применять необходимые действия в случае их кражи или потери. В зависимости от функционала RMM-системы могут быть и дополнительные возможности: удаленная установка ПО, удаленное управление и поддержка, широкий спектр отчетов и пр.
Одним из таких подходящих решений является облачный RMM-сервис Panda Systems Management, который помимо широкого функционала, свойственного комплексным RMM-системам, предлагает также и те преимущества, которые характерны облачным сервисам: простое и легкое внедрение и сопровождение без локальной инфраструктуры на предприятии, доступность консоли управления в любое время в любом месте с любого устройства, более простое администрирование мобильных устройств.
Ранее мы уже писали обзорную статью про Panda Systems Management, где помимо всех его преимуществ рассказывали о том, как можно легко и просто внедрить его на предприятии, а также отдельно писали про мониторы системы мониторинга. Сегодня же мы остановимся на том, как можно легко и просто управлять мобильными устройствами с помощью данного решения.
Итак, сегодня рассмотрим следующие вопросы:
- Какие поддерживаются платформы
- Установка агента на мобильные устройства с Android и iOS
- MDM-политики и их типы
- Инструменты для удаленного управления мобильными устройствами
Вы можете бесплатно зарегистрировать триал-версию Panda Systems Management на сайте и протестировать сервис в своем IT-окружении.
Поддерживаемые платформы
Panda Systems Management, не говоря о возможности управления ноутбуками и нетбуками/ультрабуками под управлением Windows и Mac, также поддерживает планшеты и смартфоны с iOS и Android.
Устройства с iOS
• iPhone 4, 4S
• iPhone 5, 5c, 5s
• iPhone 6, 6 Plus
• iPhone 6s, 6s Plus
• Ipod Touch 5 и 6 поколения
• iPad 2, 3, 4, Air, Air 2, Mini, Mini 2, Pro
Устройства с Android
• Версия Android 2.3.3 (Gingerbread) и выше.
Установка агента на мобильные устройства Android и iOS
Чтобы можно было управлять мобильными устройствами с Adnroid и iOS через централизованную веб-консоль Panda Systems Management, на них необходимо установить агента, как это описано ниже.
Включение функции MDM в консоли управления
Чтобы Вы могли взаимодействовать с Вашими мобильными устройствами из централизованной консоли управления, Вам необходимо включить функцию MDM. Для этого Вам необходимо импортировать бесплатный компонент Mobile Device Management из раздела Comstore.
Если данный компонент корректно загрузился в Вашу консоль управления, то Вы сможете его увидеть в списке Ваших компонентов в разделе Components.
Импорт сертификата Apple в консоль
Если Вы хотите управлять мобильными устройствами с iOS, то Вам потребуется интегрировать в консоль управления сертификат, сгенерированный Apple для устройств с iOS, чтобы у Вас была возможность связываться с сервером.
Импорт сертификата – это обязательный единоразовый процесс. Установка сертификата – это требование компании Apple для обеспечения целостности данных, достоверности и конфиденциальности всех коммуникаций между сервером и устройством пользователя.
Для этого выполните следующие действия:
- Перейдите в раздел Setup → Account Settings для доступа к настройкам сертификата Apple (раздел Apple Push Certificate)
-
Скачайте запрос на подпись сертификата (CSR), подписанный Panda Security (*_Apple_CSR.csr)
- Загрузите CSR-файл в Apple Push Certificate Portal.
Чтобы получить доступ к Apple Push Certificate Portal, вы должны иметь аккаунт в Apple. Для этого будет достаточно любого аккаунта iTunes. Однако если Вы хотите сгенерировать новые регистрационные данные Apple, перейдите на сайт https://appleid.apple.com/, нажмите Create an Apple ID и выполните представленные на экране инструкции.
Перейдите на страницу https://identity.apple.com/pushcert и авторизуйтесь с Вашими регистрационными данными Apple. Нажмите Create Certificate и выполните представленные на экране инструкции. Загрузите CSR-файл, который Вы скачали в консоли управления Panda Systems Management.
Скачайте новый подписанный сертификат Apple (.PEM) на Ваш компьютер.
Вернитесь в консоль управления Panda Systems Management. Выберите сохраненный на Вашем компьютере подписанный сертификат Apple (.PEM) и загрузите его в консоль управления.
После этого в консоли управления Вы получите следующее сообщение:
Добавление мобильных устройств в консоль управления
Отправка ссылки для скачивания по электронной почте
По соображениям безопасности, чтобы установить агента Panda Systems Management на мобильных устройствах с Android и iOS, можно только отправить пользователям этих устройств письмо с прямой ссылкой для скачивания агента в Google Play или Apple Store соответственно, а также MDM-файлом, содержащим информацию о сайте (проекте), с которым связано данное устройство.
