Insight17.03.2021

Separación de datos en dispositivos de empresa (Corporate Owned) y dispositivos del usuario (Bring Your Own Device)

Motivación de la separación de datos

Cuando se utilizan dispositivos móviles, se accede a todo tipo de datos. Debe garantizarse la conformidad de la protección de datos. Se hace una distinción entre los dispositivos propiedad de la empresa, los llamados "Corporate Owned Devices" (COD) y los dispositivos propiedad del usuario, los llamados "Bring Your Own Device" (BYOD). Para ambos tipos de uso, los fabricantes de los sistemas operativos para dispositivos móviles iOS y Android ofrecen ahora sus propias tecnologías para la separación de datos. A continuación se describen detalladamente estos "medios de a bordo" y su implementación en Relution.

iOS - Corporate Owned Devices

Diferenciación gestionada / no gestionada

Desde el iOS12 Apple básicamente distingue entre "administrado" y "no administrado" para los siguientes objetos:

Dispositivos administrados

Apps - empujado por Relution o instalado a través de la Appstore de Relution Enterprise, servidor configurable
Cuentas de correo - configurado por Relution a través de una política
Contactos - cargado desde la cuenta de correo administrada al dispositivo (sincronizado)
Documentos - cargado desde la cuenta de correo administrada al dispositivo (sincronizado)

Dispositivos no administrados

Apps - instalado por el usuario desde la AppStore de Apple, no configurable por el servidor
Cuentas de correo - configurado en el dispositivo por el usuario
Contactos - creado por el usuario
Documentos - generados por el usuario en Apps no gestionadas o recibidos en cuentas de correo no gestionadas

Una App no gestionada puede convertirse en una App gestionada al ser empujado por Relution de nuevo. Reemplaza la App no administrada del mismo nombre en el dispositivo. Sin embargo, las cuentas de correo, contactos y documentos no administrados no pueden ser transferidos a los administrados.

Restricciones de acceso

En iOS, los datos se separan del lado del sistema mediante una política que permite establecer si se debe permitir o no el acceso a los datos gestionados desde Apps no gestionadas. Para ello, la configuración "Restricciones" como parte de una política en Relution ofrece las siguientes opciones de restricción:

Prohibir la apertura de documentos gestionados en Apps no gestionadas
Permitir la apertura de documentos no gestionados en Apps gestionadas
Denegar a las Apps no gestionadas el acceso a los contactos gestionados
Permitir la apertura de documentos no gestionados en Apps gestionadas
Permitir que las Apps administradas escriban contactos no administrados
En general, considere los objetivos de AirDrop como no manejados
Prohibir el traslado de correos a cuentas de correo no gestionadas

Por ejemplo, se puede prevenir lo siguiente:

Una App privada (por ejemplo, WhatsApp) que ve los contactos de negocios (Exchange)
Un correo comercial se reenvía a voluntad
El archivo adjunto de un correo comercial se abre en cualquier App (por ejemplo, Dropbox)

Restricciones de iCloud

Para evitar la salida incontrolada de datos, Relution ofrece la posibilidad de prohibir o al menos restringir completamente las cuentas en la nube. Las siguientes funciones pueden ser desactivadas:

Copias de seguridad de iCloud
Sincronización del llavero iCloud
Permitir que las Apps gestionadas almacenen datos en iCloud
Guardar fotos en iCloud
Sincronización de los documentos de iCloud

Restricciones funcionales

Por último, hay algunas funciones del sistema iOS que pueden considerarse con arreglo a los criterios de seguridad de los datos y que también pueden desactivarse por restricción:

La lista de Apps en blanco y negro
Web-URL Lista en blanco y negro
AirDrop (se puede apagar completamente)
Compartir la contraseña
Acceso a la AppStore de Apple
Capturas de pantalla y grabaciones
Cámara (se puede apagar completamente, también para las funciones in-app)
Creación y modificación de cuentas (Mail, ID de Apple)
Bluetooth
Instalación de perfiles VPN
Conexiones USB

A través de la Apps VPN

Como una importante medida de protección de datos, el iOS ofrece la opción de acoplar permanentemente la conexión de datos de las Apps a una conexión VPN, que a su vez puede ser reconfigurada por el Relution Server. Esto garantiza que ciertas Apps sólo se ejecuten en la red propia de la empresa y que se evite el acceso externo (sólo en intranet).

iOS - Bring Your Own Device

Hasta iOS 12, era habitual utilizar una app contenedora en los dispositivos BYOD de iOS que se podía configurar en el lado del servidor y que, por tanto, garantizaba la separación de los datos empresariales y privados.

Mientras tanto, sin embargo, iOS ofrece una "solución de contenedor" integrada para separar las apps y los datos empresariales de los privados. Para ello, se añade un dispositivo iOS a Relution mediante una inscripción (BYOD) en el inventario. Esto instala un perfil MDM en el dispositivo, lo que permite gestionarlo a través de Relution. Técnicamente, se distingue entre apps y contenidos "gestionados" y "no gestionados". Esto convierte el dispositivo iOS en un dispositivo de "doble persona" y separa completamente los datos. Las restricciones también pueden utilizarse para controlar si los datos pueden ser compartidos entre apps "gestionadas" y "no gestionadas".

