Android kouše do jablka - díl 3 : Dálková správa iPhone ve firmě

Konečně jsem se dostal do fáze, kdy byl i můj iPhone „adoptován“ do firemní sítě. Naše globální IT oddělení k tomu používá zajímavý produkt s názvem MobileIron. Je to software, který funguje na bázi server – client a je k dispozici pro všechny větší „mobilní“ platformy tj. Blackberry, Android, Windows Phone a iOS.

Existuje i verze  pro Symbian, webOS či OS X. V zásadě jde o produkt, který do prostředí firmy přináší efektivní nástroj jak na dálku spravovat rozličná mobilní zařízení podobně, jako to firmy dělají u klasických notebooků či stolních počítačů. Zásadní vlastností celého řešení je heslo – bezpečnostní politika.

Na každé mobilní zařízení se musí nainstalovat klientská část, která následně komunikuje se serverem. Ten pro každé zařízení využívá sadu nastavení, kterými můžete přesně upravit, jak bude vypadat zařízení, jaké aplikace na něm smí nebo nesmí běžet apod. Nazývá to profil.

V prostředí naší firmy je celý proces nastaven takto :

1) Spustíte iPhone a aktivujete jej. K aktivaci si vytvoříte AppleID

2) Spustíte App Store a nainstalujete MobileIron (MI) klienta, alternativně vám přijde na iPhone SMS, kde je odkaz na stránku, ze které lze otevřít AppStore a MI instalaci.

3) Spustíte MI klienta a vyplníte registrační údaje tj. adresu MI serveru v rámci firmy, uživatelské jméno a heslo a aktivační PIN s omezenou životností. Informace obdržíte do firemní schránky.

4) Klient se spojí se serverem a stáhne příslušný profil, který aplikuje (v podstatě je to totéž jako Active Directory policy v prostředí domény)

5) Započne synchronizace firemních dat

MI klient pak nabízí i možnost provozování tzv. vlastního App Storu a zaměstnanci pak mohou stahovat interně vyvinuté aplikace. Dají se tak šířit i placené aplikace, ke kterým firma zaplatí příslušnou licenci.

Z vlastností MI, které jsou pro naši firmu klíčové, vybírám :

– možnost vymazání obsahu iPhone na dálku, používá se při krádeži

– možnost monitorování běžících aplikací

– dálkové odinstalovávání neautorizovaných aplikací

– pokud je telefon „osazen“ jailbrakem, nepřipojí se do firemních systémů – identifikaci zajistí MI

– pokud dojde k odinstalaci MI, opět nemůžete počítat s integrací do firemních systémů

– možnost vynucování si bezpečnostních nastavení (přes nastavení určitých voleb až po požadavek nastavení Kódového zámku)

Telefon pak funguje ve dvou režimech – plný a karanténa. V plném režimu jsou k dispozici firemní systémy (e-mail + aplikace). Pokud je telefon v karanténě, nemá přístup k těmto aplikacím. Do karantény se dostane buď jailbrakem, zrušením Kódového zámku nebo po instalaci nějaké „závadné“ aplikace. Navíc je zde nutnost minimálně jednou za 30 dní předat polohu pomocí GPS a při nesplnění tohoto požadavku jdete opětovně do karantény.

Použití MI ve firemním prostředí pro uživatele znamená, že veškerá nastavení do firemních systémů jsou provedena „automaticky“ a bez jeho zásahu. Centrální správa pak má k dispozici sadu nástrojů pro dálkovou správu jednotlivých zařízení a monitorování jejich činnosti ve firemních systémech. Při podezřelých operacích pak telefon převede do karantény, případně kompletně smaže. Riziko napadení se tak výrazně snižuje.

Zároveň se s MI otevírá otázka ochrany soukromí zaměstnanců, což se řeší speciální směrnicí, která přesně definuje k jakým účelům se zařízení používá.Nejtvrdší zákony v tomto mají Německo a Rakousko. Nasazení předcházely poměrně zdlouhavé procesy analyzující právní prostředí daného trhu a vše bylo uvedeno do souladu s legislativami jednotlivých zemí (nejenom EU, ale celého světa).  Základním předpokladem je to, že zařízení je vlastněné firmou a jakožto pracovní pomůcka může být adekvátně zajištěno a monitorováno. Zároveň mají zaměstnanci zakázáno používat telefon k soukromým účelům, nicméně rozumné soukromé využití je povoleno. Je však nutno myslet na případ dálkového vymazání, které zároveň postihne i jakákoliv soukromá data na telefonu uložené (třeba e-maily ze soukromé adresy nebo MP3 a fotky). Při přebírání zařízení je zaměstnanec povinen souhlasit s firemní směrnicí, která toto všechno zmiňuje. Když nesouhlasíte, se zařízením nemůžete pracovat.

Testuji MI již druhým týdnem a nepozoruji žádné problémy při jeho chodu. Z pohledu koncového zařízení dostává uživatel stejnou funkčnost jako pod Blackberry, kromě jedné výjimky. Jako firma synchronizujeme proti Microsoft Exchange serveru 2010. Jediné, co se s „Outlookem“ nesynchronizuje, jsou poznámky. Dle vyjádření našeho interního softwarového oddělení je to způsobeno tím, že Apple zatím nezaplatil za licenci právě pro synchronizaci poznámek vůči MSEX 2010. Takže proto neběží. Pro některé uživatele byly však poznámky klíčovou funkcí a teď nemají alternativu. Jako přechodné řešení se nabízí místo poznámek vytvářet úkoly.