当他们谈论MDM(即移动设备管理)时,出于某种原因,每个人都会立即提供一个杀伤开关,该杀伤开关应信息安全员的命令远程破坏丢失的电话。 不,总的来说,这也存在,只是没有烟火作用。 但是,使用MDM仍然可以执行许多其他常规任务,而且更加轻松,更加轻松。
该企业寻求优化和统一流程。 如果以前有新员工不得不走到神秘的地下室,那里有电线和灯泡,那么聪明的红眼睛老人在他的Blackberry上帮忙建立了公司邮件,现在MDM已经成长为一个完整的生态系统,您只需单击两次即可执行这些任务。 我们将讨论安全性,黄瓜醋栗可口可乐以及MDM和MAM,EMM和UEM之间的区别。 还有关于如何远程从事卖馅饼的工作。
星期五在酒吧
即使是最负责任的人有时也会放松。 而且,就像经常发生的那样,他们忘记了咖啡馆和酒吧中的背包,笔记本电脑和手机。 最大的问题是,如果这些设备包含公司敏感信息,那么丢失这些设备将使信息安全部门大为头痛。 同一台Apple的员工设法至少办理了两次登机手续,首先丢失了
原型iPhone 4 ,然后又丢失了
iPhone 5 。 是的,现在大多数手机都具有开箱即用的加密功能,但是默认情况下,同一公司的笔记本电脑并不总是配置有硬盘加密功能。
此外,威胁开始出现,例如针对性地盗窃公司设备以提取有价值的数据。 手机经过加密,所有内容都尽可能安全。 但是,您是否注意到在偷窃手机之前将手机解锁的监视摄像机? 考虑到企业设备上数据的潜在价值,这种威胁模型已经变得非常真实。
一般来说,人们仍然是硬化症。 在美国,许多公司开始将笔记本电脑作为消耗品,这在酒吧,酒店或机场将不可避免地被遗忘。 有证据表明,在美国的同一机场,他们每周会
忘记约12,000台笔记本电脑 ,其中至少有一半包含机密信息,没有任何保护。
所有这些都使安全防护人员蒙上了一层白发,起初导致了MDM(移动设备管理)的发展。 然后,需要在受控设备上管理移动应用程序的生命周期,并且出现了MAM(移动应用程序管理)解决方案。 几年前,他们开始以通用名称EMM(企业移动性管理)进行统一-一种用于管理移动设备的单一系统。 所有这些集中化的最高点是UEM(统一端点管理)解决方案。
亲爱的我们买了动物园
最早出现的是提供移动设备集中管理解决方案的供应商。 最著名的公司之一-黑莓(Blackberry)仍然活着,而且还不感到不适。 即使在俄罗斯,它也存在并销售其产品,主要用于银行业。 SAP和后来被同一个Blackberry收购的Good Technology等各种较小的公司也进入了这个市场。 同时,当公司试图避免员工拖拽个人设备上班的事实时,BYOD的概念越来越流行。
没错,很快就很清楚,技术支持和信息安全已经被诸如“如何在Arch Linux上配置MS Exchange”和“我需要直接VPN连接到私有Git存储库和来自MacBook的产品数据库”之类的请求所震惊。 没有集中式解决方案,就维护整个动物园而言,BYOD的所有节省变成了一场噩梦。 公司需要所有管理都必须自动化,灵活和安全。
在零售业中,历史发展有所不同。 大约10年前,公司突然意识到有移动设备。 过去,员工坐在温暖的电子管监控器后面,附近某个地方有个胡须胡须的主人,看不见,所以一切正常。 随着功能强大的智能手机的出现,现在可以将稀有的专用PDA的功能转移到常规的廉价串行设备上。 同时,人们了解到,该动物园需要以某种方式进行管理,因为存在许多平台,而且平台各不相同:Blackberry,iOS,Android和Windows Phone。 在大型公司中,任何手动手势都可以用脚拍。 这样的过程将消耗宝贵的IT部门和支持人员的工时。
最初,供应商为每个平台提供了单独的MDM产品。 通常只控制运行在iOS或Android上的智能手机。 当我们使用智能手机或多或少地对其进行分类时,结果表明仓库中的数据收集终端也需要以某种方式进行管理。 同时,您确实需要派遣新员工到仓库,以便他只需扫描必要盒子上的条形码并将此数据输入数据库。 如果您在全国各地都有仓库,那么支持将变得非常困难。 必须将每个设备连接到Wi-Fi,安装应用程序并提供对数据库的访问。 使用现代MDM(或更确切地说是EMM),您可以接管管理员,为他提供管理控制台,并在一处使用模板脚本配置数千个设备。
麦当劳码头
在零售业中,有一个有趣的趋势-不再使用固定收银机和商品注册点。 如果您在同一M.Video的较早版本中喜欢水壶,则必须打电话给卖方,并在整个大厅中踩到卖方,直到固定终端。 在途中,服务对象设法忘记了十次为什么要去并改变主意。 冲动购买的影响完全消失了。 现在,MDM解决方案允许卖方立即接近POS终端并付款。 该系统通过单个管理控制台集成并配置仓库终端和卖方。 一次,最早开始改变传统收银机模式的公司之一是麦当劳,其交互式自助服务面板和带有移动终端的女孩在订单中途下单。
