Часто задаваемые вопросы

MDM (Mobile Device Management) – это управление мобильными устройствами, включая настройку политик безопасности, настройку беспроводных сетей и дистанционное выполнение команд, таких как удалённая блокировка или сброс к заводским настройкам при потере или краже устройства.

EMM (Enterprise Mobility Management) – более широкое понятие, включающее не только управление устройствами (MDM), но и управление мобильными приложениями (Mobile Application Management, MAM) и мобильным контентом (Mobile Content Management, MCM).

UEM (Unified Endpoint Management) предоставляет возможность управления не только мобильными устройствами такими как смартфоны и планшеты, но и стационарными устройствами: ПК, ноутбуки, предоставляя единую панель для управления устройствами, приложениями и данными. Это эволюция и сочетание MDM и EMM с возможностями традиционных инструментов управления клиентами

SafeMobile относится к классу UEM-решений.

UEM SafeMobile — комплексная платформа для централизованного управления мобильными устройствами в организации.

UEM SafeMobile автоматизирует процессы управления смартфонами, планшетами и ноутбуками, позволяет централизованно управлять приложениями на устройстве сотрудника и обеспечивает безопасность корпоративной информации.

Подробнее о функционале UEM SafeMobile можно узнать по ссылке

UEM SafeMobile — следующее поколение решения EMM SafePhone, которое объединяет управление всеми конечными точками, предоставляя единую панель для управления мобильными устройствами, приложениями и данными.

Подробнее о функционале UEM SafeMobile можно узнать по ссылке

Можете скачать с нашего сайта интересный отчет «Оценка экономического эффекта от использования UEM» компании J’son & Partners Consulting, а также расчитать эфективность для вашего конкретного проекта на нашем сайте.

UEM SafeMobile — российское решение от резидента Сколково — НИИ СОКБ ЦР, полностью отечественная разработка, которая может заменить, такие решения класса UEM, MDM, EMM как Airwatch, Mobileiron, Citrix Workspace, IBM MaaS 360 и другие. Запись в реестре отечественного ПО от 15.10.2021 №11745.

Вы можете заказать демонстрацию решения нажав на соотвествующую кнопку по ссылке https://safe-mobile.ru/product/documentation/. Мы попросим вас сообщить детали вашего проекта, покажем презентацию и интерфейс системы, ответим на ваши вопросы. Также можем предложить бесплатный двухнедельный пилот из нашего ЦОД.

UEM SafeMobile прошел сертификацию ФСТЭК России, включен в Единый реестр российских программ для электронных вычислительных машин и баз данных (запись в реестре №11745 от 15.10.2021 г.). Приобретение лицензий и услуг технической поддержки отечественного продукта UEM SafeMobile является приоритетным по сравнению с зарубежными аналогами в соответствие с постановлением Правительства РФ от 16 сентября 2016 г. №925.

UEM SafeMobile позволяет реализовать требования ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций» для защиты мобильных устройств банковского сектора.

UEM SafeMobile соответсвует требованиям ИБ для организации доступа к государственным информационным системам (ГИС) и информационным системам персональных данных (ИСПДн).

SafeMobile поддерживает операционные системы Android, iOS, Windows, Аврора, Alt и Astra Linux.

Узнать больше про совместимость можно по ссылке.

Пользователь Android не может самостоятельно удалить UEM SafeMobile с устройства.

Запретить удаление UEM SafeMobile на устройствах iOS нельзя. Это ограничение установлено производителем Apple для всех UEM/EMM/MDM решений. При этом Apple обеспечивает сохранность данных организации – если сотрудник удалил UEM SafeMobile со своего iOS-устройства, с него будут автоматически удалены все корпоративные настройки и приложения. Это исключает возможность несанкционированного доступа к данным компании с неуправляемых iOS устройств.

При потере или краже мобильного устройства необходимо обратиться в службу ИТ-поддержке своей компании. Для предотвращения утечек корпоративных данных ИТ-специалисты смогут с помощью UEM Safemobile определить его местоположение, сбросят все настройки до заводских и удалят корпоративные данные.

В случае потери или кражи устройства лицензия UEM SafeMobile переустанавливается на другое мобильное устройство.

SafeMobile MTD Edition — доверенная платформа управления UEM SafeMobile со встроенной библиотекой Kaspersky Mobile Security SDK. Предназначена для организации безопасного жизненного цикла мобильных устройств в соответствии с требованиями нормативных документов Российской Федерации в области информационной безопасности.

SafeMobile MTD Edition — единственное решение, сертифицированное одновременно как средство защиты информации на мобильных устройствах от несанкционированного доступа и как средство антивирусной защиты.

UEM SafeMobile работает с мобильными телефонами, смартфонами, планшетами, ноутбуками, персональными компьютерами и IoT-устойствами. Парк устройств постоянно расширяется с развитием цифровизации компаний и потребностями наших клиентов.

Перечень устройств, проверенных на совместимость, доступен по ссылке.

