В домене требуется система управления мобильными устройствами. Управление мобильными устройствами с помощью Microsoft Intune. Например, политика запрещающая использовать камеру

Хотите позволить сотрудникам использовать личный ноутбук, планшет, телефон в качестве рабочего - запросто! Но как защитить, разделить персональную информацию от рабочей? А как же быть с приложениями? Нужно настроить все устройства согласно политикам компании? А если кто-то потеряет свое устройство с важной рабочей информацией?

Давайте узнаем ответы на эти и другие вопросы.

Сотрудники могут использую свое личное устройство на работе в личных целях, если политики компании это позволяют. Так почему бы не разрешить им использовать личное устройство и для рабочих задач?

«Возьми Свое Собственное Устройство на работу» - именно так звучит концепция BYOD (Bring Your Own Device). Тенденция BYOD снимает границы между частной жизнью и работой. Для ИТ-специалистов лучше контролировать ситуацию, а не бороться с ней административными способами.Разрешение использовать собственные устройства - это еще и инструмент повышения лояльности сотрудников, что важно для любой компании.

Желание сотрудников работать удаленно очевидно. Есть масса специалистов, которые не только хотят, но и могут работать удаленно. Для этого нужно иметь определенный уровень самоконтроля, но это вполне реально.

Однако, несмотря на неоспоримые плюсы, внедрение BYOD ассоциируется с проблемами безопасности и управляемости. Есть вероятность утери, кражи устройства, заражения зловредом. Но если разобраться, то преимущества BYOD для бизнеса существенно перевешивают недостатки.

Сегодня на рынке масса крупных и мелких компаний предоставляющих сервис MDM (Mobile Device Management).

Список существующих решений

Microsoft Intune
AirWatch by VMWare
Citrix XenMobile
BlackBerry Enterprise Service
SAP Afaria
Symantec Mobile Management
Good Technology
MaaS360 by Fiberlink
Dell Mobile Management
MobileIron
Centrify
FileWave
LANDESK
MobiControl
Sophos Mobile Control
Excitor MobiControl
Amtel
Tangoe Matrix Mobility
Kaseya BYOD
Absolute Manage
BoxTone
SOTI
FAMOC

Много кто пытался создавать, продвигать свое решение, но не все «выжили».

Перейдем к Intune. Доступно много теоретической информации, обзоров про Intune от Microsoft. Вкратце это облачная служба для управления мобильными устройствами на базе Windows, iOS, Android а так же компьютерами c ОС Windows.
Есть несколько конфигураций использования Intune. Я выделил две основные:

1. Автономная - Intune
2. Гибридная - Intune + SCCM 2012 или Intune + SCCM 2012 + Azure

В данной статье рассмотрим управление мобильными устройствами для малого бизнеса с автономной конфигурацией.
Из преимуществ такого решения можно выделить следующие: исчезает необходимость в развертывании, обслуживании и масштабируемости, т.к. решение облачное, Microsoft регулярно обновляет и улучшает его.
Так же упрощена схема подписки основанная на количестве пользователей а не устройств. За одного пользователя придется заплатить $6.00 USD в месяц. В подписку включено 20 GB места в облаке для приложений.
Но не стоит спешить приобретать подписку. Есть 30 дней пробного периода на 100 пользователей, по истечении которого Вы сможете продлить пробный период еще на 30 дней указав номер платежной карточки. Итого 60 дней на то чтобы попробовать и понять нужен ли Вам Intune.

Итак, Вы решили попробовать. После регистрации будет доступна панель управления Intune а так же центр администрирования . Далее администратор создает пользователей вручную в панели управления или импортирует из CSV файла в центре администрирования. Пример файла CSV . Каждый созданный пользователь будет иметь логин в виде UserName @CompanyName .onmicrosoft.com или собственное доменное имя.

Весь процесс управления можно разделить на 5 основных шагов:

Регистрация

Для регистрации необходимо установить приложение «Company Portal» на устройстве пользователя.

Чтобы облегчить администраторам общение с пользователями Microsoft предоставляет список ссылок , данная информация поможет им при регистрации устройств в Intune и выполнения различных задач на устройствах после регистрации.

После того как пользователь установил приложение и залогинился его устройство будет зарегистрировано.

Скриншоты шагов регистрации

Приложение «Портал компании» содержит три основные вкладки:

• Приложения - список всех доступных пользователю приложений
• Мои Устройства - список устройств пользователя (максимум 5)
• Обратится в отдел ИТ - контактная информация для связи с ИТ отделом

После того как устройство зарегистрировано, им можно управлять.
Все зарегистрированные устройства и пользователи добавляются в соответствующие ветки в панели управления вкладки «Groups».
Администратор может группировать устройства (device group) и пользователей (user group) по доступным критериям или напрямую задавать членство в группе для дальнейшего распространения управления ими, аналогично коллекциям в SCCM 2012.

Развертывание приложений

Intune поддерживает установку множества различных приложений, в том числе приложений из магазина приложений, веб-приложений и приложений, разработанных внутри компании.
Существует два типа установки приложения:

• Установщик - указываем файл установки для приложения которое нужно развернуть. Например, APK для Android
• Внешняя ссылка - указываем ссылку на страницу приложения в магазине приложений. Например, Microsoft Store для Windows Mobile

Добавление приложения - установщик

Выбираем установочный файл:

Заполняем описание:

Задаем требования к версии операционной системы:

Приложение добавлено в список приложений в панели управления:

Заполняем описание:

После того как приложение добавлено и доступно в списке приложений осталось лишь развернуть его на устройствах пользователей. Выбрав в контекстом меню «Manage Deployment...» назначаем приложение на группу пользователей или группу устройств.

Доступны следующие опции:

• Принудительная установка
• Доступная установка
• Удаление

На пользовательском устройстве появится приложение назначенное на соответствующую группу.

