Еще лет 10 назад iPhone в корпоративной среде воспринимали примерно как электрокары Тесла. Да, красиво, да, статусно, но как с этим жить – решительно непонятно. Особенно людям, которые дальше Windows и Outlook вообще никогда не выглядывали. Но мир поменялся, айтишники забыли, как патчить KDE2 под FreeBSD, а iPhone научились нормально работать с MDM. Однако остался вопрос: насколько все это применимо к реальной жизни, особенно в наших широтах, где к эппловским девайсам отношение стало, мягко говоря, настороженным?

Тариф корпорация: iPhone vs. Android

Начнем с того, что айфоны в офисах сегодня встречаются все чаще. Причем не только в стартапах, где те же MacBook всегда были нормой, а даже в консервативных корпорациях. По последним данным, количество компаний, которые оценили безопасность устройств Apple только с 2023 по 2024 год выросла с 48 до 58%. Перевели ли они при этом своих сотрудников на гаджеты с яблоком, история умалчивает, но с тем, что корпоративные пользователи явно выше ценят айфоны, чем смартфоны на Android, спорить практически не приходится.

Причины в целом понятны:

1. Жизненный цикл. iPhone спокойно получает обновления лет пять, а то и больше. Даже вышедший в 2020 году iPhone 11 бодро работает на iOS 26 и на покой явно не собирается. С Android все не так. Да, сейчас Google и Samsung обещают до 7 лет обновлений, и это реально круто. Но, во-первых, таких производителей не так много. Во-вторых, чаще всего долгосрочная поддержка гарантируется только флагманам либо крутится исключительно вокруг патчей безопасности. А в корпоративной среде обычно стараются брать что подешевле, а там с обновлениями все довольно грустно.

2. Единство экосистемы. Когда железо, операционка и магазин приложений контролируются одной компанией, сюрпризов меньше. Для IT это огромный плюс. Не надо тестировать корпоративный софт на десятке разных прошивок от Samsung, Xiaomi, Huawei и прочих. Купил сто iPhone 13, написал один MDM-профиль, раскатал на все устройства. И оно просто работает. Везде и одинаково.

3. Удобство. Многие привыкли к iPhone в быту и хотят пользоваться им же на работе. Можно, конечно, выдать человеку корпоративный Android, но человек, который переходит с iOS, обязательно будет жаловаться, что все работает не так, как он привык, уведомления не приходят, а приложения устроены не так, как должно. Ну и зачем мучить человека? Довольный сотрудник работает лучше. Это тоже экономика, между прочим.

Что такое MDM: полный контроль над iPhone

Mobile Device Management для iPhone существует уже очень давно. Кажется, Apple заложила его в систему еще до отказа от скевоморфизма. Вот что он позволяет делать:

• Блокировать любые функции: камеру, AirDrop, App Store, Safari. Хочешь превратить телефон в кирпич с одной рабочей программой? Пожалуйста.

• Мониторить локацию устройства в реальном времени.

• Настраивать VPN на уровне системы, фильтровать весь трафик, применять веб-фильтры.

• Кастомизировать экран: задать обои с логотипом компании, вывести служебное сообщение на локскрин типа "если нашли этот телефон, звоните сюда".

И самое главное: выключить MDM-профиль пользователь не может. Никак. Даже если сбросит настройки к заводским, устройство все равно останется под контролем организации. Железобетонная привязка. Для корпоративного аппарата это как раз то, что нужно.

Не согласны и вам есть что сказать по теме? Присоединяйтесь к нашему сообществу “Практики FinOps” в Telegram. Там мы говорим не только об облаке, инфраструктуре и экономии, но и о таких вот интересных вещах, как iPhone.

Но MDM – это не только про ограничения, но и про преимущества:

• VPP (Volume Purchase Program). По сути, это оптовая программа, которая позволяет закупать приложения из App Store для всех пользователей разом и раздавать им лицензии автоматически. Причем лицензии можно отзывать и переназначать, если сотрудник уволился или сменил должность. 

• Per-App VPN: отдельный VPN-туннель для конкретных приложений. Например, корпоративная почта и CRM ходят через защищенный канал, а личные приложения работают напрямую.

• Автоматическая раскатка Wi-Fi-профилей с сертификатами для подключения к корпоративной сети.

• Настройка комплаенс-политики, чтобы пользователь регулярно обновлял ПО и тем самым обеспечивал защиту своего устройства.

Включить корпоративное управление устройством можно, если заказать партию устройств через бизнес-портал Apple Business Manager (в России недоступно с 2022 года), либо сделать это вручную через утилиту Apple Configurator (доступно в России).

В обоих случаях результат будет один и тот же: при первой активации устройства будет подтягиваться MDM-профиль компании со всеми настройками, не требуя каких-либо действий от пользователя. 