• Если будет нужно аттестоваться по ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций», то ЦБ может отказать, потому что в КИИ больше нельзя покупать зарубежное ПО.
• Без поддержки может не получиться продлить MDM push-сертификат для управления iOS устройствами. Его нужно обновлять раз в год.
• Без поддержки нет обновлений. Текущие версии западных UEM могут не поддерживать Android 13-14-…, iOS 16-17-…
• Иностранные UEM продолжают выпускать обновления своего ПО, устраняя в нем те или иные уязвимости. Без обновления системы есть риск, что ваша система рано или поздно станет уязвимой. Если же делать обновления системы UEM, получая софт из неофициальных источников, то есть риск столкнуться с вирусным кодом или получить закладки с ПО, а также ситуацией, когда ваши устройства или система лишится части функционала или станет полностью нерабочей, при определении вендором недружественной юрисдикции, что ваша система используется из России.
• Если Google или Роскомнадзор обрежут в России облачные сервисы Android Enterprise и/или Google Play. Управление в западных MDM в этом случае может закончиться. А SafeMobile продукт продолжит работать так как не использует эти облачные сервисы.
• Если по внутренним требованиям ИБ или требованиям регуляторов в этой области вам придётся перейти на сертификаты национального удостоверяющего центра Минцифры, западные решения с ним могут не заработать. Может быть утрачено управление устройствами или возможность подключения новых устройств.
• Если лицензия западного MDM не безлимитная по числу устройств, то при увеличении числа мобильных устройств придётся выбирать, какие устройства отключить от управления.
• Серверные компоненты западных решений могут работать на Windows/MS SQL Server/Oracle, поддержка которых может закончиться до истечения срока поддержки UEM. Неполучение системным ПО обновлений безопасности и исправления критичных уязвимостей драматически снижает уровень ИБ компании. Особенно в том случае, когда сервисы на базе этого системного ПО доступны из сети Интернет, как UEM.
• Западные решения могут не управлять устройствами без сервисов Google. К ним относятся, например, устройства Aquarius, часть устройств MIG и АТОЛ, устройства Huawei. Наше решение управляет этими устройствами в полном объёме.

С помощью UEM SafeMobile администратор может настроить встроенные политики безопасности на Android и iOS устройствах. Именно они позволяют запретить пользователю самостоятельно устанавливать или удалять приложения с мобильных устройств.

Серверные компоненты UEM safeMobile не требуют больших вычислительных ресурсов.
Для управления 500 устройствами нужен один физический или виртуальный сервер с 2 ядрами CPU 2 ГГц, 4 ГБ RAM и 30 ГБ HDD.

С другими серверными конфигурациями можно ознакомиться в разделе «Архитектура».

Да. Управление без доступа в интернет возможно для устройств на базе Android, Аврора, Windows и Linux. Для управления iOS устройствами нужен доступ с мобильных устройств и сервера управления к серверам Apple.

Подробнее можно прочитать в нашей статье.

Канал управления мобильными устройствами защищается с помощью AES шифрования. Чувствительные данные не передаются в канале управления, поэтому дополнительная защита, например, с помощью алгоритмов ГОСТ шифрования, для канала управления не требуется.

UEM SafeMobile совместим с любым VPN решением. Имеется практический опыт применения ViPNet, NGate, Континент АП, Check Point, Cisco и др.

С помощью UEM SafeMobile можно централизованно устанавливать и обновлять VPN клиент на мобильных устройствах. Если VPN клиент поддерживает механизмы удалённой настройки, UEM SafeMobile сможет дистанционно его настроить – указать адрес криптошлюза, ввести лицензию и т.д.

Для аттестации информационной системы понадобиться в дополнение к лицензиям UEM SafeMobile приобрести пакет сертификации, в который входит:
— дистрибутив сертифицированного ФСТЭК России программного обеспечения UEM SafeMobile;
— формуляр;
— заверенная копия сертификата ФСТЭК России.

Пакет сертификации не зависит от числа мобильных устройств. Для каждой серверной инсталляции UEM SafeMobile нужен свой пакет сертификации.

Для тестирования решения нужно отправить заявку на адрес электронной почты: sales@safe-mobile.ru или заполнить форму на сайте. Форма заявки доступна по ссылке.

Для тестирования решения организовывается бесплатный двухнедельный пилотный проект на базе нашего ЦОД с предоставлением доступа к облачному UEM SafeMobile и порталу технической поддержки. Перед стартом пилотного проекта проводится обучение.

Нет. Запись разговоров пользователей мобильных устройств невозможна. Эта возможность блокируется на уровне прошивки.

Приобрести лицензии UEM SafeMobile можно как напрямую, так и через партнеров. Перечень партнеров доступен по ссылке

Лицензии UEM SafeMobile предоставляются на основе контракта. Для инициирования процедуры предоставления лицензий нужно отправить заявку на адрес электронной почты: sales@safe-mobile.ru или заполнить форму на сайте. Форма заявки доступна по ссылке.

Лицензии UEM SafeMobile предоставляется по модели Device CAL — лицензия по устройствам. Лицензия распространяется на количество управляемых устройств, указанное в контракте, и позволяет использовать одно устройство неограниченному количеству пользователей. Минимальное количество устройств для заключения контракта — 25.

Узнать больше о видах лицензий можно в разделе «Стоимость».

Наше главное преимущество – клиентоориентированность:
— Дорожная карта развития SafeMobile формируется по запросам наших клиентов
— Мы готовы к обсуждению предложений по доработке продукта
— Техническая поддержка оперативно реагирует на запросы заказчиков
— Возможно создание выделенного стенда для апробации продукта из нашего ЦОД SafeDC

UEM SafeMobile – это отечественный программный продукт, включенный в Единый реестр российских программ для электронных вычислительных машин и баз данных (запись в реестре №11745 от 15.10.2021 г.)

UEM SafeMobile является сертифицированным ФСТЭК России средством защиты информации на мобильных устройствах от несанкционированного доступа и сертифицированным мобильным антивирусом.

Применение UEM SafeMobile позволяет провести аттестацию информационных систем, к которым получают доступ мобильные рабочие места – ГИС, КИИ, ИСПДн.

Документация, интерфейс UEM SafeMobile, обучение и техническая поддержка на русском языке.

Нет, не нужен.
В мобильный клиент UEM SafeMobile для Android могут быть встроены антивирусные библиотеки Kaspersky Mobile Security SDK. Управление антивирусом и контроль обнаружения вредоносного ПО может выполняться централизованно из веб-консоли UEM SafeMobile.

Время подготовки устройства складывается из времени подключения устройства к UEM SafeMobile, а также времени доставки и настройки нужных для работы приложений.

Подключение устройства к UEM SafeMobile занимает несколько минут. Конкретные цифры зависят от модели устройства. Так, на большинстве корпоративных Android устройств для подключения к UEM SafeMobile достаточно отсканировать QR-код в процессе инициализации устройства. А на устройствах Samsung доступна бесплатная технология Knox Mobile Enrollment, с помощью которой подключение устройства к UEM SafeMobile выполняется автоматически и не требует участия пользователя или администратора.

Скорость доставки приложений определяется пропускной способностью канала связи и размером дистрибутивов приложений. Обычно приложения доставляются и устанавливаются за несколько минут.

Порядок настройки приложений может быть разным. Обычно администраторы настраивают адрес подключения и вводят лицензионный ключ, если это актуально. Эти действия можно автоматизировать с помощью удалённой настройки приложений. В этом случае временем настройки приложений можно пренебречь.

Нет, нельзя. Мы против того, чтобы работодатели прослушивали своих работников.

Нет. Переписка, которую пользователь ведёт в WhatsApp или любом другом публичном мессенджере, хранится на устройстве в зашифрованном виде и недоступна другим приложениям, включая SafeMobile.

В UEM SafeMobile есть готовые отчеты, большую часть из которых можно выгрузить в xlsx. Состав отчётов описан в руководстве администратора.

Конструктора отчётов нет. Интеграция с внешними BI системами для построения отчётов возможна с помощью запроса данных из БД. Прямой доступ к таблицам не рекомендуется, потому что физическая структура данных может измениться. Чтобы получить доступ к интересующим данным, мы можем сделать нужное view по запросу.

На iOS и Android нет стандартных API или библиотек для ГОСТ-шифрования и УНЭП. Реализация этих возможностей доступна только на уровне приложения. Если в приложения будут встраиваться сертифицированные СКЗИ, могут потребоваться тематические исследования. Чтобы этого не делать, можно использовать готовые решения. Например, один из отечественных VPN клиентов с ГОСТ-шифрованием.

Если антивирус на мобильном устройстве Android при установке приложения «monitor.apk» выдает сообщение о потенциальном опасном ПО, продолжайте установку. Это ложное реагирование на приложения класса MDM/UEM, которое при установке может получать расширенные права на устройстве, в том числе права владельца устройства и владельца профиля. Подробнее можно почитать в руководстве пользователя мобильным клиентом Android SafeMobile.

В лицензии на 1 и 3 года техническая поддержка уже включена в стоимость.

В бессрочные лицензии техническая поддержка включена на срок 12 месяцев, далее необходимо приобретать продление.

Для рассчета продления технической поддержки необходимо обратиться по ссылке.

Можно приобрести лицензии UEM SafeMobile на локальную установку у Заказчика (on-premise) на 1, 3 года и бессрочно и по модели SaaS из ЦОД нашей компании на полгода, 1 и 3 года.

Лицензии UEM SafeMobile предоставляется по модели Device CAL — лицензия распространяется на количество «подключенных» устройств и позволяет неограниченному числу пользователей использовать одно устройство. То есть неважно сколько пользователей устройства будет, главное чтобы количество устройств не превышало максимальное число, доступное в вашей лицензии.

Минимальное количество лицензий в варианте on-premise — 25 единиц, в варианте SaaS -10.
Подробнее с информацией о лицензиях можно ознакомиться в разделе «Стоимость».

