- Что такое UEM, MDM и EMM?
MDM (Mobile Device Management) – это управление мобильными устройствами, включая настройку политик безопасности, настройку беспроводных сетей и дистанционное выполнение команд, таких как удалённая блокировка или сброс к заводским настройкам при потере или краже устройства.
EMM (Enterprise Mobility Management) – более широкое понятие, включающее не только управление устройствами (MDM), но и управление мобильными приложениями (Mobile Application Management, MAM) и мобильным контентом (Mobile Content Management, MCM).
UEM (Unified Endpoint Management) предоставляет возможность управления не только мобильными устройствами такими как смартфоны и планшеты, но и стационарными устройствами: ПК, ноутбуки, предоставляя единую панель для управления устройствами, приложениями и данными. Это эволюция и сочетание MDM и EMM с возможностями традиционных инструментов управления клиентами
SafeMobile относится к классу UEM-решений.
- Что такое UEM SafeMobile?
UEM SafeMobile — комплексная платформа для централизованного управления мобильными устройствами в организации.
UEM SafeMobile автоматизирует процессы управления смартфонами, планшетами и ноутбуками, позволяет централизованно управлять приложениями на устройстве сотрудника и обеспечивает безопасность корпоративной информации.
Подробнее о функционале UEM SafeMobile можно узнать по ссылке
- Чем EMM SafePhone отличается от UEM SafeMobile?
UEM SafeMobile — следующее поколение решения EMM SafePhone, которое объединяет управление всеми конечными точками, предоставляя единую панель для управления мобильными устройствами, приложениями и данными.
Подробнее о функционале UEM SafeMobile можно узнать по ссылке
- Можно как-то оценить эффективность от внедрения UEM системы?
Можете скачать с нашего сайта интересный отчет «Оценка экономического эффекта от использования UEM» компании J’son & Partners Consulting, а также расчитать эфективность для вашего конкретного проекта на нашем сайте.
- Может ли приостановиться работа UEM SafeMobile в России?
UEM SafeMobile — российское решение от резидента Сколково — НИИ СОКБ ЦР, полностью отечественная разработка, которая может заменить, такие решения класса UEM, MDM, EMM как Airwatch, Mobileiron, Citrix Workspace, IBM MaaS 360 и другие. Запись в реестре отечественного ПО от 15.10.2021 №11745.
- Как подробнее узнать про ваш продукт? Есть ли варианты демонстрации решения?
Вы можете заказать демонстрацию решения нажав на соотвествующую кнопку по ссылке https://safe-mobile.ru/product/documentation/. Мы попросим вас сообщить детали вашего проекта, покажем презентацию и интерфейс системы, ответим на ваши вопросы. Также можем предложить бесплатный двухнедельный пилот из нашего ЦОД.
- Каким требованиям соответствует UEM SafeMobile?
UEM SafeMobile прошел сертификацию ФСТЭК России, включен в Единый реестр российских программ для электронных вычислительных машин и баз данных (запись в реестре №11745 от 15.10.2021 г.). Приобретение лицензий и услуг технической поддержки отечественного продукта UEM SafeMobile является приоритетным по сравнению с зарубежными аналогами в соответствие с постановлением Правительства РФ от 16 сентября 2016 г. №925.
UEM SafeMobile позволяет реализовать требования ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций» для защиты мобильных устройств банковского сектора.
UEM SafeMobile соответсвует требованиям ИБ для организации доступа к государственным информационным системам (ГИС) и информационным системам персональных данных (ИСПДн).
- Какие операционные системы поддерживает UEM SafeMobile?
SafeMobile поддерживает операционные системы Android, iOS, Windows, Аврора, Alt и Astra Linux.
Узнать больше про совместимость можно по ссылке.
- Как удалить UEM SafeMobile с устройства и может ли пользователь сделать это?
Пользователь Android не может самостоятельно удалить UEM SafeMobile с устройства.
Запретить удаление UEM SafeMobile на устройствах iOS нельзя. Это ограничение установлено производителем Apple для всех UEM/EMM/MDM решений. При этом Apple обеспечивает сохранность данных организации – если сотрудник удалил UEM SafeMobile со своего iOS-устройства, с него будут автоматически удалены все корпоративные настройки и приложения. Это исключает возможность несанкционированного доступа к данным компании с неуправляемых iOS устройств.
- Что делать при потере или краже мобильного устройства и можно ли повторно использовать лицензию UEM SafeMobile для этого устройства?
При потере или краже мобильного устройства необходимо обратиться в службу ИТ-поддержке своей компании. Для предотвращения утечек корпоративных данных ИТ-специалисты смогут с помощью UEM Safemobile определить его местоположение, сбросят все настройки до заводских и удалят корпоративные данные.
В случае потери или кражи устройства лицензия UEM SafeMobile переустанавливается на другое мобильное устройство.
- Какие устройства поддерживает UEM SafeMobile?
UEM SafeMobile работает с мобильными телефонами, смартфонами, планшетами, ноутбуками, персональными компьютерами и IoT-устойствами. Парк устройств постоянно расширяется с развитием цифровизации компаний и потребностями наших клиентов.
Перечень устройств, проверенных на совместимость, доступен по ссылке.
- Зачем нам переходить с западных UEM?
- Если будет нужно аттестоваться по ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций», то ЦБ может отказать, потому что в КИИ больше нельзя покупать зарубежное ПО.
- Без поддержки может не получиться продлить MDM push-сертификат для управления iOS устройствами. Его нужно обновлять раз в год.
- Без поддержки нет обновлений. Текущие версии западных UEM могут не поддерживать Android 13-14-…, iOS 16-17-…
- Иностранные UEM продолжают выпускать обновления своего ПО, устраняя в нем те или иные уязвимости. Без обновления системы есть риск, что ваша система рано или поздно станет уязвимой. Если же делать обновления системы UEM, получая софт из неофициальных источников, то есть риск столкнуться с вирусным кодом или получить закладки с ПО, а также ситуацией, когда ваши устройства или система лишится части функционала или станет полностью нерабочей, при определении вендором недружественной юрисдикции, что ваша система используется из России.
