Macaroon

Что такое MDM-системы и зачем компаниям управлять техникой сотрудников

MDM (Mobile Device Management) — это системы, которые позволяют ИТ-службам компаний управлять мобильными устройствами, находящимися у сотрудников. Речь не только о мобильных телефонах, но также о планшетах, ноутбуках и другой технике, используемой в рабочих целях.

Мобильные устройства сегодня востребованы среди удалённых сотрудников. Для некоторых категорий специалистов альтернативы им вовсе нет — например, для торговых представителей, работников производств с распределёнными локациями или сотрудников логистических компаний.

Корпоративная мобильность с начала 2000-х годов остаётся одним из основных трендов ИТ. Благодаря ей многие компании смогли безболезненно перейти на режим удалённой работы во время пандемии. Многие «мобилизованные» сотрудники, имеющие возможность трудиться на удалёнке, смогли сохранить свои рабочие места.

Три концепции корпоративной мобильности

Существует три концепции корпоративной мобильности. Они отличаются подходами к использованию мобильных устройств.

Первая концепция — COPE (Corporate-Owned, Personally Enabled, «корпорация владеет, сотрудник включает самостоятельно») — подразумевает, что корпоративное устройство выдают сотруднику для решения рабочих задач. COPE была популярна в первые годы «мобилизации» — тогда мобильные устройства и ноутбуки стоили дорого и ещё не получили массового распространения. Вопросам обеспечения безопасности компании уделяли мало внимания. Обслуживание устройства и управление им в этой схеме полностью находится в ведении самого сотрудника.

Вторая концепция — CYOD (Choose Your Own Device, «выбери своё устройство») — предусматривает возможность для работника выбрать одно устройство из нескольких, предложенных компанией. При этом работодатель берёт на себя техническое обслуживание, контролирует содержимое гаджета и порядок его использования.

Третья концепция — BYOD (Bring Your Own Device, «принеси своё собственное устройство») — даёт сотрудникам наибольшую свободу. В рабочих целях можно использовать собственную технику, но и обслуживанием устройств занимается сам сотрудник.

Самое широкое распространение получила концепция BYOD. Её «проводниками» стали топ-менеджеры компаний. Они ставили ИТ-службы своих компаний перед фактом, что используют для работы личные смартфоны, планшеты и ноутбуки. Подходы COPE и CYOD компании тоже сейчас применяют, но не в таком массовом порядке. Дискуссии о плюсах и минусах каждой концепции также идут до сих пор.

Мобильное устройство в руках сотрудника — угроза безопасности компании

Внимание ИТ-служб к использованию мобильных устройств сотрудниками неслучайно. Их задача — обеспечить информационную безопасность корпоративной инфраструктуры.

Мобильное устройство сотрудника, контролируемое им, — серьёзная угроза информационной безопасности предприятия. Причина в том, что устройство находится за пределами «периметра», и его использование невозможно строго регламентировать. Пользовательский смартфон, подключённый к корпоративной информационной системе, могут использовать злоумышленники для доступа к данным компании.

Даже собственный смартфон сотрудника, при помощи которого он подключается хотя бы к одному корпоративному сервису, нуждается в контроле со стороны ИТ-специалистов компании. Без этого бизнес сразу же сталкивается с серьёзными рисками. Как пример можно вспомнить недавнюю историю компании Garmin. Злоумышленники атаковали её вирусами-шифровальщиками. Компания вынуждена была заплатить выкуп вымогателям, чтобы восстановить работоспособность пользовательских приложений.

Как контролировать мобильные устройства

Производители мобильных устройств не оставляют корпорации один на один с киберугрозами. Существуют такие решения для защиты данных, как авторизованный доступ при помощи пароля или биометрии, возможность удалённой блокировки потерянного устройства (Apple), «сейф» для данных, хранящихся на смартфоне (Samsung KNOX или защищённое хранилище Huawei).

Все эти средства защиты могут (и то с ограничениями) обеспечить оборону только самого устройства от постороннего доступа. Смартфоны или планшеты при этом остаются «дырой», через которую злоумышленники при помощи вирусов могут получить доступ к данным корпораций.

Решить проблему могут специализированные средства управления мобильными устройствами, находящимися на руках сотрудников компаний, — MDM (Mobile Device Management, «управление мобильными устройствами»).