Срок действия лицензий UEM SafeMobile зависит от выбранного тарифа. Лицензия может быть приобретена на 1 год, 3 года или бессрочно. Для лицензий на 1 и 3 года техническая поддержка уже входит в стоимость.

Подробнее с информацией о лицензиях можно ознакомиться в разделе «Стоимость».

Оценить стоимость UEM SafeMobile до 1 000 устройств можно с помощью онлайн-калькулятора.

Для получения коммерческого предложения нужно отправить заявку на адрес электронной почты: sales@safe-mobile.ru или заполнить форму на сайте. Форма заявки доступна по ссылке.

Мы серьёзно относимся к своим Заказчикам. Даже на этапе пилотных проектов мы стараемся предложить Заказчикам персональное решение бизнес-задач.

Для этого перед началом пилотного проекта мы просим заполнить опросный лист, чтобы вместе с Заказчиком ответить на вопрос «Зачем мне нужно управлять мобильными устройствами?».
После чего обучаем специалистов Заказчика и предоставляем доступ к консоли управления в нашем ЦОД, чтобы пилот прошёл быстро и гладко. На период пилота предоставляем доступ к технической поддержке для помощи в осваивании системы.
По результатам пилота мы обязательно запрашиваем обратную связь о продукте, чтобы сделать его лучше.

Отличаются схемы лицензирования:

Минимальное количество приобретаемых лицензий on-premise SafeMobile — 25 штук, SaaS лицензий – 10 штук.

Техническая разница только в месте установки серверной группировки – локально у Заказчика (on-premise) или в ЦОД НИИ СОКБ (SaaS). В варианте SaaS вам не нужно иметь в своем штате специалистов по Linux системам, думать об обновлениях программного обеспечения и серверных мощностях. В варианте SaaS нет возможности интеграции SafeMobile с системами заказчика, например MS AD и MS CA.

Посмотреть условия лицензирования можно в разделе «Стоимость».

Обучение нужно для получения практических знаний по работе продукта: научиться разным способам подключения мобильных устройств, получить представление о задачах администратора и работе в консоли управления, самостоятельно произвести установку и обновление системы. Без этих навыков комфортная эксплуатация системы невозможна.

Да, есть облачная версия UEM SafeMobile. Услуга предоставляется по подписке. Используются серверные мощности ЦОД Safe DC нашей компании. Safe DC соответствует 1 классу и 1 уровню защищенности информационных систем, обрабатывающих государственные информационные ресурсы и персональные данные граждан.
Минимальный срок подписки на SaaS лицензию UEM SafeMobile от 6 месяцев. Техническая поддержка входит в стоимость лицензий.

Заказчик может выполнить внедрение самостоятельно после прохождения обучения.
Но мы настоятельно рекомендуем всем заказчикам перед установкой пройти бесплатный курс по установке UEM SafeMobile.

Приобретая лицензии UEM SafeMobile на 1 и на 3 года, Заказчик «автоматически» получает техническую поддержку, т.к. она входит в стоимость лицензий.

В стоимость бессрочных лицензий входит техническая поддержка только на первый год. На второй и последующие годы техническую поддержку нужно приобретать отдельно. Без действующего контракта на техническую поддержку у Заказчика не будет доступа к обновлениям и не будет возможности задать вопрос о работе системы.

Техническая поддержка UEM SafeMobile нужна для доступа к обновлениям и получения разъяснений о работе продукта.

Техническая поддержка осуществляется через веб-портал https://service.niisokb.ru/.

Техническая поддержка входит в стоимость срочных лицензий UEM SafeMobile (на 1 или 3 года). В стоимость бессрочной лицензии входит техническая поддержка на первый год использования. На второй и последующие годы её нужно приобретать дополнительно.

В настоящее время в UEM SafeMobile такой функции нет.

Предлагаем обратить внимание на приложение нашего партнёра – компании Ассистент, которое можно установить на управляемые устройства с помощью UEM SafeMobile и предоставлять пользователям техническую поддержку удаленно.

Наиболее крупные реализованные проекты включают до 60 000 устройств на одной инсталляции. Помимо этого UEM SafeMobile успешно прошел синтетические тесты, моделирующие управление 100 000 устройствами.

Устройства могут регистрироваться с помощью доменных учётных записей или одноразовых кодов приглашения.
Взаимодействие устройств с сервером осуществляется по HTTPS. Устройства Android также подключаются к серверу по TLS. Внутри реализован проприетарный протокол поверх TCP.

Для повышения отказоустойчивости UEM SafeMobile могут быть реализованы следующие способы:
— Балансировка нагрузки серверов, обслуживающих клиентские подключения мобильных устройств, роли «Сервер команд» и «Сервер управления» на архитектурой схеме.
— Кластеризация «Сервера управления» в связи с тем, что основная нагрузка приходится на него. Во внедрениях, где была кластеризация, заказчики использовали haproxy.

Помимо этого, можно сделать кластер PostgreSQL. Примеров внедрения с кластером БД нет, потому что еще не возникало такой потребности.

Общая схема архитектуры UEM SafeMobile представлена в разделе «Архитектура»

Взаимодействие компонентов UEM SafeMobile, в том числе портов и протоколов, подробно описано в «Руководстве по установке и настройке UEM SafeMobile»

В UEM SafeMobile используется СУБД PostgreSQL или Postgres Pro (если нужна СУБД из рееста российского ПО).

Функции инвентаризации в продукте есть, количество полей с информацией об устройствах конечное.
Возможность добавления «своих» полей в планах развития продукта.

Подробнее о работе с Отчетами можно ознакомиться в соответствующих разделах документации.

Начиная с релиза 7.0 такой функционал реализован.

Процесс обновления в класическом варианте построен следующим образом:

1. Остановка docker контейнеров;
2. Обновление баз данных скриптами;
3. Запуск новых docker контейнеров.

DownTime определяется п.2. Конкретное время зависит от объёма данных и числа изменений в новой версии. Во время обновления не будет доступна доставка команд и новых версий приложений, остальное продолжит работать. Пользователи обычно не замечают таких обновлений и DownTime.

Начиная с версии 7.0 реализован профиль управления обновлениями Android устройств, включающий настройку возможностей:

• Откладывания обновления ОС до 30 дней.
• Настройки freeze-периодов, в которые запрещены обновления ОС. Freeze периоды настраиваются для диапазона календарных дат. Например, для праздников. Длительность одного периода до 90 дней, диапазон между периодами должен быть не менее 60 дней.
• Принудительного обновления ОС при доступности новой версии.

Для iOS, команда принудительного обновления iOS устройств в режиме supervised. Также можно отложить обновление на срок не более 90 суток. Отложенное обновление iOS доступно только для устройств в режиме supervised. Для настройки этих политик создайте и назначьте на устройства профили ограничений.

Управление устройствами iOS зависит от доступа мобильных устройств и сервера управления к серверам Apple;

iOS устройства рекомендуется переводить в режим supervised перед тем, как передавать их пользователям. В этом режиме руководителю не будет нужно подтверждать установку приложений администратором. Если режим supervised не включен перед тем, как устройство было передано пользователю, то включить его после практически невозможно. После включения режима supervised на нём нельзя восстановить данные из сделанных ранее резервных копий. Для руководителей это обычно критично. Подробнее об этой и других особенностях управления iOS устройствами читайте в нашей статье на Хабре.

С помощью UEM SafeMobile можно управлять устройствами Android 5 и выше (рекомендуется 7 и выше) и устройствами iOS 10 и выше. Начиная с версии 7.0 SafeMobile мы вынуждены отказать от поддержки Android 4.4 ввиду того, что невозможна одновременная поддержка этой версии и Android 13. Список доступных функциональных возможностей зависит от версии ОС и производителя устройств.

Мы регулярно тестируем мобильные устройства, чтобы убедиться в том, что они позволят нашим Заказчикам использовать нужные им функции управления.

Актуальный список протестированных устройств доступен по ссылке.

На Android устройствах мы можем создать корпоративный контейнер на личном устройстве и настроить его под работу. При этом доступ компании возможен только к корпоративной области. На устройствах iOS можно устанавливать корпоративные приложения как управляемые. Подробнее про то, как можно разделить корпоративные и личные данные на устройстве, и какие у этого подхода ограничения читайте в нашей статье.

UEM SafeMobile поддерживает управление Android устройствами любых производителей, в том числе китайских. Со списком устройств, проверенных на совместимость, можно ознакомиться по ссылке.

Для проверки работоспособности основных функций мы готовы бесплатно проверить устройства до начала проекта. Для этого достаточно передать нам устройства в тест и заполнить простую форму.

Да. UEM SafeMobile может управлять ноутбуками на Windows 10 и 11. Поддерживаются редакции Pro и Enterprise. В редакции Home механизмы централизованного управления недоступны, поэтому управлять ноутбуками с Windows 10/11 Home нельзя.

С помощью UEM SafeMobile можно централизованно настроить на ноутбуках политики безопасности, установить на них нужны для работы приложения и стереть данные, если ноутбук будет потерян или украден. Подробнее о функциях по управлению Windows можно прочитать на этой странице.

Да, есть возможность управление устройствами на базе Alt Linux и Astra Linux:
Доступны: Регистрация устройств, установка и обновление приложений, а также централизованное распространение конфигурационных файлов.

Для iOS устройств достаточно установить пароль. Чтобы пользователи не забывали этого делать, мы рекомендуем настраивать требования к наличию пароля с помощью профиля парольных политик.

Для Android устройств могут быть отличии в зависимости от версии Android – на устройствах с Android 7 и выше шифрование внутренней памяти включено по умолчанию и его нельзя выключить. Для устройств с более ранними версиями Android нужно настроить соответствующую политику безопасности в профиле ограничений.

