Корпоративная мобильность

В управлении яблочными устройствами есть своя начинка специфика. Например, невозможно разработать приложение, которое управляло бы устройством. Функции управления доступны только самой iOS. Нельзя запретить пользователю отключаться от управления. После supervise нельзя восстановить данные из резервной копии. И так далее.

Под катом расскажем, как устроено управление iOS и каких корпоративных сервисов Apple не хватает в России.

Как устроено управление iOS?

Когда в компании используется больше десятка мобильных устройств, у админов пропадает желание настраивать их вручную ставить приложения, настраивать Wi-Fi, почту, VPN и т.д. В этом случае помогают системы управления мобильностью, одну из которых мы производим уже десять лет. Поэтому далее будем делиться своим практическим, порой горьким опытом управления корпоративными устройствами.

Основная специфика iOS устройств это их владельцы. Как правило, это люди занятые, требовательные, во всем разбирающиеся, но не всегда технически подготовленные. Одним словом, топ-менеджеры. Осложняют ли эти особенности процесс управления iOS устройствами?

Если не считать мелочей, типа устройство более одного раза в чужие руки не отдам, виноваты все, кроме меня, поощрение это отсутствие наказания, то не осложняют.

Еще одна особенность iOS устройств это предлагаемые Apple механизмы управления IOS-устройствами:

1. На устройство нужно установить конфигурационный профиль, в котором определяются параметры подключения к серверу управления. Профиль можно установить с использованием браузера, почты, мобильного приложения или MacBook.

2. При установке профиля устройство регистрируется на сервере управления. При этом устройство сообщает серверу токен, по которому сервер может обратиться к устройству через APNS (Apple Push Notification Service).

3. Когда серверу управления нужно доставить на устройство команду, он уведомляет об этом устройство с помощью APNS.

4. Получив уведомление, устройство обращается к серверу за командой, выполняет её и сообщает серверу результат.

Сервер управления должен реализовать протокол управления Apple и отправлять уведомления о командах управления через APNS. Без уведомлений и APNS эта схема не работает. iOS устройство за командами само не придёт. Не барское это дело. Компании, как правило, не в восторге от необходимости предоставлять корпоративным серверам доступ к внешним интернет-ресурсам. Но в случае с управлением iOS устройствами альтернативы нет. При этом нужно открыть HTTPS и DNS порты всей подсети 17.0.0.0/8.

Несмотря на то, что управлять iOS устройствами с помощью приложения нельзя, у нас и других разработчиков систем управления мобильностью все же имеются мобильные клиенты для iOS.

С помощью нашего клиентского приложения пользователь сможет зарегистрироваться в SafePhone и установить корпоративные приложения с сервера своей компании без App Store.
Например, клиент самописного ЭДО или персонализированная BI отчётность для руководителей.

Клиент SafePhone также контролирует наличие признаков программного взлома (jailbreak). При взломе в iOS песочницы различных приложений больше не защищают их приватные данные.
В системе после jailbreak могут появиться приложения, которые имеют полный доступ к файлам на устройстве. Поэтому важно автоматически удалять корпоративные приложения и их данные с iOS устройств, если обнаружен jailbreak.

Ещё клиент управления можно использовать для сбора информации о местоположении устройств. В SafePhone можно настроить график рабочего времени для отдельных подразделений и сотрудников. Опрос координат устройств будет вестись строго по этому графику.

Какие есть ограничения?

Изменить технологию управления iOS устройствами нельзя, поэтому необходимо учитывать следующие ограничения.

Пользователь может в любой момент отключить iOS устройство от управления, и сервер управления может об этом не узнать. Apple требует, чтобы пользователь мог самостоятельно удалить конфигурационный профиль, в котором указаны параметры подключения iOS к серверу управления. При удалении профиля устройство однократно отправляет серверу сообщение об отключении. Если в этот момент устройство не имеет доступа в интернет, сообщение до сервера управления так и не дойдет.

С точки зрения компании отключение iOS устройства от управления обычно не является большой проблемой, потому что при этом с устройства удаляются все корпоративные приложения и настройки. Всё, что компания не хочет потерять или разгласить, будет удалено вместе с возможностью управления.

Следующий блок ограничений связан с supervised режимом работы iOS. Это специальный режим, в котором доступно большее число команд и политик управления. При этом по мере выхода новых версий iOS существующие команды и политики начинают требовать supervised режима.
Поэтому мы рекомендуем переводить все корпоративные iOS устройства в этот режим.
Но есть нюанс.

Чтобы перевести iOS устройство в supervised режим, нужно подключить его кабелем к MacBook и перепрошить с помощью приложения Apple Configurator 2. Если перепрошивка выполняется до передачи устройства пользователю, далее проблем не будет. Но если компания приняла решение переводить корпоративные устройства в supervised режим после того, как выдала их пользователям, проблем не оберешься.

В supervised режиме нельзя восстановить данные из резервной копии, которая была сделана до включения этого режима. В этом ключевая проблема. Начиная с перевода устройства в supervised режим, история его резервных копий начинается заново. Если в резервной копии были данные, которые нужны пользователю для работы, он потеряет к ним доступ. Поэтому важно переводить iOS устройства в supervised режим как можно раньше. И в первую очередь устройства топов...

Чего не хватает в России?

Ключевой корпоративный сервис Apple Business Manager до сих пор недоступен в России. Надеемся, что следом за предустановленными российскими приложениями на iOS устройствах придёт и его черед.

С помощью Apple Business Manager можно управлять устройствами буквально с первого включения. Если компания и её устройства зарегистрированы в Business Manager, то настройки подключения устройств к корпоративному серверу управления сообщаются устройствам сразу при их активации. Эти устройства активируются сразу в supervised режиме и можно сделать так, что пользователь не сможет удалить настройки управления, т.е. устройства всегда будут находиться под управлением.

Второй важной функцией Apple Business является возможность покупки приложений для бизнеса. Сейчас российские компании не могут централизованно купить приложения в App Store.
Если пользователям для работы нужны платные приложения, обычно их покупают сами пользователи, а потом транжира-работодатель возвращает денежку с грустью в глазах.
С появлением Apple Business Manager российские компании смогут цивилизованно покупать софт для iOS, а потом с помощью систем управления распространять на корпоративные устройства купленные лицензии.

Часть российских компаний уже пользуются Apple Business Manager, но для этого они используют свои зарубежные представительства. Зарубежное представительство может зарегистрироваться в Apple Business Manager и добавить в него все корпоративные iOS устройства, включая российские. Создавать европейский филиал ради доступа к Business Manager, наверное, перебор.
Но если он уже создан, подключайте свои устройства через него.

Остались вопросы?

Если у вас остались вопросы по использованию iOS устройств в вашей компании, напишите нам на sales@niisokb.ru или оставьте комментарий к статье.

Мы будем вам признательны и обязательно ответим.

Работодатели уже привыкли к тому, что можно не возмещать затраты со.

Но и эта медаль двухсторонняя. Сотрудники требуют гарантий, что работодатель не читает их переписку или не смотрит их фотографии. Работодатели в свою очередь против того, чтобы сотрудники делились корпоративными документами в социальных сетях или передавали их в СМИ.

В этой статье мы расскажем о том, какие существуют технологии контейнеризации и можно ли с их помощью эффективно разделить корпоративные и личные данные на мобильных устройствах.

Зачем нужен контейнер работодателям и их сотрудникам?

Работодатели и сотрудники хотят, чтобы контейнер защищал ИХ секреты. Только секреты каждой из сторон находятся по разные стороны контейнера секреты работодателя находятся внутри контейнера, а секреты сотрудника снаружи.

Поэтому работодатели хотят, чтобы сотрудники не могли вынести данные из контейнера, а сотрудники желают, чтобы работодатель не имел доступа к данным вне контейнера.

Сотрудники готовы мириться с ограничениями типа запрета установки приложений из непроверенных источников, но даже потенциальная возможность доступа к их личным данным не стоит для них возможности удалённой работы со своего смартфона или планшета.

Есть ещё одно желание, в котором сходятся работодатели и сотрудники. И те, и другие хотят, чтобы в контейнер можно было поместить любое приложение без дополнительных доработок. Если приложения нужно дорабатывать, это дорого для работодателя и чаще всего неудобно для сотрудника.

