Русский
Русский
English
Авторизация
Ip-адрес
Восстановление пароля
Регистрация
Статистика
Реклама

Управление мобильными устройствами

Управление мобильностью здесь и сейчас

14.07.2020 20:14:29 | Автор: admin
В четверг, 09.07.2020, состоялся Бизнес-завтрак в онлайн формате с ведущими разработчиками систем управления мобильными устройствами и защиты корпоративных данных.

Более 100 участников Бизнес-завтрака стали свидетелями интереснейшего разговора между лидерами основных команд разработчиков решений, входящих в состав типовых систем удаленного доступа и управления мобильными устройствами.

Управление мобильностью здесь и сейчас

Онлайн формат мероприятия позволил экспертам в непринужденной обстановке откровенно обсудить следующие проблемные вопросы корпоративной мобильности и работы в режиме home-office:
  1. Насколько устойчив тренд перехода бизнеса в виртуальный офис?
  2. Как обеспечить управляемость мобильных полевых инженеров, офисных сотрудников и/или защитить корпоративные данные?
  3. Практический опыт выбора между BYOD, CYOD, COPE и корпоративной SIM-картой.
  4. Какие требования регуляторов по защите информации на мобильных устройствах?
  5. Какова экономика мобилизации бизнеса и стоимость владения техническими средствами для обеспечения безопасности мобильности?


Компания ООО НИИ СОКБ разработчик сертифицированного ФСТЭК России EMM SafePhone выступила организатором данного мероприятия.

С ролью модератора бизнес-завтрака блестяще справился Алексей Лукацкий признанный эксперт и бизнес-консультант по безопасности.
Участники разговора:
  • Генеральный директор компании НИИ СОКБ Игорь Калайда.
  • Директор по продуктам компании ИнфоТеКС Николай Смирнов.
  • Руководитель направления по работе с заказчиками государственного сектора компании Samsung Михаил Кудрявцев.
  • Генеральный директор компании МобилитиЛаб Сергей Орлик;
  • Руководитель направления мобильной разработки компании Digital Design Игорь Янковский.
  • Региональный директор компании MobileIron Михаил Комиссаров.
  • Директор по продажам и развитию бизнеса компании КриптоПро Павел Луцик.
  • Заместитель Председателя Ассоциации Доверенная платформа Илья Федорушкин.


В процессе Бизнес-завтрака по итогам голосования был выбран лучший вопрос из зала и победителю вручен приз новенький смартфон от Samsung.

С подробностями, а также результатами опроса участников мероприятия можно ознакомиться на странице мероприятия.
Подробнее..
Категории: Информационная безопасность , It-инфраструктура , It-стандарты , Конференции , Конференция , Блог компании нии сокб , Бизнес-завтрак , Мобильная безопасность , Управление мобильными устройствами , Защита данных

Особенности обновлений прошивки мобильных устройств

18.09.2020 14:13:41 | Автор: admin
Обновлять или не обновлять прошивку на личном телефоне каждый решает самостоятельно.
Кто-то ставит CyanogenMod, кто-то не чувствует себя хозяином устройства без TWRP или jailbreak.
В случае с обновлением корпоративных мобильных телефонов процесс должен быть относительно единообразным, иначе IT-шникам даже Рагнарёк покажется забавой.

О том, как это происходит в корпоративном мире, читайте под катом.

Особенности обновлений прошивки мобильных устройств рисунок 1

Краткий ЛикБез


Мобильные устройства на базе iOS получают регулярные обновления аналогично устройствам на Windows, но при этом:

  • обновления выходят реже;
  • обновления получает большинство устройств, но не все.

Apple выпускает обновление iOS сразу для большинства своих устройств, кроме тех, которые снимаются с поддержки. При этом Apple поддерживает свои устройства достаточно долго. Например, обновление iOS 14 получат даже iPhone 6s, вышедшие в 2015 году. Конечно, не обходится без косяков, типа принудительного замедления старых аппаратов, которое, как утверждается, было сделано не с целью вынудить купить новый телефон, а для продления срока службы старого аккумулятора Но в любом случае это лучше, чем ситуация с Android.

Android это по сути своей франшиза. Оригинальный Android от Google встречается только на устройствах линейки Pixel и бюджетных устройствах, которые участвуют в программе Android One. На других устройствах встречаются только производные от Android EMUI, Flyme OS, MIUI, One UI и т.д. Для безопасности мобильных устройств такое разнообразие большая проблема.
Например, сообщество находит очередную уязвимость в Android или системных компонентах, которые лежат в его основе. Далее уязвимости присваивается номер в базе CVE, нашедший получает вознаграждение по одной из баунти-программ от Google, а уж потом Google выпускает заплатку и включает её в очередной релиз Android.

Получит ли её ваш телефон, если он не Pixel или не участник программы Android One?
Если вы купили новое устройство год назад, то, наверное, да, но не сразу. Производителю вашего устройства ещё нужно будет включить патч Google в свою сборку Android и протестировать её на поддерживаемых моделях устройств. Топовые модели поддерживают чуть дольше. Всем остальным остаётся смириться и не читать по утрам базу CVE, чтобы не портить себе аппетит.

Ситуация с мажорными обновлениями Android, как правило, ещё хуже. В среднем новая мажорная версия докатывается до мобильных устройств с кастомными Android не меньше, чем за квартал, а то и больше. Так обновление Android 10 от Google вышло в сентябре 2019, а устройства разных производителей, которым повезло заслужить возможность обновления, получали его вплоть до лета 2020.

Производителей можно понять. Выпуск и тестирование новых прошивок это затраты и не малые. А так как устройства мы уже купили, то дополнительных денег с нас не получить.
Остаётся вынуждать нас покупать новые устройства.

Особенности обновлений прошивки мобильных устройств, Краткий ЛикБез, картинка 2

Дырявость сборок Android отдельных производителей стала причиной того, что Google изменил архитектуру Android, чтобы доставлять критичные обновления самостоятельно. Проект получил название Google Project Zero, около года назад о нём писали на Хабре. Фича относительно новая, но она встроена во все устройства с 2019 года, где есть сервисы Google. Многие знают, что эти сервисы платные для производителей устройств, которые платят за них роялти в Google, но мало кто знает, что дело не ограничивается коммерцией. Чтобы получить разрешение использовать сервисы Google на конкретном устройстве, производитель должен отдать свою прошивку в Google на проверку. При этом Google не принимает на проверку прошивки с древними Android. Это позволяет Google навязывать рынку свой Project Zero, что, надеемся, сделает Android устройства более безопасными.

Рекомендации корпоративным пользователям


В корпоративном мире используются не только публичные приложения, доступные в Google Play и App Store, но и приложения собственной разработки. Иногда жизненный цикл таких приложений прекращается в момент подписания акта приёма-передачи и оплаты услуг разработчика по договору.

В этом случае установка нового мажорного обновления ОС часто приводит к тому, что такие job-is-done приложения перестают работать. Бизнес-процессы останавливаются, а разработчиков нанимают повторно до возникновения следующего косяка. То же самое случается, когда корпоративные разработчики не успевают вовремя адаптировать свои приложения под новую ОС или новая версия приложения уже доступна, но пользователи её ещё не установили. В том числе для решения таких проблем предназначены системы класса UEM.

UEM системы обеспечивают оперативное управление смартфонами и планшетами, своевременно устанавливая и обновляя приложения на устройствах мобильных сотрудников. Кроме того, они могут откатить версию приложения к предыдущей в случае необходимости. Возможность отката версии назад является эксклюзивной фишкой UEM систем. Ни Google Play, ни App Store такой возможности не предоставляют.