Есть и третий способ – User Enrollment. Он подходит тем, кто использует в рабочих целях личный телефон. Тут история немного другая. Не каждый согласится, чтобы работодатель смотрел его личный iPhone через MDM. Да и юридически это спорный момент. Поэтому в User Enrollment используется Managed Apple ID, выданный компанией, параллельно с личным Apple ID пользователя. Такой себе MDM на минималках: контроль рабочих данных есть, а личных фото, приложений и переписки – нет.

MDM-системы: зачем нужны и какие бывают

Для управления MDM-профилем и привязанными устройствами существуют специальные MDM-системы:

• Microsoft Intune

• Jamf

• VMware Workspace ONE

• Ivanti MobileIron

Ими, конечно, список не ограничивается. По факту их куда больше. Хотя все они работают через стандартные iOS MDM API, так что по базовым возможностям все сервисы будут примерно одинаковыми: инвентаризация устройств, профили настроек, политики паролей, удаленное стирание, установка софта, ограничения функций.

Российские платформы тоже бывают:

• Kaspersky Endpoint Security for Mobile

• Инсайт MDM

• Аврора Центр

Но дьявол, как обычно, в деталях, и золотым стандартом для Apple-парков считается именно Jamf. Он лучше заточен именно под экосистему Apple и умеет кучу того, что другие не умеют или умеют, но не так. Например, поддерживает кастомные скрипты при установке приложений и предлагает более гибкую настройку Dock на macOS. Правда, как и любой другой корпоративный софт, стоит Jamf не дешево.

Что касается размещения, то большинство MDM-платформ сейчас облачные, так что поднимать свой сервер под это дело вам не придется. Это заметно снижает порог вхождения. Для компаний без мощного IT-отдела это спасение. Хотя есть и on-premise варианты для тех, кто не хочет пускать данные в чужое облако или работает с режимными системами.

Насколько хорошо защищен iPhone

Секьюрность для Apple – это не просто маркетинг, и с защитой фирменных устройств у компании все очень даже ок.

Secure Enclave: процессор внутри процессора

В каждом современном iPhone используется специальный сопроцессор с собственной операционной системой, который называется Secure Enclave Processor (SEP). Он изолирован от основного процессора на уровне железа и получает доступ к внешней оперативке только через прозрачно зашифрованный канал, который управляется аппаратно.

Преимущество SEP состоит в том, что он не позволяет основному процессору видеть, когда пользователь вводит пароль или использует Face ID. SEP получает хеш биометрии от сенсора, сравнивает внутри себя, и только потом дает А-чипу отмашку на разблокировку. Код-пароль тоже никогда не покидает пределов Secure Enclave. Даже при бэкапе через iTunes. Вместо этого на компьютер передается временный ключ, который SEP держит в памяти и раздает только при необходимости.

Keybags: четыре класса защиты данных

Еще одна фича устройств Apple – это четырехуровневая система защиты файлов, где каждый класс привязан к разным условиям доступности:

• Class A (NSFileProtectionComplete) — самый строгий уровень. Данные доступны, только если устройство разблокировано. 

• Class B (NSFileProtectionCompleteUnlessOpen) — асимметричная схема: файл можно открыть только на разблокированном устройстве, но если он уже открыт, приложение может продолжать с ним работать даже после блокировки.

• Class C (NSFileProtectionAfterFirstUnlock) — после первой разблокировки после загрузки файлы остаются доступны, даже если устройство заблокировано.

• Class D (NSFileProtectionNone) — данные доступны всегда, в т.ч. в режиме BFU.

То есть при блокировке iPhone ключи класса A и приватные ключи класса B удаляются из памяти Secure Enclave. Это значит, что даже если кто-то подключится к памяти устройства извне, данные класса A останутся недоступны без код-пароля. Для корпоративной среды это критично. Даже если телефон топ-менеджера украдут, корпоративные документы останутся в безопасности.

Pointer Authentication и защита от эксплойтов

Pointer Authentication Codes (PAC) – это механизм валидации указателей, который защищает от так называемых ROP-атак, когда хакер пытается переписать адрес функции в памяти и заставить процессор прыгнуть в неправильное место. Как ни странно, это один из самых распространенных типов атак, но iOS от нее защищена.

Процессор хранит адреса не просто так, а с криптографической подписью. Он вычисляет подпись для каждого адреса, используя секретный ключ, который живет в недоступном регистре и никогда не попадает в память. А всего таких подписей – 5. То есть даже если хакер каким-то образом получит один ключ, он сможет подделать только определенные указатели, а остальные останутся нетронуты.

AMFI: code signing на уровне ядра

Но защита указателей — это только часть картины. Apple еще на уровне ядра контролирует, какой код вообще может запуститься, а какой нет. За это отвечает система Apple Mobile File Integrity. 

