Комментарии 74
Насколько мне известно, тот же Google Pay так и не заработал снова на рутованных девайсах после весеннего обновления.
Да нет, работает все)
У меня оно тоже подходит, а Google Pay не работает. Маскировка тем же магиском уже не помогает.
Вообще, инструкция по этому процессу есть там: forum.xda-developers.com/apps/magisk/magisk-google-pay-gms-17-1-22-pie-t3929950
Есть ещё скрипт, который это автоматизирует: forum.xda-developers.com/apps/magisk/magisk-google-pay-gms-17-1-22-pie-t3929950/post79643248#post79643248
Meklon, вам тоже может быть интересно.
Спасибо огромное. Xposed, кажется, был
EdXposed + Magisk + Google Pay, полёт нормальный ;)
MagiskHide Props Config с правильной его настройкой
А что настраивал?
С ним шансов на прохождение проверки нет.
Ну зачем так категорично? Не один год жил и с root, и с Xposed, и с Google Pay.
Всё можно. Не так просто, но можно.
Там есть хитрость с патчем одной sqlite базы и запретом доступа на запись к ней =)
У меня весной перестало проходить проверку.
Твой девайс должен давать тебе полные права на управление. К сожалению, это идёт вразрез с корпоративными задачами
"твой" девайс /= "корпоративный" девайс, поэтому при внедрении MDM необходимо предоставлять сотрудникам устройства от компании. Ставить на свой личный телефон шпионскую софтину, "льющую непрерывный поток телеметрии"… ну это такое себе.
Хотите быть мобильным и иметь доступ к ресурсам компании
Не так. Если необходимо, чтобы сотрудник был мобильным и доступным 24х7 — выдайте ему конторский телефон (пусть даже с MDM, ничего против не имею в данном случае и даже одобряю), и не забудьте включить ему в заработную плату компенсацию за нахождение в stand-by режиме "ожидания звонка".
Хотя я вообще не особо одобряю весь этот BYOD, во-первых, из-за вот этих вот MDM-ов на личных устройствах, а во-вторых, работодатель обеспечивает рабочее место и инструменты. Если телефон необходим для работы — его надо выдать. Точно так же, как стол, стул и что там еще нужно.
А вот исходя из этой статьи developers.google.com/android/work/device-admin-deprecation получается, что в новой версии Android управлять устройством можно будет только при интеграции MDM системы с Android for Work. Список одобренных MDM систем можно найти тут: androidenterprisepartners.withgoogle.com/emm/?_ga=2.184586537.163353914.1570094274-1958348971.1565249398
Представим себе разработчика или целую команду разработчиков с личными устройтсвами, например, Mac+ iPhone+свой appleid. У них вся жизнь на этих устройствах и вам нужно организовать им доступ к необходимым ресурсам. Кроме того, они вне офиса и работают в разных уголках России. Как в таком случае действовать и защитить корпоративные данные на таких устройствах без UEM?
Напоминает какую-то поговорку про два стула. Или MDM должен быть корректным и в случае ахтунга вайпать только корпоративные материалы и доступы, а не всё устройство целиком, или таки контора должна понять, что удалёнщику точно так же нужно выдавать технику, как и обычному сотруднику со столом и стулом в кабинете.
Upd: ниже подсказывают, что в андроиде именно так грамотно и сделано — отдельно корпоративная область, отдельно личная. В таком случае и правда, почему бы и нет?
В таком случае и правда, почему бы и нет?
Два телефона — рабочий, пусть даже с MDM и личный, куда работодателю доступа нет никакого — куда надежнее. Кроме того, внедрение описанных в статье систем должно быть оправдано — то есть действительно должны быть какие-то корпоративные секреты и sensitive data, а не просто желание генерального директора и дядек из "службы безопасности", которым тупо понравилась идея, что "у нас все теперь под колпаком". Что охранять у описанной выше распределенной команды стартаперов? Код очередной мобильной игрушки или очередного что-нибудь-as-a-service? Ну такое, в общем.
Я понимаю, что я немного утрировал, но хотелось донести мысль, что MDM оружие очень острое и применять его необходимо строго по назначению, а не для игр в Большого Брата.
Чтобы не вайпнули весь девайс, есть рабочий профиль, для которого идут свои приложения под рабочий аккаунт. Профиль можно включать и выключать по желанию (например в нерабочее время). Единственный минус — администратор может задать параноидальные меры безопасности для всего устройства (вводить пароль на каждую разблокировку экрана, пин не подходит) что отобьёт всё желание использовать это.
Интересная статья, мы как раз разворачиваем MDM в нашей конторе. Много времени уходит на позитивную пропаганду среди пользователей BYOD. Да, мы можем удаленно обнулить ваш телефон и нет — мы не можем читать ваши смс.
Я через MDM на андроидах через remote control могу делать всё, что может делать пользователь. Пользователь даже не узнает, что я подключился и вижу содержимое его экрана.
Или это фишка новых версий Андроида, с разделением на личное и рабочее пространство, без доступа MDM к личному разделу?
