InTune – bezpieczeństwo urządzeń mobilnych w sieci firmowej

Na wstępie informuje: nie jestem specjalistą w dziedzinie bezpieczeństwa tylko hobbistycznie lubię wiedzieć co w trawie piszczy. Sam artykuł jest raczej dla laików, którzy maja wątpliwości czy podpinać swój telefon do sieci firmowej poprzez usługi Microsoft.

Połączenie się z siecią firmową pozwala nam na dostęp do zasobów danej firmy: usługi SharePoint (strony internetowe, dostęp do plików), Yammer (społecznościówka firmowa), Teams (powiedzmy, że komunikator bo tak po prawdzie jest to zdecydowanie coś więcej) i innych.

Sama konfiguracja ogólnie nie sprawia problemów bo wystarczy zainstalować program który jest objęty usługami bezpieczeństwa. Jeżeli tak jest, to aplikacja wymusi zainstalowanie dodatkowego programu (dla iOS jest to Portal Firmy), który wpływa na zabezpieczenia naszego urządzenia. Aplikacja ta wymaga zainstalowania dodatkowego certyfikatu bezpieczeństwa w naszym urządzeniu. Dzięki temu certyfikatowi możemy właśnie korzystać z zasobów sieci firmowej.

Poniżej znajdują się zrzuty z urządzenia. Początek procedury:

Informacja o konieczności pobrania profilu:

Certyfikat (tutaj akurat niepowodzenie ze względu na występowanie innego, podobnego certyfikatu, który nie jest zgodny):

Po samej instalacji dowiadujemy się co administrator sieci może zrobić a co nie z naszym urządzeniem:

Czyli na pewno nie będzie miał dostępu do naszych prywatnych danych ale za to może wymusić na nas zmianę polityki bezpieczeństwa poprzez np: wymuszenie stosowania bardziej skomplikowanego hasła, zabezpieczenie każdej aplikacji hasłem lub danymi biometrycznymi (odcisk palca, skan twarzy) lub wymuszenie stosowania antywirusa lub innych programów które mają wpływ na nasze bezpieczeństwo.

Może również mieć możliwość sprawdzenia jakie aplikacje mamy zainstalowane, przy czym średnio ich interesuje czy mamy Tindera czy klienta PornHuba, raczej chodzi o aplikacje które mogą wpływać na obniżenie poziomu bezpieczeństwa naszego urządzenia. Root tudzież JailBreak może spowodować niemożność połączenia się z siecią firmową jeśli taka polityka została wprowadzona przeze firmę. Również niektóre aplikacje, które powodują pozorację niektórych czujników mogą mieć wpływ na nasze bezpieczeństwo.

W zamian za to uzyskujemy pewne „bonusy” z tym związane: w przypadku utraty telefonu administrator może zdalnie wymusić wyczyszczenie naszego telefonu, usunięcie samych danych firmowych lub zablokowanie telefonu (jako użytkownik który ma hasło możemy oczywiście go od razu odblokować hasłem). W niektórych przypadkach jeśli taka jest polityka administrator ma możliwość sprawdzenia lokalizacji urządzenia.

Po zarejestrowaniu urządzenia mamy taką informację:

Dla niedowiarków zrzuty z panelu administracyjnego, gdzie w ramach Fundacji Galion mam również w ten sposób przypięte niektóre urządzenia. Sama lista urządzeń wygląda tak (filtr wg systemu, tutaj iOS):

Możliwości panelu administracyjnego:

Mamy możliwość wycofać urządzenie, czyli usunąć dane firmowe z urządzenia:

Zrobić pełny wipe urządzenia:

Zablokować:

Lub wykonać inne czynności takie jak:

W przypadku pomocy zdalnej administrator ma możliwość połączenia się z urządzeniem ale tylko: gdy wcześniej potwierdzimy, że chcemy mieć taką możliwość (podczas instalacji, łączenia z siecią firmową) i później każdorazowo konieczne jest potwierdzenie zdalnego połączenia z urządzeniem.

Same informacje o urządzeniu wyglądają tak:

Odnalezione aplikacje (w mojej sieci nie wymagam tego), tutaj by była lista wszystkich programów jakie są zainstalowane:

Jak widzimy szpiegowanie telefonu użytkownika jest częściowo możliwe ale są to raczej mało istotne informacje z punktu widzenia samego użytkownika. Administrator nie ma dostępu do naszych prywatnych danych a jedynie do niektórych istotnych informacji koniecznych dla zachowania bezpieczeństwa danych w ramach sieci firmowej.

Do napisania tego artykułu korzystałem z sieci Fundacji Galion, której jestem współfundatorem a gdzie również zajmuję się wszystkim co ma styczność z IT i jestem globalnym administratorem również w przypadku usług od firmy Microsoft.

Comments

(0 Comments)

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *