Коли говорять про MDM, який Mobile Device Management, усі чомусь одразу представляють kill-switch, який дистанційно підриває загублений телефон за командою співробітника ІБ. Ні, загалом це теж є лише без піротехнічних ефектів. Але є ще купа інших рутинних завдань, які з MDM виконуються набагато простіше і безболісніше.
Бізнес прагне оптимізації та уніфікації процесів. І якщо раніше новому співробітнику доводилося йти в таємничий підвал з проводами та лампочками, де мудрі червоноокі старці допомагали налаштувати корпоративну пошту на його Blackberry, то тепер MDM виріс до цілої екосистеми, яка дозволяє виконувати ці завдання у два кліки. Будемо говорити про безпеку, огірково-смородинову «Кока-Колю» та відмінності MDM від MAM, EMM та UEM. А ще — про те, як віддалено найнятись на роботу з продажу пиріжків.
П'ятниця у барі
Навіть найвідповідальніші люди іноді відпочивають. І, як часто це буває, вони забувають рюкзаки, ноутбуки і мобільні телефони в кафе і барах. Найбільша проблема в тому, що втрата цих пристроїв може призвести до дикого головного болю для відділу ІБ, якщо вони містять чутливу для компанії інформацію. Співробітники того ж Apple примудрилися відзначитися як мінімум двічі, втративши спочатку , а потім - . Так, зараз більшість мобільних телефонів йде з шифруванням із коробки, але ті ж корпоративні ноутбуки далеко не завжди налаштовуються із шифруванням жорсткого диска за замовчуванням.
Плюс почали виникати такі загрози, як цілеспрямована крадіжка корпоративних пристроїв із метою видобування цінних даних. Телефон зашифрований, все максимально безпечне і таке інше. Ось тільки ви помітили камеру спостереження, під якою ви розблокували телефон перед тим, як його вкрали? З урахуванням потенційної цінності даних на корпоративному пристрої такі моделі загроз стали реальними.
Загалом люди — ті ще склеротики. Багато компаній у США вимушено почали ставитися до ноутбуків як до розхідників, які будуть неминуче забуті в барі, готелі або аеропорту. Є дані, що в тих самих аеропортах США щотижня, з яких мінімум половина містить конфіденційну інформацію без будь-якого захисту.
Все це неабияк додало сивого волосся безпечним і привело до розробки спочатку MDM (Mobile Device Management). Потім виникла потреба в управлінні життєвим циклом мобільних додатків на підконтрольних пристроях, і з'явилися рішення MAM (Mobile Application Management). Декілька років тому вони стали об'єднуватися під загальною назвою EMM (Enterprise Mobility Management) - єдина система для управління мобільними пристроями. Апогеєм цієї централізації є рішення UEM (Unified Endpoint Management).
Дорога, ми купили зоопарк
Першими почали з'являтися вендори, які пропонували рішення для централізованого керування мобільними пристроями. Одна з найвідоміших компаній - Blackberry - досі жива і непогано почувається. Навіть у Росії є і продає свої продукти, переважно банківського сектора. На цей ринок також зайшли SAP і різні менші компанії на зразок Good Technology, пізніше купленої тим же Blackberry. У цей же час набирала популярності концепція BYOD, коли компанії намагалися заощаджувати на тому, що співробітники тягали свої особисті девайси на роботу.
Правда, дуже швидко з'ясувалося, що техпідтримка та ІБ вже здригаються від запитів виду "Як мені налаштувати MS Exchange на моєму Arch Linux" і "Мені потрібен прямий VPN до приватного Git-репозиторію та продуктової БД з мого MacBook". Без централізованих рішень вся економія на BYOD оберталася кошмаром щодо підтримки всього зоопарку. Компаніям потрібно було, щоб все керування було автоматичним, гнучким та безпечним.
У роздрібній торгівлі історія розвивалася трохи інакше. Приблизно років 10 тому компанії раптово усвідомили, що з'явилися мобільні пристрої. Це раніше співробітники сиділи за теплими ламповими моніторами, а десь поруч незримо був присутній бородатий володар светра, який все це змушував працювати. З появою повноцінних смартфонів функції рідкісних спеціалізованих КПК тепер можна перекладати на звичайний серійний пристрій. Одночасно з цим прийшло розуміння, що цим зоопарком потрібно якось керувати, оскільки платформ багато, і всі вони різні: Blackberry, iOS, Android, потім — Windows Phone. У масштабах великої компанії будь-які ручні рухи тіла - це постріл собі в ногу. Такий процес з'їсть цінні людино-години IT-підрозділу та підтримки.
Вендори на початку пропонували окремі MDM-продукти кожної платформи. Цілком типовою була ситуація, коли керувалися лише смартфони на iOS або Android. Коли зі смартфонами більш менш розібралися, з'ясувалося, що терміналами збору даних на складі теж треба якось керувати. При цьому вам потрібно відправити нового співробітника на склад, щоб він просто відсканував штрих-коди на потрібних коробках і вніс ці дані в базу. Якщо у вас склади по всій країні, то підтримка ставала дуже непростою. Треба кожен пристрій підключити до Wi-Fi, встановити програму та забезпечити доступ до бази даних. З сучасними MDM, а точніше, EMM, ви берете адміна, видаєте йому консоль управління та конфігуруєте тисячі пристроїв із шаблонними сценаріями з одного місця.
Термінали в McDonald's
У роздробі спостерігається цікава тенденція — уникнення стаціонарних кас і точок оформлення товару. Якщо раніше в тому ж таки М.Відео сподобався чайник, то треба було кликати продавця і тупотіти з ним через увесь зал до стаціонарного терміналу. Дорогою клієнт встигав десять разів забути, навіщо йшов, і передумати. Втрачався цей ефект імпульсивної покупки. Зараз MDM-рішення дозволяють продавцю відразу підійти з POS-терміналом та провести оплату. Система об'єднує та конфігурує термінали складу та продавців з однієї консолі управління. Свого часу однією з перших компаній, яка почала змінювати модель традиційної каси, став McDonald's з його інтерактивними панелями для самообслуговування та дівчатами з мобільними терміналами, які приймали замовлення прямо посеред черги.
Burger King теж почав розвивати свою екосистему, додавши програму, яка дозволяла зробити замовлення дистанційно, щоб його приготували заздалегідь. Все це поєднувалося в гармонійну мережу з керованими інтерактивними стійками та мобільними терміналами у співробітників.
Сам собі касир
Багато продуктових гіпермаркетів знижують навантаження на касирів установкою кас самообслуговування. "Глобус" пішов далі. Вони на вході пропонують взяти термінал Scan&Go з інтегрованим сканером, яким ви просто скануєте весь товар на місці, розфасовуєте пакети і виходите, сплативши. Потрошити на касі розкладені пакети продукти не потрібно. Усі термінали також управляються централізовано та інтегруються як зі складами, так і з іншими системами. Деякі компанії пробують аналогічні рішення, інтегровані у візок.
Тисяча смаків
Окрема пісня – це вендінгові апарати. На них так само треба оновлювати прошивку, стежити за залишками горілої кави та сухого молока. Причому синхронізуючи це з терміналами обслуговуючого персоналу. З великих компаній у цьому плані відзначилася Coca-Cola, яка оголосила приз у $10 000 за найоригінальніший рецепт напою. У сенсі дозволила користувачам змішувати наркоманські поєднання у фірмових апаратах. У результаті з'явилися варіанти імбирно-лимонної коли без цукру та ванільно-персикового «Спрайту». До смаку вушної сірки, як у цукерках Bertie Bott's Every Flavour Beans, вони начебто поки не дійшли, але налаштовані дуже рішуче. Вся телеметрія та популярність кожного поєднання ретельно відстежуються. Все це також інтегрується з мобільними програмами користувачів.
Чекаємо на нові смаки.