- Если Google или Роскомнадзор обрежут в России облачные сервисы Android Enterprise и/или Google Play. Управление в западных MDM в этом случае может закончиться. А SafeMobile продукт продолжит работать так как не использует эти облачные сервисы.
- Если по внутренним требованиям ИБ или требованиям регуляторов в этой области вам придётся перейти на сертификаты национального удостоверяющего центра Минцифры, западные решения с ним могут не заработать. Может быть утрачено управление устройствами или возможность подключения новых устройств.
- Если лицензия западного MDM не безлимитная по числу устройств, то при увеличении числа мобильных устройств придётся выбирать, какие устройства отключить от управления.
- Серверные компоненты западных решений могут работать на Windows/MS SQL Server/Oracle, поддержка которых может закончиться до истечения срока поддержки UEM. Неполучение системным ПО обновлений безопасности и исправления критичных уязвимостей драматически снижает уровень ИБ компании. Особенно в том случае, когда сервисы на базе этого системного ПО доступны из сети Интернет, как UEM.
- Западные решения могут не управлять устройствами без сервисов Google. К ним относятся, например, устройства Aquarius, часть устройств MIG и АТОЛ, устройства Huawei. Наше решение управляет этими устройствами в полном объёме.
- Какие есть гарантии того, что пользователи не будут устанавливать / удалять приложения с управляемых устройств?
С помощью UEM SafeMobile администратор может настроить встроенные политики безопасности на Android и iOS устройствах. Именно они позволяют запретить пользователю самостоятельно устанавливать или удалять приложения с мобильных устройств.
- Какие нужны вычислительные ресурсы для управления 500 устройствами?
Серверные компоненты UEM safeMobile не требуют больших вычислительных ресурсов.
Для управления 500 устройствами нужен один физический или виртуальный сервер с 2 ядрами CPU 2 ГГц, 4 ГБ RAM и 30 ГБ HDD.С другими серверными конфигурациями можно ознакомиться в разделе «Архитектура».
- У нас закрытая сеть без доступа в интернет. Сможем ли мы управлять своими устройствами с помощью UEM SafeMobile?
Да. Управление без доступа в интернет возможно для устройств на базе Android, Аврора, Windows и Linux. Для управления iOS устройствами нужен доступ с мобильных устройств и сервера управления к серверам Apple.
Подробнее можно прочитать в нашей статье.
- Как защищается канал управления мобильными устройствами?
Канал управления мобильными устройствами защищается с помощью AES шифрования. Чувствительные данные не передаются в канале управления, поэтому дополнительная защита, например, с помощью алгоритмов ГОСТ шифрования, для канала управления не требуется.
- С какими VPN решениями совместим UEM SafeMobile?
UEM SafeMobile совместим с любым VPN решением. Имеется практический опыт применения ViPNet, NGate, Континент АП, Check Point, Cisco и др.
С помощью UEM SafeMobile можно централизованно устанавливать и обновлять VPN клиент на мобильных устройствах. Если VPN клиент поддерживает механизмы удалённой настройки, UEM SafeMobile сможет дистанционно его настроить – указать адрес криптошлюза, ввести лицензию и т.д.
- Какую версию UEM SafeMobile нужно купить, если нам потребуется аттестация ИС?
Для аттестации информационной системы понадобиться в дополнение к лицензиям UEM SafeMobile приобрести пакет сертификации, в который входит:
— дистрибутив сертифицированного ФСТЭК России программного обеспечения UEM SafeMobile;
— формуляр;
— заверенная копия сертификата ФСТЭК России.Пакет сертификации не зависит от числа мобильных устройств. Для каждой серверной инсталляции UEM SafeMobile нужен свой пакет сертификации.
- Как можно попробовать UEM SafeMobile?
Для тестирования решения нужно отправить заявку на адрес электронной почты: sales@safe-mobile.ru или заполнить форму на сайте. Форма заявки доступна по ссылке.
Для тестирования решения организовывается бесплатный двухнедельный пилотный проект на базе нашего ЦОД с предоставлением доступа к облачному UEM SafeMobile и порталу технической поддержки. Перед стартом пилотного проекта проводится обучение.
- Можно ли с помощью UEM SafeMobile осуществлять запись телефонных разговоров сотрудников?
Нет. Запись разговоров пользователей мобильных устройств невозможна. Эта возможность блокируется на уровне прошивки.
- Как осуществляется процедура лицензирования UEM SafeMobile?
Приобрести лицензии UEM SafeMobile можно как напрямую, так и через партнеров. Перечень партнеров доступен по ссылке
Лицензии UEM SafeMobile предоставляются на основе контракта. Для инициирования процедуры предоставления лицензий нужно отправить заявку на адрес электронной почты: sales@safe-mobile.ru или заполнить форму на сайте. Форма заявки доступна по ссылке.
Лицензии UEM SafeMobile предоставляется по модели Device CAL — лицензия по устройствам. Лицензия распространяется на количество управляемых устройств, указанное в контракте, и позволяет использовать одно устройство неограниченному количеству пользователей. Минимальное количество устройств для заключения контракта — 25.
Узнать больше о видах лицензий можно в разделе «Стоимость».
- В чем ваши преимущества по сравнению с конкурентами?
Наше главное преимущество – клиентоориентированность:
— Дорожная карта развития SafeMobile формируется по запросам наших клиентов
— Мы готовы к обсуждению предложений по доработке продукта
— Техническая поддержка оперативно реагирует на запросы заказчиков
— Возможно создание выделенного стенда для апробации продукта из нашего ЦОД SafeDCUEM SafeMobile – это отечественный программный продукт, включенный в Единый реестр российских программ для электронных вычислительных машин и баз данных (запись в реестре №11745 от 15.10.2021 г.)