Наличие отдельного MDM-файла обусловлено тем, что агент скачивается для каждого мобильного устройства из официального магазина (Google Play или Apple Store), поэтому чтобы разместить в установочном пакете привязку к сайту, пришлось бы динамически изменять сам пакет в магазине.
Чтобы в консоли управления добавить устройства с Android и iOS, необходимо перейти в раздел Sites, выбрать требуемый сайт (проект) и в нем нажать на кнопку New Device.
При нажатии на соответствующую иконку с названием операционной системы открывается окно, в котором Вам необходимо указать адрес электронной почты пользователя мобильного устройства, куда следует отправить письмо для установки агента. Можно указать несколько адресов почты, разделив их точкой с запятой.
Кстати, для массовой установки агента на устройства с iOS есть и альтернативный способ с помощью Apple Configurator. Но это уже повод для отдельной статьи, здесь же мы не будем рассматривать данный способ.
Привязка устройства к сайту
После того как агент Panda Systems Management установлен на устройстве пользователя, ему необходимо выполнить определенные действия для привязки к сайту (проекту). И тут есть два варианта, как это можно сделать.
Вариант 1. Сканирование QR-кода
На ПК, на котором открыта консоль управления Panda Systems Management с открытым сайтом, к которому должно быть привязано мобильное устройство, нажмите на QR-код для его увеличения.
Этот код можно распечатать или сохранить в виде файла и отправить по почте требуемым пользователям.
В свою очередь, пользователь должен на своем устройстве запустить установленный агент, нажать на иконку с колесиком, чтобы инициализировать камеру и просканировать QR-код.
После чтения кода агент покажет на устройстве пользователя сообщение Connected, а устройство появится в консоли управления Panda Systems Management.
Вариант 2. Импорт вложенного в письмо MDM-файла в установленный агент
Удаленные пользователи или те, у кого на сотовых телефонах нет встроенной камеры, могут открыть MDM-файл из письма со ссылкой на установку агента. После его загрузки агент покажет на устройстве пользователя сообщение Connected, а само устройство появится в централизованной консоли управления Panda Systems Management.
Кстати, учтите, что импорт MDM-файла возможен только через почтового клиента, встроенного на устройстве.
После выполнения вышеперечисленных действий в Вашей консоли управления Panda Systems Management появятся требуемые мобильные устройства. Теперь можно к ним применять соответствующую MDM-политику использования мобильных устройств.
Политики управления мобильными устройствами
Чтобы управлять и контролировать использование мобильных устройств, Panda Systems Management предлагает набор политик, которые позволяют Вам настроить планшеты и смартфоны таким образом, чтобы быть уверенным в том, что пользователи имеют мобильные устройства, готовые для использования в корпоративной среде и которые могут быть интегрированы в корпоративную инфраструктуру.
Во время создания MDM-политики, администратору необходимо определиться, является ли эта политика обязательной или нет. В последнем случае можно разрешить пользователю вручную отключать политику со своего мобильного устройства. Но если политика является обязательной, то без знания специального пароля пользователь не сможет ее отключить.
Типы MDM-политик
В Panda systems Management существует четыре типа доступных MDM-политик, каждая из которых влияет на определенные функции и настройки мобильного устройства:
• Passcode: характеристики паролей, вводимых пользователем на мобильном устройстве для блокировки/разблокировки устройства и т.д.
• Restriction: управление доступом к ресурсам мобильного устройства. Применяются только для устройств с iOS, т.к. они не внедрены в устройствах с Android
• VPN: настройки VPN
• Wi-Fi: настройки Wi-Fi соединения.
