Да, можем удалить всё, нет, мы не читаем ваши SMS



    Когда говорят об MDM, который Mobile Device Management, все почему-то сразу представляют kill-switch, который дистанционно подрывает утерянный телефон по команде сотрудника ИБ. Нет, в целом это тоже есть, только без пиротехнических эффектов. Но есть ещё куча других рутинных задач, которые с MDM выполняются намного проще и безболезненнее.

    Бизнес стремится к оптимизации и унификации процессов. И если раньше новому сотруднику приходилось идти в таинственный подвал с проводами и лампочками, где мудрые красноглазые старцы помогали настроить корпоративную почту на его Blackberry, то теперь MDM вырос до целой экосистемы, которая позволяет выполнять эти задачи в два клика. Будем говорить о безопасности, огуречно-смородиновой «Кока-Коле» и отличиях MDM от MAM, EMM и UEM. А ещё — о том, как удалённо наняться на работу по продаже пирожков.

    Пятница в баре




    Даже самые ответственные люди иногда отдыхают. И, как нередко это бывает, они забывают рюкзаки, ноутбуки и мобильные телефоны в кафе и барах. Самая большая проблема в том, что потеря этих устройств может обернуться дикой головной болью для отдела ИБ, если они содержат чувствительную для компании информацию. Сотрудники того же Apple умудрились отметиться как минимум дважды, потеряв вначале прототип iPhone 4, а затем — iPhone 5. Да, сейчас большинство мобильных телефонов идёт с шифрованием из коробки, но те же корпоративные ноутбуки далеко не всегда настраиваются с шифрованием жёсткого диска по умолчанию.

    Плюс начали возникать такие угрозы, как целенаправленная кража корпоративных устройств с целью добычи ценных данных. Телефон зашифрован, всё максимально безопасно и всё такое. Вот только заметили ли вы камеру наблюдения, под которой вы разблокировали телефон перед тем, как его украли? С учётом потенциальной ценности данных на корпоративном устройстве такие модели угроз стали вполне реальны.

    Вообще люди — те еще склеротики. Многие компании в США вынужденно начали относиться к ноутбукам как к расходникам, которые будут неизбежно забыты в баре, отеле или в аэропорту. Есть данные, что в тех же аэропортах США забывают около 12 000 ноутбуков каждую неделю, из которых минимум половина содержит конфиденциальную информацию без какой-либо защиты.

    Всё это изрядно прибавило седых волос безопасникам и привело к разработке вначале MDM (Mobile Device Management). Затем появилась потребность в управлении жизненным циклом мобильных приложений на подконтрольных устройствах, и появились решения MAM (Mobile Application Management). Несколько лет назад они стали объединяться под общим названием EMM (Enterprise Mobility Management) — единая система для управления мобильными устройствами. Апогеем всей этой централизации являются решения UEM (Unified Endpoint Management).

    Дорогая, мы купили зоопарк




    Первыми начали появляться вендоры, которые предлагали решения для централизованного управления мобильными устройствами. Одна из самых известных компаний — Blackberry — до сих пор жива и неплохо себя чувствует. Даже в России присутствует и продаёт свои продукты, в основном для банковского сектора. На этот рынок также зашли SAP и разные компании поменьше вроде Good Technology, позже купленной тем же Blackberry. В это же время набирала популярность концепция BYOD, когда компании пытались экономить на том, что сотрудники таскали свои личные девайсы на работу.

    Правда, очень быстро выяснилось, что техподдержка и ИБ уже вздрагивают от запросов вида «Как мне настроить MS Exchange на моем Arch Linux» и «Мне нужен прямой VPN до приватного Git-репозитория и продуктовой БД с моего MacBook». Без централизованных решений вся экономия на BYOD оборачивалась кошмаром в плане поддержания всего зоопарка. Компаниям нужно было, чтобы всё управление было автоматическим, гибким и безопасным.

    В розничной торговле история развивалась немного иначе. Примерно лет 10 назад компании внезапно осознали, что появились мобильные устройства. Это раньше сотрудники сидели за тёплыми ламповыми мониторами, а где-то рядом незримо присутствовал бородатый обладатель свитера, заставлявший всё это работать. С появлением полноценных смартфонов функции редких специализированных КПК теперь можно перекладывать на обычное недорогое серийное устройство. Одновременно с этим пришло понимание, что этим зоопарком нужно как-то управлять, так как платформ много, и они все разные: Blackberry, iOS, Android, затем — Windows Phone. В масштабах крупной компании любые ручные телодвижения — это выстрел себе в ногу. Такой процесс съест ценные человеко-часы IT-подразделения и поддержки.

