Если у сотрудника есть возможность войти в корпоративную почту или работать с рабочими сервисами с мобильного устройства, то фактически оно является продолжением рабочего компьютера. Директор Accenture по цифровизации Мэтью Дэвид дает на портале TechBeacon советы о том, как их защитить при помощи ПО для управления мобильными устройствами (Mobile Device Management, MDM).
Инструменты управления мобильностью ИТ-среды предприятия (Enterprise Mobility Management, EMM) позволяют ПО MDM управлять устройствами в сети предприятия. Это означает, что сотруднику не требуется заниматься этим самостоятельно. Например, если он применяет для работы iOS-устройства, то за это отвечает ПО управления, предоставленное работодателем.
Из-за пандемии удаленная модель работы продолжает пользоваться популярностью, что подталкивает развитие MDM. Не исключено, что в будущем компании не захотят возвращаться к офисной модели работы, по крайней мере, в том объеме, что и до пандемии. Это означает, что теперь мы должны управлять всеми персональными устройствами с помощью MDM.
Соответствует ли сегодняшняя технология MDM поставленной задаче? Ниже приводятся четыре ключевые области, в которых технология MDM и операционные тенденции за последний год изменились в ответ на изменившиеся требования.
MDM расширяет сферу применения устройств
Типичное предприятие может иметь более 10 000 беспроводных точек доступа. Поскольку ПО MDM может управлять всеми ИТ-устройствами, то сетевым администраторам не требуется разворачивать нескольких сетей.
Безопасность является критически важной частью MDM. Управляемое мобильное устройство может подключаться только к приложению MDM, поэтому если оно находится в другой сети, например, в кафе, то оно должно подключаться к сети MDM, а не к другой системе компании. Например, сотрудник может войти в систему на ноутбуке коллеги и просмотреть общие файлы, но, что важно, все они защищены и недоступны из сети компании.
Приложение также может управлять роумингом данных. Допустим, сотрудник покидает компанию и использует устройство, которое не подключено к сети MDM. В этом случае он может выйти из системы компании, и любая конфиденциальная информация на этом устройстве будет стерта.
Существует множество инструментов MDM, и очень важно понять, какая платформа MDM лучше всего подходит для ваших нужд.
В MDM-игру включились Android и iOS
Apple в течение многих лет упрощала MDM для iOS, padOS и MacOS. В iOS 14 она включила такие функции:
- Automated Device Enrollment. Возможность крупномасштабной автоматической регистрации для сотен iOS-устройств существует уже несколько лет, однако компания каждый год улучшает функциональность сервиса. Теперь к развертываниям iOS и padOS можно добавить tvOS и macOS;
- UAMDM и Supervision Consolidation. Только для MacOS. Функции UAMDM (User Approved MDM, одобренный пользователем MDM) и Supervision Consolidation (консолидация слежения) были объединены, что сделало управление устройствами более простым. UAMDM предоставляет ПО MDM дополнительные опции, выходящие за рамки того, что разрешено в MDM для MacOS, но не было «одобрено пользователем»;
- управляемые обновления ОС. Обновления как для MacOS, так и для iOS/padOS могут быть отложены на срок до 90 дней;
- метрики кэширования контента через MDM. Кэширование контента позволяет устройствам в одной сети «делиться» загрузками, которые поступают от Apple (будь то приложения или обновления ОС). Это снижает нагрузку на полосу пропускания Интернета и ускоряет установку уже кэшированных загрузок на устройства;
- настройки шифрования DNS. Будучи администратором, вы можете контролировать конфиденциальность и безопасность пользователей, шифруя DNS-трафик между устройствами и DNS-серверами;
- профили, привязанные к VPN. Теперь вы можете согласовывать специфичные для профиля типы полезной нагрузки с профилями VPN. В результате при взаимодействии с этими службами ОС будет посылать трафик через VPN-соединение. Новые классы включают CalDAV, CardDAV, Exchange ActiveSync, Google Account, LDAP, Mail, Subscribed Calendar.
Apple продолжает вкладывать значительные средства в свои корпоративные
Недавно выпущенный сервис Android Enterprise Essentials улучшает ситуацию. Он включает следующие важные функции:
- удаленная активация устройств позволяет пользователям начать работу, где бы они ни находились;
- автоматическое применение политик;
- компании могут удаленно стирать с устройств корпоративную информацию и сбрасывать блокировку экрана;
- в случае потери или кражи устройства данные будут защищены.
Android Enterprise Essentials дает предприятиям уверенность в том, что они смогут массово разворачивать устройства Android. Это очень важно для Accenture, так как мои команды часто обращаются к Android как альтернативному решению. Например, когда речь идет о бюджете, Android Enterprise и Android Essentials можно применять для Moto e6 на базе Android, который стоит 30 долл. — намного меньше, чем самый дешевый iPhone.
MDM и управление идентификацией
По сути, нужно исходить из того, что каждое мобильное устройство по своей природе небезопасно. Моя команда придерживается этого подхода и делает его основополагающим элементом всей нашей работы с устройствами. Приняв это как данность, вам нужно ответить на следующие вопросы:
- кто пользуется устройством?
- какие данные используются на устройстве?
- какие учетные данные следует использовать для защиты устройства?
Как видно из перечисленных выше усовершенствований MDM для устройств iOS и Android, особое внимание уделяется безопасности и идентификации. Ущерб от игнорирования безопасности огромен. Современные инструменты MDM значительно упрощают включение защиты устройства и идентификации человека, использующего устройство. Воспользуйтесь этими значительными изменениями.
MDM и магазины приложений
Последняя проблема при управлении устройствами, особенно личными, не принадлежащими компании, — это приложения, которые компания не может контролировать. Android опережает Apple в том плане, что Google дает администраторам MDM гораздо более жесткий контроль над хранением и совместным использованием данных на устройстве. Apple не сильно отстает, но по-прежнему позволяет владельцам устройств устанавливать на свои устройства любые приложения.
App Store зарекомендовал себя как надежный магазин приложений, который не пропускает зловредов. Задача состоит в том, чтобы ограничить данные, которые легко копировать из корпоративной электронной почты и размещать в приложениях социальных сетей. Для этого в Microsoft Intune и MobileIron есть инструменты, предотвращающие копирование корпоративных данных в личные приложения. Однако администратор MDM должен активировать функции повышенной безопасности.
Новая нормальность означает новые элементы управления
Сегодня устройства стали более важной частью нашей жизни, чем когда-либо. Пандемия заставила миллионы людей работать из дома. Стремительно выросла зависимость от компьютеров, планшетов и телефонов. Со временем мы, вероятно, начнем возвращаться к нормальной жизни. Однако некоторые ее моменты навсегда изменились, и работа из дома — одна из них. Убедитесь, что ваша команда использует лучшую защиту.