Как стать автором
Обновить

Комментарии 74

Насколько мне известно, тот же Google Pay так и не заработал снова на рутованных девайсах после весеннего обновления.

Да нет, работает все)
Расскажи) Magisk пропатчили?
И магик обновляется, и нашли средство борьбы (обрезать права доступа к бд которая отвечает за статус рута на телефоне)
Надо почитать. Спасибо)
В Magisk Manager'e даже есть кнопочка «Tap to start SafetyNet check». Лично у меня эта кнопка всегда показывала положительный результат (девайс с рутом, очевидно)

У меня оно тоже подходит, а Google Pay не работает. Маскировка тем же магиском уже не помогает.

Xposed, случаем не установлен? С ним шансов на прохождение проверки нет.
Вообще, инструкция по этому процессу есть там: forum.xda-developers.com/apps/magisk/magisk-google-pay-gms-17-1-22-pie-t3929950
Есть ещё скрипт, который это автоматизирует: forum.xda-developers.com/apps/magisk/magisk-google-pay-gms-17-1-22-pie-t3929950/post79643248#post79643248
Meklon, вам тоже может быть интересно.

Спасибо огромное. Xposed, кажется, был

У меня нет, чистый Android 10 и Magisk.

EdXposed + Magisk + Google Pay, полёт нормальный ;)

У меня сейчас стоковая прошивка и twrp. Этого достаточно, чтобы не проходить проверку (
У меня была проблема что на стоке ни в какую не проходило проверку стабильно. Постоянно отваливалось. Установил начисто LineageOS + OpenGapps Nano, потом Magisk, потом из Magisk-а уже MagiskHide Props Config с правильной его настройкой, потом шаманство с dg.db, а потом уже EdXposed — и всё взлетело. Не с первой попытки, но вполне успешно летает с той поры =)
Надо время найти. Сейчас такое расписание, что воевать с кирпичом никакого желания нет.
MagiskHide Props Config с правильной его настройкой

А что настраивал?
Ну я просто выбрал профиль под свой телефон. А так по сути можно выбрать любой профиль который там есть, единственное все приложения будут считать телефон ваш другим. =) Главное там не перемудрить, и выбрать по сути только это.
Андроид все больше начинает походить на iOS со всеми этими танцами с бубном.
Да, я все от блокировки записи звонков все никак не отойду…
SKValex Call Recorder + Magisk пишет вполне всё успешно в рут режиме.
Да, пришлось в итоге перейти на него, но как минимум одна запись у меня получилась односторонней — только мой голос и нечленораздельное тихое бульканье с другой. Еще не изучал, почему.
С ним шансов на прохождение проверки нет.

Ну зачем так категорично? Не один год жил и с root, и с Xposed, и с Google Pay.
Всё можно. Не так просто, но можно.
Раньше было можно без особых проблем, да. Весенние обновления были настолько суровы, что проходить проверку с xposed перестало у всех. Дальше смогли починить magisk + googla pay, но установленный xposed так и не позволял связке работать. Чуть выше есть комментарий, что с EdXposed всё-таки заработало.
Так речь идёт как раз о том, что Xposed ставится как внесистемный (как модуль EdXposed к Magisk), включается маскировка Xposed, и Google Pay, «Сбербанк онлайн» не видят его… какое-то время. Потом, правда, приходится обновляться, иногда лезть на 4pda/Xda и читать, и снова уходить из-под контроля…

Там есть хитрость с патчем одной sqlite базы и запретом доступа на запись к ней =)

У меня сегодня утром в макдональдсе не прошла оплата с этим патчем. В теме на форуме 4pda тоже начали всплывать жалобы. Так что гугл опять что-то мутит.

У меня весной перестало проходить проверку.

Твой девайс должен давать тебе полные права на управление. К сожалению, это идёт вразрез с корпоративными задачами

"твой" девайс /= "корпоративный" девайс, поэтому при внедрении MDM необходимо предоставлять сотрудникам устройства от компании. Ставить на свой личный телефон шпионскую софтину, "льющую непрерывный поток телеметрии"… ну это такое себе.

При использовании BYOD в ИТ-отделе компании не держат пистолет у виска пользователя, вынуждая его установить агент управления на свое личное устройство. Хотите быть мобильным и иметь доступ к ресурсам компании — можете установить. Не хотите доступ- не устанавливайте. К слову, при подключении личного телефона к EAS (Exchange Active Sync) администратор почтовой системы имеет право вайпнтуть вам устройство.
Хотите быть мобильным и иметь доступ к ресурсам компании

Не так. Если необходимо, чтобы сотрудник был мобильным и доступным 24х7 — выдайте ему конторский телефон (пусть даже с MDM, ничего против не имею в данном случае и даже одобряю), и не забудьте включить ему в заработную плату компенсацию за нахождение в stand-by режиме "ожидания звонка".


Хотя я вообще не особо одобряю весь этот BYOD, во-первых, из-за вот этих вот MDM-ов на личных устройствах, а во-вторых, работодатель обеспечивает рабочее место и инструменты. Если телефон необходим для работы — его надо выдать. Точно так же, как стол, стул и что там еще нужно.

Технология Android for Enterprise позволяет отделить личное пространство пользователя от рабочего (Work managed profile), можно прочитать здесь: www.android.com/intl/ru_ru/enterprise/management

А вот исходя из этой статьи developers.google.com/android/work/device-admin-deprecation получается, что в новой версии Android управлять устройством можно будет только при интеграции MDM системы с Android for Work. Список одобренных MDM систем можно найти тут: androidenterprisepartners.withgoogle.com/emm/?_ga=2.184586537.163353914.1570094274-1958348971.1565249398

Представим себе разработчика или целую команду разработчиков с личными устройтсвами, например, Mac+ iPhone+свой appleid. У них вся жизнь на этих устройствах и вам нужно организовать им доступ к необходимым ресурсам. Кроме того, они вне офиса и работают в разных уголках России. Как в таком случае действовать и защитить корпоративные данные на таких устройствах без UEM?
Можно представить сценарий, где разработчику предлагают выбор или он работает строго на рабочем месте и строго в рабочее время или когда и где ему удобно, но BYOD+MDM. Выбор каждый делает сам.

Напоминает какую-то поговорку про два стула. Или MDM должен быть корректным и в случае ахтунга вайпать только корпоративные материалы и доступы, а не всё устройство целиком, или таки контора должна понять, что удалёнщику точно так же нужно выдавать технику, как и обычному сотруднику со столом и стулом в кабинете.


Upd: ниже подсказывают, что в андроиде именно так грамотно и сделано — отдельно корпоративная область, отдельно личная. В таком случае и правда, почему бы и нет?

В таком случае и правда, почему бы и нет?

Два телефона — рабочий, пусть даже с MDM и личный, куда работодателю доступа нет никакого — куда надежнее. Кроме того, внедрение описанных в статье систем должно быть оправдано — то есть действительно должны быть какие-то корпоративные секреты и sensitive data, а не просто желание генерального директора и дядек из "службы безопасности", которым тупо понравилась идея, что "у нас все теперь под колпаком". Что охранять у описанной выше распределенной команды стартаперов? Код очередной мобильной игрушки или очередного что-нибудь-as-a-service? Ну такое, в общем.
Я понимаю, что я немного утрировал, но хотелось донести мысль, что MDM оружие очень острое и применять его необходимо строго по назначению, а не для игр в Большого Брата.

НЛО прилетело и опубликовало эту надпись здесь
Ну это решается элементарно запретом на деплой в пятницу. У нас прямого запрета нет, но так как никто не ждет что разработчик в свободное время будет доступен, то никто и не льет перед выходными.
НЛО прилетело и опубликовало эту надпись здесь
Грустно тогда. Но я в таком случае просто бы договорился о выходных не в выходные. Есть конечно в таком решении недостатки, социолизироваться с кем-то кроме коллег сложнее, но в целом — замечательный вариант, я давно думаю о таком договориться все-таки.
Можно накатить условный Nine и тогда вайпаться будет только почта, а не весь телефон (там есть настройка зоны доступа для актив синка со стороны клиента)

Чтобы не вайпнули весь девайс, есть рабочий профиль, для которого идут свои приложения под рабочий аккаунт. Профиль можно включать и выключать по желанию (например в нерабочее время). Единственный минус — администратор может задать параноидальные меры безопасности для всего устройства (вводить пароль на каждую разблокировку экрана, пин не подходит) что отобьёт всё желание использовать это.

Самое забавное с этими вайпами то, что если ты уехал в отпуск без интернета, а в это время вышло критическое обновление, но ты его не установил в течении некоторого времени — получай чистый телефон

Интересная статья, мы как раз разворачиваем MDM в нашей конторе. Много времени уходит на позитивную пропаганду среди пользователей BYOD. Да, мы можем удаленно обнулить ваш телефон и нет — мы не можем читать ваши смс.

