Homepage
Insight17.03.2021

Separazione dei dati sui dispositivi aziendali (Corporate Owned Devices) e dispositivi personali (Bring Your Own Device)

Motivazione della separazione dei dati

Quando si utilizzano dispositivi mobili, si accede a dati di ogni tipo. È necessario garantire la conformità della protezione dei dati. Si distingue tra dispositivi di proprietà dell'azienda, i cosiddetti "Corporate Owned Devices" (COD) e dispositivi di proprietà dell'utente, i cosiddetti "Bring Your Own Devices" (BYOD). Per entrambi i tipi di utilizzo, i produttori dei sistemi operativi per dispositivi mobili iOS e Android offrono ora le proprie tecnologie per la separazione dei dati. Di seguito vengono descritti in dettaglio questi "mezzi di bordo" e la loro implementazione in Relution.

iOS - Corporate Owned Devices

Differenziazione managed / unmanaged

Da iOS12 Apple distingue fondamentalmente tra "managed" e "unmanaged" per i seguenti oggetti:

Dispositivi gestiti

  1. Apps - inviate da Relution o installate tramite Relution Enterprise Appstore, configurabili dal server.
  2. Account di posta elettronica - configurato da Relution tramite un criterio
  3. Contatti - caricati dall'account di posta gestito al dispositivo (sincronizzati).
  4. Documenti - caricati dall'account di posta gestito al dispositivo (sincronizzati).

Dispositivi non gestiti

  1. Apps - installate dall'utente dall'AppStore di Apple, non configurabili dal server.
  2. Account di posta elettronica - configurato sul dispositivo dall'utente
  3. Contatti - creati dall'utente
  4. Documenti - generati dall'utente in app non gestite o ricevuti in account di posta non gestiti.

Un'app non gestita può essere convertita in un'app gestita mediante un nuovo push da parte di Relution. Essa sostituisce l'app non gestita con lo stesso nome sul dispositivo. Tuttavia, gli account di posta, i contatti e i documenti non gestiti non possono essere trasferiti a quelli gestiti.

Restrizioni di accesso

In iOS, i dati sono separati dal lato del sistema mediante un criterio che consente di stabilire se l'accesso ai dati gestiti dalle app non gestite debba essere consentito o meno. A questo scopo, la configurazione "Restrizioni" come parte di un criterio in Relution offre le seguenti opzioni di restrizione:

  • Vietare l'apertura di documenti gestiti in app non gestite
  • Consentire l'apertura di documenti non gestiti in app gestite
  • Negare alle app non gestite l'accesso ai contatti gestiti
  • Consentire l'apertura di documenti non gestiti in app gestite
  • Consentire alle app gestite di scrivere contatti non gestiti
  • Considerare in generale i target AirDrop come non gestiti
  • Vietare lo spostamento di e-mail in account di posta non gestiti.

Ad esempio, è possibile impedire quanto segue:

  • Un'app privata (ad es. WhatsApp) che vede i contatti aziendali (Exchange)
  • Un messaggio di posta elettronica aziendale viene inoltrato a piacimento
  • Un allegato di una mail aziendale viene aperto in qualsiasi app (ad es. Dropbox).

Restrizioni di iCloud

Per evitare la fuoriuscita incontrollata di dati, Relution offre la possibilità di vietare o almeno limitare completamente gli account cloud. È possibile disattivare le seguenti funzioni:

  • Backup di iCloud
  • Sincronizzazione del portachiavi iCloud
  • Consentire alle app gestite di archiviare i dati in iCloud
  • Salvataggio di foto in iCloud
  • Sincronizzazione dei documenti iCloud

Restrizioni funzionali

Infine, ci sono alcune funzioni del sistema iOS che possono essere considerate come criteri di sicurezza dei dati e possono essere disattivate tramite restrizioni:

  • Blocco App/Allegato
  • Blocco/ammissione di URL Web
  • AirDrop (può essere disattivato completamente)
  • Password di condivisione
  • Accesso all'AppStore di Apple
  • Screenshot e registrazioni
  • Fotocamera (può essere disattivata completamente, anche per le funzioni in-app)
  • Creazione e modifica di account (Mail, ID Apple)
  • Bluetooth
  • Installazione di profili VPN
  • Connessioni USB

Via app VPN

Come importante misura di protezione dei dati, iOS offre la possibilità di accoppiare permanentemente la connessione dati delle app a una connessione VPN, che a sua volta può essere riconfigurata dal server Relution. In questo modo si garantisce che determinate app vengano eseguite solo sulla rete aziendale e si impedisce l'accesso esterno (solo intranet).

iOS - Bring Your Own Device

Fino a iOS 12, era comune utilizzare un'app contenitore sui dispositivi iOS BYOD che poteva essere configurata sul lato server e quindi garantire la separazione dei dati aziendali da quelli privati.

Nel frattempo, però, iOS offre una "soluzione contenitore" integrata per separare le applicazioni e i dati aziendali da quelli privati. A tal fine, un dispositivo iOS viene aggiunto a Relution tramite una registrazione (BYOD) nell'inventario. In questo modo viene installato un profilo MDM sul dispositivo, che può essere gestito tramite Relution. Tecnicamente, viene fatta una distinzione tra app e contenuti "gestiti" e "non gestiti". In questo modo il dispositivo iOS diventa un dispositivo "dual persona" e separa completamente i dati. Le restrizioni possono essere utilizzate anche per controllare se i dati possono essere condivisi tra app "gestite" e "non gestite".

È possibile caricare diverse configurazioni sui dispositivi e gestirle tramite Relution:

  • Applicazioni
  • Configurazione VPN
  • Note (altre app di sistema seguiranno nelle future versioni di iOS)
  • Account iCloud
  • Portachiavi
  • Account di posta elettronica / allegati
  • Account di calendario/allegati

Se il profilo MDM viene rimosso, tutte le app e i contenuti gestiti vengono eliminati. Quest'azione può essere eseguita tramite la reluzione o sul dispositivo stesso.

Android - Corporate Owned Devices

Da Android 9: Android Enterprise Enrollment (dispositivo completamente gestito)

A partire da Relution 5, l'iscrizione ad Android Enterprise come dispositivo completamente gestito (proprietario del dispositivo) è diventata sempre più comune per la gestione dei dispositivi Android in Relution. Le funzioni MDM sono integrate e standardizzate nel sistema operativo. Ciò consente di ottenere una funzionalità MDM uniforme e indipendente dal fornitore sulla piattaforma Android. Le funzioni di Android Enterprise sono disponibili solo per i dispositivi certificati. I dispositivi Samsung possono essere amministrati e protetti in modo ancora più esteso utilizzando le funzioni KNOX. L'applicazione Relution Client non è più obbligatoria per l'iscrizione ad Android Enterprise. Inoltre, è ancora disponibile la classica registrazione come "Amministratore del dispositivo". In questo caso, all'applicazione Relution Client vengono concessi diritti speciali sul dispositivo in modo che possa eseguire le funzioni MDM. Tuttavia, con questo tipo di registrazione, le possibilità di intervento MDM dipendono fortemente dal dispositivo Android utilizzato. Nella gestione dei dispositivi Android è disponibile un'ampia gamma di configurazioni e funzioni:

  • Installazione e configurazione di applicazioni (ad es. client Exchange)
  • Gestione del Google Play Store
  • Configurazione di WLAN e VPN
  • Registrazione completamente automatica dei dispositivi (KNOX Mobile Enrollment).

Android - Bring Your Own Device

Registrazione del profilo di lavoro

Android Enterprise offre inoltre il cosiddetto "profilo di lavoro", che è destinato ai dispositivi privati e imposta un contenitore ("work") sul dispositivo che può essere gestito da Relution. Questo contenitore contiene un "Managed Play Store", che fornisce solo applicazioni approvate per l'installazione. L'installazione di app dal "Managed Google Play Store" è possibile senza un account Google locale. Inoltre, le app possono essere configurate tramite Relution se la "Managed App Configruation" è supportata dalla rispettiva app (ad esempio, un'app di posta elettronica con un indirizzo server e un ID utente predefiniti). Il contenitore può anche contenere la propria rubrica per separare i contatti aziendali da quelli privati.

Tutto ciò che è esterno al contenitore ("Personale") non può influenzare Relution, quindi ad esempio il dispositivo non può essere resettato o bloccato. Tuttavia, il contenitore può essere rimosso tramite Relution, che cancella tutti i dati in esso contenuti.

Relution supporta il profilo di lavoro in un'organizzazione parallelamente alla gestione completa dei dispositivi di Android Enterprise e alla classica registrazione come amministratore di sistema. In Relution è quindi possibile operare in modo misto con diversi dispositivi.

Restrizioni funzionali

Inoltre, le seguenti funzioni del contenitore "Lavoro" possono essere disattivate tramite restrizione:

  • Blocco delle app/elenco dei permessi
  • Creazione di nuovi utenti e profili
  • Aggiunta e rimozione di account
  • Installazione di applicazioni
  • Disinstallare le app
  • Utilizzare la fotocamera
  • Effettuare screenshot
  • Configurare e utilizzare il Bluetooth
  • Condividere i contatti via Bluetooth
  • Configurare la rete mobile
  • Configurare la VPN
  • Configurare le reti WiFi predefinite
  • Utilizzare Android Beam (NFC) per condividere i dati delle app
  • Integrare supporti fisici esterni
  • Trasferimento di file tramite USB

Riepilogo

Nelle loro versioni attuali, Android e iOS offrono ampie possibilità di utilizzo sicuro, compresa la separazione dei dati aziendali da quelli privati. Queste possibilità vengono ulteriormente ampliate con ogni nuova versione del sistema operativo.

Pertanto, il classico contenitore basato sulle app è diventato obsoleto, in quanto non consente una separazione così rigorosa a livello di sistema (ad esempio, non ha un proprio file system) e presenta evidenti svantaggi rispetto alla separazione dei dati a livello di sistema operativo, sia dal punto di vista dei costi che dell'usabilità.