    Вендоры в самом начале предлагали отдельные MDM-продукты для каждой платформы. Вполне типичной была ситуация, когда управлялись только смартфоны на iOS или на Android. Когда со смартфонами более или менее разобрались, выяснилось, что терминалами сбора данных на складе тоже надо как-то управлять. При этом вам очень нужно отправить нового сотрудника на склад, чтобы он просто отсканировал штрих-коды на нужных коробках и внёс эти данные в базу. Если у вас склады — по всей стране, то поддержка становилась весьма непростой. Надо каждое устройство подключить к Wi-Fi, установить приложение и обеспечить доступ к базе данных. С современными MDM, а точнее, EMM, вы берёте админа, выдаёте ему консоль управления и конфигурируете тысячи устройств с шаблонными сценариями из одного места.

    Терминалы в McDonald’s


    В рознице наблюдается интересная тенденция — уход от стационарных касс и точек оформления товара. Если раньше в том же М.Видео понравился чайник, то нужно было звать продавца и топать с ним через весь зал к стационарному терминалу. По дороге клиент успевал десять раз забыть, зачем шёл, и передумать. Терялся тот самый эффект импульсивной покупки. Сейчас MDM-решения позволяют продавцу сразу подойти с POS-терминалом и провести оплату. Система объединяет и конфигурирует терминалы склада и продавцов из одной консоли управления. В своё время одной из первых компаний, которая начала менять модель традиционной кассы, стал McDonald’s с его интерактивными панелями для самообслуживания и девушками с мобильными терминалами, которые принимали заказы прямо посреди очереди.

    Burger King тоже начал развивать свою экосистему, добавив приложение, которое позволяло сделать заказ дистанционно, чтобы его приготовили заранее. Всё это объединялось в гармоничную сеть с управляемыми интерактивными стойками и мобильными терминалами у сотрудников.

    Сам себе кассир



    Многие продуктовые гипермаркеты снижают нагрузку на кассиров установкой касс самообслуживания. «Глобус» пошёл дальше. Они на входе предлагают взять терминал Scan&Go с интегрированным сканером, которым вы просто сканируете весь товар на месте, расфасовываете по пакетам и выходите, оплатив. Потрошить на кассе разложенные по пакетам продукты не нужно. Все терминалы также управляются централизованно и интегрируются как со складами, так и с другими системами. Некоторые компании пробуют аналогичные решения, интегрированные в тележку.

    Тысяча вкусов



    Отдельная песня — это вендинговые аппараты. На них точно так же надо обновлять прошивку, следить за остатками горелого кофе и сухого молока. Причём синхронизируя это всё с терминалами обслуживающего персонала. Из крупных компаний в этом плане отличилась Coca-Cola, которая объявила приз в $ 10 000 за самый оригинальный рецепт напитка. В смысле позволила пользователям смешивать самые наркоманские сочетания в фирменных аппаратах. В итоге появились варианты имбирно-лимонной колы без сахара и ванильно-персикового «Спрайта». До вкуса ушной серы, как в конфетах Bertie Bott's Every Flavour Beans, они вроде пока не дошли, но настроены очень решительно. Вся телеметрия и популярность каждого сочетания тщательно отслеживаются. Всё это также интегрируется с мобильными приложениями пользователей.

    Ждём новых вкусов.

    Продаём пирожки


    Вся прелесть MDM/UEM-систем в том, что вы можете быстро масштабировать свой бизнес, подключая новых сотрудников дистанционно. Вы вполне можете организовать продажу условных пирожков в другом городе с полноценной интеграцией со своими системами в два клика. Выглядеть это будет примерно так.

    Сотруднику привозят новое устройство. В коробке — бумажка с баркодом. Сканируем — устройство активируется, регистрируется в MDM, берёт прошивку, применяет и перезагружается. Пользователь вводит свои данные либо одноразовый токен. Всё. Теперь у вас есть новый сотрудник, который имеет доступ к корпоративной почте, данным по остаткам на складе, нужные приложения и интеграцию с мобильным платёжным терминалом. Человек приезжает на склад, забирает товар и везёт его непосредственным клиентам, принимая оплату с помощью этого же устройства. Почти как в стратегиях нанять пару новых юнитов.

    Как это выглядит




    Одна из самых функциональных систем UEM на рынке — VMware Workspace ONE UEM (бывший AirWatch). Она позволяет интегрироваться практически с любой мобильной и десктопной ОС и с ChromeOS. Даже Symbian был до недавнего времени. А ещё Workspace ONE поддерживает Apple TV.

