Руководство по управлению мобильными устройствами 2022: AOSP для пользовательского MDM
6 мая 2022 г.Управление мобильными устройствами или MDM – это административная область, которая занимается безопасностью и мониторингом корпоративных мобильных устройств. Программное обеспечение MDM предлагает методы быстрого развертывания, интеграции и мониторинга сети определенных смартфонов или планшетов.
Одной из основных проблем MDM является безопасность. Поскольку корпоративные мобильные устройства могут получать доступ к важным бизнес-данным, они могут угрожать корпоративным базам данных. Администрирование устройств с помощью MDM предоставляет средства для распространения пакетов программного обеспечения, установки разрешений и оптимизации функций устройств. Но в идеале MDM должен предоставлять способ наблюдения за мобильными устройствами так же легко, как и за настольными компьютерами.
Существуют MDM-системы для всех мобильных операционных систем, в том числе кроссплатформенных. Но сегодня мы сосредоточимся на Android как на единственной операционной системе, которая предлагает полноценную настройку с точки зрения MDM. С самой большой долей рынка и открытым исходным кодом давайте посмотрим, как мы можем подойти к созданию управления мобильными устройствами для устройств Android.
Функции и возможности управления мобильными устройствами
Прежде чем анализировать реальные решения для Android, нам нужно четко понимать, на что способен MDM. Системы управления мобильными устройствами предоставляют аналогичные возможности на рынке. Некоторые из наиболее распространенных функций:
- Регистрация — процедура, предполагающая установку MDM на мобильное устройство. Большая часть программного обеспечения MDM поддерживает массовую регистрацию для одновременной установки пакетов программного обеспечения на несколько устройств. Регистрация по воздуху (OTA) предлагает распространение и установку MDM через специальную веб-страницу или приложение.
- Управление профилями — после установки пакета MDM мы можем назначать рабочие профили для пользователей устройств.
- Управление политикой — политика представляет собой набор правил или разрешений, установленных для данного устройства. Предоставляя политики, мы можем блокировать или разблокировать некоторые функции программного или аппаратного обеспечения, обозначать правила доступа к корпоративным данным и т. д.
- Администрирование устройств и устранение неполадок — кроме того, все политики можно обновлять удаленно. Эта часть функциональности MDM реализует мониторинг устройства и устранение неполадок.
- Отслеживание местоположения устройства – определение местоположения устройства с помощью GPS.
- Удаленная очистка — как только мы зарегистрируем MDM на устройстве, все корпоративные данные, доступ к которым будет осуществляться через него, будут храниться в защищенном профиле. Эти данные и сам MDM можно удаленно сбросить до заводских настроек, чтобы предотвратить любую утечку данных с украденного, потерянного или скомпрометированного устройства.
MDM — комплексное решение. Тем не менее, он состоит из модульных небольших частей, которые при ближайшем рассмотрении на самом деле не так уж сложно реализовать, если задействована квалифицированная команда. Как правило, эти части можно разделить на панель администратора, которая включает в себя контроллер политик устройств (DPC) и промежуточное ПО для управления зарегистрированными устройствами. Под промежуточным ПО мы подразумеваем интерфейс API, который выполняет все обновления политик и передает данные между сервером MDM и смартфонами.
Таким образом, решения MDM в основном обеспечивают управление такими функциями, как Wi-Fi, Bluetooth, NFC, передача файлов через USB, отслеживание местоположения, телефон, SMS или просто позволяют пользователям получить доступ к некоторым настройкам на устройствах, которые в противном случае были бы недоступны. Если требуется какая-либо дополнительная функциональность, лучше всего расширить существующий API, добавив методы, менеджеры и сервисы. Это делается с помощью определенных политик на бэкэнде, которые позже будут переданы на устройства. Затем создается системная служба как простой способ обмена этими настройками между устройствами.
Судя по нашему опыту, такие системы могут масштабироваться до тысяч устройств и требовать многочисленных настраиваемых политик. Большинство требований безопасности удовлетворяются доступными на рынке решениями MDM. Однако для некоторых систем может потребоваться повышенная безопасность и независимость от поставщиков операционных систем. Это создаст проблему для создания пользовательского Android MDM, в котором любая политика может быть развернута на устройстве.
Итак, сначала рассмотрим стандартные решения для Android MDM, а затем поговорим о настраиваемых параметрах.
Android Management API: готовый MDM
Android Management API – это управляемое решение для создания систем управления мобильными устройствами для Android. Google поставляет весь пакет программного обеспечения MDM, включая серверную часть, на основе своей облачной платформы, контроллер политик устройств и пользовательский интерфейс для администрирования корпоративных устройств из коробки. Все эти компоненты становятся доступными после нескольких шагов регистрации, которые мы опишем позже.
Сам Android API необходим для создания собственного решения MDM и создания настраиваемых политик. В настоящее время открыта регистрация для новых решений, за исключением создания настраиваемого DPC. Это означает, что можно разработать платформу MDM на основе API управления Android, но вы не сможете применять собственные политики.
Чтобы использовать управляемый MDM, вам потребуется создать специальный аккаунт Google для входа в Google Workspaces. Учетная запись не может быть связана с существующей учетной записью предприятия. Google предоставляет политики устройств для более чем 80 типов смартфонов Android, кроме Samsung KNOX. Существует три способа реализации MDM с API управления Android:
- Рабочий профиль. Выделенная учетная запись на устройстве, которое хранит и передает корпоративные данные, не затрагивая личные данные. Политики MDM также применяются только к данным профиля.
- Управляемое устройство, смартфон или планшет, зарегистрированный в MDM.
- Выделенное устройство, отдельное устройство, используемое с ограниченной функциональностью. Например, это может быть планшет, используемый в качестве доски объявлений.
Система позволяет регистрировать целевые устройства по беспроводной сети, что означает отсутствие необходимости в кабелях. Вы можете использовать беспроводное соединение для регистрации и управления мобильными устройствами на Android.
Список доступных политик включает почти все встроенные функции для устройств Android. Хотя существующие политики не настраиваются, простота развертывания и отсутствие необходимости в разработке для Android перевешивают этот недостаток. Итак, теперь давайте посмотрим, как подойти к Google MDM.
КАК НАСТРОИТЬ API УПРАВЛЕНИЯ ANDROID MDM
Процедура регистрации на платформе Google MDM предъявляет ряд требований:
- Android-устройство версии 6.0 или выше
- Доступ к облачной платформе Google
- Включен API управления Android в Google Cloud Platform.
После выполнения всех требований есть два способа зарегистрировать ваши устройства. Самый простой – быстрый старт, предложенный Google. Это влечет за собой несколько шагов по созданию проекта Google Cloud, генерации QR-кода и регистрации устройства с политикой по умолчанию. Обратите внимание, что устройство может одновременно иметь только одну политику.
Более продвинутый способ настройки предназначен для создания собственного решения MDM на основе API Google. Для полной процедуры настройки, пожалуйста, ознакомьтесь со статьей в формате PDF, где описаны все соответствующие шаги.
Теперь давайте продолжим и суммируем сильные и слабые стороны Google MDM.
ПРЕИМУЩЕСТВА И ОГРАНИЧЕНИЯ API УПРАВЛЕНИЯ Android
Что касается платформы управления мобильными устройствами, Google предлагает прочную основу для развертывания готовой экосистемы или использования своего API для создания собственной. Итак, здесь мы выделим некоторые важные факторы при выборе типа решения:
Готовое решение. Google MDM требует всего несколько шагов для регистрации ваших первых устройств. После этого пользователям становится доступен весь спектр возможностей по управлению устройствами. Он не требует дополнительной разработки под Android, поэтому можно сказать, что это решение с минимальным кодом. Так как требуются минимальные манипуляции на стороне сервера.
Большой список поддерживаемых устройств. Обычно в организации могут использоваться различные типы Android-устройств. Интеграция различных устройств и написание пользовательских методов регистрации может быть серьезной проблемой, если только ваша компания не использует один тип устройства Android. API управления Android решает эту проблему, обеспечивая по умолчанию поддержку более 80 устройств Android.
DPC обновляется с помощью Android. Контроллер политики устройства — это модуль, который находится на целевом устройстве и реализует политики, отправленные с сервера. Эта часть программного обеспечения зависит от операционной системы, а это означает, что обновления в ОС потребуют перезаписи DPC.
ЦОД по умолчанию от Google обновляется до версии для Android, так как это управляемое решение. Таким образом, единственный возможный недостаток здесь заключается в том, что Google откажется от некоторых старых версий Android в будущем.
Это становится полезным, если вам не хватает гибкости в решении Google или вам нужен другой набор политик. Или вы можете использовать API управления Android в качестве основы для своего собственного решения. Все разработанные решения с использованием ЦОД Google должны быть зарегистрированы и сертифицированы Google. Итак, здесь вам понадобится опытная команда инженеров, которая имеет опыт разработки мобильных приложений и систем управления мобильными устройствами, в частности.
Помимо этих преимуществ, есть еще два важных фактора, о которых следует помнить.
Нет вариантов настройки. С точки зрения управляемой платформы Google вы не можете настроить существующее программное обеспечение. Создание собственного решения на основе API управления Android позволяет настраивать серверную часть, но набор политик остается неизменным.
Привязка к поставщику. Еще одна проблема — безопасность. Поскольку серверная часть системы работает на серверах Google Cloud, все ваши корпоративные данные будут проходить через нее. Это не обязательно означает, что ваши конфиденциальные данные скомпрометированы. Однако некоторые организации хотят защитить свою информацию и хранить ее дома.
Чтобы преодолеть эти ограничения, можно использовать другой вариант управления мобильными устройствами Android.
Android Open Source Project (AOSP): индивидуальное управление мобильными устройствами
Android Open Source Project или AOSP – это стек программного обеспечения с открытым исходным кодом для широкого спектра мобильных устройств и соответствующий проект с открытым исходным кодом под руководством Google. Его можно использовать для создания собственных пользовательских вариантов операционной системы Android и мобильных приложений, а также для подключения к вашей пользовательской серверной платформе управления устройствами. AOSP предоставляет ряд преимуществ для пользовательской разработки Android:
Активное решение с открытым исходным кодом. Некоторые функции, которые могут понадобиться, уже реализованы, некоторые могут быть доступны в ближайшее время. Как только исправление безопасности зафиксировано в AOSP, оно может быть применено и передано пользователям.
Полный контроль над жизненным циклом продукта. Владелец продукта решает, когда предоставлять новую функцию или обновление для системы безопасности. Потребности в продукте могут быть расставлены по приоритетам, вместо того, чтобы ждать чего-то, что никогда не будет реализовано поставщиками, которые, естественно, расставляют приоритеты в своих собственных потребностях.
Настройка на любом уровне. Ядро Linux содержит все необходимые аппаратные драйверы, такие как камера, клавиатура, дисплей и другие. Над ним находится набор библиотек, в том числе движок веб-браузера с открытым исходным кодом WebKit, библиотека libc, база данных SQLite, которая является полезным репозиторием для хранения и обмена данными приложений, библиотеки для воспроизведения и записи аудио и видео, библиотеки SSL. ответственный за интернет-безопасность и другие.
Затем уровень Android Framework предоставляет приложениям множество высокоуровневых сервисов в виде классов Java.
На уровне приложений обычно работают разработчики Android. Приложения для Android расширяют базовую операционную систему Android. Существует два основных источника приложений:
- Предустановленные приложения: Android имеет набор предустановленных приложений, включая телефон, электронную почту, календарь, веб-браузер и контакты. Они функционируют как пользовательские приложения, а также как поставщики основных возможностей устройства, к которым могут обращаться другие приложения. Предустановленные приложения могут быть частью платформы Android с открытым исходным кодом или могут быть разработаны OEM-производителем для конкретного устройства.