Это двухуровневая система, задача которой – проверять подпись приложений, гарантирующую, что их код не был изменен, непосредственно перед тем, как дать им запуститься. Ядро ловит запуск, потом отправляет софтину на проверку. 

Проверка пройдена – запускаемся. Не пройдена – запуск пресекается.

А на всякий случай есть еще KTRR (Kernel Text Readonly Region). Это аппаратная защита, которая делает критические части памяти ядра недоступными для записи. То есть даже если кто-то получил полный контроль над ядром, изменить сам код ядра не получится. Единственный шанс — найти уязвимость на этапе загрузки, когда KTRR еще не включился. Но это уже совсем другой уровень сложности.

Managed Open In и Managed Pasteboard

Ну, и помимо низкоуровневой магии, есть прикладные механизмы непосредственно для корпоративной среды (наконец-то). Например, Managed Open In не дает пользователю открыть документ из корпоративного приложения в личном и наоборот.

Иными словами, сотрудник не сможет скопировать текст из управляемого Outlook и вставить в личный Telegram. iPhone просто не даст этого сделать, выдав предупреждение, что вставка запрещена администратором. Для предотвращения утечек данных это просто золото.

Подводные камни и ограничения iPhone

Казалось бы, все прекрасно, переходим на iPhone. Но тут надо вспомнить о недостатках продукта, подобного тому, что предлагает Apple.

Во-первых, в 2023 году ФСБ заявила, что обнаружила масштабную операцию американских спецслужб с использованием iPhone. Деталей не раскрыли, но этого хватило, чтобы запретить технику Apple в государственных структурах. Тогда четко и ясно сказали: iPhone небезопасен для служебной переписки. “Гражданским” айфоны, конечно, никто не запрещал. Так что, как говорится, думайте сами, решайте сами.

Во-вторых, закрытая экосистема означает тотальный vendor lock-in – совсем как в PaaS. Завязались на Apple Business Manager, VPP, Managed Apple ID, и все, зависите от политики Apple. Большинство сервисов останутся для вас бесплатными, но в один прекрасный момент могут просто отключиться, как в России в 2022 году.

В-третьих, вас могут ждать определенные сложности с кастомными приложениями. Как было до 2025 года: российские компании покупали enterprise-подписку и спокойно раздавали свои приложения сотрудникам. Но потом Apple взяла и отключила российским юрлицам доступ к ADEP и просто аннулировала все ранее выданные сертификаты. Почему – непонятно (хотя, конечно, понятно, но мы здесь не за этим). Теперь, чтобы установить корпоративное приложение на iPhone, приходится идти обходными путями:

• Публикация в App Store под видом обычного приложения (долго, дорого, могут забанить)

• Ad-hoc через UDID (до 100 устройств на команду разработчика, для корпорации это ни о чем)

• TestFlight (до 10 000 устройств, но сборки живут 90 дней и надо постоянно обновлять)

• MDM + временный сертификат разработчика (костыль, но работает)

В-четвертых, ограниченная кастомизация для многих может быть критична. Написать на лоскрине “верните Васин iPhone Васе”, конечно, круто и здорово. Но вот свою сборку iOS или встроить в систему свой корневой сертификат без разрешения пользователя, потому что прямого доступа к файловой системе из коробки нет, уже не получится. 

В-пятых, стоимость и сервисное обслуживание. iPhone дорог. Если сотрудник разобьет экран, замена будет стоить как половина Android-телефона среднего класса. И, мало того, в России нет авторизованных сервисов Apple с 2022 года, так что даже ремонт по гарантии будет проблематичен. Тут либо пользуемся серыми сервисами, либо договариваемся об отправке смартфона в страну, где СЦ есть.

Брать ли iPhone под MDM

И все же, как быть?

Ну, технически iPhone более чем готов для работы в корпоративной среде. За последние годы Apple превратила iOS из чисто пользовательской ОС в зрелую платформу для предприятия. Она обзавелась продвинутыми средствами управления, защиты данных, интеграции с корпоративными сервисами. А MDM позволяет довольно гибко подстроить устройство под политики компании.

Но есть нюансы:

• Закрытость экосистемы = зависимость от Apple.

• Не каждый бюджет осилит парк из сотни айфонов.

• Для России есть специфические санкционные ограничения типа отсутствия ABM, блокировки enterprise-сертификатов, недоверия госструктур и отсутствия самых банальных функций типа Apple Pay.

Означает ли это, что iPhone в корпоративной среде теперь использовать нельзя? Да нет, конечно. Просто теперь все зависит от контекста: требования, инфраструктура, бюджет, геополитика. Если хотите классные удобные смартфоны, готовы потратиться и заморочиться с MDM, а на выходе получить довольных сотрудников, iPhone – вполне рабочий вариант. Если нужна максимальная кастомизация или работа с критическими системами, где нельзя доверять закрытому ПО, стоит подумать дважды.