UEM системы могут удалённо заблокировать или отложить обновление прошивки мобильных устройств. Поведение зависит от платформы и производителя устройств. На iOS в режиме supervised (о режиме читайте в нашем FAQ) можно отложить обновление до 90 дней. Для этого достаточно настроить соответствующую политику безопасности.

На Android устройствах производства Samsung можно бесплатно запретить обновление прошивки или воспользоваться дополнительным платным сервисом E-FOTA One, с помощью которого можно указать какие обновления ОС устанавливать на устройства. Это даёт администраторам возможность предварительно проверить поведение корпоративных приложений на новых прошивках своих устройств. Понимая трудоёмкость этого процесса, мы предлагаем своим заказчикам сервис на базе Samsung E-FOTA One, включающий услуги проверки работоспособности целевых бизнес-приложений на используемых у заказчика моделях устройств.

На Android устройствах других производителей аналогичной функциональности, увы, нет.
Запретить или отложить их обновление можно, разве что, с помощью страшилок, типа:
Уважаемые пользователи! Не обновляйте свои устройства. Это может привести к неработоспособности приложений. При нарушении этого правила ваши обращения в службу технической поддержки рассматриваться/выслушиваться НЕ БУ-ДУТ!.

Ещё одна рекомендация


Следите за новостями и корпоративными блогами производителей операционных систем, устройств и платформ UEM. Буквально в этом году Google решил отказаться от поддержки одной из возможных мобильных стратегий, а именно fully managed device with work profile.

За этим длинным названием скрывается следующий сценарий:

До Android 10 UEM-системы полноценно управляли устройством И рабочим профилем (контейнером), в котором содержатся корпоративные приложения и данные.
Начиная с Android 11, возможен полноценный функционал управления только ИЛИ устройством ИЛИ рабочим профилем (контейнером).

Google объясняет нововведения заботой о конфиденциальности данных пользователей и своём кошельке. Если есть контейнер, то данные пользователя должны находиться вне зоны видимости и управления со стороны работодателя.

На практике это означает, что узнать местоположение корпоративных устройств или поставить приложения, необходимые пользователю для работы, но не требующие размещения в контейнере для обеспечения защиты корпоративных данных, отныне невозможно. Либо для этого придётся отказаться от контейнера

Google утверждает, что такой доступ к личному пространству отпугивал 38% процентов пользователей от установки UEM. Теперь UEM-вендорам остаётся кушать что дают.

Особенности обновлений прошивки мобильных устройств, Рекомендации корпоративным пользователям, картинка 3

Мы заранее подготовились к нововведениям и в этом году предложим новую версию SafePhone, которая будет учитывать новые требования Google.

Малоизвестные факты


В завершение еще несколько малоизвестных фактов об обновлении мобильных ОС.

  1. Прошивки на мобильных устройствах иногда можно откатить. Как показывает анализ поисковых фраз, фразу как восстановить Android ищут чаще, чем обновление Android. Казалось бы, фарш нельзя провернуть назад, но иногда всё-таки можно. Технически защита от отката базируется на внутреннем счётчике, который увеличивается не с каждой версией прошивки. В рамках одного значения этого счётчика откат становится возможен. Это то, что касается Android. В iOS ситуация чуть отличается. С сайта производителя (или бесчисленного числа зеркал) можно скачать образ iOS конкретной версии для конкретной модели. Чтобы установить его по проводу с помощью iTunes, Apple должен подписать прошивку. Обычно в первые несколько недель после выхода новой версии iOS Apple подписывает предыдущие версии прошивок, чтобы пользователи, чьи устройства после обновления глючат, могли вернуть себе более стабильный билд.
  2. Во времена, когда jailbreak сообщество ещё не разбежалось по крупным компаниям, можно было изменить версию отображаемую версию iOS в одном из системных plist. Так можно было, например, сделать iOS 6.2 из iOS 6.3 и обратно. Зачем это было нужно, расскажем в одной из следующих статей.
  3. Очевидна всеобщая любовь производителей к программе для прошивки смартфонов Odin. Лучшего инструмента для прошивки ещё не сделали.

Пишите, обсудим, может и поможем.
Подробнее..
Категории: Информационная безопасность , It-инфраструктура , Разработка под android , Разработка под ios , Ios , Google , Мобильные устройства , Блог компании нии сокб , Управление мобильными устройствами , Android os , Обновление прошивки

Яблочный пирог или механизмы управления айфонами топ-менеджмента

06.04.2021 12:11:10 | Автор: admin

В управлении яблочными устройствами есть своя начинка специфика. Например, невозможно разработать приложение, которое управляло бы устройством. Функции управления доступны только самой iOS. Нельзя запретить пользователю отключаться от управления. После supervise нельзя восстановить данные из резервной копии. И так далее.

Под катом расскажем, как устроено управление iOS и каких корпоративных сервисов Apple не хватает в России.

Как устроено управление iOS?

Когда в компании используется больше десятка мобильных устройств, у админов пропадает желание настраивать их вручную ставить приложения, настраивать Wi-Fi, почту, VPN и т.д. В этом случае помогают системы управления мобильностью, одну из которых мы производим уже десять лет. Поэтому далее будем делиться своим практическим, порой горьким опытом управления корпоративными устройствами.

Основная специфика iOS устройств это их владельцы. Как правило, это люди занятые, требовательные, во всем разбирающиеся, но не всегда технически подготовленные. Одним словом, топ-менеджеры. Осложняют ли эти особенности процесс управления iOS устройствами?

Если не считать мелочей, типа устройство более одного раза в чужие руки не отдам, виноваты все, кроме меня, поощрение это отсутствие наказания, то не осложняют.

Еще одна особенность iOS устройств это предлагаемые Apple механизмы управления IOS-устройствами:

  1. На устройство нужно установить конфигурационный профиль, в котором определяются параметры подключения к серверу управления. Профиль можно установить с использованием браузера, почты, мобильного приложения или MacBook.

  2. При установке профиля устройство регистрируется на сервере управления. При этом устройство сообщает серверу токен, по которому сервер может обратиться к устройству через APNS (Apple Push Notification Service).

  3. Когда серверу управления нужно доставить на устройство команду, он уведомляет об этом устройство с помощью APNS.

  4. Получив уведомление, устройство обращается к серверу за командой, выполняет её и сообщает серверу результат.

Сервер управления должен реализовать протокол управления Apple и отправлять уведомления о командах управления через APNS. Без уведомлений и APNS эта схема не работает. iOS устройство за командами само не придёт. Не барское это дело. Компании, как правило, не в восторге от необходимости предоставлять корпоративным серверам доступ к внешним интернет-ресурсам. Но в случае с управлением iOS устройствами альтернативы нет. При этом нужно открыть HTTPS и DNS порты всей подсети 17.0.0.0/8.

Несмотря на то, что управлять iOS устройствами с помощью приложения нельзя, у нас и других разработчиков систем управления мобильностью все же имеются мобильные клиенты для iOS.

С помощью нашего клиентского приложения пользователь сможет зарегистрироваться в SafePhone и установить корпоративные приложения с сервера своей компании без App Store.
Например, клиент самописного ЭДО или персонализированная BI отчётность для руководителей.

Клиент SafePhone также контролирует наличие признаков программного взлома (jailbreak). При взломе в iOS песочницы различных приложений больше не защищают их приватные данные.
В системе после jailbreak могут появиться приложения, которые имеют полный доступ к файлам на устройстве. Поэтому важно автоматически удалять корпоративные приложения и их данные с iOS устройств, если обнаружен jailbreak.

Ещё клиент управления можно использовать для сбора информации о местоположении устройств. В SafePhone можно настроить график рабочего времени для отдельных подразделений и сотрудников. Опрос координат устройств будет вестись строго по этому графику.