    Ещё один важный плюс. Apple позволяет только двум MDM, в том числе Workspace ONE, заранее поковыряться в API перед выпуском новой версии iOS. Всем в лучшем случае — за месяц, а им — за два.

    Вы просто задаёте необходимые сценарии использования, подключаете девайс, и дальше оно работает, что называется, automagically. Прилетают политики, ограничения, предоставляются нужные доступы к внутренним сетевым ресурсам, заливаются ключи и устанавливаются сертификаты. Через несколько минут у нового сотрудника — уже полностью готовое для работы устройство, с которого непрерывно льётся необходимая телеметрия. Количество сценариев огромное начиная от блокировки камеры телефона в конкретной геолокации и заканчивая SSO по отпечатку пальца или лицу.



    Админ конфигурирует лаунчер со всеми приложениями, которые прилетят пользователю.



    Так же гибко настраиваются все возможные и невозможные параметры вроде размера иконок, запрета на их перемещение, запрета на иконку звонка и контактов. Такой функционал полезен при использовании Android-платформы в качестве интерактивного меню в ресторане и тому подобных задач.
    Со стороны юзера это выглядит примерно так


    Интересные решения есть и у других вендоров. Например, EMM SafePhone от НИИ СОКБ предоставляет сертифицированные решения для безопасной передачи голоса и сообщений с шифрованием и возможностью записи.

    Рутованные телефоны


    Головной болью для ИБ являются рутованные телефоны, где пользователь имеет максимальные права. Нет, чисто субъективно это идеальный вариант. Твой девайс должен давать тебе полные права на управление. К сожалению, это идёт вразрез с корпоративными задачами, которые требуют отсутствия у пользователя возможности влиять на корпоративное ПО. Например, он не должен иметь возможности залезть в защищённый раздел памяти с файлами или подсунуть фейковый GPS.

    Поэтому все вендоры так или иначе стараются обнаруживать любые подозрительные активности на управляемом устройстве и блокировать доступ при обнаружении рут-прав или нестандартной прошивки.



    В Android обычно полагаются на SafetyNet API. Время от времени тот же Magisk позволяет обойти его проверки, но, как правило, Google это очень быстро фиксит. Насколько мне известно, тот же Google Pay так и не заработал снова на рутованных девайсах после весеннего обновления.

    Вместо вывода


    Если вы крупная компания, то вам стоит задуматься о внедрении UEM/EMM/MDM. Современные тенденции говорят о том, что такие системы находят всё более широкое применение — от залоченных iPad в качестве терминалов в кондитерской до крупных интеграций со складскими базами и курьерскими терминалами. Единая точка управления и быстрая интеграция или смена роли сотрудника дают очень большие преимущества.

    Моя почта — SVinogradskiy@croc.ru
    КРОК
    576,54
    IT-компания
    Поделиться публикацией

    Комментарии 71

      +1
      Насколько мне известно, тот же Google Pay так и не заработал снова на рутованных девайсах после весеннего обновления.

      Да нет, работает все)
        0
        Расскажи) Magisk пропатчили?
          0
          И магик обновляется, и нашли средство борьбы (обрезать права доступа к бд которая отвечает за статус рута на телефоне)
            0
            Надо почитать. Спасибо)
            0
            В Magisk Manager'e даже есть кнопочка «Tap to start SafetyNet check». Лично у меня эта кнопка всегда показывала положительный результат (девайс с рутом, очевидно)
              0

              У меня оно тоже подходит, а Google Pay не работает. Маскировка тем же магиском уже не помогает.

                0
                Xposed, случаем не установлен? С ним шансов на прохождение проверки нет.
                Вообще, инструкция по этому процессу есть там: forum.xda-developers.com/apps/magisk/magisk-google-pay-gms-17-1-22-pie-t3929950
                Есть ещё скрипт, который это автоматизирует: forum.xda-developers.com/apps/magisk/magisk-google-pay-gms-17-1-22-pie-t3929950/post79643248#post79643248
                Meklon, вам тоже может быть интересно.
                  0

                  Спасибо огромное. Xposed, кажется, был

                    0
                    У меня нет, чистый Android 10 и Magisk.
                      0

                      EdXposed + Magisk + Google Pay, полёт нормальный ;)

