現代の企業業務の重要な部分はモバイルデバイス上で行われています:電子メール、ドキュメントアクセス、カレンダー、バンキング、医療アプリケーション、監査システム。現場スタッフ、営業チーム、医療従事者、管理職が業務デバイスとしてスマートフォンやタブレットを使用しています。
それでもほとんどの企業セキュリティインフラにとってモバイルデバイスは不可視です。ADCとWAAPプラットフォームはモバイルのブラウザ/アプリケーショントラフィックを見られますが、デバイスそのものに関するデータを収集できません。MDMのニーズは通常、別の製品、別のライセンス、別の運用チームで満たされます。
この分断は2つの問題を生みます。第一に:モバイルデバイスのアクセスポリシーがAAMと統合されません。デバイスポスチャとアクセス判断が別々の場所に存在します。第二に:SOCとITチームはインシデント中に2つの別々のインターフェースを見なければなりません。
TR7 ETMはこの分断を埋めます。モバイル管理は、デスクトップ管理の自然な拡張として同じプラットフォームで提供されます。
TR7 ETMは、モバイルとデスクトップのデバイス向けに同じ運用モデルを提供します — テレメトリー、アクション、ポリシー、監査が共通です。
デバイスにコマンドを伝送するために、iOSとAndroidのネイティブpushとMDM標準が利用されます。サードパーティのMDMソリューションは不要です。ETMは組み込みMDMとして動作します。
オペレーターはAndroidデバイスにポリシーを適用しながら、デスクトップにライブクエリを実行できます。別々のツール、別々のトレーニング、別々の監査はなく — 単一のTR7プラットフォームを通じて行われます。
モバイルデバイスのコンプライアンスシグナル — jailbreak、root、OSレベル、暗号化、MDM制御下にあるか否か — がAAMの条件付きアクセスポリシーに直接供給されます。アクセス判断はモバイルデバイスについてもデバイス信頼に基づいて行われます。
Androidの仕事用プロファイルとiOSの管理対象アプリケーション構成により、業務データが個人データから分離されます。個人デバイス (BYOD) シナリオではユーザーの個人アプリケーションに触れることなく企業データが管理されます。デバイス紛失時には仕事用プロファイルのみが削除されます。
組み込みMDMは、現場のすべてのデバイスタイプを区別なくTR7管理レイヤーに取り込みます。
デバイス登録フローはシナリオに応じて構成されます:企業が購入したデバイス向けのzero-touch enrollment、ユーザーが持ち込んだデバイス向けのセルフサービス登録、企業デバイス向けのMDMコマンドチェーン。プラットフォームは企業デバイスプログラムとの統合をサポートします。
企業Wi-Fiネットワーク、VPN構成、電子メールアカウント定義、クライアント証明書がプロファイルとしてデバイスに伝送されます。ユーザーは手動構成を行わず、ポリシー変更はデバイスインベントリ全体に自動配布されます。
企業アプリケーションは自動インストールでき、古いバージョンは更新強制で更新でき、禁止アプリケーションはブロックまたは削除できます。iOS managed appとAndroid work profile内のアプリケーションは完全に制御下にあります。
デバイスがコンプライアントとみなされるための最小条件が定義されます:OSバージョン、ディスク暗号化、ロック画面タイプ、生体認証の有効化、USBデバッグ状態。非準拠のデバイスはアクセスから外されるか、制限されます。
Jailbreakまたはrootされたデバイスは自動的にnon-compliantクラスに分類されます。このシグナルはAAMの条件付きアクセス判断に即座に反映されます。バンキング、医療、公共アプリケーションのような高機密シナリオではアクセスが直接ブロックされます。
デバイスが紛失したとき2つの選択肢があります:完全ワイプ(factory reset、企業データと個人データを含む)または選択的ワイプ(仕事用プロファイルのみ)。個人デバイス (BYOD) シナリオでは選択的ワイプがユーザーの個人データを保護します。
企業ポリシーの許可によりデバイスの位置情報を監視できます。地理的境界の外に出たデバイスに対してポリシートリガーが作動します。この機能は特に国境を越えるデータ移転の制約がある分野で利用されます。
クライアント証明書、ルート証明書、アプリケーション署名証明書がデバイスに自動配布されます。証明書の更新、失効、配布が中央で管理されます。ユーザーは手動インストールを行いません。
高セキュリティ環境向けに、カメラの使用、マイクアクセス、画面録画、外部デバイス接続をポリシーで管理できます。会議室シナリオ、機密の現場、または公共/防衛環境に適しています。
新しいポリシーが定義されると、デバイスはプラットフォーム標準のpushチャネルを通じて通知されます。ポリシーは数分以内に適用されます。ユーザーは再起動や接続確立を待ちません。
組み込みMDMは単なる技術的能力ではなく、モバイル群向けの完全な管理モデルを提供します。
モバイルとデスクトップのデバイスアクションが同じ監査証跡に集まります。コンプライアンスチームは別々のレポーティングを行う必要がなく、1つのインシデントについて両方のデバイスタイプからデータが併せて届きます。
モバイルポスチャシグナル(コンプライアンス、jailbreak、OSバージョン)はAAMの条件付きアクセスポリシーの直接の入力です。アクセスポリシーはデバイスタイプではなく、デバイス信頼に基づいて書かれます。
企業が購入したデバイス向けにzero-touch enrollmentがサポートされます。デバイスの電源が入ると自動的にMDMの対象になります。ユーザーはsetup wizardで追加の手順を踏みません。
Androidの仕事用プロファイルとiOSの管理対象アプリケーション構成が、個人データと業務データを物理的に分離します。企業は仕事用プロファイルのみを見て管理します。個人データへのアクセスはありません。
デバイスから収集されたデータは企業ネットワーク内、TR7管理ストレージに保持されます。クラウドMDMへの依存はありません。データ最小化と国境を越えるデータ移転の制約向けに適切な構成が可能です。
単一のTR7クラスターから数万台のモバイルデバイスを管理できます。一括ポリシー配布、デバイスインベントリ全体でのアプリケーションインストール、ライブのコンプライアンスクエリがスケールします。
医師は自身のタブレットでGDPRと医療データのコンプライアンスを満たす必要があります。ETM MDMは仕事用プロファイルを配布します。個人アプリケーションに触れることなく、企業電子メール、患者管理システム、証明書ベースのアクセスが安全なプロファイル内で動作します。デバイス紛失時には仕事用プロファイルのみが削除されます。
物流、エネルギー、インフラ分野の現場スタッフは企業デバイスを使用します。zero-touch enrollmentによりデバイスの電源が入ると自動的にMDMの対象になります。現場アプリケーションが自動インストールされ、Wi-FiとVPN設定が手動対応なしで配布されます。
バンキングまたは金融サービス向けにAAMアクセスポリシーがモバイルデバイス信頼に結びつきます。jailbreakされたデバイス、古いOSバージョン、または無効な暗号化を理由とするnon-compliantデバイスはアプリケーションアクセスを得られません。判断はライブシグナルに基づいて行われます。
ユーザーがデバイス紛失を報告すると、ITオペレーターはワンクリックで選択的ワイプまたは完全ワイプを適用します。個人デバイス (BYOD) シナリオではユーザーの個人写真とアプリケーションは失われず、仕事用プロファイルのみがクリアされます。企業データは数分以内にデバイスから削除されます。
ETM MDMをお客様自身のモバイルインベントリでライブで見てみましょう — パイロットグループ向けの構築セッションを計画しましょう。