Какие есть ограничения?

Изменить технологию управления iOS устройствами нельзя, поэтому необходимо учитывать следующие ограничения.

Пользователь может в любой момент отключить iOS устройство от управления, и сервер управления может об этом не узнать. Apple требует, чтобы пользователь мог самостоятельно удалить конфигурационный профиль, в котором указаны параметры подключения iOS к серверу управления. При удалении профиля устройство однократно отправляет серверу сообщение об отключении. Если в этот момент устройство не имеет доступа в интернет, сообщение до сервера управления так и не дойдет.

С точки зрения компании отключение iOS устройства от управления обычно не является большой проблемой, потому что при этом с устройства удаляются все корпоративные приложения и настройки. Всё, что компания не хочет потерять или разгласить, будет удалено вместе с возможностью управления.

Следующий блок ограничений связан с supervised режимом работы iOS. Это специальный режим, в котором доступно большее число команд и политик управления. При этом по мере выхода новых версий iOS существующие команды и политики начинают требовать supervised режима.
Поэтому мы рекомендуем переводить все корпоративные iOS устройства в этот режим.
Но есть нюанс.

Чтобы перевести iOS устройство в supervised режим, нужно подключить его кабелем к MacBook и перепрошить с помощью приложения Apple Configurator 2. Если перепрошивка выполняется до передачи устройства пользователю, далее проблем не будет. Но если компания приняла решение переводить корпоративные устройства в supervised режим после того, как выдала их пользователям, проблем не оберешься.

В supervised режиме нельзя восстановить данные из резервной копии, которая была сделана до включения этого режима. В этом ключевая проблема. Начиная с перевода устройства в supervised режим, история его резервных копий начинается заново. Если в резервной копии были данные, которые нужны пользователю для работы, он потеряет к ним доступ. Поэтому важно переводить iOS устройства в supervised режим как можно раньше. И в первую очередь устройства топов...

Чего не хватает в России?

Ключевой корпоративный сервис Apple Business Manager до сих пор недоступен в России. Надеемся, что следом за предустановленными российскими приложениями на iOS устройствах придёт и его черед.

С помощью Apple Business Manager можно управлять устройствами буквально с первого включения. Если компания и её устройства зарегистрированы в Business Manager, то настройки подключения устройств к корпоративному серверу управления сообщаются устройствам сразу при их активации. Эти устройства активируются сразу в supervised режиме и можно сделать так, что пользователь не сможет удалить настройки управления, т.е. устройства всегда будут находиться под управлением.

Второй важной функцией Apple Business является возможность покупки приложений для бизнеса. Сейчас российские компании не могут централизованно купить приложения в App Store.
Если пользователям для работы нужны платные приложения, обычно их покупают сами пользователи, а потом транжира-работодатель возвращает денежку с грустью в глазах.
С появлением Apple Business Manager российские компании смогут цивилизованно покупать софт для iOS, а потом с помощью систем управления распространять на корпоративные устройства купленные лицензии.

Часть российских компаний уже пользуются Apple Business Manager, но для этого они используют свои зарубежные представительства. Зарубежное представительство может зарегистрироваться в Apple Business Manager и добавить в него все корпоративные iOS устройства, включая российские. Создавать европейский филиал ради доступа к Business Manager, наверное, перебор.
Но если он уже создан, подключайте свои устройства через него.

Остались вопросы?

Если у вас остались вопросы по использованию iOS устройств в вашей компании, напишите нам на sales@niisokb.ru или оставьте комментарий к статье.

Мы будем вам признательны и обязательно ответим.

Подробнее..
Категории: Информационная безопасность , It-инфраструктура , It-стандарты , Управление персоналом , Iphone , Администрирование , Ios , Macbook , Блог компании нии сокб , Управление мобильными устройствами , Mdm-система , Emm , Safephone , Apple business manager , Корпоративная мобильность

Мобильные контейнеры для раздельного хранения данных

07.06.2021 12:06:42 | Автор: admin

Работодатели уже привыкли к тому, что можно не возмещать затраты со.