UEM SafeMobile является сертифицированным ФСТЭК России средством защиты информации на мобильных устройствах от несанкционированного доступа.
Применение UEM SafeMobile позволяет провести аттестацию информационных систем, к которым получают доступ мобильные рабочие места – ГИС, КИИ, ИСПДн.
Документация, интерфейс UEM SafeMobile, обучение и техническая поддержка на русском языке.
- Сколько нужно времени на подготовку мобильного устройства перед выдачей работнику?
Время подготовки устройства складывается из времени подключения устройства к UEM SafeMobile, а также времени доставки и настройки нужных для работы приложений.
Подключение устройства к UEM SafeMobile занимает несколько минут. Конкретные цифры зависят от модели устройства. Так, на большинстве корпоративных Android устройств для подключения к UEM SafeMobile достаточно отсканировать QR-код в процессе инициализации устройства. А на устройствах Samsung доступна бесплатная технология Knox Mobile Enrollment, с помощью которой подключение устройства к UEM SafeMobile выполняется автоматически и не требует участия пользователя или администратора.
Скорость доставки приложений определяется пропускной способностью канала связи и размером дистрибутивов приложений. Обычно приложения доставляются и устанавливаются за несколько минут.
Порядок настройки приложений может быть разным. Обычно администраторы настраивают адрес подключения и вводят лицензионный ключ, если это актуально. Эти действия можно автоматизировать с помощью удалённой настройки приложений. В этом случае временем настройки приложений можно пренебречь.
- Можно ли записывать и прослушивать разговоры сотрудников с помощью SafeMobile?
Нет, нельзя. Мы против того, чтобы работодатели прослушивали своих работников.
- Может ли UEM SafeMobile регистрировать переписку пользователя в WhatsApp и других мессенджерах?
Нет. Переписка, которую пользователь ведёт в WhatsApp или любом другом публичном мессенджере, хранится на устройстве в зашифрованном виде и недоступна другим приложениям, включая SafeMobile.
- Имеются ли отчеты В UEM SafeMobile? Предусмотрена ли возможность их кастомизации?
В UEM SafeMobile есть готовые отчеты, большую часть из которых можно выгрузить в xlsx. Состав отчётов описан в руководстве администратора.
Конструктора отчётов нет. Интеграция с внешними BI системами для построения отчётов возможна с помощью запроса данных из БД. Прямой доступ к таблицам не рекомендуется, потому что физическая структура данных может измениться. Чтобы получить доступ к интересующим данным, мы можем сделать нужное view по запросу.
- Есть ли в составе SafeMobile ГОСТ-шифрование?
На iOS и Android нет стандартных API или библиотек для ГОСТ-шифрования и УНЭП. Реализация этих возможностей доступна только на уровне приложения. Если в приложения будут встраиваться сертифицированные СКЗИ, могут потребоваться тематические исследования. Чтобы этого не делать, можно использовать готовые решения. Например, один из отечественных VPN клиентов с ГОСТ-шифрованием.
- Антивирус на мобильном устройстве Android при установке мобильного клиента SafeMobile (приложения «monitor.apk») выдает сообщение о потенциальном опасном ПО, что делать?
Если антивирус, в том числе Google Play Protect, на мобильном устройстве Android при установке приложения «monitor.apk» выдает сообщение о потенциальном опасном ПО, продолжайте установку. Это ложное реагирование на приложения класса MDM/UEM, которое при установке может получать расширенные права на устройстве, в том числе права владельца устройства и владельца профиля. Подробнее можно почитать в руководстве пользователя мобильным клиентом Android SafeMobile.
Часто задаваемые вопросы
Частые вопросы
Общие вопросы
Стоимость
- Какая стоимость технической поддержки UEM SafeMobile?
В лицензии на 1 и 3 года техническая поддержка уже включена в стоимость.
В бессрочные лицензии техническая поддержка включена на срок 12 месяцев, далее необходимо приобретать продление.
Для рассчета продления технической поддержки необходимо обратиться по ссылке.
- Какие лицензии UEM SafeMobile можно приобрести?
Можно приобрести лицензии UEM SafeMobile на локальную установку у Заказчика (on-premise) на 1, 3 года и бессрочно и по модели SaaS из ЦОД нашей компании на полгода, 1 и 3 года.
Лицензии UEM SafeMobile предоставляется по модели Device CAL — лицензия распространяется на количество «подключенных» устройств и позволяет неограниченному числу пользователей использовать одно устройство. То есть неважно сколько пользователей устройства будет, главное чтобы количество устройств не превышало максимальное число, доступное в вашей лицензии.
Минимальное количество лицензий в варианте on-premise — 25 единиц, в варианте SaaS -10.
Подробнее с информацией о лицензиях можно ознакомиться в разделе «Стоимость». - Какой срок действия лицензий UEM SafeMobile?
Срок действия лицензий UEM SafeMobile зависит от выбранного тарифа. Лицензия может быть приобретена на 1 год, 3 года или бессрочно. Для лицензий на 1 и 3 года техническая поддержка уже входит в стоимость.
Подробнее с информацией о лицензиях можно ознакомиться в разделе «Стоимость».
- Как рассчитать стоимость лицензий UEM SafeMobile?
Оценить стоимость UEM SafeMobile до 1 000 устройств можно с помощью онлайн-калькулятора.
Для получения коммерческого предложения нужно отправить заявку на адрес электронной почты: sales@safe-mobile.ru или заполнить форму на сайте. Форма заявки доступна по ссылке.
Пилот и Внедрение
- Как можно протестировать работу UEM SafeMobile? Что нужно для пилотного проекта? Из каких этапов он состоит?
Мы серьёзно относимся к своим Заказчикам. Даже на этапе пилотных проектов мы стараемся предложить Заказчикам персональное решение бизнес-задач.
