Общие вопросы:
UEM SafePhone автоматизирует процессы управления смартфонами и планшетами. С одной стороны, SafePhone позволяет системному администратору организации централизованно управлять приложениями на устройстве сотрудника: устанавливать их, удалять или ограничивать использование.
С другой стороны, SafePhone обеспечивает безопасность корпоративной информации: позволяет защитить данные внутри приложений (за счет контейнеризации), обеспечивает защищенный доступ к рабочей почте, календарю и пр.
Подробнее о возможностях SafePhone тут
SafePhone MTD Edition — доверенная платформа управления EMM SafePhone со встроенной библиотекой Kaspersky Mobile Security SDK. Предназначена для организации безопасного жизненного цикла мобильных устройств в соответствии с требованиями нормативных документов Российской Федерации в области информационной безопасности.
SafePhone MTD Edition — единственное решение, сертифицированное одновременно как средство защиты информации на мобильных устройствах от несанкционированного доступа и как средство антивирусной защиты.
- MDM (Mobile Device Management) – это управление мобильными устройствами, включая настройку политик безопасности, настройку беспроводных сетей и дистанционное выполнение команд, таких как удалённая блокировка или сброс к заводским настройкам при потере или краже устройства.
- EMM (Enterprise Mobility Management) – более широкое понятие, включающее не только управление устройствами (MDM), но и управление мобильными приложениями (Mobile Application Management, MAM) и мобильным контентом (Mobile Content Management, MCM).
Платформа SafePhone относится к классу EMM.
- SafePhone сертифицирован ФСТЭК России (сертификат №4157 до 03.09.2024).
- SafePhone включен в Единый реестр российских программ для электронных вычислительных машин и баз данных (Рег. номер: 8694).
- SafePhone позволяет на практике реализовать требования ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций» для защиты мобильных устройств банковского сектора.
А значит:
- Установив SafePhone на мобильные устройства, их можно применять в государственных информационных системах (ГИС) и информационных системах персональных данных (ИСПДн).
- Приобретение лицензий и услуг технической поддержки SafePhone не зависит от санкций в отношении России и является приоритетным по сравнению с зарубежными аналогами в соответствие с постановлением Правительства РФ от 16 сентября 2016 г. № 925.
Конечный пользователь не может самостоятельно удалить SafePhone с Android устройств.
На устройствах iOS запретить удаление SafePhone нельзя. Это ограничение установлено производителем Apple для всех EMM решений. При этом Apple обеспечивает сохранность данных организации – если сотрудник удалил SafePhone со своего iOS-устройства, с него будут автоматически удалены все корпоративные настройки и приложения. Это исключает возможность несанкционированного доступа к данным компании с неуправляемых iOS устройств.
С помощью SafePhone администратор может настроить встроенные политики безопасности Android и iOS устройствах. Именно они позволяют запретить пользователю самостоятельно устанавливать или удалять приложения с мобильных устройств.
P.S. Если администратор установил такой запрет, то попадание на устройства malware исключено, что исключает потребность в мобильном антивирусе.
В случае потери или кражи устройства ее можно переустановить на другое мобильное устройство. Чтобы потеря или кража устройства не привела к потере корпоративных данных, с помощью SafePhone можно удаленно сбросить устройство к заводским настройкам, удалить с него корпоративные данные и определить его местоположение.
SCEP – simple certificate enrollment protocol, протокол упрощённого и получения сертификатов (на удостоверяющем центре).
МУ – мобильное устройство.
ОС – операционная система.
Основные изменения
- Возможность разграничения доступа администраторов к управлению соответствующими МУ.
Для администраторов филиалов и дочерних обществ на консоли управления SafePhone доступны только МУ соответствующего филиала (дочернего общества).
Помимо доступных МУ и объектов учета разграничивается доступ к «назначаемым сущностям» – профилям, правилам управления приложениями и конфигурациям приложениям. У этих сущностей появился владелец. Владельцем сущности является филиал (дочернее общество) или другое подразделение ОШС, администратор которого создал эту сущность. Только администраторы подразделений-владельцев и администраторы вышестоящих подразделений ОШС могут изменять сущности или назначать их владельцами другие подразделения. Администраторы могут делегировать права назначения сущностей другим подчинённым подразделениям, чтобы их администраторы могли назначать в своих подразделениях типовые приложения и политики.
- Возможность создания Отчёта о применении правил управления приложениями.
