Android kouše do jablka - díl 3 : Dálková správa iPhone ve firmě
Konečně jsem se dostal do fáze, kdy byl i můj iPhone „adoptován“ do firemní sítě. Naše globální IT oddělení k tomu používá zajímavý produkt s názvem MobileIron. Je to software, který funguje na bázi server – client a je k dispozici pro všechny větší „mobilní“ platformy tj. Blackberry, Android, Windows Phone a iOS.
Existuje i verze pro Symbian, webOS či OS X. V zásadě jde o produkt, který do prostředí firmy přináší efektivní nástroj jak na dálku spravovat rozličná mobilní zařízení podobně, jako to firmy dělají u klasických notebooků či stolních počítačů. Zásadní vlastností celého řešení je heslo – bezpečnostní politika.
Na každé mobilní zařízení se musí nainstalovat klientská část, která následně komunikuje se serverem. Ten pro každé zařízení využívá sadu nastavení, kterými můžete přesně upravit, jak bude vypadat zařízení, jaké aplikace na něm smí nebo nesmí běžet apod. Nazývá to profil.
V prostředí naší firmy je celý proces nastaven takto :
1) Spustíte iPhone a aktivujete jej. K aktivaci si vytvoříte AppleID
2) Spustíte App Store a nainstalujete MobileIron (MI) klienta, alternativně vám přijde na iPhone SMS, kde je odkaz na stránku, ze které lze otevřít AppStore a MI instalaci.
3) Spustíte MI klienta a vyplníte registrační údaje tj. adresu MI serveru v rámci firmy, uživatelské jméno a heslo a aktivační PIN s omezenou životností. Informace obdržíte do firemní schránky.
4) Klient se spojí se serverem a stáhne příslušný profil, který aplikuje (v podstatě je to totéž jako Active Directory policy v prostředí domény)
5) Započne synchronizace firemních dat
MI klient pak nabízí i možnost provozování tzv. vlastního App Storu a zaměstnanci pak mohou stahovat interně vyvinuté aplikace. Dají se tak šířit i placené aplikace, ke kterým firma zaplatí příslušnou licenci.
Z vlastností MI, které jsou pro naši firmu klíčové, vybírám :
– možnost vymazání obsahu iPhone na dálku, používá se při krádeži
– možnost monitorování běžících aplikací
– dálkové odinstalovávání neautorizovaných aplikací
– pokud je telefon „osazen“ jailbrakem, nepřipojí se do firemních systémů – identifikaci zajistí MI
– pokud dojde k odinstalaci MI, opět nemůžete počítat s integrací do firemních systémů
– možnost vynucování si bezpečnostních nastavení (přes nastavení určitých voleb až po požadavek nastavení Kódového zámku)
Telefon pak funguje ve dvou režimech – plný a karanténa. V plném režimu jsou k dispozici firemní systémy (e-mail + aplikace). Pokud je telefon v karanténě, nemá přístup k těmto aplikacím. Do karantény se dostane buď jailbrakem, zrušením Kódového zámku nebo po instalaci nějaké „závadné“ aplikace. Navíc je zde nutnost minimálně jednou za 30 dní předat polohu pomocí GPS a při nesplnění tohoto požadavku jdete opětovně do karantény.
Použití MI ve firemním prostředí pro uživatele znamená, že veškerá nastavení do firemních systémů jsou provedena „automaticky“ a bez jeho zásahu. Centrální správa pak má k dispozici sadu nástrojů pro dálkovou správu jednotlivých zařízení a monitorování jejich činnosti ve firemních systémech. Při podezřelých operacích pak telefon převede do karantény, případně kompletně smaže. Riziko napadení se tak výrazně snižuje.
Zároveň se s MI otevírá otázka ochrany soukromí zaměstnanců, což se řeší speciální směrnicí, která přesně definuje k jakým účelům se zařízení používá.Nejtvrdší zákony v tomto mají Německo a Rakousko. Nasazení předcházely poměrně zdlouhavé procesy analyzující právní prostředí daného trhu a vše bylo uvedeno do souladu s legislativami jednotlivých zemí (nejenom EU, ale celého světa). Základním předpokladem je to, že zařízení je vlastněné firmou a jakožto pracovní pomůcka může být adekvátně zajištěno a monitorováno. Zároveň mají zaměstnanci zakázáno používat telefon k soukromým účelům, nicméně rozumné soukromé využití je povoleno. Je však nutno myslet na případ dálkového vymazání, které zároveň postihne i jakákoliv soukromá data na telefonu uložené (třeba e-maily ze soukromé adresy nebo MP3 a fotky). Při přebírání zařízení je zaměstnanec povinen souhlasit s firemní směrnicí, která toto všechno zmiňuje. Když nesouhlasíte, se zařízením nemůžete pracovat.
Testuji MI již druhým týdnem a nepozoruji žádné problémy při jeho chodu. Z pohledu koncového zařízení dostává uživatel stejnou funkčnost jako pod Blackberry, kromě jedné výjimky. Jako firma synchronizujeme proti Microsoft Exchange serveru 2010. Jediné, co se s „Outlookem“ nesynchronizuje, jsou poznámky. Dle vyjádření našeho interního softwarového oddělení je to způsobeno tím, že Apple zatím nezaplatil za licenci právě pro synchronizaci poznámek vůči MSEX 2010. Takže proto neběží. Pro některé uživatele byly však poznámky klíčovou funkcí a teď nemají alternativu. Jako přechodné řešení se nabízí místo poznámek vytvářet úkoly.
