iPad как инструмент для бизнеса — IPORT

Первое, что приходит в голову при мысли о мобильном оборудовании для сотрудника крупной компании – это ноутбук типа HP EliteBook и смартфон BlackBerry. Подавляющее большинство считает, что MacBook очень далек от корпоративных стандартов, и подходит только для дизайнеров, инди-разработчиков и продвинутых домохозяек. iPhone считается стильным гаджетом для написания твиттов и фотографирования «луков» для модного Инстаграма.

Сейчас я попытаюсь развеять подобные стереотипы и рассказать, на что способны мобильные устройства знаменитой компании из Купертино.

Начну с мобильных устройств на базе Apple iOS. Речь пойдет о версиях 3.0 и выше, на которых в настоящий момент работают следующие устройства:

Все эти устройства поддерживают загрузку профилей конфигурации, с помощью которых можно достаточно гибко настраивать устройство для корпоративного использования.

Нет смысла перепечатывать официальное руководство по работе с профилями. Я лишь остановлюсь на наиболее интересных возможностях.
Прежде всего, конфигурационный профиль – это обычный XML. Его можно подписать цифровым сертификатом и/или зашифровать. При получении подписанного профиля устройство проверяет цифровой сертификат подписи и отображает статус.

При получении зашифрованного профиля ключ для расшифровки должен находиться на устройстве.

Профили могут содержать следующие данные:

Рассмотрим некоторые параметры более подробно. Итак, что же можно ограничить на устройстве с помощью профиля?

• Запретить доступ к устройству без пароля, параметр forcePIN
• Запретить использование одного и того же пароля все время, параметр maxPINAgeInDays
• Установить длину пароля, параметр minLength
• Запретить использовать один и тот же пароль при смене пароля, параметр pinHistory
• Запретить пароль, состоящий из одних цифр (хотя это уже издевательство над пользователем), параметр requireAlphanumeric
• Запретить устанавливать приложения из AppStore, параметр allowAppInstallation
• Запретить Siri, параметр allowAssistant
• Запретить использование камеры в устройстве, параметр allowCamera
• Запретить контент для взрослых, параметр allowExplicitContent
• Закрыть доступ в Game Center, параметр allowGameCenter
• Запретить создание снимков экрана, параметр allowScreenShot
• Закрыть доступ на YouTube (!), параметр allowYouTube
• Закрыть доступ к iTunes, параметр allowiTunes
• Запретить использование браузера Safari, параметр allowSafari
• Запретить использование неизвестных сертификатов, параметр allowUntrusted-TLSPrompt
• Запретить установку профилей без вмешательства пользователя, параметр allowUIConfiguration-ProfileInstallation

Как видно, возможностей привести мобильное устройство в соответствие с требованиями службы безопасности предприятия достаточно много. Не хватает лишь временных диапазонов действия тех или иных ограничений, например, запрет YouTube только в рабочие часы. 🙂

Параметры доступа к Wi-Fi, VPN, почте, LDAP и т.п. достаточно однотипны. Хочется отметить, что все они могут включать авторизацию по сертификатам. Очевидно, что для авторизации по сертификату устройство должно содержать пару ключей: публичный ключ и приватный ключ. Приватный ключ передать в профиле нельзя. Необходима инфраструктура для поддержки протокола ротации сертификатов SCEP. При этом генерация приватного ключа происходит на мобильном устройстве, далее публичный ключ передается в центр сертификации в составе запроса на сертификат, после подписи и формирования сертификата, готовый сертификат передается на устройство и устанавливается в локальном хранилище. SCEP запрос имеет уникальный PayloadUUID, который можно указывать в PayloadCertificate-UUID других настроек. Таким способом полученные сертификаты связываются с настройками Wi-Fi, VPN, почты, LDAP и так далее.

Публичные сертификаты корневых и издающих центров могут включаться в профиль. Установка корневого сертификата предприятия позволяет посещать внутренние https ресурсы без выдачи предупреждающих сообщений о недостоверном сертификате. Это распространяется на почтовые службы, VPN шлюз, Wi-Fi точки – на все, что использует корпоративные сертификаты в процессе авторизации.

При удалении профиля так же удаляются все прописанные в нем службы и настройки. Например, если профиль содержал доступ к почтовому серверу предприятия, то после удаления профиля, будет удален почтовый ящик на устройстве, сотрудник не сможет принимать новую почту или читать уже полученную. Остальные почтовые ящики, например личная почта на Gmail, будут доступны, как и прежде.

Профиль можно защитить PIN-кодом от удаления, параметр HasRemovalPasscode; можно вообще запретить удаление, параметр PayloadRemoval-Disallowed. В последнем случае профиль можно будет удалить, только полностью сбросив все настройки устройства, при этом все содержимое устройства удаляется. Подобные настройки хорошо подходят для компаний со строгими требованиями в области информационной безопасности.
Есть возможность задать период или дату, после которой профиль будет автоматически удален, параметры DurationUntilRemoval и RemovalDate. Это хорошо подходит для временных сотрудников или консультантов компании.