Для этого перед началом пилотного проекта мы просим заполнить опросный лист, чтобы вместе с Заказчиком ответить на вопрос «Зачем мне нужно управлять мобильными устройствами?».
После чего обучаем специалистов Заказчика и предоставляем доступ к консоли управления в нашем ЦОД, чтобы пилот прошёл быстро и гладко. На период пилота предоставляем доступ к технической поддержке для помощи в осваивании системы.
По результатам пилота мы обязательно запрашиваем обратную связь о продукте, чтобы сделать его лучше. - В чем разница между SaaS версией UEM SafeMobile и on-premise?
Отличаются схемы лицензирования:
Минимальное количество приобретаемых лицензий on-premise SafeMobile — 25 штук, SaaS лицензий – 10 штук.
Техническая разница только в месте установки серверной группировки – локально у Заказчика (on-premise) или в ЦОД НИИ СОКБ (SaaS). В варианте SaaS вам не нужно иметь в своем штате специалистов по Linux системам, думать об обновлениях программного обеспечения и серверных мощностях. В варианте SaaS нет возможности интеграции SafeMobile с системами заказчика, например MS AD и MS CA.
Посмотреть условия лицензирования можно в разделе «Стоимость».
- Зачем сотрудникам компании Заказчика/Партнера в обязательном порядке проходить обучение?
Обучение нужно для получения практических знаний по работе продукта: научиться разным способам подключения мобильных устройств, получить представление о задачах администратора и работе в консоли управления, самостоятельно произвести установку и обновление системы. Без этих навыков комфортная эксплуатация системы невозможна.
- Есть ли SaaS версия UEM SafeMobile?
Да, есть облачная версия UEM SafeMobile. Услуга предоставляется по подписке. Используются серверные мощности ЦОД Safe DC нашей компании. Safe DC соответствует 1 классу и 1 уровню защищенности информационных систем, обрабатывающих государственные информационные ресурсы и персональные данные граждан.
Минимальный срок подписки на SaaS лицензию UEM SafeMobile от 6 месяцев. Техническая поддержка входит в стоимость лицензий. - Может ли Заказчик внедрить UEM SafeMobile самостоятельно? Что для этого необходимо?
Заказчик может выполнить внедрение самостоятельно после прохождения обучения.
Но мы настоятельно рекомендуем всем заказчикам перед установкой пройти бесплатный курс по установке UEM SafeMobile.
Техподдержка
- Заказчик приобрел лицензии UEM SafeMobile, но не купил техническую поддержку. Можно ли купить ее потом?
Приобретая лицензии UEM SafeMobile на 1 и на 3 года, Заказчик «автоматически» получает техническую поддержку, т.к. она входит в стоимость лицензий.
В стоимость бессрочных лицензий входит техническая поддержка только на первый год. На второй и последующие годы техническую поддержку нужно приобретать отдельно. Без действующего контракта на техническую поддержку у Заказчика не будет доступа к обновлениям и не будет возможности задать вопрос о работе системы.
- Зачем нужна техническая поддержка решения? Каким образом она осуществляется? Обязательно ли ее приобретать?
Техническая поддержка UEM SafeMobile нужна для доступа к обновлениям и получения разъяснений о работе продукта.
Техническая поддержка осуществляется через веб-портал https://service.niisokb.ru/.
Техническая поддержка входит в стоимость срочных лицензий UEM SafeMobile (на 1 или 3 года). В стоимость бессрочной лицензии входит техническая поддержка на первый год использования. На второй и последующие годы её нужно приобретать дополнительно.
- Можно ли с помощью UEM SafeMobile оказывать удаленную поддержку пользователей - перехватить управление экраном и показать пользователю что нужно делать с устройством или отдельным приложением?
В настоящее время в UEM SafeMobile такой функции нет.
Предлагаем обратить внимание на приложение нашего партнёра – компании Ассистент, которое можно установить на управляемые устройства с помощью UEM SafeMobile и предоставлять пользователям техническую поддержку удаленно.
Архитектура
- Какие возможности масштабирования UEM SafeMobile?
Наиболее крупные реализованные проекты включают до 60 000 устройств на одной инсталляции. Помимо этого UEM SafeMobile успешно прошел синтетические тесты, моделирующие управление 100 000 устройствами.
- По каким протоколам и с каким уровнем защиты/шифрования происходит обмен токенами при регистрации устройств?
Устройства могут регистрироваться с помощью доменных учётных записей или одноразовых кодов приглашения.
Взаимодействие устройств с сервером осуществляется по HTTPS. Устройства Android также подключаются к серверу по TLS. Внутри реализован проприетарный протокол поверх TCP. - Какие возможности есть для повышения отказоустойчивости UEM SafeMobile (кластеризация БД, балансировка нагрузки по application серверам)?
Для повышения отказоустойчивости UEM SafeMobile могут быть реализованы следующие способы:
— Балансировка нагрузки серверов, обслуживающих клиентские подключения мобильных устройств, роли «Сервер команд» и «Сервер управления» на архитектурой схеме.
— Кластеризация «Сервера управления» в связи с тем, что основная нагрузка приходится на него. Во внедрениях, где была кластеризация, заказчики использовали haproxy.Помимо этого, можно сделать кластер PostgreSQL. Примеров внедрения с кластером БД нет, потому что еще не возникало такой потребности.
- Какая схема взаимодействия компонентов UEM SafeMobile между собой?
Общая схема архитектуры UEM SafeMobile представлена в разделе «Архитектура»
Взаимодействие компонентов UEM SafeMobile, в том числе портов и протоколов, подробно описано в «Руководстве по установке и настройке UEM SafeMobile»
- Какие СУБД могут использоваться в UEM SafeMobile?
В UEM SafeMobile используется СУБД PostgreSQL или Postgres Pro (если нужна СУБД из рееста российского ПО).
