はい、すべて削除できます。いいえ、SMS は読みません。

MDM (モバイル デバイス管理) について話すとき、何らかの理由で誰もがすぐにキル スイッチを想像します。キル スイッチは、情報セキュリティ担当者の命令で紛失した携帯電話を遠隔から爆発させます。 いいえ、一般にこれも存在しますが、発火効果がない場合に限ります。 しかし、MDM を使用すると、はるかに簡単かつ苦痛なく実行できる日常的なタスクが他にもたくさんあります。

ビジネスはプロセスの最適化と統合に努めています。 そして、以前は新入社員が電線と電球のある謎の地下室に行かなければならず、そこで賢明な赤い目の長老たちが Blackberry で社内メールのセットアップを手伝ってくれたとしたら、今では MDM がエコシステム全体に成長し、これらのタスクを実行できるようになりました。 XNUMX回クリックします。 安全性、キュウリとカシスのコカ・コーラ、そして MDM と MAM、EMM と UEM の違いについてお話します。 リモートでパイを販売する仕事を得る方法についても。

金曜日はバーで

最も責任感のある人でも、時には休憩を取ることがあります。 そして、よくあることですが、カフェやバーにバックパック、ラップトップ、携帯電話を忘れてしまいます。 最大の問題は、これらのデバイスに企業の機密情報が含まれている場合、その紛失により情報セキュリティ部門にとって大きな頭痛の種となる可能性があることです。 同じ Apple の従業員は少な​​くとも XNUMX 回はチェックインできましたが、最初は失敗しました。 iPhone 4のプロトタイプ、 その後 - iPhone 5。 はい、現在、ほとんどの携帯電話にはすぐに暗号化機能が搭載されていますが、企業のラップトップにはデフォルトでハードドライブ暗号化が常に構成されているわけではありません。

さらに、貴重なデータを抽出するために企業のデバイスを標的に盗むなどの脅威も発生し始めました。 電話は暗号化されており、すべてが可能な限り安全です。 しかし、盗まれる前に携帯電話のロックを解除した監視カメラに気づきましたか? 企業デバイス上のデータの潜在的価値を考慮すると、このような脅威モデルは非常に現実的になってきています。

一般に、人々は依然として硬化症を患っています。 米国の多くの企業は、ラップトップを消耗品として扱うことを余儀なくされており、バー、ホテル、空港に忘れ去られることは避けられません。 同じ米国の空港で 約12台のラップトップが忘れ去られている 毎週、その少なくとも半分には何の保護もされていない機密情報が含まれています。

これらすべてにより、セキュリティ専門家にかなりの白髪が増え、MDM (モバイル デバイス管理) の初期開発につながりました。 その後、管理対象デバイス上のモバイル アプリケーションのライフサイクル管理の必要性が生じ、MAM (モバイル アプリケーション管理) ソリューションが登場しました。 数年前、これらはモバイル デバイスを管理するための単一システムである EMM (Enterprise Mobility Management) という共通名の下で統合され始めました。 このすべての一元化の頂点は、UEM (統合エンドポイント管理) ソリューションです。

ハニー、私たちは動物園を買いました

最初に登場したのは、モバイルデバイスを一元管理するソリューションを提供するベンダーでした。 最も有名な企業の XNUMX つである Blackberry はまだ存続しており、順調に業績を上げています。 ロシアにも存在し、主に銀行部門向けに製品を販売しています。 SAP や、後に同じ Blackberry に買収された Good Technology などのさまざまな中小企業もこの市場に参入しました。 同時に、企業が従業員が個人のデバイスを職場に持ち運ぶことを避けようとしていたため、BYOD の概念が人気を集めていました。

確かに、テクニカル サポートと情報セキュリティは、「Arch Linux に MS Exchange をセットアップするにはどうすればよいですか」や「MacBook からプライベート Git リポジトリと製品データベースへの直接 VPN が必要です」といった要求にすでに怯えていることがすぐに明らかになりました。 」 一元化されたソリューションがなければ、BYOD によるすべての節約は動物園全体の維持という点で悪夢に変わりました。 企業は、すべての管理を自動、柔軟、かつ安全に行う必要がありました。

