當他們談論 MDM(即行動裝置管理)時,出於某種原因,每個人都會立即想到一個終止開關,它可以在資安官員的命令下遠端引爆丟失的手機。 不,一般來說,這也是存在的,只是沒有煙火效應。 但是,還有許多其他日常任務可以透過 MDM 更輕鬆、更輕鬆地執行。
企業致力於優化和統一流程。 如果以前新員工必須去一個帶有電線和燈泡的神秘地下室,在那裡明智的紅眼睛長者幫助在他的黑莓上設置公司郵件,那麼現在 MDM 已經發展成為一個完整的生態系統,允許您在單擊兩次。 我們將討論安全性、黃瓜醋可口可樂以及 MDM 和 MAM、EMM 和 UEM 之間的差異。 還有關於如何找到一份遠端賣餡餅的工作。
星期五在酒吧
即使是最負責任的人有時也會休息一下。 而且,正如經常發生的那樣,他們在咖啡館和酒吧忘記了背包、筆記型電腦和手機。 最大的問題是,如果這些設備包含公司的敏感訊息,丟失這些設備可能會給資訊安全部門帶來巨大的麻煩。 同一家蘋果公司的員工至少成功簽到了兩次,第一次失敗了 , 接著 - 。 是的,現在大多數手機都配備了開箱即用的加密功能,但企業筆記型電腦並不總是預設為硬碟加密。
此外,為了提取有價值的數據而有針對性地盜竊公司設備等威脅也開始出現。 手機已加密,一切都盡可能安全等等。 但是您是否注意到手機被盜之前您在手機解鎖時使用的監視器? 鑑於企業設備上資料的潛在價值,此類威脅模型已變得非常真實。
整體來說,人還是比較僵化的。 美國的許多公司被迫將筆記型電腦視為消耗品,不可避免地被遺忘在酒吧、飯店或機場。 有證據顯示在同一個美國機場 每週,其中至少有一半包含沒有任何保護的機密資訊。
所有這些都為安全專業人員增添了不少白髮,並促成了 MDM(行動裝置管理)的初步發展。 隨後出現了對受控設備上的行動應用程式進行生命週期管理的需求,並出現了 MAM(行動應用程式管理)解決方案。 幾年前,他們開始聯合使用通用名稱 EMM(企業行動管理)——一個用於管理行動裝置的單一系統。 所有這些集中化的最高點是 UEM(統一端點管理)解決方案。
親愛的,我們買了一個動物園
最先出現的是提供行動裝置集中管理解決方案的供應商。 最著名的公司之一黑莓仍然活著並且表現良好。 即使在俄羅斯,它也存在並銷售其產品,主要面向銀行業。 SAP 和各種較小的公司(例如後來被黑莓收購的 Good Technology)也進入了這個市場。 同時,BYOD 概念越來越受歡迎,公司試圖節省員工攜帶個人設備上班的費用。
確實,人們很快就發現,技術支援和資訊安全已經對諸如「如何在我的Arch Linux 上設定MS Exchange」和「我需要從我的MacBook 存取私有Git 儲存庫和產品資料庫的直接VPN」等請求感到畏縮。 ” 如果沒有集中式解決方案,BYOD 的所有節省都將成為維護整個動物園的噩夢。 公司需要所有管理自動化、靈活且安全。
在零售業,故事的發展略有不同。 大約十年前,公司突然意識到行動裝置即將到來。 過去,員工坐在溫暖的燈顯示器後面,附近某個地方,留著鬍子的毛衣主人就在附近,這使得一切都順利進行。 隨著成熟的智慧型手機的出現,罕見的專用 PDA 的功能現在可以轉移到常規的廉價串行設備上。 同時,人們也意識到這個動物園需要以某種方式管理,因為有許多平台,而且它們都是不同的:黑莓、iOS、Android,然後是 Windows Phone。 在大公司的規模下,任何手動動作都是搬石頭砸自己的腳。 此流程將消耗寶貴的 IT 和支援工時。
供應商一開始就為每個平台提供單獨的 MDM 產品。 當僅控制 iOS 或 Android 智慧型手機時,這種情況非常典型。 當智慧型手機或多或少被整理出來後,發現倉庫裡的資料擷取終端也需要以某種方式進行管理。 同時,您確實需要派一名新員工到倉庫,以便他只需掃描所需箱子上的條碼並將此資料輸入資料庫即可。 如果你的倉庫遍布全國,那麼支援就變得非常困難。 您需要將每個裝置連接到 Wi-Fi、安裝應用程式並提供對資料庫的存取。 借助現代 MDM,或更準確地說,EMM,您可以任命一名管理員,為他提供一個管理控制台,並從一個地方使用模板腳本配置數千台設備。
麥當勞的航廈
零售業有一個有趣的趨勢——不再使用固定收銀機和結帳點。 如果在同一個 M.Video 的早期你喜歡一個水壺,那麼你必須打電話給賣家並和他一起穿過整個大廳到達固定終端。 一路上,客戶十次忘記了要去的原因並改變了主意。 衝動購買的效果同樣消失了。 現在,MDM 解決方案允許賣家立即拿出 POS 終端機並進行付款。 該系統透過一個管理控制台整合和配置倉庫和賣家終端。 曾經,最早開始改變傳統收銀模式的公司之一是麥當勞,它擁有互動式自助服務面板,還有拿著行動終端的女孩在隊列中間接受訂單。
漢堡王也開始開發其生態系統,添加了一個應用程序,可以遠端訂購並提前準備。 所有這些都結合成一個和諧的網絡,為員工提供受控的互動站和行動終端。
您自己的收銀員
許多雜貨大賣場透過安裝自助結帳台來減輕收銀員的負擔。 格洛布斯走得更遠。 在入口處,他們提供帶有集成掃描器的 Scan&Go 終端,您只需當場掃描所有商品,將其裝入袋子中,付款後即可離開。 結帳時無需將袋裝食品取出。 所有終端也都進行集中管理並與倉庫和其他系統整合。 一些公司正在嘗試將類似的解決方案整合到購物車中。
一千種味道
另一個問題涉及自動販賣機。 同樣,您需要更新其固件,監控燒焦的咖啡和奶粉的殘留量。 而且,這一切都與服務人員的終端同步。 在眾多大公司中,可口可樂在這方面脫穎而出,宣佈為最具原創性的飲料配方頒發 10 美元的獎金。 從某種意義上說,它允許用戶在品牌設備中混合最令人上癮的組合。 結果,出現了無糖薑檸檬可樂和香草桃雪碧的版本。 他們還沒有達到耳垢的味道,就像伯蒂·博特的百味豆一樣,但他們已經非常堅定了。 所有遙測和每種組合的受歡迎程度都受到仔細監控。 所有這一切也與用戶的行動應用程式整合。
我們正在等待新的口味。
我們賣餡餅
MDM/UEM 系統的優點在於您可以透過遠端連接新員工來快速擴展業務。 您只需單擊兩次即可與您的系統完全集成,輕鬆組織在另一個城市的條件餡餅的銷售。 它看起來像這樣。
一台新設備交付給員工。 盒子裡有一張有條碼的紙。 我們掃描 - 設備被啟動、在 MDM 中註冊、獲取韌體、應用它並重新啟動。 使用者輸入他的資料或一次性令牌。 全部。 現在,您有了一名新員工,他可以存取公司郵件、倉庫餘額資料、必要的應用程式以及與行動支付終端的整合。 一個人到達倉庫,提貨並將其交付給直接客戶,並使用同一設備接受付款。 幾乎就像僱用幾個新單位的策略一樣。
看起來如何
VMware Workspace ONE UEM(以前稱為 AirWatch)是市場上功能最強大的 UEM 系統之一。 它允許您集成幾乎 以及 ChromeOS。 就連 Symbian 也直到最近才出現。 Workspace ONE 也支援 Apple TV。
另一個重要的優點。 Apple 只允許包括 Workspace ONE 在內的兩個 MDM 在發布新版本 iOS 之前修改 API。 對於每個人來說,最多在一個月內完成,對他們來說,最多在兩個月內完成。
您只需設定必要的使用場景,連接設備,然後它就會自動工作,正如他們所說的那樣。 策略和限製到來,提供對內部網路資源的必要訪問,上傳金鑰並安裝憑證。 幾分鐘後,新進員工就擁有了一台完全可以投入工作的設備,必要的遙測資料不斷從該設備流出。 場景數量龐大,從在特定地理位置阻擋手機相機到使用指紋或臉部進行 SSO。
管理員使用將到達使用者的所有應用程式來配置啟動器。
所有可能和不可能的參數也都可以靈活配置,例如圖示的大小、禁止移動、禁止通話和聯絡人圖示。 當使用 Android 平台作為餐廳中的互動式菜單和類似任務時,此功能非常有用。
從用戶的角度來看,它看起來像這樣
其他供應商也有有趣的解決方案。 例如,SOKB 科學研究所的 EMM SafePhone 提供經過認證的解決方案,用於安全傳輸語音和訊息,並具有加密和錄音功能。
已root的手機
資訊安全最令人頭痛的是root手機,用戶擁有最大的權限。 不,純粹主觀上這是一個理想的選擇。 您的設備必須賦予您完全的控制權。 不幸的是,這違背了企業目標,即要求使用者對企業軟體沒有影響力。 例如,他不應該能夠進入帶有文件的受保護記憶體部分或插入假 GPS。
因此,所有供應商都會以一種或另一種方式嘗試偵測託管裝置上的任何可疑活動,並在偵測到根權限或非標準韌體時阻止存取。
Android通常依賴 。 有時,Magisk 會允許您繞過其檢查,但通常 Google 會很快修復此問題。 據我所知,春季更新後,同一個 Google Pay 再也沒有在 root 裝置上工作過。
而不是輸出
如果您是一家大公司,那麼您應該考慮實施UEM/EMM/MDM。 目前的趨勢表明,此類系統的用途越來越廣泛——從鎖定的 iPad 作為糖果店的終端,到與倉庫基地和快遞終端的大型整合。 單點控制和員工角色的快速整合或變化提供了非常大的好處。
我的郵件 - [電子郵件保護]
來源: www.habr.com