- Есть ли модуль инвентаризации в UEM SafeMobile? Какое количество полей конечное или возможно добавление своих полей? Есть ли модуль инвентаризации в EMM SafeMobile? Можно ли добавить свои поля в отчет и есть ли ограничения по количеству полей?
Функции инвентаризации в продукте есть, количество полей с информацией об устройствах конечное.
Возможность добавления «своих» полей в планах развития продукта.Подробнее о работе с Отчетами можно ознакомиться в соответствующих разделах документации.
- Возможно ли развертывание docker images в Kubernetes или OpenShift?
Начиная с релиза 7.0 такой функционал реализован.
- Предусмотрен ли, если да, то какой, DownTime при обновлении системы до новой версии/установки патчей?
Процесс обновления в класическом варианте построен следующим образом:
- Остановка docker контейнеров;
- Обновление баз данных скриптами;
- Запуск новых docker контейнеров.
DownTime определяется п.2. Конкретное время зависит от объёма данных и числа изменений в новой версии. Во время обновления не будет доступна доставка команд и новых версий приложений, остальное продолжит работать. Пользователи обычно не замечают таких обновлений и DownTime.
Управление мобильными устройствами
- Можно ли с помощью UEM SafeMobile управлять обновлениями ОС (iOS, Android)?
Начиная с версии 7.0 реализован профиль управления обновлениями Android устройств, включающий настройку возможностей:
- Откладывания обновления ОС до 30 дней.
- Настройки freeze-периодов, в которые запрещены обновления ОС. Freeze периоды настраиваются для диапазона календарных дат. Например, для праздников. Длительность одного периода до 90 дней, диапазон между периодами должен быть не менее 60 дней.
- Принудительного обновления ОС при доступности новой версии.
Для iOS, команда принудительного обновления iOS устройств в режиме supervised. Также можно отложить обновление на срок не более 90 суток. Отложенное обновление iOS доступно только для устройств в режиме supervised. Для настройки этих политик создайте и назначьте на устройства профили ограничений.
- Какие есть особенности в управлении устройствами iOS, которыми пользуются руководители?
Управление устройствами iOS зависит от доступа мобильных устройств и сервера управления к серверам Apple;
iOS устройства рекомендуется переводить в режим supervised перед тем, как передавать их пользователям. В этом режиме руководителю не будет нужно подтверждать установку приложений администратором. Если режим supervised не включен перед тем, как устройство было передано пользователю, то включить его после практически невозможно. После включения режима supervised на нём нельзя восстановить данные из сделанных ранее резервных копий. Для руководителей это обычно критично. Подробнее об этой и других особенностях управления iOS устройствами читайте в нашей статье на Хабре.
- Все ли устройства совместимы с UEM SafeMobile? Есть ли конкретный список?
С помощью UEM SafeMobile можно управлять устройствами Android 5 и выше (рекомендуется 7 и выше) и устройствами iOS 10 и выше. Начиная с версии 7.0 SafeMobile мы вынуждены отказать от поддержки Android 4.4 ввиду того, что невозможна одновременная поддержка этой версии и Android 13. Список доступных функциональных возможностей зависит от версии ОС и производителя устройств.
Мы регулярно тестируем мобильные устройства, чтобы убедиться в том, что они позволят нашим Заказчикам использовать нужные им функции управления.
Актуальный список протестированных устройств доступен по ссылке.
- Какие есть ограничения в управлении личными мобильными устройствами?
На Android устройствах мы можем создать корпоративный контейнер на личном устройстве и настроить его под работу. При этом доступ компании возможен только к корпоративной области. На устройствах iOS можно устанавливать корпоративные приложения как управляемые. Подробнее про то, как можно разделить корпоративные и личные данные на устройстве, и какие у этого подхода ограничения читайте в нашей статье.
- Возможно ли с помощью UEM SafeMobile управлять китайскими Android устройствами типа Xiaomi, Meizu или Huawei?
UEM SafeMobile поддерживает управление Android устройствами любых производителей, в том числе китайских. Со списком устройств, проверенных на совместимость, можно ознакомиться по ссылке.
Для проверки работоспособности основных функций мы готовы бесплатно проверить устройства до начала проекта. Для этого достаточно передать нам устройства в тест и заполнить простую форму.
- У нас есть корпоративные ноутбуки на Windows. Можно ли ими управлять и какие функции доступны?
Да. UEM SafeMobile может управлять ноутбуками на Windows 10 и 11. Поддерживаются редакции Pro и Enterprise. В редакции Home механизмы централизованного управления недоступны, поэтому управлять ноутбуками с Windows 10/11 Home нельзя.
С помощью UEM SafeMobile можно централизованно настроить на ноутбуках политики безопасности, установить на них нужны для работы приложения и стереть данные, если ноутбук будет потерян или украден. Подробнее о функциях по управлению Windows можно прочитать на этой странице.
- Есть ли возможность у UEM SafeMobile управлять Linux устройствами?
Да, есть возможность управление устройствами на базе Alt Linux и Astra Linux:
Доступны: Регистрация устройств, установка и обновление приложений, а также централизованное распространение конфигурационных файлов. - Что нужно сделать, чтобы зашифровать данные на устройстве?
Для iOS устройств достаточно установить пароль. Чтобы пользователи не забывали этого делать, мы рекомендуем настраивать требования к наличию пароля с помощью профиля парольных политик.
Для Android устройств могут быть отличии в зависимости от версии Android – на устройствах с Android 7 и выше шифрование внутренней памяти включено по умолчанию и его нельзя выключить. Для устройств с более ранними версиями Android нужно настроить соответствующую политику безопасности в профиле ограничений.
- Нужно ли мне покупать лицензии Samsung Knox, чтобы управлять устройствами Samsung с помощью UEM SafeMobile?
