Comments 73
Насколько мне известно, тот же Google Pay так и не заработал снова на рутованных девайсах после весеннего обновления.

Да нет, работает все)
И магик обновляется, и нашли средство борьбы (обрезать права доступа к бд которая отвечает за статус рута на телефоне)
В Magisk Manager'e даже есть кнопочка «Tap to start SafetyNet check». Лично у меня эта кнопка всегда показывала положительный результат (девайс с рутом, очевидно)

У меня оно тоже подходит, а Google Pay не работает. Маскировка тем же магиском уже не помогает.

Xposed, случаем не установлен? С ним шансов на прохождение проверки нет.
Вообще, инструкция по этому процессу есть там: forum.xda-developers.com/apps/magisk/magisk-google-pay-gms-17-1-22-pie-t3929950
Есть ещё скрипт, который это автоматизирует: forum.xda-developers.com/apps/magisk/magisk-google-pay-gms-17-1-22-pie-t3929950/post79643248#post79643248
Meklon, вам тоже может быть интересно.
У меня сейчас стоковая прошивка и twrp. Этого достаточно, чтобы не проходить проверку (
У меня была проблема что на стоке ни в какую не проходило проверку стабильно. Постоянно отваливалось. Установил начисто LineageOS + OpenGapps Nano, потом Magisk, потом из Magisk-а уже MagiskHide Props Config с правильной его настройкой, потом шаманство с dg.db, а потом уже EdXposed — и всё взлетело. Не с первой попытки, но вполне успешно летает с той поры =)
Надо время найти. Сейчас такое расписание, что воевать с кирпичом никакого желания нет.
Ну я просто выбрал профиль под свой телефон. А так по сути можно выбрать любой профиль который там есть, единственное все приложения будут считать телефон ваш другим. =) Главное там не перемудрить, и выбрать по сути только это.
Андроид все больше начинает походить на iOS со всеми этими танцами с бубном.
Да, пришлось в итоге перейти на него, но как минимум одна запись у меня получилась односторонней — только мой голос и нечленораздельное тихое бульканье с другой. Еще не изучал, почему.
С ним шансов на прохождение проверки нет.

Ну зачем так категорично? Не один год жил и с root, и с Xposed, и с Google Pay.
Всё можно. Не так просто, но можно.
Раньше было можно без особых проблем, да. Весенние обновления были настолько суровы, что проходить проверку с xposed перестало у всех. Дальше смогли починить magisk + googla pay, но установленный xposed так и не позволял связке работать. Чуть выше есть комментарий, что с EdXposed всё-таки заработало.
Так речь идёт как раз о том, что Xposed ставится как внесистемный (как модуль EdXposed к Magisk), включается маскировка Xposed, и Google Pay, «Сбербанк онлайн» не видят его… какое-то время. Потом, правда, приходится обновляться, иногда лезть на 4pda/Xda и читать, и снова уходить из-под контроля…

Там есть хитрость с патчем одной sqlite базы и запретом доступа на запись к ней =)

У меня сегодня утром в макдональдсе не прошла оплата с этим патчем. В теме на форуме 4pda тоже начали всплывать жалобы. Так что гугл опять что-то мутит.
Твой девайс должен давать тебе полные права на управление. К сожалению, это идёт вразрез с корпоративными задачами

"твой" девайс /= "корпоративный" девайс, поэтому при внедрении MDM необходимо предоставлять сотрудникам устройства от компании. Ставить на свой личный телефон шпионскую софтину, "льющую непрерывный поток телеметрии"… ну это такое себе.

При использовании BYOD в ИТ-отделе компании не держат пистолет у виска пользователя, вынуждая его установить агент управления на свое личное устройство. Хотите быть мобильным и иметь доступ к ресурсам компании — можете установить. Не хотите доступ- не устанавливайте. К слову, при подключении личного телефона к EAS (Exchange Active Sync) администратор почтовой системы имеет право вайпнтуть вам устройство.
Хотите быть мобильным и иметь доступ к ресурсам компании

Не так. Если необходимо, чтобы сотрудник был мобильным и доступным 24х7 — выдайте ему конторский телефон (пусть даже с MDM, ничего против не имею в данном случае и даже одобряю), и не забудьте включить ему в заработную плату компенсацию за нахождение в stand-by режиме "ожидания звонка".