Политика компании такова, что все телефоны и планшеты регистрируются в BYOD режиме. Андроиды — AfW, vendor managed, Apple так же, никакого DEP. DEP enrolled у нас только айпады в переговорных.
MDM ещё толком не развернут, поэтому гайки закручивать рано. Задача минимум на текущий момент — принудительное наличие пинкода (да, у нас была пара товарищей не на последних должностях, которым не нравились пинкоды или разблокировка отпечатком пальца ибо неудобно).
Следующий шаг это пряник в виде автоматической аутентификации WiFi, а кнут — ограничения доступа к корпоративным ресурсам, системам и т.д. устройствам вне MDM. Ну и прочая авторизация с блекджеком и сертификатами.
Идея и сам посыл — великолепны. А вот реализация как всегда…
Очень хорошо знаком с AirWatch, их SDK и их технической поддержкой.
Если в вашей компании разрабатываются внутрикорпоративные мобильные приложения, то разработчиков ждет море развлечений :)
Из любимого:
1. Обновилась мажорная версия SDK AW.
Взяли в работу, обновляем приложухи. Для Android толстый гайд по переходу на новую версию. Для iOS гайд весьма скуден:
«Удалите старую SDK из проекта.
Импортируйте новую SDK.
Устраните все возникшие ошибки.»
Ну супер, да.
/Хотя, стоит отдать должное, реализация SDK для iOS в разы понятнее и удобнее чем для Android./
2. Жалоба работников склада (планшет на Android + наше приложение + сканер ШК):
В новой версии приложения, при сканировании data-matrix кодов (около 150 символов информации), все жутко тормозит и можно увидеть как в поле ввода возникают символы, как будто их вводят руками. В то время как раньше сразу возникала вся строка.
Странно, подумали мы. Ничего ж не трогали.
Ну ок, лезем разбираться. Долгую историю поисков, декомпиляции исходников и прочее пропущу, сразу к сути.
В новой версии SDK, изменилась работа с продлением сессии SSO. Теперь софт регистрирует каждую интеракцию пользователя с устройством. Ну ок, нам как-бы все равно. Проблема в том, что не предусмотрено никакого таймаута. Т.е. если с устройства ввода летит 150 событий (сканер эмулирует ввод с клавиатуры) с миллисекундными интервалами, то 150 раз вызывается функция с логикой обработки события и продления сессии SSO.
Благо не слишком глубоко зарыто было. Удалось унаследоваться, переопределить метод и переписать логику.
3. Приложение проходит аудит информационной безопасности.
Сотрудник ИБ (ИБ): В реализации ошибки. Я в консоли запрещаю устройству 3G, а оно продолжает его использовать.
Разработчик (Р), глядя в дебаг: Ну обновленный профиль от сервера не приходил и не приходит. Я то тут при чем? Задайте вопрос вендору (AirWatch).
ИБ: Мое дело проверить и указать на проблемы. Ваше дело реализовать функционал, согласно регламенту ИБ. Если не можете — не реализовывайте, тогда в прод не пойдете.
Р: Ок, пойду с админами сочинять письмо вендору.
/ Ставим тикет в ТП AW, через время его принимают, нас 40 раз пинают через разные линии поддержки, наконец попадается компетентный товарищ /
Сотрудник ТП AW (ТП): Все работает корректно (by design). Профиль приложения спускается на устройство один раз, при установке приложения.
Р: Эээ… Странно… Ну ок, спасибо.
/ Сообщаем ответ ТП, сотрудникам ИБ /
ИБ: Ваше дело реализовать функционал, согласно регламенту ИБ. Если не можете — не реализовывайте, тогда в прод не пойдете.
/ Отлично. Читаем мануалы, находим обрывки знаний, пишем в ТП /
Р: Ребята! Что нам делать-то? Как реагировать на изменения профиля?
ТП: Ну вы можете осуществлять сетевые запросы к серверу AW, и получать профиль.
Р: Блин, ну ок, будем пробовать.
Пробуем, да, профиль получить можно. Но только через MAG (что-то типа VPN тоннеля, между клиентом AW и сервером AW, для доступа внутрь защищенного контура сети). А MAG не везде используется и работать начинает только после получения профиля. Реализация получилась крайне интересная и костыльная. Но рабочая :)
Этот список можно дополнять бесконечно. Жесткие корпоративные регламенты ИБ, которые не так просто изменить. Очень тяжелая в общении техподдержка. Множество проблемных кейсов, которые не воспроизведешь в тестовом окружении. Очень скудная документация.
Но, с другой стороны, ситуация постепенно выправляется, хотя и очень неспешно :)
В свежих версиях завозят новые проблемы, но старых проблем исправляют больше, чем создают.
Но в целом, со временем, мы научились со всем этим жить и даже штатная градация трудоемкости интеграции приложения с AW (с нуля) появились, а-ля:
— Senior Mobile Developer: 16 часов
— Middle Mobile Developer: 40 часов
— Junior Mobile Developer: 80 часов
3. Странно, что вам не помогали специалисты из компании, которая вам внедряла MDM. Я вот всё время на связи и постоянно консультирую коллег по вопросам связанным с МDM.
P.S. Если вы до сих пор используете MAG и AirWatch- срочно обновляйтесь.
Airwatch уже давно Workspace ONE, а MAG теперь это виртуальный апплаенс VMWare UAG.
Airwatch уже давно Workspace ONE, а MAG теперь это виртуальный апплаенс VMWare UAG.
Знаю, я консерватор и для меня он уже так и останется AW.
Я даже Теле2 читаю как «телету» по привычке, а у них только произношение поменялось :)
2 — в целом так и есть :)
3 — Собственно внедрял MDM нам непосредственно вендор, т.е. сам AirWatch. Может быть сейчас качество ТП улучшилось, я уже год как не связан больше с кровавым энтерпрайзом, поэтому не в курсе.
Какая версия, кстати, Android AW SDK сейчас? Я ушел на 17.6.1, а начинали мы с 15.1, кажется.
Администратор системы может отключить, например, GPS -треккинг для личных устройств.
Есть политики компании связанные с данными этой самой компании и все ее сотрудники должны этой самой политики придерживаться. Не хочешь использовать — удаляй агента, когда уходишь с работы.
Темное это переключатель вкл или выкл?
Если рассуждать по строке Icon Size, темное — это значит выбранная опция. Хорошо, что на этой вкладке есть параметр с тремя позициями.
Но ведь кнопка Close тоже темная, значит ли это, что она нажата…
EMM SafePhone от НИИ СОКБ предоставляет сертифицированные решения для безопасной передачи голоса и сообщений с шифрованием и возможностью записи.
У SafePhone есть расширение "Защищённые коммуникации" для VoIP-телефонии и обмена сообщениями, ссылка. В нём есть шифрование, но нет записи переговоров. Это важно не меньше, чем нечтение SMS. Ещё лет 5 назад люди так боялись MDM, что после работы вынимали аккумуляторы или клали корпоративные телефоны в сейф. Самое сложное, но необходимое — убедить пользователей, что EMM нужен не для того, чтобы подсматривать и вторгаться в личную жизнь, а для того, чтобы обеспечить удобный доступ к сервисам.
Даже самые ответственные люди иногда отдыхают. И, как нередко это бывает, они забывают рюкзаки, ноутбуки и мобильные телефоны в кафе и барах.
Следующий вопрос: они знают, что идут в бар; знают, что обычно происходит в барах; нах зачем они берут с собой рюкзаки, ноутбуки и далее по списку???
Мало таким в детстве надавали живительных трындюлей, мало...
Многие прям с работы идут
Ну так зайди с работы домой, оставь там рюкзак-ноутбук, и иди гудеть себе по барам хоть до второго пришествия. Есть такое слово — ответственность...
- Шифруйте диски/иные носители, чтобы без пароля ноутбук превращался в тыкву.
- Оставляйте ноутбук в офисе, если идёте
бухатьв бар (если сопрут оттуда — не Ваша вина). БухайтеИдите в бар в субботу/воскресенье.- ???
- PROFIT!
"Желающий — ищет возможности. Нежелающий — ищет причины."
2. Ноутбук нужен, в основном, для того, чтобы в субботу можно было доделать и отправить этот чертов отчет, а если он остался в офисе то от него никакого толка нет.
3. Можно и дома бухнуть, в полной безопасности и с ноутом, но коллеги собираются вечером в пятницу после работы. Кто-то идёт с ними, кто-то идёт домой. Кто-то едет в командировку и там его грабят, всего не предусмотришь.
5. Централизованные технические решения надежней, чем полагаться на ответственность и компетенции в информационной безопасности каждого отдельного сотрудника.
Скажите это генеральному.
Например, в командировке в баре можно коротать время до автобуса/поезда/самолёта домой.
Там уж про себе может быть много чего.
А может кто-то подсказать, как бороть через их (Workspace ONE) ТП нерешающиеся месяцами проблемы?
Из последний примеров.
1. вся эта монструозная конструкция отчего-то при синхронизации с ФВ воспринимает пользователя и ровно того же пользователя но с уже установленным менеджером — разными сущностями и задваивает аккаунты. Из-за этого профили прилетают на задваивающийся аккаунт. Проблема всплыла, когда для некоторых новых пользователй руководитель прокачивался после синхронизаци AD с MDM. Просто Re-enroll не помогал.
2. Постоянно приходится пушить пару профилей при любых изменениях с пользователем, Active-Sync и еще один для VPN и локальная наша ТП это делает вручную. Подскажите, там есть какое-нибудь вменяемое API, чтобы эти вещи отслеживать и автоматизировать?
В 2022 году закончились импортные MDM-решения для РФ, остался только SafePhone.
Удивительно, что как-то мимо меня он прошел (или я мимо него прошел :).
Надо теперь как-то познакомиться с ним поближе, не смотря на то, что бесплатный недо-MDM от Apple - Profile Manager, а также ABM пока еще работают (ABM был зареген на зарубежную компанию, входящую в группу компаний).
Да, можем удалить всё, нет, мы не читаем ваши SMS