Passcode
Поле | Описание |
---|---|
Passcode strength | Позволяет Вам установить уровень сложности пароля |
Minimum passcode length | Позволяет Вам установить минимальную длину пользовательских паролей |
Minimum Number Of Complex Characters | Позволяет Вам установить минимальное количество не цифро-буквенных символов, которые должны использоваться в паролях |
Maximum Passcode Age | Позволяет Вам установить максимальный срок действия пароля |
Auto Lock | Позволяет Вам настроить временной интервал, после которого включается автоблокировка мобильного устройства |
Passcode History | Устройство хранит историю паролей, использованных пользователем, чтобы не разрешать пользователю повторно использовать старый пароль при создании нового |
Restriction
Поле | Описание |
---|---|
Ограничения по использованию устройств с iOS | |
Allow use of camera | Разрешает использование камеры. Если выключить данную опцию, то камеры будут полностью отключены, а иконки удалены с главной страницы. Пользователи не смогут делать фотографии, видео или использовать FaceTime. |
Allow installing apps | Разрешает установку приложений. Если выключить данную опцию, то магазин приложений будет отключен, а его иконка будет удалена с главной страницы. Пользователи не смогут устанавливать или обновлять любые приложения, используя магазин приложений Apple. |
Allow screen capture | Разрешает пользователям делать скриншоты дисплея. |
Allow voice dialing | Разрешает пользователям использовать голосовой набор. |
Allow FaceTime | Разрешает пользователям принимать или осуществлять видео-звонки FaceTime. |
Allow automatic sync when roaming | Устройства в роуминге будут синхронизироваться только в том случае, когда аккаунт доступен пользователю. |
Allow Siri | Разрешает использовать Siri. |
Allow Siri while locked | Позволяет использовать Siri, когда устройство заблокировано. |
Allow Passbook notifications while locked | Позволяет использовать Passbook, когда устройство заблокировано. |
Allow in-app purchases | Включает возможность покупок из приложений |
Force users to enter iTunes Store password for all purchases | Запрашивает пароль iTunes для каждой загрузки. |
Allow multiplayer gaming | Разрешает играть в многопользовательском режиме. |
Allow adding Game Center friends | Разрешает пользователям добавлять друзей Game Center. |
Show Control Center in lock screen | Разрешает пользователям подключаться к Центру управления (Control Center), когда устройство заблокировано. |
Show Notification Center in lock screen | Показывает Центр уведомлений (Notifications Center), когда устройство заблокировано. |
Show Today view in lock screen | Показывает виджет Today view из Центра уведомлений (Notification Center), когда устройство заблокировано. |
Allow documents from managed apps in unmanaged apps | Позволяет пользователям обмениваться (и использовать их) данными из корпоративного приложения в персональное приложение, которое не было предоставлено компанией. |
Allow documents from unmanaged apps in managed apps | Позволяет пользователям обмениваться (и использовать их) данными из персонального приложения в корпоративное приложение, которое было предоставлено компанией. |
Доступ к приложениям | |
Allow use of iTunes Store | Разрешает пользователям использовать iTunes Store |
Allow use of Safari | Разрешает пользователям использовать Safari |
Enable Safari autofill | Включает опцию автозаполнения |
Force Safari fraud warning | Если данная опция включена, то Safari предупреждает пользователей о посещении мошеннических или опасных веб-сайтов |
Enable Safari javascript | Разрешает Javascript |
Block Safari popups | Включает всплывающие окна |
Сервисы iCloud | |
Allow iCloud backup | Включает резервное копирование данных |
Allow iCloud document sync | Разрешает синхронизацию документов |
Allow iCloud Keychain sync | Разрешает автоматическую синхронизацию с iCloud логинов, паролей, номеров банковских карт и пр. |
Allow photo stream | Включает фотопотоки |
Allow shared stream | Включает обмен потоками (stream sharing) |
Безопасность и конфиденциальность | |
Allow diagnostic data to be sent to Apple | Включает опцию отправки диагностических данных в Apple |
Allow user to accept untrusted TLS certificates | Разрешает использовать недоверительные TLS-сертификаты |
Force encrypted backup | Осуществляет шифрование данных бекапа |
Allow automatic updates to certify trust settings (iOS 7) | Разрешает автоматически обновлять доверительные сертификаты |
Force limited ad tracking (iOS 7) | Разрешает пользователям ограничить рекламный трэкинг на устройстве |
Allow fingerprint for unlock (iOS 7) | Разрешает пользователям разблокировать их устройства с помощью своих отпечатков пальцев |
Рейтинги контента | |
Allow explicit music and podcasts | Разрешает нецензурные (explicit) музыку и подкасты |
Rating Apps | Разрешает или блокирует приложения в соответствии с выбранным рейтингом |
Rating Movies | Разрешает или блокирует фильмы в соответствии с выбранным рейтингом |
Rating TV Shows | Разрешает или блокирует ТВ-шоу в соответствии с выбранным рейтингом |
Ограничения на устройства iOS, контролируемые через Apple Configurator | |
