Открыть сервис

Mobile Device Management

Mobile Device Management (MDM, управление мобильными устройствами) — это класс программного обеспечения и комплекс организационно-технических мер, предназначенных для централизованного администрирования, мониторинга, настройки и обеспечения безопасности мобильных устройств (смартфонов, планшетов, ноутбуков), используемых в корпоративной среде. MDM является ключевым компонентом стратегии управления корпоративной мобильностью (Enterprise Mobility Management, EMM) и позволяет ИТ-отделам контролировать устройства удалённо, независимо от их физического местонахождения.

История

Концепция управления мобильными устройствами возникла в начале 2000-х годов, когда корпоративное использование карманных персональных компьютеров (КПК) и первых смартфонов стало массовым. Первоначально решения MDM были проприетарными и привязанными к конкретным производителям (например, BlackBerry Enterprise Server для устройств BlackBerry). С появлением iPhone (2007) и платформы Android (2008) возникла потребность в универсальных решениях, способных управлять устройствами разных вендоров.

Ключевым этапом развития стало внедрение операционными системами встроенных API для управления: Apple выпустила протокол Apple MDM в 2010 году, а GoogleAndroid Enterprise (ранее Android for Work) в 2014 году. Это позволило сторонним разработчикам создавать кроссплатформенные MDM-решения без необходимости «рутования» или джейлбрейка устройств. В 2010-е годы рынок MDM активно рос в связи с распространением политики Bring Your Own Device (BYOD, «принеси своё устройство»), когда сотрудники используют личные гаджеты для рабочих задач.

Архитектура и принцип работы

MDM-система состоит из трёх основных компонентов:

  1. Сервер MDM — центральный узел, который хранит политики, конфигурации, сертификаты и журналы событий. Сервер может быть развёрнут как локально (on-premise), так и в облаке (SaaS).
  2. Агент MDM — приложение или встроенный профиль, устанавливаемый на управляемое устройство. Агент взаимодействует с сервером через зашифрованные каналы связи (HTTPS, APNs для iOS, FCM для Android).
  3. Консоль администратора — веб-интерфейс или десктопное приложение, через которое ИТ-специалисты настраивают политики, выполняют команды и просматривают отчёты.

Устройство регистрируется в MDM-системе одним из способов: через установку профиля конфигурации (вручную или по ссылке), через интеграцию с системами регистрации устройств (Apple Device Enrollment Program, Android Zero Touch), или через корпоративный портал самообслуживания. После регистрации сервер может отправлять на устройство команды: установить или удалить приложение, заблокировать экран, сбросить пароль, стереть данные (wipe), настроить Wi-Fi или VPN.

Основные функции

Управление политиками безопасности

  • Принудительное использование PIN-кода или пароля определённой сложности.
  • Шифрование данных на устройстве (встроенное или через сторонние решения).
  • Удалённая блокировка и сброс до заводских настроек (full wipe) при утере или краже.
  • Запрет на установку неавторизованных приложений (blacklist/whitelist).

Управление приложениями

  • Централизованная установка, обновление и удаление корпоративных приложений.
  • Настройка корпоративного магазина приложений (Enterprise App Store).
  • Управление лицензиями на приложения (Volume Purchase Program).

Управление контентом

  • Безопасное хранение и распространение корпоративных документов (файлов, PDF, презентаций).
  • Контроль доступа к корпоративной почте, календарю и контактам.
  • Организация защищённых контейнеров (containerization) для разделения личных и рабочих данных.

Мониторинг и отчётность

  • Сбор инвентаризационных данных: модель, ОС, версия, установленные приложения, статус шифрования.
  • Отслеживание местоположения устройства (геолокация) в рамках политик конфиденциальности.
  • Генерация отчётов о соответствии устройств корпоративным политикам (compliance reports).

Виды MDM-решений

По типу развёртывания

  • Облачные (SaaS) — сервер размещается у провайдера (Microsoft Intune, VMware Workspace ONE, Jamf Pro). Удобны для организаций без собственной инфраструктуры, обеспечивают автоматическое обновление.
  • Локальные (on-premise) — сервер устанавливается в сети компании (MobileIron Core, SOTI MobiControl). Требуют квалифицированного персонала для обслуживания, но дают полный контроль над данными.
  • Гибридные — сочетают облачное управление с локальными компонентами для критичных функций.

