Корпоративные, мобильные и безопасные
Мобильные устройства сейчас уже не прихоть или средство роскоши, как было лет десять назад, а полноценный рабочий инструмент. С ростом использования смартфонов и планшетов значительно увеличиваются и требования к ним.
В настоящее время на планшетах, используемых в рабочих целях, могут стоять такие приложения, как клиент электронной почты, программы для просмотра новостей и аналитики в сети, клиент системы электронного документооборота, CRM, ERP, разнообразные программы для коммуникации с коллегами, партнерами, заказчиками. Для нормальной работы устройства сотрудник должен обновлять систему и приложения, искать подходящие по функционалу и удобству программы, настраивать подключение к сети, контролировать нахождение устройства в роуминге.
При этом во многих случаях эти смартфоны и планшеты не являются корпоративными, на них не распространяются политики безопасности компании, и работоспособность таких устройств и приложений на них владелец, как правило, должен поддерживать сам. При возникновении проблем, если пользователь является руководителем высшего и среднего звена (а это встречается в большинстве случаев), то IT-служба оказывает ему помощь, порой тратя на это довольно много времени. Активное использование планшетов в работе специалистами среднего уровня тормозится, в том числе и из-за отсутствия оперативной поддержки.
Чтобы грамотно интегрировать мобильные устройств в IT-инфраструктуру компании, IT-служба должна обеспечить:
· надежную возможность удаленного уничтожения информации с планшета или смартфона самим сотрудником либо по его запросу администратором;
· доступ сотрудников к корпоративной информации в соответствии с политикой безопасности компании;
· централизованное управление конфигурациями устройств в части:
- защиты паролем;
- настройки параметров внутренней сети и Интернета;
- распространения сертификатов;
- ограничения запуска программ, неразрешенных в компании;
· распространение и обновление мобильных приложений;
· программную и аппаратную инвентаризацию устройств;
· создание и отображение отчетов.
Для решения задач управления смартфонами и планшетами и обеспечения безопасности корпоративной информации существует множество решений, которые можно разделить на три группы: сервисы управления мобильными устройствами от их производителей; системы, использующие политики протокола Exchange ActiveSync, и решения, использующие специализированные протоколы управления.
Сервисы управления мобильными устройствами от их производителей
Сервисы управления мобильными устройствами от их производителей (например, iCloud от Apple или HTC для Android) рассчитаны на использование частными лицами и позволяют выполнять недостаточный круг действий с личными мобильными устройствами. Поэтому внедрение таких сервисов в масштабах компании нежелательно, так как будет нарушать политику их использования.
Системы, использующие политики протокола ExchangeActiveSync
Яркий представитель второй группы – Microsoft Exchange Server. В нем реализован механизм управления мобильными устройствами с помощью политик ActiveSync. Для управления мобильными устройствами требуется поддержка почтовым клиентом планшета или смартфона протокола Exchange ActiveSync и подключение устройства к почтовому ящику пользователя на сервере Exchange по этому протоколу.
После подключения устройства администратор может:
· проводить инвентаризацию основных параметров устройства (ОС, имя устройства, доступное и свободное место на системном диске, номер телефона);
· управлять настройками паролей на устройствах;
· уничтожать информацию с устройства удаленно по запросу пользователя.
Необходимо отметить, что после подключения к почтовой системе пользователь сам может вывести на экран список своих мобильных устройств, посмотреть собранные системой инвентарные данные и уничтожить информацию с устройства. Все это может быть выполнено из веб-интерфейса Exchange Control Panel. Этот вариант управления мобильными устройствами удобен, если в организации уже используется почтовая система на базе Microsoft Exchange Server 2003 с пакетом исправлений 2 и выше (2007 и 2010 обладают более широкими возможностями).
Microsoft Exchange Server содержит дополнительные возможности по управлению устройствами на базе Windows Mobile, например ограничение запуска специфичных приложений.
Если в организации активно используются смартфоны или другие устройства на базе Windows Mobile и установлена почтовая система Microsoft Exchange Server, то хорошим дополнением послужит Microsoft System Center Configuration Manager (SCCM): он позволит проводить более детальную инвентаризацию устройств Windows Mobile и централизованно распространять и обновлять приложения на них. Версия SCCM 2012 также поддерживает устройства на платформе Symbian.
Решения, использующие специализированные протоколы управления
Существует отдельный класс систем, предназначенных специально для управления мобильными устройствами. Эти решения позволяют:
· администратору – удаленно по запросу пользователя уничтожать информацию с мобильного устройства без подключения к почтовой системе, без специальных приложений на устройстве;
· производить централизованное управление конфигурациями устройств как в части защиты паролем, так и настройки параметров сети и подключения к Интернету, распространения сертификатов, ограничения запуска вредоносных программ;
· распространять и обновлять мобильные приложения;
· производить программную и аппаратную инвентаризацию устройств;
· создавать и отображать разнообразные отчеты.
Системы управления мобильными устройствами (или MDM-системы – Mobile Device Management) отличаются:
· по способу предоставления ПО – по модели SaaS или предназначенные для развертывания в инфраструктуре компании;
· по списку поддерживаемых платформ мобильных устройств – моноплатформенные и мультиплатформенные.
А теперь поговорим о наиболее популярных MDM-системах.