-
Související články na blogu Tady je Svaťasovo - den za dnem v IT
-
Novinářská zkratka a nevědomost v praxi 8. 8. 2012 8:49
-
Android kouše do jablka - díl 1 : Aplikace, které nechci ztratit 6. 8. 2012 8:40
-
Android kouše do jablka - díl 0 : Jak to všechno začalo 31. 7. 2012 9:03
-
Geek s rodinou v zádech – Co je k dispozici geekovi? 18. 6. 2014 13:38
-
Microsoft Windows - Lubuntu 0 : 4 2. 4. 2014 7:26
-
Když se umí marketing aneb Volání zdarma 20. 9. 2013 8:58
-
-
Související články na ostatních blozích
-
MacBook Pro očima Linuxáka - část 2 / 2 18. 5. 2011 7:00
-
iDevcamp očima androiďáka 23. 6. 2010 14:04
-
Vztah Apple Inc. k Adobe Flash 29. 4. 2010 21:58
-
Apple a nesvobodné systémy. Je to před nebo už za hranicí 11. 4. 2010 21:44
-
Co dnešní generace nikdy nepochopí 10. 6. 2008 21:30
-
Recenze: Chromebook Education 11 3189 2-in-1 (2017) 30. 12. 2018 1:37
-
-
Související články na serveru Root.cz
-
Postřehy z bezpečnosti: chytré televize, chytré zranitelnosti? 15. 4. 2024 0:00
-
Změna paradigmatu ve světě PC už je vidět: vláda Intelu a Windows je pryč 26. 1. 2024 0:00
-
Postřehy z bezpečnosti: příběh malwaru QakBot zřejmě ještě není u konce 9. 10. 2023 0:00
-
Postřehy z bezpečnosti: hlídač s dírou ve vlastním plotě 31. 7. 2023 8:20
-
Postřehy z bezpečnosti: konec světového dne hesel 8. 5. 2023 8:00
-
Apple CarPlay: auto pod taktovkou jablečného světa 28. 2. 2023 0:00
-
-
Tomáš (neregistrovaný)
Jenom by mě zajímalo, jestli je ta aplikace MobileIron v souladu s požadavky Apple na aplikace v Appstore. Přijde mi, že může dělat docela dost věcí a Apple nemá rád, když se mu někdo hrabe do systému. (A naopak jsou lidé, kterým se nelíbí, že se nemůžou vrtat v systému, proto vznikl jailbreak a pokud můžu soudit, tak rozumných aplikací pro jailbreaknutý telefon je stejně málo -- asi tak 10, pak tam straší stovky balíčků s upravenými obrázky a ikonkami.)
-
Jimbo (neregistrovaný)
Měl bych podobnou otázku - ale jako iOS vývojář vím, že to, co Sváťa popisuje ani není pro běžné aplikace technicky možné. Normální aplikace běží v sandboxu a není možné z nich provádět věci typu "odinstalování neautorizovaných aplikací", protože prostě toto API tam není možné zavolat nebo toto volání selže (a IMHO ani žádné takové veřejné API neexistuje). A i kdyby existovalo nějaké neveřejné API, tak by si to kernel pohlídal a nenechal zavolat. Takže nejen že "Apple nemá rád, když se mu někdo hrabe do systému", ale on tomu úspěšně brání tímto sandboxem.
Z toho vyplývá moje otázka: Jak to sakra dělaj? Mě se zdá, že jsou s Applem přímo domluvení, že mohou běžet v nějakém volnějším režimu a volat API, které normálně používat nelze.
-
Pavel (neregistrovaný)
Jistě že to dělají s podporou Apple - tenhle typ licence existuje oficielně a velké firmy to mívají.
https://developer.apple.com/programs/ios/enterprise/
http://www.apple.com/iphone/business/integration/ -
Svatopluk Vít (neregistrovaný)
[3] Tak z toho je vidět, že provázanost firmy vyvíjející MobileIron s Applem bude asi větší (i kdyby to měly být nějaké jiné "Enterprise vývojové programy").
Například vím, že celkem unikát je i ona detekce jailbreaku v telefonu, kde to různí vývojáři na některých fórech také řeší. Já se přiznám, že vůbec nemám žádné podrobnější informace o tom, jak to u nás ve firmě chodí a jak moc je "naše" svázanost s Applem a potažmo Mobile ironem.
-
JirkaS (neregistrovaný)
Tak jen pro zajímavost opět přidám něco od nás. Nástup chytrých telefonů byl tak rychlý, že zahraniční centrála vůbec nezareagovala a jednotlivé "business unity" (zjednodušeně jednotlivé státy) musely zareagovat samostatně. V CZ a SK se zavedl a běží také MobileIron. Nicméně dodatečně bylo rozhodnuto o přechodu na jednotný systém (jehož jméno si teď nedokážu vybavit ani vygooglovat).
Nejvíce připojených zařízení má Symbian, pár lidí v managementu ma iOS a zkušebně je tu několik málo Androidů.
MobileIron byl již opakovaně použit a nejzajímavější jsou případy, kdy si pro z auta ukradený iPad přišli přímo do hospody, kam s ním zloděj zašel a nebo si pro ukradený Nokia mobil přišli do servisu, kam ho zloděj odnesl poté, co byl přes MobileIron zablokován. :-)
-
Jimbo (neregistrovaný)
Aha, díky za info [5], [9], koukám, že na http://images.apple.com/iphone/business/docs/iOS_MDM_Mar12.pdf mají seznam "schopností", které jsou tyto MDM softwary schopné s pomocí Applích push notifikací zjistit/změnit/nastavit.