О, хорошая идея, прям в заголовок поднимем, тоже устали пояснять.
Немного неправильно подняли.
«Не читаем» != "не можем читать".
Или так и было задумано?
А почему не можете читать SMS?

Я через MDM на андроидах через remote control могу делать всё, что может делать пользователь. Пользователь даже не узнает, что я подключился и вижу содержимое его экрана.

Или это фишка новых версий Андроида, с разделением на личное и рабочее пространство, без доступа MDM к личному разделу?

Политика компании такова, что все телефоны и планшеты регистрируются в BYOD режиме. Андроиды — AfW, vendor managed, Apple так же, никакого DEP. DEP enrolled у нас только айпады в переговорных.
MDM ещё толком не развернут, поэтому гайки закручивать рано. Задача минимум на текущий момент — принудительное наличие пинкода (да, у нас была пара товарищей не на последних должностях, которым не нравились пинкоды или разблокировка отпечатком пальца ибо неудобно).
Следующий шаг это пряник в виде автоматической аутентификации WiFi, а кнут — ограничения доступа к корпоративным ресурсам, системам и т.д. устройствам вне MDM. Ну и прочая авторизация с блекджеком и сертификатами.

Всё верно, это фишка Android. Согласно данному документу при использовании Remote Manager (a.k.a. Workspace ONE Assist) мы можем удаленно подключаться только к корпоративной области устройства.
Эх, как классно это все выглядит в статье, и как грустно изнутри :)
Идея и сам посыл — великолепны. А вот реализация как всегда…

Очень хорошо знаком с AirWatch, их SDK и их технической поддержкой.
Если в вашей компании разрабатываются внутрикорпоративные мобильные приложения, то разработчиков ждет море развлечений :)

Из любимого:

1. Обновилась мажорная версия SDK AW.
Взяли в работу, обновляем приложухи. Для Android толстый гайд по переходу на новую версию. Для iOS гайд весьма скуден:
«Удалите старую SDK из проекта.
Импортируйте новую SDK.
Устраните все возникшие ошибки.»
Ну супер, да.
/Хотя, стоит отдать должное, реализация SDK для iOS в разы понятнее и удобнее чем для Android./

2. Жалоба работников склада (планшет на Android + наше приложение + сканер ШК):
В новой версии приложения, при сканировании data-matrix кодов (около 150 символов информации), все жутко тормозит и можно увидеть как в поле ввода возникают символы, как будто их вводят руками. В то время как раньше сразу возникала вся строка.
Странно, подумали мы. Ничего ж не трогали.
Ну ок, лезем разбираться. Долгую историю поисков, декомпиляции исходников и прочее пропущу, сразу к сути.
В новой версии SDK, изменилась работа с продлением сессии SSO. Теперь софт регистрирует каждую интеракцию пользователя с устройством. Ну ок, нам как-бы все равно. Проблема в том, что не предусмотрено никакого таймаута. Т.е. если с устройства ввода летит 150 событий (сканер эмулирует ввод с клавиатуры) с миллисекундными интервалами, то 150 раз вызывается функция с логикой обработки события и продления сессии SSO.
Благо не слишком глубоко зарыто было. Удалось унаследоваться, переопределить метод и переписать логику.

3. Приложение проходит аудит информационной безопасности.
Сотрудник ИБ (ИБ): В реализации ошибки. Я в консоли запрещаю устройству 3G, а оно продолжает его использовать.
Разработчик (Р), глядя в дебаг: Ну обновленный профиль от сервера не приходил и не приходит. Я то тут при чем? Задайте вопрос вендору (AirWatch).
ИБ: Мое дело проверить и указать на проблемы. Ваше дело реализовать функционал, согласно регламенту ИБ. Если не можете — не реализовывайте, тогда в прод не пойдете.
Р: Ок, пойду с админами сочинять письмо вендору.
/ Ставим тикет в ТП AW, через время его принимают, нас 40 раз пинают через разные линии поддержки, наконец попадается компетентный товарищ /
Сотрудник ТП AW (ТП): Все работает корректно (by design). Профиль приложения спускается на устройство один раз, при установке приложения.
Р: Эээ… Странно… Ну ок, спасибо.
/ Сообщаем ответ ТП, сотрудникам ИБ /
ИБ: Ваше дело реализовать функционал, согласно регламенту ИБ. Если не можете — не реализовывайте, тогда в прод не пойдете.
/ Отлично. Читаем мануалы, находим обрывки знаний, пишем в ТП /
Р: Ребята! Что нам делать-то? Как реагировать на изменения профиля?
ТП: Ну вы можете осуществлять сетевые запросы к серверу AW, и получать профиль.
Р: Блин, ну ок, будем пробовать.

Пробуем, да, профиль получить можно. Но только через MAG (что-то типа VPN тоннеля, между клиентом AW и сервером AW, для доступа внутрь защищенного контура сети). А MAG не везде используется и работать начинает только после получения профиля. Реализация получилась крайне интересная и костыльная. Но рабочая :)

Этот список можно дополнять бесконечно. Жесткие корпоративные регламенты ИБ, которые не так просто изменить. Очень тяжелая в общении техподдержка. Множество проблемных кейсов, которые не воспроизведешь в тестовом окружении. Очень скудная документация.

Но, с другой стороны, ситуация постепенно выправляется, хотя и очень неспешно :)
В свежих версиях завозят новые проблемы, но старых проблем исправляют больше, чем создают.
Почему то было предположение что здесь вас встречу.) Я вижу нам еще повезло.
У вас там, помнится, своя засада была тогда))
Но в целом, со временем, мы научились со всем этим жить и даже штатная градация трудоемкости интеграции приложения с AW (с нуля) появились, а-ля:
— Senior Mobile Developer: 16 часов
— Middle Mobile Developer: 40 часов
— Junior Mobile Developer: 80 часов
2. Не встречал у заказчиков разрабов, которые были бы довольны какими-либо SDK или «О ужас! Не дай Бог», «обёртыванием» их приложения, однако, всё в итоге у них получалось.

3. Странно, что вам не помогали специалисты из компании, которая вам внедряла MDM. Я вот всё время на связи и постоянно консультирую коллег по вопросам связанным с МDM.

P.S. Если вы до сих пор используете MAG и AirWatch- срочно обновляйтесь.

Airwatch уже давно Workspace ONE, а MAG теперь это виртуальный апплаенс VMWare UAG.
Airwatch уже давно Workspace ONE, а MAG теперь это виртуальный апплаенс VMWare UAG.

Знаю, я консерватор и для меня он уже так и останется AW.
Я даже Теле2 читаю как «телету» по привычке, а у них только произношение поменялось :)

2 — в целом так и есть :)
3 — Собственно внедрял MDM нам непосредственно вендор, т.е. сам AirWatch. Может быть сейчас качество ТП улучшилось, я уже год как не связан больше с кровавым энтерпрайзом, поэтому не в курсе.

Какая версия, кстати, Android AW SDK сейчас? Я ушел на 17.6.1, а начинали мы с 15.1, кажется.
Нормально, 18ю версию я успел увидеть, но плотно не щупал.
НЛО прилетело и опубликовало эту надпись здесь
Вот эти 2 скрина показывают, что всё на совести компании в которой внедрен MDM.




Администратор системы может отключить, например, GPS -треккинг для личных устройств.

Есть политики компании связанные с данными этой самой компании и все ее сотрудники должны этой самой политики придерживаться. Не хочешь использовать — удаляй агента, когда уходишь с работы.
У меня одного проблемы с этим интерфейсом?
скрин
image

Темное это переключатель вкл или выкл?
Если рассуждать по строке Icon Size, темное — это значит выбранная опция. Хорошо, что на этой вкладке есть параметр с тремя позициями.
Но ведь кнопка Close тоже темная, значит ли это, что она нажата…
EMM SafePhone от НИИ СОКБ предоставляет сертифицированные решения для безопасной передачи голоса и сообщений с шифрованием и возможностью записи.

У SafePhone есть расширение "Защищённые коммуникации" для VoIP-телефонии и обмена сообщениями, ссылка. В нём есть шифрование, но нет записи переговоров. Это важно не меньше, чем нечтение SMS. Ещё лет 5 назад люди так боялись MDM, что после работы вынимали аккумуляторы или клали корпоративные телефоны в сейф. Самое сложное, но необходимое — убедить пользователей, что EMM нужен не для того, чтобы подсматривать и вторгаться в личную жизнь, а для того, чтобы обеспечить удобный доступ к сервисам.

Даже самые ответственные люди иногда отдыхают. И, как нередко это бывает, они забывают рюкзаки, ноутбуки и мобильные телефоны в кафе и барах.