Хотя я вообще не особо одобряю весь этот BYOD, во-первых, из-за вот этих вот MDM-ов на личных устройствах, а во-вторых, работодатель обеспечивает рабочее место и инструменты. Если телефон необходим для работы — его надо выдать. Точно так же, как стол, стул и что там еще нужно.

Технология Android for Enterprise позволяет отделить личное пространство пользователя от рабочего (Work managed profile), можно прочитать здесь: www.android.com/intl/ru_ru/enterprise/management

А вот исходя из этой статьи developers.google.com/android/work/device-admin-deprecation получается, что в новой версии Android управлять устройством можно будет только при интеграции MDM системы с Android for Work. Список одобренных MDM систем можно найти тут: androidenterprisepartners.withgoogle.com/emm/?_ga=2.184586537.163353914.1570094274-1958348971.1565249398

Представим себе разработчика или целую команду разработчиков с личными устройтсвами, например, Mac+ iPhone+свой appleid. У них вся жизнь на этих устройствах и вам нужно организовать им доступ к необходимым ресурсам. Кроме того, они вне офиса и работают в разных уголках России. Как в таком случае действовать и защитить корпоративные данные на таких устройствах без UEM?
Можно представить сценарий, где разработчику предлагают выбор или он работает строго на рабочем месте и строго в рабочее время или когда и где ему удобно, но BYOD+MDM. Выбор каждый делает сам.

Напоминает какую-то поговорку про два стула. Или MDM должен быть корректным и в случае ахтунга вайпать только корпоративные материалы и доступы, а не всё устройство целиком, или таки контора должна понять, что удалёнщику точно так же нужно выдавать технику, как и обычному сотруднику со столом и стулом в кабинете.


Upd: ниже подсказывают, что в андроиде именно так грамотно и сделано — отдельно корпоративная область, отдельно личная. В таком случае и правда, почему бы и нет?

В таком случае и правда, почему бы и нет?

Два телефона — рабочий, пусть даже с MDM и личный, куда работодателю доступа нет никакого — куда надежнее. Кроме того, внедрение описанных в статье систем должно быть оправдано — то есть действительно должны быть какие-то корпоративные секреты и sensitive data, а не просто желание генерального директора и дядек из "службы безопасности", которым тупо понравилась идея, что "у нас все теперь под колпаком". Что охранять у описанной выше распределенной команды стартаперов? Код очередной мобильной игрушки или очередного что-нибудь-as-a-service? Ну такое, в общем.
Я понимаю, что я немного утрировал, но хотелось донести мысль, что MDM оружие очень острое и применять его необходимо строго по назначению, а не для игр в Большого Брата.

Можно представить сценарий, где разработчику предлагают выбор или он работает строго на рабочем месте и строго в рабочее время

Без звонков после неудачного пятничного деплоя? Без проблем.

Ну это решается элементарно запретом на деплой в пятницу. У нас прямого запрета нет, но так как никто не ждет что разработчик в свободное время будет доступен, то никто и не льет перед выходными.

Знаю места, где некоторые вещи невозможно деплоить не в пятницу (ну или не по выходным), и это обусловлено некоторыми условиями внешнего мира (скажем, как работают разные биржи).


Вернее, деплоить-то можно, но активируются они только вечером пятницы.

Грустно тогда. Но я в таком случае просто бы договорился о выходных не в выходные. Есть конечно в таком решении недостатки, социолизироваться с кем-то кроме коллег сложнее, но в целом — замечательный вариант, я давно думаю о таком договориться все-таки.
Можно накатить условный Nine и тогда вайпаться будет только почта, а не весь телефон (там есть настройка зоны доступа для актив синка со стороны клиента)

Чтобы не вайпнули весь девайс, есть рабочий профиль, для которого идут свои приложения под рабочий аккаунт. Профиль можно включать и выключать по желанию (например в нерабочее время). Единственный минус — администратор может задать параноидальные меры безопасности для всего устройства (вводить пароль на каждую разблокировку экрана, пин не подходит) что отобьёт всё желание использовать это.

Самое забавное с этими вайпами то, что если ты уехал в отпуск без интернета, а в это время вышло критическое обновление, но ты его не установил в течении некоторого времени — получай чистый телефон

Интересная статья, мы как раз разворачиваем MDM в нашей конторе. Много времени уходит на позитивную пропаганду среди пользователей BYOD. Да, мы можем удаленно обнулить ваш телефон и нет — мы не можем читать ваши смс.

Немного неправильно подняли.
«Не читаем» != "не можем читать".
Или так и было задумано?
А почему не можете читать SMS?

Я через MDM на андроидах через remote control могу делать всё, что может делать пользователь. Пользователь даже не узнает, что я подключился и вижу содержимое его экрана.

Или это фишка новых версий Андроида, с разделением на личное и рабочее пространство, без доступа MDM к личному разделу?

Политика компании такова, что все телефоны и планшеты регистрируются в BYOD режиме. Андроиды — AfW, vendor managed, Apple так же, никакого DEP. DEP enrolled у нас только айпады в переговорных.
MDM ещё толком не развернут, поэтому гайки закручивать рано. Задача минимум на текущий момент — принудительное наличие пинкода (да, у нас была пара товарищей не на последних должностях, которым не нравились пинкоды или разблокировка отпечатком пальца ибо неудобно).
Следующий шаг это пряник в виде автоматической аутентификации WiFi, а кнут — ограничения доступа к корпоративным ресурсам, системам и т.д. устройствам вне MDM. Ну и прочая авторизация с блекджеком и сертификатами.

Всё верно, это фишка Android. Согласно данному документу при использовании Remote Manager (a.k.a. Workspace ONE Assist) мы можем удаленно подключаться только к корпоративной области устройства.
Эх, как классно это все выглядит в статье, и как грустно изнутри :)
Идея и сам посыл — великолепны. А вот реализация как всегда…

Очень хорошо знаком с AirWatch, их SDK и их технической поддержкой.
Если в вашей компании разрабатываются внутрикорпоративные мобильные приложения, то разработчиков ждет море развлечений :)

Из любимого:

1. Обновилась мажорная версия SDK AW.
Взяли в работу, обновляем приложухи. Для Android толстый гайд по переходу на новую версию. Для iOS гайд весьма скуден:
«Удалите старую SDK из проекта.
Импортируйте новую SDK.
Устраните все возникшие ошибки.»
Ну супер, да.
/Хотя, стоит отдать должное, реализация SDK для iOS в разы понятнее и удобнее чем для Android./

2. Жалоба работников склада (планшет на Android + наше приложение + сканер ШК):
В новой версии приложения, при сканировании data-matrix кодов (около 150 символов информации), все жутко тормозит и можно увидеть как в поле ввода возникают символы, как будто их вводят руками. В то время как раньше сразу возникала вся строка.
Странно, подумали мы. Ничего ж не трогали.
Ну ок, лезем разбираться. Долгую историю поисков, декомпиляции исходников и прочее пропущу, сразу к сути.
В новой версии SDK, изменилась работа с продлением сессии SSO. Теперь софт регистрирует каждую интеракцию пользователя с устройством. Ну ок, нам как-бы все равно. Проблема в том, что не предусмотрено никакого таймаута. Т.е. если с устройства ввода летит 150 событий (сканер эмулирует ввод с клавиатуры) с миллисекундными интервалами, то 150 раз вызывается функция с логикой обработки события и продления сессии SSO.
Благо не слишком глубоко зарыто было. Удалось унаследоваться, переопределить метод и переписать логику.

3. Приложение проходит аудит информационной безопасности.
Сотрудник ИБ (ИБ): В реализации ошибки. Я в консоли запрещаю устройству 3G, а оно продолжает его использовать.
Разработчик (Р), глядя в дебаг: Ну обновленный профиль от сервера не приходил и не приходит. Я то тут при чем? Задайте вопрос вендору (AirWatch).
ИБ: Мое дело проверить и указать на проблемы. Ваше дело реализовать функционал, согласно регламенту ИБ. Если не можете — не реализовывайте, тогда в прод не пойдете.
Р: Ок, пойду с админами сочинять письмо вендору.
/ Ставим тикет в ТП AW, через время его принимают, нас 40 раз пинают через разные линии поддержки, наконец попадается компетентный товарищ /
Сотрудник ТП AW (ТП): Все работает корректно (by design). Профиль приложения спускается на устройство один раз, при установке приложения.
Р: Эээ… Странно… Ну ок, спасибо.
/ Сообщаем ответ ТП, сотрудникам ИБ /
ИБ: Ваше дело реализовать функционал, согласно регламенту ИБ. Если не можете — не реализовывайте, тогда в прод не пойдете.
/ Отлично. Читаем мануалы, находим обрывки знаний, пишем в ТП /
Р: Ребята! Что нам делать-то? Как реагировать на изменения профиля?
ТП: Ну вы можете осуществлять сетевые запросы к серверу AW, и получать профиль.
Р: Блин, ну ок, будем пробовать.

Пробуем, да, профиль получить можно. Но только через MAG (что-то типа VPN тоннеля, между клиентом AW и сервером AW, для доступа внутрь защищенного контура сети). А MAG не везде используется и работать начинает только после получения профиля. Реализация получилась крайне интересная и костыльная. Но рабочая :)

Этот список можно дополнять бесконечно. Жесткие корпоративные регламенты ИБ, которые не так просто изменить. Очень тяжелая в общении техподдержка. Множество проблемных кейсов, которые не воспроизведешь в тестовом окружении. Очень скудная документация.

Но, с другой стороны, ситуация постепенно выправляется, хотя и очень неспешно :)
В свежих версиях завозят новые проблемы, но старых проблем исправляют больше, чем создают.
Почему то было предположение что здесь вас встречу.) Я вижу нам еще повезло.
У вас там, помнится, своя засада была тогда))
Но в целом, со временем, мы научились со всем этим жить и даже штатная градация трудоемкости интеграции приложения с AW (с нуля) появились, а-ля:
— Senior Mobile Developer: 16 часов
— Middle Mobile Developer: 40 часов
— Junior Mobile Developer: 80 часов
2. Не встречал у заказчиков разрабов, которые были бы довольны какими-либо SDK или «О ужас! Не дай Бог», «обёртыванием» их приложения, однако, всё в итоге у них получалось.

3. Странно, что вам не помогали специалисты из компании, которая вам внедряла MDM. Я вот всё время на связи и постоянно консультирую коллег по вопросам связанным с МDM.

P.S. Если вы до сих пор используете MAG и AirWatch- срочно обновляйтесь.

Airwatch уже давно Workspace ONE, а MAG теперь это виртуальный апплаенс VMWare UAG.
Airwatch уже давно Workspace ONE, а MAG теперь это виртуальный апплаенс VMWare UAG.

Знаю, я консерватор и для меня он уже так и останется AW.
Я даже Теле2 читаю как «телету» по привычке, а у них только произношение поменялось :)

2 — в целом так и есть :)
3 — Собственно внедрял MDM нам непосредственно вендор, т.е. сам AirWatch. Может быть сейчас качество ТП улучшилось, я уже год как не связан больше с кровавым энтерпрайзом, поэтому не в курсе.

Какая версия, кстати, Android AW SDK сейчас? Я ушел на 17.6.1, а начинали мы с 15.1, кажется.
UFO landed and left these words here
Вот эти 2 скрина показывают, что всё на совести компании в которой внедрен MDM.




Администратор системы может отключить, например, GPS -треккинг для личных устройств.

Есть политики компании связанные с данными этой самой компании и все ее сотрудники должны этой самой политики придерживаться. Не хочешь использовать — удаляй агента, когда уходишь с работы.
У меня одного проблемы с этим интерфейсом?
скрин
image

Темное это переключатель вкл или выкл?
Если рассуждать по строке Icon Size, темное — это значит выбранная опция. Хорошо, что на этой вкладке есть параметр с тремя позициями.
Но ведь кнопка Close тоже темная, значит ли это, что она нажата…
EMM SafePhone от НИИ СОКБ предоставляет сертифицированные решения для безопасной передачи голоса и сообщений с шифрованием и возможностью записи.