Show iMessage | Разрешает пользователям использовать iMessage |
Allow app removal | Разрешает деинсталляцию приложений |
Allow Game Center | Позволяет использовать Game Center |
Allow Bookstore | Позволяет использовать iBooks |
Allow Bookstore erotica | Позволяет пользователям скачивать медиа, помеченное как эротика |
Allow UI configuration profile installation | Разрешает установку профиля настройки интерфейса |
Allow modifying account settings (iOS 7) | Разрешает пользователям изменять настройки их аккаунта: добавлять или удалять почтовые аккаунты, изменять настройки функций iCloud, iMessage и др. |
Allow AirDrop (iOS 7) | Разрешает пользователям обмениваться документами с помощью AirDrop |
Allow changes to cellular data usage for apps (iOS 7) | Разрешает пользователям отключать сотовые данные для определенных приложений |
Allow user-generated content in Siri | Разрешает Siri запрашивать контент из Интернета (Wikipedia, Bing и Twitter) |
Allow modifying Find My Friends settings | Разрешает пользователям изменять настройки "Find my Friends" |
Allow host pairing | Разрешает устройствам соединяться с другими устройствами. Если эта опция отключена, то соединить устройство с хостом можно будет только с помощью Apple Configurator |
VPN
Поле | Описание |
---|---|
Connection Name | Название VPN-соединения |
Connection Type | Тип VPN (L2TP, PPTP, IPSec) |
Server | IP-адрес VPN-сервера |
Shared Secret | Ключ разделяется между сервером и клиентом |
User Authentication | Метод авторизации: пароль или открытый/закрытый ключ |
Account | Аккаунт пользователя для проверки подлинности соединения |
Proxy Type | Прокси, который должен использоваться с VPN-соединением |
WiFi
Поле | Описание |
---|---|
SSID | Устанавливает Service Set IDentifier |
Security | Тип безопасности Wi-Fi |
Password | Пароль Wi-Fi |
Proxy Type | Прокси, который должен использоваться с Wi-Fi соединением |
Создание MDM-политики
Для создания MDM-политики необходимо выполнить следующие действия:
• при создании политики на уровне всего аккаунта, выберите в основном меню Account, далее закладку Policies, и нажмите кнопку New account policy
• при создании политики на уровне требуемого сайта (проекта): внутри конкретного сайта нажмите New site policy на закладке Policies
Затем укажите название политики и ее тип. Т.к. добавляется MDM-политика, то тип политики должен быть Mobile Device Management
Теперь необходимо определить, является ли эта политика обязательной для пользователей или нет. Для этого у опции Removal policy необходимо выбрать значение Allow users to remove this policy, если политика будет не обязательна, либо Require password to remove this policy, чтобы сделать эту политику обязательной для пользователей (по крайней мере, для тех, кто не знает пароля, который можно тут же настроить).
После этого необходимо будет добавить настройки политики, нажав на кнопку Add a setting.
При добавлении настроек политики необходимо выбрать тип MDM-политики и настроить соответствующие опции
После этого необходимо сохранить MDM-политику. Чтобы ее начать применять, необходимо ее активировать и применить, нажав на кнопку Push changes…
Инструменты для удаленного управления мобильными устройствами
Функции управления мобильными устройствами в консоли управления Panda Systems Management доступны только на уровне устройства, т.е. для выбранного устройства. Для этого в разделе Sites откройте требуемый сайт, а после этого перейдите на закладку Devices.
В списке устройств выберите требуемое мобильное устройство, после чего автоматически изменится список закладок и набор пиктограмм в панели инструментов Actions, предлагающей различные действия, которые можно применить к выбранному устройству.
Для мобильных устройств в панели инструментов Actions доступны следующие специфические инструменты управления:
Device Wipe (Очистка устройства)
Эта функция выполняет удаленный сброс параметров устройства до заводских настроек, предотвращая кражу данных в случае потери или кражи устройства, а также его неисправности. Но учтите, что в этом случае на устройстве будут удалены все пользовательские данные (программы, определенные конфигурации, модификации), хранящиеся на данном устройстве. Таким образом, устройство вернется к тому состоянию, в котором оно пришло с завода производителя.
Geolocation (Определение местоположения)
Эта функция показывает на карте географическое местоположение устройства. Координаты устройства собираются различными способами в зависимости от доступных на устройстве ресурсов. Точность определения координат сильно зависит от системы. Ниже приведены используемые технологии получения координат (в порядке убывания по точности):
• GPS (Global Positioning System)
• WPS (Wi-Fi Positioning System)
• GeoIP
Кстати, GeoIP может сообщить о местоположении устройства, которое будет полностью отличаться от реального местоположения устройства.
Device Lock (Блокировка устройства)
Данная функция блокирует устройство и отключает его экран до тех пор, пока не будет введен правильный PIN-код (если он настроен). Данная функция очень полезна в том случае, если устройство потеряно или украдено.
