Калі кажуць пра MDM, які Mobile Device Management, усё чамусьці адразу прадстаўляюць kill-switch, які дыстанцыйна падрывае згублены тэлефон па камандзе супрацоўніка ИБ. Не, у цэлым гэта таксама ёсць, толькі без піратэхнічных эфектаў. Але ёсць яшчэ куча іншых руцінных задач, якія з MDM выконваюцца нашмат прасцей і бязбольней.
Бізнэс імкнецца да аптымізацыі і уніфікацыі працэсаў. І калі раней новаму супрацоўніку даводзілася ісці ў таямнічы склеп з правадамі і лямпачкамі, дзе мудрыя чырванавокія старцы дапамагалі наладзіць карпаратыўную пошту на яго Blackberry, то зараз MDM вырас да цэлай экасістэмы, якая дазваляе выконваць гэтыя задачы ў два кліку. Будзем казаць аб бяспецы, агурочна-парэчкавай «Кока-Коле» і адрозненнях MDM ад MAM, EMM і UEM. А яшчэ – пра тое, як аддалена наняцца на працу па продажы піражкоў.
Пятніца ў бары
Нават самыя адказныя людзі часам адпачываюць. І, як нярэдка гэта бывае, яны забываюць заплечнікі, наўтбукі і мабільныя тэлефоны ў кафэ і барах. Самая вялікая праблема ў тым, што страта гэтых прылад можа абярнуцца дзікім галаўным болем для аддзела ИБ, калі яны ўтрымоўваюць адчувальную для кампаніі інфармацыю. Супрацоўнікі таго ж Apple прымудрыліся адзначыцца як мінімум двойчы, страціўшы спачатку , А затым - . Так, цяпер большасць мабільных тэлефонаў ідзе з шыфраваннем са скрынкі, але тыя ж карпаратыўныя наўтбукі далёка не заўсёды наладжваюцца з шыфраваннем цвёрдай кружэлкі па змаўчанні.
Плюс пачалі ўзнікаць такія пагрозы, як мэтанакіраваны крадзеж карпаратыўных прылад з мэтай здабычы каштоўных дадзеных. Тэлефон зашыфраваны, усё максімальна бяспечна і ўсё такое. Вось толькі ці заўважылі вы камеру назірання, пад якой вы разблакавалі тэлефон перад тым, як яго скралі? З улікам патэнцыйнай каштоўнасці дадзеных на карпаратыўнай прыладзе такія мадэлі пагроз сталі суцэль рэальныя.
Наогул людзі - тыя яшчэ склеротыкі. Шматлікія кампаніі ў ЗША змушана пачалі ставіцца да наўтбукаў як да расходнікаў, якія будуць непазбежна забытыя ў бары, гатэлі ці ў аэрапорце. Ёсць дадзеныя, што ў тых жа аэрапортах ЗША кожны тыдзень, з якіх мінімум палова змяшчае канфідэнцыйную інфармацыю без якой-небудзь абароны.
Усё гэта ладна дадало сівых валасоў бяспечнікам і прывяло да распрацоўкі спачатку MDM (Mobile Device Management). Затым з'явілася запатрабаванне ў кіраванні жыццёвым цыклам мабільных прыкладанняў на падкантрольных прыладах, і з'явіліся рашэнні MAM (Mobile Application Management). Некалькі гадоў таму яны сталі аб'ядноўвацца пад агульнай назвай EMM (Enterprise Mobility Management) – адзіная сістэма для кіравання мабільнымі прыладамі. Апагеем усёй гэтай цэнтралізацыі з'яўляюцца рашэнні UEM (Unified Endpoint Management).
Дарагая, мы купілі заапарк
Першымі пачалі з'яўляцца вендары, якія прапаноўвалі рашэнні для цэнтралізаванага кіравання мабільнымі прыладамі. Адна з самых вядомых кампаній – Blackberry – да гэтага часу жывая і нядрэнна сябе адчувае. Нават у Расіі прысутнічае і прадае свае прадукты, у асноўным для банкаўскага сектара. На гэты рынак таксама зайшлі SAP і розныя кампаніі паменш накшталт Good Technology, пазней набытай тым жа Blackberry. У гэты ж час набірала папулярнасць канцэпцыя BYOD, калі кампаніі спрабавалі эканоміць на тым, што супрацоўнікі цягалі свае асабістыя дэвайсы на працу.
Праўда, вельмі хутка высветлілася, што тэхпадтрымка і ИБ ўжо ўздрыгваюць ад запытаў выгляду "Як мне наладзіць MS Exchange на маім Arch Linux" і "Мне патрэбен прамой VPN да прыватнага Git-рэпазітара і прадуктовай БД з майго MacBook". Без цэнтралізаваных рашэнняў уся эканомія на BYOD абарочвалася кашмарам у плане падтрымання ўсяго заапарка. Кампаніям трэба было, каб усё кіраванне было аўтаматычным, гнуткім і бяспечным.
