Citrix XenMobile Device Manager

Раньше продукт назывался Zenprise, и был вполне себе самодостаточный и успешный, пока его не выкупила компания Citrix и не включила в свой пакет решений для мобильных устройств — Mobile Solution Bundle.

XenMobile Device Manager — это полноценный MDM, который может успешно управлять устройствами на операционных системах iOS, Android, Windows 8, Windows Phone 8, Windows Mobile и Symbian. Под управлением разработчики подразумевают функции описанные в таблице ниже.
Я намеренно оставил в ней только Android и iOS, т.к. управление устройствами на базе других ОС не представляет какого-либо интереса в плане функционала (очень все ограниченно).

iOS Android
Dashboard – центральная консоль управления с доступом через WEB. Удобно настраивать и отслеживать все устройства, политики, мобильные приложения. icon ios icon
Enhanced Enrollment Modes (OTP, Multfactor, Invitation-based) – много встроенных способов добавить устройство в систему, но как всегда, самый лучший — самый простой icon ios  icon
Invitation Client Download – через систему можно прислать клиенту (на почту или SMS) ссылку на скачивание клиента XenMobile icon ios icon
Email Attachment Encryption – принудительное шифрование почтовых вложений icon ios icon
App Lock (‘Kiosk Mode’) — режим запуска только одного приложения, киоск. icon ios
App Tunnels Mobile SSL VPN – защищенный микро SSL VPN канал к серверам внутренней сети компании icon ios icon
Storage Card Encryption Policy – шифрование данных на карте памяти icon
Autodiscovery Logon – сквозная аутентификация, пароль вводится один раз icon ios icon
Automated Actions – автоматизация действий скриптами. Например, телефон взломали (root или jailbrake), он автоматически откатывается на заводские настройки icon ios icon
Notifications – оповещения администратора по почте о событиях на сервере icon ios icon
Agent Notification — при блокировке приложений появляется окошко с сообщением от администратора, которое задается на сервере icon ios icon
Enterprise App Store – корпоративное хранилище мобильных приложений представляет собой аналог Google Play или iTunes. Чтобы пользователь не искал там приложения нужные для работы. icon ios icon
Locate Device – поиск устройств в консоли по определенным критериям (IP, модель устройства и т.д.) icon ios icon
GeoTracking, Geo-Fencing – определение местоположения устройства за последние 6 часов (вот такое непонятное ограничение) icon ios
Secure Sharepoint DLP – политики для SharePoint файлов для защиты от утечек с мобильного устройства. Работает, если доступ к SharePoint происходит через XenMobile Device Manger. icon ios icon
Remote client installation (OTA) — совсем удаленно, без участия пользователя, клиента установить не получится. Поэтому, что именно имели ввиду составители таблицы не знаю. icon ios icon
Provisioning of devices & users — наверное, имеется ввиду, что каждый пользователь мобильного устройства имеет свой логин и пароль, который вводится при подключении к системе icon ios icon
Hardware Inventory – инвентаризация аппаратной составляющей мобильных устройств (процессор, память, локальная память и т.п.) icon ios icon
Software Inventory – инвентаризация мобильных приложений. Можно посмотреть, какие приложения установлены на устройстве. Удалить приложения удаленно, можно только на Samsung телефонах и планшетах. icon ios icon
Security — Jailbreak detection – обнаружение события, когда пользователь получает неограниченный доступ к файловой системе устройства (взлом, потеря контроля). На данное событие можно назначить автоматическое действие, например, Wipe. icon ios icon
Remote Wipe & Lock удаленная блокировка и сброс настроек на заводские. Блокировка представляет из себя необходимость ввести пин код, чтобы попасть на рабочий стол. Wipe — это сброс настроек на заводские с удалением всех настроек и приложений. icon ios icon
Software download & install — удаленная установка приложений на устройства icon ios icon
File transfer — передача файлов на устройства через консоль Device Manger icon ios icon
Device Remote Control — доступ к файловой системе устройства, через Remote Support icon
Roaming Management —  icon ios icon
Reports (activity & devices inventory) — многочисленные встроенные отчеты  и возможность создавать свои. icon ios icon

Что к данной таблице можно добавить.

