Comments 35
Очень интересно! В ближайшее время в конторе придётся что-то делать с обилием девайсов от apple!!! Теперь понятно, откуда начинать! Спасибо!
«Начну с мобильных устройств на базе Apple iOS. Речь пойдет о версиях 3.0 и выше, на которых в настоящий момент работают следующие устройства:
iPhone 3G, 3Gs, 4, 4s, 5
iPad 2, 3, 4
iPod touch, поколения от 2 до 5»
Вы забыли про iPad mini
iPhone 3G, 3Gs, 4, 4s, 5
iPad 2, 3, 4
iPod touch, поколения от 2 до 5»
Вы забыли про iPad mini
UFO just landed and posted this here
Спасибо. Очень полезно и познавательно.
А кто нибудь знает примеры (желательно бесплатных) MDM серверов, для разворачивания на своей территории?
А кто нибудь знает примеры (желательно бесплатных) MDM серверов, для разворачивания на своей территории?
Пожалуйста! :-)
Можно свой MDM сервер развернуть на базе OS X Server, для этого достаточно Mac mini.
Можно свой MDM сервер развернуть на базе OS X Server, для этого достаточно Mac mini.
Apple и правда не разрешает удаленно запретить возможность отключения пользователем GPS на корпоративном устройстве?
Ну вот пока не появится OTA Push для профилей, толку от них немного, т.к. для того, чтобы что-либо изменить в конфигурации устройства требуется вовлекать пользователя. Единственное, где эта штука хорошо работает — onboarding, не нужно людям Wi-Fi и VPN ручками настраивать.
В текущей реализации для получения Push-уведомлений требуется регистрация в Apple и постоянное наличия подключения к Интернет, так?
В текущей реализации для получения Push-уведомлений требуется регистрация в Apple и постоянное наличия подключения к Интернет, так?
Обновление профилей без участия пользователя реализовано в MDM.
Извините, но это выглядит смешно. Только сегодня с конференции Блекберри — и по сравнению с их разграничением «пользовательской» и «рабочей» зоны — это просто «нескучные обои». Где фильтр «одобренных» корпоративных приложений? Где возможность удаления «рабочих» файлов и программ при увольнении сотрудника? Где блокировка буфера обмена между приложениями? Где шифрование всего и вся? Где гарантии что даже имея дамп памяти устройства с него нельзя получить важные данные? Где контроль обновлений администратором? Где централизованное управления пользовательскими настройками?
В общем, поиграть в «настроящий энтерпрайз» можно. Относиться серьёзно — нет.
В общем, поиграть в «настроящий энтерпрайз» можно. Относиться серьёзно — нет.
Отвечу по порядку.
1. Где фильтр «одобренных» корпоративных приложений? Одобренные приложения можно устранавливать централизованно через Provisioning Profile. Так же отключить AppStore параметром
2. Где возможность удаления «рабочих» файлов и программ при увольнении сотрудника? При удалении профиля удаляется вся связанная с ним информация, включая почту и программы. Удалить пофиль можно дистанционно.
3. Где блокировка буфера обмена между приложениями? Этого нет.
4. Где шифрование всего и вся? Это внедрено по умолчанию, вся информация на iPhone хранится в зашифрованном виде.
5. Где гарантии что даже имея дамп памяти устройства с него нельзя получить важные данные? Таких гараний нет.
6. Где контроль обновлений администратором? Обновлений чего? Если ОС, то такой возможности нет, если профилей с настройками, то все решается через MDM.
7. Где централизованное управления пользовательскими настройками? Через MDM. См. спойлер в конце статьи, там есть список возможностей.
1. Где фильтр «одобренных» корпоративных приложений? Одобренные приложения можно устранавливать централизованно через Provisioning Profile. Так же отключить AppStore параметром
allowAppInstallation
2. Где возможность удаления «рабочих» файлов и программ при увольнении сотрудника? При удалении профиля удаляется вся связанная с ним информация, включая почту и программы. Удалить пофиль можно дистанционно.
3. Где блокировка буфера обмена между приложениями? Этого нет.
4. Где шифрование всего и вся? Это внедрено по умолчанию, вся информация на iPhone хранится в зашифрованном виде.
5. Где гарантии что даже имея дамп памяти устройства с него нельзя получить важные данные? Таких гараний нет.
6. Где контроль обновлений администратором? Обновлений чего? Если ОС, то такой возможности нет, если профилей с настройками, то все решается через MDM.
