Частые вопросы

UEM SafePhone (Unified Endpoint Management) — комплексная платформа для централизованного управления мобильными устройствами в организации.

UEM SafePhone автоматизирует процессы управления смартфонами и планшетами. С одной стороны, SafePhone позволяет системному администратору организации централизованно управлять приложениями на устройстве сотрудника: устанавливать их, удалять или ограничивать использование.

С другой стороны, SafePhone обеспечивает безопасность корпоративной информации: позволяет защитить данные внутри приложений (за счет контейнеризации), обеспечивает защищенный доступ к рабочей почте, календарю и пр.

Подробнее о возможностях SafePhone тут

SafePhone MTD Edition — доверенная платформа управления EMM SafePhone со встроенной библиотекой Kaspersky Mobile Security SDK. Предназначена для организации безопасного жизненного цикла мобильных устройств в соответствии с требованиями нормативных документов Российской Федерации в области информационной безопасности.

SafePhone MTD Edition — единственное решение, сертифицированное одновременно как средство защиты информации на мобильных устройствах от несанкционированного доступа и как средство антивирусной защиты.

Подробнее о SafePhone MTD Edition

• MDM (Mobile Device Management) – это управление мобильными устройствами, включая настройку политик безопасности, настройку беспроводных сетей и дистанционное выполнение команд, таких как удалённая блокировка или сброс к заводским настройкам при потере или краже устройства.
• EMM (Enterprise Mobility Management) – более широкое понятие, включающее не только управление устройствами (MDM), но и управление мобильными приложениями (Mobile Application Management, MAM) и мобильным контентом (Mobile Content Management, MCM).

Платформа SafePhone относится к классу EMM.

1. SafePhone сертифицирован ФСТЭК России (сертификат №4157 до 03.09.2024).
2. SafePhone включен в Единый реестр российских программ для электронных вычислительных машин и баз данных (Рег. номер: 8694).
3. SafePhone позволяет на практике реализовать требования ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций» для защиты мобильных устройств банковского сектора.

А значит:

• Установив SafePhone на мобильные устройства, их можно применять в государственных информационных системах (ГИС) и информационных системах персональных данных (ИСПДн).
• Приобретение лицензий и услуг технической поддержки SafePhone не зависит от санкций в отношении России и является приоритетным по сравнению с зарубежными аналогами в соответствие с постановлением Правительства РФ от 16 сентября 2016 г. № 925.

Конечный пользователь не может самостоятельно удалить SafePhone с Android устройств.

На устройствах iOS запретить удаление SafePhone нельзя. Это ограничение установлено производителем Apple для всех EMM решений. При этом Apple обеспечивает сохранность данных организации – если сотрудник удалил SafePhone со своего iOS-устройства, с него будут автоматически удалены все корпоративные настройки и приложения. Это исключает возможность несанкционированного доступа к данным компании с неуправляемых iOS устройств.

С помощью SafePhone администратор может настроить встроенные политики безопасности Android и iOS устройствах. Именно они позволяют запретить пользователю самостоятельно устанавливать или удалять приложения с мобильных устройств.

P.S. Если администратор установил такой запрет, то попадание на устройства malware исключено, что исключает потребность в мобильном антивирусе.

Лицензия SafePhone не привязана к ID устройства.

В случае потери или кражи устройства ее можно переустановить на другое мобильное устройство. Чтобы потеря или кража устройства не привела к потере корпоративных данных, с помощью SafePhone можно удаленно сбросить устройство к заводским настройкам, удалить с него корпоративные данные и определить его местоположение.

Лицензии UEM SafePhone приобретаются по количеству управляемых мобильных устройств. Узнать больше о видах лицензий можно в разделе.

Серверные компоненты SafePhone не требовательны к вычислительным ресурсам. К примеру, для управления 500 устройствами потребуется всего один физический или виртуальный сервер с 4 ядрами CPU 2 ГГц, 4 ГБ RAM и 100 ГБ HDD. С другими серверными конфигурациями можно ознакомиться в разделе «Архитектура и технические требования».

SafePhone соответствует требованиям нормативных документов Российской Федерации в области информационной безопасности. Подробнее можно ознакомиться здесь.

У современных систем управления мобильными устройствами сложно искать отличия, потому что их возможности ограничены возможностями мобильных ОС.

Наше главное преимущество – клиентоориентированность:

• Дорожная карта развития SafePhone формируется по запросам наших клиентов
• Мы готовы к обсуждению предложений по доработке продукта.
• Техническая поддержка оперативно реагирует на запросы заказчиков.
• Возможно создание выделенного стенда для апробации продукта из нашего SafeDC.

Ещё несколько преимуществ SafePhone:

• SafePhone – это российский программный продукт, включенный в Реестр российских программ.
• SafePhone является сертифицированным средством защиты информации на мобильных устройствах от несанкционированного доступа и сертифицированным мобильным антивирусом.
• Применение SafePhone обеспечит возможность провести аттестацию информационных систем, к которым получают доступ мобильные рабочие места – ГИС, КИИ, ИСПДн.

Документация и интерфейс на русском языке.

SCEP – simple certificate enrollment protocol, протокол упрощённого и получения сертификатов (на удостоверяющем центре).
МУ – мобильное устройство.
ОС – операционная система.

Основные изменения

1. Возможность разграничения доступа администраторов к управлению соответствующими МУ.
   Для администраторов филиалов и дочерних обществ на консоли управления SafePhone доступны только МУ соответствующего филиала (дочернего общества).
   Помимо доступных МУ и объектов учета разграничивается доступ к «назначаемым сущностям» – профилям, правилам управления приложениями и конфигурациям приложениям. У этих сущностей появился владелец. Владельцем сущности является филиал (дочернее общество) или другое подразделение ОШС, администратор которого создал эту сущность. Только администраторы подразделений-владельцев и администраторы вышестоящих подразделений ОШС могут изменять сущности или назначать их владельцами другие подразделения. Администраторы могут делегировать права назначения сущностей другим подчинённым подразделениям, чтобы их администраторы могли назначать в своих подразделениях типовые приложения и политики.

2. Возможность создания Отчёта о применении правил управления приложениями.
   В отчёте содержится информация о правилах управления приложениями по конкретному подразделению, сотруднику или МУ.

3. Изменена технология управление беспроводными сетями.
   Добавлена возможность настройки доступа к корпоративным Wi-Fi сетям, функционирующим в соответствии с стандартом IEEE 802.1X с внешней аутентификацией по пользовательским сертификатам и/или учётным записям. Настройка Wi-Fi сетей выполняется с помощью профилей, что позволяет удобно назначать их по отдельным подразделениям, сотрудникам и МУ.
   Объект «Точка доступа» исключен. При обновлении с SafePhone версии 4.1 необходимые профили будут созданы по зарегистрированным ранее точкам доступа автоматически.

4. Генерация персональных QR кодов для подключения Android устройств.
   Вместе с каждым кодом приглашения генерируется персональный QR-код.
   На МУ с Android 7 и выше, поддерживающих функции платформы Android for Enterprise, для подключения устройства к SafePhone достаточно считать этот QR-код в процессе инициализации при первом включении устройства или после его сброса к заводским настройкам.

5. В режиме «киоска» на Android-устройстве можно использовать несколько приложений.
   С помощью обновлённого режима «киоска» можно удобно настроить «белый» список доступных пользователю приложений.

6. Больше не нужно указывать совместимость приложений с версиями ОС МУ.
   В условиях правил управления приложениями стало возможным указать на какие МУ ставить или не ставить приложения в зависимости от версии их ОС.

7. Возможность создавать различные наборы политик для МУ с разными версиями ОС.
   В настройках профилей можно указать на МУ с какими ОС доставлять или не доставлять профили. В результате такой настройки в журнале событий не будет ошибок применения политик, связанных с попыткой применить политику на МУ, в чьей ОС она недоступна.

8. Упрощён способ настройки подключения МУ к SafePhone.
   В предыдущих версиях для этого нужно было указать адреса серверов и сертификаты для подключения МУ в нескольких конфигурационных файлах и продублировать часть информации в объекте учёта «Точки доступа».
   Теперь все параметры централизованно управляются в объекте учёта «Подключения к серверам».

9. Возможность настройки списка управляемых доменов iOS.
   Если запрещена передача данных из управляемых приложений в неуправляемые, то файлы, загружаемые с управляемых доменов с помощью Safari, нельзя будет открыть в неуправляемых приложениях.

10. Возможность распространения доверенных серверных сертификатов.
    Android сертификаты можно распространять только на устройства. Распространение доверенных сертификатов в контейнеры запланировано в следующих версиях.

11. Разделены правила управления Android приложениями на устройстве и в контейнере.
    Это позволит в следующих версиях учесть изменения Google в части работы с контейнерами – мобильный клиент, работающий в контейнере на Android 11, не будет обрабатывать правила, относящиеся к приложениям на устройстве. Существующие правила, которые требуют установки одного и того же приложения и на устройство, и в контейнер, будут автоматически разделены при обновлении с SafePhone версии 4.1.

12. Исключена возможность установки обновлений БД на несовместимую версию.
    Обновления БД теперь «знают» для какой версии SafePhone они предназначены и не позволяют устанавливать себя на несовместимые версии SafePhone. Такие действия раньше могли привести к серьёзным ошибкам.

1. Владельцы устройств iOS подключаются через портал регистрации посредством  браузера или приложения «SafePhone Клиент» из AppStore.
   Подключение происходит после ввода кода приглашения или доменную уч.запись.
2. Владельцы устройств Android:
   • Samsung – с использованием KME, если устройство поддерживает эту технологию. Подключение по заранее загруженному дистрибьютером Samsung списку IMEI мобильных устройств.
   • Samsung (Android  версии 4-9) – установка приложения «Загрузчик» с дальнейшей регистрацией на портале регистрации.
     Подключение через код приглашения или доменную учетную запись.
   • Samsung (Android  версии 10) и мобильные устройства иных производителей – установка приложения «Загрузчик» через GoogleProvisioning, с получением прав DeviceOwner по QR-коду. Далее — подключение через портал регистрации по коду приглашения или доменную учетную запись.
   • Samsung (Android  версии 10) и мобильные устройства иных производителей – установка Монитора через GoogleProvisioning, с получением прав DeviceOwner, через QR-код, содержащий  код приглашения.
   • Устройства под управлением Android 6 – установка приложения «Загрузчик» с получением прав DeviceOwner через  ADB. Далее — подключение через портал регистрации по коду приглашения или доменную учетку.
   • Устройства под управлением Android 4,5 – модификация системного раздела, установка приложения «Загрузчик». Далее — подключение через портал регистрации по коду приглашения или доменную учетную запись.

Да. Управление без доступа в интернет возможно для устройств на базе Android, Аврора и Windows. Для управления iOS устройствами нужен доступ с мобильных устройств и сервера управления к серверам Apple. Подробнее можно прочитать в нашей статье.

Канал управления защищается с помощью AES шифрования. Чувствительные данные не передаются в канале управления, поэтому дополнительная защита, например, с помощью алгоритмов ГОСТ шифрования, для канала управления не требуется.

SafePhone принципиально совместим с любым VPN решением. Имеется практический опыт  совместного применения SafePhone и ViPNet, NGate, Континент АП, Check Point и др.

С помощью SafePhone можно централизованно устанавливать и обновлять VPN клиент на мобильных устройствах. Если VPN клиент поддерживает механизмы удалённой настройки, SafePhone сможет дистанционно его настроить – указать адрес криптошлюза, ввести лицензию и т.д.

Нет, не нужен. В мобильный клиент SafePhone для Android встроены антивирусные библиотеки Kaspersky Mobile Security SDK. Управление антивирусом и контроль обнаружения вредоносного ПО выполняются централизованно из веб-консоли SafePhone.

Для аттестации информационной системы понадобиться в дополнение к лицензиям SafePhone приобрести Пакет сертификации, в который входит:

• дистрибутив сертифицированного ФСТЭК России программного обеспечения SafePhone;
• формуляр;
• заверенная копия сертификата ФСТЭК России.

Пакет сертификации не зависит от числа мобильных устройств. Для каждой серверной инсталляции SafePhone нужен свой Пакет сертификации.

Время подготовки устройства складывается из времени подключения устройства к SafePhone, а также времени доставки и настройки нужных для работы приложений.

Подключение устройства к SafePhone занимает несколько минут. Конкретные цифры зависят от модели устройства. Так, на большинстве корпоративных Android устройств для подключения к SafePhone достаточно отсканировать QR-код в процессе инициализации устройства. А на устройствах Samsung доступна бесплатная технология Knox Mobile Enrollment, с помощью которой подключение устройства к SafePhone выполняется автоматически и не требует участия пользователя или администратора.

Скорость доставки приложений определяется пропускной способностью канала связи и размером дистрибутивов приложений. Обычно приложения доставляются и устанавливаются за 5-10 минут.

Порядок настройки приложений может быть разным. Обычно администраторы настраивают адрес подключения и вводят лицензионный ключ, если это актуально. Эти действия можно автоматизировать с помощью удалённой настройки приложений. В этом случае временем настройки приложений можно пренебречь.

• Заполняете опросный лист
• Встречаемся в Zoom и обсуждаем ваш проект

При необходимости проводим двухнедельный пилотный проект из нашего ЦОД. Перед стартом пилотного проекта проводим небольшое обучение по работе системой, после чего предоставляем вам доступ к системе и порталу технической поддержки.

Если вы хотите установить SafePhone в своей инфраструктуре, мы можем предложить срочные или бессрочные лицензии. Срочные лицензии – это подписка на один, два или три года.

Если вам удобнее не размещать в своей инфраструктуре серверные компоненты SafePhone, мы предлагаем вам получить доступ к SafePhone в нашем защищённом ЦОД на срок от 6 месяцев.

Подробнее с информацией о лицензиях можно ознакомиться на этой странице.

Срок действия лицензий зависит от выбранного тарифа. Лицензия может быть приобретена на 1 год, на 3 года или бессрочно. Для лицензий на 1 и 3 года техническая поддержка уже входит в стоимость.
Посмотреть условия лицензирования можно по ссылке.

Да, есть облачная версия SafePhone. Услуга предоставляется по подписке. Используются серверные мощности ЦОД Safe DC компании НИИ СОКБ. Safe DC соответствует 1 классу и 1 уровню защищенности информационных систем, обрабатывающих государственные информационные ресурсы и персональные данные граждан.

Минимальный срок подписки на SaaS лицензию SafePhone от 6 месяцев. Техническая поддержка входит в стоимость лицензий.

Отличаются схемы лицензирования:

Минимальное количество приобретаемых лицензий on-premise SafePhone — 25 штук, SaaS лицензий – 10 штук.
Посмотреть условия лицензирования можно здес.

Техническая разница только в месте установки серверной группировки – локально у Заказчика (on-premise) или в ЦОД НИИ СОКБ (SaaS). Функциональных ограничений при использовании SaaS нет.

Заказчик может выполнить внедрение самостоятельно после прохождения обучения.

Обучение нужно для получения практических знаний о работе продукта – научиться разным способам подключения мобильных устройств, получить представление о задачах администратора и работе в консоли управления, самостоятельно произвести установку и обновление системы. Без этих навыков комфортная эксплуатация системы невозможна.

Техническая поддержка SafePhone нужна для доступа к обновлениям и получения разъяснений о работе продукта.

Техническая поддержка осуществляется через веб-портал https://service.niisokb.ru/.

Техническая поддержка входит в стоимость срочных лицензий SafePhone (на 1 или 3 года). В стоимость бессрочной лицензии входит техническая поддержка на первый год использования. На второй и последующие годы её нужно приобретать дополнительно.

Приобретая лицензии SafePhone на 1 и на 3 года, Заказчик «автоматически» получает техническую поддержку, т.к. она входит в стоимость лицензий.

В стоимость бессрочных лицензий входит техническая поддержка только на первый год. На второй и последующие годы техническую поддержку нужно приобретать отдельно. Без действующего контракта на техническую поддержку у Заказчика не будет доступа к обновлениям и не будет возможности задать вопрос о работе системы.

С помощью SafePhone можно управлять устройствами Android 4.4 и выше (рекомендуется 6 и выше) и устройства iOS 10 и выше. Список доступных функциональных возможностей зависит от версии ОС и производителя устройств.

Мы регулярно тестируем мобильные устройства, чтобы убедиться в том, что они позволят нашим Заказчикам использовать нужные им функции управления.

Актуальный список протестированных устройств доступен по ссылке.

Подробнее про то, как можно разделить корпоративные и личные данные на устройстве, и какие у этого подхода ограничения читайте в нашей статье.

В целях информирования, сообщаем, что  ФСТЭК России не рекомендует использовать личные устройств для доступа к КИИ и другим информационным системам, на которые распространяются их приказы.

Механизмы управления и защиты мобильных устройств на Android разных производителей сильно отличаются. В результате обеспечить приемлемый уровень защиты данных на любых личных устройствах нельзя.