Нет. Большинство функций платформы Samsung Knox не требуют приобретения дополнительных лицензий. При управлении мобильными устройствами Samsung с помощью UEM SafeMobile по сравнению с другими Android устройствами доступны:
— технология подключения мобильных устройств «из коробки» Knox Mobile Enrollment;
— расширенный набор политик безопасности, включая запрет обновления ОС и запрет установки кастомных образов восстановления (recovery);
— технология создания корпоративных контейнеров. - Есть ли возможность у UEM SafeMobile управлять Windows устройствами?
Да. С возможностями UEM SafeMobile по управлению Windows устройствами можно ознакомится по ссылке.
- Влияет ли доступность серверных компонентов на доступ мобильных устройств к корпоративным данным?
Нет, не влияет. При недоступности сервера на устройство не доставляются обновления корпоративных приложений и политик безопасности, но установленные приложения и политики работают в штатном режиме. События безопасности также не будут потеряны – мобильный клиент накапливает события, чтобы передать их на сервер, когда это станет возможно.
- Поддерживается ли управление Android-устройствами без Google сервисов?
Да
- Можно ли с помощью UEM SafeMobile передавать файлы (документ, сертификат, файл настроек) и управлять ими на устройстве?
Да, можно
Сертификаты
1. SafeMobile может распространять на устройства серверные сертификаты. Например, чтобы веб-браузер устройства не сообщал пользователю об опасности подключения к корпоративным веб-ресурсам, сертификаты которых выпущены корпоративным удостоверяющим центром.
2. С помощью SafeMobile можно автоматизировать выпуск клиентских сертификатов для настройки корпоративных Wi-Fi сетей стандарта 802.1X. Для iOS устройств также доступны сертификаты для корпоративной почты и VPN.AppConfig
SafeMobile может централизованно настраивать мобильные приложения. Для этого разработчик приложения должен реализовать механизмы удалённой настройки, рекомендованные Apple и Google. Рекомендуем обратить на них внимание. Ссылки на лучшие практики – iOS, Android.Документы
Возможно отправлять документы на Android и iOS устройства. - Можно ли восстановить данные резервной копии на устройстве iOS в режиме supervised?
В резервной копии сохраняется признак наличия режима supervised, и он восстанавливается вместе с резервной копией. Это означает, что восстановить данные из резервной копии, сделанной до перевода iOS устройства в режим supervised, нельзя. Такова политика Apple. Поэтому мы рекомендуем принимать решение об использовании режима supervised как можно раньше, чтобы исключить недовольство пользователей, которые не смогут восстановить личные данные на устройствах.
- Реализована ли в UEM SafeMobile возможность управления приложениями (корпоративными, некорпоративными). Можно ли использовать корпоративный аккаунт для сторонних магазинов?
В UEM SafeMobile управляет как корпоративными приложеними, так и приложениями установленными из публичных магазинов (GooglePlay, AppStore).
Корпоративный аккаунт для сторонних маганизов не доставляется и не используется в связи с тем, что корпоративных AppleID в России нет. Корпоративные аккаунты Google — часть их облачной платформы, которая по понятным причинам не поддерживается в SafeMobile. Использовать личные аккаунты как корпоративные нельзя, у них есть ограничение по числу устройств, которые могут быть зарегистрированы на один аккаунт.
- Реализована ли в UEM SafeMobile возможность управления периферийными устройствами?
Возможность управления периферийными устройствами реализована на терминалах сбора данных (ТСД) под управлением Android.
- Возможна ли доставка личных сертификатов на устройство через UEM SafeMobile?
Начиная с версии 6.0 реализована возможность доставки сертификатов для настройки подключения к Wi-Fi точкам. Личные сертификаты или автоматически запрашиваются на Microsoft CA, или загружаются администратором в виде .pfx (вместе с приватным ключом). В версии 7.0 также реализована доставка сертификатов для почтовых клиентов и VPN для iOS устройств.
- Реализована ли в UEM SafeMobile проверка соответствия устройства корпоративным требованиям? Какие параметры можно проверять?
В релизе 7.0 реализован механизм настройки правил соответствия устройств требованиям безопасности (compliance). Если устройство не соответствует требования, к нему могут быть применены одно или несколько действий. У каждого из действий задаётся своя задержка. Например, устройство подключается с версией ОС ниже допустимой. Пользователю и администратору отправляется письмо о том, что устройство нужно обновить. Вместе с письмом на устройство отправляется команда или профиль для принудительного обновления ОС. Если через сутки устройство не обновляется, оно автоматически отключается от управления.
Доступные условия compliance:
- Принадлежность устройства – корпоративное или личное.
- Нахождение внутри или вне геозоны.
- Доменные группы, в которых должен быть пользователь или в которых его быть не должно.
- Нахождение iOS устройства в режиме supervised или не-нахождение устройства в этом режиме.
- Наличие или отсутствие на устройстве указанных приложений.
- Минимальная или максимальная версия мобильной ОС.
Доступные действия compliance:
- Email по указанному шаблону.
- Команды enterprise wipe, wipe или принудительного обновления ОС. Последняя команда только для устройств на базе iOS.
- Установка compliance профиля. Такие профили нельзя назначить на устройства или группы вручную. Только через срабатывание правил compliance.
Также доступны:
1) Enterprise wipe в случае обнаружения признаков root / jailbreak. Список проверок на root для Android можно настраивать.
2) Автоматическая блокировка Android-устройства при извлечении SIM-карты. - Что нового в релизе 7.0 с точки зрения интеграции с MS AD?
Доработана интеграция SafeMobile со службой каталогов Microsoft Active Directory:
- Синхронизация пользователей указанных администратором групп, начиная с указанного baseDN по команде администратора и/или автоматически с заданным администратором периодом.
- Возможность использования групп безопасности при назначении профилей и приложений. Группы безопасности синхронизируются отдельно от групп пользователей.
- Использование доменных групп для авторизации администраторов. Администраторы получают функциональные роли в зависимости от того, в какие доменные группы они входят.
- Автоматические действия с устройствами пользователя при отключении или блокировке его доменной учётной записи – блокировка, enterprise wipe или wipe.