По целевому назначению

  • Универсальные — поддерживают iOS, Android, Windows, macOS, иногда Linux (например, ManageEngine MDM, 42Gears SureMDM).
  • Специализированные — для одной платформы (Jamf Pro для Apple, Samsung Knox Manage для Android) или для конкретных отраслей (здравоохранение, логистика, ритейл).

Применение

MDM широко используется в корпоративном секторе, государственных учреждениях, образовании и здравоохранении. Основные сценарии:

  • BYOD (Bring Your Own Device) — сотрудники используют личные устройства, но ИТ-отдел может управлять только корпоративными данными и приложениями, не затрагивая личную информацию.
  • COPE (Corporate-Owned, Personally Enabled) — компания предоставляет устройства, но разрешает личное использование, сохраняя полный контроль.
  • COBO (Corporate-Owned, Business Only) — устройства строго для рабочих задач, часто с ограничением на установку сторонних приложений.
  • Киоск-режим (kiosk mode) — устройство блокируется на одном приложении (например, терминал для сбора подписей, информационный стенд).
  • Управление специализированными устройствами — сканеры штрих-кодов, планшеты для врачей, навигаторы в транспорте.

Интеграция с другими системами

MDM-решения часто интегрируются с:

  • Системами управления идентификацией и доступом (IAM) — Active Directory, Azure AD, Okta — для автоматической регистрации устройств на основе учётных записей пользователей.
  • Системами управления мобильными приложениями (MAM) — для тонкой настройки политик на уровне приложений, а не всего устройства.
  • SIEM-системами — для сбора логов событий безопасности с мобильных устройств.
  • UDM (Unified Endpoint Management) — более современный подход, объединяющий MDM с управлением настольными ПК, серверами и IoT-устройствами в единой консоли.

Критика и ограничения

  • Приватность пользователей — в режиме BYOD MDM может собирать данные о местоположении, установленных приложениях и использовании устройства, что вызывает опасения у сотрудников. Для смягчения этой проблемы применяются контейнеризация и политики «только рабочий профиль».
  • Сложность внедрения — настройка MDM для крупной организации с разнородным парком устройств требует значительных временных и финансовых затрат.
  • Зависимость от вендора — при использовании проприетарных протоколов (например, Apple MDM) организация может быть привязана к экосистеме одного производителя.
  • Ограниченная поддержка устаревших ОС — старые версии Android или iOS могут не поддерживать современные API MDM, что создаёт бреши в безопасности.

Рынок и основные вендоры

По состоянию на 2024 год рынок MDM консолидирован вокруг нескольких крупных игроков:

  • Microsoft Intune — часть пакета Microsoft 365, доминирует в сегменте среднего и крупного бизнеса благодаря интеграции с Azure AD и Office 365.
  • VMware Workspace ONE (принадлежит Broadcom) — универсальное решение для управления мобильными и настольными устройствами.
  • Jamf Pro — лидер в сегменте управления устройствами Apple.
  • MobileIron (приобретена Ivanti) — исторически сильное решение для корпоративной безопасности.
  • SOTI MobiControl — популярно в логистике и ритейле благодаря поддержке специализированных устройств.
  • ManageEngine MDM (Zoho) — ориентировано на малый и средний бизнес.

В России существуют локальные разработки, такие как SafePhone (ГК «ИнфоТеКС») и ViPNet MDM (Лаборатория Касперского), которые учитывают требования российского законодательства о персональных данных (ФЗ-152).

Законодательные аспекты

В России использование MDM регулируется Федеральным законом «О персональных данных» (152-ФЗ) и требованиями Федеральной службы по техническому и экспортному контролю (ФСТЭК). При внедрении MDM в государственных и муниципальных органах, а также в организациях, обрабатывающих персональные данные, необходимо обеспечить:

  • Локализацию баз данных на территории РФ.
  • Шифрование каналов связи и данных на устройстве с использованием сертифицированных криптосредств.
  • Разграничение доступа к данным между администраторами MDM и конечными пользователями.
  • Уведомление сотрудников о сборе данных и получение согласия на обработку.

Источники

  1. Enterprise Mobility Management: A Comprehensive Guide — Gartner, 2023.
  2. Mobile Device Management: Architecture and Best Practices — NIST Special Publication 800-124, 2022.
  3. MDM Market Report 2024 — MarketsandMarkets Research.
  4. Apple MDM Protocol Reference — Apple Inc., 2023.
  5. Android Enterprise Developer Documentation — Google, 2024.
  6. Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ (ред. от 14.07.2022).
  7. Методические рекомендации ФСТЭК России по защите информации при использовании мобильных устройств — 2021.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →