Spis treści
- Co to jest MDM?
- Mobile device management w Google Workspace
- 8 konfiguracji MDM w konsoli Google Workspace, które zabezpieczą telefony pracowników
- 1. Wymuś stosowanie silnych haseł
- 2. Zarządzaj aplikacjami mobilnymi w organizacji
- 3. Wymagaj szyfrowania urządzenia
- 4. Blokuj urządzenia mobilne ze złamanymi zabezpieczeniami
- 5. Otrzymuj raporty o braku aktywności urządzeń mobilnych
- 6. Ustaw automatyczne czyszczenie danych z nieaktywnych urządzeń
- 7. Skonfiguruj automatyczne blokowanie urządzeń z Androidem, które nie są zgodne z zasadami organizacji
- 8. Wykorzystaj ustawienia dostępu zależnego od kontekstu
- Skorzystaj ze wsparcia FOTC przy konfiguracji opcji mobile device management
System MDM (ang. mobile device management) jest zawarty w każdym pakiecie Google Workspace. Jako administrator możesz zabezpieczyć dane służbowe na osobistych urządzeniach użytkowników oraz urządzeniach należących do organizacji, korzystając z ustawień zarządzania punktami końcowymi w konsoli Google Admin.
Co to jest MDM?
Mobile device management (w skrócie MDM) to oprogramowanie lub zestaw funkcji służących do zarządzania urządzeniami mobilnymi wykorzystywanymi przez użytkowników w organizacji. Rozwiązanie to pozwala Ci nie tylko odpowiednio zabezpieczyć wszystkie przenośne urządzenia w Twojej firmie, ale też monitorować je i zdalnie nimi zarządzać.
Ale czy w ogóle powinieneś przejmować się urządzeniami przenośnymi, nawet jeśli Twoja firma nie przyjęła u siebie polityki BYOD (ang. bring your own device), pozwalającej pracownikom na korzystanie z prywatnych sprzętów do wykonywania obowiązków służbowych? Okazuje się, że tak. Branżowi eksperci szacują, że nawet 75% osób i tak korzysta w pracy z przynajmniej jednego prywatnego urządzenia. Jak możemy się domyślać, za ten stan rzeczy odpowiada wygoda, z jaką wiąże się dostęp do firmowych danych na prywatnym smartfonie (czego przykładem może być możliwość sprawdzenia służbowej skrzynki mailowej).
Zamiast więc walczyć z wiatrakami, warto wziąć odpowiedzialność za odpowiednie zabezpieczenie danych, która Twoja firma przetwarza w chmurze. Poniżej pokażemy Ci, na które elementy warto zwrócić szczególną uwagę podczas konfiguracji instancji. A jeśli nie czujesz się na siłach, aby samodzielnie przejść przez ten proces, skontaktuj się z nami – nasi inżynierowie wszystkiego za Ciebie dopilnują. Funkcje zabezpieczeń zapewniają lepszą ochronę konta, szczegółową kontrolę dostępu i ochronę danych.
Mobile device management w Google Workspace
Możesz dostosować poziom ingerencji w ustawienia bezpieczeństwa na urządzeniach pracowników w ramach MDM do potrzeb organizacji, wybierając podstawowe lub zaawansowane opcje kontroli.
Podstawowe funkcje zarządzania punktami dostępów
Ten zestaw funkcji MDM przyda się w każdej firmie, bo pozwala ustawić podstawowe bariery dostępu dla nieupoważnionych osób, a także szybko zareagować na kradzież lub utratę urządzenia. Ten poziom zabezpieczeń w Google Workspace to m.in.:
- Spis wszystkich urządzeń, na których pracownicy zalogowali się na firmowe konto Google i automatyczne wykrywanie nowych urządzeń.
- Możliwość wymuszenia stosowania hasła lub blokady ekranu.
- Ochrona przed atakami hakerskimi i złośliwym oprogramowaniem.
- Zdalne wylogowywanie użytkownika i usuwanie danych firmy z urządzenia.
- Listy bezpiecznych aplikacji w systemie Android.
- Raporty urządzeń mobilnych, które pomagają wykryć podejrzaną aktywność.
- Wymuszenie ponownego logowania na urządzeniu.
Te podstawowe możliwości kontroli danych firmy, które pracownicy przetwarzają na swoich telefonach, są dostępne w każdym pakiecie Google Workspace – zarówno w wersjach biznesowych, jak i edukacyjnych. Mogą z nich korzystać nie tylko firmy, które dysponują własną flotą urządzeń mobilnych, ale też te działające w modelu BYOD, ponieważ stosowanie tych zabezpieczeń nie wymaga instalacji dodatkowych aplikacji na smartfonie.
