Kiedy mowa o MDM, czyli zarządzaniu urządzeniami mobilnymi, z jakiegoś powodu wszyscy od razu wyobrażają sobie wyłącznik awaryjny, który zdalnie detonuje zgubiony telefon na polecenie specjalisty ds. bezpieczeństwa informacji. Nie, w sumie to też tam jest, tylko bez efektów pirotechnicznych. Istnieje jednak wiele innych rutynowych zadań, które można wykonać znacznie łatwiej i bezboleśnie za pomocą MDM.
Biznes dąży do optymalizacji i ujednolicenia procesów. I jeśli wcześniej nowy pracownik musiał zejść do tajemniczej piwnicy z przewodami i żarówkami, gdzie mądrzy czerwonoocy starsi pomogli założyć firmową pocztę na jego BlackBerry, teraz MDM rozrósł się do całego ekosystemu, który pozwala wykonywać te zadania w dwa kliknięcia. Porozmawiamy o bezpieczeństwie, ogórkowo-porzeczkowej Coca-Coli i różnicach pomiędzy MDM a MAM, EMM i UEM. A także o tym jak zdobyć pracę na odległość sprzedając ciasta.
Piątek w barze
Nawet najbardziej odpowiedzialni ludzie czasami robią sobie przerwę. I jak to często bywa, w kawiarniach i barach zapominają o plecakach, laptopach i telefonach komórkowych. Największym problemem jest to, że utrata tych urządzeń może spowodować ogromny ból głowy dla działu bezpieczeństwa informacji, jeśli zawierają one wrażliwe dla firmy informacje. Pracownikom tego samego Apple'a udało się zameldować co najmniej dwukrotnie, początkowo przegrywając , i wtedy - . Tak, obecnie większość telefonów komórkowych jest fabrycznie wyposażona w szyfrowanie, ale laptopy firmowe nie zawsze są domyślnie skonfigurowane z szyfrowaniem dysku twardego.
Ponadto zaczęły pojawiać się zagrożenia, takie jak ukierunkowana kradzież urządzeń firmowych w celu wydobycia cennych danych. Telefon jest szyfrowany, wszystko jest tak bezpieczne, jak to możliwe i tak dalej. Ale czy zauważyłeś kamerę monitorującą, pod którą odblokowałeś telefon, zanim został skradziony? Biorąc pod uwagę potencjalną wartość danych na urządzeniu firmowym, takie modele zagrożeń stały się bardzo realne.
Ogólnie rzecz biorąc, ludzie są nadal sklerotyczni. Wiele firm w USA zostało zmuszonych do traktowania laptopów jako materiału eksploatacyjnego, o którym nieuchronnie zostanie zapomniany w barze, hotelu czy na lotnisku. Istnieją dowody na to, że na tych samych amerykańskich lotniskach co tydzień, z czego co najmniej połowa zawiera informacje poufne bez żadnej ochrony.
Wszystko to dodało sporo siwych włosów profesjonalistom zajmującym się bezpieczeństwem i doprowadziło do początkowego rozwoju MDM (zarządzania urządzeniami mobilnymi). Następnie pojawiła się potrzeba zarządzania cyklem życia aplikacji mobilnych na kontrolowanych urządzeniach i pojawiły się rozwiązania MAM (Mobile Application Management). Kilka lat temu zaczęły się one łączyć pod wspólną nazwą EMM (Enterprise Mobility Management) – jednolity system do zarządzania urządzeniami mobilnymi. Apogeum całej tej centralizacji są rozwiązania UEM (Unified Endpoint Management).
Kochanie, kupiliśmy zoo
Jako pierwsi pojawili się dostawcy oferujący rozwiązania do scentralizowanego zarządzania urządzeniami mobilnymi. Jedna z najbardziej znanych firm, Blackberry, wciąż żyje i ma się dobrze. Nawet w Rosji jest obecny i sprzedaje swoje produkty, głównie dla sektora bankowego. Na ten rynek weszły także SAP i różne mniejsze firmy, takie jak Good Technology, przejęte później przez tego samego Blackberry. Jednocześnie na popularności zyskiwała koncepcja BYOD, gdy firmy próbowały oszczędzać na tym, że pracownicy zabierali do pracy swoje osobiste urządzenia.
To prawda, szybko stało się jasne, że wsparcie techniczne i bezpieczeństwo informacji już krzywiły się na zapytania typu „Jak skonfigurować MS Exchange na moim Arch Linux” i „Potrzebuję bezpośredniego VPN do prywatnego repozytorium Git i bazy danych produktów z mojego MacBooka. ” Bez scentralizowanych rozwiązań wszelkie oszczędności na BYOD zamieniły się w koszmar w utrzymaniu całego zoo. Firmy potrzebowały, aby całe zarządzanie było automatyczne, elastyczne i bezpieczne.
