Останні кілька тижнів я провів у пошуках вивчення і пошуку інформації про MDM (Mobile device management). Іншими словами, управлінням мобільними пристроями. І зараз я хочу поділитися результатами пошуку. MDM став темою гарячих суперечок, оскільки організації змушені вводити режим безпеки, якщо йдеться про важливі даних.
Мобільні пристрої проникають на кожен рівень корпоративного суспільства, від чого виникає велика необхідність віддаленого управління цими пристроями. Apple надає кілька корпоративних можливостей такого управління за допомогою віддаленої конфігурації профілів, повна підтримка яких доступна з 2010 року. Професійну діагностику, профілактику та ремонт Macbook можна отримати в компанії А-Сервис, перейшовши на сайт.
Навіщо MDM взагалі потрібен?
Для кращого розуміння розглянемо конкретний приклад, в якому ми маємо дуже багато iOS девайсів в компанії і повинні управляти всіма ними централізовано. Ваші дії? Або ми використовуємо сторонні додатки для забезпечення такого управління, наприклад, Air-watch, або пробуємо розгорнути сервіс Enterprise Deployment від Apple, він же «MDM». У першому випадку доведеться не слабо розщедритися, тому розглянемо відразу другий варіант.
Розберемося, що з себе представляє MDM?
Протокол управління мобільними пристроями MDM дозволяє системним адміністраторам відправляти команди управління на підключені пристрої під управлінням iOS 4 і більш пізніх версій системи.
Через MDM сервіс адміністратор може переглянути, додати або видалити профілі, видалити коди доступів або безпечно видалити дані на віддаленому пристрої.
Згідно з документацією Apple:
Протокол MDM побудований на основі HTTP, TLS і push-повідомлень. Відповідний протокол перевірки MDM забезпечує спосіб передачі процесу початкової реєстрації на окремий сервер. Далі MDM використовує Apple Push Notification Service (APNS) для відправки повідомлення «wake up» (прокинься!) Для керованого пристрою. Потім пристрій підключається до заздалегідь визначеної веб-службі для отримання команд і повернення результату їх виконання.
Вищевказане розуміється так, що для роботи служби MDM необхідно розгорнути HTTP-сервер, щоб працювати як MDM-сервер, а потім поширювати профілі, що містять необхідну інформацію для управління пристроями.
Ключова особливість: можливість адміністратору відправляти профілі на пристрій без будь-якого безпосереднього фізичного втручання.
Таким чином, сервіс MDM складається з трьох ключових речей:
1. Пристрої, якими потрібно управляти (звичайно ж)
2. Сервер, що здійснює управління (різні сервери MDM)
3. Методи, за допомогою яких сервер може «розбудити» пристрій через повідомлення ASNP
Необхідні дані можуть міститися у файлі конфігурації з розширенням .mobileconfig передається через електронну пошту або сторінку в інтернеті, як частина підсумкової конфігурації профілю доставляється через віддалену службу реєстрації або за допомогою Device Enrollment Program (DEP) автоматично.
У будь-який момент часу на пристрої може бути встановлено дані тільки одного MDM. Після того як ви зареєструвалися на сервері MDM, встановлюється безпечний зв’язок між MDM-сервером і порталом Apple. Це використовується для синхронізації відомостей про девайсі, за допомогою порталу реєстрації пристроїв Apple DEP.
Коли ви знайдете пристрої, синхронізовані з порталом Apple, то можете призначити користувача для нього.
Всякий раз коли пристрій активується, все обмеження і конфігурації, зазначені через MDM автоматично встановлюються на всі ваші пристрої віддалено. Налаштуйте DEP, що всі пристрої придбані в рамках DEP, будуть управлятися MDM за замовчуванням як тільки вони були активовані. Розглянемо як це працює з сервером.
після реєстрації
Кожна взаємодія між клієнтом пристроїв і сервером MDM складається з чотирьох елементів:
1. Сервер запитує push-повідомлення через Apple
2. Apple відправляє push-повідомлення на пристрій
3. Пристрій підключається до сервера
4. Сервер і клієнт обмінюються командами і результатами
На додаток до керованим профілів можна також використовувати MDM для установки додатків. Служба MDM має додатковий контроль над тим, як керовані програми та їх дані використовуються на пристрої.
Зверніть увагу
Необхідно придбати сертифікат APNS. Це дозволить MDM-серверу взаємодіяти з клієнтом і без цього сертифіката MDM сервіс працювати не буде.
Деякі приголомшливі можливості MDM:
1. Віддалений доступ
2. Підтримка безлічі мобільних операційних систем
3. Механізм захисту
4. Управління додатками корпоративного рівня
короткий підсумок
- Основною метою протоколу MDM є відправка команд на пристрої iOS і обробка результатів.
- Протокол MDM заснований на протоколі HTTPS (secure HTTP), який використовується для обміну XML-повідомленнями, званими списками властивостей (plists).
- У протоколі MDM сервер не відправляє команди на пристрій. Замість цього сервер використовує службу Apple Push Notification Service (APNS) доповнення пристрою про наявність нових команд.
- Як тільки пристрій отримує push-повідомлення, вона запитує команди у сервера MDM, виконує їх і відправляє результати назад на сервер MDM.
Процес реєстрації пристрою DEP
Пристрої реєструються в MDM, коли сервер надає пристрою спеціальний профіль конфігурації. Профіль цього містить:
Корисне навантаження MDM
Це спеціальні параметри, які повідомляють пристрою, що воно буде управлятися сервером MDM. Він містить URL-адресу сервера, тему push-повідомлення та інші атрибути. Для отримання більш докладної інформації про МДМ корисного навантаження см. В МДМ ведення протоколу.
Сертифікат ідентифікації пристрою
Мобільний сервер повинен аутентифицировать підключені пристрої. Оскільки MDM виконується автоматично без взаємодії з користувачем, звичайна аутентифікація імені користувача / пароля не працюватиме. Мобільний сервер (як сервер MDM) перевіряє пристрої по їх сертифікату. Це називається аутентифікацією сертифіката і виконується на рівні SSL сервера.
Це не кінцева діаграма — пошукайте офіційний документ DEP, і ви побачите, що він буде містити «набагато більше» інформації.
підсумок
Коротко розглянули що вдає із себе MDM і навіщо він потрібен. Для впевненого використання системи необхідно ознайомитися з великою кількістю інформації, адже системи корпоративного рівня завжди враховують багато нюансів. Сподіваюся пост був цікавий і дав нові знання про екосистему пристроїв Apple.