В отчёте содержится информация о правилах управления приложениями по конкретному подразделению, сотруднику или МУ.
- Изменена технология управление беспроводными сетями.
Добавлена возможность настройки доступа к корпоративным Wi-Fi сетям, функционирующим в соответствии с стандартом IEEE 802.1X с внешней аутентификацией по пользовательским сертификатам и/или учётным записям. Настройка Wi-Fi сетей выполняется с помощью профилей, что позволяет удобно назначать их по отдельным подразделениям, сотрудникам и МУ.
Объект «Точка доступа» исключен. При обновлении с SafePhone версии 4.1 необходимые профили будут созданы по зарегистрированным ранее точкам доступа автоматически.
- Генерация персональных QR кодов для подключения Android устройств.
Вместе с каждым кодом приглашения генерируется персональный QR-код.
На МУ с Android 7 и выше, поддерживающих функции платформы Android for Enterprise, для подключения устройства к SafePhone достаточно считать этот QR-код в процессе инициализации при первом включении устройства или после его сброса к заводским настройкам.
- В режиме «киоска» на Android-устройстве можно использовать несколько приложений.
С помощью обновлённого режима «киоска» можно удобно настроить «белый» список доступных пользователю приложений.
- Больше не нужно указывать совместимость приложений с версиями ОС МУ.
В условиях правил управления приложениями стало возможным указать на какие МУ ставить или не ставить приложения в зависимости от версии их ОС.
- Возможность создавать различные наборы политик для МУ с разными версиями ОС.
В настройках профилей можно указать на МУ с какими ОС доставлять или не доставлять профили. В результате такой настройки в журнале событий не будет ошибок применения политик, связанных с попыткой применить политику на МУ, в чьей ОС она недоступна.
- Упрощён способ настройки подключения МУ к SafePhone.
В предыдущих версиях для этого нужно было указать адреса серверов и сертификаты для подключения МУ в нескольких конфигурационных файлах и продублировать часть информации в объекте учёта «Точки доступа».
Теперь все параметры централизованно управляются в объекте учёта «Подключения к серверам».
- Возможность настройки списка управляемых доменов iOS.
Если запрещена передача данных из управляемых приложений в неуправляемые, то файлы, загружаемые с управляемых доменов с помощью Safari, нельзя будет открыть в неуправляемых приложениях.
- Возможность распространения доверенных серверных сертификатов.
Android сертификаты можно распространять только на устройства. Распространение доверенных сертификатов в контейнеры запланировано в следующих версиях.
- Разделены правила управления Android приложениями на устройстве и в контейнере.
Это позволит в следующих версиях учесть изменения Google в части работы с контейнерами – мобильный клиент, работающий в контейнере на Android 11, не будет обрабатывать правила, относящиеся к приложениям на устройстве. Существующие правила, которые требуют установки одного и того же приложения и на устройство, и в контейнер, будут автоматически разделены при обновлении с SafePhone версии 4.1.
- Исключена возможность установки обновлений БД на несовместимую версию.
Обновления БД теперь «знают» для какой версии SafePhone они предназначены и не позволяют устанавливать себя на несовместимые версии SafePhone. Такие действия раньше могли привести к серьёзным ошибкам.
- Владельцы устройств iOS подключаются через портал регистрации посредством браузера или приложения «SafePhone Клиент» из AppStore.
Подключение происходит после ввода кода приглашения или доменную уч.запись. - Владельцы устройств Android:
- Samsung – с использованием KME, если устройство поддерживает эту технологию. Подключение по заранее загруженному дистрибьютером Samsung списку IMEI мобильных устройств.
- Samsung (Android версии 4-9) – установка приложения «Загрузчик» с дальнейшей регистрацией на портале регистрации.
Подключение через код приглашения или доменную учетную запись. - Samsung (Android версии 10) и мобильные устройства иных производителей – установка приложения «Загрузчик» через GoogleProvisioning, с получением прав DeviceOwner по QR-коду. Далее — подключение через портал регистрации по коду приглашения или доменную учетную запись.
- Samsung (Android версии 10) и мобильные устройства иных производителей – установка Монитора через GoogleProvisioning, с получением прав DeviceOwner, через QR-код, содержащий код приглашения.
- Устройства под управлением Android 6 – установка приложения «Загрузчик» с получением прав DeviceOwner через ADB. Далее — подключение через портал регистрации по коду приглашения или доменную учетку.