- Оптимизирован способ отображения организационно-штатной структуры, чтобы отображать структуру с сотней тысяч сотрудников за секунды.
Управление приложениями
- Можно ли с помощью UEM SafeMobile централизовано настроить приложения на мобильных устройствах?
- Поддерживает ли UEM SafeMobile доставку, установку и удаление приложений? Какой формат дистрибутивов поддерживается? Есть ли возможность обновления ранее установленного приложения?
Да, поддерживает.
Форматы дистрибутивов:
— для Android — apk;
— для iOS — ipa;
— для Аврора — rpm;
— для Windows — msi с поддержкой режима тихой установки;
— для Astra Linux и Alt Linux — deb и rpm соответственно. - Позволяет ли UEM SafeMobile устанавливать корпоративные приложения без участия конечного пользователя?
На iOS установка приложений не требует участия пользователя, если устройство работает в режиме supervised.
На Android устройствах участие пользователя требуется только в том случае, когда администратор корпоративной мобильности потребовал установить приложение из Google Play. В этом случае установка осуществляется от имени учётной записи пользователя и пользователю нужно её подтвердить.
Управление правилами безопасности
- Можно ли восстановить данные резервной копии на устройстве iOS в режиме supervised?
В резервной копии сохраняется признак наличия режима supervised, и он восстанавливается вместе с резервной копией. Это означает, что восстановить данные из резервной копии, сделанной до перевода iOS устройства в режим supervised, нельзя. Поэтому мы рекомендуем принимать решение об использовании режима supervised как можно раньше, чтобы исключить недовольство пользователей, которые не смогут восстановить личные данные на устройствах.
- Что такое режим iOS supervised и для чего он нужен?
Режим supervised определяет, что устройство является корпоративным и принадлежит использующей его компании, а не сотруднику. Он позволяет администраторам UEM настраивать большее число политик безопасности, например переводить устройство в режим киоска.
Выполнение команд управления на iOS устройствах в режиме supervised не требует подтверждения пользователя. Например, установка приложений в режиме supervised будет осуществляться в «тихом» режиме.
Перевод iOS устройств в режим supervised осуществляется с помощью подключения устройства по проводу к macOS и использовании ПО Apple Configurator 2.
- Возможно ли создание белого списка сайтов? (iOS)
В версии 7.0 есть возможность использования профиля фильтрации контента для iOS, с помощью которого на устройствах в режиме supervised можно настроить чёрные и белые списки сайтов. Для удобства формирования списков из большого числа элементов реализована загрузка списка с помощью файла.
- Какие механизмы контейнеризации доступны при управлении устройствами с помощью SafeMobile?
Корпоративные устройства рекомендуется превращать в контейнер целиком, оставляя на них только те приложения и сервисы, которые нужны сотрудникам для работы. Аналогично корпоративным ноутбукам.
Также c помощью UEM SafeMobile возможна реализация и других технологий контейнеризации:
- Ограничение возможности передачи файлов из управляемых приложений iOS в неуправляемые, в том числе с использованием буфера обмена.
- Создание защищённых Goоgle и Knox (применимо для Samsung) контейнеров на Android устройствах.
- Как UEM SafeMobile позволяет осуществлять контроль средств связи (ESIM, SIM, Wifi)?
Для контроля средств связи в UEM SafeMobile реализованы следующие возможности:
- Регистрация идентификаторов установленной в устройство SIM-карты. Если их две — идентификаторов основной SIM-карты;
- Возможность регистрации журналов вызовов и SMS с основной SIM в Android. Опционально. После Android 10 на ряде устройств есть проблемы с доступом к целевым журналам;
- Ограничение доступа только к тем Wi-Fi сетям, которые настроены с помощью SafeMobile;
- Ограничение доступа к Wi-Fi на Android;
- Регистрация извлечения SIM. Возможность блокировки Android устройств в случае извелечения SIM. Извлечение SIM — типовое действие при краже телефона;
- Регистрация номеров телефонов SIM. В общем случае номер для этого должен быть записан на самой SIM, но для устройств с Android до 9 включительно можно определять номер телефона и когда его нет на SIM. Для этого используются служебные SMS. После Android 10 на части устройств есть проблемы со скрытой отправкой таких SMS, поэтому нужно тестировать функцию на конкретном устройстве;
- Различные запреты в объёме профиля Restrictions в Apple Configurator и доступного нативного API в Android Enterprise.
- Часть сотрудников иногда работает из дома на личных ноутбуках с ОC Windows. Можно ли применить на них какие-то политики безопасности?
Да. Для этого на ноутбуках должна быть установлена Windows 10 редакции Pro или Enterprise. В редакции Home механизмы централизованного управления недоступны, поэтому управлять ноутбуками с Windows 10 Home нельзя. С составом доступных для настройки политик безопасности можно ознакомиться на этой странице.
- Реализована ли в UEM SafeMobile возможность управления правилами на основе белого\черного списка приложений?
Да.
На iOS с помощью настройки restrictions, которые требуют supervised, или с помощью правил для удаления указанных администратором приложений (по bundleId).
На Android белый список — это системный режим киоска. Чёрный список — это удаление указанных администратором приложений (по package name).
- Есть ли оболочка, ограничивающая доступ к настройкам и приложениям на устройстве (режим киоска)?
Да, режим киоска есть для устройств на базе Android и iOS.
- Обеспечение безопасности данных, полученных из корпоративных источников
- При удалении MDM профиля iOS сам удалит все, что MDM поставил и взял под управление. Исключение могут составлять данные, которые пользователь перенёс в личные приложения и аккаунты, если ему это не было запрещено;
- На Android отключение от управление приведёт к тому, что будет удалён контейнер. В случае потери устройства администратор также может польностью очистить устройство;
- Ограничение доступа личных приложений к корпоративным данным в процессе управления обеспечивается технологиями контейнеризации — разделением managed / unmanaged на iOS и рабочими профилями / Google или Knox контейнерами на Android.