Что умеют MDM-системы

Термин MDM весьма широк. Общее назначение таких систем — управление мобильными устройствами, которые имеют доступ к инфраструктуре предприятия. Однако ключевая задача, которую они решают, — управление не столько самими устройствами, сколько приложениями, которые на них установлены.

Отсюда происходит важнейшая функция MDM-систем – МАМ (Mobile Application Management). Именно через приложения можно получить доступ к информации внутри «периметра» компании. В них ищут «дыры» злоумышленники. Через приложения происходит непреднамеренная утечка данных из-за неаккуратности пользователей.

Современные MDM-решения решают несколько задач. Организация защищает все «точки доступа» к корпоративной информации и ведёт поиск возможных угроз. Сотрудники компании получают доступ к различным корпоративным сервисам, начиная с электронной почты и мессенджеров и заканчивая корпоративными системами (ERP, CRM, логистика и прочие). Контролирует система и использование данных в удалённом режиме. Также с помощью MDM можно организовать дистанционную поддержку пользователей — помогать им с настройками устройств, установкой или обновлением приложений.

MDM-система даёт корпоративным ИТ-службам весьма широкие возможности, например:

  • разрешает установку на устройства и удаление приложений и сертификатов безопасности;
  • запрещает использовать неблагонадёжные приложения и сервисы;
  • разрешает удалённую настройку устройства в соответствии с принятыми в компании политиками;
  • допускает шифрование данных на устройстве;
  • обеспечивает работу с утерянными устройствами: поиск их местонахождения, блокирование, уничтожение конфиденциальных данных в памяти.

Прямая и косвенная выгода MDM-систем

MDM-системы обеспечивают безопасность инфраструктуры и повышают эффективность работы сотрудников. Это — косвенная выгода от их использования. Есть и прямая — сокращение расходов компаний на оборудование.

Господствующий в корпоративной мобильности подход BYOD даёт компаниям ощутимую выгоду. Получая свободу выбора, сотрудники сами обеспечивают себя необходимыми устройствами. Это особенно важно для небольших компаний, которые хотят сокращать расходы на закупку необходимой техники.

В условиях всеобщей «удалёнки» обеспеченность сотрудников устройствами помогла в самые короткие сроки и без потерь перевести специалистов из офисов в квартиры и сохранить непрерывность бизнеса. В таких условиях предприятию тем более важно администрировать пользовательские устройства и вести их удалённую поддержку.

Широкий ассортимент MDM-решений создаёт проблему выбора

MDM-системы не входят в состав ядра информационной платформы предприятия. Это позволяет разворачивать их оперативно, без крупных инвестиций и затрат рабочего времени сотрудников.

На рынке есть много специализированных решений как от мировых «гигантов», так и от небольших фирм-разработчиков. Выбор конкретной системы зависит от множества факторов, в первую очередь — от базовой платформы, на которой работает инфраструктура компании.

Основная аудитория MDM-систем — представители малого и среднего бизнеса. Крупный бизнес чаще использует собственные цифровые платформы либо пользуется решениями, входящими в состав «крупных» систем (например, SAP Mobile Secure, Microsoft Intune или IBM MaaS60).

В продуктовом портфеле профильных интеграторов есть сразу несколько решений для заказчиков разного уровня. Например, компания Macaroon может предложить услуги по развёртыванию MDM любого класса — Jamf Pro, Jamf School, Mosyle, MobileIron, Workspace ONE Intelligent Hub.

Рассмотрим несколько инструментов для управления парком мобильных устройств.

Jamf Pro

Jamf Pro — одно из самых популярных MDM-решений. Оно предлагает широкий набор инструментов для системных администраторов. С Jamf Pro можно в удалённом режиме устранять неполадки в работе устройств, управлять безопасностью, устанавливать необходимые приложения и предоставлять пользователям доступ к информационным системам в соответствии с внутренней политикой компании.

Достоинства Jamf Pro — простой и понятный даже непрофессионалам интерфейс, возможность выбора между облачной и серверной версиями. Есть и недостатки — поддержка только платформы Apple делает невозможным администрирование устройств на Android и Windows. Второй недостаток — довольно высокая цена этого решения.

