When using mobile devices, data of all kinds is accessed. Data protection conformity must be guaranteed. A distinction is made between company-owned devices, so-called "corporate owned devices" (COD) and user-owned devices, so-called "bring your own devices" (BYOD). For both types of use, the manufacturers of the mobile device operating systems iOS and Android now offer their own technologies for data separation. In the following, these "on-board means" and their implementation in Relution are described in detail.
Differenziazione gestita / non gestita
Poiché iOS12 Apple distingue fondamentalmente tra "gestito" e "non gestito" per i seguenti oggetti:
| Dispositivi gestiti | Dispositivi non gestiti | |
|---|---|---|
| Applicazioni | spinto da Relution o installato tramite Relution Enterprise Appstore, server configurabile | installato dall'utente dall'Apple AppStore, non configurabile dal server |
| Conti Corrispondenza | configurato da Relution tramite una policy | configurato sul dispositivo dall'utente |
| Contatti | caricato dall'account di posta elettronica gestito al dispositivo (sincronizzato) | creato dall'utente |
| Documentazione | caricato dall'account di posta elettronica gestito al dispositivo (sincronizzato) | generato dall'utente in app non gestite o ricevuto in account di posta non gestiti |
Un'app non gestita può essere convertita in un'app gestita da Relution. Essa sostituisce l'app non gestita con lo stesso nome sul dispositivo. Tuttavia, gli account di posta, i contatti e i documenti non gestiti non possono essere trasferiti in Managed App.
In iOS, i dati sono separati sul lato del sistema tramite una policy che consente di impostare se l'accesso ai dati gestiti da app non gestite deve essere consentito o meno. A questo scopo, la configurazione "Restrizioni" come parte di una policy in Relution offre le seguenti opzioni di restrizione
Ad esempio si può evitare quanto segue:
Per evitare il deflusso incontrollato di dati, Relution offre la possibilità di vietare o almeno di limitare completamente i conti cloud. Le seguenti funzioni possono essere disattivate:
Infine, ci sono alcune funzioni del sistema iOS che possono essere considerate secondo i criteri di sicurezza dei dati e possono anche essere disattivate per restrizione:
Come importante misura di protezione dei dati, iOS offre la possibilità di collegare in modo permanente la connessione dati delle applicazioni a una connessione VPN, che a sua volta può essere riconfigurata dal server Relution. In questo modo si garantisce che determinate app funzionino solo sulla rete aziendale e che sia impedito l'accesso esterno (solo Intranet).
Finora era comune l'utilizzo di un'applicazione container su dispositivi iOS-BYOD, che poteva essere configurata sul lato server e quindi garantiva una separazione tra dati aziendali e privati.
Tuttavia, a partire da iOS13, iOS ha fornito un contenitore integrato per le applicazioni e i dati aziendali, che viene portato al dispositivo tramite l'iscrizione degli utenti tramite Relution. Questo trasforma il dispositivo iOS in un dispositivo "dual persona", cioè l'area del contenitore e il resto del dispositivo sono completamente separati. Tecnicamente questa separazione avviene anche a livello di filesystem, cioè c'è un volume APFS separato con una propria cifratura per il contenitore.
Questo volume può contenere vari componenti, che vengono gestiti indipendentemente dal resto dell'iOS tramite Relution:
Se il contenitore viene rimosso (può essere fatto da Relution o sul dispositivo stesso), l'intero volume viene cancellato.
Fino ad Android 10: Iscrizione Amministratore di sistema
Finora, la classica iscrizione come 'Amministratore di sistema' è stata utilizzata principalmente per l'amministrazione di dispositivi Android in Relution. Ciò significa che la Relution Client App ottiene diritti speciali sul dispositivo per eseguire le funzioni MDM. Con questo tipo di iscrizione, le possibilità di intervento MDM dipendono fortemente dal dispositivo Android utilizzato. Samsung offre qui la maggior parte delle funzioni con la sua interfaccia KNOX; i dispositivi di tutti gli altri produttori Android possono essere configurati solo in modo molto rudimentale tramite MDM. Ad esempio, solo Samsung offre le seguenti opzioni:
Con Android Enterprise, Google ha pubblicato un proprio stack MDM che, a differenza dell'iscrizione come amministratore di sistema, non lascia più l'implementazione delle funzioni MDM all'applicazione client, ma le rende disponibili nel sistema operativo. Per la prima volta, ciò consente una funzionalità MDM uniforme e indipendente dal produttore sulla piattaforma Android. La modalità Full Device Mode sostituirà a medio termine l'iscrizione dell'amministratore di sistema. Android 10 è la prima versione Android in cui la Modalità Dispositivo Completo sarà il metodo di iscrizione preferito da Google.
Android Enterprise offre il cosiddetto "Work Profile Enrollment", che è destinato ai dispositivi dei dipendenti e comprende un contenitore ("Lavoro") sul dispositivo, che può essere gestito da Relution. Questo contenitore contiene un "Managed Play Store", ossia un App Store di proprietà dell'azienda che consente di scaricare applicazioni dal Google Play Store nel contenitore senza avere un account Google locale e di configurarlo anche tramite Relution (ad es. un client di posta elettronica con un determinato indirizzo del server e un'identificazione dell'utente). Il contenitore può anche contenere una propria rubrica per separare i contatti commerciali da quelli privati.
Tutto ciò che si trova al di fuori del contenitore ("Personale") non può essere influenzato da Relution, ad esempio, l'apparecchio non può essere resettato o bloccato. Tuttavia, il contenitore può essere rimosso tramite Relution, che cancellerà tutti i dati in esso contenuti.
Relution supporta l'iscrizione al profilo di lavoro in parallelo all'iscrizione dell'amministratore di sistema, in modo da poter combinare le due cose.
Inoltre, le seguenti funzioni nel contenitore "Work" possono anche essere disattivate per restrizione:
Nelle loro versioni attuali Android e iOS offrono ampie possibilità di utilizzo sicuro, compresa la separazione dei dati aziendali e privati. Queste possibilità vengono ulteriormente ampliate ad ogni nuova versione del sistema operativo. Così, il classico contenitore basato su app è diventato obsoleto in quanto non consente una separazione così rigida a livello di sistema (ad es. nessun file system proprio) e presenta evidenti svantaggi rispetto alla separazione dei dati dal lato del sistema operativo, sia dal punto di vista dei costi che da quello dell'usabilità.
Gratuito per un massimo di 5 dispositivi e 5 applicazioni per sempre. Non sono richieste informazioni sul pagamento.