- Приложения, устанавливаемые пользователем: Android предоставляет открытую среду разработки, поддерживающую любые сторонние приложения. Наше приложение для администрирования устройств попадает в эту категорию, и наша основная работа будет выполняться в основном на уровне фреймворка и приложения. Приложения на этих уровнях написаны на Java, поэтому с ними будет комфортно работать обычной команде Android.
В качестве решения для предприятий, использующих управление мобильными устройствами, AOSP помогает решить проблемы безопасности, связанные с ограничениями функциональности и правами собственности на продукт. Так как можно создать стек Android, который предоставит любые функции и средства управления устройствами, которые могут им потребоваться. Итак, давайте быстро перечислим плюсы и минусы этого подхода.
ПРЕИМУЩЕСТВА И ОГРАНИЧЕНИЯ ПОЛЬЗОВАТЕЛЬСКОГО MDM
Гибкость. Как мы уже упоминали, разработка на заказ позволяет вам выбрать любую архитектуру и тип решения для управления мобильными устройствами. Это означает, что вы можете развернуть настраиваемый бэкэнд с политиками по вашему выбору. Вы можете указать любые методы регистрации, управления безопасностью и отчетности.
Независимость сбора данных. Хотя AOSP — это проект с открытым исходным кодом, возглавляемый Google, решение на его основе не зависит от их инфраструктуры. Это означает, что ваша система управления мобильными устройствами будет защищена от сбора данных сторонними организациями.
Настройка операционной системы. Кроме того, сама операционная система может быть настроена для обеспечения дополнительных функций и повышения безопасности системы. Единственным ограничением здесь являются аппаратные возможности целевого устройства.
Сложность. Подход к настройке ОС, созданию собственных приложений и серверной платформы управления — сложный и трудоемкий проект. Более того, для настройки ядра Android OC требуется не только опытная и квалифицированная команда разработчиков, но и обширная гарантия качества.
Как выбрать лучшее решение?
Учитывая описанные варианты, как вы выбираете? Вот краткий обзор ключевых моментов:
Платформа управления мобильными устройствами Google способна удовлетворить большинство потребностей в системах управления мобильными устройствами. Единственным ощутимым ограничением здесь является закрытая регистрация для разработки пользовательских контроллеров политики устройств, поэтому никакие пользовательские политики не могут быть реализованы. Другим решением является использование платформы Google Cloud в качестве серверной части, что может быть проблемой безопасности или архитектуры для некоторых организаций.
Использование API управления Android в качестве основы для вашей системы допускает некоторую настройку, но по-прежнему зависит от инфраструктуры Google. Таким образом, использование MDM на основе AOSP может быть лучшим выбором, если вам требуется высокая степень настройки. Исходя из нашего опыта, работа с AOSP может занять много времени. Но, в конце концов, он выполняет цели проекта на том же уровне, что и собственные решения Android MDM.
Решения для управления мобильными устройствами для iOS
Редкий случай, когда предприятие использует устройства только на Android. Итак, первое, что возникает, это вопрос, а как же iOS? Устройства Apple имеют встроенную платформу для регистрации и управления смартфонами и планшетами iOS. Возможности аналогичны API управления Android, включая параметры регистрации и гибкость управления. Поскольку это огромная тема, мы собираемся описать MDM для iOS в отдельной статье. Пожалуйста, следите за обновлениями, чтобы узнать о реализации платформы iOS в будущих материалах, или свяжитесь с нами, если вас заинтересовало решение Android MDM.
Автор Антон Логвиненко, руководитель веб-группы MobiDev.
Полная версия статьи была первоначально опубликована здесь и основана на исследованиях технологии MobiDev.
Оригинал