W handlu detalicznym historia potoczyła się nieco inaczej. Około 10 lat temu firmy nagle zdały sobie sprawę, że nadchodzą urządzenia mobilne. Kiedyś pracownicy siedzieli za ciepłymi lampowymi monitorami, a gdzieś w pobliżu brodaty właściciel swetra był niewidoczny i wszystko działało. Wraz z pojawieniem się pełnoprawnych smartfonów funkcje rzadkich wyspecjalizowanych urządzeń PDA można teraz przenieść na zwykłe, niedrogie urządzenie szeregowe. Jednocześnie doszło do zrozumienia, że trzeba jakoś zarządzać tym zoo, ponieważ platform jest wiele i każda jest inna: Blackberry, iOS, Android, a potem Windows Phone. W skali dużej firmy jakiekolwiek ręczne ruchy to strzał w stopę. Proces ten pochłonie cenne godziny pracy działu IT i jego personelu.
Dostawcy na samym początku oferowali osobne produkty MDM dla każdej platformy. Sytuacja była dość typowa, gdy kontrolowane były wyłącznie smartfony z systemem iOS lub Android. Kiedy smartfony zostały już mniej więcej uporządkowane, okazało się, że terminale do gromadzenia danych w magazynie też trzeba jakoś zagospodarować. Jednocześnie naprawdę trzeba wysłać nowego pracownika na magazyn, aby mógł po prostu zeskanować kody kreskowe na wymaganych skrzynkach i wprowadzić te dane do bazy danych. Jeśli masz magazyny na terenie całego kraju, wówczas obsługa staje się bardzo trudna. Każde urządzenie należy podłączyć do Wi-Fi, zainstalować aplikację i zapewnić dostęp do bazy danych. Dzięki nowoczesnemu MDM, a dokładniej EMM, bierzesz administratora, oddajesz mu konsolę zarządzającą i konfigurujesz tysiące urządzeń za pomocą skryptów szablonowych z jednego miejsca.
Terminale w McDonaldzie
W handlu detalicznym można zaobserwować ciekawy trend – odchodzenie od stacjonarnych kas fiskalnych i punktów kasowych. Jeśli wcześniej w tym samym M.Video spodobał Ci się czajnik, to musiałeś zadzwonić do sprzedawcy i tupać z nim przez całą salę do terminala stacjonarnego. Po drodze klientowi dziesięciokrotnie udało się zapomnieć po co jedzie i zmienić zdanie. Utracono ten sam efekt zakupu impulsywnego. Teraz rozwiązania MDM umożliwiają sprzedającemu natychmiastowe uruchomienie terminala POS i dokonanie płatności. System integruje i konfiguruje terminale magazynowe i sprzedażowe z poziomu jednej konsoli zarządzającej. Swego czasu jedną z pierwszych firm, która zaczęła zmieniać tradycyjny model kasy, był McDonald's ze swoimi interaktywnymi panelami samoobsługowymi i dziewczynami z mobilnymi terminalami, które przyjmowały zamówienia na samym środku kolejki.
Burger King również zaczął rozwijać swój ekosystem, dodając aplikację umożliwiającą złożenie zamówienia na odległość i jego przygotowanie z wyprzedzeniem. Wszystko to zostało połączone w harmonijną sieć ze sterowanymi stanowiskami interaktywnymi i terminalami mobilnymi dla pracowników.
Twój własny kasjer
Wiele hipermarketów spożywczych odciąża kasjerów instalując kasy samoobsługowe. Globus poszedł dalej. Przy wejściu oferują terminal Scan&Go ze zintegrowanym skanerem, za pomocą którego po prostu zeskanujesz cały towar na miejscu, zapakujesz do worków i wyjedziesz po zapłaceniu. Nie ma konieczności patroszenia żywności zapakowanej w worki przy kasie. Wszystkie terminale są również centralnie zarządzane i zintegrowane zarówno z magazynami, jak i innymi systemami. Niektóre firmy próbują podobnych rozwiązań zintegrowanych z wózkiem.
Tysiąc smaków
Osobną kwestią są automaty vendingowe. W ten sam sposób musisz zaktualizować na nich oprogramowanie, monitorować pozostałości spalonej kawy i mleka w proszku. Co więcej, synchronizacja tego wszystkiego z terminalami personelu serwisowego. Spośród dużych firm wyróżniła się pod tym względem Coca-Cola, ogłaszając nagrodę w wysokości 10 000 dolarów za najbardziej oryginalny przepis na napój. W pewnym sensie pozwoliło użytkownikom mieszać najbardziej uzależniające kombinacje w markowych urządzeniach. W rezultacie pojawiły się wersje coli imbirowo-cytrynowej bez cukru i Sprite'a waniliowo-brzoskwiniowego. Nie osiągnęły jeszcze smaku woskowiny, jak w Fasolkach wszystkich smaków Bertiego Botta, ale są bardzo zdeterminowane. Cała telemetria i popularność każdej kombinacji są dokładnie monitorowane. Wszystko to integruje się także z aplikacjami mobilnymi użytkowników.