AppleProfileManager
Продукт Profile Manager от компании Apple позволяет управлять конфигурациями устройств и уничтожать информацию с них удаленно администратором, но не предоставляет возможности распространять мобильные приложения. Он работает только для устройств производства компании Apple (iPad и iPhone) и рассчитан на небольшое количество устройств и одного администратора. Profile Manager можно установить только на компьютер под управлением Mac OS X Lion, для этого необходимо приобрести в Mac App Store серверные компоненты для Mac OS X.{PAID}
Airwatch, MobileIron, MaaS360
Самые известные представители систем, распространяемых по модели SaaS, это Airwatch, MobileIron и MaaS360. Они позволяют управлять конфигурациями, распространять приложения, определять местоположение (для некоторых платформ), уничтожать информацию с устройств удаленно. Все системы поддерживают платформы iOS, Android, Windows Mobile, а некоторые еще и Symbian, Blackberry, Windows Phone. Все они позволяют делегировать полномочия различным администраторам на устройства и выполнения функций по управлению ими. Стоимость использования таких систем – около 100-200 рублей в месяц за устройство, включая техподдержку.
Эти решения хорошо подходят для управления небольшим количеством устройств либо для тестирования возможностей MDM-систем в принципе. Необходимо учитывать, что собранные данные с мобильных устройств, а также возможность их управления сосредоточены на серверах сторонней компании, которая зарегистрирована за границей.
SAP/Sybase Afaria
Система управления мобильными устройствами Sybase Afaria является в настоящее время самой проработанной на рынке. Она, пожалуй, умеет все, что позволяют сделать другие продукты, и при этом, в отличие от решений других вендоров, предоставляет расширенные функциональные возможности по управлению платформами Windows Mobile и Android. Так, например, для устройств Samsung имеются расширенные настройки почтового клиента, VPN и автоподключения к Wi-Fi, а для Motorola – управление устройствами в защищенных чехлах и корпусах (для сотрудников, работающих в экстремальных условиях).
Afaria позволяет подключать устройства пользователей как с посредством портала, так и с помощью приложения (по ссылке, отправленной на электронную почту). Роли системы могут быть установлены на различные серверы, которые можно выстраивать по определенной иерархии для обеспечения отказоустойчивости. Afaria ведет очень подробные журналы как действий пользователей, так и администраторов.
Высокая стоимость Sybase Afaria по сравнению с другими MDM-системами компенсируется ее возможностью удовлетворить требования большинства крупных компаний.
McAfee Enterprise Mobility Management
McAfee Enterprise Mobility Management (EMM) – хороший продукт для внедрения в IT-инфраструктуру компании. Он поддерживает сразу несколько мобильных платформ: iOS, Android, Windows Mobile, Windows CE, Blackberry. Решение на его базе позволяет управлять конфигурациями подключенных устройств, распространять приложения, удаленно уничтожать информацию с устройств. Отличительная черта McAfee EMM – наличие веб-портала для пользователей: с его помощью сотрудники могут подключить устройство к системе, установить или обновить мобильные приложения, уничтожить информацию со своих устройств. Все эти действия выполняются удаленно.
Решение на базе McAfee EMM включает несколько компонент системы, которые можно разместить на различных серверах. Это позволит оптимально распределить нагрузку и обеспечить безопасный доступ мобильных устройств через Интернет к системе управления. Продукт интегрируется со службой каталога Active Directory и использует стандартные учетные данные доступа к системам предприятия. Ролевая модель управления McAfee EMM позволяет делегировать полномочия различным администраторам.
Zenprise Device Manager
Zenprise Device Manager представляет собой продвинутую систему управления, функционал которой постоянно растет благодаря обновлениям от вендора. Решение поддерживает стандартный набор функций по управлению конфигурациями, распространению приложений, удаленному уничтожению информации. Однако, в отличие от McAfee EMM, Zenprise Device Manager не имеет портала для пользователей, поэтому для подключения мобильных устройств к системе управления необходимо устанавливать бесплатное приложение, которое можно скачать из каталогов приложений Apple App Store или Android Market.
Zenprise Device Manager поддерживает сразу несколько мобильных платформ: iOS, Android, Windows Mobile, Symbian. Для всех устройств могут быть заданы дополнительные атрибуты. Например, для iOS поддерживается дистанционное удаление профилей и приложений, причем есть возможность «проталкивания» последних (как корпоративных, так и из App Store) на устройства.
При интеграции системы со службой каталога Active Directory становится возможным использование стандартных учетных данных доступа к системам предприятия. В дополнение к этому система умеет работать с атрибутами пользователей, заданными в службе каталога. Это актуально при построении отчетов и создании политик управления (на кого, по каким параметрам и когда назначить настройки и приложения).
Приобрести Zenprise Device Manager можно не менее чем для 100 устройств – такова политика вендора, лицензирование осуществляется по подписке.
Рынок систем управления мобильными устройствами уже достаточно созрел, наличие продуктов различного уровня как по цене, так и по функциональности – прямое тому доказательство. Можно ожидать, что в ближайшие несколько лет системы управления мобильными устройствами найдут широкое применение и в России, особенно в крупных компаниях с парком корпоративных мобильных устройств более 50 единиц. Планшеты и смартфоны станут полноценными участниками IT-инфраструктуры предприятия наряду с ПК и ноутбуками.
Опубликовано 14.12.2012