MDM (Mobile Device Management)
MDM (Mobile Device Management, управление мобильными устройствами) — это набор решений и технологий для централизованного управления смартфонами, планшетами, ноутбуками и другими мобильными устройствами, которые используются в рабочих целях. MDM распространяется как на корпоративные мобильные устройства, так и на личные устройства сотрудников компании, имеющих доступ к корпоративным данным.
История MDM
Необходимость в MDM возникла в связи с ростом использования мобильных устройств для рабочих задач. Первые MDM-решения появились еще в начале 2000-х. Впоследствии в результате широкого распространения смартфонов Blackberry и iPhone появился тренд на политику Bring Your Own Device (BYOD), которая предполагает работу с личных устройств. Благодаря этому вопрос централизованного управления мобильными устройствами встал еще более остро, что ускорило развитие MDM-технологий.
Возможности MDM
Система управления мобильными устройствами обычно состоит из серверной и клиентской части. Клиентская часть устанавливается непосредственно на устройство и взаимодействует с серверной по защищенному каналу.
При помощи MDM-решения администратор может:
- Устанавливать, обновлять и удалять приложения и сертификаты.
- Ограничивать использование сторонних приложений на устройстве.
- Отслеживать местоположение устройства.
- Удаленно настраивать устройство в соответствии с политиками безопасности организации.
- Запрещать выполнение определенных действий на устройстве, например передачу документов в облачные хранилища.
- Шифровать данные на устройстве.
- Удаленно блокировать устройства.
- Удалять конфиденциальные данные в случае утери устройства.
Задачи, которые решает MDM
Централизованное управление мобильными устройствами позволяет организации:
- с одинаковой надежностью защищать все конечные точки в организации, в том числе применять активный поиск угроз на мобильных устройствах;
- обеспечивать сотрудникам безопасный доступ к корпоративным сервисам и ресурсам;
- контролировать использование корпоративных данных и управлять доступом к небезопасным сервисам и ресурсам;
- удаленно обновлять устройства, используя OTA, и оказывать техническую поддержку сотрудникам.
Кроссплатформенность MDM
Большинство MDM-решений позволяют управлять устройствами различных производителей, однако существуют MDM-системы, ориентированные на ограниченный набор устройств. Так, Apple Configurator подходит для управления смартфонами и планшетами на базе iOS и iPadOS, а также умными телевизорами с tvOS.
Публикации на схожие темы
- Как совместить мобильность и безопасность
- Как получить все плюсы удаленной работы без ущерба для безопасности
- Работа из дома: техника безопасности
- Злой двойник Telegram атакует китайских пользователей
- Развитие информационных угроз во втором квартале 2023 года. Мобильная статистика
- Развитие информационных угроз в первом квартале 2023 года. Мобильная статистика
What is MDM?
Did you know that frustration, low productivity, data loss, and breaches at the workplace are caused by minor computer-related issues?
That’s why we’ve built the award-winning utility app to avoid those dreadful consequences with a single Scan. CleanMyMac X for Business is a handy and effortless way to maintain corporate Mac devices: clean, optimized, and performing at the highest capacity. Learn more!
Features described in this article refer to the MacPaw site version of CleanMyMac X.
Take a second to think about how many mobile devices you have in your enterprise. Sure, you’ve got iPhones and probably a few iPads. But you haven’t even started counting the laptops and other miscellaneous devices that can easily be taken outside the four walls of your office.
How are you supposed to manage all of those devices? What are you supposed to do if those users work remotely full-time? That’s why you need mobile device management tools. Keep reading to learn about features you should look for in an MDM server and get a recommendation for a few of the best ones that are currently in the market.
What is MDM software?
As mobile devices make their way into the enterprise environment, they pose a greater security risk for your company because they have access to sensitive data, which makes them a prime target for hackers everywhere.