Но и эта медаль двухсторонняя. Сотрудники требуют гарантий, что работодатель не читает их переписку или не смотрит их фотографии. Работодатели в свою очередь против того, чтобы сотрудники делились корпоративными документами в социальных сетях или передавали их в СМИ.

В этой статье мы расскажем о том, какие существуют технологии контейнеризации и можно ли с их помощью эффективно разделить корпоративные и личные данные на мобильных устройствах.

Зачем нужен контейнер работодателям и их сотрудникам?

Работодатели и сотрудники хотят, чтобы контейнер защищал ИХ секреты. Только секреты каждой из сторон находятся по разные стороны контейнера секреты работодателя находятся внутри контейнера, а секреты сотрудника снаружи.

Поэтому работодатели хотят, чтобы сотрудники не могли вынести данные из контейнера, а сотрудники желают, чтобы работодатель не имел доступа к данным вне контейнера.

Сотрудники готовы мириться с ограничениями типа запрета установки приложений из непроверенных источников, но даже потенциальная возможность доступа к их личным данным не стоит для них возможности удалённой работы со своего смартфона или планшета.

Есть ещё одно желание, в котором сходятся работодатели и сотрудники. И те, и другие хотят, чтобы в контейнер можно было поместить любое приложение без дополнительных доработок. Если приложения нужно дорабатывать, это дорого для работодателя и чаще всего неудобно для сотрудника.

Особенность контейнеров для iOS

В своей прошлой статье мы убеждали читателя, что iOS это закрытая экосистема, которую нужно принимать такой, какая она есть. Контейнеры на iOS ещё одно тому подтверждение.

С точки зрения контейнеризации в iOS есть встроенный механизм разделения корпоративного и личного. Apple называет корпоративное управляемым (managed), а личное неуправляемым (unmanaged).

Управляемыми в iOS могут быть приложения, учётные записи и URL в Safari. С помощью встроенных политик можно запретить передачу данных между управляемым и неуправляемым, но только случайную. Это значит, что сотрудник не может передать вложение из корпоративной почты в личную почту или в WhatsApp, но может скопировать текст вложения и вставить его куда угодно!

Apple считает, что защититься от преднамеренной утечки данных невозможно, поэтому решил позаботиться о своих сознательных пользователях и не дать им случайно допустить утечку

Если компания решает, что встроенных механизмов безопасности iOS для нее недостаточно, ей приходится реализовывать дополнительные механизмы защиты в корпоративных приложениях. Например, блокируя в них возможность доступа к буферу обмена. Сделать это проще всего с помощью SDK разработчиков систем управления мобильностью, например, SafePhone.

Разнообразие Android - контейнеров

Android исторически предоставляет больше возможностей для контейнеризации.

Первой компанией, которая сделала возможным создание контейнеров на Android, стала компания Samsung. В 2012 году на смартфоне Samsung Galaxy S3 впервые стали доступны функции корпоративной платформы безопасности Samsung Knox. В частности, Knox контейнеры. Большинство современных устройств Samsung также их поддерживают. Многие функции платформы Samsung Knox бесплатны, но функции Knox контейнеров были платной опцией. Позже Google анонсировал свою бесплатную корпоративную платформу Android for Enterprise c меньшим набором функций.

С годами число функций управления контейнерами, которые были эксклюзивно доступны на устройствах Samsung, сокращалось, потому что они появлялись у Google. В результате, начиная с
1 июля 2021 года, Samsung принял решение о бесплатном предоставлении возможностей Knox-контейнеризации. В составе платформы Samsung Knox ещё остаются платные опции, которых нет у Google. Например, корпоративных сервис обновления прошивок мобильных устройств E-FOTA One, о котором мы рассказывали в одной из прошлых статей.

