В последнее время достаточно много людей попадает на мой блог с поисковых систем по запросам, связанным с управлением iPhone. В этой статье я коротко расскажу о возможных способах решения этой задачи в корпоративной среде. Но перед тем, как приступить к обсуждению темы, я хочу высказать свое мнение. На мой взгляд, в данный момент, да простят меня поклонники продукции Apple, iPhone не готов выступить в роли корпоративного устройства, как бы производитель не пытался доказать обратное. Основных причин – две:
- Практически всегда выход новых прошивок приводит к массовым обращениям пользователей в службу технической поддержки. Обоснование – самый последний крупный «косяк» связан с неправильной работой ActiveSync при обновлении ОС с версии 3.1 до 4. В результате этой неприятности пользователи не могли синхронизировать данные своих аппаратов с Exchange или Google Sync, что означало, например, невозможность работы с почтой, контактами и календарем с устройства и, как следствие, снижение скорости реакции пользователей… До этого были проблемы с ActiveSync при выходе обновления iPhone OS 3.1. Были проблемы с выполнением удаленной очистки до ОС 3.1. И т.д. И это только те проблемы, которые относятся к ActiveSync, т.е. к бизнес-функциям. В общем, если нужна статистика – поищите в «паутине».
- Конечная цена решения. Нужно понимать, что iPhone – это нечто имиджевое, и поэтому не может быть дешевым. Если взять для базового расчета компанию, где устройства выдаются 200 сотрудникам и среднюю стоимость нового устройства 3G в нашей стране на уровне 700 у.е., то получается дороговато, даже с постепенным переходом. Поэтому наиболее распространенным сценарием будет следующий – VIP’ам по iPhone, а рядовым сотрудникам агрегаты попроще (причем половина устройств будет принадлежать самим сотрудникам, а не компании – такова реальность). Но тут возникает следующая проблема – либо нужно внедрять решение по управлению, которое работает с несколькими платформами, либо каждый iPhone будет настраиваться индивидуально при помощи шаблона и об оперативном управлении можно забыть.
Вот так… А теперь по теме.
Как я уже написал, при управлении возможны два варианта – использование шаблона для настройки каждого устройства и использование систем MDM, для управления несколькими платформами, в т.ч. и iPhone.
Часть I. Индивидуальная настройка iPhone
Для индивидуальной настройки iPhone можно использовать следующий сценарий – при помощи утилиты iPhone Configuration Utility создается шаблон (или профиль) с настройками (Configuration Profile), а потом производится его доставка на устройство и установка.
Сама утилита выглядит так:
При запуске iPhone Configuration Utility перед вами открывается окно, в левой части которого имеется четыре вкладки. Для настройки параметров используется Configuration Profiles, которая также содержит полтора десятка пунктов. Каждый из них позволяет выполнить следующие настройки:
- General – имя устройства, его идентификатор, имя организации и т.д.
- Passcode – управление парольными политиками, такими как длина, сложность, параметры блокировки и т.д.
- Restrictions – управление различными ограничениями при работе – контент, использование приложений, установка приложений, использование встроенной видеокамеры
- Wi–Fi – управление настройками Wi-Fi. Поддерживаются следующие стандарты – WEP, WPA Personal, WPA Enterprise, WPA2 Personal, WPA2 Enterprise, EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, PEAP v0, PEAP v1, LEAP
- VPN – управление подключениями VPN с использованием PPTP, L2TP или Cisco IPSec VPN, а также настроек прокси-сервера при необходимости
- Email – управление настройками электронной почты с доступом по POP и IMAP
- Exchange – управление настройками подключения к серверу Exchange
- LDAP – управление подключением к серверу LDAP
- CalDAV – управление подключением к сервисам CalDAV (веб-сервис для работы с календарями)
- Subscribed Calendars – настройки подписок на календари. Используются совместно с CalDAV
- Web Clip – управление ссылками (избранные веб-страницы)
- Credentials – позволяет добавлять новые цифровые сертификаты на устройство
- SCEP – настройки для сервера SCEP
- Advanced – управление настройками GPRS / 3G
В общем, настроек достаточно много, но все пункты понятны. По итогам работы с утилитой вы получаете тот самый профиль – файл с расширением mobileconfig и разметкой XML внутри, который вам нужно будет распространить на устройства одним из способов:
- Через публикацию профиля на веб-сайте. При этом ссылку на профиль можно разослать при помощи SMS.
