Uma parte importante do trabalho corporativo moderno é feita por dispositivo móvel: e-mail, acesso a documentos, calendário, banco, aplicativos de saúde, sistemas de inspeção. Pessoal de campo, equipes de vendas, profissionais de saúde e executivos usam telefone ou tablet como dispositivo de trabalho.
Ainda assim, para a maioria da infraestrutura de segurança corporativa, o dispositivo móvel é invisível. As plataformas ADC e WAAP veem o tráfego de navegador/aplicativo móvel, mas não conseguem coletar dados sobre o próprio dispositivo. A necessidade de MDM costuma ser atendida com um produto separado, uma licença separada e uma equipe de operações separada.
Essa separação cria dois problemas. O primeiro: a política de acesso do dispositivo móvel não se une ao AAM; a postura do dispositivo e a decisão de acesso vivem em lugares diferentes. O segundo: as equipes de SOC e TI são obrigadas a olhar duas interfaces separadas durante um incident.
O TR7 ETM fecha essa separação. A gestão móvel é oferecida na mesma plataforma como uma extensão natural da gestão desktop.
O TR7 ETM oferece o mesmo modelo operacional para dispositivos móveis e desktop — telemetria, ação, política e auditoria comuns.
Para transmitir comandos aos dispositivos, são usados os padrões nativos de push e MDM do iOS e do Android. Não é necessária uma solução MDM de terceiros; o ETM funciona como MDM integrado.
Um operador pode aplicar política a um dispositivo Android enquanto executa consulta ao vivo no desktop. Sem ferramenta separada, sem treinamento separado, sem auditoria separada — tudo a partir de uma única plataforma TR7.
Os sinais de conformidade do dispositivo móvel — jailbreak, root, nível do SO, criptografia, se está ou não sob controle do MDM — são alimentados diretamente na conditional-access policy do AAM. A decisão de acesso para o dispositivo móvel também é tomada conforme a confiança do dispositivo.
Com o perfil de trabalho do Android e a configuração de aplicativo gerenciado do iOS, os dados de trabalho são separados dos dados pessoais. Em cenários de dispositivo pessoal (BYOD), os dados corporativos são gerenciados sem tocar nos aplicativos pessoais do usuário; em caso de perda do dispositivo, apenas o perfil de trabalho é apagado.
O MDM integrado inclui na camada de gestão TR7 todos os tipos de dispositivos em campo, sem distinção.
O fluxo de registro de dispositivo é configurado conforme o cenário: zero-touch enrollment para dispositivo adquirido pela organização, registro self-service para dispositivo trazido pelo usuário, cadeia de comando MDM para dispositivo corporativo. É suportada a integração da plataforma com programas de dispositivos corporativos.
Redes Wi-Fi corporativas, configurações de VPN, definições de conta de e-mail e certificados de cliente são transmitidos ao dispositivo como perfil. O usuário não faz configuração manual; uma mudança de política é distribuída automaticamente a todo o inventário de dispositivos.
Aplicativos corporativos podem ser instalados automaticamente, versões antigas podem ser renovadas com obrigatoriedade de atualização, aplicativos proibidos podem ser bloqueados ou apagados. Os aplicativos dentro do managed app do iOS e do work profile do Android ficam sob controle total.
Para o dispositivo ser considerado conforme, são definidas condições mínimas: versão do sistema operacional, criptografia de disco, tipo de tela de bloqueio, atividade biométrica, estado de depuração USB. Dispositivos não conformes são impedidos de acessar ou restringidos.
Dispositivos com jailbreak ou root são automaticamente colocados na classe non-compliant. Esse sinal reflete-se instantaneamente na decisão de conditional-access do AAM; em cenários de alta sensibilidade como aplicações bancárias, de saúde ou do setor público, o acesso é bloqueado diretamente.
Quando o dispositivo é perdido, há duas opções: wipe total (factory reset, incluindo dados corporativos e pessoais) ou wipe seletivo (apenas o perfil de trabalho). Em cenários de dispositivo pessoal (BYOD), o wipe seletivo protege os dados pessoais do usuário.
Com autorização da política da organização, a localização do dispositivo pode ser monitorada; para um dispositivo que sai dos limites geográficos, um gatilho de política é acionado. Esse recurso é usado especialmente em setores com restrição de transferência transfronteiriça de dados.
Certificados de cliente, certificados raiz e certificados de assinatura de aplicativos são distribuídos automaticamente aos dispositivos. A renovação, revogação e distribuição de certificados são gerenciadas de forma centralizada; o usuário não faz instalação manual.
Para ambientes de alta segurança, o uso da câmera, o acesso ao microfone, a gravação de tela e a conexão de dispositivos externos podem ser gerenciados por política. É adequado para cenários de sala de reunião, locais sensíveis ou ambientes do setor público/defesa.
Quando uma nova política é definida, o dispositivo é alertado pelo canal de push nativo da plataforma; a política é aplicada em minutos. O usuário não precisa esperar por reinício ou estabelecimento de conexão.
O MDM integrado não é apenas uma capacidade técnica; oferece um modelo de gestão completo para frotas móveis.
As ações de dispositivos móveis e desktop acumulam-se na mesma trilha de auditoria. As equipes de compliance não precisam fazer relatórios separados; para um incident, os dados de ambos os tipos de dispositivo chegam em conjunto.
O sinal de postura móvel (conformidade, jailbreak, versão do SO) é uma entrada direta da conditional-access policy do AAM. A política de acesso é escrita conforme a confiança do dispositivo, não conforme o tipo de dispositivo.
Para dispositivos adquiridos pela organização, é suportado o zero-touch enrollment. Quando o dispositivo é ligado, entra automaticamente no escopo do MDM; o usuário não executa passos adicionais no setup wizard.
O perfil de trabalho do Android e a configuração de aplicativo gerenciado do iOS separam fisicamente os dados pessoais e de trabalho. A organização vê e gerencia apenas o perfil de trabalho; não tem acesso aos dados pessoais.
Os dados coletados dos dispositivos são mantidos na rede da organização, no repositório de gestão TR7. Não há dependência de MDM em nuvem. Pode-se realizar uma configuração adequada à minimização de dados e às restrições de transferência transfronteiriça de dados.
Dezenas de milhares de dispositivos móveis podem ser gerenciados a partir de um único cluster TR7. A distribuição de política em massa, a instalação de aplicativos em todo o inventário de dispositivos e a consulta de conformidade ao vivo escalam.
O médico precisa estar em conformidade com o GDPR e com a proteção de dados de saúde em seu próprio tablet. O ETM MDM distribui um perfil de trabalho; sem tocar nos aplicativos pessoais, o e-mail corporativo, o sistema de gestão de pacientes e o acesso baseado em certificado funcionam dentro do perfil seguro. Em caso de perda do dispositivo, apenas o perfil de trabalho é apagado.
O pessoal de campo dos setores de logística, energia ou infraestrutura usa dispositivo corporativo. Com zero-touch enrollment, ao ser ligado, o dispositivo entra automaticamente no escopo do MDM; os aplicativos de campo são instalados automaticamente e as configurações de Wi-Fi e VPN são distribuídas sem necessidade de intervenção manual.
Para serviços bancários ou financeiros, a política de acesso do AAM é vinculada à confiança do dispositivo móvel. Dispositivos com jailbreak, versão antiga do SO ou criptografia desabilitada, considerados non-compliant, não obtêm acesso ao aplicativo. A decisão é tomada com base em sinal ao vivo.
Quando o usuário comunica a perda do dispositivo, o operador de TI aplica wipe seletivo ou wipe total com um clique. No cenário de dispositivo pessoal (BYOD), as fotos e aplicativos pessoais do usuário não são perdidos; apenas o perfil de trabalho é limpo. Os dados corporativos são removidos do dispositivo em minutos.
Vamos ver o ETM MDM ao vivo no seu próprio inventário móvel — vamos planejar uma sessão de implantação para um grupo piloto.