Пакеты онлайн-приложений Google Apps Premier и Education содержат теперь ограниченные средства управления безопасностью и политиками для некоторых мобильных устройств, позволяя компаниям, использующим почтовые услуги Google, контролировать устройства за пределами корпоративной сети. Объем такого контроля чрезвычайно ограничен и, конечно, не сравним с полнофункциональными решениями, но то, что есть, работает нормально, и цена адекватна.
В 2009 г. появился инструмент Google Apps Connector для BlackBerry Enterprise Server (BES), что позволило смартфонам BlackBerry синхронизировать контент между приложениями Google Apps и реализацией BES, но фактически администрирование мобильных устройств все равно осуществлялось через BES. И теперь Google поставил протокол Exchange ActiveSync с ног на голову, используя технологию Microsoft не только для синхронизации Android-устройства с сервером Exchange, но также для того, чтобы другие модели, использующие ActiveSync, синхронизировались с Gmail для доставки почты, содержимого ежедневника и контактов и выполняли ограниченные функции администрирования устройств.
Эти функции доступны бесплатно в составе доменов Google Apps Premier и Education. Для тестирования я сделал апгрейд с домена Google Apps Standard на Premier, который стоит 50 долл. за каждый аккаунт (правда, я воспользовался бесплатной 30-дневной пробной версией) и включает другие функции, в частности увеличенный размер почтового ящика и гарантию доступности.
При апгрейде домена разблокировались новые опции конфигурации для сервисов GoogleSync. В домене Standard я мог только разрешить либо запретить GoogleSync для мобильных устройств, но в Premier я смог ограничить доступ к GoogleSync, разрешив этот сервис только для устройств, поддерживающих настройки политики Exchange ActiveSync в дополнение к стандартной доставке почты, контактов и содержимого ежедневника.
Я тестировал функции администрирования Google с разными устройствами, использующими ActiveSync, включая iPhone 3GS и оригинальный iPod Touch, HTC Fuze с Windows Mobile 6.1 и HTC Pure с Mobile 6.5, а также Nokia N97 с установленным модулем Mail for Exchange.
Функции администрирования Google довольно ограничены. Я обнаружил, что могу (как администратор Google Apps) задать несколько параметров безопасности и они будут одинаково применяться к каждому мобильному устройству, которое синхронизируется с доменом (при условии, что я ограничил услуги синхронизации лишь моделями, поддерживающими политики ActiveSync). В частности, я мог задать политику, которая требует, чтобы пользователи создали пароль блокировки своего устройства, и устанавливает также минимальную длину пароля и время бездействия, прежде чем экран автоматически заблокируется. Другое требование, какое я мог задать, это надежность пароля, выбор состоял лишь из двух опций: стандартная (любые символы) или высокая (как минимум одна буква, одна цифра и один знак препинания).
Эти настройки будут одинаковы для всех пользователей, так что я не мог задать разные политики, установив более строгие требования для определенных групп пользователей.
С таким набором параметров при каждой попытке синхронизировать устройство с учетной записью пользователя я видел диалоговое окно на экране устройства, предлагающее создать пароль. Устройство не смогло синхронизироваться с первого раза, пока на нем не был создан пароль, отвечающий заданному уровню сложности.
Устройства, зарегистрированные на домене Google до апгрейда на Premier, при следующей попытке синхронизации также предлагали пользователю создать пароль.
Чего не хватает в администрировании Google
Я обнаружил, что администратор не может диктовать через политику максимальное число неверных логинов до того, как устройство будет отключено, так что в зависимости от конкретной платформы потенциальный взломщик мог продолжать свою атаку прямым подбором без всяких последствий. К примеру, оба устройства с Windows Mobile по умолчанию допускали миллионы попыток перебора паролей, а N97 заблокировал пароль на 5 мин после пяти неудачных попыток.
После того как устройство успешно синхронизировалось с Google Apps Premier, оно появляется на странице настроек соответствующего пользователя в консоли администрирования домена Google. Здесь нет видов и отчетов для всех устройств, подключенных к домену, так что администратор не может получить общее представление об устройствах или их использовании по всему домену в целом. Чтобы найти устройство, администратору нужно сначала знать, какой пользовательский аккаунт с ним синхронизирован.
На странице пользователя сообщается чрезвычайно ограниченная информация об устройстве. Трудно сказать, является это упущением Google или же изготовителей устройств, так как они часто реализуют ActiveSync чуть по-разному, да и сам протокол не оговаривает четко, что должны сообщить о себе изготовители. Так что, хотя я видел, что Nokia N97 появился на странице администратора Google именно как N97, iPhone 3GS был показан просто как iPhone, iPod Touch — как iPod, а оба телефона с Windows Mobile — просто как устройства PocketPC, и не было никаких других отличительных подробностей вроде международной идентификации IMEI или серийного номера.
Google также не сообщает о дальнейшем использовании устройства. Я мог видеть дату и время первой синхронизации каждого устройства с доменом, но не видел последний сеанс синхронизации, так что администратор не может сказать, используется ли еще данное устройство.
Последняя функция, доступная администратору, это команда стирания данных. На странице управления пользователями у администратора каждое устройство, синхронизированное с аккаунтом, снабжено ссылкой, чтобы дать команду дистанционного удаления данных в следующий раз, когда оно запросит синхронизацию. Я попробовал такую операцию для iPhone, телефонов с Windows Mobile и N97 и нашел, что команда была дана и успешно выполнена спустя несколько минут (при условии, что устройство было подключено к сотовой сети передачи данных или к сети Wi-Fi).
Однако как администратор я не всегда мог ясно видеть, что уничтожение данных прошло успешно. В частности, для HTC Fuze с Windows Mobile 6.1 административная консоль показала, что команда успешно выполнена (с меткой времени). Для всех остальных тестированных устройств консоль не получила (или не сообщила, что получила) подтверждение, что команда стирания была дана и выполнена. Для каждого из них было лишь показано, что “устройство будет дистанционно очищено при следующей синхронизации”.
Так что теоретически, если пользователь сообщит, что телефон потерян или украден, и попросит администратора стереть информацию в нем, но потом вдруг найдет телефон и попробует вновь активировать его и подключиться к домену, то очистка его содержимого будет повторяться до тех пор, пока пользователь не догадается еще раз позвонить администратору и попросить об отмене команды.
В самом деле, ввиду ограниченного набора возможностей, предлагаемых Google на текущий момент, имело бы смысл разрешить пользователям давать команду на уничтожение данных в принадлежащих им устройствах со страницы настроек веб-интерфейса Gmail. На сегодня лишь администратор домена может дистанционно стереть информацию в телефоне или отменить данную команду. Если бы администратор мог разрешить пользователям дистанционно очищать их собственные устройства (с уведомлением, высылаемым при этом администратору домена), то это могло бы уменьшить количество звонков в службу поддержки.