当他们谈论 MDM(即移动设备管理)时,出于某种原因,每个人都会立即想到一个终止开关,它可以在信息安全官员的命令下远程引爆丢失的手机。 不,一般来说,这也是存在的,只是没有烟火效应。 但是,还有许多其他日常任务可以通过 MDM 更轻松、更轻松地执行。
企业致力于优化和统一流程。 如果以前新员工必须去一个带有电线和灯泡的神秘地下室,在那里明智的红眼睛长者帮助在他的黑莓上设置公司邮件,那么现在 MDM 已经发展成为一个完整的生态系统,允许您在单击两次。 我们将讨论安全性、黄瓜醋可口可乐以及 MDM 和 MAM、EMM 和 UEM 之间的差异。 还有关于如何找到一份远程卖馅饼的工作。
星期五在酒吧
即使是最负责任的人有时也会休息一下。 而且,正如经常发生的那样,他们在咖啡馆和酒吧忘记了背包、笔记本电脑和手机。 最大的问题是,如果这些设备包含公司的敏感信息,丢失这些设备可能会给信息安全部门带来巨大的麻烦。 同一家苹果公司的员工至少成功签到了两次,第一次失败了 , 然后 - 。 是的,现在大多数手机都配备了开箱即用的加密功能,但企业笔记本电脑并不总是默认配置硬盘加密。
此外,为了提取有价值的数据而有针对性地盗窃公司设备等威胁也开始出现。 手机已加密,一切都尽可能安全等等。 但是您是否注意到手机被盗之前您在手机解锁时使用的监控摄像头? 鉴于企业设备上数据的潜在价值,此类威胁模型已变得非常真实。
总体来说,人还是比较僵化的。 美国的许多公司被迫将笔记本电脑视为消耗品,不可避免地会被遗忘在酒吧、酒店或机场。 有证据表明在同一个美国机场 每周,其中至少有一半包含没有任何保护的机密信息。
所有这些都为安全专业人员增添了不少白发,并促成了 MDM(移动设备管理)的初步发展。 随后出现了对受控设备上的移动应用程序进行生命周期管理的需求,并出现了 MAM(移动应用程序管理)解决方案。 几年前,他们开始联合使用通用名称 EMM(企业移动管理)——一个用于管理移动设备的单一系统。 所有这些集中化的最高点是 UEM(统一端点管理)解决方案。
亲爱的,我们买了一个动物园
最先出现的是提供移动设备集中管理解决方案的供应商。 最著名的公司之一黑莓仍然活着并且表现良好。 即使在俄罗斯,它也存在并销售其产品,主要面向银行业。 SAP 和各种较小的公司(例如后来被黑莓收购的 Good Technology)也进入了这个市场。 与此同时,BYOD 概念越来越受欢迎,公司试图节省员工携带个人设备上班的费用。
确实,人们很快就发现,技术支持和信息安全已经对诸如“如何在我的 Arch Linux 上设置 MS Exchange”和“我需要从我的 MacBook 访问私有 Git 存储库和产品数据库的直接 VPN”等请求感到畏缩。 ” 如果没有集中式解决方案,BYOD 的所有节省都将成为维护整个动物园的噩梦。 公司需要所有管理自动化、灵活且安全。
在零售业,故事的展开略有不同。 大约十年前,公司突然意识到移动设备即将到来。 过去,员工坐在温暖的灯显示器后面,附近某个地方,留着胡子的毛衣主人就在附近,这使得一切都顺利进行。 随着成熟的智能手机的出现,罕见的专用 PDA 的功能现在可以转移到常规的廉价串行设备上。 与此同时,人们认识到这个动物园需要以某种方式进行管理,因为有很多平台,而且它们都是不同的:黑莓、iOS、Android,然后是 Windows Phone。 在大公司的规模下,任何手动动作都是搬起石头砸自己的脚。 此过程将消耗宝贵的 IT 和支持工时。
供应商一开始就为每个平台提供单独的 MDM 产品。 当仅控制 iOS 或 Android 智能手机时,这种情况非常典型。 当智能手机或多或少被整理出来后,发现仓库里的数据采集终端也需要以某种方式进行管理。 同时,您确实需要派一名新员工到仓库,以便他只需扫描所需箱子上的条形码并将此数据输入数据库即可。 如果你的仓库遍布全国,那么支持就变得非常困难。 您需要将每个设备连接到 Wi-Fi、安装应用程序并提供对数据库的访问。 借助现代 MDM,或更准确地说,EMM,您可以任命一名管理员,为他提供一个管理控制台,并从一个地方使用模板脚本配置数千台设备。
麦当劳的航站楼
零售业有一个有趣的趋势——不再使用固定收银机和结账点。 如果在同一个 M.Video 的早些时候你喜欢一个水壶,那么你必须打电话给卖家并和他一起穿过整个大厅到达固定终端。 一路上,客户十次忘记了自己要去的原因并改变了主意。 冲动购买的效果同样消失了。 现在,MDM 解决方案允许卖家立即拿出 POS 终端并进行付款。 该系统通过一个管理控制台集成和配置仓库和卖家终端。 曾经,最早开始改变传统收银模式的公司之一是麦当劳,它拥有交互式自助服务面板,还有拿着移动终端的女孩在队列中间接受订单。