But thankfully, using mobile device management, or MDM, as a solution, you can track and monitor any suspicious activity happening on your users’ phones. You can also use your MDM profiles to enforce password changes and elevate IT security.
Best mobile device management features
When you start looking for an MDM solution, the whole process can be intimidating. Everyone’s must-have list is going to vary. But there are five features that should be on every list because of how much easier they will make your life.
This is actually a pretty big one depending on your level of security, equipment, and general knowledge of mobile device management. If you’re just starting to implement a system for your company, finding an MDM tool hosted in the cloud will make things easier for you. And those are typically more user-friendly.
If you have the team or the know-how, you might want to consider an on-premises solution. Sure, it may not be as easy or convenient, but it will keep your environment more secure in the long run.
This seems pretty obvious now, but it’s easy to forget all of the devices you need to support. Whichever platform you go with, make sure it supports not just macOS but also iOS and iPadOS if you’re expecting to manage those, too. You might want to look into platforms that can manage Windows and Chrome OS as well.
Finding a mobile device management platform that allows you to create profiles can save you a lot of time. With a good MDM tool, you shouldn’t have to do things like set the time, add printers, or even configure the Wi-Fi settings.
Chances are if you’re looking into mobile device management tools, then you’re also working with help desk tickets, project management tools, and other various systems for your IT team. Better MDM platforms will integrate with a variety of systems, including other device managers like Apple Business or Active Directory.
This feature is basically the main reason why you’d want an MDM to begin with, but it’s still worth mentioning. How does the system work to push updates to devices? Do they have to be on your internal network? Or can devices talk to your MDM from wherever they are?
If Facebook and other high-performing companies use CleanMyMac X, shouldn’t you?
CleanMyMac X for Business is the most convenient utility toolbox for enterprises to maintain corporate Mac devices clean, optimized, and productive.
Find out more here. Or fill out the ✏️ form to consult with our team on how CleanMyMac X can help your business.
Top 3 MDM solutions
Now you’re convinced a mobile device management tool is what your organization needs, but where do you start? Well, you’re in luck. Here are the top three mobile device managers for Apple products you should explore.
1. Jamf
Arguably the most popular platform available today. Jamf’s mobile device management tool comes with all of the aforementioned features. Not to mention, it’s part of a suite of tools that will help you manage devices’ software licenses and provide a self-service solution to your users.
All around, Jamf is the best that’s out there. But that also means you’ll be paying for the best. And there can be a bit of a learning curve when you first start.
Learn more about Jamf.
2. Kandji
Kandji is another great management platform. It offers a lot of the same functionality and features that Jamf does but with perhaps a bit more user-friendly approach. They have a pre-built library of policies and automation built into their MDM server. So, you don’t have to worry about learning any of the specifics to start enforcing those unless you want to.
While Kandji can be easier to use, keep in mind you might not be able to get some of the more granular control you get with Jamf.
Learn more about Kandji.
3. Ivanti
Formerly known as MobileIron, Ivanti is a cross-platform mobile device manager. It works with iOS, macOS, Chrome OS, and Windows. Ivanti checks a lot of the same boxes as Jamf and Kandji. And like them both, Ivanti’s MDM server is part of a larger tool for a complete endpoint management solution.
All of your users will have a device that you need to manage, if not three. Whether they’re corporate-owned or personal, they should be following specific protocols to protect your business if they’re being used to access company data. With the help of a mobile device manager, a few people can support and manage many devices, which can be a great benefit for large enterprises.
MDM в Android: плюсы, минусы, подводные камни
Как только у сотрудника какой-либо компании появляется необходимость выполнять задачи на мобильных устройствах (пусть даже элементарно читать рабочую почту) и, соответственно, получать с них доступ к данным компании, появляются риски. Мобильные устройства (как и все эндпоинты) подвержены ряду уязвимостей — приложения, установленные не через официальные магазины, могут оказаться вредоносными; подключение к незащищенной Wi-Fi-сети может привести к утечке данных; устройство может быть утеряно или украдено… Отсюда возникают самые популярные сценарии управления устройствами — удаленное стирание данных, ограничение на источники установки приложений, требования к используемым сетям, запрет копирования конфиденциальных данных (например, на внешний носитель) и другие.
