Централизованное управление мобильными устройствами iOS через MDM
Последние несколько недель я провел в поисках изучения и поиска информации об MDM (Mobile device management). Другими словами, управлением мобильными устройствами. И сейчас я хочу поделиться результатами поиска. MDM стал темой горячих споров, поскольку организации вынуждены вводить режим безопасности, если идет речь о важных данных. Мобильные устройства проникают на каждый уровень корпоративного общества, отчего возникает большая необходимость удаленного управления этими устройствами. Apple предоставляет несколько корпоративных возможностей такого управления с помощью удаленной конфигурации профилей, полная поддержка которых доступна с 2010 года.
Зачем MDM вообще нужен?
Для лучшего понимания рассмотрим конкретный пример, в котором мы имеем очень много iOS девайсов в компании и должны управлять всеми ими централизованно. Ваши действия? Либо мы используем сторонние приложения для обеспечения такого управления, например, Air-watch, либо пробуем развернуть сервис Enterprise Deployment от Apple, он же «MDM». В первом случае придется не слабо раскошелиться, поэтому рассмотрим сразу второй вариант.
Разберемся, что из себя представляет MDM?
Протокол управления мобильными устройствами MDM позволяет системным администраторам отправлять команды управления на подключенные устройства под управлением iOS 4 и более поздних версий системы.
Через MDM сервис администратор может просмотреть, добавить или удалить профили, удалить коды доступов или безопасно удалить данные на удаленном устройстве.
Согласно документации Apple:
Протокол MDM построен на основе HTTP, TLS и push-уведомлений. Соотвествующий протокол проверки MDM обеспечивает способ передачи процесса начальной регистрации на отдельный сервер. Далее MDM использует Apple Push Notification Service (APNS) для отправки сообщения «wake up» (очнись!) для управляемого устройства. Затем устройство подключается к заранее определенной веб-службе для получения команд и возвращения результата их выполнения.
Вышеуказанное понимается так, что для работы службы MDM необходимо развернуть HTTP-сервер, чтобы работать как MDM-сервер, а затем распространять профили, содержащие необходимую информацию для управления устройствами.
Ключевая особенность: возможность администратору отправлять профили на устройство без какого-либо непосредственного физического вмешательства.
Таким образом, сервис MDM состоит из трех ключевых вещей:
1. Устройства, которыми нужно управлять (конечно же)
2. Сервер, осуществляющий управление (различные серверы MDM)
3. Методы, с помощью которых сервер может «разбудить» устройство через уведомление ASNP
В любой момент времени на устройстве может быть установлены данные только одного MDM. После того как вы зарегистрировались на сервере MDM, устанавливается безопасная связь между MDM-сервером и порталом Apple. Это используется для синхронизации сведений о девайсе, с помощью портала регистрации устройств Apple DEP.
Когда вы найдете устройства, синхронизированные с порталом Apple, то можете назначить пользователя для него.
Всякий раз когда устройство активируется, все ограничения и конфигурации, указанные через MDM автоматически устанавливаются на все ваши устройства удаленно. Настройте DEP, что все устройства приобретенные в рамках DEP, будут управляться MDM по-умолчанию как только они были активированы. Рассмотрим как это работает с сервером.
Каждое взаимодействие между клиентом устройств и сервером MDM состоит из четырёх элементов:
1. Сервер запрашивает push-уведомление через Apple
2. Apple отправляет push-уведомление на устройство
3. Устройство подключается к серверу
4. Сервер и клиент обмениваются командами и результатами
Удаленное управление мобильными устройствами iOS и MacOS через MDM
Обратите внимание
Необходимо приобрести сертификат APNS. Это позволит MDM-серверу взаимодействовать с клиентом и без данного сертификата MDM сервис работать не будет.
Некоторые потрясающие возможности MDM:
1. Удаленный доступ
2. Поддержка множества мобильных операционных систем
3. Механизм защиты
4. Управление приложениями корпоративного уровня
Краткий итог
Процесс регистрации устройства DEP
Устройства регистрируются в MDM, когда сервер предоставляет устройству специальный профиль конфигурации. Этот профиль содержит:
MDM Payload
Это специальные параметры, которые сообщают устройству, что оно будет управляться сервером MDM. Он содержит URL-адрес сервера, тему push-уведомления и другие атрибуты. Для получения более подробной информации о МДМ полезной нагрузки см. в МДМ ведения протокола.