汉堡王还开始通过添加一个应用程序来开发其生态系统,该应用程序允许您远程下订单,以便事前准备。 所有这些都被整合到一个和谐的网络中,在员工身上管理着交互式机架和移动终端。
你自己是收银员
许多杂货店通过安装自助收银机来减轻收银员的负担。 地球仪走得更远。 在入口处,他们提供带集成扫描仪的Scan&Go终端,您只需使用扫描仪即可在现场扫描所有货物,将其放入包装并退出,然后付款。 不必在结帐时去掉包装中摆放的杂货。 还对所有终端进行集中管理,并与仓库和其他系统集成。 一些公司正在尝试将类似的解决方案集成到手推车中。
千种口味
另一首歌是自动贩卖机。 它们需要以相同的方式在固件上进行更新,以监视残留的咖啡和奶粉残留。 此外,将其与员工终端同步。 在大公司中,可口可乐在这方面表现突出,它宣布了最原始饮料配方的10,000美元奖金。 从某种意义上说,它允许用户在品牌设备中混合最容易上瘾的组合。 结果,出现了无糖生姜柠檬可乐和香草桃子雪碧的选择。 在出现耳垢之前,就像伯蒂·波特(Bertie Bott)的《每味豆》(Every Flavor Beans)糖果中一样,它们似乎还没有达到,但是非常有决心。 所有遥测和每种组合的流行都受到仔细监控。 所有这些还与用户的移动应用程序集成在一起。
我们正在等待新的口味。
我们卖馅饼
MDM / UEM系统的优点在于,您可以通过远程连接新员工来快速扩展业务。 您可以通过两次单击与系统完全集成,很好地组织另一个城市的有条件蛋糕的销售。 它看起来像这样。
将新设备带给员工。 在盒子里-一张带有条形码的纸。 扫描-设备已激活,已在MDM中注册,获取固件,应用并重新启动。 用户输入他的数据或一次性令牌。 仅此而已。 现在,您有一个新员工,可以访问公司邮件,库存余额数据,必要的应用程序以及与移动支付终端的集成。 一个人到达仓库,拿起货物并将其运送给直接顾客,并使用同一设备接受付款。 几乎就像在策略中雇用几个新单位一样。
看起来像什么
市场上功能最强大的UEM系统之一是VMware Workspace ONE UEM(以前称为AirWatch)。 它使您可以与几乎
所有移动和台式机操作系统以及ChromeOS集成。 甚至Symbian都是直到最近。 Workspace ONE还支持Apple TV。
另一个重要的优点。 在启动新版本的iOS之前,Apple仅允许两个MDM(包括Workspace ONE)来挖掘API。 对每个人来说,充其量只能在一个月之内,然后在两个月之内。
您只需设置必要的使用方案,连接设备,然后如他们所说的那样自动工作。 策略,限制到达,提供了对内部网络资源的必要访问权,填写了密钥并安装了证书。 几分钟后,新员工将拥有一台已经完全准备好工作的设备,必要的遥测从该设备中不断流出。 场景的数量巨大,从在特定地理位置阻止手机的摄像头开始,到通过指纹或面部以SSO结束。
管理员使用启动给用户的所有应用程序配置启动器。
还可以灵活配置所有可能和不可能的参数,例如图标的大小,禁止其移动,禁止呼叫和联系人的图标。 当在餐厅中使用Android平台作为交互式菜单执行类似任务时,此类功能非常有用。
其他供应商有有趣的解决方案。 例如,NII SOKB的EMM SafePhone提供了经过认证的解决方案,可通过加密和录音来安全地传输语音和消息。
路由电话
根深蒂固的电话是用户拥有最大权限的信息安全问题。 不,纯粹是主观的,这是理想的。 您的设备应赋予您完全控制权。 不幸的是,这与要求用户无法影响公司软件的公司任务背道而驰。 例如,他应该不能进入文件的保护区域或进入假GPS装置。
因此,所有供应商都以一种或另一种方式尝试检测受管设备上的任何可疑活动,并在检测到根权限或非标准固件时阻止访问。
Android通常依赖于
SafetyNet API 。 相同的Magisk有时会不时让您绕过其检查,但通常,Google会很快对其进行修复。 据我所知,春季更新后,相同的Google Pay在植根设备上无法再次使用。
代替输出
如果您是大型公司,则应考虑引入UEM / EMM / MDM。 当前的趋势表明,这样的系统正在得到越来越广泛的应用-从作为糖果中的终端机的锁定iPad到与仓库基地和快递终端机的大型集成。 单点管理和快速整合或员工角色的改变提供了很大的优势。
我的邮件是SVinogradskiy@croc.ru