Профиль можно загрузить на устройство несколькими способами:

1. Wired. Устройство подключается по USB к компьютеру с запущенной программой iPhone Configuration Utility, выбирается необходимый профиль конфигурации и загружается на устройство.
2. Direct. Открывается ссылка с файлом профиля (.mobileconfig) в браузере Safari и подтверждается установка профиля.
3. Over-the-Air. Открывается страница загрузки профиля в браузере Safari, затем устанавливается первичный профиль с генерацией промежуточного сертификата для шифрования основного профиля. Содержимое профиля зашифровано.

Первый и второй способы подходят для небольших компаний, где проще все установить вручную, третий способ наиболее технологичный и рекомендуется для использования в крупных компаниях.

Попробую описать загрузку профиля третьим способом, Over-the-Air.

Первая фаза – доставка URL с адресом загрузки профиля на мобильное устройство. Это может быть ссылка в почтовом сообщении, в сообщении СМС, на специальной веб-странице. Желательно размещать ссылку на https ресурсе и защищать содержимое от изменения, например технологией secure_link сервера nginx.
Первый профиль содержит запрос о параметрах пользовательского устройства.

Файлы с расширением

.mobileconfig

распознаются только в Safari, поэтому ссылку необходимо открывать именно в нем.

Получив профиль, устройство запрашивает пользователя разрешение на установку. Если в настройках безопасности включена разблокировка экрана по PIN-коду, то будет запрошен PIN-код. Затем на сервер профилей будет передана информация об устройстве.

Следующая фаза — генерация промежуточного сертификата для последующего шифрования основного профиля. Приватный ключ передавать на устройство нельзя, поэтому используется протокол SCEP, по которому пара ключей формируется на устройстве и затем посылается запрос на сертификат непосредственно в центр сертификации. Сервер профилей не участвует в этом процессе.

Центр сертификации подписывает запрос, генерирует сертификат с нужными параметрами и отсылает обратно на устройство. Полученный сертификат устанавливается в локальное хранилище.

Мобильное устройство информирует сервер профилей об окончании второй фазы в виде сообщения, подписанного новым сертификатом.
Пришло время для третьей фазы. На мобильном устройстве есть сертификат и закрытый ключ, на сервере профилей есть сертификат. Значит можно зашифровать основной профиль и послать его на мобильное устройство.

Содержимое основного профиля зависит от требований службы безопасности и уровня развития сетевой инфраструктуры предприятия и филиалов. Это наиболее ответственная часть проекта по внедрению профилей и включает в себя участие нескольких отделов и служб предприятия. Данные для профиля могут браться из Active Directory, корпоративной базы данных или других систем.

Технология загрузки профилей конфигурации с некоторыми допущениями относится и к мобильным устройствам на базе OS X 10.8 , то есть для свежих MacBook, MacBook Air/Pro.

По описанной схеме работает загрузка профилей сервиса ruVPN.net, на Хабре недавно успешно прошло нагрузочное тестирование, когда любой мог установить профиль с настройками VPN на свое устройство. Основной профиль содержал SCEP запрос на сертификат для доступа к VPN IPSec серверу. Профиль автоматически удалился с устройств участников тестирования 27.05.2021 00:00:00 UTC. Большое спасибо всем участникам тестирования!

• Приложения Pages, Numbers и Keynote поставляются с устройствами Apple и позволяют сотрудникам совместно работать в режиме реального времени с использованием iCloud или Box. Вы можете ограничить сотрудничество только членами вашей организации. Узнайте, как реализовать совместную работу в приложениях Pages, Numbers и Keynote.
• Приложения Microsoft Office 365 доступны в App Store и интегрируются с iOS, iPadOS и macOS.
• Google G Suite работает в Safari на macOS и iPadOS, а также предлагает собственные приложения для iPadOS, такие как Google Диск и Google Документы.
• Приложения для электронных форм и документов, такие как DocuSign, ProntoForms — Mobile Forms и iAuditor помогут собирать, объединять и обмениваться подписями и данными.
• Поставщики облачных хранилищ, такие как Box, Dropbox и Microsoft OneDrive, помогут сотрудникам делиться документами и совместно в них работать. Эти службы могут интегрироваться с Finder на компьютерах Mac и приложением «Файлы» на iPhone и iPad.

• Инструменты управления проектами, такие как Teamwork Projects, Basecamp, Trello и OmniPlan, помогут планировать, визуализировать, контролировать проектные задачи и действия и делиться ими.
• Такие приложения, как Напоминания, Things и Todoist, помогут сотрудникам сосредоточиться на поставленной задаче.

• Обновите все свои компьютеры Mac и устройства iPad до последней доступной версии macOS и iPadOS. Это обеспечит совместимость с приложениями и настройками MDM.
• Используйте Apple Business Manager с вашим решением MDM для настройки параметров устройства, а также для покупки и распространения контента. Apple Business Manager — это веб-портал, через который ИТ-администраторы могут развертывать устройства iPhone, iPad, iPod touch, Apple TV и компьютеры Mac из одной точки. Узнайте о начале работы с Apple Business Manager.
• Если у вас нет решения MDM, такие компании, как Jamf, VMware и MobileIron, предлагают расширенные пробные периоды для своих решений, призванных помочь с быстрым развертыванием системы для удаленной работы.