Следующий вопрос: они знают, что идут в бар; знают, что обычно происходит в барах; нах зачем они берут с собой рюкзаки, ноутбуки и далее по списку???


Мало таким в детстве надавали живительных трындюлей, мало...

Многие прям с работы идут. Но вообще, согласен.
Многие прям с работы идут

Ну так зайди с работы домой, оставь там рюкзак-ноутбук, и иди гудеть себе по барам хоть до второго пришествия. Есть такое слово — ответственность...

Для многих «зайти после работы домой» — это час дороги, а то и два, в одну сторону. Понятно, что вы можете возразить что так быть не должно, но увы.
  1. Шифруйте диски/иные носители, чтобы без пароля ноутбук превращался в тыкву.
  2. Оставляйте ноутбук в офисе, если идёте бухать в бар (если сопрут оттуда — не Ваша вина).
  3. Бухайте Идите в бар в субботу/воскресенье.
  4. ???
  5. PROFIT!

"Желающий — ищет возможности. Нежелающий — ищет причины."

1. Если я сам зашифрую диск ноута и не смогу его расшифровать, (по любой причине: забыл пароль, драйвер шифрования криво обновился, батарейка неудачно села, не важно) то огребу люлей. Если же диск был зашифрован админом, то этого не произойдёт, потому что у админа было и время, и квалификация подумать как сделать так, чтобы диск расшифровывался, а если вдруг все равно нет, то были бы бэкапы. А мне, сотруднику, надо финансовый отчёт составлять, а не драйвера тестировать.

2. Ноутбук нужен, в основном, для того, чтобы в субботу можно было доделать и отправить этот чертов отчет, а если он остался в офисе то от него никакого толка нет.

3. Можно и дома бухнуть, в полной безопасности и с ноутом, но коллеги собираются вечером в пятницу после работы. Кто-то идёт с ними, кто-то идёт домой. Кто-то едет в командировку и там его грабят, всего не предусмотришь.

5. Централизованные технические решения надежней, чем полагаться на ответственность и компетенции в информационной безопасности каждого отдельного сотрудника.

Скажите это генеральному.

А что, у Вас контора такая маленькая, что генеральный занимается не генеральством, а и IT-отделом? Тогда откуда у неё деньги на ноутбуки?

Когда работа и дом находятся на определенном удалении, то нереализуемо. Я живу в 100км от работы, поэтому приходится таскать рюкзак с собой. Правда я ни разу не забывал, тьфу-тьфу-тьфу.

Например, в командировке в баре можно коротать время до автобуса/поезда/самолёта домой.
Там уж про себе может быть много чего.

О, какая интересная тема.
А может кто-то подсказать, как бороть через их (Workspace ONE) ТП нерешающиеся месяцами проблемы?
Из последний примеров.
1. вся эта монструозная конструкция отчего-то при синхронизации с ФВ воспринимает пользователя и ровно того же пользователя но с уже установленным менеджером — разными сущностями и задваивает аккаунты. Из-за этого профили прилетают на задваивающийся аккаунт. Проблема всплыла, когда для некоторых новых пользователй руководитель прокачивался после синхронизаци AD с MDM. Просто Re-enroll не помогал.
2. Постоянно приходится пушить пару профилей при любых изменениях с пользователем, Active-Sync и еще один для VPN и локальная наша ТП это делает вручную. Подскажите, там есть какое-нибудь вменяемое API, чтобы эти вещи отслеживать и автоматизировать?
Подскажите номер тикета в ТП. API List можно найти по ссылке: https:///api/help
https://< FQDN вашего WS1>/api/help
Спасибо за ответ. Выяснилось, что тикета в техподдержку Workspace ONE и не было! Есть тикет в нашу поддержку (аутсорсят тут одни), но те дальше не эскалировали… Постараюсь дожать на следующем новом пользователе.
И за ссылку на api/help спасибо, вижу, буду читать.

В 2022 году закончились импортные MDM-решения для РФ, остался только SafePhone.
Удивительно, что как-то мимо меня он прошел (или я мимо него прошел :).
Надо теперь как-то познакомиться с ним поближе, не смотря на то, что бесплатный недо-MDM от Apple - Profile Manager, а также ABM пока еще работают (ABM был зареген на зарубежную компанию, входящую в группу компаний).

Зарегистрируйтесь на Хабре , чтобы оставить комментарий