                        0
                        У меня сейчас стоковая прошивка и twrp. Этого достаточно, чтобы не проходить проверку (
                          0
                          У меня была проблема что на стоке ни в какую не проходило проверку стабильно. Постоянно отваливалось. Установил начисто LineageOS + OpenGapps Nano, потом Magisk, потом из Magisk-а уже MagiskHide Props Config с правильной его настройкой, потом шаманство с dg.db, а потом уже EdXposed — и всё взлетело. Не с первой попытки, но вполне успешно летает с той поры =)
                            0
                            Надо время найти. Сейчас такое расписание, что воевать с кирпичом никакого желания нет.
                              0
                              MagiskHide Props Config с правильной его настройкой

                              А что настраивал?
                                0
                                Ну я просто выбрал профиль под свой телефон. А так по сути можно выбрать любой профиль который там есть, единственное все приложения будут считать телефон ваш другим. =) Главное там не перемудрить, и выбрать по сути только это.
                                +1
                                Андроид все больше начинает походить на iOS со всеми этими танцами с бубном.
                                  +1
                                  Да, я все от блокировки записи звонков все никак не отойду…
                                    +1
                                    SKValex Call Recorder + Magisk пишет вполне всё успешно в рут режиме.
                                      0
                                      Да, пришлось в итоге перейти на него, но как минимум одна запись у меня получилась односторонней — только мой голос и нечленораздельное тихое бульканье с другой. Еще не изучал, почему.
                            +1
                            С ним шансов на прохождение проверки нет.

                            Ну зачем так категорично? Не один год жил и с root, и с Xposed, и с Google Pay.
                            Всё можно. Не так просто, но можно.
                              0
                              Раньше было можно без особых проблем, да. Весенние обновления были настолько суровы, что проходить проверку с xposed перестало у всех. Дальше смогли починить magisk + googla pay, но установленный xposed так и не позволял связке работать. Чуть выше есть комментарий, что с EdXposed всё-таки заработало.
                                0
                                Так речь идёт как раз о том, что Xposed ставится как внесистемный (как модуль EdXposed к Magisk), включается маскировка Xposed, и Google Pay, «Сбербанк онлайн» не видят его… какое-то время. Потом, правда, приходится обновляться, иногда лезть на 4pda/Xda и читать, и снова уходить из-под контроля…
                            0

                            Там есть хитрость с патчем одной sqlite базы и запретом доступа на запись к ней =)

                              0
                              У меня сегодня утром в макдональдсе не прошла оплата с этим патчем. В теме на форуме 4pda тоже начали всплывать жалобы. Так что гугл опять что-то мутит.
                            0

                            У меня весной перестало проходить проверку.

                        +13
                        Твой девайс должен давать тебе полные права на управление. К сожалению, это идёт вразрез с корпоративными задачами

                        "твой" девайс /= "корпоративный" девайс, поэтому при внедрении MDM необходимо предоставлять сотрудникам устройства от компании. Ставить на свой личный телефон шпионскую софтину, "льющую непрерывный поток телеметрии"… ну это такое себе.

                          0
                          При использовании BYOD в ИТ-отделе компании не держат пистолет у виска пользователя, вынуждая его установить агент управления на свое личное устройство. Хотите быть мобильным и иметь доступ к ресурсам компании — можете установить. Не хотите доступ- не устанавливайте. К слову, при подключении личного телефона к EAS (Exchange Active Sync) администратор почтовой системы имеет право вайпнтуть вам устройство.
                            +9
                            Хотите быть мобильным и иметь доступ к ресурсам компании

                            Не так. Если необходимо, чтобы сотрудник был мобильным и доступным 24х7 — выдайте ему конторский телефон (пусть даже с MDM, ничего против не имею в данном случае и даже одобряю), и не забудьте включить ему в заработную плату компенсацию за нахождение в stand-by режиме "ожидания звонка".


                            Хотя я вообще не особо одобряю весь этот BYOD, во-первых, из-за вот этих вот MDM-ов на личных устройствах, а во-вторых, работодатель обеспечивает рабочее место и инструменты. Если телефон необходим для работы — его надо выдать. Точно так же, как стол, стул и что там еще нужно.

                              +1
                              Технология Android for Enterprise позволяет отделить личное пространство пользователя от рабочего (Work managed profile), можно прочитать здесь: www.android.com/intl/ru_ru/enterprise/management

                              А вот исходя из этой статьи developers.google.com/android/work/device-admin-deprecation получается, что в новой версии Android управлять устройством можно будет только при интеграции MDM системы с Android for Work. Список одобренных MDM систем можно найти тут: androidenterprisepartners.withgoogle.com/emm/?_ga=2.184586537.163353914.1570094274-1958348971.1565249398

                              Представим себе разработчика или целую команду разработчиков с личными устройтсвами, например, Mac+ iPhone+свой appleid. У них вся жизнь на этих устройствах и вам нужно организовать им доступ к необходимым ресурсам. Кроме того, они вне офиса и работают в разных уголках России. Как в таком случае действовать и защитить корпоративные данные на таких устройствах без UEM?
                                0
                                Можно представить сценарий, где разработчику предлагают выбор или он работает строго на рабочем месте и строго в рабочее время или когда и где ему удобно, но BYOD+MDM. Выбор каждый делает сам.
                                  0

                                  Напоминает какую-то поговорку про два стула. Или MDM должен быть корректным и в случае ахтунга вайпать только корпоративные материалы и доступы, а не всё устройство целиком, или таки контора должна понять, что удалёнщику точно так же нужно выдавать технику, как и обычному сотруднику со столом и стулом в кабинете.


                                  Upd: ниже подсказывают, что в андроиде именно так грамотно и сделано — отдельно корпоративная область, отдельно личная. В таком случае и правда, почему бы и нет?

                                    0
                                    В таком случае и правда, почему бы и нет?

                                    Два телефона — рабочий, пусть даже с MDM и личный, куда работодателю доступа нет никакого — куда надежнее. Кроме того, внедрение описанных в статье систем должно быть оправдано — то есть действительно должны быть какие-то корпоративные секреты и sensitive data, а не просто желание генерального директора и дядек из "службы безопасности", которым тупо понравилась идея, что "у нас все теперь под колпаком". Что охранять у описанной выше распределенной команды стартаперов? Код очередной мобильной игрушки или очередного что-нибудь-as-a-service? Ну такое, в общем.
                                    Я понимаю, что я немного утрировал, но хотелось донести мысль, что MDM оружие очень острое и применять его необходимо строго по назначению, а не для игр в Большого Брата.

                                    +1
                                    Можно представить сценарий, где разработчику предлагают выбор или он работает строго на рабочем месте и строго в рабочее время

                                    Без звонков после неудачного пятничного деплоя? Без проблем.

                                      0
                                      Ну это решается элементарно запретом на деплой в пятницу. У нас прямого запрета нет, но так как никто не ждет что разработчик в свободное время будет доступен, то никто и не льет перед выходными.
                                        0

                                        Знаю места, где некоторые вещи невозможно деплоить не в пятницу (ну или не по выходным), и это обусловлено некоторыми условиями внешнего мира (скажем, как работают разные биржи).


                                        Вернее, деплоить-то можно, но активируются они только вечером пятницы.

                                          0
                                          Грустно тогда. Но я в таком случае просто бы договорился о выходных не в выходные. Есть конечно в таком решении недостатки, социолизироваться с кем-то кроме коллег сложнее, но в целом — замечательный вариант, я давно думаю о таком договориться все-таки.
                                  0
                                  Можно накатить условный Nine и тогда вайпаться будет только почта, а не весь телефон (там есть настройка зоны доступа для актив синка со стороны клиента)
                                    0

                                    Чтобы не вайпнули весь девайс, есть рабочий профиль, для которого идут свои приложения под рабочий аккаунт. Профиль можно включать и выключать по желанию (например в нерабочее время). Единственный минус — администратор может задать параноидальные меры безопасности для всего устройства (вводить пароль на каждую разблокировку экрана, пин не подходит) что отобьёт всё желание использовать это.

                                      0
                                      Самое забавное с этими вайпами то, что если ты уехал в отпуск без интернета, а в это время вышло критическое обновление, но ты его не установил в течении некоторого времени — получай чистый телефон
                                    +2

                                    Интересная статья, мы как раз разворачиваем MDM в нашей конторе. Много времени уходит на позитивную пропаганду среди пользователей BYOD. Да, мы можем удаленно обнулить ваш телефон и нет — мы не можем читать ваши смс.

                                      0
                                      О, хорошая идея, прям в заголовок поднимем, тоже устали пояснять.
                                        +1
                                        Немного неправильно подняли.
                                        «Не читаем» != "не можем читать".
                                        Или так и было задумано?
                                        0
                                        [del]
                                          +5
                                          А почему не можете читать SMS?

                                          Я через MDM на андроидах через remote control могу делать всё, что может делать пользователь. Пользователь даже не узнает, что я подключился и вижу содержимое его экрана.

