Cuando se utilizan dispositivos móviles, se accede a todo tipo de datos. Debe garantizarse la conformidad de la protección de datos. Se hace una distinción entre los dispositivos propiedad de la empresa, los llamados "dispositivos propiedad de la empresa" (COD) y los dispositivos propiedad del usuario, los llamados "traiga sus propios dispositivos" (BYOD). Para ambos tipos de uso, los fabricantes de los sistemas operativos para dispositivos móviles iOS y Android ofrecen ahora sus propias tecnologías para la separación de datos. A continuación se describen detalladamente estos "medios de a bordo" y su implementación en Relution.
Diferenciación gestionada / no gestionada
Desde el iOS12 Apple básicamente distingue entre "administrado" y "no administrado" para los siguientes objetos:
| Dispositivos administrados | Dispositivos no administrados | |
|---|---|---|
| Aplicaciones | empujado por Relution o instalado a través de la Appstore de Relution Enterprise, servidor configurable | instalado por el usuario desde la AppStore de Apple, no configurable por el servidor |
| Cuentas de correo | configurado por Relution a través de una política | configurado en el dispositivo por el usuario |
| Contactos | cargado desde la cuenta de correo administrada al dispositivo (sincronizado) | creado por el usuario |
| Documentos | cargado desde la cuenta de correo administrada al dispositivo (sincronizado) | generados por el usuario en aplicaciones no gestionadas o recibidos en cuentas de correo no gestionadas |
Una aplicación no gestionada puede convertirse en una aplicación gestionada al ser empujado por Relution de nuevo. Reemplaza la aplicación no administrada del mismo nombre en el dispositivo. Sin embargo, las cuentas de correo, contactos y documentos no administrados no pueden ser transferidos a los administrados.
En iOS, los datos se separan del lado del sistema mediante una política que permite establecer si se debe permitir o no el acceso a los datos gestionados desde aplicaciones no gestionadas. Para ello, la configuración "Restricciones" como parte de una política en Relution ofrece las siguientes opciones de restricción:
Por ejemplo, se puede prevenir lo siguiente:
Para evitar la salida incontrolada de datos, Relution ofrece la posibilidad de prohibir o al menos restringir completamente las cuentas en la nube. Las siguientes funciones pueden ser desactivadas:
Por último, hay algunas funciones del sistema iOS que pueden considerarse con arreglo a los criterios de seguridad de los datos y que también pueden desactivarse por restricción:
Como una importante medida de protección de datos, el iOS ofrece la opción de acoplar permanentemente la conexión de datos de las aplicaciones a una conexión VPN, que a su vez puede ser reconfigurada por el servidor de Relution. Esto garantiza que ciertas aplicaciones sólo se ejecuten en la red propia de la empresa y que se evite el acceso externo (sólo en intranet).
Hasta ahora era común utilizar una aplicación de contenedor en los dispositivos iOS-BYOD, que podía ser configurada en el lado del servidor y así se aseguraba la separación de los datos comerciales y privados.
Sin embargo, desde el iOS13, el iOS ha proporcionado un contenedor incorporado para aplicaciones y datos comerciales, que se lleva al dispositivo mediante la inscripción del usuario utilizando Relution. Esto convierte al dispositivo iOS en un dispositivo de "doble personalidad", es decir, el área del contenedor y el resto del dispositivo están completamente separados. Técnicamente esta separación se realiza incluso a nivel del sistema de archivos, es decir, hay un volumen APFS separado con su propio cifrado para el contenedor.
Este volumen puede contener varios componentes, que se gestionan independientemente del resto de la iOS a través de Relution:
Si se retira el contenedor (puede hacerse por medio de Relution o en el propio dispositivo), se borra todo el volumen.
Hasta Android 10: Inscripción de administrador de sistema
Hasta ahora, la inscripción clásica como "Administrador de Sistemas" se utiliza principalmente para la administración de dispositivos Android en Relution. Esto significa que la Relution Client App obtiene derechos especiales en el dispositivo para ejecutar las funciones MDM. Con este tipo de inscripción, las posibilidades de intervención de MDM dependen en gran medida del dispositivo Android utilizado. Samsung ofrece la mayoría de las funciones aquí con su interfaz KNOX; los dispositivos de todos los demás fabricantes de Android sólo pueden ser configurados muy rudimentariamente a través de MDM. Por ejemplo, sólo Samsung ofrece las siguientes opciones:
Con Android Enterprise, Google ha publicado su propia pila de MDM, que, a diferencia de la inscripción como administrador del sistema, ya no deja la implementación de las funciones de MDM a la aplicación cliente, sino que las hace disponibles en el sistema operativo. Por primera vez, esto permite una funcionalidad MDM uniforme e independiente del fabricante en la plataforma Android. El Modo de Dispositivo Completo reemplazará a la Inscripción de Administrador de Sistema a medio plazo. Android 10 es la primera versión de Android en la que el Modo Dispositivo Completo será el método preferido de inscripción de Google.
Android Enterprise ofrece la llamada "Inscripción de perfil de trabajo", que está destinada a los dispositivos de los empleados e incluye un contenedor ("Trabajo") en el dispositivo, que puede ser gestionado por Relution. Este contenedor contiene un "Managed Play Store", es decir, una App Store propiedad de la empresa que permite descargar aplicaciones de Google Play Store en el contenedor sin tener una cuenta local de Google y también configurarlo a través de Relution (por ejemplo, un cliente de correo con una dirección de servidor y una identificación de usuario determinadas). El contenedor también puede contener su propia libreta de direcciones para separar los contactos empresariales de los privados.
Todo lo que está fuera del contenedor ("Personal") no puede ser influenciado por Relution, por ejemplo, el dispositivo no puede ser reiniciado o bloqueado. Sin embargo, el contenedor puede ser removido a través de Relution, lo que eliminará todos los datos que contenga.
Relution apoya la inscripción de perfiles de trabajo en paralelo con la inscripción de administradores de sistemas, de modo que se pueden combinar las dos.
Además, las siguientes funciones del contenedor "Work" también pueden ser desactivadas por restricción:
En sus versiones actuales, Android e iOS ofrecen amplias posibilidades de uso seguro, incluida la separación de los datos empresariales y privados. Estas posibilidades se amplían aún más con cada nueva versión del sistema operativo. Así, el clásico contenedor basado en aplicaciones se ha vuelto obsoleto, ya que no permite una separación tan estricta a nivel de sistema (por ejemplo, no tiene un sistema de archivos propio) y tiene claras desventajas en comparación con la separación de datos a nivel de sistema operativo, tanto desde el punto de vista de los costos como de la usabilidad.
Gratis para hasta 5 dispositivos y 5 aplicaciones para siempre. No se requiere información de pago.