Android в корпоративной среде: ActiveSync-политики и MDM без иллюзий
Клиент хочет корпоративную почту Exchange на личные Android-смартфоны топ-менеджеров. Настраиваем ActiveSync, пин-код, wipe и думаем, чего это стоит.
Android 2.3/3.0 массово проникает в корпоративный сектор в 2011 году, MDM-решения становятся необходимостью для ИТ-служб
Запрос пришёл от финансового директора клиента - компании из примерно 150 человек с классической Windows-инфраструктурой: Exchange 2010, AD, GPO на все рабочие станции. Директор поменял BlackBerry на Samsung Galaxy S II и хотел, чтобы корпоративная почта работала так же хорошо. Остальные топ-менеджеры, увидев это, выстроились в очередь с такими же просьбами.
Задача формулировалась просто: подключить Exchange на личные Android-устройства, не потеряв при этом контроль над корпоративными данными. На практике это оказалось несколько сложнее, чем «просто добавить аккаунт».
Что умеет Exchange ActiveSync применительно к Android
Хорошая новость: Exchange 2010 через ActiveSync умеет довольно много. Плохая новость: Android эти политики исполняет избирательно, и это зависит от версии прошивки и производителя устройства.
Из того, что реально работало на Android 2.3 через стандартный клиент:
- Требование пин-кода - задаётся минимальная длина, тип (цифровой или буквенно-цифровой). Пользователь при первой синхронизации получает запрос установить пароль устройства. Без него почта не подключится.
- Таймаут блокировки - экран блокируется через заданное время. Работало везде.
- Удалённый wipe - через Exchange Management Console или Outlook Web App можно отправить команду сброса устройства до заводских настроек. На Samsung Galaxy S II сработало при тесте примерно через минуту после команды (устройство было в сети).
- Максимальное число неудачных вводов пина - после превышения устройство сбрасывается. На тестовом аппарате отработало корректно.
Что оказалось проблемой: шифрование карты памяти. Exchange 2010 может требовать его через политику RequireDeviceEncryption. Android 2.3 формально поддерживает это требование, но реализация у разных производителей разная. На HTC Desire S политика принималась, но карта фактически не шифровалась - устройство рапортовало о compliance, и Exchange ему верил. На Samsung ситуация лучше, но мы не ставили на это.
Как это настраивается со стороны Exchange
В Exchange 2010 ActiveSync-политики настраиваются через Exchange Management Console или командной строкой. Мы создали отдельную политику для мобильных устройств топ-менеджеров:
New-MobileDeviceMailboxPolicy -Name "Executives-Android" `
-PasswordEnabled $true `
-MinPasswordLength 6 `
-MaxInactivityTimeLock 00:10:00 `
-MaxPasswordFailedAttempts 10 `
-WipeThresholdEnabled $true `
-RequireDeviceEncryption $true `
-AllowNonProvisionableDevices $false
Последний параметр - AllowNonProvisionableDevices $false - ключевой. Он означает, что устройства, которые не умеют принять политику, вообще не синхронизируются. Без него Exchange пускает всех, и политики превращаются в рекомендации.
Политику привязали к конкретным mailbox'ам пользователей, а не к организации целиком - остальные пользователи продолжали работать через Outlook, их не трогали.
Неожиданный вопрос про личные устройства
Здесь выплыл момент, которого клиент не ожидал. Удалённый wipe в Exchange стирает устройство целиком - не только корпоративные данные, но и всё остальное. Личные фото, приложения, контакты. Топ-менеджер на личном смартфоне.
Мы честно об этом предупредили. Реакция была примерно такой: «А можно стереть только почту?» Нет, Exchange так не умеет - это именно device wipe, не selective wipe корпоративного контейнера. Это важное ограничение, и его надо проговаривать до подключения, а не после.
Для полноценного selective wipe нужны уже MDM-решения уровня MobileIron или Sybase Afaria - там корпоративные данные живут в изолированном контейнере, и при wipe стирается только он. Но это отдельный разговор о бюджете и масштабе.
В итоге клиент подписал внутреннюю политику о том, что при увольнении или потере устройства соглашается на полный wipe. Юридически спорно, практически - единственный рабочий вариант при текущем подходе.
Что не решается через ActiveSync
Android-клиент Exchange не является «тонким клиентом» в смысле изоляции данных. Письма кешируются на устройстве, вложения скачиваются во внутреннее хранилище и часто на карту памяти. Если устройство разблокировано или пин подобран - данные доступны.
Мы настроили политику ограничения вложений по размеру (MaxAttachmentSize) и периода синхронизации - максимум 7 дней почты на устройстве. Это уменьшает объём данных в случае инцидента, но не решает проблему принципиально.
Отдельный вопрос - Wi-Fi в офисе. После настройки этого же клиента на 802.1X с сертификатами их личные телефоны оказались в guest VLAN - с доступом в интернет, но без доступа к внутренним ресурсам. ActiveSync работает через интернет (OWA/ActiveSync снаружи), так что это не мешает.
Текущее состояние
Пять устройств подключено, всё работает. Wipe тестировали на одном аппарате добровольно - отработал. Шифрование карты на Samsung Galaxy S II Exchange считает включённым, по факту верим устройству на слово.
Политика подписана, пользователи предупреждены. Это не идеальная защита, но это лучше, чем «просто добавить аккаунт» без каких-либо ограничений.
Если у вас похожая задача - подключить мобильные устройства к корпоративной инфраструктуре и при этом сохранить хоть какой-то контроль - это часть того, чем мы занимаемся в рамках сопровождения инфраструктуры.