- Использовать почтовую рассылку с профилем во вложении.
- Подключив устройство локально к ПК с установленной утилитой и созданным профилем.
При всей простоте такого управления необходимо учитывать несколько нюансов:
- Главным требованием при публикации профиля на веб-сайте является наличие сертификата безопасности, но допускается использование самоподписанных.
- На веб-сервере нужно добавить новый тип MIME – application/x-apple-aspen-config mobileconfig.
Часть II. Использование систем MDM
Если настройка устройств при помощи профилей по каким-то причинам не подходит, то можно посмотреть в сторону систем MDM. На данный момент наиболее интересными выглядят три решения, о которых я расскажу. Но поскольку это обзорная статья, то таких подробностей, как, например, установка ПО в ней не будет.
Afaria
Sybase Afaria – решение от компании Sybase, поддерживающее работу с Windows CE, Windows Mobile 2003 – 6.5, Symbian, Palm webOS, BlackBerry, Java и iPhone, включая iOS4.
Некоторое время назад я уже писал небольшой обзор по Afaria и теперь могу порекомендовать почитать его тем, кто захочет узнать об этом продукте больше. Поддержка iPhone появилась в Afaria только в самой последней версии с номером 6.5 и в данный момент выглядит так – существует система управления мобильными устройствами под названием Afaria, для которого устанавливается отдельный компонент (Feature Pack) под названием Afaria iPhone Configuration Manager. Этот компонент добавляет возможности по инициализации устройств от Apple и управлению ими.
Перед тем, как объяснить принцип работы Afaria с iPhone, я хочу напомнить о том, какие компоненты входят в состав этой системы и что они делают:
- Afaria Server – основной компонент системы, являющийся его ядром;
- SMS Gateway – компонент, который отвечает за отправку на устройства управляющих SMS;
- Afaria Administrator – консоль администратора для управления сервером.
При установке iPhone Configuration Manager добавляется еще один компонент:
- iPhone Provisioning Server – который отвечает за доставку конфигурационных файлов на устройства.
Общий смысл работы Afaria с iPhone таков – администратор использует ранее упомянутую утилиту iPhone Configuration Utility для генерации файлов настроек. Потом эти файлы импортируются в консоли управления в систему и автоматически публикуются на веб-сервере. Далее администратором создаются записи об используемых устройствах iPhone, в которых указываются телефонный номер устройства, имя владельца, группа устройств и IMEI (не является обязательным). После этого устройству (либо группе устройств) назначается конфигурация.
Упрощенно процесс доставки выглядит так:
- При помощи SMS Gateway на устройство отсылается короткое сообщение, в котором содержится ссылка на iPhone Provisioning Server;
- Устройство подключается к серверу. В процессе подключения пользователю предлагается аутентифицироваться;
- На устройство доставляются настройки, назначенные администратором.
Но это упрощенная схема, т.к. в процессе помимо прочего происходит выпуск сертификата на устройство, который в процессе используется для аутентификации.
К особенностям данного решения я хотел бы отнести следующие факты:
- Afaria работает с устройствами без установки агента;
- Управлять можно всеми параметрами, которые доступны в утилите от Apple, но не более;
- Есть возможность использования SSL при подключении устройств к серверу;
- При попытке назначить устройству сразу несколько настроек могут возникнуть проблемы, поэтому лучше перед этим ответственным шагом почитать инструкцию, в которой есть соответствующая матрица.
Как итог могу сказать, что использовать Afaria для управления только iPhone это тоже, что и забивать гвозди микроскопом – можно, но глупо. На мой взгляд, это решение имеет ряд неудобств, но все эти недостатки компенсируются огромными возможностями при управлении несколькими платформами. В общем, если интересно – рекомендую посетить продуктовую страницу и ознакомиться с огромным количеством размещенных там материалов.
MobileIron
MobileIron Virtual Smartphone Platform – клиент-серверное решение от MobileIron, которое поддерживает работу с Windows Mobile, Symbian, BlackBerry, Palm webOS и iPhone, включая iOS4.
Основная концепция продукта заключается в том, что каждое устройство имеет своего виртуального двойника, который размещается на сервере системы, и администратор работает только с ним. А устройство, подключаясь к сервису для синхронизации настроек, получает их именно от этого виртуального двойника. Не могу сказать про какую-либо мегаэффективность этого подхода, но разработчик утверждает, что она есть.