Нет. Большинство функций платформы Samsung Knox не требуют приобретения дополнительных лицензий. При управлении мобильными устройствами Samsung с помощью UEM SafeMobile по сравнению с другими Android устройствами доступны:

— технология подключения мобильных устройств «из коробки» Knox Mobile Enrollment;
— расширенный набор политик безопасности, включая запрет обновления ОС и запрет установки кастомных образов восстановления (recovery);
— технология создания корпоративных контейнеров.

Да. С возможностями UEM SafeMobile по управлению Windows устройствами можно ознакомится по ссылке.

Нет, не влияет. При недоступности сервера на устройство не доставляются обновления корпоративных приложений и политик безопасности, но установленные приложения и политики работают в штатном режиме. События безопасности также не будут потеряны – мобильный клиент накапливает события, чтобы передать их на сервер, когда это станет возможно.

Да

Да, можно

Сертификаты
1. SafeMobile может распространять на устройства серверные сертификаты. Например, чтобы веб-браузер устройства не сообщал пользователю об опасности подключения к корпоративным веб-ресурсам, сертификаты которых выпущены корпоративным удостоверяющим центром.
2. С помощью SafeMobile можно автоматизировать выпуск клиентских сертификатов для настройки корпоративных Wi-Fi сетей стандарта 802.1X. Для iOS устройств также доступны сертификаты для корпоративной почты и VPN.

AppConfig
SafeMobile может централизованно настраивать мобильные приложения. Для этого разработчик приложения должен реализовать механизмы удалённой настройки, рекомендованные Apple и Google. Рекомендуем обратить на них внимание. Ссылки на лучшие практики – iOS, Android.

Документы
Возможно отправлять документы на Android и iOS устройства.

В резервной копии сохраняется признак наличия режима supervised, и он восстанавливается вместе с резервной копией. Это означает, что восстановить данные из резервной копии, сделанной до перевода iOS устройства в режим supervised, нельзя. Такова политика Apple. Поэтому мы рекомендуем принимать решение об использовании режима supervised как можно раньше, чтобы исключить недовольство пользователей, которые не смогут восстановить личные данные на устройствах.

В UEM SafeMobile управляет как корпоративными приложеними, так и приложениями установленными из публичных магазинов (GooglePlay, AppStore).

Корпоративный аккаунт для сторонних маганизов не доставляется и не используется в связи с тем, что корпоративных AppleID в России нет. Корпоративные аккаунты Google — часть их облачной платформы, которая по понятным причинам не поддерживается в SafeMobile. Использовать личные аккаунты как корпоративные нельзя, у них есть ограничение по числу устройств, которые могут быть зарегистрированы на один аккаунт.

Возможность управления периферийными устройствами реализована на терминалах сбора данных (ТСД) под управлением Android.

Начиная с версии 6.0 реализована возможность доставки сертификатов для настройки подключения к Wi-Fi точкам. Личные сертификаты или автоматически запрашиваются на Microsoft CA, или загружаются администратором в виде .pfx (вместе с приватным ключом). В версии 7.0 также реализована доставка сертификатов для почтовых клиентов и VPN для iOS устройств.

В релизе 7.0 реализован механизм настройки правил соответствия устройств требованиям безопасности (compliance). Если устройство не соответствует требования, к нему могут быть применены одно или несколько действий. У каждого из действий задаётся своя задержка. Например, устройство подключается с версией ОС ниже допустимой. Пользователю и администратору отправляется письмо о том, что устройство нужно обновить. Вместе с письмом на устройство отправляется команда или профиль для принудительного обновления ОС. Если через сутки устройство не обновляется, оно автоматически отключается от управления.

Доступные условия compliance:

• Принадлежность устройства – корпоративное или личное.
• Нахождение внутри или вне геозоны.
• Доменные группы, в которых должен быть пользователь или в которых его быть не должно.
• Нахождение iOS устройства в режиме supervised или не-нахождение устройства в этом режиме.
• Наличие или отсутствие на устройстве указанных приложений.
• Минимальная или максимальная версия мобильной ОС.

Доступные действия compliance:

• Email по указанному шаблону.
• Команды enterprise wipe, wipe или принудительного обновления ОС. Последняя команда только для устройств на базе iOS.
• Установка compliance профиля. Такие профили нельзя назначить на устройства или группы вручную. Только через срабатывание правил compliance.

Также доступны:
1) Enterprise wipe в случае обнаружения признаков root / jailbreak. Список проверок на root для Android можно настраивать.
2) Автоматическая блокировка Android-устройства при извлечении SIM-карты.

Доработана интеграция SafeMobile со службой каталогов Microsoft Active Directory:

• Синхронизация пользователей указанных администратором групп, начиная с указанного baseDN по команде администратора и/или автоматически с заданным администратором периодом.
• Возможность использования групп безопасности при назначении профилей и приложений. Группы безопасности синхронизируются отдельно от групп пользователей.
• Использование доменных групп для авторизации администраторов. Администраторы получают функциональные роли в зависимости от того, в какие доменные группы они входят.
• Автоматические действия с устройствами пользователя при отключении или блокировке его доменной учётной записи – блокировка, enterprise wipe или wipe.
• Оптимизирован способ отображения организационно-штатной структуры, чтобы отображать структуру с сотней тысяч сотрудников за секунды.