Czekamy na nowe smaki.
Zajmujemy się sprzedażą pasztetów
Piękno systemów MDM/UEM polega na tym, że możesz szybko skalować swój biznes, łącząc zdalnie nowych pracowników. Z łatwością zorganizujesz sprzedaż ciast warunkowych w innym mieście z pełną integracją z Twoimi systemami za pomocą dwóch kliknięć. Będzie to wyglądać mniej więcej tak.
Nowe urządzenie zostaje dostarczone pracownikowi. W pudełku znajduje się kartka papieru z kodem kreskowym. Skanujemy - urządzenie jest aktywowane, rejestrowane w MDM, pobiera oprogramowanie, instaluje je i uruchamia się ponownie. Użytkownik wprowadza swoje dane lub jednorazowy token. Wszystko. Teraz masz nowego pracownika, który ma dostęp do poczty firmowej, danych o stanach magazynowych, niezbędnych aplikacji i integracji z terminalem płatności mobilnych. Osoba przyjeżdża na magazyn, odbiera towar i dostarcza go do bezpośrednich klientów, przyjmując płatność za pomocą tego samego urządzenia. Prawie jak w strategiach zatrudnienia kilku nowych jednostek.
Jak to wygląda
Jednym z najwydajniejszych systemów UEM na rynku jest VMware Workspace ONE UEM (dawniej AirWatch). Pozwala na integrację z niemal oraz z ChromeOS. Nawet Symbian istniał do niedawna. Workspace ONE obsługuje także Apple TV.
Kolejny ważny plus. Apple pozwala tylko dwóm MDM, w tym Workspace ONE, na majstrowanie przy API przed wydaniem nowej wersji iOS. Dla każdego najwyżej za miesiąc, a dla nich za dwa.
Wystarczy ustawić niezbędne scenariusze użytkowania, podłączyć urządzenie, a następnie działa, jak to się mówi, automatycznie. Pojawiają się zasady i ograniczenia, zapewniany jest niezbędny dostęp do wewnętrznych zasobów sieciowych, przesyłane są klucze i instalowane są certyfikaty. Nowy pracownik w ciągu kilku minut ma urządzenie całkowicie gotowe do pracy, z którego na bieżąco płynie niezbędna telemetria. Liczba scenariuszy jest ogromna, od zablokowania kamery telefonu w konkretnej geolokalizacji po SSO przy użyciu odcisku palca lub twarzy.
Administrator konfiguruje program uruchamiający ze wszystkimi aplikacjami, które dotrą do użytkownika.
Elastycznie konfigurowane są również wszystkie możliwe i niemożliwe parametry, takie jak rozmiar ikon, zakaz ich przemieszczania, zakaz połączeń i ikon kontaktów. Funkcjonalność przydatna przy wykorzystywaniu platformy Android jako interaktywnego menu w restauracji i podobnych zadaniach.
Od strony użytkownika wygląda to mniej więcej tak
Inni dostawcy również mają ciekawe rozwiązania. Przykładowo EMM SafePhone z Instytutu Badań Naukowych SOKB dostarcza certyfikowane rozwiązania do bezpiecznej transmisji głosu i wiadomości z możliwością szyfrowania i nagrywania.
Zrootowane telefony
Bólem głowy dla bezpieczeństwa informacji są telefony zrootowane, w których użytkownik ma maksymalne uprawnienia. Nie, czysto subiektywnie jest to idealna opcja. Twoje urządzenie musi dawać Ci pełne uprawnienia kontrolne. Niestety, jest to sprzeczne z celami korporacyjnymi, które wymagają od użytkownika braku wpływu na oprogramowanie korporacyjne. Na przykład nie powinien mieć możliwości przedostania się do chronionej sekcji pamięci zawierającej pliki lub włożenia fałszywego GPS.
Dlatego wszyscy dostawcy w taki czy inny sposób starają się wykryć wszelkie podejrzane działania na zarządzanym urządzeniu i zablokować dostęp w przypadku wykrycia praw roota lub niestandardowego oprogramowania sprzętowego.
Android zwykle polega . Od czasu do czasu Magisk pozwala ominąć kontrole, ale z reguły Google naprawia to bardzo szybko. O ile wiem, po wiosennej aktualizacji ten sam Google Pay już nigdy nie zaczął działać na zrootowanych urządzeniach.
Zamiast wyjścia
Jeżeli jesteś dużą firmą to warto pomyśleć o wdrożeniu UEM/EMM/MDM. Obecne trendy wskazują, że tego typu systemy znajdują coraz szersze zastosowanie – od zamykanych iPadów jako terminali w cukierni po duże integracje z bazami magazynowymi i terminalami kurierskimi. Jeden punkt kontroli oraz szybka integracja lub zmiana ról pracowników dają bardzo duże korzyści.
Mój mail - [email chroniony]
Źródło: www.habr.com