Особенность контейнеров для iOS

В своей прошлой статье мы убеждали читателя, что iOS это закрытая экосистема, которую нужно принимать такой, какая она есть. Контейнеры на iOS ещё одно тому подтверждение.

С точки зрения контейнеризации в iOS есть встроенный механизм разделения корпоративного и личного. Apple называет корпоративное управляемым (managed), а личное неуправляемым (unmanaged).

Управляемыми в iOS могут быть приложения, учётные записи и URL в Safari. С помощью встроенных политик можно запретить передачу данных между управляемым и неуправляемым, но только случайную. Это значит, что сотрудник не может передать вложение из корпоративной почты в личную почту или в WhatsApp, но может скопировать текст вложения и вставить его куда угодно!

Apple считает, что защититься от преднамеренной утечки данных невозможно, поэтому решил позаботиться о своих сознательных пользователях и не дать им случайно допустить утечку

Если компания решает, что встроенных механизмов безопасности iOS для нее недостаточно, ей приходится реализовывать дополнительные механизмы защиты в корпоративных приложениях. Например, блокируя в них возможность доступа к буферу обмена. Сделать это проще всего с помощью SDK разработчиков систем управления мобильностью, например, SafePhone.

Разнообразие Android - контейнеров

Android исторически предоставляет больше возможностей для контейнеризации.

Первой компанией, которая сделала возможным создание контейнеров на Android, стала компания Samsung. В 2012 году на смартфоне Samsung Galaxy S3 впервые стали доступны функции корпоративной платформы безопасности Samsung Knox. В частности, Knox контейнеры. Большинство современных устройств Samsung также их поддерживают. Многие функции платформы Samsung Knox бесплатны, но функции Knox контейнеров были платной опцией. Позже Google анонсировал свою бесплатную корпоративную платформу Android for Enterprise c меньшим набором функций.

С годами число функций управления контейнерами, которые были эксклюзивно доступны на устройствах Samsung, сокращалось, потому что они появлялись у Google. В результате, начиная с
1 июля 2021 года, Samsung принял решение о бесплатном предоставлении возможностей Knox-контейнеризации. В составе платформы Samsung Knox ещё остаются платные опции, которых нет у Google. Например, корпоративных сервис обновления прошивок мобильных устройств E-FOTA One, о котором мы рассказывали в одной из прошлых статей.

Но конкретно Knox контейнеры отныне бесплатны.

Контейнер в Android или, как его называет Google, рабочий профиль выглядит для пользователя как отдельная папка или отдельный рабочий стол, где размещаются корпоративные приложения. Приложения в контейнере работают так, как будто за пределами контейнера ничего не существует. В контейнере есть свой буфер обмена, своя виртуальная память для хранения файлов и т.д.

Без явного разрешения администратора пользователь не сможет ничего вынести за пределы контейнера.

Вроде то, что нужно? Да, но не обошлось без важных особенностей.

В составе Samsung Knox есть клиентские библиотеки для Android, с помощью которых можно разработать клиент управления, который сам создаст контейнер, применит в нём необходимые политики безопасности и наполнит его приложениями.

Работает эта схема так:

1. На мобильное устройство устанавливается клиент управления.

2. Пользователь регистрирует устройство на сервере управления.

3. Клиент управления создаёт и настраивает контейнер для работы. После чего периодически спрашивает у сервера управления, не изменились ли эти настройки.

4. Можно доставить обновления настроек быстрее с помощью push-уведомлений от Google, но их использование необязательно.

Преимущество этой схемы в том, что её можно построить в локальной инфраструктуре заказчика (on-premise). Для крупного бизнеса в России это важно.

У платформы Android for Enterprise от Google тоже есть клиентские библиотеки и с их помощью можно управлять устройствами без контейнеров устанавливать приложения, настраивать ограничения и т.д. Даже можно создать контейнер, поместить в него встроенный Gmail или Google Chrome и запретить сотруднику копировать из контейнера файлы. Всё это будет работать on-premise.

Но клиентские библиотеки Google не помогут, если нужно разместить в контейнере приложение собственной разработки или какое-то приложение из Google Play. В этом случае необходимо использовать Android Management API, который работает по несложной схеме:

1. На мобильное устройство устанавливается клиент управления от Google Android Device Policy.