- Устройства под управлением Android 4,5 – модификация системного раздела, установка приложения «Загрузчик». Далее — подключение через портал регистрации по коду приглашения или доменную учетную запись.
Стоимость:
Срок действия лицензий зависит от выбранного тарифа. Лицензия может быть приобретена на 1 год, на 3 года или бессрочно. Для лицензий на 1 и 3 года техническая поддержка уже входит в стоимость.
Посмотреть условия лицензирования можно по ссылке.
Внедрение:
Минимальный срок подписки на SaaS лицензию SafePhone от 6 месяцев. Техническая поддержка входит в стоимость лицензий.
Отличаются схемы лицензирования:
Минимальное количество приобретаемых лицензий on-premise SafePhone — 25 штук, SaaS лицензий – 10 штук.
Посмотреть условия лицензирования можно здес.
Техническая разница только в месте установки серверной группировки – локально у Заказчика (on-premise) или в ЦОД НИИ СОКБ (SaaS). Функциональных ограничений при использовании SaaS нет.
Обучение нужно для получения практических знаний о работе продукта – научиться разным способам подключения мобильных устройств, получить представление о задачах администратора и работе в консоли управления, самостоятельно произвести установку и обновление системы. Без этих навыков комфортная эксплуатация системы невозможна.
Техподдержка:
Техническая поддержка SafePhone нужна для доступа к обновлениям и получения разъяснений о работе продукта.
Техническая поддержка осуществляется через веб-портал https://service.niisokb.ru/.
Техническая поддержка входит в стоимость срочных лицензий SafePhone (на 1 или 3 года). В стоимость бессрочной лицензии входит техническая поддержка на первый год использования. На второй и последующие годы её нужно приобретать дополнительно.
Приобретая лицензии SafePhone на 1 и на 3 года, Заказчик «автоматически» получает техническую поддержку, т.к. она входит в стоимость лицензий.
В стоимость бессрочных лицензий входит техническая поддержка только на первый год. На второй и последующие годы техническую поддержку нужно приобретать отдельно. Без действующего контракта на техническую поддержку у Заказчика не будет доступа к обновлениям и не будет возможности задать вопрос о работе системы.
Устройства:
С помощью SafePhone можно управлять устройствами Android 4.4 и выше (рекомендуется 6 и выше) и устройства iOS 10 и выше. Список доступных функциональных возможностей зависит от версии ОС и производителя устройств.
Мы регулярно тестируем мобильные устройства, чтобы убедиться в том, что они позволят нашим Заказчикам использовать нужные им функции управления.
Актуальный список протестированных устройств доступен по ссылке и в личном кабинете.
Пилот:
Мы серьёзно относимся к своим Заказчикам. Даже на этапе пилотных проектов мы стараемся предложить Заказчикам персональное решение насущных задач.
- Для этого перед началом пилотного проекта мы просим заполнить опросный лист, чтобы вместе с Заказчиком ответить на вопрос «Зачем мне нужно управлять мобильными устройствами?».
- После чего обучаем специалистов Заказчика и предоставляем доступ к консоли управления в нашем ЦОД, чтобы пилот прошёл быстро и гладко.
- По результатам пилота мы обязательно запрашиваем обратную связь о продукте, чтобы сделать его лучше.
Функции:
Выполнение команд управления на iOS устройствах в режиме supervised не требует подтверждения пользователя. Например, установка приложений в режиме supervised будет осуществляться в «тихом» режиме.
Перевод iOS устройств в режим supervised осуществляется с помощью ПО Apple Configurator 2 для macOS.
Для Android устройств ситуация отличается в зависимости от версии Android – на устройствах с Android 7 и выше шифрование внутренней памяти включено по умолчанию и его нельзя выключить. Для устройств с более ранними версиями Android нужно настроить соответствующую политику безопасности в профиле ограничений.
На iOS установка приложений не требует участия пользователя, если устройство работает в режиме supervised.
На Android устройствах участие пользователя требуется только в том случае, когда администратор корпоративной мобильности потребовал установить приложение из Google Play. В этом случае установка осуществляется от имени учётной записи пользователя и пользователю нужно её подтвердить.
Нет. При недоступности сервера на устройства не доставляются обновления корпоративных приложений и политик безопасности, но установленные приложения и политики работают в штатном режиме. События безопасности также не будут потеряны – мобильный клиент накапливает события, чтобы передать их на сервер, когда это станет возможно.
Если у вас остались вопросы, пишите на электронную почту info@niisokb.ru.
Или задайте их прямо сейчас: