ADG Оставить заявку
Блог Управление и процессы 4 мин чтения

Три директорских телефона и вопрос «сделайте безопасно»

Клиент принёс три смартфона с корпоративной почтой и попросил навести порядок. Разбираемся, что такое MDM в 2010 году и с чего начинать.

Контекст момента

Корпоративные смартфоны на Windows Mobile и ранние устройства на Android создают запрос на MDM-решения в 2010

На прошлой неделе к нам пришёл IT-директор одной торговой компании. Принёс три телефона в пакете - буквально в пакете из супермаркета. Внутри: два HTC с Windows Mobile 6.1, один Samsung с Android 1.5. Все три принадлежат членам совета директоров, на всех настроен Exchange ActiveSync с корпоративным почтовым ящиком, на двух ещё и VPN. Задача звучала коротко: «сделайте безопасно».

Мы переглянулись. Задача, в общем-то, понятная. Ответ, в общем-то, нет.

Что именно «безопасно»

Первый разговор ушёл на уточнение требований. У клиента не было никакого формального документа о мобильной политике - просто ощущение, что если директор потеряет телефон в аэропорту, это будет неприятно. Корпоративная почта, часть переписки по сделкам, иногда документы через вложения - всё это лежит на устройствах без какой-либо защиты. Пин-кодов нет ни на одном. Шифрования нет. Удалённого сброса нет.

С этого и начали: не с технологий, а с инвентаризации рисков.

  • Потеря или кража устройства - наиболее реальный сценарий. Без пина и шифрования - открытый доступ ко всей почте и контактам.
  • Несанкционированные приложения - на одном из телефонов обнаружился сторонний почтовый клиент, который тоже ходил на Exchange. Кто его поставил, зачем - директор не помнит.
  • Обновления и патчи - Windows Mobile 6.1 не обновлялся на двух устройствах с момента покупки. Android 1.5 ещё хуже: производитель патчи не выпускает.

MDM в 2010: что есть на рынке

Концепция Mobile Device Management существует, продукты есть, но рынок ещё не устоялся. Из того, что реально можно поставить корпоративному клиенту прямо сейчас, мы рассматривали несколько вариантов.

Exchange ActiveSync политики - самый доступный путь, который уже есть в Exchange 2007. Через политики EAS можно принудительно требовать пин-код, устанавливать минимальную длину, задать таймаут блокировки и разрешить удалённый вайп через OWA или EMC. Работает без дополнительного ПО - устройство просто должно поддерживать EAS Policy Enforcement. HTC на Windows Mobile 6.1 поддерживает нормально. Android 1.5 - частично, часть политик игнорируется.

Microsoft System Center Mobile Device Manager 2008 - продукт Microsoft для управления устройствами на Windows Mobile. Даёт больше: инвентаризацию устройств, push-политики, сертификатную аутентификацию через VPN. Но требует отдельного сервера и лицензий, и работает только с Windows Mobile. Android туда не вписывается никак.

Sybase Afaria - решение для смешанных платформ, поддерживает Windows Mobile и Symbian, Android в последних версиях появляется. Серьёзный продукт с инвентаризацией, политиками, распределением приложений. Цена и сложность внедрения соответствующие - для трёх телефонов директоров явно избыточно.

Third-party агенты - небольшие компании предлагают агентское ПО на устройство, которое отчитывается на центральный сервер. Качество разное, поддержка Android на начальном уровне.

Что выбрали

Для трёх устройств развёртывать SCOM MDM или Afaria - это пушка по воробьям. Остановились на EAS-политиках как первом шаге: они решают самую критичную проблему - отсутствие пина и возможность удалённого вайпа.

На Exchange настроили политику: пин минимум 6 символов, блокировка через 5 минут неактивности, максимум 10 попыток ввода пина перед сбросом, шифрование карты памяти там, где устройство поддерживает.

Директора отреагировали предсказуемо. Один согласился сразу. Второй спросил, нельзя ли «для него сделать исключение». Третий попросил неделю подумать. IT-директор смотрел на это с выражением человека, который давно привык именно к такому распределению.

С Android 1.5 вышло хуже: политика пришла, устройство её «приняло», но шифрование карты памяти не включилось - платформа просто не реализует этот кусок EAS. Обходного пути нет, кроме смены устройства или ручной настройки.

Что дальше

EAS-политики - это то, что можно сделать прямо сейчас с минимальными усилиями и без отдельного ПО. Но это не полноценное управление устройствами: нет инвентаризации, нет контроля приложений, нет журналирования действий пользователя. Если у клиента наберётся десяток-другой корпоративных устройств на разных платформах, EAS будет недостаточно.

Параллельно мы начали готовить для клиента документ - политику использования мобильных устройств. Не технический конфиг, а человекочитаемый регламент: что разрешено, что нет, что происходит при потере. Потому что даже идеально настроенный MDM не помогает, если сотрудник не понимает, почему телефон заблокировался и как звонить в поддержку.

Тема мобильных устройств в корпоративной среде у нас теперь явно прописана в сопровождении отдельным пунктом. Три телефона в пакете из супермаркета - хорошее напоминание, что инфраструктура давно вышла за периметр серверной комнаты.

Контакт

Нужна такая же инженерная работа?

Опишите задачу и контекст. Ответим в течение рабочего дня, при необходимости подпишем NDA.