Motivation

When using mobile devices, data of all kinds is accessed. Data protection conformity must be guaranteed. A distinction is made between company-owned devices, so-called "corporate owned devices" (COD) and user-owned devices, so-called "bring your own devices" (BYOD). For both types of use, the manufacturers of the mobile device operating systems iOS and Android now offer their own technologies for data separation. In the following, these "on-board means" and their implementation in Relution are described in detail.


iOS - Dispositivi di proprietà dell'azienda

Differenziazione gestita / non gestita

Poiché iOS12 Apple distingue fondamentalmente tra "gestito" e "non gestito" per i seguenti oggetti:

Dispositivi gestiti Dispositivi non gestiti
Applicazioni spinto da Relution o installato tramite Relution Enterprise Appstore, server configurabile installato dall'utente dall'Apple AppStore, non configurabile dal server
Conti Corrispondenza configurato da Relution tramite una policy configurato sul dispositivo dall'utente
Contatti caricato dall'account di posta elettronica gestito al dispositivo (sincronizzato) creato dall'utente
Documentazione caricato dall'account di posta elettronica gestito al dispositivo (sincronizzato) generato dall'utente in app non gestite o ricevuto in account di posta non gestiti


Un'app non gestita può essere convertita in un'app gestita da Relution. Essa sostituisce l'app non gestita con lo stesso nome sul dispositivo. Tuttavia, gli account di posta, i contatti e i documenti non gestiti non possono essere trasferiti in Managed App.


Restrizioni di accesso

In iOS, i dati sono separati sul lato del sistema tramite una policy che consente di impostare se l'accesso ai dati gestiti da app non gestite deve essere consentito o meno. A questo scopo, la configurazione "Restrizioni" come parte di una policy in Relution offre le seguenti opzioni di restrizione

  • Vietare l'apertura di documenti gestiti in app non gestite
  • Consentire l'apertura di documenti non gestiti nelle applicazioni gestite
  • Negare alle applicazioni non gestite l'accesso ai contatti gestiti
  • Consentire l'apertura di documenti non gestiti nelle applicazioni gestite
  • Consentire alle applicazioni gestite di scrivere contatti non gestiti
  • Considerare generalmente gli obiettivi di AirDrop come non gestiti
  • Vietare lo spostamento di posta elettronica verso account di posta non gestiti

Ad esempio si può evitare quanto segue:

  • Un'applicazione privata (ad es. WhatsApp) che vede contatti commerciali (Exchange)
  • La posta commerciale viene inoltrata a piacere
  • L'allegato di una mail aziendale viene aperto in qualsiasi app (ad es. Dropbox)


Restrizioni iCloud

Per evitare il deflusso incontrollato di dati, Relution offre la possibilità di vietare o almeno di limitare completamente i conti cloud. Le seguenti funzioni possono essere disattivate:

  • Backup iCloud
  • Sincronizzazione portachiavi iCloud
  • Consentire alle applicazioni gestite di memorizzare i dati in iCloud
  • Salvare le foto in iCloud
  • Sincronizzazione dei documenti iCloud


Restrizioni funzionali

Infine, ci sono alcune funzioni del sistema iOS che possono essere considerate secondo i criteri di sicurezza dei dati e possono anche essere disattivate per restrizione:

  • App Block-/Allowlisting
  • Web-URL Block-/Allowlisting
  • AirDrop (può essere spento completamente)
  • Condividi la password
  • Accesso ad Apple AppStore
  • Schermate e registrazioni
  • Telecamera (può essere spenta completamente, anche per funzioni in-app)
  • Creazione e modifica di account (Mail, Apple IDs)
  • Bluetooth
  • Installazione di profili VPN
  • Collegamenti USB

Via VPN app

Come importante misura di protezione dei dati, iOS offre la possibilità di collegare in modo permanente la connessione dati delle applicazioni a una connessione VPN, che a sua volta può essere riconfigurata dal server Relution. In questo modo si garantisce che determinate app funzionino solo sulla rete aziendale e che sia impedito l'accesso esterno (solo Intranet).


iOS - Portate i vostri dispositivi

Fino a iOS 12, era comune utilizzare un'app contenitore sui dispositivi iOS BYOD che poteva essere configurata sul lato server e quindi garantiva una separazione dei dati aziendali e privati.

Nel frattempo, però, iOS offre una "soluzione contenitore" integrata per separare le applicazioni e i dati aziendali da quelli privati. A tal fine, un dispositivo iOS viene aggiunto a Relution tramite un'iscrizione (BYOD) nell'inventario. Questo installa un profilo MDM sul dispositivo, permettendogli di essere gestito tramite Relution. Tecnicamente, si fa poi una distinzione tra app e contenuti "gestiti" e "non gestiti". Questo trasforma il dispositivo iOS in un dispositivo a "doppia persona" e separa completamente i dati. Le restrizioni possono anche essere utilizzate per controllare se i dati possono essere condivisi tra app "gestite" e "non gestite".