1. Управление устройствами iOS зависит от доступа мобильных устройств и сервера управления к серверам Apple;
2. iOS устройства рекомендуется переводить в режим supervised перед тем, как передавать их пользователям. В этом режиме руководителю не будет нужно подтверждать установку приложений администратором. Если режим supervised не включен перед тем, как устройство было передано пользователю, то включить его после практически невозможно. После включения режима supervised на нём нельзя восстановить данные из сделанных ранее резервных копий. Для руководителей это обычно критично. Подробнее об этой и других особенностях управления iOS устройствами читайте в нашей статье на Хабре.

SafePhone поддерживает управление Android устройствами любых производителей, в том числе китайских. Со списком устройств, проверенных на совместимость, можно ознакомиться по ссылке.

Для проверки работоспособности основных функций мы готовы бесплатно проверить устройства до начала проекта. Для этого достаточно передать нам устройства в тест и заполнить простую.

Да. SafePhone может управлять ноутбуками на Windows 10. Поддерживаются редакции Pro и Enterprise. В редакции Home механизмы централизованного управления недоступны, поэтому управлять ноутбуками с Windows 10 Home нельзя.

С помощью SafePhone можно централизованно настроить на ноутбуках политики безопасности, установить на них нужны для работы приложения и стереть данные, если ноутбук будет потерян или украден. Подробнее о функциях по управлению Windows можно прочитать на этой странице.

Нет. Большинство функций платформы Samsung Knox не требуют приобретения дополнительных лицензий. При управлении мобильными устройствами Samsung с помощью SafePhone по сравнению с другими Android устройствами доступны:

1. технология подключения мобильных устройств «из коробки» Knox Mobile Enrollment;
2. расширенный набор политик безопасности, включая запрет обновления ОС и запрет установки кастомных образов восстановления (recovery);
3. технология создания корпоративных контейнеров.

Да. С возможностями SafePhone по управлению Windows устройствами можно ознакомится по ссылке.

Мы серьёзно относимся к своим Заказчикам. Даже на этапе пилотных проектов мы стараемся предложить Заказчикам персональное решение насущных задач.

• Для этого перед началом пилотного проекта мы просим заполнить опросный лист, чтобы вместе с Заказчиком ответить на вопрос «Зачем мне нужно управлять мобильными устройствами?».
• После чего обучаем специалистов Заказчика и предоставляем доступ к консоли управления в нашем ЦОД, чтобы пилот прошёл быстро и гладко.
• По результатам пилота мы обязательно запрашиваем обратную связь о продукте, чтобы сделать его лучше.

Режим iOS supervised позволяет администраторам корпоративной мобильности настраивать большее число политик безопасности. Этот режим определяет, что устройство является корпоративным и принадлежит использующей его компании, а не сотруднику.

Выполнение команд управления на iOS устройствах в режиме supervised не требует подтверждения пользователя. Например, установка приложений в режиме supervised будет осуществляться в «тихом» режиме.

Перевод iOS устройств в режим supervised осуществляется с помощью ПО Apple Configurator 2 для macOS.

В резервной копии сохраняется признак наличия режима supervised, и он восстанавливается вместе с резервной копией. Это означает, что восстановить данные из резервной копии, сделанной до перевода iOS устройства в режим supervised, нельзя. Поэтому мы рекомендуем принимать решение об использовании режима supervised как можно раньше, чтобы исключить недовольство пользователей, которые не смогут восстановить личные данные на устройствах.

Для iOS устройств достаточно установить пароль. Чтобы пользователи не забывали этого делать, мы рекомендуем настраивать требования к наличию пароля с помощью профиля парольных политик.

Для Android устройств ситуация отличается в зависимости от версии Android – на устройствах с Android 7 и выше шифрование внутренней памяти включено по умолчанию и его нельзя выключить. Для устройств с более ранними версиями Android нужно настроить соответствующую политику безопасности в профиле ограничений.

Да, но только на Android устройствах производства Samsung. На Android устройствах других производителей такой запрет недоступен. На устройствах iOS можно только отложить обновление на срок не более 90 суток. Отложенное обновление iOS доступно только для устройств в режиме supervised. Для настройки этих политик создайте и назначьте на устройства профили ограничений.

Нет, нельзя. Мы против того, чтобы работодатели прослушивали своих работников.

На iOS установка приложений не требует участия пользователя, если устройство работает в режиме supervised.

На Android устройствах участие пользователя требуется только в том случае, когда администратор корпоративной мобильности потребовал установить приложение из Google Play. В этом случае установка осуществляется от имени учётной записи пользователя и пользователю нужно её подтвердить.

Нет. При недоступности сервера на устройства не доставляются обновления корпоративных приложений и политик безопасности, но установленные приложения и политики работают в штатном режиме. События безопасности также не будут потеряны – мобильный клиент накапливает события, чтобы передать их на сервер, когда это станет возможно.

Да. Интеграция доступна для пользователей и администраторов. Пользователи мобильных устройств могут регистрироваться в SafePhone с использованием доменных учётных записей, входящих в определённую администратором группу безопасности. В этом случае данные о пользователях будут автоматически загружены в SafePhone из AD. Администраторы в свою очередь могут получать доступ к веб-консоли управления с использованием своих доменных учётных записей.

Да. Список сотрудников можно импортировать из файла формата Microsoft Excel. Файл (xls) возможно сформировать из AD или кадровой системы.

Корпоративные устройства рекомендуется превращать в контейнер целиком, оставляя на них только те приложения и сервисы, которые нужны сотрудникам для работы. Аналогично корпоративным ноутбукам.

Также c помощью SafePhone возможна реализация и других технологий контейнеризации:

1. Ограничение возможности передачи файлов из управляемых приложений iOS.
2. Создание защищённых Knox контейнеров на Android устройствах производства Samsung.

В планах – поддержка контейнеров Google на всех Android устройствах. Ограничение этой технологии – управление устройствами будут выполнять серверы Google. Это исключает использование этой технологии в КИИ и других информационных системах, подлежащих аттестации по требованиям безопасности.

Подробнее о технологиях контейнеризации, доступных на мобильных устройствах, читайте в нашей статье на Хабре.

Нет. Переписка, которую пользователь ведёт в WhatsApp или любом другом публичном мессенджере, хранится на устройстве в зашифрованном виде и недоступна другим приложениям, включая SafePhone.

Нет, нельзя. Мы против того, чтобы работодатели прослушивали своих работников.

Нет. Запись разговоров пользователей мобильных устройств невозможна. Эта возможность блокируется на уровне прошивки.

В настоящее время в SafePhone такой функции нет. Предлагаем обратить внимание на приложения нашего партнёра – компании Ассистент, которые можно установить на устройства с помощью SafePhone.

Сертификаты

1. SafePhone может распространять на устройства серверные сертификаты. Например, чтобы веб-браузер устройства не сообщал пользователю об опасности подключения к корпоративным веб-ресурсам, сертификаты которых выпущены корпоративным удостоверяющим центром.
2. С помощью SafePhone можно автоматизировать выпуск клиентских сертификатов для настройки корпоративных Wi-Fi сетей стандарта 802.1X.

Файлы настроек

SafePhone может централизованно настраивать мобильные приложения. Для этого разработчик приложения должен реализовать механизмы удалённой настройки, рекомендованные Apple и Google. Рекомендуем обратить на них внимание. Ссылки на лучшие практики – iOS, Android.

Документы

Реализация функции доставки на мобильные устройства произвольных файлов, например, инструкций или обучающих видео по работе с корпоративными приложениями, запланирована в 2022 году.

Да. Но при управлении обновлениями мобильных ОС есть особенности. В отличие от Windows или Linux, централизованное обновление ОС с серверов компании невозможно.

На корпоративных iOS устройствах, находящихся в режиме supervised, с помощью SafePhone можно отложить обновление до 90 дней, чтобы успеть протестировать и при необходимости доработать корпоративные приложения для новой версии iOS.

На Android устройствах производства Samsung можно запретить обновление ОС. На Android устройствах других производителей такой запрет недоступен.

Подробнее c особенностями обновления мобильных ОС можно ознакомиться в нашей статье на Хабре.

Да. Для этого разработчик приложения должен реализовать механизмы удалённой настройки, рекомендованные Apple и Google. Если в ваших приложениях они ещё не реализованы, рекомендуем обратить на них внимание. Ссылки на лучшие практики – iOS, Android.

Да. Для этого на ноутбуках должна быть установлена Windows 10 редакции Pro или Enterprise. В редакции Home механизмы централизованного управления недоступны, поэтому управлять ноутбуками с Windows 10 Home нельзя. С составом доступных для настройки политик безопасности можно ознакомиться на этой странице.