Device Unlock (Разблокировка устройства)
Эта функция разблокирует заблокированное устройство (она сбрасывает защитный PIN-код в том случае, если пользователь его забыл).
Password Policy (Политика паролей)
Данная функция работает совместно с функцией блокировки устройства Device Lock, т.к. заставляет владельца устройства установить пароль (PIN-код). Если эта опция включена, администратор сможет заблокировать устройство в случае его кражи, запрашивая у вора PIN-код, если устройство включено.
Данная функция отправляет пользователю удаленный запрос на установку PIN-кода, но при этом она не позволяет администратору установить этот код в самой консоли управления Panda Systems Management.
Audit (Аудит)
Данная функция работает таким же образом, как, например, и для устройств с Windows, и она полностью интегрирована в консоли управления.
Агент собирает с устройства, на котором он установлен, всю информацию об аппаратном и программном обеспечении, а также сообщает о любых изменениях на сервер, что отображается на закладке Audit.
Секция Hardware показывает следующую информацию о мобильных устройствах:
• Операционная система и ее версия
• Модель устройства
• ICCID (уникальный номер, который идентифицирует SIM-карту)
• Оператора SIM-карты
• Номер телефона SIM-карты
• Объем памяти для хранения данных (внутренняя память и SD-карта памяти)
• Сетевые адаптеры, установленные на устройстве (обычно Wi-Fi)
Раздел Software показывает все пакеты, установленные на устройстве.
Раздел Changelog показывает все изменения в аппаратном и программном обеспечении, которые произошли на устройстве
Report (Отчет)
Отчеты отображаются на закладке Report и их состав зависит от типа устройства. Например, Вы можете получить отчет об активности устройства за последние 7 или 30 дней, об истории срабатывания системы мониторинга на данном устройстве, изменениях на устройстве, общие сведения по устройству и т.д.
Отчеты доступны в PDF и XLS.
Кроме этого, можно запланировать выполнение требуемых отчетов для данного устройства. Для этого надо выделить галочками требуемые отчеты и в панели инструментов Actions нажать на соответствующую пиктограмму.
В результате этого откроется окно с настройкой задачи по автоматической отправке отчетов. В этом окне Вы сможете настроить следующие параметры:
• Название задачи и ее описание
• График отправки отчетов (прямо сейчас или в конкретный день/время, ежедневно, ежемесячно, в определенные месяцы и определенные дни месяца, ежегодно)
• Список отправляемых отчетов и их формат
• Тема и содержимое письма, в котором эти отчеты будут отправлены
• Получатели данного письма с отчетами (можно одним кликом выбрать стандартных получателей отчетов по аккаунту и/или данному сайту, а также добавить других получателей)
Удаленная установка ПО на устройства iOS
Еще одна полезная вещь, которую можно сделать с помощью RMM-сервиса Panda Systems Management на мобильных устройствах – это централизованная удаленная установка требуемого ПО на смартфонах и планшетах с iOS, которое загружается с Apple Store. Здесь есть свои особенности, поэтому о том, как это можно сделать, мы расскажем в отдельной статье.
Удаленная установка ПО на устройствах с Android пока не поддерживается.
Вот и все. В данной статье мы показали основные функции RMM-решения по управлению мобильными устройствами на примере Panda Systems Management. Некоторые полезные вещи остались за рамками данной статьи по той лишь причине, что возможности RMM в плане MDM достаточно широки, а потому сложно рассказать обо всем в одной статье. Так что не рассмотренные сегодня вопросы оставим для следующих наших статей.
Заключение
Мобильные устройства имеют массу преимуществ, которые в первую очередь связаны именно с их мобильностью. Грех не использовать такие возможности для решения служебных задач. Но еще больший грех делать это небезопасно и без должного контроля. И если с управлением и безопасностью традиционных рабочих станций и ноутбуков практически все понятно, то многие аспекты централизованного управления и контроля смартфонов и планшетов под управлением Android и iOS остаются пока еще за рамками полного понимания без соответствующего накопленного опыта.
Зачастую опыт показывает, что на многих предприятиях официально запрещено использовать такие устройства только потому, что нет четкой политики и, что особенно немаловажно, соответствующих инструментов для централизованного управления мобильными устройствами и контроля над ними. А зря.
Современные RMM-решения с функциями MDM как раз и являются такими инструментами. А уж придумать, как их использовать…не сложно.
P.S. Мы продолжим публикацию практических статей на тему «Как сделать…». Пожалуйста, в небольшом опросе ниже укажите, какие темы для Вас были бы интересны. Будем Вам признательны за Ваши ответы.
Автор: Panda Security в России