Blog

MobileIron és az asztali almák – macOS menedzsment

A MobileIron EMM rendszer azon túl, hogy az összes korszerű mobil operációs rendszert támogatja, képes az asztali operációs rendszerek teljes körű menedzsmentjére is. Most következő írásunkban bemutatjuk, hogy az Apple asztali operációs rendszerét futtató gépeket hogyan lehet biztonságosan használni és a felhasználóiknak vállalati tartalmat kiajánlani. Az írással, a MobileIron rendszerrel vagy a mobil biztonsággal kapcsolatos általános kérdéseket szívesen várjuk az mdm[kukac]snt.hu e-mail címre!

Előző blogbejegyzésemben a Windows eszközök MobileIron-on keresztül történő menedzselésével foglalkoztam, jelenlegi írásom viszont egy másik fontos asztali operációs rendszert futtató számítógépről, az Apple macOS eszközök menedzseléséről szól.

A Mac számítógépek terjeszkedése már jó pár éve folyamatban van, manapság a személyi számítógépek már egy jelentős részét a Mac gépek teszik ki. A Mac gépek nagymértékű terjeszkedése a magas árak ellenére nem csak a marketingnek vagy a jó alapanyagoknak köszönhető, hanem a hétköznapi felhasználók által kedvelt egyszerű, könnyen átlátható, letisztult felhasználói interfésznek és az egyéb Apple eszközök és szolgáltatások közötti együttműködésnek is köszönhető. Ettől függetlenül a Mac gépek a magas ár miatt még mindig presztízs értékkel bírnak. Érdemes kiemelt figyelmet fordítani a Mac gépek menedzsmentével kapcsolatban, hiszen a gép presztízs értéke miatt a vezetőségnél illetve a VIP felhasználóknál több iOS és Mac gép található meg, akik részéről felmerül az igény, hogy ezekről az eszközökről elérjék a vállalati tartalmak egy részét is. Mivel ezeknek a gépeknek a nagy része privát, ezért a Mac gépek esetén amúgy is nehézkes domain-ba (vállalati tartományba) történő beléptetés többnyire nem jöhet szóba, így ezekre az eszközökre a mobil eszközök esetén már meglévő szabályzatot érdemes érvényesíteni. Itt jön képbe a mobil eszköz menedzsment, jelen esetben a MobileIron.

A MobileIron már korábban  is támogatta a Mac gépek menedzselését, viszont ez a legutóbbi 9.5-ös verzióban megjelent újdonságoknak köszönhetően ezen eszközök menedzselése új szintre lépett. Az újítások által bővült azoknak a biztonsági szabályoknak a köre amit érvényesíteni lehet ezeken a gépeken. Vegyük sorra a fontosabb lehetőségeket egy készülék teljes menedzselési időszakát tekintve.

Készülék regisztrálása

A Mac gépek regisztrációja egy Emailban kiküldött meghívón keresztül könnyen elindítható. A MobileIron támogatja az Apple DEP programját is, ami hazánkban jelenleg még nem annyira ismert. Utóbbi lehetőséget ad arra, hogy a programban részt vevő nagykereskedésektől úgy vásároljon cégünk iOS vagy Mac gépet, hogy az rögtön a vállalati EMM – esetünkben MobileIron – rendszerbe lép be, első indításkor.

Konfiguráció érvényesítése

A konfigurációk Mac gépeken történő érvényesítésével a már mobileszközök esetén megszokott módon egyszerűsíthetjük a felhasználók vállalati adatokhoz történő hozzáférését úgy, hogy közben a biztonságot növeljük.

Felhasználói előnyök:

  • Wi-Fi illetve VPN profilokat hozhatunk létre automatikusan központilag
  • Tanúsítványokat juttathatunk az eszközökre, amelyek felhasználhatók Wi-Fi kapcsolatok vagy VPN kapcsolatok esetén, vagy akár felhasználhatók egy weboldalon történő hitelesítés esetén is.

