Maximus43 May 28 2013 at 13:37

Мобильные устройства Apple в корпоративном секторе. Профили конфигурации

9 min

34K

ruVPN.net corporate blogInformation Security*

+29

Comments 35

Goblinoid May 28 2013 at 13:48

Очень интересно! В ближайшее время в конторе придётся что-то делать с обилием девайсов от apple!!! Теперь понятно, откуда начинать! Спасибо!

Maximus43 May 28 2013 at 17:51

Обращайтесь, с удовольствием помогу :-)

Woof May 28 2013 at 23:47

Начинайте с OS X Server, там многое из «коробки» работает.

Skyneon May 28 2013 at 14:32

«Начну с мобильных устройств на базе Apple iOS. Речь пойдет о версиях 3.0 и выше, на которых в настоящий момент работают следующие устройства:
iPhone 3G, 3Gs, 4, 4s, 5
iPad 2, 3, 4
iPod touch, поколения от 2 до 5»

Вы забыли про iPad mini

Maximus43 May 28 2013 at 14:34

Спасибо, исправил :-)

nazargulov May 28 2013 at 20:47

Про iPad mini всегда и везде забывают! :'-(

UFO just landed and posted this here

Maximus43 May 28 2013 at 17:03

Запрет удаления профиля — достаточно разумное требование :-) А вот что-то типа PIN-кода длиной 10 цифр, это да — перебор.

b01d May 28 2013 at 16:53

Спасибо. Очень полезно и познавательно.

А кто нибудь знает примеры (желательно бесплатных) MDM серверов, для разворачивания на своей территории?

Maximus43 May 28 2013 at 17:01

Пожалуйста! :-)
Можно свой MDM сервер развернуть на базе OS X Server, для этого достаточно Mac mini.

TaN May 28 2013 at 19:29

Есть решение от Funambol. Доступно Community Edition

BigD May 28 2013 at 17:57

Apple и правда не разрешает удаленно запретить возможность отключения пользователем GPS на корпоративном устройстве?

Maximus43 May 28 2013 at 18:42

В профиле таких настроек нет, увы.

BigD May 28 2013 at 18:48

Н-да, как пользователь я поддерживаю такие требования Privacy, но как администратор не могу поощрять, т.к. работа приложений на корпоративных устройствах, завязанных на показания GPS, становится бесполезной.

Novikov May 29 2013 at 02:24

Карать по факту отключения.

apcsb May 28 2013 at 20:22

Ну вот пока не появится OTA Push для профилей, толку от них немного, т.к. для того, чтобы что-либо изменить в конфигурации устройства требуется вовлекать пользователя. Единственное, где эта штука хорошо работает — onboarding, не нужно людям Wi-Fi и VPN ручками настраивать.
В текущей реализации для получения Push-уведомлений требуется регистрация в Apple и постоянное наличия подключения к Интернет, так?

Maximus43 May 28 2013 at 20:24

Обновление профилей без участия пользователя реализовано в MDM.

apcsb May 28 2013 at 22:07

Оно работает без обязательной регистрации в Apple и наличия доступа к Интернет? В замкнутой системе (магазин с Wi-Fi) я смогу управлять iPad'ами и iPod'ами?

Maximus43 May 28 2013 at 22:11

Да, работает.
Сможете, если все правильно настроите :-)

tangro May 28 2013 at 23:17

Извините, но это выглядит смешно. Только сегодня с конференции Блекберри — и по сравнению с их разграничением «пользовательской» и «рабочей» зоны — это просто «нескучные обои». Где фильтр «одобренных» корпоративных приложений? Где возможность удаления «рабочих» файлов и программ при увольнении сотрудника? Где блокировка буфера обмена между приложениями? Где шифрование всего и вся? Где гарантии что даже имея дамп памяти устройства с него нельзя получить важные данные? Где контроль обновлений администратором? Где централизованное управления пользовательскими настройками?

В общем, поиграть в «настроящий энтерпрайз» можно. Относиться серьёзно — нет.

Maximus43 May 28 2013 at 23:39

Отвечу по порядку.
1. Где фильтр «одобренных» корпоративных приложений? Одобренные приложения можно устранавливать централизованно через Provisioning Profile. Так же отключить AppStore параметром allowAppInstallation
2. Где возможность удаления «рабочих» файлов и программ при увольнении сотрудника? При удалении профиля удаляется вся связанная с ним информация, включая почту и программы. Удалить пофиль можно дистанционно.
3. Где блокировка буфера обмена между приложениями? Этого нет.
4. Где шифрование всего и вся? Это внедрено по умолчанию, вся информация на iPhone хранится в зашифрованном виде.
5. Где гарантии что даже имея дамп памяти устройства с него нельзя получить важные данные? Таких гараний нет.
6. Где контроль обновлений администратором? Обновлений чего? Если ОС, то такой возможности нет, если профилей с настройками, то все решается через MDM.
7. Где централизованное управления пользовательскими настройками? Через MDM. См. спойлер в конце статьи, там есть список возможностей.

tangro May 28 2013 at 23:48

1. Таким образом разве можно разрешить установку только выбранных чужих приложений из маркета?
А в остальном — не так уж и плохо, спасибо что просветили.

Maximus43 May 28 2013 at 23:53

На самом деле можно устанавливать и свои собственные приложения. Для этого надо получать корпоративный сертификат разработчика от Apple. Вот ссылка на дополнительную информацию: https://developer.apple.com/programs/ios/enterprise

tangro May 28 2013 at 23:54

Свои — это понятно. А среди чужих выбирать только разрешенные можно?

Maximus43 May 29 2013 at 00:00

Сам пользователь выбирать не сможет при закрытом AppStore. Администратор может устанавливать Provisioning Profile для чужих программ через MDM.
Т.е. не получится выбрать какой-то список приложений и дать пользователю выбор — хочешь устанавливай, не хочешь — не устанавливай. Тут или все из списка будет установлено автоматически, или придется открывать AppStore.

tangro May 29 2013 at 00:14

Понятно, тут Блекберри впереди. Там и так и эдак можно.

iamhappy May 29 2013 at 00:18

Спасибо, полезная статья. А что мешает пользователю удалить профиль или перешить устройство, чтобы обойти эти ограничения?

ZeroBit May 29 2013 at 00:30

Его квалификация в IT.

iamhappy May 29 2013 at 00:40

Согласен, но обычные профили легко удаляются через Настройки-Основные-Профили-[название профиля]-Удалить
Можно ли ограничить удаление таких профилей, как описано в статье?

mixroot May 29 2013 at 00:44

Можно, задав пароль на профиль.

iamhappy May 29 2013 at 00:59

Отлично, а подскате, как параметр этот называется?

mixroot May 29 2013 at 01:25

Так в лоб не скажу, видел у коллег из orange business services. Смысл скорее всего в том что при загрузкe XML задается пароль на устройство, так же его можно поменять(возможно удаленно, не буду голословным но по моему возможно) при попытке удалить профиль, однозначно придется ввести пароль)
Из собственных опытов когда надо было использовать ipad в связке sslvpn+rdc, ipad потребовал пароль для установки сертификатов.

Maximus43 May 29 2013 at 07:07

Это же было в статье — «Профиль можно защитить PIN-кодом от удаления, параметр HasRemovalPasscode; можно вообще запретить удаление, параметр PayloadRemoval-Disallowed. В последнем случае профиль можно будет удалить, только полностью сбросив все настройки устройства, при этом все содержимое устройства удаляется.»

mixroot May 29 2013 at 00:38

Это случаем не тоже самое что и Over-the-Air Profile Delivery and Configuration или же это все таки разные вещи?
В Kaspersky Security тоже такая функция есть, и судя по вот этому документу images.apple.com/iphone/business/docs/iOS_6_MDM_Sep12.pdf возможно даже и работает… Надо будет проверить как это работает:) только все равно, не совсем понимаю что(кроме фоток) можно высти с ipad если у нас например его не к чему кроме зарядки подключить(подключения по USB заблокированы для всего кроме alladin/USB-fash), доступ к таким устройствам блокируется. А wifi нас в принципе запрещен и глушится.

Ghool Nov 11 2014 at 15:24

В связи с Wirelurker и Masque Attacks
Скажите, а что происходит, когда Apple отзывает сертификат?

— профиль не удаляется с девайса?
(судя по тому, что профиль ставится без проверки Apple — подозреваю, что это так)

— корпоративные приложения, установленные ранее остаются и действуют?

— на девайсы, где что-то ставилось ранее с этим профилем можно ставить дальше?