У рознічным гандлі гісторыя развівалася крыху інакш. Прыкладна гадоў 10 таму кампаніі раптоўна ўсвядомілі, што з'явіліся мабільныя прылады. Гэта раней супрацоўнікі сядзелі за цёплымі лямпавымі маніторамі, а дзесьці побач нябачна прысутнічаў барадаты ўладальнік швэдар, які прымушаў усё гэта працаваць. З з'яўленнем паўнавартасных смартфонаў функцыі рэдкіх спецыялізаваных КПК зараз можна перакладаць на звычайную недарагую серыйную прыладу. Адначасова з гэтым прыйшло разуменне, што гэтым заапаркам трэба неяк кіраваць, бо платформаў шмат, і яны ўсе розныя: Blackberry, iOS, Android, затым – Windows Phone. У маштабах буйной кампаніі любыя ручныя рухі цела - гэта стрэл сабе ў нагу. Такі працэс з'есць каштоўныя чалавека-гадзіны IT-падраздзялення і падтрымкі.
Вендары ў самым пачатку прапаноўвалі асобныя MDM-прадукты для кожнай платформы. Суцэль тыповай была сітуацыя, калі кіраваліся толькі смартфоны на iOS ці на Android. Калі са смартфонамі больш-менш разабраліся, высветлілася, што тэрміналамі збору даных на складзе таксама трэба неяк кіраваць. Пры гэтым вам вельмі трэба адправіць новага супрацоўніка на склад, каб ён проста адсканаваў рыска-коды на патрэбных скрынках і занёс гэтыя дадзеныя ў базу. Калі ў вас склады - па ўсёй краіне, то падтрымка станавілася вельмі няпростай. Трэба кожную прыладу падлучыць да Wi-Fi, усталяваць прыкладанне і забяспечыць доступ да базы дадзеных. З сучаснымі MDM, а дакладней, EMM, вы бераце адміна, выдаеце яму кансоль кіравання і канфігуруеце тысячы прылад з шаблоннымі сцэнарамі з аднаго месца.
Тэрміналы ў McDonald's
У розніцы назіраецца цікавая тэндэнцыя - сыход ад стацыянарных кас і кропак афармлення тавару. Калі раней у тым жа М.Відэа спадабаўся чайнік, то трэба было клікаць прадаўца і тупаць з ім праз усю залу да стацыянарнага тэрмінала. Па дарозе кліент паспяваў дзесяць разоў забыцца, навошта ішоў, і раздумацца. Губляўся той самы эфект імпульсіўнай пакупкі. Цяпер MDM-рашэнні дазваляюць прадаўцу адразу падысці з POS-тэрміналам і правесці аплату. Сістэма аб'ядноўвае і канфігуруе тэрміналы склада і прадаўцоў з адной кансолі кіравання. У свой час адной з першых кампаній, якая пачала мяняць мадэль традыцыйнай касы, стаў McDonald's з яго інтэрактыўнымі панэлямі для самаабслугоўвання і дзяўчатамі з мабільнымі тэрміналамі, якія прымалі заказы прама пасярод чаргі.
Burger King таксама пачаў развіваць сваю экасістэму, дадаўшы дадатак, якое дазваляла зрабіць замову дыстанцыйна, каб яго прыгатавалі загадзя. Усё гэта аб'ядноўвалася ў гарманічную сетку з кіраванымі інтэрактыўнымі стойкамі і мабільнымі тэрміналамі ў супрацоўнікаў.
Сам сабе касір
Многія прадуктовыя гіпермаркеты зніжаюць нагрузку на касіраў устаноўкай кас самаабслугоўвання. "Глобус" пайшоў далей. Яны на ўваходзе прапануюць узяць тэрмінал Scan&Go з інтэграваным сканарам, якім вы проста скануеце ўвесь тавар на месцы, расфасоўваеце па пакетах і выходзіце, аплаціўшы. Патрашыць на касе раскладзеныя па пакетах прадукты не трэба. Усе тэрміналы таксама кіруюцца цэнтралізавана і інтэгруюцца як са складамі, так і з іншымі сістэмамі. Некаторыя кампаніі спрабуюць аналагічныя рашэнні, інтэграваныя ў каляску.
Тысяча густаў
Асобная песня - гэта вендынгавыя апараты. На іх сапраўды гэтак жа трэба абнаўляць прашыўку, сачыць за рэшткамі гарэлай кавы і сухога малака. Прычым сінхранізуючы гэта ўсё з тэрміналамі абслуговага персанала. З буйных кампаній у гэтым плане вызначылася Coca-Cola, якая аб'явіла прыз у $ 10 000 за самы арыгінальны рэцэпт напою. У сэнсе дазволіла карыстальнікам змешваць самыя наркаманскія спалучэнні ў фірмовых апаратах. У выніку з'явіліся варыянты імбірна-цытрынавай колы без цукру і ванільна-персікавага "Спрайта". Да густу вушной серы, як у цукерках Bertie Bott's Every Flavour Beans, яны быццам пакуль не дайшлі, але настроены вельмі рашуча. Уся тэлеметрыя і папулярнасць кожнага спалучэння старанна адсочваюцца. Усё гэта таксама інтэгруецца з мабільнымі праграмамі карыстальнікаў.