Да. Для этого разработчик приложения должен реализовать механизмы удалённой настройки, рекомендованные Apple и Google.

Да, поддерживает.

Форматы дистрибутивов:
— для Android — apk;
— для iOS — ipa;
— для Аврора — rpm;
— для Windows — msi с поддержкой режима тихой установки;
— для Astra Linux и Alt Linux — deb и rpm соответственно.

На iOS установка приложений не требует участия пользователя, если устройство работает в режиме supervised.

На Android устройствах участие пользователя требуется только в том случае, когда администратор корпоративной мобильности потребовал установить приложение из Google Play. В этом случае установка осуществляется от имени учётной записи пользователя и пользователю нужно её подтвердить.

В резервной копии сохраняется признак наличия режима supervised, и он восстанавливается вместе с резервной копией. Это означает, что восстановить данные из резервной копии, сделанной до перевода iOS устройства в режим supervised, нельзя. Поэтому мы рекомендуем принимать решение об использовании режима supervised как можно раньше, чтобы исключить недовольство пользователей, которые не смогут восстановить личные данные на устройствах.

Режим supervised определяет, что устройство является корпоративным и принадлежит использующей его компании, а не сотруднику. Он позволяет администраторам UEM настраивать большее число политик безопасности, например переводить устройство в режим киоска.

Выполнение команд управления на iOS устройствах в режиме supervised не требует подтверждения пользователя. Например, установка приложений в режиме supervised будет осуществляться в «тихом» режиме.

Перевод iOS устройств в режим supervised осуществляется с помощью подключения устройства по проводу к macOS и использовании ПО Apple Configurator 2.

В версии 7.0 есть возможность использования профиля фильтрации контента для iOS, с помощью которого на устройствах в режиме supervised можно настроить чёрные и белые списки сайтов. Для удобства формирования списков из большого числа элементов реализована загрузка списка с помощью файла.

Корпоративные устройства рекомендуется превращать в контейнер целиком, оставляя на них только те приложения и сервисы, которые нужны сотрудникам для работы. Аналогично корпоративным ноутбукам.

Также c помощью UEM SafeMobile возможна реализация и других технологий контейнеризации:

1. Ограничение возможности передачи файлов из управляемых приложений iOS в неуправляемые, в том числе с использованием буфера обмена.
2. Создание защищённых Goоgle и Knox (применимо для Samsung) контейнеров на Android устройствах.

Для контроля средств связи в UEM SafeMobile реализованы следующие возможности:

1. Регистрация идентификаторов установленной в устройство SIM-карты. Если их две — идентификаторов основной SIM-карты;
2. Возможность регистрации журналов вызовов и SMS с основной SIM в Android. Опционально. После Android 10 на ряде устройств есть проблемы с доступом к целевым журналам;
3. Ограничение доступа только к тем Wi-Fi сетям, которые настроены с помощью SafeMobile;
4. Ограничение доступа к Wi-Fi на Android;
5. Регистрация извлечения SIM. Возможность блокировки Android устройств в случае извелечения SIM. Извлечение SIM — типовое действие при краже телефона;
6. Регистрация номеров телефонов SIM. В общем случае номер для этого должен быть записан на самой SIM, но для устройств с Android до 9 включительно можно определять номер телефона и когда его нет на SIM. Для этого используются служебные SMS. После Android 10 на части устройств есть проблемы со скрытой отправкой таких SMS, поэтому нужно тестировать функцию на конкретном устройстве;
7. Различные запреты в объёме профиля Restrictions в Apple Configurator и доступного нативного API в Android Enterprise.

Да. Для этого на ноутбуках должна быть установлена Windows 10 редакции Pro или Enterprise. В редакции Home механизмы централизованного управления недоступны, поэтому управлять ноутбуками с Windows 10 Home нельзя. С составом доступных для настройки политик безопасности можно ознакомиться на этой странице.

Да.

На iOS с помощью настройки restrictions, которые требуют supervised, или с помощью правил для удаления указанных администратором приложений (по bundleId).

На Android белый список — это системный режим киоска. Чёрный список — это удаление указанных администратором приложений (по package name).

Да, режим киоска есть для устройств на базе Android и iOS.

1. При удалении MDM профиля iOS сам удалит все, что MDM поставил и взял под управление. Исключение могут составлять данные, которые пользователь перенёс в личные приложения и аккаунты, если ему это не было запрещено;
2. На Android отключение от управление приведёт к тому, что будет удалён контейнер. В случае потери устройства администратор также может польностью очистить устройство;
3. Ограничение доступа личных приложений к корпоративным данным в процессе управления обеспечивается технологиями контейнеризации — разделением managed / unmanaged на iOS и рабочими профилями / Google или Knox контейнерами на Android.