2. Администратор создаёт настройки контейнера какие приложения в него установить, какие политики ограничений применить и т.д.

3. Сервер передаёт настройки контейнера в Google с помощью Android Management API. Дальше Google обеспечивает их применение на устройстве самостоятельно. При этом все команды и все дистрибутивы корпоративных приложений нужно передать в Google.

   Источник: https://developers.google.com/android/management/introduction

Похожим образом устроено управление iOS, но в случае с iOS корпоративный сервер управления передаёт в Apple только уведомления о наличии команды. Далее устройство забирает команды и дистрибутивы приложений с корпоративного сервера, а не с сервера Apple.
Возможно, Google хотел создать более удобную технологию управления, чем у Apple, но не все компании готовы мириться с тем, что Google знает, какие настройки безопасности и какие команды управления они сообщают своим мобильным устройствам. Ведь это создаёт риск того, что команды могут быть изменены или вовсе не доставлены.

Корпоративный Android в личном пользовании

Многие компании, которые покупают сотрудникам мобильные устройства для работы, разрешают также использовать их в личных целях. В этом случае тоже нужны контейнеры, чтобы разделить корпоративные и личные данные. Если вы планируете реализовать такой сценарий, учтите, что, начиная с Android 11, у этого сценария есть принципиальные ограничения.

Начиная с Android 11, нельзя одновременно управлять и контейнером, и тем, что находится вне его. Это сделано, чтобы исключить доступ работодателей к личным данным сотрудников.
Цена приватности оказалась достаточно высокой. Теперь на корпоративных устройствах с контейнером нельзя определять геолокацию, устанавливать приложения вне контейнера и проверять устройство на наличие вирусов.

В качестве альтернативы Samsung предложил оригинальную технологию Knox Separated Apps. Технология позволяет создать на корпоративных устройствах контейнер для личных приложений. Работодатель управляет всем устройством и не получает доступа к данным сотрудника в личном контейнере. А приложения в личном контейнере не получают доступа к корпоративным данным, поэтому с их помощью нельзя реализовать утечку информации.

Knox Separated Apps, как и Knox контейнеры, с 1 июля 2021 года также станет бесплатной.

Советы для топ-менеджеров

Контейнер на рабочем устройстве не нужен. Любой смартфон, который компания выдала сотруднику, воспринимается как рабочий. Сотрудник никогда не поверит, что его работодатель не имеет доступа к его личным данным, даже если это пообещал Google. Поэтому рабочие устройства проще и дешевле превращать в контейнеры целиком, устанавливая приложения только из корпоративного хранилища, запрещая лишнюю сетевую активность и сервисы, которые позволяют поделиться корпоративными данными с конкурентами или СМИ.

Такой подход проверен, стандартизован и используется годами на большинстве рабочих ноутбуков в крупных компаниях.

Личные устройства это не всегда дешево и удобно. С одной стороны, может показаться, что использование личных устройств позволяет сэкономить на покупке гаджетов сотрудникам, но на практике оказывается, что содержать зоопарк смартфонов разных производителей дороже, чем питомник, где устройств много, но они однотипны.

На каждом новом устройстве корпоративный софт не работает совершенно особенным образом. Каждая мажорная версия Android c 4 по 12 серьёзно отличаются. У каждого производителя своя сборка Android. У каждой сборки Android, особенно китайской, свои тараканы неуправляемые менеджеры памяти и батареи, которые так и норовят поскорее закрыть приложение или не дать ему вовремя получить данные от сервера, дополнительные разрешения, которые пользователь должен вручную дать приложению и которые он может в любой момент отобрать и т.п.

Если планировать мобилизацию компании на 3-5 лет вперёд, дешевле выбрать несколько моделей устройств, и дальше проверять и разрабатывать корпоративный софт (клиент документооборота, приложения с BI-отчётностью, мессенджеры и т.п.) на этих конкретных моделях. Всё-таки корпоративный софт пишут не тысячи разработчиков Facebook по всему миру. Поэтому чем меньше вариативность устройств, тем меньше ошибок, тем меньше число уязвимостей и ниже вероятность их успешной эксплуатации. Короче, всем удобнее и безопаснее.

Если у вас возникли вопросы или сомнения после прочтения статьи, напишите о них в комментариях.