Общие вопросы:

UEM SafePhone (Unified Endpoint Management) — комплексная платформа для централизованного управления мобильными устройствами в организации.

UEM SafePhone автоматизирует процессы управления смартфонами и планшетами. С одной стороны, SafePhone позволяет системному администратору организации централизованно управлять приложениями на устройстве сотрудника: устанавливать их, удалять или ограничивать использование.

С другой стороны, SafePhone обеспечивает безопасность корпоративной информации: позволяет защитить данные внутри приложений (за счет контейнеризации), обеспечивает защищенный доступ к рабочей почте, календарю и пр.

Подробнее о возможностях SafePhone тут

  • MDM (Mobile Device Management) – это управление мобильными устройствами, включая настройку политик безопасности, настройку беспроводных сетей и дистанционное выполнение команд, таких как удалённая блокировка или сброс к заводским настройкам при потере или краже устройства.
  • EMM (Enterprise Mobility Management) – более широкое понятие, включающее не только управление устройствами (MDM), но и управление мобильными приложениями (Mobile Application Management, MAM) и мобильным контентом (Mobile Content Management, MCM).

Платформа SafePhone относится к классу EMM.

  1. SafePhone сертифицирован ФСТЭК России (сертификат №4157 до 03.09.2024).
  2. SafePhone включен в Единый реестр российских программ для электронных вычислительных машин и баз данных (Рег. номер: 4435).
  3. SafePhone позволяет на практике реализовать требования ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций» для защиты мобильных устройств банковского сектора.

А значит:

  • Установив SafePhone на мобильные устройства, их можно применять в государственных информационных системах (ГИС) и информационных системах персональных данных (ИСПДн).
  • Приобретение лицензий и услуг технической поддержки SafePhone не зависит от санкций в отношении России и является приоритетным по сравнению с зарубежными аналогами в соответствие с постановлением Правительства РФ от 16 сентября 2016 г. № 925.

Конечный пользователь не может самостоятельно удалить SafePhone с Android устройств.

На устройствах iOS запретить удаление SafePhone нельзя. Это ограничение установлено производителем Apple для всех EMM решений. При этом Apple обеспечивает сохранность данных организации – если сотрудник удалил SafePhone со своего iOS-устройства, с него будут автоматически удалены все корпоративные настройки и приложения. Это исключает возможность несанкционированного доступа к данным компании с неуправляемых iOS устройств.

С помощью SafePhone администратор может настроить встроенные политики безопасности Android и iOS устройствах. Именно они позволяют запретить пользователю самостоятельно устанавливать или удалять приложения с мобильных устройств.

P.S. Если администратор установил такой запрет, то попадание на устройства malware исключено, что исключает потребность в мобильном антивирусе.

Лицензия SafePhone не привязана к ID устройства.

В случае потери или кражи устройства ее можно переустановить на другое мобильное устройство. Чтобы потеря или кража устройства не привела к потере корпоративных данных, с помощью SafePhone можно удаленно сбросить устройство к заводским настройкам, удалить с него корпоративные данные и определить его местоположение.

Лицензии UEM SafePhone приобретаются по количеству управляемых мобильных устройств. Узнать больше о видах лицензий можно в разделе.
SafePhone соответствует требованиям нормативных документов Российской Федерации в области информационной безопасности. Подробнее можно ознакомиться здесь.

SCEP – simple certificate enrollment protocol, протокол упрощённого и получения сертификатов (на удостоверяющем центре).
МУ – мобильное устройство.
ОС – операционная система.

Основные изменения

  1. Возможность разграничения доступа администраторов к управлению соответствующими МУ.
    Для администраторов филиалов и дочерних обществ на консоли управления SafePhone доступны только МУ соответствующего филиала (дочернего общества).
    Помимо доступных МУ и объектов учета разграничивается доступ к «назначаемым сущностям» – профилям, правилам управления приложениями и конфигурациям приложениям. У этих сущностей появился владелец. Владельцем сущности является филиал (дочернее общество) или другое подразделение ОШС, администратор которого создал эту сущность. Только администраторы подразделений-владельцев и администраторы вышестоящих подразделений ОШС могут изменять сущности или назначать их владельцами другие подразделения. Администраторы могут делегировать права назначения сущностей другим подчинённым подразделениям, чтобы их администраторы могли назначать в своих подразделениях типовые приложения и политики.
  1. Возможность создания Отчёта о применении правил управления приложениями.
    В отчёте содержится информация о правилах управления приложениями по конкретному подразделению, сотруднику или МУ.
  1. Изменена технология управление беспроводными сетями.
    Добавлена возможность настройки доступа к корпоративным Wi-Fi сетям, функционирующим в соответствии с стандартом IEEE 802.1X с внешней аутентификацией по пользовательским сертификатам и/или учётным записям. Настройка Wi-Fi сетей выполняется с помощью профилей, что позволяет удобно назначать их по отдельным подразделениям, сотрудникам и МУ.
    Объект «Точка доступа» исключен. При обновлении с SafePhone версии 4.1 необходимые профили будут созданы по зарегистрированным ранее точкам доступа автоматически.
  1. Генерация персональных QR кодов для подключения Android устройств.
    Вместе с каждым кодом приглашения генерируется персональный QR-код.
    На МУ с Android 7 и выше, поддерживающих функции платформы Android for Enterprise, для подключения устройства к SafePhone достаточно считать этот QR-код в процессе инициализации при первом включении устройства или после его сброса к заводским настройкам.
  1. В режиме «киоска» на Android-устройстве можно использовать несколько приложений.
    С помощью обновлённого режима «киоска» можно удобно настроить «белый» список доступных пользователю приложений.
  1. Больше не нужно указывать совместимость приложений с версиями ОС МУ.
    В условиях правил управления приложениями стало возможным указать на какие МУ ставить или не ставить приложения в зависимости от версии их ОС.
  1. Возможность создавать различные наборы политик для МУ с разными версиями ОС.
    В настройках профилей можно указать на МУ с какими ОС доставлять или не доставлять профили. В результате такой настройки в журнале событий не будет ошибок применения политик, связанных с попыткой применить политику на МУ, в чьей ОС она недоступна.
  1. Упрощён способ настройки подключения МУ к SafePhone.
    В предыдущих версиях для этого нужно было указать адреса серверов и сертификаты для подключения МУ в нескольких конфигурационных файлах и продублировать часть информации в объекте учёта «Точки доступа».
    Теперь все параметры централизованно управляются в объекте учёта «Подключения к серверам».
  1. Возможность настройки списка управляемых доменов iOS.
    Если запрещена передача данных из управляемых приложений в неуправляемые, то файлы, загружаемые с управляемых доменов с помощью Safari, нельзя будет открыть в неуправляемых приложениях.
  1. Возможность распространения доверенных серверных сертификатов.
    Android сертификаты можно распространять только на устройства. Распространение доверенных сертификатов в контейнеры запланировано в следующих версиях.
  1. Разделены правила управления Android приложениями на устройстве и в контейнере.
    Это позволит в следующих версиях учесть изменения Google в части работы с контейнерами – мобильный клиент, работающий в контейнере на Android 11, не будет обрабатывать правила, относящиеся к приложениям на устройстве. Существующие правила, которые требуют установки одного и того же приложения и на устройство, и в контейнер, будут автоматически разделены при обновлении с SafePhone версии 4.1.
  1. Исключена возможность установки обновлений БД на несовместимую версию.
    Обновления БД теперь «знают» для какой версии SafePhone они предназначены и не позволяют устанавливать себя на несовместимые версии SafePhone. Такие действия раньше могли привести к серьёзным ошибкам.
  1. Владельцы устройств iOS подключаются через портал регистрации посредством  браузера или приложения «SafePhone Клиент» из AppStore.
    Подключение происходит после ввода кода приглашения или доменную уч.запись.
  2. Владельцы устройств Android:
    • Samsung – с использованием KME, если устройство поддерживает эту технологию. Подключение по заранее загруженному дистрибьютером Samsung списку IMEI мобильных устройств.
    • Samsung (Android  версии 4-9) – установка приложения «Загрузчик» с дальнейшей регистрацией на портале регистрации.
      Подключение через код приглашения или доменную учетную запись.
    • Samsung (Android  версии 10) и мобильные устройства иных производителей – установка приложения «Загрузчик» через GoogleProvisioning, с получением прав DeviceOwner по QR-коду. Далее — подключение через портал регистрации по коду приглашения или доменную учетную запись.
    • Samsung (Android  версии 10) и мобильные устройства иных производителей – установка Монитора через GoogleProvisioning, с получением прав DeviceOwner, через QR-код, содержащий  код приглашения.
    • Устройства под управлением Android 6 – установка приложения «Загрузчик» с получением прав DeviceOwner через  ADB. Далее — подключение через портал регистрации по коду приглашения или доменную учетку.
    • Устройства под управлением Android 4,5 – модификация системного раздела, установка приложения «Загрузчик». Далее — подключение через портал регистрации по коду приглашения или доменную учетную запись.

Стоимость:

Срок действия лицензий зависит от выбранного тарифа. Лицензия может быть приобретена на 1 год, на 3 года или бессрочно. Для лицензий на 1 и 3 года техническая поддержка уже входит в стоимость.
Посмотреть условия лицензирования можно по ссылке.

Внедрение:

Да, есть облачная версия SafePhone. Услуга предоставляется по подписке. Используются серверные мощности ЦОД Safe DC компании НИИ СОКБ. Safe DC соответствует 1 классу и 1 уровню защищенности информационных систем, обрабатывающих государственные информационные ресурсы и персональные данные граждан.

Минимальный срок подписки на SaaS лицензию SafePhone от 6 месяцев. Техническая поддержка входит в стоимость лицензий.

Отличаются схемы лицензирования:

Минимальное количество приобретаемых лицензий on-premise SafePhone — 25 штук, SaaS лицензий – 10 штук.
Посмотреть условия лицензирования можно здес.