Тут-то и появляется необходимость в MDM, или Mobile Device Management, — наборе сервисов для защиты мобильных устройств сотрудников компании.
Меня зовут Мария Глущенко, я — Android-разработчик. В этой статье расскажу, какие режимы доступны для ОС Android и как реализовывать их функционал, в чем преимущества и недостатки этих решений и как мы их используем в мобильной команде «Лаборатории Касперского».
Какие бывают управляемые режимы
Вообще существует несколько крупных решений, включающих в себя, как правило, эндпоинт-приложения для всех популярных платформ — Windows/Linux/macOS/Android/iOS, а также администраторскую консоль управления. Среди крупных вендоров можно отметить Microsoft с их Intune и VMWare с Workspace One. Про MDM в iOS можно прочитать в этой статье моего коллеги Дениса Кудинова. Я же расскажу, как обстоит дело в Android.
ОС Android предоставляет возможности задавать на устройстве разные управляемые режимы в зависимости от потребностей конкретной компании. Общепринятая градация выглядит так:
● BYOD (bring your own device) — рабочие задачи могут выполняться с личного устройства сотрудника. В таком сценарии админ контролирует только рабочее пространство и не имеет доступа к персональным настройкам и данным. Это реализуется через рабочий профиль.
● COPE (company owned, personally enabled) — устройства предоставляет компания, но сотрудники могут использовать их также и в личных целях. Такой сценарий может быть реализован через механизм device owner с мягкими политиками или также через рабочий профиль.
● COBO (company owned, business only) — устройства предоставляет компания, и ими можно пользоваться только в рабочих целях, что достигается жесткими ограничениями на список разрешенных приложений и тому подобное. Для реализации такого сценария нужен механизм device owner.
● COSU (company owned, single use; новое официальное название — dedicated devices) — так называемый режим киоска, когда на устройстве могут быть заблокированы даже домашний экран, «шторка» и настройки, а для использования доступен минимальный набор приложений (часто — только одно). Для конфигурирования киоска существует отдельный механизм.
Рассмотрим механизмы и API, позволяющие реализовать такие режимы, подробнее.
1. Device Administrator — легаси-решение для энтерпрайза, появившееся еще в Android 2.2 до того, как была придумана концепция отдельного рабочего пространства (об этом далее). Начиная с Android 9, с каждой новой версией все больше возможностей этого API помечаются как deprecated, поэтому использовать это решение напрямую в новых приложениях не рекомендуется. Однако стоит отметить, что и для последовавших более продвинутых решений Device Administrator является основой и должен быть реализован в приложении, поэтому стоит поговорить о деталях его имплементации.
How To:
● В манифесте должен быть прописан ресивер, наследующий DeviceAdminReceiver, с разрешением BIND_DEVICE_ADMIN и интент‑фильтром ACTION_DEVICE_ADMIN_ENABLED.
● В манифесте также должен быть указан xml‑файл с перечислением политик безопасности, которыми хочет управлять приложение.
● Чтобы активировать приложение как администратора устройства, нужно отправить интент с действием ACTION_ADD_DEVICE_ADMIN и получить явное подтверждение от пользователя в диалоговом окне:
Политики, доступные для управления:
● обязательная установка пароля для устройства и различные требования к его длине и сложности;
● автоматическая блокировка устройства после определенного периода неактивности;
● дистанционное удаление данных;
● обязательное шифрование файловой системы устройства.
Пример device admin-а в манифесте:
При подготовке материала использовались источники:
https://macpaw.com/how-to/mobile-device-management
https://habr.com/ru/companies/kaspersky/articles/717496/