ADG Оставить заявку
Блог Системное администрирование 4 мин чтения

Android в корпоративной среде: ActiveSync-политики и MDM без иллюзий

Клиент хочет корпоративную почту Exchange на личные Android-смартфоны топ-менеджеров. Настраиваем ActiveSync, пин-код, wipe и думаем, чего это стоит.

Контекст момента

Android 2.3/3.0 массово проникает в корпоративный сектор в 2011 году, MDM-решения становятся необходимостью для ИТ-служб

Запрос пришёл от финансового директора клиента - компании из примерно 150 человек с классической Windows-инфраструктурой: Exchange 2010, AD, GPO на все рабочие станции. Директор поменял BlackBerry на Samsung Galaxy S II и хотел, чтобы корпоративная почта работала так же хорошо. Остальные топ-менеджеры, увидев это, выстроились в очередь с такими же просьбами.

Задача формулировалась просто: подключить Exchange на личные Android-устройства, не потеряв при этом контроль над корпоративными данными. На практике это оказалось несколько сложнее, чем «просто добавить аккаунт».

Что умеет Exchange ActiveSync применительно к Android

Хорошая новость: Exchange 2010 через ActiveSync умеет довольно много. Плохая новость: Android эти политики исполняет избирательно, и это зависит от версии прошивки и производителя устройства.

Из того, что реально работало на Android 2.3 через стандартный клиент:

  • Требование пин-кода - задаётся минимальная длина, тип (цифровой или буквенно-цифровой). Пользователь при первой синхронизации получает запрос установить пароль устройства. Без него почта не подключится.
  • Таймаут блокировки - экран блокируется через заданное время. Работало везде.
  • Удалённый wipe - через Exchange Management Console или Outlook Web App можно отправить команду сброса устройства до заводских настроек. На Samsung Galaxy S II сработало при тесте примерно через минуту после команды (устройство было в сети).
  • Максимальное число неудачных вводов пина - после превышения устройство сбрасывается. На тестовом аппарате отработало корректно.

Что оказалось проблемой: шифрование карты памяти. Exchange 2010 может требовать его через политику RequireDeviceEncryption. Android 2.3 формально поддерживает это требование, но реализация у разных производителей разная. На HTC Desire S политика принималась, но карта фактически не шифровалась - устройство рапортовало о compliance, и Exchange ему верил. На Samsung ситуация лучше, но мы не ставили на это.

Как это настраивается со стороны Exchange

В Exchange 2010 ActiveSync-политики настраиваются через Exchange Management Console или командной строкой. Мы создали отдельную политику для мобильных устройств топ-менеджеров:

New-MobileDeviceMailboxPolicy -Name "Executives-Android" `
  -PasswordEnabled $true `
  -MinPasswordLength 6 `
  -MaxInactivityTimeLock 00:10:00 `
  -MaxPasswordFailedAttempts 10 `
  -WipeThresholdEnabled $true `
  -RequireDeviceEncryption $true `
  -AllowNonProvisionableDevices $false

Последний параметр - AllowNonProvisionableDevices $false - ключевой. Он означает, что устройства, которые не умеют принять политику, вообще не синхронизируются. Без него Exchange пускает всех, и политики превращаются в рекомендации.

Политику привязали к конкретным mailbox'ам пользователей, а не к организации целиком - остальные пользователи продолжали работать через Outlook, их не трогали.

Неожиданный вопрос про личные устройства

Здесь выплыл момент, которого клиент не ожидал. Удалённый wipe в Exchange стирает устройство целиком - не только корпоративные данные, но и всё остальное. Личные фото, приложения, контакты. Топ-менеджер на личном смартфоне.

Мы честно об этом предупредили. Реакция была примерно такой: «А можно стереть только почту?» Нет, Exchange так не умеет - это именно device wipe, не selective wipe корпоративного контейнера. Это важное ограничение, и его надо проговаривать до подключения, а не после.

Для полноценного selective wipe нужны уже MDM-решения уровня MobileIron или Sybase Afaria - там корпоративные данные живут в изолированном контейнере, и при wipe стирается только он. Но это отдельный разговор о бюджете и масштабе.

В итоге клиент подписал внутреннюю политику о том, что при увольнении или потере устройства соглашается на полный wipe. Юридически спорно, практически - единственный рабочий вариант при текущем подходе.

Что не решается через ActiveSync

Android-клиент Exchange не является «тонким клиентом» в смысле изоляции данных. Письма кешируются на устройстве, вложения скачиваются во внутреннее хранилище и часто на карту памяти. Если устройство разблокировано или пин подобран - данные доступны.

Мы настроили политику ограничения вложений по размеру (MaxAttachmentSize) и периода синхронизации - максимум 7 дней почты на устройстве. Это уменьшает объём данных в случае инцидента, но не решает проблему принципиально.

Отдельный вопрос - Wi-Fi в офисе. После настройки этого же клиента на 802.1X с сертификатами их личные телефоны оказались в guest VLAN - с доступом в интернет, но без доступа к внутренним ресурсам. ActiveSync работает через интернет (OWA/ActiveSync снаружи), так что это не мешает.

Текущее состояние

Пять устройств подключено, всё работает. Wipe тестировали на одном аппарате добровольно - отработал. Шифрование карты на Samsung Galaxy S II Exchange считает включённым, по факту верим устройству на слово.

Политика подписана, пользователи предупреждены. Это не идеальная защита, но это лучше, чем «просто добавить аккаунт» без каких-либо ограничений.

Если у вас похожая задача - подключить мобильные устройства к корпоративной инфраструктуре и при этом сохранить хоть какой-то контроль - это часть того, чем мы занимаемся в рамках сопровождения инфраструктуры.

Контакт

Нужна такая же инженерная работа?

Опишите задачу и контекст. Ответим в течение рабочего дня, при необходимости подпишем NDA.