Se pueden cargar varias configuraciones en las unidades y gestionarlas a través de Relution:

Apps
Configuración de la VPN
Notas (en las futuras versiones de iOS habrá más apps de sistema)
Cuenta iCloud
Llavero
Cuentas de correo / archivos adjuntos
Cuentas de calendario / anexos

Si se elimina el perfil MDM, se eliminan todas las apps y contenidos gestionados. Esta acción puede realizarse a través de Relution o en el propio dispositivo.

Android - Dispositivos de propiedad corporativa

A partir de Android 9: Inscripción empresarial en Android (gestión completa de dispositivos)

Desde Relution 5 a más tardar, la inscripción de Android Enterprise como dispositivo totalmente gestionado (propietario del dispositivo) se ha vuelto cada vez más común en la gestión de dispositivos Android en Relution. Las funciones MDM están integradas y estandarizadas en el sistema operativo. Esto permite una funcionalidad MDM uniforme y en gran medida independiente del fabricante en la plataforma Android. Las funciones de Android Enterprise sólo están disponibles para los dispositivos certificados. Los dispositivos de Samsung pueden administrarse y asegurarse aún más mediante las funciones KNOX. La app Relution Client ya no es necesaria para la inscripción de Android Enterprise. Además, la inscripción clásica como "Administrador de dispositivos" sigue estando disponible. En este caso, la Relution Client App recibe derechos especiales en el dispositivo para poder ejecutar las funciones MDM. Sin embargo, con este tipo de inscripción, las posibilidades de intervención del MDM dependen en gran medida del dispositivo Android utilizado. Existe una amplia gama de configuraciones y funciones para la gestión de los dispositivos Android:

Instalación y configuración de apps (por ejemplo, cliente de Exchange)
Managed Google Play Store
Configuración de WLAN y VPN
Registro totalmente automático de los dispositivos (KNOX Mobile Enrolment)

Android - Bring Your Own Device

Inscripción del perfil de trabajo

Android Enterprise también ofrece el llamado "perfil de trabajo", que está destinado a dispositivos privados y establece un contenedor ("trabajo") en el dispositivo que puede ser gestionado por Relution. Este contenedor contiene una "Play Store gestionada" que sólo proporciona apps aprobadas para su instalación. La instalación de apps desde la "Managed Google Play Store" es posible sin una cuenta local de Google. Además, las apps pueden configurarse a través de Relution, siempre que la app respectiva admita una "configuración de app gestionada" (por ejemplo, una app de correo electrónico con una dirección de servidor y un ID de usuario predefinidos). El contenedor también puede contener su propia libreta de direcciones para separar los contactos profesionales de los privados.

Relution no puede afectar a nada fuera del contenedor ("Personal"), por ejemplo, la unidad no puede reiniciarse o bloquearse. Sin embargo, el contenedor puede ser eliminado con Relution, que borra todos los datos que contiene.

Relution apoya el perfil de trabajo en una organización en paralelo a la gestión completa de dispositivos de Android Enterprise y la inscripción clásica como administrador del sistema. Así, en Relution es posible el funcionamiento mixto con diferentes dispositivos.

Restricciones funcionales

Además, las siguientes funciones del contenedor "Work" también pueden ser desactivadas por restricción:

App Block and Allowlisting
Crear nuevos usuarios y perfiles
Añadir y quitar cuentas
Instalar aplicaciones
Desinstalar aplicaciones
Usar la cámara
Tomar fotos de la pantalla
Configuración y uso del Bluetooth
Compartir contactos a través de Bluetooth
Configurar la red móvil
Configurar VPN
Configurar las redes WiFi predeterminadas
Usar Android Beam (NFC) para compartir datos de aplicaciones
Integrar los medios físicos externos
Transferir archivos a través de USB

Resumen

En sus versiones actuales, Android e iOS ofrecen amplias posibilidades de uso seguro, incluida la separación de los datos empresariales y privados. Estas posibilidades se amplían aún más con cada nueva versión del sistema operativo.

Así, el clásico contenedor basado en aplicaciones se ha vuelto obsoleto, ya que no permite una separación tan estricta a nivel de sistema (por ejemplo, no tiene un sistema de archivos propio) y tiene claras desventajas en comparación con la separación de datos a nivel de sistema operativo, tanto desde el punto de vista de los costos como de la usabilidad.

Latest Insights

Geozonas en MDM: máximo control sobre los dispositivos móviles
10.03.2025
Geozonas en MDM: máximo control sobre los dispositivos móviles
Modo Kiosco de Relution: Gestión de dispositivos más segura y sencilla
03.02.2025
Modo Kiosco de Relution: Gestión de dispositivos más segura y sencilla
Ciberseguridad, protección de datos y soluciones innovadoras con Relution
10.01.2025
Ciberseguridad, protección de datos y soluciones innovadoras con Relution
Relution es independiente de la plataforma
03.12.2024
Relution es independiente de la plataforma
Relution como solución UEM holística para BYOD y COPE
14.11.2024
Relution como solución UEM holística para BYOD y COPE
¿Solución en la nube o local?
07.11.2024
¿Solución en la nube o local?
Resumen de la gestión de dispositivos digitales
27.09.2024
Resumen de la gestión de dispositivos digitales
MDM explicado brevemente
12.09.2024
MDM explicado brevemente
Relution Parent
01.07.2024
Relution Parent
Relution Files para iOS
12.06.2024
Relution Files para iOS