Сегодня я хотел бы познакомить вас с ManageEngine Mobile Device Manager Plus. Хотя решение существует как в локальном варианте, так и в облачном, я ограничу свой рассказ облачным вариантом — просто потому, что на них легче и быстрее начать работу.


Не так много воды утекло с тех пор, как руководители IT-отделов еще были вынуждены выбирать: либо включать в общую сеть корпоративные мобильные девайсы и, следовательно, требовать от сотрудников наличия не менее чем двух мобильных устройств, либо разрешать сотрудникам доступ к корпоративным данным через мобильные устройства.




К счастью, эта ситуация изменилась. MDM-решения, такие, как VMware AirWatch, Cisco Meraki и Microsoft Intune, позволяют использовать лучшее из обоих вариантов: сотрудники могут носить мобильный телефон по своему выбору, а компания может выборочно управлять устройством для обеспечения безопасности корпоративных данных.


Что делает MDM Plus


Собственно, как ManageEngine MDM Plus обеспечивает безопасный и работоспособный сценарий BYOD? Давайте начнем с рассмотрения наиболее важных операций, которые IT-менеджерам необходимо проводить над мобильными устройствами:


  • Управление несколькими платформами для мобильных ОС, включая Apple iOS, Google Android и Microsoft Windows Phone.
  • Управление приложениями. Распространение собственных приложений и выборочное одобрение/блокирование сторонних приложений.
  • Управление активами: просмотр и управление конфигурациями аппаратного и программного обеспечения каждого мобильного устройства.
  • Управление безопасностью. Отслеживание мобильных устройств и выполнение удаленной очистки потерянных или украденных устройств.

Конечно, MDM Plus может даже больше! Давайте взглянем поближе.



Первоначальная настройка и регистрация устройства


ManageEngine предлагает 30-дневную неограниченную пробную облачную версию MDM Plus. Я создал свою учетную запись и вошел в веб-портал MDM Plus за три минуты — все было просто. Повторюсь, вы можете также запустить MDM Plus локально, но, с моей точки зрения, вы это не даст всех возможностей облачной версии.


На домашней странице портала, показанной ниже, можно видеть инфографику, которая поможет в процессе установки. К сожалению, не вся она интерактивная. На мой взгляд, ManageEngine стоит сделать интерактивными все эти графические элементы.




Теперь переходим на страницу Device Mgmt, где можно зарегистрировать iPhone с MDM Plus. Процесс настройки регистрации практически не зависит от используемых мобильных операционных систем:


  • Создайте аккаунт (Apple Push Notification Service, Google Cloud Messaging, Windows Push Notification Services).
  • Распределите профиль управления, профиль политики и приложения MDM для клиентов.
  • Проверьте устройства в консоли MDM Plus.

Повторюсь, я создал свой аккаунт Push Push Notification (APN) Apple за несколько минут. Вы можете зарегистрировать устройства своих пользователей несколькими способами:


  • Массовая регистрация через входные файлы CSV.
  • Самостоятельная регистрация по электронной почте.
  • Административная регистрация с помощью Apple Configurator.

В своей среде я зарегистрировал свой iPhone с помощью приглашения по электронной почте. Как вы можете видеть ниже, я получил сообщение электронной почты от ManageEngine, содержащее ссылку для регистрации и одноразовый пароль (OTP).




ПРИМЕЧАНИЕ. ManageEngine является технически подразделением корпорации Zoho, так что вы увидите ссылки на оба названия в инфраструктуре MDM Plus.


Все, что пользователи должны сделать со своей стороны кроме как пройти по ссылке из электронной почты, это принять профиль управления, который пришлет ваш облачный сервер. После этого на устройстве будет установлено приложение ME MDM, вот как это будет выглядеть:




В приложении ME MDM вы можете получить доступ к Каталогу приложений, где ваши приложения отображаются для конечных пользователей.


Что касается исключений брандмауэра, вы должны открыть порты TCP 5223, 5228, 5229 и 5230 для диапазона IPv4 17.0.0.0/8.


Вы можете проверить, что устройство успешно зарегистрировано, проверив веб-портал, как показано ниже:



Выполнение общих задач управления с помощью MDM Plus


Полагаю, я знаю, о чем вы думаете: «Тим, как я могу ограничить пользователей от проведения Root и jailbreak? Как мы можем заставить пользователей использовать безопасный код?»


Ответ на этот вопрос — это профиль политики. Но, прежде чем мы до него доберемся, давайте получим общий инвентарь устройства. Щелкните в навигационной панели Admin > Enrollment и выберите управляемое устройство:




Обратите внимание, что на приведенном выше снимке экрана можно сразу увидеть, было ли устройство взломано. Перейдя на вкладку «Geo-Tracking», мы можем получить местоположение устройства и, при необходимости, выполнить удаленную очистку или сброс кода доступа, если это необходимо.




Чтобы создать профиль управления, перейдите в Device Mgmt > Profiles и создайте новый профиль iOS, Android или Windows Phone. Как вы можете видеть на следующем скриншоте, вы можете создавать и применять некоторые полезные политики для мобильных устройств, в том числе:


  • Настройка блокировки паролей и политики блокировок.
  • Wi-Fi и VPN-подключения.
  • Настройки электронной почты (включая Exchange ActiveSync).
  • Корпоративные календари.
  • Выборочные разрешения/блокировки для встроенных функций, таких, как камера, захват экрана, покупка в приложении и т.д.
  • Вы можете развертывать политики мобильных устройств, которые обеспечивают соблюдение ваших стандартов безопасности ИТ.



Говоря о приложениях, вы можете добавлять, развертывать и управлять самостоятельно разработанными приложениями, а также теми, которые вы получаете из Apple App Store, магазина Google Play или Windows Apps Store. Процесс лицензирования и развертывания так называемых «корпоративных приложений» выходит за рамки нашего сегодняшнего обсуждения, но известно, что это возможно.


ManageEngine MDM Plus также предлагает поддержку безопасности Samsung KNOX. Это классная технология, которая предусматривает создание зашифрованного «контейнера» на управляемых устройствах, где пользователь хранит данные компании. Мне нравится это понятие, потому что оно создает жесткую границу между личными данными пользователя и данными, принадлежащими организации, и, скорее всего, находится в соответствии с отраслевыми и/или правительственными нормами.


В сухом остатке


ManageEngine MDM Plus предлагает администраторам Windows низкий барьер для входа на рынок управления мобильными устройствами. Что еще круче, так это то, что MDM Plus полностью бесплатный для 25 управляемых устройств. Бесплатный режим поддерживает одного администратора и одну роль вспомогательного администратора. (Забыл сказать, что MDM Plus использует модель управления доступом на основе ролей RBAC).


Цены на локальные и облачные опции сопоставимы. На момент написания этой статьи в феврале 2016 года, при условии, что у нее 1 технический специалист и 200 управляемых устройств, ежегодная лицензия на предварительную версию составляет 3245 долларов США, а ежегодная лицензия на облако составляет 4325 долларов США.

Поделиться с друзьями
-->

Комментарии (2)


  1. Rathil
    21.04.2017 23:03

    Вы просто описали MDM протокол всех подобных систем. Ничего нового.


    1. Valeriy_Squadra
      24.04.2017 12:10

      Так мы не писали — только перевели; статья же не про протокол, а про программный продукт, приглашение обсудить, достаточно ли ее будет для удовлетворения всех сегодняшних нужд или еще нет.