                                          Или это фишка новых версий Андроида, с разделением на личное и рабочее пространство, без доступа MDM к личному разделу?
                                            0

                                            Политика компании такова, что все телефоны и планшеты регистрируются в BYOD режиме. Андроиды — AfW, vendor managed, Apple так же, никакого DEP. DEP enrolled у нас только айпады в переговорных.
                                            MDM ещё толком не развернут, поэтому гайки закручивать рано. Задача минимум на текущий момент — принудительное наличие пинкода (да, у нас была пара товарищей не на последних должностях, которым не нравились пинкоды или разблокировка отпечатком пальца ибо неудобно).
                                            Следующий шаг это пряник в виде автоматической аутентификации WiFi, а кнут — ограничения доступа к корпоративным ресурсам, системам и т.д. устройствам вне MDM. Ну и прочая авторизация с блекджеком и сертификатами.

                                              0
                                              del
                                                0
                                                del
                                                  0
                                                  Всё верно, это фишка Android. Согласно данному документу при использовании Remote Manager (a.k.a. Workspace ONE Assist) мы можем удаленно подключаться только к корпоративной области устройства.
                                                0
                                                Эх, как классно это все выглядит в статье, и как грустно изнутри :)
                                                Идея и сам посыл — великолепны. А вот реализация как всегда…

                                                Очень хорошо знаком с AirWatch, их SDK и их технической поддержкой.
                                                Если в вашей компании разрабатываются внутрикорпоративные мобильные приложения, то разработчиков ждет море развлечений :)

                                                Из любимого:

                                                1. Обновилась мажорная версия SDK AW.
                                                Взяли в работу, обновляем приложухи. Для Android толстый гайд по переходу на новую версию. Для iOS гайд весьма скуден:
                                                «Удалите старую SDK из проекта.
                                                Импортируйте новую SDK.
                                                Устраните все возникшие ошибки.»
                                                Ну супер, да.
                                                /Хотя, стоит отдать должное, реализация SDK для iOS в разы понятнее и удобнее чем для Android./

                                                2. Жалоба работников склада (планшет на Android + наше приложение + сканер ШК):
                                                В новой версии приложения, при сканировании data-matrix кодов (около 150 символов информации), все жутко тормозит и можно увидеть как в поле ввода возникают символы, как будто их вводят руками. В то время как раньше сразу возникала вся строка.
                                                Странно, подумали мы. Ничего ж не трогали.
                                                Ну ок, лезем разбираться. Долгую историю поисков, декомпиляции исходников и прочее пропущу, сразу к сути.
                                                В новой версии SDK, изменилась работа с продлением сессии SSO. Теперь софт регистрирует каждую интеракцию пользователя с устройством. Ну ок, нам как-бы все равно. Проблема в том, что не предусмотрено никакого таймаута. Т.е. если с устройства ввода летит 150 событий (сканер эмулирует ввод с клавиатуры) с миллисекундными интервалами, то 150 раз вызывается функция с логикой обработки события и продления сессии SSO.
                                                Благо не слишком глубоко зарыто было. Удалось унаследоваться, переопределить метод и переписать логику.

                                                3. Приложение проходит аудит информационной безопасности.
                                                Сотрудник ИБ (ИБ): В реализации ошибки. Я в консоли запрещаю устройству 3G, а оно продолжает его использовать.
                                                Разработчик (Р), глядя в дебаг: Ну обновленный профиль от сервера не приходил и не приходит. Я то тут при чем? Задайте вопрос вендору (AirWatch).
                                                ИБ: Мое дело проверить и указать на проблемы. Ваше дело реализовать функционал, согласно регламенту ИБ. Если не можете — не реализовывайте, тогда в прод не пойдете.
                                                Р: Ок, пойду с админами сочинять письмо вендору.
                                                / Ставим тикет в ТП AW, через время его принимают, нас 40 раз пинают через разные линии поддержки, наконец попадается компетентный товарищ /
                                                Сотрудник ТП AW (ТП): Все работает корректно (by design). Профиль приложения спускается на устройство один раз, при установке приложения.
                                                Р: Эээ… Странно… Ну ок, спасибо.
                                                / Сообщаем ответ ТП, сотрудникам ИБ /
                                                ИБ: Ваше дело реализовать функционал, согласно регламенту ИБ. Если не можете — не реализовывайте, тогда в прод не пойдете.
                                                / Отлично. Читаем мануалы, находим обрывки знаний, пишем в ТП /
                                                Р: Ребята! Что нам делать-то? Как реагировать на изменения профиля?
                                                ТП: Ну вы можете осуществлять сетевые запросы к серверу AW, и получать профиль.
                                                Р: Блин, ну ок, будем пробовать.