Varie configurazioni possono essere caricate sulle unità e gestite tramite Relution:

  • Applicazioni
  • Configurazione VPN
  • Note (altre applicazioni di sistema seguiranno nelle future versioni di iOS)
  • Conto iCloud
  • Portachiavi
  • Conti postali / allegati
  • Conti di calandratura / allegati

Se il profilo MDM viene rimosso, tutte le app e i contenuti gestiti vengono eliminati. Questa azione può essere fatta tramite la reluzione o sul dispositivo stesso.

Android - Dispositivi di proprietà dell'azienda

Da Android 9: Android Enterprise Enrollment (gestione completa del dispositivo)

Da Relution 5 in poi, l'iscrizione di Android Enterprise come dispositivo completamente gestito (proprietario del dispositivo) è diventata sempre più comune nella gestione dei dispositivi Android in Relution. Le funzioni MDM sono integrate e standardizzate nel sistema operativo. Questo permette una funzionalità MDM uniforme e largamente indipendente dal produttore sulla piattaforma Android. Le funzioni di Android Enterprise sono disponibili solo per i dispositivi certificati. I dispositivi Samsung possono essere amministrati e protetti ancora di più grazie alle funzioni KNOX. La Relution Client App non è più necessaria per l'iscrizione di Android Enterprise. Inoltre, la classica iscrizione come "Amministratore del dispositivo" è ancora disponibile. In questo caso, la Relution Client App riceve diritti speciali sul dispositivo in modo da poter eseguire le funzioni MDM. Con questo tipo di iscrizione, tuttavia, le possibilità di intervento MDM sono fortemente dipendenti dal dispositivo Android utilizzato. Una vasta gamma di configurazioni e funzioni sono disponibili per la gestione dei dispositivi Android:

  • Installazione e configurazione di applicazioni (ad esempio il client Exchange)
  • Managed Google Play Store
  • Configurazione WLAN e VPN
  • Registrazione completamente automatica dei dispositivi (KNOX Mobile Enrollment)


Android - Porta i tuoi dispositivi

"Iscrizione al "Profilo di lavoro

Android Enterprise offre anche il cosiddetto "profilo di lavoro", che è destinato ai dispositivi privati e imposta un contenitore ("lavoro") sul dispositivo che può essere gestito da Relution. Questo contenitore contiene un "Managed Play Store" che fornisce solo app approvate per l'installazione. L'installazione di applicazioni dal "Managed Google Play Store" è possibile senza un account Google locale. Inoltre, le app possono essere configurate tramite Relution, a condizione che una "Managed App Configuration" sia supportata dalla rispettiva app (ad esempio un'app di posta elettronica con un indirizzo server e un ID utente predefiniti). Il contenitore può anche contenere la propria rubrica per separare i contatti aziendali da quelli privati.

Relution non può influenzare nulla al di fuori del contenitore ("Personal"), per esempio, il dispositivo non può essere resettato o bloccato. Tuttavia, il contenitore può essere rimosso tramite Relution, che poi cancella tutti i dati in esso contenuti.

Relution supporta il profilo di lavoro in un'organizzazione parallelamente alla gestione completa dei dispositivi di Android Enterprise e la classica iscrizione come amministratore di sistema. In Relution, il funzionamento misto con diversi dispositivi è quindi possibile.

Restrizioni funzionali

Inoltre, le seguenti funzioni nel contenitore "Work" possono anche essere disattivate per restrizione:

  • App Block-/ Allowlisting
  • Creare nuovi utenti e profili
  • Aggiunta e rimozione di conti
  • Installare le applicazioni
  • Disinstallare le applicazioni
  • Usa la macchina fotografica
  • Prendere screenshot
  • Configurazione e utilizzo di Bluetooth
  • Condividere i contatti via Bluetooth
  • Configurare la rete mobile
  • Configurare VPN
  • Configurare le reti Wi-Fi predefinite
  • Utilizzare Android Beam (NFC) per condividere i dati dell'applicazione
  • Integrare supporti fisici esterni
  • Trasferimento di file via USB

Summary

Nelle loro versioni attuali Android e iOS offrono ampie possibilità di utilizzo sicuro, compresa la separazione dei dati aziendali e privati. Queste possibilità vengono ulteriormente ampliate ad ogni nuova versione del sistema operativo. Così, il classico contenitore basato su app è diventato obsoleto in quanto non consente una separazione così rigida a livello di sistema (ad es. nessun file system proprio) e presenta evidenti svantaggi rispetto alla separazione dei dati dal lato del sistema operativo, sia dal punto di vista dei costi che da quello dell'usabilità.

Gestione dei dispositivi mobili e delle applicazioni con Relution

Gratuito per un massimo di 5 dispositivi e 5 applicazioni per sempre. Non sono richieste informazioni sul pagamento.