Jamf School

«Младший брат» Jamf Pro, специализированная версия решения, адресованная учебным заведениям. С помощью Jamf School управлять устройствами учащихся могут и системные администраторы учебных заведений, и преподаватели, и родители.

У Jamf School функциональность как у основной версии, но также есть дополнительная возможность контролировать отдельные действия пользователей. Например, родители могут следить за тем, что дети делают в интернете. Цена более демократична, чем у Jamf Pro, поскольку решение ориентировано на учреждения образования.

Mosyle

Решение Mosyle также работает только на платформе Apple.

Помимо контроля устройств, применения корпоративных политик безопасности и управления ими, Mosyle умеет запускать удалённо кастомные скрипты, устанавливать приложения из AppStore и с корпоративного сервера. Кроме того, Mosyle отлично масштабируется и позволяет быстро подключать к инфраструктуре компании большое количество новых устройств.

MobileIron

Комплексное решение для управления мобильным парком. Оно работает не только с устройствами и приложениями, но и с контентом. Управление устройствами происходит на основе сертификатов, а всю информацию в телефонах и планшетах MobileIron разделяет на корпоративную и личную.

Для приложений, необходимых пользователям для работы, система имеет собственный магазин. Контроль за контентом она ведёт при помощи встроенного решения класса DLP (защита от утечек информации).

Решение работает на всех платформах. Его недостаток — относительная сложность, необходимость тщательной предварительной настройки и высокая стоимость. Основная аудитория продукта — средний бизнес.

VMware Workspace ONE (AirWatch)

AirWatch — самая функциональная в нашем перечне MDM-система. Она входит в состав Workspace ONE, платформы «цифровой рабочей области» от мирового лидера в области виртуализации VNWare.

Это кроссплатформенное решение, которое позволяет контролировать, администрировать, обеспечивать безопасность и давать доступ к корпоративным приложениям устройствам на любой платформе — Windows, Apple, Android или даже на хромбуках.

Почему внедрение MDM особенно актуально сегодня

Пандемия сделала невозможным прежний режим работы для многих компаний. В скором будущем значительная доля работодателей будет использовать удалённый режим. Это значит, что большинство операций сотрудников с использованием корпоративных информационных систем будет происходить с мобильных устройств (смартфонов или ноутбуков), преимущественно личных.

В апреле 2020 года компания ESET выяснила, что 29% российских компаний оказались готовы к тому, чтобы перейти на «удалёнку» — это высокий показатель, учитывая стремительное развитие событий весной. 71% предприятий отметил, что у них нет ресурсов для полноценного перехода на удалённый режим, при этом наиболее проблемной задачей стало обеспечение безопасности информационных систем.

Справиться с проблемой можно путём внедрения на предприятиях систем управления мобильными устройствами. Они позволят быстро и централизованно привести в соответствие с нормами безопасности все устройства, с которых возможен доступ к корпоративной инфраструктуре. Помимо этого, система наладит контроль и предпримет меры реагирования на кибер-инциденты.

Мы намеренно не даём конкретных рекомендаций по выбору MDM-решения. Компания Macaroon ведёт десятки проектов, связанных с внедрением таких систем. На основе этого опыта мы можем утверждать, что универсальных решений не существует. Конкретный выбор зависит от множества факторов — как технологических, так и экономических.

Сотрудники Macaroon готовы провести анализ потребностей компании, учесть все особенности её инфраструктуры, потребности бизнеса, как существующие, так и перспективные, и предложить заказчику наиболее подходящее решение на основе этих данных.

0
17 комментариев
Написать комментарий...
Andrey Vratsky

Осталось всего-ничего, уговорить сотрудников вкатить MDM на их личные айфоны :)

Ответить
Развернуть ветку
Ivan Susanin

Вопрос от лица сотрудника. Если на моем личном iPhone для пользования рабочими сервисами я соглашаюсь установить MDM, может ли работодатель:
1. Узнать, что мне звонили рекрутеры конкурента?
2. Увидеть, что я в рабочее время сидел на порносайте?
3. Прочитать, что я в телеге договаривался о чем-то противозаконном?
4. Посмотреть на мою home video подборку в галерее?
* Если что, вопросы гипотетически и ничего такого я не делала. Для друга спрашиваю.