7. Где централизованное управления пользовательскими настройками? Через MDM. См. спойлер в конце статьи, там есть список возможностей.
1. Таким образом разве можно разрешить установку только выбранных чужих приложений из маркета?
А в остальном — не так уж и плохо, спасибо что просветили.
А в остальном — не так уж и плохо, спасибо что просветили.
На самом деле можно устанавливать и свои собственные приложения. Для этого надо получать корпоративный сертификат разработчика от Apple. Вот ссылка на дополнительную информацию: https://developer.apple.com/programs/ios/enterprise
Свои — это понятно. А среди чужих выбирать только разрешенные можно?
Сам пользователь выбирать не сможет при закрытом AppStore. Администратор может устанавливать Provisioning Profile для чужих программ через MDM.
Т.е. не получится выбрать какой-то список приложений и дать пользователю выбор — хочешь устанавливай, не хочешь — не устанавливай. Тут или все из списка будет установлено автоматически, или придется открывать AppStore.
Т.е. не получится выбрать какой-то список приложений и дать пользователю выбор — хочешь устанавливай, не хочешь — не устанавливай. Тут или все из списка будет установлено автоматически, или придется открывать AppStore.
Спасибо, полезная статья. А что мешает пользователю удалить профиль или перешить устройство, чтобы обойти эти ограничения?
Его квалификация в IT.
Согласен, но обычные профили легко удаляются через Настройки-Основные-Профили-[название профиля]-Удалить
Можно ли ограничить удаление таких профилей, как описано в статье?
Можно ли ограничить удаление таких профилей, как описано в статье?
Можно, задав пароль на профиль.
Отлично, а подскате, как параметр этот называется?
Так в лоб не скажу, видел у коллег из orange business services. Смысл скорее всего в том что при загрузкe XML задается пароль на устройство, так же его можно поменять(возможно удаленно, не буду голословным но по моему возможно) при попытке удалить профиль, однозначно придется ввести пароль)
Из собственных опытов когда надо было использовать ipad в связке sslvpn+rdc, ipad потребовал пароль для установки сертификатов.
Из собственных опытов когда надо было использовать ipad в связке sslvpn+rdc, ipad потребовал пароль для установки сертификатов.
Это же было в статье — «Профиль можно защитить PIN-кодом от удаления, параметр
HasRemovalPasscode
; можно вообще запретить удаление, параметр PayloadRemoval-Disallowed
. В последнем случае профиль можно будет удалить, только полностью сбросив все настройки устройства, при этом все содержимое устройства удаляется.»Это случаем не тоже самое что и Over-the-Air Profile Delivery and Configuration или же это все таки разные вещи?
В Kaspersky Security тоже такая функция есть, и судя по вот этому документу images.apple.com/iphone/business/docs/iOS_6_MDM_Sep12.pdf возможно даже и работает… Надо будет проверить как это работает:) только все равно, не совсем понимаю что(кроме фоток) можно высти с ipad если у нас например его не к чему кроме зарядки подключить(подключения по USB заблокированы для всего кроме alladin/USB-fash), доступ к таким устройствам блокируется. А wifi нас в принципе запрещен и глушится.
В Kaspersky Security тоже такая функция есть, и судя по вот этому документу images.apple.com/iphone/business/docs/iOS_6_MDM_Sep12.pdf возможно даже и работает… Надо будет проверить как это работает:) только все равно, не совсем понимаю что(кроме фоток) можно высти с ipad если у нас например его не к чему кроме зарядки подключить(подключения по USB заблокированы для всего кроме alladin/USB-fash), доступ к таким устройствам блокируется. А wifi нас в принципе запрещен и глушится.
В связи с Wirelurker и Masque Attacks
Скажите, а что происходит, когда Apple отзывает сертификат?
— профиль не удаляется с девайса?
(судя по тому, что профиль ставится без проверки Apple — подозреваю, что это так)
— корпоративные приложения, установленные ранее остаются и действуют?
— на девайсы, где что-то ставилось ранее с этим профилем можно ставить дальше?
Скажите, а что происходит, когда Apple отзывает сертификат?
— профиль не удаляется с девайса?
(судя по тому, что профиль ставится без проверки Apple — подозреваю, что это так)
— корпоративные приложения, установленные ранее остаются и действуют?
— на девайсы, где что-то ставилось ранее с этим профилем можно ставить дальше?
Sign up to leave a comment.
Мобильные устройства Apple в корпоративном секторе. Профили конфигурации