Сертификат идентификации устройства
Мобильный сервер должен аутентифицировать подключенные устройства. Поскольку MDM выполняется автоматически без взаимодействия с пользователем, обычная аутентификация имени пользователя / пароля не будет работать. Мобильный сервер (в качестве сервера MDM) проверяет устройства по их сертификату. Это называется аутентификацией сертификата и выполняется на уровне SSL сервера.
Кратко рассмотрели что представляет из себя MDM и зачем он нужен. Для уверенного использования системы необходимо ознакомиться с большим количеством информации, ведь системы корпоративного уровня всегда учитывают много нюансов. Надеюсь пост был интересен и дал новые знания об экосистеме устройств Apple.
Другие популярные статьи
Выключается iPhone при достаточном заряде батареи
Читателей за год: 18001
Чего только не случается со смартфонами: падают, тонут, иногда просто теряются. И все это может стать причиной возникновений неисправностей в смартфоне. Но хороший дефект всегда себя покажет. А что если причина возникновения неисправности неизвестна?
MacBook не включается. Что делать?
Читателей за год: 13127
Типовые неисправности MacBook Pro A1398
Читателей за год: 11223
МасBook Pro Retina A1398 появился в середине 2012 года. С 2012 года было выпущено 5 платформ A1398 и с десяток комплектаций. К сожалению, все модели имеют типовые неисправности.
Где находится управление устройством айфон — подробная инструкция
Каждая новая версия программного обеспечения предлагает пользователям все новые возможности, функции, опции. К настоящему времени владелец устройства от Apple может выполнять огромное количество различных задач, даже косвенно участвовать в разработке нового обновления. Все это стало возможно после выпуска профилей конфигурации и бета-версии. Что подразумевается под данными понятиями? Какие возможности они открывают? Об этом в данной статье.
Что такое профили конфигурации на айфоне
Профиль конфигурации или профиль разработчика iOS – это набор инструментов, позволяющий пользователям, программистам или разработчикам осуществлять настройку устройства, обходя некоторые встроенные ограничения, имеющиеся на девайсах от корпорации Apple. Их установка откроет новые возможности, в том числе скрытые настройки, которые не найти в обычных настройках.
К настоящему времени при помощи профилей конфигурации возможна установка и корректировка приложений, сертификатов безопасности, настройка мобильной сети, Wi-Fi и VPN. Кроме того, становится доступным дистанционное управление, блокировка устройства, удаление с него всех данных.
Для чего нужны профили конфигурации на айфоне
Профили конфигурации имеют довольно большой набор функций. Помимо перечисленных, они предлагают пользователям следующее:
Профили конфигурации могут использоваться мошенниками и злоумышленниками. Установив их, они могут заменить сертификаты безопасности, включить удаленное управление устройством айфон, получить информацию и данные, хранящиеся на нем.
Экспертами корпорации Talos в 2018 году было обнаружено нескольких случаев атаки хакеров на конкретных пользователей iPhone через протоколы конфигурации MDM. Злоумышленники обманным путем уговаривали владельцев устанавливать особые расширения, после чего получали данные о местоположении, личную информацию, сообщения, документы и медиа-файлы.
Важно! Прежде чем установить новый профиль, необходимо внимательно прочитать к нему описание, изучить все имеющиеся сертификаты безопасности.
Что такое профиль разработчика iOS
Бета-тестирование iOS, или профиль разработчика, предоставляет пользователям возможность оценить предварительную версию программного обеспечение. Владелец устройства от Apple может попробовать определенные нововведения, функции и опции и оставить отзыв. Бета-профиль iOS преследует одну основную цель – найти и устранить ошибки, неточности в работе, баги.
Каждый пользователь девайса вправе зарегистрироваться на официальном сайте и оставить заявку на получение данной версии программного обеспечения. Для регистрации пользователю будет необходимо ввести личный идентификационный номер – Apple ID.
Как выглядит профиль разработчика iOS 13 Beta
К сведению! Участие в тестировании абсолютно бесплатно для пользователя. Оно предусматривается исключительно на добровольной основе, поэтому и от разработчиков не стоит ждать каких-либо бонусов.
Как установить бета профиль в iOS
Бета-профиль iOS для тестирования представлен в двух видах:
Пользователям рекомендуют для скачивания первую версию. Она более простая, доступная, мало отличающаяся от имеющегося программного обеспечения. Таким образом, владелец выполняет все привычные задачи, выявляя при этом преимущества и недостатки обновления.
Прежде чем скачивать бета-версию, специалисты рекомендуют сделать резервную копию данных или перенести их в облачное хранилище iCloud. Это необходимо на случай непредвиденных ошибок и глюков, которые могут встречаться в пробных вариантах. Тогда заранее созданная копия данных – единственный способ вернуть устройство к жизни.