Biztonság növelése:

  • Az operációs rendszerbe épített korlátozások (restrictions) segítségével a macOS 10.12 és újabb eszközök bizonyos funkcióit szabályozhatjuk. Ezek közül példaként néhány:
    • Engedélyezhetjük/tilthatjuk a kamera használatot,
    • Engedélyezhetjük/tilthatjuk az iCloud Keychain szinkronizálását,
    • Engedélyezhetjük a macOS automata zárolást ,
    • Engedélyezhetjük/tilthatjuk a Mac gépek TouchID-val történő feloldását.

Távoli eszközműveletek

A bevont eszközökre távolról műveleteket küldhetünk ki amelyek szintén növelhetik az eszközök és az azon tárolt adatok védelmét. Ilyen távoli eszközműveletnek számít a teljes eszköz alaphelyzetbe állítása (Wipe), minimum jelkód beállításának megkövetelése vagy az eszköz menedzsmentből történő kivonása a céges adatok eltávolításával (Retire) is.

Biztonsági beállítások

Az adatbiztonság növelésének mindig egy fontos tényezője az, hogy a tárolt adatokat titkosított formában tároljuk. MobileIron 9.5-ben már van arra lehetőség, hogy az eszközökön engedélyezzük/kikényszerítsük a beépített FileVault 2 háttértár titkosítást. Lehetőség van arra, hogy a szervezeti visszaállítási kulcsot (Institution Recovery Key) magán az EMM szerveren tároljuk. Az ily módon tárolt kulcsok természetesen visszaállítás esetén elérhetőek. Szintén lehetőség van a személyes visszaállítási kulcs EMM szerveren történő tárolására, ami szükség esetén természetesen elérhető. Az iCloud használata szintén támogatott, de policy segítségével ez felülírható. Az eszköz háttértárának titkosítási állapota az EMM adminisztrátor számára lekérdezhető.

Alkalmazás telepítés/kezelés

A menedzsment alá vont készülékeken az iOS és Android készülékek esetén megszokott Apps@Work alkalmazáson keresztül a felhasználók számára elérhetővé tehetjük a céges alkalmazás tárat. Itt a felhasználók elérhetik azon alkalmazásokat, amelyet az IT ajánl számukra akár külön kategóriákba sorolva.
Az IT meghatározhat alkalmazásokat, amelyek bizonyos esetben automatikusan települni fognak a menedzsment alá bevont Mac eszközökre, vagy egy felugró ablakban kérik a felhasználót az alkalmazás telepítésére. Fontos még, hogy az IT-nak lehetősége van a Mac eszközökön tárolt alkalmazás lista megtekintésére annak érdekében, hogy az IT által veszélyes vagy nem támogatott alkalmazásokat időben fel tudják ismerni. Amennyiben tiltásra volna szükség, a mobil eszközök esetén már ismert Black- és Whitelist-ek itt is alkalmazhatók.

Gatekeeper

Érdemes külön megemlíteni az úgynevezett Gatekeeper funkciót/szolgáltatást. A Gatekeeper használatával szabályozható, hogy a Mac App Store-ból csak az engedélyezett alkalmazásokat lehessen telepíteni, vagy engedélyezhetünk fejlesztőket, akiknek az alkalmazásai telepíthetők. Létrehozhatók olyan szabályok, amikkel szabályozható, hogy a rendszer milyen file műveleteket engedélyezzen, pl.: futtatás, installálás, stb… A Gatekeeper-el kapcsolatban érdemes még azt is megemlíteni, hogy az EMM adminisztrátoroknak lehetőségük van központilag tiltani a „megnyitás más alkalmazással” funkciót ezzel is biztosítva az adatok a szervezet által nem támogatott szoftverben történő megnyitásának tiltását.

Megfelelősség

MobileIron 9.5-től az EMM adminoknak most már lehetőségük van Mac gépek esetén is ellenőrizni a gépek megfelelősségét, így az eszköz megfelelőségétől függően különböző biztonsági műveletek hajthatók végre akár automatikusan is, megvalósítva ezzel a feltételes hozzáférést is.

Kérdéseket intézhet, észrevételeket küldhet az S&T szakértőinek, kérem vegye fel velünk a kapcsolatot!

Erdős Péter Erdős Péter • Rendszermérnök

ITT és MOST VÁRJUK A HOZZÁSZÓLÁST!

Email cím (nem tesszük közzé) A kötelezően kitöltendő mezőket * karakterrel jelöljük