Motivation

When using mobile devices, data of all kinds is accessed. Data protection conformity must be guaranteed. A distinction is made between company-owned devices, so-called "corporate owned devices" (COD) and user-owned devices, so-called "bring your own devices" (BYOD). For both types of use, the manufacturers of the mobile device operating systems iOS and Android now offer their own technologies for data separation. In the following, these "on-board means" and their implementation in Relution are described in detail.


iOS - Dispositivi di proprietà dell'azienda

Differenziazione gestita / non gestita

Poiché iOS12 Apple distingue fondamentalmente tra "gestito" e "non gestito" per i seguenti oggetti:

Dispositivi gestiti Dispositivi non gestiti
Applicazioni spinto da Relution o installato tramite Relution Enterprise Appstore, server configurabile installato dall'utente dall'Apple AppStore, non configurabile dal server
Conti Corrispondenza configurato da Relution tramite una policy configurato sul dispositivo dall'utente
Contatti caricato dall'account di posta elettronica gestito al dispositivo (sincronizzato) creato dall'utente
Documentazione caricato dall'account di posta elettronica gestito al dispositivo (sincronizzato) generato dall'utente in app non gestite o ricevuto in account di posta non gestiti


Un'app non gestita può essere convertita in un'app gestita da Relution. Essa sostituisce l'app non gestita con lo stesso nome sul dispositivo. Tuttavia, gli account di posta, i contatti e i documenti non gestiti non possono essere trasferiti in Managed App.


Restrizioni di accesso

In iOS, i dati sono separati sul lato del sistema tramite una policy che consente di impostare se l'accesso ai dati gestiti da app non gestite deve essere consentito o meno. A questo scopo, la configurazione "Restrizioni" come parte di una policy in Relution offre le seguenti opzioni di restrizione

  • Vietare l'apertura di documenti gestiti in app non gestite
  • Consentire l'apertura di documenti non gestiti nelle applicazioni gestite
  • Negare alle applicazioni non gestite l'accesso ai contatti gestiti
  • Consentire l'apertura di documenti non gestiti nelle applicazioni gestite
  • Consentire alle applicazioni gestite di scrivere contatti non gestiti
  • Considerare generalmente gli obiettivi di AirDrop come non gestiti
  • Vietare lo spostamento di posta elettronica verso account di posta non gestiti

Ad esempio si può evitare quanto segue:

  • Un'applicazione privata (ad es. WhatsApp) che vede contatti commerciali (Exchange)
  • La posta commerciale viene inoltrata a piacere
  • L'allegato di una mail aziendale viene aperto in qualsiasi app (ad es. Dropbox)


Restrizioni iCloud

Per evitare il deflusso incontrollato di dati, Relution offre la possibilità di vietare o almeno di limitare completamente i conti cloud. Le seguenti funzioni possono essere disattivate:

  • Backup iCloud
  • Sincronizzazione portachiavi iCloud
  • Consentire alle applicazioni gestite di memorizzare i dati in iCloud
  • Salvare le foto in iCloud
  • Sincronizzazione dei documenti iCloud


Restrizioni funzionali

Infine, ci sono alcune funzioni del sistema iOS che possono essere considerate secondo i criteri di sicurezza dei dati e possono anche essere disattivate per restrizione:

  • App Black-/Whitelisting
  • Web-URL Black-/Whitelisting
  • AirDrop (può essere spento completamente)
  • Condividi la password
  • Accesso ad Apple AppStore
  • Schermate e registrazioni
  • Telecamera (può essere spenta completamente, anche per funzioni in-app)
  • Creazione e modifica di account (Mail, Apple IDs)
  • Bluetooth
  • Installazione di profili VPN
  • Collegamenti USB

Via VPN app

Come importante misura di protezione dei dati, iOS offre la possibilità di collegare in modo permanente la connessione dati delle applicazioni a una connessione VPN, che a sua volta può essere riconfigurata dal server Relution. In questo modo si garantisce che determinate app funzionino solo sulla rete aziendale e che sia impedito l'accesso esterno (solo Intranet).


iOS - Portate i vostri dispositivi

Finora era comune l'utilizzo di un'applicazione container su dispositivi iOS-BYOD, che poteva essere configurata sul lato server e quindi garantiva una separazione tra dati aziendali e privati.

Tuttavia, a partire da iOS13, iOS ha fornito un contenitore integrato per le applicazioni e i dati aziendali, che viene portato al dispositivo tramite l'iscrizione degli utenti tramite Relution. Questo trasforma il dispositivo iOS in un dispositivo "dual persona", cioè l'area del contenitore e il resto del dispositivo sono completamente separati. Tecnicamente questa separazione avviene anche a livello di filesystem, cioè c'è un volume APFS separato con una propria cifratura per il contenitore.