Как установить iOS 13 Beta
Установить публичную версию бета-тестирования iOS можно следующим способом:
Новая версия запустится, станет активна для теста.
Стоит ли скачивать бета-тестирование? Как уже было сказано, это сугубо добровольное решение. Но оценка новой разработки поможет исправить различные ошибки и неисправности, которые могут нарушать работу устройства.
Как удалить iOS 13 Beta
Если использование новой версии доставляет больше неудобств, нежели предыдущей, ее можно удалить. Для этого необходимо уничтожить профиль и дождаться выхода следующей версии программного комплекса:
После перезагрузки устройства бета-профиль будет удален.
Важно! Все данные, сохраненные во время использования бета-версии также необходимо сохранить, прежде чем удалять профиль, иначе они будут уничтожены.
Где находится управление устройством на iOS 12 и других версиях
Управление устройством айфон – где находится? Обычно данный пункт настроек скрыт от пользователя, он доступен только для разработчиков. Поэтому чтобы его открыть и найти, необходимо установить профили конфигурации. Именно они дают пользователям целый спектр новых возможностей.
Новые разработки часто пугают пользователей из-за повышенных рисков потерять данные вследствие неточностей программного обеспечения. Велика вероятность попасть в руки мошенников и злоумышленников. Есть страх, что часть данных может пропасть.
На самом деле, все не так страшно и во многом зависит от самих владельцев устройств Apple, их внимательности, осторожности. Не стоит скачивать сомнительные профили, доверять неизвестным людям, а все операции производить только с официального сайта разработчика, где он предоставляет официальные и безопасные версии.
MDM блокировка: что это и как убрать
Техника Apple известна, в первую очередь, своей безопасностью. Система FileVault зашифрует 265-битным ключом загрузочный диск для предотвращения несанкционированного доступа к данным.
А функция «Найти Мак» или iPhone позволит удаленно найти на карте и заблокировать доступ к части данных в украденной технике Apple.
MDM блокировка
Но есть еще одна система блокировки MDM (система управления мобильными устройствами).
В крупных компаниях, чтобы администратору можно было быстро и удаленно управлять устройствами, он устанавливает на них MDM профиль. Используя удаленное управление, администратор может отключать функции, устанавливать или удалять приложения, отслеживать и ограничивать ваш интернет-трафик, а также удаленно стирать данные с Mac и iPhone.
Профиль MDM можно установить на б/у или новую технику Apple. Обычная компания или учебное заведение обращается в Apple, чтобы занести серийные номера купленных устройств в базу данных. Затем все права передаются администратору, который настраивает эти машины по своему усмотрению. Админ отслеживает работу сотрудников компании и следит, чтобы устройство не украли и не продали на вторичном рынке.
Как выявить MDM профиль при покупке б/у Mac
Способ 1. На компьютере Mac откройте меню Apple — Системные настройки и найти папку с профилями. Если она есть, как на скрине ниже, значит Mac заблокирован.
Способ 2. Либо на ноутбуке будет периодически вылазить окошко с предложением установить профиль. До обновления системы на Big Sur такие уведомления обычно не появляются.
Способ 3. Через утилиту Мониторинг системы, вкладка ЦП — отыскать процесс «mdmclient«. Если он есть, значит компьютер подключен к сервису поддержки устройств Apple и он имеет MDM блокировку.
Вывод: до тех пор, пока у вас нет папки с установленными профилями в системных настройкам, вашим устройством никто управлять не может. Но будет регулярно появляться надоедливое уведомление, через которое можно установить профиль. Плюс у вас будут проблемы с активацией устройства после полного форматирования Mac.
Переустановка системы при MDM блокировке
Самый надежный способ переустановить систему при MDM блокировке — это полное удаление диска с его форматированием, а затем установка последней версии macOS.
Шаг 1. Выключите компьютер, а при его включении зажмите и удерживайте Command+R (или кнопку питания для Mac на чипе M1 до появление шестерни около 10 секунд). Так вы запустите восстановление системы на macOS.
Шаг 2. В окошке запускаем дисковую утилиту и форматируем все разделы нажатием кнопки «Стереть».
Этот способ хорош тем, что если Mac привязан к учетной записи, или активирована функция «Найти Mac», то прежде, чем произойдет это действие, необходимо отключить эти опции, введя пароль. Т.е.
Побороть проблему можно откатом до заводской ОС, а затем обновлением системы до macOS Big Sur. Тогда MDM профиль не будет установлен в системных настройках, но будет регулярно появляться уведомление.
MDM блокировка на iPhone и iPad
На iPhone, iPod или iPad сведения об MDM профиля обычно отображаются в верхней части настроек.
Или могут находиться в основных настройках, Профили.
MDM блокировку в iPhone можно и не найти потому, что есть утилита, которая деактивирует такие профили. И вы узнаете, что ваш iPhone «залочен» только после полного форматирования или обновления до версии iOS, в которой Apple улучшила защиту. Например, как это было с iOS 13.4.
Если после установки системы и активации iPhone не появится такое окно, значит с вашим iPhone все в порядке, MDM блокировки нет.
При покупке iPhone новое устройство всегда нужно распечатывать и активировать, и только в таком случае вы узнаете,что девайс не залочен. Если вы попали в такую ситуацию, когда проверять уже поздно, есть несколько вариантов.
Вывод: покупайте новую технику Apple только у официалов. А при покупке б/у проверяйте на наличие профилей MDM блокировки. Не гоняйтесь за дешевыми ценами на технику Apple.
Своими историями и опытом покупки различной техники делитесь в комментариях.
При написании стать использованы материалы с каналов: Intune Support Team, ProTech, Apple Tech 752, Fix mobile.
Как управлять сразу несколькими устройствами Apple
Еще 10-15 лет назад о компании Apple было мало известно на российском рынке. Ситуация изменилась после выхода первого iPhone и iPhone 3G, но даже после этого компьютеры Mac продолжали ассоциироваться у многих с «экзотикой». Отсюда сформировался популярный миф о том, что Mac нужны только в офисах видео- и аудиозаписи, в издательских компаниях или дизайн-студиях. Однако со временем техника Apple стала ассоциироваться не только с чем-то «премиальным», но и с простотой эксплуатации и надежностью. Ведь именно пользователи Mac одними из первых перестали бояться вредоносного ПО, тогда как на Windows до сих пор правят антивирусы.
Управлять устройствами Apple можно несколькими способами
С чего началась популярность техники Apple в России
Сильный рост спроса на продукцию «яблочной» компании начался в РФ в 2010 году и продолжается до сих пор. Этому поспособствовали сразу несколько факторов:
Сейчас у сотрудников российских компаний появились не только iPhone или iPad, но и компьютеры Mac. Причем все больше сотрудников используют эту технику не только для развлечений или серфинга в интернете, но и решения большого объема задач, в том числе рабочих. Удобство и безопасность сыграли решающую роль при переходе с Windows на Mac. Не говоря о том, что им просто нравится держать в руках и ощущать надежное устройство из стекла и металла.
Кстати, переходить с Windows на Mac не только приятно, но и выгодно.
Однако преимущества использования техники Apple в корпоративной среде очевидны не всем. Несмотря на то, что сейчас многие руководители компаний стали гибкими по отношению к новым технологиям и смело решаются попробовать новое, все еще есть заблуждение, что iPhone, iPad и Mac сложно централизованно управлять. В то же время Apple не просто предлагает полноценную корпоративную платформу, компания также реализовала инструмент для управления своими устройствами в корпоративной среде — MDM.
Как управлять устройствами Apple в компании
MDM позволяет организовать управление всеми устройствами
На самом деле MDM — штука далеко не новая, но широкое распространение она получила за последние несколько лет. Аббревиатура полностью оправдывает свою расшифровку (Mobile Device Management): технология позволяет не только устанавливать конфигурационные профили, но и также полностью стирать информацию с устройства и даже сбрасывать системный пароль.
AaaS – услуга предоставления продуктов Apple как сервиса, предлагаемая компанией Softline. Компания предоставляет не только мобильные устройства, но и сервисы, без которых эти устройства не будут полноценно работать. Среди этих сервисов MDM – решение для удаленного управления устройствами.
Зачем нужны конфигурационные профили
Профиль конфигурации позволяет распространять на устройства Apple индивидуальные настройки. Например, это может быть корпоративный сертификат, параметры VPN, данные для электронной почты. Такие профили удобны тем, что их можно распространять на большое количество гаджетов — особенно актуально, если в компании 100 устройств от Apple или больше.
Вот лишь немногие из параметров, которые настраиваются при помощи конфигурационных профилей:
Для повышения безопасности профили можно подписывать сертификатом — это обеспечивает целостность и аутентичность профиля. Конфигурационные профили можно устанавливать на устройства несколькими способами — можно отправить его приложение Apple Configurator, «по воздуху» с помощью сервера MDM, просто разместить ссылку на странице или даже отправить профиль по электронной почте.
Как работает MDM
MDM использует Push-уведомления и протокол TLS. Сначала устройство должно быть зарегистрировано в MDM, в дальнейшем сервер MDM информирует подконтрольные ему устройства о назначенных им задачах с помощью Apple Push Notification Service. Собственно задачи устройства получают от MDM по защищенному TLS-каналу. Удобство MDM в том, что iPhone или iPad совсем не обязательно находиться в одной сети с сервером для получения обновленных настроек, они могут подключиться к MDM-серверу из любой точки мира.
Удобство MDM в том, что iPhone или iPad совсем не обязательно находиться в одной сети с сервером
Как привязать устройство к MDM
Чтобы настроить MDM даже для небольшой компании, необходим отдельный IT-отдел и специальные навыки. Или можно полностью доверить настройку сервиса MDM компании Softline, которая предоставляет полноценный сервис от продажи устройства до его безопасной интеграции в существующую экосистему.
Взаимодействие устройства с MDM
После добавления iPhone или iPad в MDM, управление происходит в рамках стандартного набора действий:
А как же Mac?
Из расшифровки аббревиатуры MDM ясно, что изначально данное средство было разработано для управления мобильными устройствами. Однако впоследствии, когда возникла необходимость такой же интеграции компьютеров Mac, MDM дополнили новыми возможностями.
MDM позволяет настроить политики безопасности, права доступа для пользователей, возможности администрирования для приложений, — рассказывает руководитель бизнеса Apple в компании Softline Антон Карпов.
Почему MDM стоит попробовать
С каждым годом количество техники Apple в компаниях растет, сотрудники покупают и приносят свои устройства, также все больше организаций предпочитают закупать iPhone, iPad и Mac для создания корпоративной инфраструктуры (в чем, кстати, очень помогает подход Softline — Apple as a Service). MDM позволяет привязать как уже существующие устройства сотрудников, так и настроить новые. А с помощью авторизованных реселлеров, которые существенно расширяют возможности отдельных элементов инфраструктуры Apple, из этого можно извлечь максимум пользы и сделать работу сотрудников более эффективной.
Mobile Device Management – сравнение и выбор
Mobile Device Management (MDM) – класс решений для управления мобильными устройствами. Эти решения, изначально предназначенные для контроля смартфонов и планшетов, на сегодняшний день можно применять и на ноутбуках с MacOS или Windows 10.
Актуально ли это для вашей организации? Если у вас есть возможность войти в корпоративную почту или работать с корпоративными сервисами с мобильного телефона, то фактически телефон является продолжением рабочего компьютера. Все мы знаем, что сейчас из-за эпидемиологической обстановки многие работают из дома, используя личные смартфоны или планшеты. Количество «мобильных» пользователей неуклонно растет, причём часто такими пользователями являются ключевые сотрудники и топ-менеджеры. Через мобильное устройство можно осуществить вирусную рассылку, раскрыть конфиденциальные данные; устройство с ценной информацией, в конце концов, может быть просто украдено. Для защиты подобного рода угроз и служит MDM.
Как MDM может помочь компании?
Часть этих задач может решаться системным или бесплатно распространяемым ПО. Но если нужно защитить несколько смартфонов разных версий Android и iOS, если таких смартфонов не 10, а 100 — тут MDM просто необходим.
Что же выбрать? Для сравнения были выбраны мировые лидеры MDMMobileIron и VMware AirWatch. Так как у многих компаний развернута инфраструктура Check Point, добавлен Сheck Point SandBlast Mobile. Российские MDMпочти не уступают зарубежным, поэтому стоит рассмотреть Kaspersky Security для мобильных устройств, Secret MDM и SafePhone.
Как понять, какой из представленных продуктов выбрать?
Вам нужно полноценное MDM-решение (MobileIron, VMware AirWatch, SafePhone), если в вашей компании:
· Мобильные устройства используются как часть технологических процессов важных бизнес-задач (например, мобильные терминалы для проверки билетов у проводников РЖД);
· Есть большой пул сотрудников, постоянно работающих с важными данными вне локальной сети компании (менеджеры по продажам, выездные аудиторы);
· Были случаи утечки информации с учётных записей мобильных пользователей;
· Используются корпоративные приложения, для которых нужны централизованные средства установки и настройки.
В случае, если речь идет в основном о защите корпоративных или личных устройств, а не о жёстком контроле, лучше выбрать нацеленные на безопасность решения – Сheck Point SandBlast Mobile, Kaspersky Security для мобильных устройств, Secret MDM.
Надеемся, что данный обзор поможет вам!
Материал подготовил Савинов Кирилл, главный системный архитектор ООО «РАССЭ».