Ответить
Развернуть ветку
Всвиторе

А также могут знать где вы находитесь в не рабочее время. 

На все вопросы да. По сути это легальный троян, который мало того, что о вас всё сливает, так ещё позволяет запретить тебе некоторые действия на телефоне. Нахрен это надо это ставить на собственный телефон, я не знаю. Рабство какое-то.

Ответить
Развернуть ветку
Влад Берг

Мотивации наверно можно придумать, но никто же не мешает 2й Афон завести

Ответить
Развернуть ветку
Всвиторе

Эм. Предлагаете мне к собственному айфону купить второй айфон?)

Ответить
Развернуть ветку
Влад Берг

Если это включено в счёт (я думаю работодателю прийдется раскошелиться для таких целей)

Ответить
Развернуть ветку
Mark

Это зависит от того какая ОС (что предоставляется в API) и ваше устройство или корпоративное и т. п.
Вообще концепций минимум 4 основных https://insights.samsung.com/2018/05/09/byod-cyod-cope-cobo-what-do-they-really-mean/
а сами системы давно уже не MDM - было MDM, потом EMM , а сейчас и вовсе UEM
Jamf не ясно почему на 1 месте - Workspace One, вроде по всему миру рулит и даже у нас, хотя есть и пара отечественных решений интересных, но они пока не дотягивают

Ответить
Развернуть ветку
Сергей Крищунс

Трындец - сперва IPv4 закончились, а теперь аббревиатуры начинают заканчиваться. Для меня 3 буквы MDM всегда обозначали master data management. 

Ответить
Развернуть ветку
Павел Бондаренко

Хочешь казаться умным - всегда употребляй аббревиатуры. Если ХКУ, конечно.

Ответить
Развернуть ветку
Всвиторе

В РФ "Третья концепция — BYOD" самое отстойное для сотрудника. Как правило я переводил в 90% взаимоотношение в первых концепт -  COPE.
Оказывается если щемануть "гордость" предпринимателя/начальника мол, "Фу, бичары, даже денег нет на мобилку, может вам лучше закрыться?", деньги сразу находились на корпоративное устройство. Бывало конечно не прокатывал этот трюк. Тогда приходится строить хитро-сложное лицо многозначительно говорящее "Я делаю это в первый и в последний раз". 

Тут просто надо понимать. Либо моё устройство и ты даешь мне ПОЛНУЮ свободу на этом устройстве, либо покупай для работы всё нужное. 

 

Ответить
Развернуть ветку
Дмитрий Малахов

Вот я , к примеру, ничего не понял.
Есть 2 мобильные ос - iOs  и Андроид.

Для доступа к управлению на второй нужно, как я понимаю, android enterprise ?
(что в мире iOs просто не знаю)
Что и как дальше...
Как я понимаю, если у сотрудника устройство без GMS, то enterprise  тоже не подойдет, что делают в таких случаях.

В целом статья поднимает достаточно серьезную проблему, но  вообще не рассказывает шаги по решению.
"Вы звоните, ушат вермишели ждет ваши уши"

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Стальной Женя

А есть нормальные кейсы? Щас идея кажется утопией для очень редких сценариев. Что защищать, если даже в ведомствах все идёт по зуму, а доки на гугле? Насколько тормозит девайс? Кто юзер? Тяжело ли разворачиваать? Что по деньгам? 

Ответить
Развернуть ветку
Павел Бондаренко

Это просто ещё одна, потенциально "дырявая" фича. Которая никак не защитит от Клавдии Ивановны с паролем, наклеенным на мониторе

Ответить
Развернуть ветку
Всвиторе

Использование общедоступных протоколов так-то тоже можно считать превентивной мерой. Отфильтровать нужный запрос из миллиардов запросов к гуглу довольно сложно.

Ответить
Развернуть ветку
Denis Bystruev

Молодцы, спасибо за полезную статью!

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Ленинский кофе

Есть еще ManageEngine, который дает 30 устройств бесплатно с полным функционалом добавить. Вот сейчас пытаюсь в нем BYOD сделать и не получается, не знаю как, хотя COPE делал и работало нормально.

Ответить
Развернуть ветку
Читать все 17 комментариев
null