1. Сервер поддерживает связь с iOS устройствами каждые пять минут. Если за 15 минут устройство не ответило, его статус меняется на «не в сети». Если не отвечало сутки, статус меняется на «давно не сети». Интервал не настраивается.
2. Информация об iOS устройствах обновляется раз в час. Интервал не настраивается. Но если нужно обновить информацию по конкретному устройству быстрее, достаточно отправить ему команду синхронизации.
3. Android устройства сообщают информацию об устройстве целиком при старте. Дальше часть информации, например о заряде батареи, SIM, GPS или установке приложений, отправляется по мере возникновения событий. А часть информации, например, количество свободного места на диске обновляется или при следующей перезагрузке телефона, или по команде синхронизации.
4. В части состояния подключения Android ведёт себя немного иначе, чем iOS. Android клиент сам подключается к серверу без внешних пуш-запросов. После этого держит постоянное соединение с сервером. Интервал между попытками подключения к серверу и время «пингов» со стороны клиента к серверу настраивается в профиле настроек монитора Android (клиентская часть SafeMobile).

Да есть, материалы удобно разбиты по темам: https://youtube.com/playlist?list=PLgt0JStdjpNzlmK3r7bQJ_jDiiYv95bNS

Xiaomi нормально реализовал поддержку UEM/MDM только начиная с версии MIUI 12.5. Более ранние версии подключить обычно все же с трудом, но удается, но есть проблемы с получением полномочий и работой с приложениями. Однако есть шанс получить аудит устройств и работоспособность команд. Также DO (device owner/корпоративное устройство) по QR коду поддерживается только начиная с MIUI 11. Если устройство не поддерживает QR коды, то подключить его можно по ADB. После подключения необходимо отключить функцию miui optimization, но результат удачного получения прав и управление устройством не гарантированы.

В случае Android система сама обнаруживает рутирование, отключает устройство от управления и удаляет установленные администратором приложения с данными и профили.

В случае с iOS, при наличии назначенного EMM Client также обнаруживается рутирование и устройство отключается от управления с удалением назначенных приложений и их данных.

Чтобы установить приложение, его дистрибутив должен быть подписан с помощью ADEP.

Посмотрите ролик, где на примере приложения КриптоПро NGate показано как это можно сделать: https://www.youtube.com/watch?v=YnoZhePgviU&t=1768s

FCM нужен только для устаревших устройств, которые «убивают» рабочий процесс UEM/MDM. FCM нужен, чтобы запустить MDM процесс заново. Используется при невозможности корректной работы в стандартном варианте сервиса SafeMobile. Как правило применяется на старых телефонах MEIZU, Xiaomi и Huawei до Android 9.

1. Устройство должно быть iOS или корпоративный Android. На личном рабочем профиле определение местоположения невозможно
2. В Календаре создать график рабочего времени
3. Создать профиль «Настройки сбора местоположений Android»
4. Назначить на группу или необходимое устройство
5. Отправить команду «Установка графика рабочего времени»

Реализовать полную блокировку использования sim-карт возможно только на устройствах Samsung. Другие устройства на базе Android не позволяют полностью блокировать мобильный интернет.

Настраиваемые политики ограничений Android:

• Запретить изменение настроек мобильных сетей.
• Запретить мобильную передачу данных в роуминге.

Настраиваемые политики ограничений Samsung Knox Android:

• Разрешить мобильную передачу данных.

Samsung Knox — это решение мобильной безопасности, предварительно установленное на большинстве смартфонов, планшетов и носителей Samsung. Ключевые особенности:

1. Развертывание из коробки – автоматическое подключение к SafeMobile. IMEI заранее прописан и закреплён за организацией к Samsung Knox. Делается через заявку клиентом в сторону дистрибутора, у которого была закупка.
2. Можно доставлять и устанавливать apk файлы без подтверждения пользователя.
3. Возможно установить запрет перепрошивки по проводу.

Android: можно запретить делать скриншоты в корпоративных приложениях (не распространяется на личную область в телефоне, если такая есть).

iOS: запрет на скриншоты распространяется на всё устройство.

1. Рандомизацию MAC-адресов можно запретить только на iOS и только для тех сетей, которые настроены с помощью MDM. На Android такая возможность анонсирована только в Android 13. В SafeMobile пока не поддерживается.
2. С помощью SafeMobile можно настроить доступ устройств к сетям Wi-Fi 802.1x и автоматизировать выпуск клиентских сертификатов на корпоративном удостоверяющем центре.
3. Из SafeMobile можно выгрузить MAC-адреса Wi-Fi модулей корпоративных мобильных устройств и на основании этой информации организовывать ограничения доступа в сеть. Сейчас эту информацию придётся выгружать из БД. К осени планируем сделать REST API. Важное ограничение – запрет рандомизации на Android придётся включать вручную. Но это легко решается организационно – если MAC будет случайным, пользователь просто не получит доступа в сеть.