Blog

Androidok a munkánkban

A Google Android mobil operációs rendszeren IT biztonság szempontjából az évek során sok hiányosságot pótoltak a fejlesztők. Jelen cikk az Android Enterpise funkció csomagot mutatja be. Az írással, az Android rendszerrel vagy a mobil biztonsággal kapcsolatos általános kérdéseket szívesen várjuk az mdm@snt.hu e-mail címre!

Ez a cikk nem az ember formájú robotokról, vagy az ipari automatizálásban való használatukról fog szólni, hanem a Google Android nevű mobil operációs rendszeréről. Az Android renoméja elég rossz a versenytársaihoz (Apple iOS, Windows Mobile) hasonlítva, amikor mobil IT biztonságról kezdünk el beszélni, pedig az utóbbi időben történt néhány olyan változás, ami miatt ez már korántsem igaz. Ezen újítások a Google-tól származnak, tehát minden eszközre – eszközgyártótól (OEM) függetlenül – azonos funkció halmazt biztosítanak. Az egyetlen elvárás, hogy a készüléken legalább az Android 6.0-ás, Marshmallow nevű operációs rendszere fusson (egyes készülékeken, pl. a Google Nexus referencia készülékeken már ennél alacsonyabb, 5.x-es verzió is elég).

A funkcióhalmazt a Google általánosan Android for Work néven kezdte el terjeszteni 2014-ben, melyet a legutóbbi arculatfrissítéskor Android Enterprise néven kezdtek el hivatkozni, így már mi is ezt fogjuk használni. Az Android Enterprise funkciókat két, egymástól alapvetően eltérő módon lehet aktiválni, és ez alapján a készüléket két eltérő módon lehet használni. Az első és némileg egyszerűbb üzemmód a „Device Owner” vagy „Work Managed” mód, mely kizárólag céges tulajdonú eszközök használatára felel meg, ugyanis aktiválásával a vállalat teljes kontrollt kap az eszköz biztonsági és használati beállításai felett. Bármelyik irányba is indulunk el, az első lépés mindig egy EMM (Enterprise Mobility Management – vállalati mobileszköz-menedzsment) megoldás bevezetése, majd második lépésként végre kell hajtani az EMM rendszerre specifikus integrációs beállításokat a Google szerverei irányába.

Vállalat által kontrollált (Device Owner) mód

A Device Owner mód aktiválásának az alábbiak a fő lépései (megjegyzés: a lentiek nem teljes, lépésről-lépésre követhető utasítások, a pontos beállítás végett kérem keresse az Enterprise Mobility Management (EMM) megoldásunkkal foglalkozó szakértő kollegáinkat fenti elérhetőségünkön!)

1. Készülék gyári állapotba visszaállítása (factory reset)

2. A Google fiók bejelentkezés képernyőjén a vállalat által használt EMM megoldásnak megfelelő speciális kód megadása (pl. MobileIron Core esetén ez afw#mobileiron.core)

3. A kód megadása után feltelepül az EMM rendszer menedzsment kliense, és a használatával az eszközt szabadon be lehet mostantól regisztrálni tetszőleges vállalati felhasználó nevére

4. A regisztráció után egy szokásos Android felülete fogad, azonban a készülék most már teljesen a vállalati EMM megoldással szabályozott.

A Device Owner módban működő készülékek az alábbi jellemzőkkel bírnak:

  • a felhasználó csak olyan alkalmazásokat tud telepíteni a Play Store-ból, melyeket a vállalat előzetesen engedélyezett
  • az engedélyezett alkalmazások egy részhalmaza akár automatikusan települ és el nem távolítható
  • egyes alkalmazások (pl. Gmail, Chrome, stb.) előkonfigurálhatók az EMM rendszerben, mely a felhasználó számára beállításokat/konfigurációkat terít az alkalmazás telepítésekor
  • a felhasználó csak olyan célokra tudja használni a készüléket, melyeket a vállalat előzetesen engedélyezett (pl. kimenő hívások/SMS/roaming tiltása)
  • a vállalat a készülék különböző funkcióit képes letiltani (pl. Wifi, Bluetooth konfigurálása, Kamera letiltása, Gyári beállítások visszaállítása)

