Lorsqu'ils parlent de MDM, c'est-à-dire de gestion des appareils mobiles, pour une raison quelconque, tout le monde imagine immédiatement un kill-switch, qui fait exploser à distance un téléphone perdu sur ordre d'un responsable de la sécurité de l'information. Non, en général, c'est aussi là, mais sans les effets pyrotechniques. Mais il existe de nombreuses autres tâches de routine qui peuvent être effectuées beaucoup plus facilement et sans douleur avec MDM.
Les entreprises s’efforcent d’optimiser et d’unifier les processus. Et si auparavant un nouvel employé devait se rendre dans un sous-sol mystérieux avec des fils et des ampoules, où de sages aînés aux yeux rouges aidaient à configurer la messagerie d'entreprise sur son Blackberry, MDM est désormais devenu tout un écosystème qui vous permet d'effectuer ces tâches dans deux clics. Nous parlerons de sécurité, de Coca-Cola concombre-groseille et des différences entre MDM et MAM, EMM et UEM. Et aussi sur la façon de trouver un emploi en vendant des tartes à distance.
Vendredi au bar
Même les personnes les plus responsables font parfois une pause. Et comme cela arrive souvent, ils oublient les sacs à dos, les ordinateurs portables et les téléphones portables dans les cafés et les bars. Le plus gros problème est que la perte de ces appareils peut entraîner un énorme casse-tête pour le service de sécurité de l'information s'ils contiennent des informations sensibles pour l'entreprise. Les employés du même Apple ont réussi à s'enregistrer au moins deux fois, perdant au début , et alors - . Oui, la plupart des téléphones mobiles sont désormais dotés d'un cryptage prêt à l'emploi, mais les ordinateurs portables d'entreprise ne sont pas toujours configurés par défaut avec le cryptage du disque dur.
De plus, des menaces telles que le vol ciblé d'appareils d'entreprise afin d'extraire des données précieuses ont commencé à apparaître. Le téléphone est crypté, tout est aussi sécurisé que possible et tout ça. Mais avez-vous remarqué la caméra de surveillance sous laquelle vous déverrouilliez votre téléphone avant qu'il ne soit volé ? Compte tenu de la valeur potentielle des données sur un appareil d’entreprise, de tels modèles de menace sont devenus bien réels.
En général, les gens sont encore sclérosés. De nombreuses entreprises aux États-Unis ont été contraintes de considérer les ordinateurs portables comme des consommables qui seront inévitablement oubliés dans un bar, un hôtel ou un aéroport. Il existe des preuves que dans les mêmes aéroports américains chaque semaine, dont au moins la moitié contiennent des informations confidentielles sans aucune protection.
Tout cela a ajouté pas mal de cheveux gris aux professionnels de la sécurité et a conduit au développement initial du MDM (Mobile Device Management). Puis le besoin de gestion du cycle de vie des applications mobiles sur les appareils contrôlés s'est fait sentir et des solutions MAM (Mobile Application Management) sont apparues. Il y a plusieurs années, ils ont commencé à s'unir sous le nom commun EMM (Enterprise Mobility Management) - un système unique de gestion des appareils mobiles. L’apogée de toute cette centralisation sont les solutions UEM (Unified Endpoint Management).
Chérie, nous avons acheté un zoo
Les premiers à apparaître étaient des fournisseurs proposant des solutions de gestion centralisée des appareils mobiles. L’une des sociétés les plus connues, Blackberry, est toujours vivante et se porte bien. Même en Russie, elle est présente et vend ses produits, principalement destinés au secteur bancaire. SAP et diverses petites entreprises comme Good Technology, rachetées plus tard par le même Blackberry, sont également entrées sur ce marché. Dans le même temps, le concept BYOD gagnait en popularité, lorsque les entreprises tentaient d'économiser sur le fait que les employés emportaient leurs appareils personnels au travail.
Certes, il est rapidement devenu évident que le support technique et la sécurité des informations grimaçaient déjà face à des demandes telles que « Comment puis-je configurer MS Exchange sur mon Arch Linux » et « J'ai besoin d'un VPN direct vers un référentiel Git privé et une base de données de produits depuis mon MacBook. » Sans solutions centralisées, toutes les économies réalisées grâce au BYOD se sont transformées en un cauchemar en termes de maintenance de l'ensemble du zoo. Les entreprises avaient besoin que toute la gestion soit automatique, flexible et sécurisée.