  • Работа с Active Directory, причем сам сервер Device Manager может быть не в домене. Пользователи не выгружаются из AD, сервер обращается к контроллеру домена и проверяет валидность логина-пароля.
  • Создание и применение политик безопасности
  • Определение и обеспечение соблюдения политик безопасности
  • Конфигурирование правил доступа к приложениям происходит через XML файл, что неудобно, но обещают поправить
  • Черный и белый список приложений, которые можно/нельзя устанавливать на устройство
  • Интеграция с Exchange сервером через ActiveSync и плагин на сервере Exchange. Есть также почтовая программа Touch, к которой можно применять политики через Device Manager
  • поиск устройств в консоли по определенным критериям (IP, модель устройства и т.д.)
  • Применение политик, настроенных в Device Manager на устройстве.
  • Защищенный канал в корпоративную сеть
  • Оптимизация канала передачи данных между мобильным устройством и Device Manager за счет компрессии, постоянная синхронизация сессий пользователей позволяет работать в условиях плохой связи, SSL шифрация каналов связи
  • Аутентификация пользователей IBM Lotus Domino Directory
  • В базе данных Device Manager хранятся все конфигурации и настройки мобильных устройств пользователей, инвентаризация устройств и программ, логи.
  • Возможность построения отказоустойчивой масштабируемой архитектуры с возможностью поддержки тысяч мобильных устройств
  • Ведение базы пользователей, объединение их в группы для удобства администрирования

Функционал Device Manager Agent, который устанавливается на мобильное устройство, подключается к центральному серверу Device Manager, позволяет администратору управлять устройством удаленно.

Основные возможности агента для Windows:

  • Создает и контролирует защищенные туннели между агентом и сервером MDM
  • Применяет политики, настроенные на центральном сервере
  • Собирает информацию об устройстве и отправляет ее на сервер (инвентаризация)
  • Отображает состояние и статистику соединения агента и MDM сервера (трафик, IP адрес, тип соединения, настройки безопасности, логин пользователя)
  • Удаленное применение скриптов
  • Для подключения к корпоративным приложениям нужно ввести логин и пароль
  • Шифрование локально хранящихся данных мобильных пользователей (корпоративные приложения только для Windows mobile)
  • Интеграция Public Key, для безопасного соединения мобильного устройства и MDM
  • Включение необходимости вводить PIN код
  • Поддержка iOS заключается в разработке Citrix своих приложений и возможности установки их на iOS устройства
  • Интеграция с SharePoint. Сохранение файлов с портала на устройство, возможность вложить их в письма без закачки на устройство, доступ к сайтам SharePoint, публикация файлов с устройства на портале.
  • Device Manger позволяет задействовать или аннулировать сертификаты, которые выдаются XenMobile.
  • Возможность аутентифицировать пользователей, которые не заведены в AD,  через SAML Security Assertion Markup Language
  • Интеграция XenMobile с Cisco через API, поддержка NAC – Network Access Control
  • XenMobile DLP не дает помеченным файлам, скаченным с SharePoint выйти за пределы устройства, только для локального просмотра (некоторое время спустя они удаляются с устройства)
  • Поддержка персональных папок пользователей в SharePoint
  • Подключение к SharePoint через защищенный канал (туннель, микро VPN)

Тесная интеграция MDM c Exchange сервером компании позволяет мобильным пользователям через защищенный клиент просматривать почту и вложения. Политиками можно запретить печать и копирование почтовых вложений, оставить только просмотр.

  • Полный контроль над доступом и чтением файлов в форматах .doc .pdf .txt, аудио и видео файлов которые находятся внутри защищенной области мобильного устройства.
  • Можно запретить или разрешить работу с корпоративными файлами через другие приложения мобильного устройства. Или разрешить для конкретных типов файлов доступ.
  • Можно вообще запретить просматривать почтовые вложения и выполнять с ними какие-либо действия
  • Есть возможность с сервера MDM совсем удалить почту на мобильном устройстве