Но конкретно Knox контейнеры отныне бесплатны.

Контейнер в Android или, как его называет Google, рабочий профиль выглядит для пользователя как отдельная папка или отдельный рабочий стол, где размещаются корпоративные приложения. Приложения в контейнере работают так, как будто за пределами контейнера ничего не существует. В контейнере есть свой буфер обмена, своя виртуальная память для хранения файлов и т.д.

Без явного разрешения администратора пользователь не сможет ничего вынести за пределы контейнера.

Вроде то, что нужно? Да, но не обошлось без важных особенностей.

В составе Samsung Knox есть клиентские библиотеки для Android, с помощью которых можно разработать клиент управления, который сам создаст контейнер, применит в нём необходимые политики безопасности и наполнит его приложениями.

Работает эта схема так:

  1. На мобильное устройство устанавливается клиент управления.

  2. Пользователь регистрирует устройство на сервере управления.

  3. Клиент управления создаёт и настраивает контейнер для работы. После чего периодически спрашивает у сервера управления, не изменились ли эти настройки.

  4. Можно доставить обновления настроек быстрее с помощью push-уведомлений от Google, но их использование необязательно.

Преимущество этой схемы в том, что её можно построить в локальной инфраструктуре заказчика (on-premise). Для крупного бизнеса в России это важно.

У платформы Android for Enterprise от Google тоже есть клиентские библиотеки и с их помощью можно управлять устройствами без контейнеров устанавливать приложения, настраивать ограничения и т.д. Даже можно создать контейнер, поместить в него встроенный Gmail или Google Chrome и запретить сотруднику копировать из контейнера файлы. Всё это будет работать on-premise.

Но клиентские библиотеки Google не помогут, если нужно разместить в контейнере приложение собственной разработки или какое-то приложение из Google Play. В этом случае необходимо использовать Android Management API, который работает по несложной схеме:

  1. На мобильное устройство устанавливается клиент управления от Google Android Device Policy.

  2. Администратор создаёт настройки контейнера какие приложения в него установить, какие политики ограничений применить и т.д.

  3. Сервер передаёт настройки контейнера в Google с помощью Android Management API. Дальше Google обеспечивает их применение на устройстве самостоятельно. При этом все команды и все дистрибутивы корпоративных приложений нужно передать в Google.

    Источник: https://developers.google.com/android/management/introductionИсточник: https://developers.google.com/android/management/introduction

Похожим образом устроено управление iOS, но в случае с iOS корпоративный сервер управления передаёт в Apple только уведомления о наличии команды. Далее устройство забирает команды и дистрибутивы приложений с корпоративного сервера, а не с сервера Apple.
Возможно, Google хотел создать более удобную технологию управления, чем у Apple, но не все компании готовы мириться с тем, что Google знает, какие настройки безопасности и какие команды управления они сообщают своим мобильным устройствам. Ведь это создаёт риск того, что команды могут быть изменены или вовсе не доставлены.

Корпоративный Android в личном пользовании

Многие компании, которые покупают сотрудникам мобильные устройства для работы, разрешают также использовать их в личных целях. В этом случае тоже нужны контейнеры, чтобы разделить корпоративные и личные данные. Если вы планируете реализовать такой сценарий, учтите, что, начиная с Android 11, у этого сценария есть принципиальные ограничения.

Начиная с Android 11, нельзя одновременно управлять и контейнером, и тем, что находится вне его. Это сделано, чтобы исключить доступ работодателей к личным данным сотрудников.
Цена приватности оказалась достаточно высокой. Теперь на корпоративных устройствах с контейнером нельзя определять геолокацию, устанавливать приложения вне контейнера и проверять устройство на наличие вирусов.