Fontos!

mielőtt egy Device Owner módba konfigurált készüléket kiadunk a felhasználóknak, bizonyosodjunk meg arról, hogy az EMM rendszer biztonsági beállításaiban létezik, és engedélyezve van-e a „Bypass Factory Reset Protection”, ugyanis enélkül egy Android távoli törlése (Wipe) után a legutóbb bejelentkezett Google Account jelszava szükséges a készülék újbóli elindításához – ez azonban ilyenkor egy nem felügyelt, automatikus fiók, azaz a készülék használhatatlanná válna.

Összességében tehát a vállalati kontroll teljes mértékben érvényesül a készüléken. Az Android Enterprise aktiválása azzal is jár, hogy a készüléktitkosítás is ki lesz kényszerítve, így az Android összes biztonsági rését befoltozhatjuk vele, amennyiben a telepített alkalmazásokat rendszeresen felülvizsgáljuk az EMM rendszerünkben. Ezzel együtt a Device Owner mód az egyszerű irodai felhasználásra nem a legkézenfekvőbb, sokkal inkább céleszközök felügyeletére javasolt (pl. ipari tabletek, kézbesítői telefon, stb.)

Vegyes felhasználású (Work Profile) mód

A másik mód az irodai felhasználásra sokkal jobban használható Work Profile mód. Az elnevezés utal is arra, hogy ebben az esetben a munkahelyi adatok egy különálló profilban vannak jelen a készüléken, ami azt is jelenti egyúttal, hogy mellette a felhasználó magán adatai is megférnek. A Work Profile aktiválásához csupán egy támogatott EMM megoldás szükséges, és amikor a felhasználó a szokásos módon beregisztrál, már a Work Profile kerül fel a készülékre. Ez azt jelenti, hogy az eddig megszokott alkalmazásai mellett megjelennek új, narancssárga aktatáska ikonnal ellátott alkalmazások, melyek az alkalmazások munkahelyi változatát jelölik. Ezek adathalmaza teljesen elkülönített a magán felhasználású társaikétól, titkosított és védett.

A munkaprofilt a vállalat teljes kontroll alatt tartja: a felhasználó csak olyan alkalmazásokat telepíthet, melyet a vállalat előzetesen engedélyezett, a munkaprofilból történő adattovábbítás korlátozható, megelőzve ezzel az adatszivárgást. További, eszközszintű biztonsági kontrollt is folytathat a vállalat a készüléken, mely már nem tér el attól a kontrolltól, melyet régebben is lehetett az Androidok fölött gyakorolni.

Összességében a Work Profile megoldás nagy előnye – az egyszerű beállítás mellett – az, hogy a felhasználó a már jól megszokott alkalmazásait használhatja tovább, mégis vállalati kontroll és biztonság van az így bevont alkalmazások körére.

Kérdéseket intézhet, észrevételeket küldhet az S&T szakértőinek, kérem vegye fel velünk a kapcsolatot!

S&T Magyarország S&T Magyarország • Cégünk, az S&T Consulting Hungary Kft. információ-tecnológiai tanácsadást, IT megoldások és szolgáltatások szállítását és integrációját, valamint testre szabott, egyedi fejlesztéseket kínál Önnek. Portfoliónk a vállalatirányítási és szoftver szolgáltatási megoldásoktól, az ipari termék-életciklus menedzsment rendszereken és az IT infrastruktúrán (hálózatépítés, szerver- és tároló rendszerek, virtualizáció) keresztül az IT biztonsági megoldásokig terjed.

ITT és MOST VÁRJUK A HOZZÁSZÓLÁST!

Email cím (nem tesszük közzé) A kötelezően kitöltendő mezőket * karakterrel jelöljük