                                                Пробуем, да, профиль получить можно. Но только через MAG (что-то типа VPN тоннеля, между клиентом AW и сервером AW, для доступа внутрь защищенного контура сети). А MAG не везде используется и работать начинает только после получения профиля. Реализация получилась крайне интересная и костыльная. Но рабочая :)

                                                Этот список можно дополнять бесконечно. Жесткие корпоративные регламенты ИБ, которые не так просто изменить. Очень тяжелая в общении техподдержка. Множество проблемных кейсов, которые не воспроизведешь в тестовом окружении. Очень скудная документация.

                                                Но, с другой стороны, ситуация постепенно выправляется, хотя и очень неспешно :)
                                                В свежих версиях завозят новые проблемы, но старых проблем исправляют больше, чем создают.
                                                  0
                                                  Почему то было предположение что здесь вас встречу.) Я вижу нам еще повезло.
                                                    0
                                                    У вас там, помнится, своя засада была тогда))
                                                    Но в целом, со временем, мы научились со всем этим жить и даже штатная градация трудоемкости интеграции приложения с AW (с нуля) появились, а-ля:
                                                    — Senior Mobile Developer: 16 часов
                                                    — Middle Mobile Developer: 40 часов
                                                    — Junior Mobile Developer: 80 часов
                                                    0
                                                    2. Не встречал у заказчиков разрабов, которые были бы довольны какими-либо SDK или «О ужас! Не дай Бог», «обёртыванием» их приложения, однако, всё в итоге у них получалось.

                                                    3. Странно, что вам не помогали специалисты из компании, которая вам внедряла MDM. Я вот всё время на связи и постоянно консультирую коллег по вопросам связанным с МDM.

                                                    P.S. Если вы до сих пор используете MAG и AirWatch- срочно обновляйтесь.

                                                    Airwatch уже давно Workspace ONE, а MAG теперь это виртуальный апплаенс VMWare UAG.
                                                      0
                                                      Airwatch уже давно Workspace ONE, а MAG теперь это виртуальный апплаенс VMWare UAG.

                                                      Знаю, я консерватор и для меня он уже так и останется AW.
                                                      Я даже Теле2 читаю как «телету» по привычке, а у них только произношение поменялось :)

                                                      2 — в целом так и есть :)
                                                      3 — Собственно внедрял MDM нам непосредственно вендор, т.е. сам AirWatch. Может быть сейчас качество ТП улучшилось, я уже год как не связан больше с кровавым энтерпрайзом, поэтому не в курсе.

                                                      Какая версия, кстати, Android AW SDK сейчас? Я ушел на 17.6.1, а начинали мы с 15.1, кажется.
                                                        0
                                                        Версия SDK уже 19.8
                                                          0
                                                          Нормально, 18ю версию я успел увидеть, но плотно не щупал.
                                                    +5
                                                    Там где начинается бизнес заканчивается этика. GPS, почта, телеметрия непрерывным потоком, статусы звонков ( как минимум ) и
                                                    нет, мы не читаем ваши SMS
                                                    звучит дюже забавно.

                                                    Вот прочитал, статейку и пришёл к осознанию, что я не хочу работать в кампании, где используется подобная экосистема. Ведь по сути вы сами привели пример, где сотрудник отдыхает в баре ( личное время, личная жизнь ) и где забывает корпоративный девайс. Но вот как-то не согласуется, личная жизнь и постоянная телеметрия.
                                                      0
                                                      Вот эти 2 скрина показывают, что всё на совести компании в которой внедрен MDM.




                                                      Администратор системы может отключить, например, GPS -треккинг для личных устройств.

                                                      Есть политики компании связанные с данными этой самой компании и все ее сотрудники должны этой самой политики придерживаться. Не хочешь использовать — удаляй агента, когда уходишь с работы.
                                                      +1
                                                      У меня одного проблемы с этим интерфейсом?
                                                      скрин
                                                      image

                                                      Темное это переключатель вкл или выкл?
                                                      Если рассуждать по строке Icon Size, темное — это значит выбранная опция. Хорошо, что на этой вкладке есть параметр с тремя позициями.
                                                      Но ведь кнопка Close тоже темная, значит ли это, что она нажата…
                                                        0
                                                        EMM SafePhone от НИИ СОКБ предоставляет сертифицированные решения для безопасной передачи голоса и сообщений с шифрованием и возможностью записи.

                                                        У SafePhone есть расширение "Защищённые коммуникации" для VoIP-телефонии и обмена сообщениями, ссылка. В нём есть шифрование, но нет записи переговоров. Это важно не меньше, чем нечтение SMS. Ещё лет 5 назад люди так боялись MDM, что после работы вынимали аккумуляторы или клали корпоративные телефоны в сейф. Самое сложное, но необходимое — убедить пользователей, что EMM нужен не для того, чтобы подсматривать и вторгаться в личную жизнь, а для того, чтобы обеспечить удобный доступ к сервисам.