У SafePhone есть расширение "Защищённые коммуникации" для VoIP-телефонии и обмена сообщениями, ссылка. В нём есть шифрование, но нет записи переговоров. Это важно не меньше, чем нечтение SMS. Ещё лет 5 назад люди так боялись MDM, что после работы вынимали аккумуляторы или клали корпоративные телефоны в сейф. Самое сложное, но необходимое — убедить пользователей, что EMM нужен не для того, чтобы подсматривать и вторгаться в личную жизнь, а для того, чтобы обеспечить удобный доступ к сервисам.

Даже самые ответственные люди иногда отдыхают. И, как нередко это бывает, они забывают рюкзаки, ноутбуки и мобильные телефоны в кафе и барах.

Следующий вопрос: они знают, что идут в бар; знают, что обычно происходит в барах; нах зачем они берут с собой рюкзаки, ноутбуки и далее по списку???


Мало таким в детстве надавали живительных трындюлей, мало...

Многие прям с работы идут

Ну так зайди с работы домой, оставь там рюкзак-ноутбук, и иди гудеть себе по барам хоть до второго пришествия. Есть такое слово — ответственность...

Для многих «зайти после работы домой» — это час дороги, а то и два, в одну сторону. Понятно, что вы можете возразить что так быть не должно, но увы.
  1. Шифруйте диски/иные носители, чтобы без пароля ноутбук превращался в тыкву.
  2. Оставляйте ноутбук в офисе, если идёте бухать в бар (если сопрут оттуда — не Ваша вина).
  3. Бухайте Идите в бар в субботу/воскресенье.
  4. ???
  5. PROFIT!

"Желающий — ищет возможности. Нежелающий — ищет причины."

1. Если я сам зашифрую диск ноута и не смогу его расшифровать, (по любой причине: забыл пароль, драйвер шифрования криво обновился, батарейка неудачно села, не важно) то огребу люлей. Если же диск был зашифрован админом, то этого не произойдёт, потому что у админа было и время, и квалификация подумать как сделать так, чтобы диск расшифровывался, а если вдруг все равно нет, то были бы бэкапы. А мне, сотруднику, надо финансовый отчёт составлять, а не драйвера тестировать.

2. Ноутбук нужен, в основном, для того, чтобы в субботу можно было доделать и отправить этот чертов отчет, а если он остался в офисе то от него никакого толка нет.

3. Можно и дома бухнуть, в полной безопасности и с ноутом, но коллеги собираются вечером в пятницу после работы. Кто-то идёт с ними, кто-то идёт домой. Кто-то едет в командировку и там его грабят, всего не предусмотришь.

5. Централизованные технические решения надежней, чем полагаться на ответственность и компетенции в информационной безопасности каждого отдельного сотрудника.

А что, у Вас контора такая маленькая, что генеральный занимается не генеральством, а и IT-отделом? Тогда откуда у неё деньги на ноутбуки?

Когда работа и дом находятся на определенном удалении, то нереализуемо. Я живу в 100км от работы, поэтому приходится таскать рюкзак с собой. Правда я ни разу не забывал, тьфу-тьфу-тьфу.

Например, в командировке в баре можно коротать время до автобуса/поезда/самолёта домой.
Там уж про себе может быть много чего.

О, какая интересная тема.
А может кто-то подсказать, как бороть через их (Workspace ONE) ТП нерешающиеся месяцами проблемы?
Из последний примеров.
1. вся эта монструозная конструкция отчего-то при синхронизации с ФВ воспринимает пользователя и ровно того же пользователя но с уже установленным менеджером — разными сущностями и задваивает аккаунты. Из-за этого профили прилетают на задваивающийся аккаунт. Проблема всплыла, когда для некоторых новых пользователй руководитель прокачивался после синхронизаци AD с MDM. Просто Re-enroll не помогал.
2. Постоянно приходится пушить пару профилей при любых изменениях с пользователем, Active-Sync и еще один для VPN и локальная наша ТП это делает вручную. Подскажите, там есть какое-нибудь вменяемое API, чтобы эти вещи отслеживать и автоматизировать?
Спасибо за ответ. Выяснилось, что тикета в техподдержку Workspace ONE и не было! Есть тикет в нашу поддержку (аутсорсят тут одни), но те дальше не эскалировали… Постараюсь дожать на следующем новом пользователе.
И за ссылку на api/help спасибо, вижу, буду читать.
Only those users with full accounts are able to leave comments. Log in, please.