Техническая разница только в месте установки серверной группировки – локально у Заказчика (on-premise) или в ЦОД НИИ СОКБ (SaaS). Функциональных ограничений при использовании SaaS нет.

Заказчик может выполнить внедрение самостоятельно после прохождения обучения.

Обучение нужно для получения практических знаний о работе продукта – научиться разным способам подключения мобильных устройств, получить представление о задачах администратора и работе в консоли управления, самостоятельно произвести установку и обновление системы. Без этих навыков комфортная эксплуатация системы невозможна.

Техподдержка:

Техническая поддержка SafePhone нужна для доступа к обновлениям и получения разъяснений о работе продукта.

Техническая поддержка осуществляется через веб-портал https://service.niisokb.ru/.

Техническая поддержка входит в стоимость срочных лицензий SafePhone (на 1 или 3 года). В стоимость бессрочной лицензии входит техническая поддержка на первый год использования. На второй и последующие годы её нужно приобретать дополнительно.

Приобретая лицензии SafePhone на 1 и на 3 года, Заказчик «автоматически» получает техническую поддержку, т.к. она входит в стоимость лицензий.

В стоимость бессрочных лицензий входит техническая поддержка только на первый год. На второй и последующие годы техническую поддержку нужно приобретать отдельно. Без действующего контракта на техническую поддержку у Заказчика не будет доступа к обновлениям и не будет возможности задать вопрос о работе системы.

Устройства:

С помощью SafePhone можно управлять устройствами Android 4.4 и выше (рекомендуется 6 и выше) и устройства iOS 10 и выше. Список доступных функциональных возможностей зависит от версии ОС и производителя устройств.

Мы регулярно тестируем мобильные устройства, чтобы убедиться в том, что они позволят нашим Заказчикам использовать нужные им функции управления.

Актуальный список протестированных устройств доступен в личном кабинете.

Пилот:

Мы серьёзно относимся к своим Заказчикам. Даже на этапе пилотных проектов мы стараемся предложить Заказчикам персональное решение насущных задач.

  • Для этого перед началом пилотного проекта мы просим заполнить опросный лист, чтобы вместе с Заказчиком ответить на вопрос «Зачем мне нужно управлять мобильными устройствами?».
  • После чего обучаем специалистов Заказчика и предоставляем доступ к консоли управления в нашем ЦОД, чтобы пилот прошёл быстро и гладко.
  • По результатам пилота мы обязательно запрашиваем обратную связь о продукте, чтобы сделать его лучше.

Функции:

Режим iOS supervised позволяет администраторам корпоративной мобильности настраивать большее число политик безопасности. Этот режим определяет, что устройство является корпоративным и принадлежит использующей его компании, а не сотруднику.

Выполнение команд управления на iOS устройствах в режиме supervised не требует подтверждения пользователя. Например, установка приложений в режиме supervised будет осуществляться в «тихом» режиме.

Перевод iOS устройств в режим supervised осуществляется с помощью ПО Apple Configurator 2 для macOS.

В резервной копии сохраняется признак наличия режима supervised, и он восстанавливается вместе с резервной копией. Это означает, что восстановить данные из резервной копии, сделанной до перевода iOS устройства в режим supervised, нельзя. Поэтому мы рекомендуем принимать решение об использовании режима supervised как можно раньше, чтобы исключить недовольство пользователей, которые не смогут восстановить личные данные на устройствах.
Для iOS устройств достаточно установить пароль. Чтобы пользователи не забывали этого делать, мы рекомендуем настраивать требования к наличию пароля с помощью профиля парольных политик.

Для Android устройств ситуация отличается в зависимости от версии Android – на устройствах с Android 7 и выше шифрование внутренней памяти включено по умолчанию и его нельзя выключить. Для устройств с более ранними версиями Android нужно настроить соответствующую политику безопасности в профиле ограничений.

Да, но только на Android устройствах производства Samsung. На Android устройствах других производителей такой запрет недоступен. На устройствах iOS можно только отложить обновление на срок не более 90 суток. Отложенное обновление iOS доступно только для устройств в режиме supervised. Для настройки этих политик создайте и назначьте на устройства профили ограничений.
Нет, нельзя. Мы против того, чтобы работодатели прослушивали своих работников.

На iOS установка приложений не требует участия пользователя, если устройство работает в режиме supervised.

На Android устройствах участие пользователя требуется только в том случае, когда администратор корпоративной мобильности потребовал установить приложение из Google Play. В этом случае установка осуществляется от имени учётной записи пользователя и пользователю нужно её подтвердить.

Нет. При недоступности сервера на устройства не доставляются обновления корпоративных приложений и политик безопасности, но установленные приложения и политики работают в штатном режиме. События безопасности также не будут потеряны – мобильный клиент накапливает события, чтобы передать их на сервер, когда это станет возможно.

Если у вас остались вопросы, пишите на электронную почту info@niisokb.ru.

Или задайте их прямо сейчас:

Хочу спросить