汉堡王还开始开发其生态系统,添加了一个应用程序,可以远程订购并提前准备。 所有这一切都结合成一个和谐的网络,为员工提供受控的互动站和移动终端。
您自己的收银员
许多杂货大卖场通过安装自助结账台来减轻收银员的负担。 格洛布斯走得更远。 在入口处,他们提供带有集成扫描仪的 Scan&Go 终端,您只需当场扫描所有商品,将其装入袋子中,付款后即可离开。 结账时无需将袋装食品取出。 所有终端也都进行集中管理并与仓库和其他系统集成。 一些公司正在尝试将类似的解决方案集成到购物车中。
一千种味道
另一个问题涉及自动售货机。 同样,您需要更新其固件,监控烧焦的咖啡和奶粉的残留量。 而且,这一切都与服务人员的终端同步。 在众多大公司中,可口可乐在这方面脱颖而出,宣布为最具原创性的饮料配方颁发 10 美元的奖金。 从某种意义上说,它允许用户在品牌设备中混合最令人上瘾的组合。 结果,出现了无糖姜柠檬可乐和香草桃雪碧的版本。 他们还没有达到耳垢的味道,就像伯蒂·博特的百味豆一样,但他们已经非常坚定了。 所有遥测和每种组合的受欢迎程度都受到仔细监控。 所有这一切还与用户的移动应用程序集成。
我们正在等待新的口味。
我们卖馅饼
MDM/UEM 系统的优点在于您可以通过远程连接新员工来快速扩展业务。 您只需单击两次即可与您的系统完全集成,轻松组织在另一个城市的条件馅饼的销售。 它看起来像这样。
一台新设备交付给员工。 盒子里有一张带有条形码的纸。 我们扫描 - 设备被激活、在 MDM 中注册、获取固件、应用它并重新启动。 用户输入他的数据或一次性令牌。 全部。 现在,您有了一名新员工,他可以访问公司邮件、仓库余额数据、必要的应用程序以及与移动支付终端的集成。 一个人到达仓库,提货并将其交付给直接客户,并使用同一设备接受付款。 几乎就像雇佣几个新单位的策略一样。
它看起来像什么
VMware Workspace ONE UEM(以前称为 AirWatch)是市场上功能最强大的 UEM 系统之一。 它允许您集成几乎 以及 ChromeOS。 就连 Symbian 也直到最近才出现。 Workspace ONE 还支持 Apple TV。
另一个重要的优点。 Apple 只允许包括 Workspace ONE 在内的两个 MDM 在发布新版本 iOS 之前修改 API。 对于每个人来说,最多在一个月内完成,对于他们来说,最多在两个月内完成。
您只需设置必要的使用场景,连接设备,然后它就会自动工作,正如他们所说的那样。 策略和限制到来,提供对内部网络资源的必要访问,上传密钥并安装证书。 几分钟后,新员工就拥有了一台完全可以投入工作的设备,必要的遥测数据不断从该设备中流出。 场景数量巨大,从在特定地理位置阻挡手机摄像头到使用指纹或面部进行 SSO。
管理员使用将到达用户的所有应用程序来配置启动器。
所有可能和不可能的参数也都可以灵活配置,例如图标的大小、禁止移动、禁止通话和联系人图标。 当使用 Android 平台作为餐厅中的交互式菜单和类似任务时,此功能非常有用。
从用户的角度来看,它看起来像这样
其他供应商也有有趣的解决方案。 例如,SOKB 科学研究所的 EMM SafePhone 提供经过认证的解决方案,用于安全传输语音和消息,并具有加密和录音功能。
已root的手机
信息安全最令人头疼的是root手机,用户拥有最大的权限。 不,纯粹主观上这是一个理想的选择。 您的设备必须赋予您完全的控制权。 不幸的是,这违背了企业目标,即要求用户对企业软件没有影响力。 例如,他不应该能够进入带有文件的受保护内存部分或插入假 GPS。
因此,所有供应商都会以一种或另一种方式尝试检测托管设备上的任何可疑活动,并在检测到根权限或非标准固件时阻止访问。
Android通常依赖 。 有时,Magisk 会允许您绕过其检查,但通常 Google 会很快修复此问题。 据我所知,春季更新后,同一个 Google Pay 再也没有在 root 设备上工作过。
而不是输出
如果您是一家大公司,那么您应该考虑实施UEM/EMM/MDM。 目前的趋势表明,此类系统的用途越来越广泛——从锁定的 iPad 作为糖果店的终端,到与仓库基地和快递终端的大型集成。 单点控制和员工角色的快速集成或变化提供了非常大的好处。