Пример отображения на различных устройствах

Android:

Windows Mobile:

Windows 10

IOS:

Настройка

Intune использует политики, которые помогут настроить многие параметры и режимы работы для устройств:

• Параметры оборудования, такие как разрешение на использование Bluetooth, NFC,...
• Параметры пароля, включая длину и качество пароля
• Параметры шифрования
• Настройки браузера, например запрет на сохранение cookie, блокировка jscript
• Разрешенные и запрещенные приложения
• Политики соответствия требованиям, например версия ОС

Естественно, в различных ОС список доступных параметров отличается, даже на уровне одной ОС в разных версиях доступны разные параметры, и администратору придется не сладко если у пользователей слишком широкий разброс версий операционных систем. Но при создании конфигурации доступны подсказки, с минимальными требованиями к версии ОС.

Например, политика запрещающая использовать камеру

При запуске камеры пользователь будет уведомлен:

Хотя Intune предоставляет широкий спектр параметров для настройки устройств, может возникнуть ситуация, когда требуемый параметр недоступен. Во многих случаях эту проблему можно решить с помощью настраиваемой политики, которая позволяет настраивать параметры OMA-URI - это общий стандарт для настройки мобильных устройств, чтобы задать необходимые значения.

Развертывание настроек происходит аналогичным образом как и развертывание приложений.

Мониторинг

После развертывания приложений и политик администратор следит за статусом на соответствующих вкладках.

На вкладке ""Dashboard"" отображается общий статус всех компонентов

Более детальная информация о статусе приложений отображается на вкладке ""APPS""

Кликнув по приложению мы увидим детали:

Администратор будет уведомлен о наличии проблем в Intune при помощи оповещения.
Оповещения позволяют отслеживать, что происходит в Microsoft Intune. Например, на компьютере обнаружена вредоносная программа или обнаружен конфликт между двумя политиками Intune.

На вкладке с устройствами доступен очень полезный список фильтров, с помощью которого можно найти устройства с различным статусом.

Список фильтров

Защита

В случае потери сотрудником мобильного устройства или его кражи можно удалить корпоративные данные и приложения с устройства, можно также выполнить полную очистку. При необходимости возможен сброс секретного кода или удаленная блокировка устройства.

Все достаточно просто: находим имя пользователя, выбираем из его устройств нужное, и в контекстом меню выбираем необходимое действие:

В качестве заключения хотелось бы отметить зрелость продукта, ведь еще каких-то пару лет назад Intune был сыроват для корпоративного использования. На сегодняшний день это один из немногих стабильных решений с полноценной поддержкой и обновлениями. Кроме того он интегрируется с SCCM что немаловажно для больших корпораций.

Список полезных ресурсов

Как выглядит контроль над мобильными пользователями
без специального программного обеспечения

Картинка изображает хаос, который царит в большинстве компаний, которые предоставляют своим сотрудникам доступ к рабочим приложениям и данным с мобильных устройств. Сейчас уже никто не представляет себе жизнь без них, у каждого есть смартфон или планшет. Сотрудники хотят получать доступ к корпоративным данным (почта, документы, программы) находясь вне офиса, из дома, в пути. А организация в свою очередь, не хочет терять контроль над информацией имеющей коммерческую ценность, но как это сделать, когда сотрудник пользуется, например, почтой со своего iPhone и может любой файл из вложения сохранить на карте памяти, переслать, опубликовать в Dropbox. Даже если в компании уже внедрена DLP система, когда речь заходит о мобильных устройствах, она бессильна.

Общая стратегия контроля мобильных пользователей

Существуют разные подходы к управлению мобильной инфраструктурой, и вызвано это тем, что пользователь получает доступ к рабочим данным со своего личного устройства, но давать полный доступ (контроль) над смартфоном или планшетом администратору компании (и вообще кому бы то ни было) категорически не желает, и это понятно. Фотографии с отдыха, записная книжка с телефоном любовницы и даже достижения в angry birds – это все конфиденциальная информация, к которой Вася Иванов, администратор компании никакого доступа иметь не должен.
Совсем другое дело, это мобильные устройства, которые компания выдает своим сотрудникам для работы. В этом случае администратор имеет полное право получить максимально возможный контроль над ними, т.к. он отвечает за работу данной мобильной среды.

На западе выделяют три варианта управления:
MDM – mobile device management – полное управление мобильным устройством, возможность доступа ко всей информации, которая хранится на устройстве. Администратор может отследить, где в данный момент находится смартфон, какие приложения на нем установлены, какой в данный момент заряд батареи. Можно, например, удаленно запретить(разрешить) пользоваться камерой, запретить выключать устройство, удалить лишние приложения и установить свои, посмотреть содержимое карты памяти.
На мобильное устройство устанавливается агент MDM программы, который получает права администратора через API интерфейсы операционной системы (Android, iOS, Windows). Агент подключается к серверу и получает с него настройки и политики, которые необходимо применить на смартфоне или планшете. По данной схеме работают все MDM решения на рынке.

MAM – mobile application management – администратор может удаленно применять политики только к определенным приложениям и не имеет полного контроля над устройством. То, о чем я писал выше, пользователи не хотят пускать администратора на свои устройства, но согласны установить специальное приложение, например, для защищенного доступа к корпоративной почте. Чтобы было понятнее, маркетологи придумали неплохое визуальное объяснение, каждое рабочее мобильное приложение помещается в изолированный программный контейнер и полностью отделено от личных приложений и данных пользователя.
Какими приложениями может управлять администратор? Самое распространенное – это почтовый клиент и веб браузер. Если в компании разработаны свои приложения их тоже можно запаковать особым образом и получить возможность управлять ими удаленно.

MIM – mobile information management – администратор может управлять доступом к корпоративным данным — файлам и папкам на смартфонах и планшетах. Для этого разработаны мобильные приложения для SharePoint и аналогов Dropbox. К файлам можно применять целый ряд политик, которые должны помочь избежать кражи конфиденциальной информации.

Программные продукты на рынке

Продолжая тему, смотрим решения от ведущих производителей.

Mobile Device Management, MDM (в понимании Gartner) - программное обеспечение для работы с корпоративными системами при помощи мобильных устройств.

Рынок средств MDM за последние годы несколько консолидировался, но на нем по-прежнему представлен широкий выбор инструментов и сервисов. Среди них и почтовые серверы со встроенной MDM-функциональностью, и облачные сервисы, и инструментарий, который можно интегрировать с крупномасштабными пакетами для управления системами. При повсеместном распространении практики BYOD и мелкие компании, и большой бизнес смогут найти подходящий продукт как по своим нуждам, так и по своему бюджету.

Некоторые EMM-вендоры уже сейчас встраивают инструменты защиты на файловом уровне, а также IRM-средства в базовый функционал своих продуктов, но другие поставщики идут путем интеграции EMM-систем с уже используемыми решениями для управления идентификацией и доступом более общего назначения, создавая единые точки администрирования процессами шифрования данных и управления корпоративными политиками безопасности.

EMM как «клей»

По мнению Gartner, использование EMM-решений - это только первый шаг, который должны сделать организации, чтобы повысить эффективность своей операционной деятельности с помощью мобильных платформ, упорядочив управление устройствами сотрудников. Следующим шагом должно стать расширение сферы использования мобильности в самых разнообразных деловых процессах, создание единой клиентской ИТ-среды, которая включает и традиционную ПК-инфраструктуру, и мобильные устройства.

В свое время широкое внедрение ПК в деловую жизнь предприятий во многом обеспечивалось методами достаточно жесткой унификации внедряемых аппаратных и программных средств, продвижение которых шло «сверху вниз». Такой подход может применяться и для мобильных устройств, но все же отраслевой опыт показывает его не очень высокую эффективность с точки зрения бизнес-результатов. Проникновение мобильных средств в жизнь компаний идет во многом в направлении «снизу вверх», когда сами сотрудники хотят применять уже знакомые им средства и технологии в своей производственной деятельности. В техническом плане поддержка гетерогенной клиентской среды намного сложнее, чем в случае традиционной однородной ИТ-инфраструктуры, но зато при этом можно получить более высокие результаты с точки зрения основного бизнеса компании. В этой ситуации EMM выступает в качестве «клея», который позволяет подключить разнообразные мобильные устройства и приложения к деловым процессам организации.

Унифицированное управление клиентской ИТ-средой

До сих пор заказчики используют разные средства для управления ПК и мобильными устройствами. Обычно в компаниях решением этих задач занимаются отдельные группы внедрения и технической поддержки. Сейчас идет процесс объединения этих двух задач как в технологическом плане, так и в организационном. Учитывая это, Gartner считает, что свою позитивную роль может сыграть предстоящий выпуск ОС Windows 10 , в которой расширены возможности MDM API, представленные в Windows 8 .1. В частности, используя этот механизм можно будет управлять персональными компьютерами через EMM-инструменты, в том числе с помощью клиентских программ-агентов. Хотя эксперты подчеркивают, что реализовать такую идею не очень просто, поскольку несмотря на сужение сферы применения ПК все же именно они продолжают поддерживать подавляющую часть критически важных для компании операций.

Но все же аналитики Gartner уверены, что процесс формирования единых решений для управления клиентской средой будет продолжаться, и он не ограничится ПК, планшетами и смартфонами. В самом недалеком будущем к ним прибавится широкий спектр «умных» устройств из мира интернета вещей (IoT). Уже сегодня в поле управления EMM попадают принтеры, часы, телевизоры и другая техника. Правда, на этом пути уже сейчас видны определенные проблемы, поскольку пока многие «умные вещи» создаются на сугубо проприетарных принципах с минимальными возможностями внешнего управления от «непроизводителя». Однако такая закрытость является обычной для начальной фазы формирования рынка. По мере расширения сферы IoT задачи интеграции будут выходит на первый план, и это заставит производителей переходить на открытые стандарты.

2014: AirWatch обходит BlackBerry и становится лидером

В начале июля 2015 года аналитическая компания IDC обнародовала результаты исследования мирового рынка программного обеспечения в области управления корпоративной мобильностью. Единственным производителем, у которого продажи этого софта идут на спад, является BlackBerry .

Согласно подсчету IDC, объем рынка EMM решений в 2014 году составил $1,4 млрд, увеличившись на 27,2% в сравнении с предыдущим годом. Прежде специалисты прогнозировали подъем на 22%. На рынке по-прежнему наблюдается сильная фрагментация и плотная борьба, где даже небольшой спад вендора может отбросить его на несколько позиций назад.

Расстановка сил на рынке EMM-решений, данные IDC за 2014 г.

Так произошло с BlackBerry, у которой выручка от реализации ПО в области управления корпоративной мобильностью упала на 16,7% в 2014 году - до $133,8 млн. В результате канадская компания скатилась с первого на третье место в рейтинге ведущих вендоров, уступив AirWatch и Good Technology .

Новоиспеченный лидер AirWatch закончил 2014 год с выручкой на рынке в $161,1 млн, что на 78% больше в сравнении с 2013-м. Этот подъем оказался самым высоким среди всех производителей. Рыночная доля AirWatch - 11,4%.

У Good Techonolgy доходы в рассматриваемом сегменте софтверной отрасли в 2014 году подскочили на 55,3%, достигнув $136,8 млн, соответствуя 9,7% от общемирового значения.

По данным IDC за 2014 год, в пятерку ведущих брендов на рынке EMM также вошли MobileIron и Citrix , нарастившие продажи ПО на 26,2% и 47,2% соответственно - до $130,1 млн (9,2% от объема мирового рынка) и $114,2 млн (8,1%). Далее расположились SAP (8%), IBM (4,9%), Microsoft (3,1%), SOTI (3,1%), Sophos (2,9%) и Symantec (2,7%).

2012

Gartner: Эра стационарных компьютеров закончилась

По данным исследования Gartner , проведенного в конце октября 2012 года, уже в 2017 году более двух третей предприятий во всем мире перейдут на использование мобильных устройств в работе с корпоративными системами управления.

Аналитики уверены, что более 65% предприятий будут использовать разнообразные решения для мобильных устройств, в частности для планшетов и смартфонов, в работе с корпоративными системами.

"Эра стационарных компьютеров закончилась. Сотрудники становятся все более мобильными и готовы выполнять работу в любом месте, главное,чтобы был доступ к корпоративной системе", - сказал вице-президент по исследованиям Gartner Фил Редман.- Высокая производительность и удобство работы с мобильными устройствами все больше привлекают большие компании и их сотрудников. Единственным стопором на данный момент является безопасность работы на мобильных платформах, однако разработчики, в свою очередь, всячески стараются ликвидировать эту проблему".

Gartner прогнозирует, что к 2017 году 90% предприятий будут поддерживать две и более мобильные операционные системы для работы своих сотрудников.

В 2011 году, многие компании перешли на iOS от Apple в качестве основной мобильной платформы. Другие мобильные платформы рассматриваются и могут быть установлены в ближайшие 12-18 месяцев. Таким образом, решения, поддерживающие MDM, по мнению аналитиков в ближайшее время будут пользоваться растущим спросом.

Одной из основных причин роста этого направления стало бурное развитие рынка планшетных компьютеров. Если раньше пользователи планшетов ограничивались установкой корпоративной почты, то теперь все больше людей хотят внедрить на свои девайсы мобильные приложения корпоративных систем для работы в любом месте.

"В ближайшие два года мы будем наблюдать резкое расширение платформ и решений MDM", - сказал Редман.- В основном, двигать это направления будут организации, которые сами занимаются разработкой мобильных приложений и поощряющих своих сотрудников в использовании данных решений".

MDM-стратегия Microsoft

Сердцем MDM-стратегии Microsoft является ее почтовый сервер Exchange. Если вы пользуетесь Exchange Server для доставки почты на телефоны и планшеты, вы уже задействуете протокол Exchange ActiveSync (EAS), который также можно использовать для ретрансляции политик на устройства и контроля доступа по пользователям, ролям и группам. И вам даже не обязательно инсталлировать Exchange Server внутри организации, так как EAS является частью облачного сервиса Microsoft Office 365. В настоящее время EAS поддерживают Windows Mobile, Windows Phone, iOS и Android, а в Windows 8 и Windows RT этот протокол поддерживается через почтовый клиент Windows.

EAS также находится в сердцевине управляемого через облако сервисного средства Microsoft InTune. В его последнюю версию добавлены инструменты для управления EAS-политиками и интеграции с серверами Exchange для ретрансляции политик на управляемые устройства. В InTune также появился локальный магазин, из которого можно доставлять приложения на смартфоны и планшеты с поддержкой лицензий на организацию и локально разработанных приложений. Ценовая схема InTune с расчетом по месяцам и числу пользователей привлекательна для малого и среднего бизнеса, а ее реселлерская версия позволяет независимым поставщикам ПО и консалтинговым компаниям использовать InTune для управления устройствами в нескольких клиентских организациях.

MDM-стратегия RIM

Платформа BlackBerry компании RIM остается надежным корпоративным решением, так как платформа управления BlackBerry Enterprise Server (BES) обеспечивает широкий выбор настраиваемых политик управления устройствами. Из BES легко держать под контролем устройства BlackBerry, а ее новая функция Balance позволяет четко разделять рабочие и личные данные и гарантирует, что пользователь не потеряет свою информацию, если на личном устройстве будет удалена корпоративная учетная запись. RIM предлагает три разные версии BES: бесплатную облачную версию с минимальным набором политик для интеграции с Office 365, также бесплатную версию для малого бизнеса BES Express и полнофункциональный вариант BES с полным набором политик, в котором оплачивается не только сервер, но и лицензии клиентского доступа.

В продукте BlackBerry Mobile Fusion дополнительно поддерживаются устройства на базе iOS и Android при использовании одной среды для управления и собственными устройствами RIM (включая планшет PlayBook), и аппаратурой сторонних производителей. Mobile Fusion также станет базисом для нового поколения средств управления BlackBerry, ориентированных на будущую ОС BlackBerry 10.

MDM-стратегия Symantec

Кроссплатформные возможности MDM - ключ к успешной BYOD-стратегии, поскольку они позволяют создать для пользователей равные условия игры. Одним из средств, которые могут в этом помочь, является Mobile Management for Configuration Manager компании Symantec (это новое названии продукта Athena фирмы Odyssey). При интеграции с Microsoft System Center Configuration Manage средства Symantec позволяют управлять мобильными устройствами наряду с ПК и ноутбуками и вместе с тем дают возможность получать отчеты о состоянии устройств, селективно стирать корпоративные данные и доставлять защищенную электронную почту на Android -аппаратуру.

Рынок MDM приобретает все большую важность, и его продукты, возможно, станут одним из ключевых компонентов ИТ-стратегии многих организаций - ведь совершенно ясно, что обратного хода BYOD не предвидится. MDM не требует больших затрат и приносит явные выгоды - особенно при работе в регулируемой отрасли.

В современную эпоху BYOD и мобильности сотрудников предприятий вопросы MDM становятся все актуальнее. Каким образом можно решить данный вопрос с помощью RMM-решений?

Рассмотрим возможные варианты решения на примере Panda Systems Management .

Проблема: как контролировать и управлять корпоративными мобильными устройствами

Стремительное распространение мобильных устройств за последние годы серьезно повлияло на повседневную жизнь многих людей. Помимо целого ряда преимуществ, которые дарят нам мобильные устройства, стоит выделить именно саму мобильность: теперь люди могут читать новости, играть в онлайн-игры, общаться, слушать музыку и просматривать видео в любое время в любом месте. У многих людей мобильное устройство (например, планшет) вообще заменило традиционный в нашем понимании компьютер или ноутбук.

Более того, такие мобильные устройства, что вполне естественно, стали все чаще использоваться на работе в корпоративных целях: контакты с клиентами и партнерами, электронная почта, видеоконференции, работа с документами и т.д.

И вот тут-то начинаются определенные сложности и проблемы для «айтишников» предприятия: мобильность современных сотрудников и широкий круг доступных платформ для мобильных устройств значительно усложняют контроль и управление.

Действительно, если на предприятии к традиционным рабочим станциям применяются различные политики безопасности и конфиденциальности, то как быть с мобильными устройствами? Ведь сотрудники также на них работают с корпоративными документами, имеют доступ к корпоративным ресурсами и т.д. Следовательно, необходимо также управлять мобильными устройствами и контролировать их. И желательно это делать централизованно. Но как?

Кроме того, наличие различных мобильных платформ, конкурирующих между за собой за одну и ту же нишу рынка, еще более усложнило процессы управления сетью и форсировало появление фрагментированных решений управления с очень разными функциональными возможностями.

Итак, что делать и как быть?

Решение: единое RMM-решение для управления всеми корпоративными мобильными устройствами

Да, для централизованного управления мобильными устройствами следует использовать комплексные RMM-решения, которые предоставляют возможности MDM (Mobile Devices Management – управление мобильными устройствами).

Такие решения, как правило, позволяют централизованно управлять различными мобильными устройствами (например, на базе iOS и/или Android), включая сюда также планшеты, нетбуки, ноутбуки, смартфоны и т.д., вне зависимости от их физического местоположения из единой консоли централизованного управления.

Благодаря таким решениям можно контролировать статус этих устройств (аппаратное и программное обеспечение, журналы изменений, версия операционной системы, мобильный оператор, суммарное и свободное дисковое пространство и пр.), применять к ним соответствующие политики безопасности и конфиденциальности, а также применять необходимые действия в случае их кражи или потери. В зависимости от функционала RMM-системы могут быть и дополнительные возможности: удаленная установка ПО, удаленное управление и поддержка, широкий спектр отчетов и пр.

Одним из таких подходящих решений является облачный RMM-сервис Panda Systems Management, который помимо широкого функционала, свойственного комплексным RMM-системам, предлагает также и те преимущества, которые характерны облачным сервисам: простое и легкое внедрение и сопровождение без локальной инфраструктуры на предприятии, доступность консоли управления в любое время в любом месте с любого устройства, более простое администрирование мобильных устройств.

Ранее мы уже писали , где помимо всех его преимуществ рассказывали о том, как можно легко и просто внедрить его на предприятии, а также отдельно писали про мониторы системы мониторинга . Сегодня же мы остановимся на том, как можно легко и просто управлять мобильными устройствами с помощью данного решения.

Итак, сегодня рассмотрим следующие вопросы:

1. Какие поддерживаются платформы
2. Установка агента на мобильные устройства с Android и iOS
3. MDM-политики и их типы
4. Инструменты для удаленного управления мобильными устройствами

Вы можете бесплатно зарегистрировать триал-версию Panda Systems Management на сайте и протестировать сервис в своем IT-окружении.

Поддерживаемые платформы

Panda Systems Management, не говоря о возможности управления ноутбуками и нетбуками/ультрабуками под управлением Windows и Mac, также поддерживает планшеты и смартфоны с iOS и Android.

Устройства с iOS
iPhone 4, 4S
iPhone 5, 5c, 5s
iPhone 6, 6 Plus
iPhone 6s, 6s Plus
Ipod Touch 5 и 6 поколения
iPad 2, 3, 4, Air, Air 2, Mini, Mini 2, Pro

Устройства с Android
Версия Android 2.3.3 (Gingerbread) и выше.

Установка агента на мобильные устройства Android и iOS

Чтобы можно было управлять мобильными устройствами с Adnroid и iOS через централизованную веб-консоль Panda Systems Management, на них необходимо установить агента, как это описано ниже.

Включение функции MDM в консоли управления

Чтобы Вы могли взаимодействовать с Вашими мобильными устройствами из централизованной консоли управления, Вам необходимо включить функцию MDM. Для этого Вам необходимо импортировать бесплатный компонент Mobile Device Management из раздела Comstore.

Если данный компонент корректно загрузился в Вашу консоль управления, то Вы сможете его увидеть в списке Ваших компонентов в разделе Components .

Импорт сертификата Apple в консоль

Если Вы хотите управлять мобильными устройствами с iOS, то Вам потребуется интегрировать в консоль управления сертификат, сгенерированный Apple для устройств с iOS, чтобы у Вас была возможность связываться с сервером.

Импорт сертификата – это обязательный единоразовый процесс. Установка сертификата – это требование компании Apple для обеспечения целостности данных, достоверности и конфиденциальности всех коммуникаций между сервером и устройством пользователя.
Для этого выполните следующие действия:

1. Перейдите в раздел Setup → Account Settings для доступа к настройкам сертификата Apple (раздел Apple Push Certificate)

Скачайте запрос на подпись сертификата (CSR), подписанный Panda Security (*_Apple_CSR.csr)

1. Загрузите CSR-файл в .

Чтобы получить доступ к Apple Push Certificate Portal , вы должны иметь аккаунт в Apple. Для этого будет достаточно любого аккаунта iTunes. Однако если Вы хотите сгенерировать новые регистрационные данные Apple, перейдите на сайт https://appleid.apple.com/ , нажмите Create an Apple ID и выполните представленные на экране инструкции.

Перейдите на страницу https://identity.apple.com/pushcert и авторизуйтесь с Вашими регистрационными данными Apple. Нажмите Create Certificate и выполните представленные на экране инструкции. Загрузите CSR-файл, который Вы скачали в консоли управления Panda Systems Management.

Скачайте новый подписанный сертификат Apple (.PEM) на Ваш компьютер.

Вернитесь в консоль управления Panda Systems Management. Выберите сохраненный на Вашем компьютере подписанный сертификат Apple (.PEM) и загрузите его в консоль управления.

После этого в консоли управления Вы получите следующее сообщение:

Добавление мобильных устройств в консоль управления

По соображениям безопасности, чтобы установить агента Panda Systems Management на мобильных устройствах с Android и iOS, можно только отправить пользователям этих устройств письмо с прямой ссылкой для скачивания агента в Google Play или Apple Store соответственно, а также MDM-файлом, содержащим информацию о сайте (проекте), с которым связано данное устройство.

Наличие отдельного MDM-файла обусловлено тем, что агент скачивается для каждого мобильного устройства из официального магазина (Google Play или Apple Store), поэтому чтобы разместить в установочном пакете привязку к сайту, пришлось бы динамически изменять сам пакет в магазине.

Чтобы в консоли управления добавить устройства с Android и iOS, необходимо перейти в раздел Sites , выбрать требуемый сайт (проект) и в нем нажать на кнопку New Device .

При нажатии на соответствующую иконку с названием операционной системы открывается окно, в котором Вам необходимо указать адрес электронной почты пользователя мобильного устройства, куда следует отправить письмо для установки агента. Можно указать несколько адресов почты, разделив их точкой с запятой.

Кстати, для массовой установки агента на устройства с iOS есть и альтернативный способ с помощью Apple Configurator. Но это уже повод для отдельной статьи, здесь же мы не будем рассматривать данный способ.

Привязка устройства к сайту

После того как агент Panda Systems Management установлен на устройстве пользователя, ему необходимо выполнить определенные действия для привязки к сайту (проекту). И тут есть два варианта, как это можно сделать.

Вариант 1. Сканирование QR-кода

На ПК, на котором открыта консоль управления Panda Systems Management с открытым сайтом, к которому должно быть привязано мобильное устройство, нажмите на QR-код для его увеличения.

В свою очередь, пользователь должен на своем устройстве запустить установленный агент, нажать на иконку с колесиком, чтобы инициализировать камеру и просканировать QR-код.

После чтения кода агент покажет на устройстве пользователя сообщение Connected, а устройство появится в консоли управления Panda Systems Management.

Вариант 2. Импорт вложенного в письмо MDM-файла в установленный агент

Удаленные пользователи или те, у кого на сотовых телефонах нет встроенной камеры, могут открыть MDM-файл из письма со ссылкой на установку агента. После его загрузки агент покажет на устройстве пользователя сообщение Connected , а само устройство появится в централизованной консоли управления Panda Systems Management.

Кстати, учтите, что импорт MDM-файла возможен только через почтового клиента, встроенного на устройстве.

После выполнения вышеперечисленных действий в Вашей консоли управления Panda Systems Management появятся требуемые мобильные устройства. Теперь можно к ним применять соответствующую MDM-политику использования мобильных устройств.

Политики управления мобильными устройствами

Чтобы управлять и контролировать использование мобильных устройств, Panda Systems Management предлагает набор политик, которые позволяют Вам настроить планшеты и смартфоны таким образом, чтобы быть уверенным в том, что пользователи имеют мобильные устройства, готовые для использования в корпоративной среде и которые могут быть интегрированы в корпоративную инфраструктуру.

Во время создания MDM-политики, администратору необходимо определиться, является ли эта политика обязательной или нет. В последнем случае можно разрешить пользователю вручную отключать политику со своего мобильного устройства. Но если политика является обязательной, то без знания специального пароля пользователь не сможет ее отключить.

Типы MDM-политик

В Panda systems Management существует четыре типа доступных MDM-политик, каждая из которых влияет на определенные функции и настройки мобильного устройства:

Passcode: характеристики паролей, вводимых пользователем на мобильном устройстве для блокировки/разблокировки устройства и т.д.

Restriction: управление доступом к ресурсам мобильного устройства. Применяются только для устройств с iOS, т.к. они не внедрены в устройствах с Android

VPN: настройки VPN

Wi-Fi: настройки Wi-Fi соединения.

Passcode

Поле	Описание
Passcode strength	Позволяет Вам установить уровень сложности пароля
Minimum passcode length	Позволяет Вам установить минимальную длину пользовательских паролей
Minimum Number Of Complex Characters	Позволяет Вам установить минимальное количество не цифро-буквенных символов, которые должны использоваться в паролях
Maximum Passcode Age	Позволяет Вам установить максимальный срок действия пароля
Auto Lock	Позволяет Вам настроить временной интервал, после которого включается автоблокировка мобильного устройства
Passcode History	Устройство хранит историю паролей, использованных пользователем, чтобы не разрешать пользователю повторно использовать старый пароль при создании нового

Restriction

Поле	Описание
Ограничения по использованию устройств с iOS
Allow use of camera	Разрешает использование камеры. Если выключить данную опцию, то камеры будут полностью отключены, а иконки удалены с главной страницы. Пользователи не смогут делать фотографии, видео или использовать FaceTime.
Allow installing apps	Разрешает установку приложений. Если выключить данную опцию, то магазин приложений будет отключен, а его иконка будет удалена с главной страницы. Пользователи не смогут устанавливать или обновлять любые приложения, используя магазин приложений Apple.
Allow screen capture	Разрешает пользователям делать скриншоты дисплея.
Allow voice dialing	Разрешает пользователям использовать голосовой набор.
Allow FaceTime	Разрешает пользователям принимать или осуществлять видео-звонки FaceTime.
Allow automatic sync when roaming	Устройства в роуминге будут синхронизироваться только в том случае, когда аккаунт доступен пользователю.
Allow Siri	Разрешает использовать Siri.
Allow Siri while locked	Позволяет использовать Siri, когда устройство заблокировано.
Allow Passbook notifications while locked	Позволяет использовать Passbook, когда устройство заблокировано.
Allow in-app purchases	Включает возможность покупок из приложений
Force users to enter iTunes Store password for all purchases	Запрашивает пароль iTunes для каждой загрузки.
Allow multiplayer gaming	Разрешает играть в многопользовательском режиме.
Allow adding Game Center friends	Разрешает пользователям добавлять друзей Game Center.
Show Control Center in lock screen	Разрешает пользователям подключаться к Центру управления (Control Center), когда устройство заблокировано.
Show Notification Center in lock screen	Показывает Центр уведомлений (Notifications Center), когда устройство заблокировано.
Show Today view in lock screen	Показывает виджет Today view из Центра уведомлений (Notification Center), когда устройство заблокировано.
Allow documents from managed apps in unmanaged apps	Позволяет пользователям обмениваться (и использовать их) данными из корпоративного приложения в персональное приложение, которое не было предоставлено компанией.
Allow documents from unmanaged apps in managed apps	Позволяет пользователям обмениваться (и использовать их) данными из персонального приложения в корпоративное приложение, которое было предоставлено компанией.
Доступ к приложениям
Allow use of iTunes Store	Разрешает пользователям использовать iTunes Store
Allow use of Safari	Разрешает пользователям использовать Safari
Enable Safari autofill	Включает опцию автозаполнения
Force Safari fraud warning	Если данная опция включена, то Safari предупреждает пользователей о посещении мошеннических или опасных веб-сайтов
Enable Safari javascript	Разрешает Javascript
Block Safari popups	Включает всплывающие окна
Сервисы iCloud
Allow iCloud backup	Включает резервное копирование данных
Allow iCloud document sync	Разрешает синхронизацию документов
Allow iCloud Keychain sync	Разрешает автоматическую синхронизацию с iCloud логинов, паролей, номеров банковских карт и пр.
Allow photo stream	Включает фотопотоки
Allow shared stream	Включает обмен потоками (stream sharing)
Безопасность и конфиденциальность
Allow diagnostic data to be sent to Apple	Включает опцию отправки диагностических данных в Apple
Allow user to accept untrusted TLS certificates	Разрешает использовать недоверительные TLS-сертификаты
Force encrypted backup	Осуществляет шифрование данных бекапа
Allow automatic updates to certify trust settings (iOS 7)	Разрешает автоматически обновлять доверительные сертификаты
Force limited ad tracking (iOS 7)	Разрешает пользователям ограничить рекламный трэкинг на устройстве
Allow fingerprint for unlock (iOS 7)	Разрешает пользователям разблокировать их устройства с помощью своих отпечатков пальцев
Рейтинги контента
Allow explicit music and podcasts	Разрешает нецензурные (explicit) музыку и подкасты
Rating Apps	Разрешает или блокирует приложения в соответствии с выбранным рейтингом
Rating Movies	Разрешает или блокирует фильмы в соответствии с выбранным рейтингом
Rating TV Shows	Разрешает или блокирует ТВ-шоу в соответствии с выбранным рейтингом
Ограничения на устройства iOS, контролируемые через Apple Configurator
Show iMessage	Разрешает пользователям использовать iMessage
Allow app removal	Разрешает деинсталляцию приложений
Allow Game Center	Позволяет использовать Game Center
Allow Bookstore	Позволяет использовать iBooks
Allow Bookstore erotica	Позволяет пользователям скачивать медиа, помеченное как эротика
Allow UI configuration profile installation	Разрешает установку профиля настройки интерфейса
Allow modifying account settings (iOS 7)	Разрешает пользователям изменять настройки их аккаунта: добавлять или удалять почтовые аккаунты, изменять настройки функций iCloud, iMessage и др.
Allow AirDrop (iOS 7)	Разрешает пользователям обмениваться документами с помощью AirDrop
Allow changes to cellular data usage for apps (iOS 7)	Разрешает пользователям отключать сотовые данные для определенных приложений
Allow user-generated content in Siri	Разрешает Siri запрашивать контент из Интернета (Wikipedia, Bing и Twitter)
Allow modifying Find My Friends settings	Разрешает пользователям изменять настройки "Find my Friends"
Allow host pairing	Разрешает устройствам соединяться с другими устройствами. Если эта опция отключена, то соединить устройство с хостом можно будет только с помощью Apple Configurator

Создание MDM-политики

Для создания MDM-политики необходимо выполнить следующие действия:

При создании политики на уровне всего аккаунта, выберите в основном меню Account , далее закладку Policies , и нажмите кнопку New account policy

При создании политики на уровне требуемого сайта (проекта): внутри конкретного сайта нажмите New site policy на закладке Policies

Затем укажите название политики и ее тип. Т.к. добавляется MDM-политика, то тип политики должен быть Mobile Device Management

Теперь необходимо определить, является ли эта политика обязательной для пользователей или нет. Для этого у опции Removal policy необходимо выбрать значение Allow users to remove this policy , если политика будет не обязательна, либо Require password to remove this policy , чтобы сделать эту политику обязательной для пользователей (по крайней мере, для тех, кто не знает пароля, который можно тут же настроить).

После этого необходимо будет добавить настройки политики, нажав на кнопку Add a setting .

При добавлении настроек политики необходимо выбрать тип MDM-политики и настроить соответствующие опции

Инструменты для удаленного управления мобильными устройствами

Функции управления мобильными устройствами в консоли управления Panda Systems Management доступны только на уровне устройства, т.е. для выбранного устройства. Для этого в разделе Sites откройте требуемый сайт, а после этого перейдите на закладку Devices .

В списке устройств выберите требуемое мобильное устройство, после чего автоматически изменится список закладок и набор пиктограмм в панели инструментов Actions, предлагающей различные действия, которые можно применить к выбранному устройству.

Для мобильных устройств в панели инструментов Actions доступны следующие специфические инструменты управления:

Device Wipe (Очистка устройства)

Эта функция выполняет удаленный сброс параметров устройства до заводских настроек, предотвращая кражу данных в случае потери или кражи устройства, а также его неисправности. Но учтите, что в этом случае на устройстве будут удалены все пользовательские данные (программы, определенные конфигурации, модификации), хранящиеся на данном устройстве. Таким образом, устройство вернется к тому состоянию, в котором оно пришло с завода производителя.

Geolocation (Определение местоположения)

Эта функция показывает на карте географическое местоположение устройства. Координаты устройства собираются различными способами в зависимости от доступных на устройстве ресурсов. Точность определения координат сильно зависит от системы. Ниже приведены используемые технологии получения координат (в порядке убывания по точности):

GPS (Global Positioning System)
WPS (Wi-Fi Positioning System)
GeoIP

Кстати, GeoIP может сообщить о местоположении устройства, которое будет полностью отличаться от реального местоположения устройства.

Device Lock (Блокировка устройства)

Данная функция блокирует устройство и отключает его экран до тех пор, пока не будет введен правильный PIN-код (если он настроен). Данная функция очень полезна в том случае, если устройство потеряно или украдено.

Device Unlock (Разблокировка устройства)

Эта функция разблокирует заблокированное устройство (она сбрасывает защитный PIN-код в том случае, если пользователь его забыл).

Password Policy (Политика паролей)

Данная функция работает совместно с функцией блокировки устройства Device Lock, т.к. заставляет владельца устройства установить пароль (PIN-код). Если эта опция включена, администратор сможет заблокировать устройство в случае его кражи, запрашивая у вора PIN-код, если устройство включено.

Данная функция отправляет пользователю удаленный запрос на установку PIN-кода, но при этом она не позволяет администратору установить этот код в самой консоли управления Panda Systems Management.

Audit (Аудит)

Данная функция работает таким же образом, как, например, и для устройств с Windows, и она полностью интегрирована в консоли управления.

Агент собирает с устройства, на котором он установлен, всю информацию об аппаратном и программном обеспечении, а также сообщает о любых изменениях на сервер, что отображается на закладке Audit .

Секция Hardware показывает следующую информацию о мобильных устройствах:

Операционная система и ее версия
Модель устройства
ICCID (уникальный номер, который идентифицирует SIM-карту)
Оператора SIM-карты
Номер телефона SIM-карты
Объем памяти для хранения данных (внутренняя память и SD-карта памяти)
Сетевые адаптеры, установленные на устройстве (обычно Wi-Fi)

Раздел Software показывает все пакеты, установленные на устройстве.

Раздел Changelog показывает все изменения в аппаратном и программном обеспечении, которые произошли на устройстве

Report (Отчет)

Отчеты отображаются на закладке Report и их состав зависит от типа устройства. Например, Вы можете получить отчет об активности устройства за последние 7 или 30 дней, об истории срабатывания системы мониторинга на данном устройстве, изменениях на устройстве, общие сведения по устройству и т.д.

Отчеты доступны в PDF и XLS.

Кроме этого, можно запланировать выполнение требуемых отчетов для данного устройства. Для этого надо выделить галочками требуемые отчеты и в панели инструментов Actions нажать на соответствующую пиктограмму.

 
В результате этого откроется окно с настройкой задачи по автоматической отправке отчетов. В этом окне Вы сможете настроить следующие параметры:

Название задачи и ее описание
График отправки отчетов (прямо сейчас или в конкретный день/время, ежедневно, ежемесячно, в определенные месяцы и определенные дни месяца, ежегодно)
Список отправляемых отчетов и их формат
Тема и содержимое письма, в котором эти отчеты будут отправлены
Получатели данного письма с отчетами (можно одним кликом выбрать стандартных получателей отчетов по аккаунту и/или данному сайту, а также добавить других получателей)

Удаленная установка ПО на устройства iOS

Еще одна полезная вещь, которую можно сделать с помощью RMM-сервиса Panda Systems Management на мобильных устройствах – это централизованная удаленная установка требуемого ПО на смартфонах и планшетах с iOS, которое загружается с Apple Store. Здесь есть свои особенности, поэтому о том, как это можно сделать, мы расскажем в отдельной статье.

Удаленная установка ПО на устройствах с Android пока не поддерживается.

Вот и все. В данной статье мы показали основные функции RMM-решения по управлению мобильными устройствами на примере Panda Systems Management. Некоторые полезные вещи остались за рамками данной статьи по той лишь причине, что возможности RMM в плане MDM достаточно широки, а потому сложно рассказать обо всем в одной статье. Так что не рассмотренные сегодня вопросы оставим для следующих наших статей.

Заключение

Мобильные устройства имеют массу преимуществ, которые в первую очередь связаны именно с их мобильностью. Грех не использовать такие возможности для решения служебных задач. Но еще больший грех делать это небезопасно и без должного контроля. И если с управлением и безопасностью традиционных рабочих станций и ноутбуков практически все понятно, то многие аспекты централизованного управления и контроля смартфонов и планшетов под управлением Android и iOS остаются пока еще за рамками полного понимания без соответствующего накопленного опыта.

Зачастую опыт показывает, что на многих предприятиях официально запрещено использовать такие устройства только потому, что нет четкой политики и, что особенно немаловажно, соответствующих инструментов для централизованного управления мобильными устройствами и контроля над ними. А зря.

Современные RMM-решения с функциями MDM как раз и являются такими инструментами. А уж придумать, как их использовать…не сложно.

P.S. Мы продолжим публикацию практических статей на тему «Как сделать…». Пожалуйста, в небольшом опросе ниже укажите, какие темы для Вас были бы интересны. Будем Вам признательны за Ваши ответы.

Если вы работаете с устаревшей бесплатной версией G Suite и хотите использовать эту функцию, перейдите на G Suite Basic .

Функции управления мобильными устройствами в Google предназначены для администрирования корпоративных мобильных устройств, обеспечения их безопасности и для их отслеживания. Вы можете управлять различными устройствами, включая телефоны, планшеты и умные часы. Сотрудники организации могут работать с ее ресурсами на личных или предоставленных компанией устройствах.

Базовый режим управления мобильными устройствами

В базовом режиме управления вы можете выполнять следующие действия:

• устанавливать правила, требующие настроить блокировку экрана или пароль, для защиты корпоративных данных на устройствах;
• удалять корпоративные данные с потерянных или украденных устройств;
• предоставлять пользователям доступ к рекомендуемым корпоративным приложениям для устройств Android;
• публиковать и распространять частные приложения;
• смотреть список устройств с доступом к корпоративным данным в консоли администратора Google.

Базовый режим управления включен по умолчанию. Если вы его отключили, узнайте, как настроить этот режим . Пользователям не придется ничего устанавливать. Каждому сотруднику достаточно будет войти в аккаунт на устройстве, используя корпоративный адрес электронной почты.

Примечание. Базовый режим управления мобильными устройствами может быть не включен по умолчанию для некоторых аккаунтов.

Расширенный режим управления мобильными устройствами

Если вам нужно больше функций для контроля устройств с доступом к корпоративным данным, используйте расширенный режим управления. Он позволяет:

• Устанавливать правило, требующее использовать более надежные пароли.
• Предоставлять пользователям доступ к корпоративным приложениям в каталоге рекомендуемого ПО (для Android и iOS).
• Использовать рабочие профили на устройствах Android, чтобы разделить личные и корпоративные приложения.
• Закрывать доступ к определенным настройкам и функциям устройств. Например, вы можете запретить подключение к мобильным сетям или по Wi-Fi, создание скриншотов и т. д.
• Отслеживать соблюдение установленных вами правил, а также получать отчеты о пользователях, устройствах и версиях ОС.
• Узнайте,