Dans le commerce de détail, l’histoire s’est déroulée un peu différemment. Il y a environ 10 ans, les entreprises ont soudainement réalisé que les appareils mobiles allaient arriver. Autrefois, les employés étaient assis derrière des écrans à lampe chaude et, quelque part à proximité, le propriétaire barbu du pull était invisiblement présent, ce qui faisait que tout fonctionnait. Avec l'avènement des smartphones à part entière, les fonctions de rares PDA spécialisés peuvent désormais être transférées vers un appareil série classique et peu coûteux. Dans le même temps, on a compris que ce zoo devait être géré d'une manière ou d'une autre, car il existe de nombreuses plateformes, et elles sont toutes différentes : Blackberry, iOS, Android, puis Windows Phone. A l’échelle d’une grande entreprise, tout geste manuel est un coup dans le pied. Ce processus consommera de l'informatique précieuse et prendra en charge des heures de travail.
Au tout début, les fournisseurs proposaient des produits MDM distincts pour chaque plateforme. La situation était assez typique lorsque seuls les smartphones sous iOS ou Android étaient contrôlés. Une fois les smartphones plus ou moins triés, il s'est avéré que les terminaux de collecte de données dans l'entrepôt devaient également être gérés d'une manière ou d'une autre. Dans le même temps, il est vraiment nécessaire d'envoyer un nouvel employé à l'entrepôt afin qu'il puisse simplement scanner les codes-barres sur les cartons requis et saisir ces données dans la base de données. Si vous avez des entrepôts dans tout le pays, le support devient alors très difficile. Vous devez connecter chaque appareil au Wi-Fi, installer l'application et donner accès à la base de données. Avec le MDM moderne, ou plus précisément EMM, vous prenez un administrateur, lui donnez une console de gestion et configurez des milliers d'appareils avec des modèles de scripts à partir d'un seul endroit.
Terminaux chez McDonald's
Il existe une tendance intéressante dans le commerce de détail : l'abandon des caisses enregistreuses et des points de caisse fixes. Si plus tôt dans le même M.Video vous aimiez une bouilloire, vous deviez alors appeler le vendeur et traverser avec lui tout le hall jusqu'au terminal fixe. En chemin, le client a réussi à oublier dix fois pourquoi il partait et à changer d'avis. Le même effet d’un achat impulsif a été perdu. Désormais, les solutions MDM permettent au vendeur de proposer immédiatement un terminal POS et d'effectuer un paiement. Le système intègre et configure les terminaux d'entrepôt et de vendeur à partir d'une seule console de gestion. À une certaine époque, l’une des premières entreprises à avoir commencé à changer le modèle traditionnel des caisses enregistreuses était McDonald’s, avec ses panneaux interactifs en libre-service et ses filles équipées de terminaux mobiles qui prenaient les commandes en plein milieu de la file d’attente.
Burger King a également commencé à développer son écosystème, en y ajoutant une application permettant de commander à distance et de se faire préparer à l'avance. Tout cela a été combiné en un réseau harmonieux avec des stands interactifs contrôlés et des terminaux mobiles pour les collaborateurs.
Votre propre caisse
De nombreux hypermarchés alimentaires réduisent le fardeau des caissiers en installant des caisses libre-service. Globus est allé plus loin. A l'entrée, ils proposent d'emporter un terminal Scan&Go avec un scanner intégré, avec lequel il suffit de scanner toutes les marchandises sur place, de les emballer dans des sacs et de repartir après avoir payé. Il n’est pas nécessaire d’éviscérer les aliments emballés dans des sacs à la caisse. Tous les terminaux sont également gérés de manière centralisée et intégrés aux entrepôts et à d’autres systèmes. Certaines entreprises tentent des solutions similaires intégrées au panier.
Mille goûts
Un autre problème concerne les distributeurs automatiques. De la même manière, vous devez mettre à jour le micrologiciel et surveiller les restes de café et de lait en poudre brûlés. De plus, synchroniser tout cela avec les terminaux du personnel de service. Parmi les grandes entreprises, Coca-Cola s'est distinguée à cet égard en annonçant un prix de 10 000 $ pour la recette de boisson la plus originale. En ce sens, cela permettait aux utilisateurs de mélanger les combinaisons les plus addictives dans des appareils de marque. En conséquence, des versions de cola gingembre-citron sans sucre et de Sprite vanille-pêche sont apparues. Ils ne semblent pas encore avoir atteint le goût du cérumen, comme dans Every Flavour Beans de Bertie Bott, mais ils sont très déterminés. Toute télémétrie et la popularité de chaque combinaison sont soigneusement surveillées. Tout cela s’intègre également aux applications mobiles des utilisateurs.
Nous attendons de nouveaux goûts.