Questo volume può contenere vari componenti, che vengono gestiti indipendentemente dal resto dell'iOS tramite Relution:

  • Applicazioni
  • Configurazione VPN
  • Note (altre applicazioni di sistema seguiranno nelle future versioni di iOS)
  • Conto iCloud
  • Portachiavi
  • Conti postali / allegati
  • Conti di calandratura / allegati

Se il contenitore viene rimosso (può essere fatto da Relution o sul dispositivo stesso), l'intero volume viene cancellato.

Android - Dispositivi di proprietà dell'azienda

Fino ad Android 10: Iscrizione Amministratore di sistema

Finora, la classica iscrizione come 'Amministratore di sistema' è stata utilizzata principalmente per l'amministrazione di dispositivi Android in Relution. Ciò significa che la Relution Client App ottiene diritti speciali sul dispositivo per eseguire le funzioni MDM. Con questo tipo di iscrizione, le possibilità di intervento MDM dipendono fortemente dal dispositivo Android utilizzato. Samsung offre qui la maggior parte delle funzioni con la sua interfaccia KNOX; i dispositivi di tutti gli altri produttori Android possono essere configurati solo in modo molto rudimentale tramite MDM. Ad esempio, solo Samsung offre le seguenti opzioni:

  • Configurare il cliente di Exchange
  • Configurazione VPN
  • "Silent push" di apps dal Relution App Store senza chiedere sul dispositivo
  • Registrazione completamente automatica dei dispositivi (KNOX Mobile Enrollment)


Da Android 10: Android Enterprise Full Device Mode

Con Android Enterprise, Google ha pubblicato un proprio stack MDM che, a differenza dell'iscrizione come amministratore di sistema, non lascia più l'implementazione delle funzioni MDM all'applicazione client, ma le rende disponibili nel sistema operativo. Per la prima volta, ciò consente una funzionalità MDM uniforme e indipendente dal produttore sulla piattaforma Android. La modalità Full Device Mode sostituirà a medio termine l'iscrizione dell'amministratore di sistema. Android 10 è la prima versione Android in cui la Modalità Dispositivo Completo sarà il metodo di iscrizione preferito da Google.


Android - Porta i tuoi dispositivi

Iscrizione al profilo di lavoro

Android Enterprise offre il cosiddetto "Work Profile Enrollment", che è destinato ai dispositivi dei dipendenti e comprende un contenitore ("Lavoro") sul dispositivo, che può essere gestito da Relution. Questo contenitore contiene un "Managed Play Store", ossia un App Store di proprietà dell'azienda che consente di scaricare applicazioni dal Google Play Store nel contenitore senza avere un account Google locale e di configurarlo anche tramite Relution (ad es. un client di posta elettronica con un determinato indirizzo del server e un'identificazione dell'utente). Il contenitore può anche contenere una propria rubrica per separare i contatti commerciali da quelli privati.

Tutto ciò che si trova al di fuori del contenitore ("Personale") non può essere influenzato da Relution, ad esempio, l'apparecchio non può essere resettato o bloccato. Tuttavia, il contenitore può essere rimosso tramite Relution, che cancellerà tutti i dati in esso contenuti.

Relution supporta l'iscrizione al profilo di lavoro in parallelo all'iscrizione dell'amministratore di sistema, in modo da poter combinare le due cose.

Restrizioni funzionali

Inoltre, le seguenti funzioni nel contenitore "Work" possono anche essere disattivate per restrizione:

  • App Black-/ Whitelisting
  • Creare nuovi utenti e profili
  • Aggiunta e rimozione di conti
  • Installare le applicazioni
  • Disinstallare le applicazioni
  • Usa la macchina fotografica
  • Prendere screenshot
  • Configurazione e utilizzo di Bluetooth
  • Condividere i contatti via Bluetooth
  • Configurare la rete mobile
  • Configurare VPN
  • Configurare le reti Wi-Fi predefinite
  • Utilizzare Android Beam (NFC) per condividere i dati dell'applicazione
  • Integrare supporti fisici esterni
  • Trasferimento di file via USB

Summary

Nelle loro versioni attuali Android e iOS offrono ampie possibilità di utilizzo sicuro, compresa la separazione dei dati aziendali e privati. Queste possibilità vengono ulteriormente ampliate ad ogni nuova versione del sistema operativo. Così, il classico contenitore basato su app è diventato obsoleto in quanto non consente una separazione così rigida a livello di sistema (ad es. nessun file system proprio) e presenta evidenti svantaggi rispetto alla separazione dei dati dal lato del sistema operativo, sia dal punto di vista dei costi che da quello dell'usabilità.

Gestione dei dispositivi mobili e delle applicazioni con Relution

Gratuito per un massimo di 5 dispositivi e 5 applicazioni per sempre. Non sono richieste informazioni sul pagamento.