                                                          –1
                                                          Даже самые ответственные люди иногда отдыхают. И, как нередко это бывает, они забывают рюкзаки, ноутбуки и мобильные телефоны в кафе и барах.

                                                          Следующий вопрос: они знают, что идут в бар; знают, что обычно происходит в барах; нах зачем они берут с собой рюкзаки, ноутбуки и далее по списку???


                                                          Мало таким в детстве надавали живительных трындюлей, мало...

                                                            +1
                                                            Многие прям с работы идут. Но вообще, согласен.
                                                              –2
                                                              Многие прям с работы идут

                                                              Ну так зайди с работы домой, оставь там рюкзак-ноутбук, и иди гудеть себе по барам хоть до второго пришествия. Есть такое слово — ответственность...

                                                                +1
                                                                Для многих «зайти после работы домой» — это час дороги, а то и два, в одну сторону. Понятно, что вы можете возразить что так быть не должно, но увы.
                                                                  0
                                                                  1. Шифруйте диски/иные носители, чтобы без пароля ноутбук превращался в тыкву.
                                                                  2. Оставляйте ноутбук в офисе, если идёте бухать в бар (если сопрут оттуда — не Ваша вина).
                                                                  3. Бухайте Идите в бар в субботу/воскресенье.
                                                                  4. ???
                                                                  5. PROFIT!

                                                                  "Желающий — ищет возможности. Нежелающий — ищет причины."

                                                                    0
                                                                    1. Если я сам зашифрую диск ноута и не смогу его расшифровать, (по любой причине: забыл пароль, драйвер шифрования криво обновился, батарейка неудачно села, не важно) то огребу люлей. Если же диск был зашифрован админом, то этого не произойдёт, потому что у админа было и время, и квалификация подумать как сделать так, чтобы диск расшифровывался, а если вдруг все равно нет, то были бы бэкапы. А мне, сотруднику, надо финансовый отчёт составлять, а не драйвера тестировать.

                                                                    2. Ноутбук нужен, в основном, для того, чтобы в субботу можно было доделать и отправить этот чертов отчет, а если он остался в офисе то от него никакого толка нет.

                                                                    3. Можно и дома бухнуть, в полной безопасности и с ноутом, но коллеги собираются вечером в пятницу после работы. Кто-то идёт с ними, кто-то идёт домой. Кто-то едет в командировку и там его грабят, всего не предусмотришь.

                                                                    5. Централизованные технические решения надежней, чем полагаться на ответственность и компетенции в информационной безопасности каждого отдельного сотрудника.
                                                                  0
                                                                  Когда работа и дом находятся на определенном удалении, то нереализуемо. Я живу в 100км от работы, поэтому приходится таскать рюкзак с собой. Правда я ни разу не забывал, тьфу-тьфу-тьфу.
                                                                0

                                                                Например, в командировке в баре можно коротать время до автобуса/поезда/самолёта домой.
                                                                Там уж про себе может быть много чего.

                                                                0
                                                                О, какая интересная тема.
                                                                А может кто-то подсказать, как бороть через их (Workspace ONE) ТП нерешающиеся месяцами проблемы?
                                                                Из последний примеров.
                                                                1. вся эта монструозная конструкция отчего-то при синхронизации с ФВ воспринимает пользователя и ровно того же пользователя но с уже установленным менеджером — разными сущностями и задваивает аккаунты. Из-за этого профили прилетают на задваивающийся аккаунт. Проблема всплыла, когда для некоторых новых пользователй руководитель прокачивался после синхронизаци AD с MDM. Просто Re-enroll не помогал.
                                                                2. Постоянно приходится пушить пару профилей при любых изменениях с пользователем, Active-Sync и еще один для VPN и локальная наша ТП это делает вручную. Подскажите, там есть какое-нибудь вменяемое API, чтобы эти вещи отслеживать и автоматизировать?
                                                                  0
                                                                  Подскажите номер тикета в ТП. API List можно найти по ссылке: https:///api/help
                                                                    0
                                                                    https://< FQDN вашего WS1>/api/help
                                                                      0
                                                                      Спасибо за ответ. Выяснилось, что тикета в техподдержку Workspace ONE и не было! Есть тикет в нашу поддержку (аутсорсят тут одни), но те дальше не эскалировали… Постараюсь дожать на следующем новом пользователе.
                                                                      И за ссылку на api/help спасибо, вижу, буду читать.

                                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                  Самое читаемое