Když se mluví o MDM, což je správa mobilních zařízení, každý si z nějakého důvodu okamžitě představí kill-switch, který na povel pracovníka informační bezpečnosti na dálku odpálí ztracený telefon. Ne, obecně to tam také je, jen bez pyrotechnických efektů. Existuje ale spousta dalších rutinních úkonů, které lze s MDM provádět mnohem snadněji a bezbolestněji.
Podnik se snaží optimalizovat a sjednotit procesy. A pokud dříve nový zaměstnanec musel jít do tajemného sklepa s dráty a žárovkami, kde moudří červenookí stařešinové pomáhali zakládat firemní poštu na jeho Blackberry, nyní se MDM rozrostlo v celý ekosystém, který vám umožňuje provádět tyto úkoly v dvě kliknutí. Budeme si povídat o bezpečnosti, okurkově-rybízové Coca-Cole a rozdílech mezi MDM a MAM, EMM a UEM. A také o tom, jak získat práci prodávat koláče na dálku.
pátek v baru
I ti nejzodpovědnější lidé si občas odpočinou. A jak se často stává, v kavárnách a barech zapomínají batohy, notebooky a mobilní telefony. Největším problémem je, že ztráta těchto zařízení může mít za následek obrovské bolesti hlavy pro oddělení informační bezpečnosti, pokud obsahují citlivé informace pro společnost. Zaměstnanci stejného Applu se dokázali odbavit minimálně dvakrát, přičemž zpočátku prohrávali , a pak - . Ano, většina mobilních telefonů je nyní dodávána se šifrováním ihned po vybalení, ale firemní notebooky nejsou vždy ve výchozím nastavení nakonfigurovány s šifrováním pevného disku.
Navíc se začaly objevovat hrozby jako cílené krádeže podnikových zařízení za účelem získání cenných dat. Telefon je šifrovaný, vše je maximálně zabezpečené a tak dále. Všimli jste si ale sledovací kamery, pod kterou jste odemykali svůj telefon, než byl odcizen? Vzhledem k potenciální hodnotě dat na podnikovém zařízení se takové modely hrozeb staly velmi reálnými.
Obecně jsou lidé stále sklerotičtí. Mnoho společností v USA bylo nuceno zacházet s notebooky jako se spotřebním materiálem, který bude nevyhnutelně zapomenut v baru, hotelu nebo na letišti. Existují důkazy, že na stejných amerických letištích každý týden, z nichž alespoň polovina obsahuje důvěrné informace bez jakékoli ochrany.
To vše přidalo profesionálům v oblasti bezpečnosti pořádnou dávku šedivých vlasů a vedlo k počátečnímu vývoji MDM (Mobile Device Management). Poté vyvstala potřeba správy životního cyklu mobilních aplikací na ovládaných zařízeních a objevila se řešení MAM (Mobile Application Management). Před několika lety se začali sjednocovat pod společným názvem EMM (Enterprise Mobility Management) - jednotný systém pro správu mobilních zařízení. Vrcholem celé této centralizace jsou řešení UEM (Unified Endpoint Management).
Zlato, koupili jsme zoo
Jako první se objevili prodejci, kteří nabízeli řešení pro centralizovanou správu mobilních zařízení. Jedna z nejznámějších společností, Blackberry, stále žije a daří se jí dobře. I v Rusku působí a prodává své produkty především pro bankovní sektor. SAP a různé menší společnosti jako Good Technology, později získané stejným Blackberry, také vstoupily na tento trh. Zároveň si získával na oblibě koncept BYOD, kdy se firmy snažily ušetřit na tom, že si zaměstnanci nosí do práce svá osobní zařízení.
Pravda, rychle se ukázalo, že technická podpora a zabezpečení informací již vítězí nad požadavky jako „Jak mohu nastavit MS Exchange na mém Arch Linuxu“ a „Potřebuji přímou VPN do soukromého úložiště Git a produktové databáze z mého MacBooku. “ Bez centralizovaných řešení se veškeré úspory na BYOD proměnily v noční můru z hlediska údržby celé zoo. Společnosti potřebovaly, aby veškeré řízení bylo automatické, flexibilní a bezpečné.
V retailu se příběh odvíjel trochu jinak. Asi před 10 lety si společnosti najednou uvědomily, že přicházejí mobilní zařízení. Bývalo to tak, že zaměstnanci seděli za teplými lampovými monitory a někde poblíž byl neviditelně přítomen vousatý majitel svetru, díky kterému to všechno fungovalo. S příchodem plnohodnotných smartphonů lze nyní funkce vzácných specializovaných PDA přenést na běžné levné sériové zařízení. Zároveň došlo k pochopení, že tuto zoo je třeba nějak spravovat, protože platforem je mnoho a všechny jsou jiné: Blackberry, iOS, Android, pak Windows Phone. V měřítku velké společnosti jsou jakékoli ruční pohyby střelou do nohy. Tento proces pohltí cenné IT a podpoří pracovní hodiny.
Prodejci na samém začátku nabízeli samostatné produkty MDM pro každou platformu. Situace byla zcela typická, kdy se ovládaly pouze smartphony na iOS nebo Androidu. Když se smartphony víceméně roztřídily, ukázalo se, že je potřeba nějak spravovat i terminály pro sběr dat ve skladu. Zároveň opravdu potřebujete vyslat do skladu nového zaměstnance, aby mohl jednoduše naskenovat čárové kódy na požadovaných krabicích a zadat tyto údaje do databáze. Pokud máte sklady po celé zemi, pak je podpora velmi obtížná. Každé zařízení je potřeba připojit k Wi-Fi, nainstalovat aplikaci a poskytnout přístup k databázi. S moderním MDM, nebo přesněji EMM, vezmete admina, dáte mu konzoli pro správu a nakonfigurujete tisíce zařízení pomocí skriptů šablon z jednoho místa.
Terminály v McDonald's
V maloobchodě je zajímavý trend – odklon od stacionárních pokladen a pokladen. Pokud se vám dříve ve stejném M.Video líbila varná konvice, museli jste zavolat prodejci a šlapat s ním přes celou halu ke stacionárnímu terminálu. Po cestě se klientovi podařilo desetkrát zapomenout, proč jede, a rozmyslet si to. Stejný efekt impulzivního nákupu byl ztracen. Nyní řešení MDM umožňují prodejci okamžitě přijít s POS terminálem a provést platbu. Systém integruje a konfiguruje skladové a prodejní terminály z jedné řídící konzoly. Svého času jednou z prvních společností, která začala měnit tradiční model pokladen, byl McDonald's se svými interaktivními samoobslužnými panely a dívkami s mobilními terminály, které přijímaly objednávky přímo uprostřed fronty.
Svůj ekosystém začal rozvíjet i Burger King, přidal aplikaci, která umožňovala objednávat na dálku a mít ji předem připravenou. To vše se spojilo do harmonické sítě s řízenými interaktivními stojany a mobilními terminály pro zaměstnance.
Vaše vlastní pokladna
Mnoho hypermarketů s potravinami snižuje zátěž pokladních instalací samoobslužných pokladen. Globus šel dále. U vchodu nabízejí k odběru Scan&Go terminál s integrovaným skenerem, kterým jednoduše na místě naskenujete veškeré zboží, zabalíte do tašek a po zaplacení odejdete. Potraviny zabalené v sáčcích není potřeba u pokladny vykuchat. Všechny terminály jsou také centrálně řízeny a integrovány jak se sklady, tak s dalšími systémy. Některé firmy zkouší podobná řešení integrovaná do košíku.
Tisíc chutí
Samostatná otázka se týká prodejních automatů. Stejně tak je na nich potřeba aktualizovat firmware, sledovat zbytky připálené kávy a sušeného mléka. Navíc toto vše synchronizovat s terminály servisního personálu. Z velkých společností se v tomto ohledu vyznamenala Coca-Cola, která vyhlásila cenu 10 000 dolarů za nejoriginálnější recepturu nápoje. V tomto smyslu umožnil uživatelům míchat ty nejnávykovější kombinace ve značkových zařízeních. Ve výsledku se objevily verze zázvorovo-citrónové coly bez cukru a vanilkovo-broskvový Sprite. Ještě nedosáhly chuti ušního mazu, jako v Bertie Bott’s Every Flavour Beans, ale jsou velmi odhodlané. Veškerá telemetrie a popularita každé kombinace jsou pečlivě sledovány. To vše se také integruje s mobilními aplikacemi uživatelů.
Čekáme na nové chutě.
Prodáváme koláče
Krása systémů MDM/UEM spočívá v tom, že můžete rychle škálovat své podnikání vzdáleným připojením nových zaměstnanců. Můžete snadno zorganizovat prodej podmíněných koláčů v jiném městě s plnou integrací s vašimi systémy dvěma kliknutími. Bude to vypadat nějak takto.
Nové zařízení je doručeno zaměstnanci. V krabici je papír s čárovým kódem. Skenujeme - zařízení se aktivuje, zaregistruje se v MDM, vezme firmware, aplikuje ho a restartuje. Uživatel zadá svá data nebo jednorázový token. Všechno. Nyní máte nového zaměstnance, který má přístup k firemní poště, údajům o zůstatcích skladu, potřebným aplikacím a integraci s mobilním platebním terminálem. Osoba přijede do skladu, vyzvedne zboží a doručí je přímým zákazníkům, přičemž přijme platbu pomocí stejného zařízení. Skoro jako ve strategiích najmout pár nových jednotek.
Jak to vypadá
Jedním z nejschopnějších UEM systémů na trhu je VMware Workspace ONE UEM (dříve AirWatch). Umožňuje vám integrovat se s téměř a se systémem ChromeOS. Dokonce i Symbian donedávna existoval. Workspace ONE také podporuje Apple TV.
Další důležité plus. Apple umožňuje pouze dvěma MDM, včetně Workspace ONE, aby si pohrály s API před vydáním nové verze iOS. Pro všechny v lepším případě za měsíc a pro ně za dva.
Jednoduše nastavíte potřebné scénáře použití, připojíte zařízení a pak už to funguje, jak se říká, automaticky. Přicházejí zásady a omezení, je zajištěn nezbytný přístup k interním síťovým zdrojům, jsou nahrány klíče a instalovány certifikáty. Za pár minut má nový zaměstnanec zařízení kompletně připravené k práci, ze kterého nepřetržitě proudí potřebná telemetrie. Počet scénářů je obrovský, od zablokování fotoaparátu telefonu v konkrétní geolokaci až po jednotné přihlášení pomocí otisku prstu nebo obličeje.
Správce nakonfiguruje spouštěč se všemi aplikacemi, které se dostanou k uživateli.
Flexibilně se konfigurují i všechny možné i nemožné parametry, jako je velikost ikon, zákaz jejich pohybu, zákaz hovoru a ikony kontaktu. Tato funkce je užitečná při používání platformy Android jako interaktivního menu v restauraci a podobných úkolů.
Ze strany uživatele to vypadá asi takto
Zajímavá řešení mají i další prodejci. Například EMM SafePhone z Vědeckého výzkumného ústavu SOKB poskytuje certifikovaná řešení pro bezpečný přenos hlasu a zpráv s možností šifrování a nahrávání.
Rootované telefony
Bolesti hlavy pro bezpečnost informací jsou rootované telefony, kde má uživatel maximální práva. Ne, čistě subjektivně je to ideální varianta. Vaše zařízení vám musí udělit plná práva ovládání. Bohužel to jde proti firemním cílům, které vyžadují, aby uživatel neměl žádný vliv na firemní software. Například by neměl mít možnost dostat se do chráněné paměťové sekce se soubory nebo vložit falešnou GPS.
Všichni prodejci se proto tak či onak snaží detekovat jakoukoli podezřelou aktivitu na spravovaném zařízení a zablokují přístup, pokud jsou detekována práva root nebo nestandardní firmware.
Android obvykle spoléhá na . Čas od času vám Magisk umožňuje obejít jeho kontroly, ale Google to zpravidla velmi rychle opravuje. Pokud vím, tak stejný Google Pay po jarní aktualizaci už nikdy nezačal fungovat na rootovaných zařízeních.
Místo výstupu
Pokud jste velká společnost, měli byste přemýšlet o implementaci UEM/EMM/MDM. Současné trendy naznačují, že takové systémy nacházejí stále širší využití – od uzamčených iPadů jako terminálů v cukrárně až po rozsáhlé integrace se skladovými základnami a kurýrními terminály. Jediný kontrolní bod a rychlá integrace nebo změna zaměstnaneckých rolí poskytují velmi velké výhody.
Můj mail - [chráněno e-mailem]
Zdroj: www.habr.com