MobileIron позволяет управлять следующими настройками:
- Настройки безопасности – парольные политики, шифрование, блокировка приложений и видеокамеры;
- Настройки подключений к различным сервисам (Wi-Fi, VPN, Exchange, POP/IMAP и т.д.);
- Управление сертификатами.
Но кроме этого (все это можно и iPhone Configuration Utility), появляются такие удобные вещи, как:
- Механизмы коррекции настроек на телефоне;
- Возможность инвентаризации устройств (как аппаратной части, так и имеющегося ПО);
- Управление параметрами удаленной очистки (например, выполнение очистки в случае, если устройство не подключалось к серверу на протяжении определенного количества дней);
- Портал самообслуживания для пользователей (для инициализации устройств и выполнения разрешенных пользователю настроек);
- Управление сервисом с использованием RBAC;
- Построение различных отчетов;
- И много других приятных, но не жизненно важных фич…
В общем случае внедрение этого решения сводится к следующим действиям – приобретение продукта, который поставляется либо в виде готового аппаратно-программного комплекса (appliance), либо в виде виртуальной машине; развертыванию комплекса в сети предприятия; установка клиентов на устройства (клиентская часть доступна на App Store). После этого администратор может начинать работу, используя веб-консоль.
Если вы захотите узнать об этом решении более подробно, то можете посетить продуктовую страницу. Также рекомендую к просмотру небольшое видео о возможностях MobileIron.
Good
Good Mobile Control – решение от Good Technology, поддерживающее работу с Windows Mobile, Symbian, Palm webOS, Android и iPhone.
Good Mobile Control входит в состав программного комплекса под названием Good for Enterprise, обеспечивающего выполнение нескольких задач – управление мобильными устройствами (Good Mobile Control, организация доступа к ресурсам предприятия с мобильных устройств (Good Mobile Access) и работу с корпоративной почтой, календарями, контактами (Good Mobile Messaging).
Главной особенностью этого решения для iPhone является тесная интеграция с почтовой системой Exchange Server (версии не ниже 2007 SP1), а точнее – без Exchange вся эта конструкция работать не будет. По каким-то причинам (возможно, исторически так сложилось) сам Mobile Control обеспечивает управление только следующим набором параметров:
- Политика паролей;
- Настройка VPN-подключений;
- Настройка беспроводных подключений;
- Настройка ограничений на подключения;
- Удаленная очистка.
А все остальные (почтовые политики, шифрование, политики приложений и т.д.) обеспечиваются через политики ActiveSync.
Для работы с Mobile Control необходимо установить следующие компоненты:
- Good Mobile Control Server;
- Good Messaging Server;
- Good Messaging Client на клиентские устройства.
Инициализация устройств Over-the-Air (т.е. удаленно) выполняется следующим образом: в веб-консоли Mobile Control создается запись о новом устройстве и пользователе. При этом на Messaging Server автоматически создается ящик, с которым работает агент Good. После этого пользователь с устройства заходит на внешний портал Mobile Control, вводит данные своей учетки и его устройство автоматически получает настройки, назначенные администратором ранее.
Вообще продукт обладает большим количеством нюансов и если у вас возникнет желание узнать о нем больше, то вы можете почитать гайд для администраторов.
Итог
В общем, на рынке есть решения, которые позволяют управлять большим количеством iPhone в корпоративной среде. Три перечисленных системы не являются единственными, существуют и другие, например от Trust Digital, которую в начале этого июня приобрела компания McAfee. Но эффективность использования любой из них должна рассчитываться исходя из потребностей вашей компании, доступным бюджетом и пониманием того, для чего все это делается.
Алексей Ватутин
кого-то не хватает… из разработчиков ent решений “доступ-управление” мобильниками 🙂
А может он потом подтянется? 🙂
“кого-то не хватает… из разработчиков ent решений «доступ-управление» мобильниками”
Тут подумалось – тогда не только MS, но и Google с его Google Sync можно добавлять – фактически-то тот же ActiveSync.
наиболее интересно когда подобие vpn присутствует в продукте
блин, и все-таки не могу вспомнить еще фирму…из трех букв 🙂
RIM? Работает с iPhone?
А то у голубых гигантов я решений по управлению мобильными устройствами в принципе не припомню. Хотя, иногда мне кажется, что они сами не в курсе того, что у них есть…
Кто бы еще из трехбуквенных мог бы быть? 🙂