小売業では、話は少し異なります。 約 10 年前、企業はモバイル デバイスの登場に突然気づきました。 以前は、従業員が暖かいランプのモニターの後ろに座っていて、セーターのひげを生やした所有者が近くのどこかに見えないように存在していて、すべてが機能していました。 本格的なスマートフォンの出現により、希少な専用 PDA の機能を通常の安価なシリアル デバイスに移すことができるようになりました。 同時に、Blackberry、iOS、Android、そして Windows Phone など、多くのプラットフォームがあり、それらはすべて異なるため、この動物園を何とか管理する必要があるという理解も得られました。 大企業の規模では、手動による動きは非常に危険です。 このプロセスにより、貴重な IT とサポートの工数が消費されます。

ベンダーは当初、プラットフォームごとに個別の MDM 製品を提供していました。 この状況は、iOS または Android 上のスマートフォンのみが制御されている場合に非常に典型的でした。 スマートフォンの整理がある程度完了すると、倉庫内のデータ収集端末も何とか管理する必要があることが判明しました。 同時に、新しい従業員を倉庫に派遣して、必要な箱のバーコードをスキャンしてそのデータをデータベースに入力できるようにする必要があります。 全国に倉庫がある場合、サポートは非​​常に困難になります。 各デバイスを Wi-Fi に接続し、アプリケーションをインストールして、データベースへのアクセスを提供する必要があります。 最新の MDM (より正確には EMM) では、管理者に管理コンソールを与え、XNUMX か所からテンプレート スクリプトを使用して数千台のデバイスを構成します。

マクドナルドのターミナル

小売業には興味深い傾向があり、固定式のレジやチェックアウトポイントからの移行が進んでいます。 同じ M.Video の前半でやかんが気に入った場合は、販売者に電話して、ホール全体を固定端末まで一緒に踏みしめなければなりませんでした。 途中で、クライアントは自分が行く理由をXNUMX回も忘れ、考えを変えることができました。 衝動買いと同じ効果は失われます。 現在、MDM ソリューションにより、販売者はすぐに POS 端末を用意して支払いを行うことができます。 このシステムは、倉庫端末と販売端末を XNUMX つの管理コンソールから統合して設定します。 かつて、従来のレジ モデルを最初に変更し始めた企業の XNUMX つが、インタラクティブなセルフサービス パネルとモバイル端末を持った女性が列の真ん中で注文を取るマクドナルドでした。

バーガーキングはエコシステムの開発にも着手し、リモートで注文して事前に準備できるアプリケーションを追加した。 これらすべてが、制御されたインタラクティブ スタンドと従業員用のモバイル端末を備えた調和のとれたネットワークに統合されました。

あなた専用のレジ担当者

多くの食料品スーパーマーケットでは、セルフサービス チェックアウトを導入することでレジ係の負担を軽減しています。 グローバスはさらに前進した。 入り口では、統合型スキャナーを備えたScan&Go端末の利用を勧められます。これを使用すると、すべての商品をその場でスキャンし、袋に詰めて支払いを済ませて帰るだけです。 袋詰めされた食品をレジで腸から出す必要はありません。 すべてのターミナルも集中管理され、倉庫や他のシステムの両方と統合されています。 一部の企業は、カートに統合された同様のソリューションを試みています。

千の味

自動販売機については別の問題があります。 同様に、ファームウェアを更新し、焦げたコーヒーと粉ミルクの残りを監視する必要があります。 さらに、これらすべてをサービス担当者の端末と同期します。 大企業の中でも、コカ・コーラはこの点で頭角を現し、最も独創的な飲み物のレシピに 10 ドルの賞金を与えると発表しました。 ある意味、ユーザーはブランドのデバイスで最も中毒性の高い組み合わせを組み合わせることができました。 その結果、砂糖なしのジンジャーレモンコーラとバニラピーチスプライトのバージョンが登場しました。 バーティ・ボットの『エブリ・フレーバー・ビーンズ』のような耳垢の味にはまだ達していませんが、彼らは非常に強い意志を持っています。 すべてのテレメトリと各組み合わせの人気は注意深く監視されます。 これらすべてはユーザーのモバイル アプリケーションとも統合されます。