Zaawansowane zarządzanie urządzeniami mobilnymi
Jeśli Twoja organizacja chce jednak zadbać o jeszcze wyższy standard ochrony danych na urządzeniach mobilnych, to administrator powinien skorzystać z zaawansowanych funkcji MDM. Można je stosować na kontach użytkowników z licencjami Google Workspace w wariantach Business Plus, Enterprise, Education Standard, Education Plus oraz na kontach objętych usługą Cloud Identity Premium.
Wśród zaawansowanych opcji mobile device management znajdziesz:
- Wymuszanie silnych kodów dostępu.
- Opcję zatwierdzania nowych urządzeń w konsoli administracyjnej.
- Zdalne czyszczenie pamięci urządzenia.
- Zarządzanie aplikacjami w systemie iOS.
- Rozszerzone raporty uwzględniające aplikacje i informacje o zabezpieczeniach.
- Zasady zabezpieczeń dotyczące szyfrowania, korzystania z aparatu, czy synchronizacji danych.
Do wprowadzenia niektórych z tych funkcji konieczna jest instalacja dodatkowej aplikacji, takiej jak Google Device Policy lub Android Device Policy. Konfiguracje ustawień MDM różnią się w zależności od producenta i wersji systemu operacyjnego urządzenia.
8 konfiguracji MDM w konsoli Google Workspace, które zabezpieczą telefony pracowników
Przedstawiamy osiem najważniejszych opcji kontroli urządzeń mobilnych, które warto skonfigurować w systemie mobile device management w Google Workspace.
1. Wymuś stosowanie silnych haseł
Podstawowe opcje MDM dają Ci możliwość narzucenia na pracowników obowiązku ustawienia blokady ekranu lub hasła na zarządzanych urządzeniach mobilnych – pomoże to chronić dane organizacji przed wglądem osób postronnych. Za pomocą zaawansowanych funkcji zarządzania urządzeniami mobilnymi możesz określić szczegółowe wymagania związane z hasłami takie jak:
- minimalna liczba znaków,
- okres ważności hasła,
- zapobieganie ponownemu użyciu wygasłego hasła,
- a nawet automatyczne czyszczenie pamięci urządzenia po określonej liczbie nieudanych prób zalogowania się.
2. Zarządzaj aplikacjami mobilnymi w organizacji
Administrator Google Workspace może decydować, które aplikacje pracownicy będą mogli znaleźć i zainstalować na swoich urządzeniach z systemem Android lub iOS. Zarządzanie aplikacjami odbywa się poprzez stworzenie listy dozwolonych aplikacji internetowych i mobilnych w konsoli administracyjnej Google. Do spisu możesz dodawać aplikacje publiczne, takie jak aplikacje innych firm z zakresu bezpieczeństwa, biznesu i zarządzania dokumentami, a także prywatne aplikacje na Androida.
W na liście możesz konfigurować niektóre ustawienia aplikacji zarządzanych, na przykład to, czy aplikacja jest automatycznie instalowana na urządzeniach i czy użytkownicy mogą samodzielnie ją odinstalować.
3. Wymagaj szyfrowania urządzenia
To ustawienie powoduje, że na urządzeniach wymagane jest szyfrowanie danych podczas blokady. Dzięki temu treści przechowywane na telefonie można odczytywać tylko wtedy, gdy urządzenie jest odblokowane. Wymuszenie szyfrowania pomoże zmniejszyć ryzyko wycieku danych w przypadku zgubienia, kradzieży lub sprzedania urządzenia mobilnego użytkownika.
4. Blokuj urządzenia mobilne ze złamanymi zabezpieczeniami
Telefon można zhakować na wiele sposobów, na przykład gdy znajduje się na nim odblokowany program rozruchowy, gdy ma zastosowaną niestandardową pamięć ROM lub gdy jest na nim plik binarny superużytkownika. Możesz uniemożliwić dostęp do danych konta firmowego użytkownikom korzystającym z urządzeń mobilnych ze złamanymi zabezpieczeniami. Zhakowane urządzenia zostaną zablokowane, a ich użytkownicy nie będą mieli dostępu do firmowych danych w usługach Google (takich jak Google Workspace czy Cloud Identity).
5. Otrzymuj raporty o braku aktywności urządzeń mobilnych
W przypadku firmowych urządzeń jedną z najbardziej podejrzanych aktywności jest brak aktywności. Google Workspace może dla co miesiąc generować dla Ciebie raport o urządzeniach z Androidem należących do firmy, które nie synchronizowały żadnych danych służbowych przez ostatnie 30 dni. Taki raport jest automatycznie wysyłany e-mailem do wszystkich superadministratorów i innych adresatów, którzy zostaną dodani w konsoli. W pliku znajduje się lista urządzeń, które są nieużywane i informacje o tym, kto się ostatnio na nich logował.
6. Ustaw automatyczne czyszczenie danych z nieaktywnych urządzeń
Brak aktywności łatwo jest przeoczyć, jeśli nie monitoruje się listy połączonych urządzeń na bieżąco. W systemie mobile device management w Google Workspace istnieje możliwość ustawienia reguły, zgodnie z którą pierwsze administracyjne kroki ochrony będą podejmowane samoczynnie, gdy tylko urządzenie zbyt długo pozostaje nieaktywne. Dzięki automatycznemu czyszczeniu dane konta służbowego i zarządzane aplikacje z urządzenia z Androidem są zdalnie usuwane, gdy przez określoną liczbę dni nie zostanie zarejestrowana żadna aktywność.
7. Skonfiguruj automatyczne blokowanie urządzeń z Androidem, które nie są zgodne z zasadami organizacji
Jeśli urządzenie przestanie spełniać wymogi dowolnej z zasad obowiązujących w organizacji, możesz je automatycznie zablokować lub całkowicie wyczyścić, blokując dostęp do służbowych danych. Użytkownik takiego urządzenia otrzyma odpowiednie powiadomienie.
Wyzwalaczami blokady mogą być stany i aktywności, takie jak:
- zmiana rejestracji konta,
- zdarzenie dotyczące działania na urządzeniu,
- zmiana aplikacji urządzenia,
- stan zgodności urządzenia (tylko Android),
- przejęcie urządzenia (tylko Android),
- aktualizacja systemu operacyjnego urządzenia,
- własność urządzenia (tylko Android),
- zmiana ustawień urządzenia (tylko Android),
- synchronizowanie urządzeń,
- nieudane próby odblokowania ekranu (tylko Android),
- podejrzana aktywność,
- obsługa profilu służbowego (tylko Android).
8. Wykorzystaj ustawienia dostępu zależnego od kontekstu
Dostęp zależny od kontekstu to zaawansowana konfiguracja dostępna w Google Worskspace Enterprise, Education Standard i Plus. Pozwala ustawić różne poziomy dostępu do danych w zależności od tożsamości użytkownika i kontekstu żądania. Sprawdzane atrybuty, to:
- podsieć IP,
- pochodzenie geograficzne,
- zasady dotyczące urządzeń,
- system operacyjny urządzenia.
Jak wykorzystać tę funkcję w praktyce? Jako administrator, możesz na przykład:
- Zablokować dostęp urządzenia mobilnego do aplikacji Google (internetowej i mobilnej). Na przykład jeśli urządzenie znajduje się poza określonym krajem lub regionem albo jeśli nie spełnia wymagań dotyczących szyfrowania i hasła.
- Utworzyć poziom dostępu dla Gmaila wymagający, by użytkownicy łączyli się z określonego zakresu adresów IP, a ich urządzenia były zaszyfrowane.
- Zezwalać na dostęp do aplikacji tylko z urządzeń firmowych oraz w sieci firmowej.
- Wykorzystać jedną z wielu innych kombinacji.
Pobierz nagrania z meetupu: Bezpieczeństwo i automatyzacja pracy w chmurze
Przeczytaj też:
- Zarządzanie punktami końcowymi – jak dbać o bezpieczeństwo służbowych laptopów?
- 5 zasad dbania o bezpieczeństwo danych w firmie
- Praca zdalna a bezpieczeństwo danych – jak uchronić firmę przed nowymi zagrożeniami?
- Klucz bezpieczeństwa U2F – co to jest i jak działa
Skorzystaj ze wsparcia FOTC przy konfiguracji opcji mobile device management
FOTC to zespół certyfikowanych inżynierów chmury Google, którzy zawsze są gotowi wesprzeć klientów w rozwiązywaniu problemów z konfiguracją kluczowych systemów ochrony danych w firmie. Z naszą pomocą będziesz w stanie zbudować lepsze środowisko hybrydowej współpracy online dla swoich pracowników. Ale wsparcie, szkolenia i ekspercka wiedza to nie wszystko. Współpraca z partnerem Google Cloud pozwoli Ci także zoptymalizować koszty usługi Google Workspace dzięki unikalnym rabatom. Porozmawiaj z nami o potrzebach swojej firmy, a przygotujemy dla Ciebie spersonalizowaną ofertę wdrożenia chmurowych usług (wraz z migracją danych), lub przeniesienia licencji do FOTC.