Чакаем новых густаў.
Прадаем піражкі
Усё хараство MDM/UEM-сістэм у тым, што вы можаце хутка маштабаваць свой бізнэс, падлучаючы новых супрацоўнікаў дыстанцыйна. Вы суцэль можаце арганізаваць продаж умоўных піражкоў у іншым горадзе з паўнавартаснай інтэграцыяй са сваімі сістэмамі ў два кліку. Выглядаць гэта будзе прыкладна так.
Супрацоўніку прывозяць новую прыладу. У скрынцы - паперка з баркодам. Скануем - прылада актывуецца, рэгіструецца ў MDM, бярэ прашыўку, ужывае і перазагружаецца. Карыстальнік уводзіць свае дадзеныя або аднаразовы токен. Усё. Цяпер у вас ёсць новы супрацоўнік, які мае доступ да карпаратыўнай пошце, дадзеным па рэштках на складзе, патрэбныя прыкладанні і інтэграцыю з мабільным плацежным тэрміналам. Чалавек прыязджае на склад, забірае тавар і вязе яго непасрэдным кліентам, прымаючы аплату з дапамогай гэтай жа прылады. Амаль як у стратэгіях наняць пару новых юнітаў.
Як гэта выглядае
Адна з самых функцыянальных сістэм UEM на рынку – VMware Workspace ONE UEM (былы AirWatch). Яна дазваляе інтэгравацца практычна з і з ChromeOS. Нават Symbian быў да нядаўняга часу. А яшчэ Workspace ONE падтрымлівае Apple TV.
Яшчэ адзін важны плюс. Apple дазваляе толькі двум MDM, у тым ліку Workspace ONE, загадзя пакалупацца ў API перад выпускам новай версіі iOS. Усім у лепшым выпадку - за месяц, а ім - за два.
Вы проста задаяце неабходныя сцэнары выкарыстання, падлучаеце девайс, і далей яно працуе, што завецца, automagically. Прылятаюць палітыкі, абмежаванні, прадастаўляюцца патрэбныя доступы да ўнутраных сеткавых рэсурсаў, заліваюцца ключы і ўстанаўліваюцца сертыфікаты. Праз некалькі хвілін у новага супрацоўніка - ужо цалкам гатовае для працы прылада, з якога бесперапынна льецца неабходная тэлеметрыя. Колькасць сцэнарыяў велізарнае пачынаючы ад блакіроўкі камеры тэлефона ў канкрэтнай геолокации і заканчваючы SSO па адбітку пальца або асобе.
Адмін канфігуруе лаўнчар з усімі праграмамі, якія прыляцяць карыстальніку.
Гэтак жа гнутка наладжваюцца ўсе магчымыя і немагчымыя параметры накшталт памеру абразкоў, забароны на іх перасоўванне, забароны на абразок званка і кантактаў. Такі функцыянал карысны пры выкарыстанні Android-платформы ў якасці інтэрактыўнага меню ў рэстаране і да таго падобных задач.
З боку юзэра гэта выглядае прыкладна так.
Цікавыя рашэнні ёсць і ў іншых вендараў. Напрыклад, EMM SafePhone ад НДІ САКБ дае сертыфікаваныя рашэнні для бяспечнай перадачы голасу і паведамленняў з шыфраваннем і магчымасцю запісу.
Рутаваныя тэлефоны
Галаўным болем для ИБ з'яўляюцца рутаваныя тэлефоны, дзе карыстач мае максімальныя правы. Не, чыста суб'ектыўна гэта ідэальны варыянт. Твой дэвайс павінен даваць табе поўныя правы на кіраванне. Нажаль, гэта ідзе ўразрэз з карпаратыўнымі задачамі, якія патрабуюць адсутнасці ў карыстача магчымасці ўплываць на карпаратыўнае ПА. Напрыклад, ён не павінен мець магчымасці залезці ў абароненую частку памяці з файламі або падсунуць фэйкавы GPS.
Таму ўсе вендары так ці інакш імкнуцца выяўляць любыя падазроныя актыўнасці на кіраванай прыладзе і блакаваць доступ пры выяўленні рут-праваў ці нестандартнай прашыўкі.
У Android звычайна належаць на . Часам той жа Magisk дазваляе абыйсці яго праверкі, але, як правіла, Google гэта вельмі хутка фіксуе. Наколькі мне вядома, той жа Google Pay так і не зарабіў зноў на рутаваных дэвайсах пасля вясновага абнаўлення.
замест вываду
Калі вы буйная кампанія, то вам варта задумацца аб укараненні UEM/EMM/MDM. Сучасныя тэндэнцыі кажуць аб тым, што такія сістэмы знаходзяць усё шырэйшае ўжыванне — ад залачаных iPad у якасці тэрміналаў у кандытарскай да буйных інтэграцый са складскімі базамі і кур'ерскімі тэрміналамі. Адзіная кропка кіравання і хуткая інтэграцыя ці змена ролі супрацоўніка даюць вельмі вялікія перавагі.
Мая пошта - [электронная пошта абаронена]
Крыніца: habr.com