Источник: https://docs.samsungknox.com/admin/knox-platform-for-enterprise/work-profile-on-company-owned-devices.htmИсточник: https://docs.samsungknox.com/admin/knox-platform-for-enterprise/work-profile-on-company-owned-devices.htm

В качестве альтернативы Samsung предложил оригинальную технологию Knox Separated Apps. Технология позволяет создать на корпоративных устройствах контейнер для личных приложений. Работодатель управляет всем устройством и не получает доступа к данным сотрудника в личном контейнере. А приложения в личном контейнере не получают доступа к корпоративным данным, поэтому с их помощью нельзя реализовать утечку информации.

Knox Separated Apps, как и Knox контейнеры, с 1 июля 2021 года также станет бесплатной.

Советы для топ-менеджеров

Контейнер на рабочем устройстве не нужен. Любой смартфон, который компания выдала сотруднику, воспринимается как рабочий. Сотрудник никогда не поверит, что его работодатель не имеет доступа к его личным данным, даже если это пообещал Google. Поэтому рабочие устройства проще и дешевле превращать в контейнеры целиком, устанавливая приложения только из корпоративного хранилища, запрещая лишнюю сетевую активность и сервисы, которые позволяют поделиться корпоративными данными с конкурентами или СМИ.

Такой подход проверен, стандартизован и используется годами на большинстве рабочих ноутбуков в крупных компаниях.

Личные устройства это не всегда дешево и удобно. С одной стороны, может показаться, что использование личных устройств позволяет сэкономить на покупке гаджетов сотрудникам, но на практике оказывается, что содержать зоопарк смартфонов разных производителей дороже, чем питомник, где устройств много, но они однотипны.

На каждом новом устройстве корпоративный софт не работает совершенно особенным образом. Каждая мажорная версия Android c 4 по 12 серьёзно отличаются. У каждого производителя своя сборка Android. У каждой сборки Android, особенно китайской, свои тараканы неуправляемые менеджеры памяти и батареи, которые так и норовят поскорее закрыть приложение или не дать ему вовремя получить данные от сервера, дополнительные разрешения, которые пользователь должен вручную дать приложению и которые он может в любой момент отобрать и т.п.

Если планировать мобилизацию компании на 3-5 лет вперёд, дешевле выбрать несколько моделей устройств, и дальше проверять и разрабатывать корпоративный софт (клиент документооборота, приложения с BI-отчётностью, мессенджеры и т.п.) на этих конкретных моделях. Всё-таки корпоративный софт пишут не тысячи разработчиков Facebook по всему миру. Поэтому чем меньше вариативность устройств, тем меньше ошибок, тем меньше число уязвимостей и ниже вероятность их успешной эксплуатации. Короче, всем удобнее и безопаснее.

Если у вас возникли вопросы или сомнения после прочтения статьи, напишите о них в комментариях.

Подробнее..
Категории: Информационная безопасность , It-инфраструктура , It-стандарты , Удаленная работа , Администрирование , Android , Ios , Блог компании нии сокб , Управление мобильными устройствами , Knox , Emm , Mdm , Корпоративная мобильность , Мобильный контейнер , Byod

Категории

Последние комментарии

  • Имя: Макс
    24.08.2022 | 11:28
    Я разраб в IT компании, работаю на арбитражную команду. Мы работаем с приламы и сайтами, при работе замечаются постоянные баны и лаги. Пацаны посоветовали сервис по анализу исходного кода,https://app Подробнее..
  • Имя: 9055410337
    20.08.2022 | 17:41
    поможем пишите в телеграм Подробнее..
  • Имя: sabbat
    17.08.2022 | 20:42
    Охренеть.. это просто шикарная статья, феноменально круто. Большое спасибо за разбор! Надеюсь как-нибудь с тобой связаться для обсуждений чего-либо) Подробнее..
  • Имя: Мария
    09.08.2022 | 14:44
    Добрый день. Если обладаете такой информацией, то подскажите, пожалуйста, где можно найти много-много материала по Yggdrasil и его уязвимостях для написания диплома? Благодарю. Подробнее..
© 2006-2024, personeltest.ru