Nous vendons des tartes
La beauté des systèmes MDM/UEM réside dans le fait que vous pouvez rapidement faire évoluer votre entreprise en connectant les nouveaux employés à distance. Vous pouvez facilement organiser la vente de tartes conditionnelles dans une autre ville avec une intégration complète avec vos systèmes en deux clics. Cela ressemblera à ceci.
Un nouvel appareil est livré à un employé. Dans la boîte se trouve un morceau de papier avec un code-barres. Nous analysons - l'appareil est activé, enregistré dans MDM, prend le firmware, l'applique et redémarre. L'utilisateur saisit ses données ou un jeton unique. Tous. Vous avez désormais un nouvel employé qui a accès au courrier de l'entreprise, aux données sur les soldes des entrepôts, aux applications nécessaires et à l'intégration avec un terminal de paiement mobile. Une personne arrive à l'entrepôt, récupère les marchandises et les livre aux clients directs, acceptant le paiement en utilisant le même appareil. Presque comme dans les stratégies visant à embaucher quelques nouvelles unités.
À quoi ça ressemble
L'un des systèmes UEM les plus performants du marché est VMware Workspace ONE UEM (anciennement AirWatch). Il vous permet d'intégrer presque et avec ChromeOS. Même Symbian existait jusqu'à récemment. Workspace ONE prend également en charge Apple TV.
Un autre plus important. Apple autorise uniquement deux MDM, dont Workspace ONE, à bricoler l'API avant de publier une nouvelle version d'iOS. Pour tout le monde, au mieux, dans un mois, et pour eux, dans deux.
Il vous suffit de définir les scénarios d'utilisation nécessaires, de connecter l'appareil, puis il fonctionne, comme on dit, automatiquement. Les politiques et restrictions arrivent, l'accès nécessaire aux ressources du réseau interne est fourni, les clés sont téléchargées et les certificats sont installés. En quelques minutes, le nouvel employé dispose d'un appareil entièrement prêt à travailler, à partir duquel la télémétrie nécessaire circule en continu. Le nombre de scénarios est énorme, du blocage de la caméra d'un téléphone dans une géolocalisation spécifique au SSO à l'aide d'une empreinte digitale ou d'un visage.
L'administrateur configure le lanceur avec toutes les applications qui arriveront à l'utilisateur.
Tous les paramètres possibles et impossibles sont également configurés de manière flexible, comme la taille des icônes, l'interdiction de leur mouvement, l'interdiction des icônes d'appel et de contact. Cette fonctionnalité est utile lors de l'utilisation de la plateforme Android comme menu interactif dans un restaurant et pour des tâches similaires.
Du côté de l'utilisateur, cela ressemble à ceci
D'autres fournisseurs proposent également des solutions intéressantes. Par exemple, EMM SafePhone de l'Institut de recherche scientifique SOKB propose des solutions certifiées pour la transmission sécurisée de la voix et des messages avec des capacités de cryptage et d'enregistrement.
Téléphones rootés
Les téléphones rootés, sur lesquels l'utilisateur dispose d'un maximum de droits, constituent un casse-tête pour la sécurité des informations. Non, d'un point de vue purement subjectif, c'est une option idéale. Votre appareil doit vous donner des droits de contrôle complets. Malheureusement, cela va à l’encontre des objectifs de l’entreprise, qui exigent que l’utilisateur n’ait aucune influence sur les logiciels de l’entreprise. Par exemple, il ne devrait pas pouvoir accéder à une section de mémoire protégée contenant des fichiers ou y glisser un faux GPS.
Par conséquent, tous les fournisseurs, d'une manière ou d'une autre, tentent de détecter toute activité suspecte sur un appareil géré et bloquent l'accès si des droits root ou un micrologiciel non standard sont détectés.
Android s'appuie généralement sur . De temps en temps, Magisk vous permet de contourner ses contrôles, mais, en règle générale, Google corrige ce problème très rapidement. Pour autant que je sache, le même Google Pay n'a jamais recommencé à fonctionner sur les appareils rootés après la mise à jour du printemps.
Au lieu de sortie
Si vous êtes une grande entreprise, vous devriez penser à mettre en œuvre l’UEM/EMM/MDM. Les tendances actuelles indiquent que de tels systèmes sont de plus en plus utilisés - depuis les iPad verrouillés comme terminaux dans une confiserie jusqu'aux intégrations à grande échelle avec les bases d'entrepôts et les terminaux de messagerie. Un point de contrôle unique et une intégration ou un changement rapide des rôles des employés offrent de très grands avantages.
Mon E-mail - [email protected]
Source: habr.com