Продаємо пиріжки
Вся принадність MDM/UEM-систем в тому, що ви можете швидко масштабувати свій бізнес, підключаючи нових співробітників дистанційно. Ви можете організувати продаж умовних пиріжків в іншому місті з повноцінною інтеграцією зі своїми системами в два кліки. Виглядатиме це приблизно так.
Співробітнику привозять новий пристрій. У коробці — папірець із баркодом. Скануємо - пристрій активується, реєструється в MDM, бере прошивку, застосовує та перезавантажується. Користувач вводить свої дані чи одноразовий токен. Всі. Тепер у вас є новий співробітник, який має доступ до корпоративної пошти, даних про залишки на складі, потрібні програми та інтеграцію з мобільним платіжним терміналом. Людина приїжджає на склад, забирає товар і везе його безпосереднім клієнтам, приймаючи оплату за допомогою цього пристрою. Майже як у стратегіях найняти кілька нових юнітів.
Як це виглядає
Одна з найфункціональніших систем UEM на ринку – VMware Workspace ONE UEM (колишній AirWatch). Вона дозволяє інтегруватися практично з та з ChromeOS. Навіть Symbian був донедавна. А ще Workspace ONE підтримує Apple TV.
Ще один важливий плюс. Apple дозволяє тільки двом MDM, у тому числі Workspace ONE, заздалегідь поколупатися в API перед випуском нової версії iOS. Всім у кращому разі – за місяць, а їм – за два.
Ви просто задаєте необхідні сценарії використання, підключаєте девайс, і далі воно працює, як то кажуть, automagically. Прилітають політики, обмеження, надаються необхідні доступи до внутрішніх мережевих ресурсів, заливаються ключі та встановлюються сертифікати. Через кілька хвилин у нового співробітника вже повністю готовий для роботи пристрій, з якого безперервно ллється необхідна телеметрія. Кількість сценаріїв величезна від блокування камери телефону в конкретній геолокації і закінчуючи SSO по відбитку пальця або особі.
Адмін конфігурує лаунчер з усіма програмами, які прилетять користувачеві.
Також гнучко налаштовуються всі можливі та неможливі параметри на кшталт розміру іконок, заборони їх переміщення, заборони іконку дзвінка і контактів. Такий функціонал корисний при використанні Android-платформи як інтерактивне меню в ресторані тощо.
З боку користувача це виглядає приблизно так
Цікаві рішення є і в інших вендорів. Наприклад, EMM SafePhone від НДІ СОКБ надає сертифіковані рішення для безпечної передачі голосу та повідомлень із шифруванням та можливістю запису.
Рутовані телефони
Головним болем для ІБ є рутовані телефони, де користувач має максимальні права. Ні, суто суб'єктивно це ідеальний варіант. Твій девайс має давати тобі повні права на керування. На жаль, це суперечить корпоративним завданням, які вимагають відсутності у користувача можливості впливати на корпоративне ПЗ. Наприклад, він не повинен мати можливості залізти в захищений розділ пам'яті з файлами або підсунути фейковий GPS.
Тому всі вендори так чи інакше намагаються виявляти будь-які підозрілі активності на керованому пристрої та блокувати доступ при виявленні рут-прав або нестандартної прошивки.
В Android зазвичай покладаються на . Іноді той же Magisk дозволяє обійти його перевірки, але, як правило, Google дуже швидко фіксує. Наскільки мені відомо, той самий Google Pay так і не запрацював знову на рутованих девайсах після весняного оновлення.
Замість висновку
Якщо ви велика компанія, то варто задуматися про впровадження UEM/EMM/MDM. Сучасні тенденції говорять про те, що такі системи знаходять все ширше застосування — від залочених iPad як термінали в кондитерській до великих інтеграцій зі складськими базами та кур'єрськими терміналами. Єдина точка управління та швидка інтеграція чи зміна ролі співробітника дають дуже великі переваги.
Моя пошта - [захищено електронною поштою]
Джерело: habr.com