新しい味をお待ちしております。

パイを販売しています

MDM/UEM システムの利点は、新しい従業員をリモートで接続することでビジネスを迅速に拡大できることです。 XNUMX 回のクリックでシステムと完全に統合され、別の都市での条件付きパイの販売を簡単に整理できます。 このような感じになります。

新しいデバイスが従業員に届けられます。 箱の中にはバーコードが記載された紙が入っています。 スキャンします - デバイスがアクティブ化され、MDM に登録され、ファームウェアが取得されて適用され、再起動されます。 ユーザーは自分のデータまたはワンタイム トークンを入力します。 全て。 これで、社内メール、倉庫残高に関するデータ、必要なアプリケーション、およびモバイル決済端末との統合にアクセスできる新しい従業員が誕生しました。 担当者が倉庫に到着し、商品を受け取り、直接顧客に配送し、同じデバイスを使用して支払いを受け取ります。 新しいユニットをいくつか雇用する戦略とほぼ同じです。

それがどのようなものか

市場で最も高性能な UEM システムの XNUMX つは、VMware Workspace ONE UEM (旧称 AirWatch) です。 ほぼすべてのものと統合できます あらゆるモバイルおよびデスクトップ OS しかもChromeOS搭載。 Symbian もつい最近まで存在していました。 Workspace ONE は Apple TV もサポートしています。

もう一つの重要なプラス。 Apple は、iOS の新しいバージョンをリリースする前に API をいじることを Workspace ONE を含む XNUMX つの MDM にのみ許可しています。 誰にとってもせいぜい XNUMX か月、彼らにとっては XNUMX か月です。

必要な使用シナリオを設定し、デバイスを接続するだけで、文字通り自動的に機能します。 ポリシーと制限が到着し、内部ネットワーク リソースへの必要なアクセスが提供され、キーがアップロードされ、証明書がインストールされます。 数分以内に、新入社員は完全に仕事の準備が整ったデバイスを手に入れ、そこから必要なテレメトリが継続的に流れてきます。 特定の地理位置情報での電話カメラのブロックから、指紋や顔を使用した SSO まで、シナリオの数は膨大です。

管理者は、ユーザーに提供されるすべてのアプリケーションを含むランチャーを構成します。

アイコンのサイズ、移動の禁止、通話や連絡先アイコンの禁止など、可能なパラメータも不可能なパラメータもすべて柔軟に設定できます。 この機能は、レストランや同様のタスクで Android プラットフォームをインタラクティブ メニューとして使用する場合に便利です。
ユーザー側から見るとこんな感じ

他のベンダーも興味深いソリューションを提供しています。 たとえば、Scientific Research Institute SOKB の EMM SafePhone は、暗号化機能と録音機能を備えた音声とメッセージを安全に送信するための認定ソリューションを提供します。

ルート化された電話

情報セキュリティにとって頭の痛い問題は、ユーザーが最大限の権限を持っているルート化された携帯電話です。 いいえ、純粋に主観的に言えば、これは理想的な選択肢です。 デバイスから完全なコントロール権限が与えられる必要があります。 残念ながら、これは、ユーザーが企業ソフトウェアに影響を与えないようにするという企業目標に反します。 たとえば、ファイルのある保護されたメモリセクションに侵入したり、偽の GPS を滑り込ませたりすることができてはなりません。

したがって、すべてのベンダーは何らかの方法で、管理対象デバイス上で不審なアクティビティを検出し、ルート権限または非標準ファームウェアが検出された場合はアクセスをブロックしようとします。

Android は通常、次のものに依存します セーフティネット API。 Magisk では、チェックを回避できる場合もありますが、通常、Google はこれを迅速に修正します。 私の知る限り、春のアップデート後、同じ Google Pay が root 化されたデバイスで再び動作し始めることはありませんでした。

出力の代わりに

大企業の場合は、UEM/EMM/MDM の導入を検討する必要があります。 現在の傾向は、菓子店の端末としてのロックされた iPad から、倉庫基地や宅配ターミナルとの大規模な統合に至るまで、このようなシステムがますます広範囲に使用されていることを示しています。 単一の制御ポイントと従業員の役割の迅速な統合または変更により、非常に大きなメリットが得られます。

私のメール - [メール保護]

出所： habr.com