Особенности эксплуатации
- Какой интервал опроса управляемых устройствах? Возможность кастомизации.
- Сервер поддерживает связь с iOS устройствами каждые пять минут. Если за 15 минут устройство не ответило, его статус меняется на «не в сети». Если не отвечало сутки, статус меняется на «давно не сети». Интервал не настраивается.
- Информация об iOS устройствах обновляется раз в час. Интервал не настраивается. Но если нужно обновить информацию по конкретному устройству быстрее, достаточно отправить ему команду синхронизации.
- Android устройства сообщают информацию об устройстве целиком при старте. Дальше часть информации, например о заряде батареи, SIM, GPS или установке приложений, отправляется по мере возникновения событий. А часть информации, например, количество свободного места на диске обновляется или при следующей перезагрузке телефона, или по команде синхронизации.
- В части состояния подключения Android ведёт себя немного иначе, чем iOS. Android клиент сам подключается к серверу без внешних пуш-запросов. После этого держит постоянное соединение с сервером. Интервал между попытками подключения к серверу и время «пингов» со стороны клиента к серверу настраивается в профиле настроек монитора Android (клиентская часть SafeMobile).
- Есть ли видеоролики, показывающие как подключать устройства к SafeMobile и работать с ними?
Да есть, материалы удобно разбиты по темам: https://youtube.com/playlist?list=PLgt0JStdjpNzlmK3r7bQJ_jDiiYv95bNS
- Работают ли телефоны Xiaomi с SafeMobile?
Xiaomi нормально реализовал поддержку UEM/MDM только начиная с версии MIUI 12.5. Более ранние версии подключить обычно все же с трудом, но удается, но есть проблемы с получением полномочий и работой с приложениями. Однако есть шанс получить аудит устройств и работоспособность команд. Также DO (device owner/корпоративное устройство) по QR коду поддерживается только начиная с MIUI 11. Если устройство не поддерживает QR коды, то подключить его можно по ADB. После подключения необходимо отключить функцию miui optimization, но результат удачного получения прав и управление устройством не гарантированы.
- В случае взлома устройства (root, jailbreak) система сама регистрирует данное событие?
В случае Android система сама обнаруживает рутирование, отключает устройство от управления и удаляет установленные администратором приложения с данными и профили.
В случае с iOS, при наличии назначенного EMM Client также обнаруживается рутирование и устройство отключается от управления с удалением назначенных приложений и их данных.
- Можно установить любой *.ipa файл на IOS устройство?
Чтобы установить приложение, его дистрибутив должен быть подписан с помощью ADEP.
- Как распространить приложение и настроить его с помощью AppConfig?
Посмотрите ролик, где на примере приложения КриптоПро NGate показано как это можно сделать: &t=1768s
- Нужно ли использовать пуш на базе Firebase Cloud Messaging (FCM) для управления Android устройствами?
FCM нужен только для устаревших устройств, которые «убивают» рабочий процесс UEM/MDM. FCM нужен, чтобы запустить MDM процесс заново. Используется при невозможности корректной работы в стандартном варианте сервиса SafeMobile. Как правило применяется на старых телефонах MEIZU, Xiaomi и Huawei до Android 9.
- Что делать если не работает определение местоположения?
- Устройство должно быть iOS или корпоративный Android. На личном рабочем профиле определение местоположения невозможно
- В Календаре создать график рабочего времени
- Создать профиль «Настройки сбора местоположений Android»
- Назначить на группу или необходимое устройство
- Отправить команду «Установка графика рабочего времени»
- Можно ли запретить передачу мобильных данных на Android?
Реализовать полную блокировку использования sim-карт возможно только на устройствах Samsung. Другие устройства на базе Android не позволяют полностью блокировать мобильный интернет.
Настраиваемые политики ограничений Android:
- Запретить изменение настроек мобильных сетей.
- Запретить мобильную передачу данных в роуминге.
Настраиваемые политики ограничений Samsung Knox Android:
- Разрешить мобильную передачу данных.
- Какие основные плюсы использования телефонов Samsung с технологией Knox по сравнению с обычными Android-устройствами?
Samsung Knox — это решение мобильной безопасности, предварительно установленное на большинстве смартфонов, планшетов и носителей Samsung. Ключевые особенности:
- Развертывание из коробки – автоматическое подключение к SafeMobile. IMEI заранее прописан и закреплён за организацией к Samsung Knox. Делается через заявку клиентом в сторону дистрибутора, у которого была закупка.
- Можно доставлять и устанавливать apk файлы без подтверждения пользователя.
- Возможно установить запрет перепрошивки по проводу.
- Можно ли запретить делать скриншоты в корпоративных приложениях?
Android: можно запретить делать скриншоты в корпоративных приложениях (не распространяется на личную область в телефоне, если такая есть).
iOS: запрет на скриншоты распространяется на всё устройство.
- Возможно ли запретить на корпоративных мобильных устройствах использовать случайный MAC-адрес при подключении к wi-fi сетям?
- Рандомизацию MAC-адресов можно запретить только на iOS и только для тех сетей, которые настроены с помощью MDM. На Android такая возможность анонсирована только в Android 13. В SafeMobile пока не поддерживается.
- С помощью SafeMobile можно настроить доступ устройств к сетям Wi-Fi 802.1x и автоматизировать выпуск клиентских сертификатов на корпоративном удостоверяющем центре.
- Из SafeMobile можно выгрузить MAC-адреса Wi-Fi модулей корпоративных мобильных устройств и на основании этой информации организовывать ограничения доступа в сеть. Сейчас эту информацию придётся выгружать из БД. К осени планируем сделать REST API. Важное ограничение – запрет рандомизации на Android придётся включать вручную. Но это легко решается организационно – если MAC будет случайным, пользователь просто не получит доступа в сеть.