Управление мобильными устройствами

MDM обычно предполагает внедрение комбинации приложений и конфигураций на самом устройстве, корпоративных политик и сертификатов, а также инфраструктуры на стороне сервера с целью упростить и повысить эффективность ИТ-управления пользовательскими устройствами. В современных корпоративных ИТ-средах большое количество и разнообразие управляемых устройств требует от MDM-решений масштабируемости и согласованности методов управления устройствами и пользователями. Основная задача MDM — повысить поддержку устройств, безопасность и корпоративный функционал, сохраняя при этом определённую гибкость для пользователей.

Многие организации используют продукты и сервисы MDM для управления устройствами и приложениями. Основной аспект MDM — это разделение корпоративных и личных данных, защита электронной почты, обеспечение безопасности корпоративных документов, применение корпоративных политик, интеграция и управление мобильными устройствами разных категорий, включая ноутбуки и портативные девайсы. MDM может реализовываться как на собственных серверах компании (on-premises), так и в облачном формате.

Некоторые из ключевых функций MDM включают:

• обеспечение единых стандартов настройки пользовательского оборудования и поддерживаемого набора приложений, функций, корпоративных политик;
• обновление оборудования, приложений, функций или политик масштабируемым способом;
• обеспечение согласованного и поддерживаемого использования приложений пользователями;
• контроль стабильной работы устройств;
• мониторинг и отслеживание устройств (например, местоположение, статус, собственник, активность);
• удалённая диагностика и устранение неполадок оборудования.

Функционал MDM может охватывать беспроводную (over-the-air) доставку приложений, данных и конфигураций на все типы мобильных устройств: обычные и защищённые мобильные телефоны, смартфоны, планшеты, мобильные принтеры, устройства POS и др. В последнее время в перечень управляемых через MDM систем всё чаще включаются и ноутбуки, а также настольные компьютеры, поскольку акцент смещается с исключительно мобильных платформ на базовое управление устройствами вне зависимости от типа. Инструменты MDM используются как для управляемых компанией, так и для принадлежащих сотрудникам устройств (BYOD) по всей организации, а также для мобильных устройств конечных потребителей^[2][3]. Рост интереса к концепции BYOD требует от MDM решений увеличения безопасности как для самих устройств, так и для корпоративных инфраструктур, поскольку работодатели и сотрудники по-разному воспринимают допустимость тех или иных ограничений на мобильных устройствах^[4][5].

Контролируя и защищая данные и конфигурации всех мобильных устройств в сети, системы MDM снижают издержки на поддержку и риски для бизнеса. Основная цель MDM — оптимизация работы и повышение безопасности мобильной коммуникационной сети с минимизацией затрат и простоев^[6].

В условиях широкого распространения мобильных устройств и многообразия приложений всё более важным становится мобильный мониторинг^[7]. Использование MDM продолжает расти, ожидается, что ежегодный средний темп роста рынка (CAGR) составит около 23 % вплоть до 2028 года. США сохранят лидерство на этом рынке^[8]. Крупнейшие производители мобильных устройств, контент-порталы и разработчики используют специализированные MDM-инструменты для тестирования и мониторинга доставки контента, приложений и сервисов — зачастую в режиме реального времени через моделирование действий тысяч пользователей и выявление ошибок в приложениях.

Обычная MDM-система состоит из серверного компонента, рассылающего команды управления мобильным устройствам, и клиентского программного обеспечения, установленного на управляемом устройстве и получающего/исполняющего такие команды. В ряде случаев один и тот же поставщик отвечает и за сервер, и за клиента, в иных случаях — эти компоненты могут поставляться разными компаниями.

Управление мобильными устройствами развивалось с течением времени. Изначально для обновления требовалось физически подключать устройства или менять SIM-карты; при этом масштабируемость оставалась проблемой.

Следующим этапом стало внедрение клиентских обновлений по требованию пользователя, по аналогии с обновлением Windows Update.

Далее появились централизованные средства удалённого управления командами, рассылаемыми по беспроводным каналам. Администратор оператора связи, корпоративного ИТ-центра или производителя оборудования может через консоль централизованно обновлять или конфигурировать отдельное устройство, группу или все устройства. Такой подход удобен при работе с большими парками устройств благодаря расширенным возможностям масштабирования.

Платформы управления устройствами обеспечивают пользователям принцип plug-and-play для получения настроек и сервисов вне зависимости от типа устройства. Такие решения способны автоматически обнаруживать новые устройства в сети, отправлять им конфигурации для мгновенного и дальнейшего использования. Процесс автоматизирован, ведётся история подключённых устройств, отправка настроек осуществляется только тем, для которых параметры ещё не были определены; скорость может достигать 50 обновлений в секунду. Для поддержки одновременной работы нескольких приложений реализуется режим multi-app^[9].

• Open Mobile Alliance (OMA) определил платформонезависимый протокол управления устройствами — OMA Device Management. Стандарт, свободно публикуемый и применяемый, поддерживается рядом мобильных телефонов и КПК^[10].
• Smart message — текстовый протокол настройки (SMS), используется для рассылки рингтонов, событий календаря и сервисных параметров (таких как ftp, telnet, номер SMSC, настройки e-mail и др.).
• OMA Client Provisioning — бинарный SMS-протокол для массовой настройки сервисных параметров.
• Nokia-Ericsson OTA — бинарный SMS-протокол для исходной настройки сервисов старых телефонов Nokia и Ericsson.

Беспроводные (OTA) возможности считаются ключевым элементом как у операторов мобильной связи, так и у корпоративных MDM-решений. Эти функции включают возможностью удалённо конфигурировать отдельное или все устройства, отправлять им обновления, реализовать дистанционную блокировку/удаление данных в случае потери (удалённый «wipe»), а также диагностику на расстоянии. OTA-команды, как правило, передаются в виде бинарных SMS (сообщений, содержащих двоичные данные)^[11].

Корпоративные ИТ-отделы используют MDM для централизованного управления всеми устройствами предприятия, поэтому функции удалённой (OTA) конфигурации крайне востребованы и предъявляют высокие требования к качеству и надёжности таких интеграций SMS-шлюзами.

С популяризацией концепции использования личных устройств для работы (BYOD) MDM позволяет организациям предоставлять сотрудникам доступ к внутренним сетям с любых устройств по их выбору, дистанционно управляя этими устройствами с минимальным вмешательством в рабочий процесс.

Все продукты MDM реализованы на базе принципа контейнеризации. Контейнер MDM защищается с помощью современных криптографических алгоритмов (предпочтительно AES-256 или выше). Корпоративные данные — электронная почта, документы, приложения — внутри контейнера шифруются и не смешиваются с личными данными пользователя. Дополнительно может применяться шифрование всего устройства или карты памяти SD, в зависимости от возможностей MDM-системы.

Безопасная почта: большинство MDM-решений поддерживают интеграцию корпоративных почтовых серверов (Exchange Server, Office365, Lotus Notes, BlackBerry Enterprise Server и др.) для настройки корпоративной почты по беспроводной сети.

Безопасные документы: во избежание несанкционированного использования вложений, загруженные из почты документы можно ограничивать в копировании, пересылке на внешние домены или сохранении на SD-карте.

Безопасный браузер: встроенный в MDM-контейнер браузер с возможностью фильтрации адресов и запретом использования стандартного браузера повышает уровень безопасности при работе с корпоративными ресурсами.

Безопасный каталог приложений: организации могут администрировать, обновлять и распространять приложения через корпоративный каталог, отправляя как стандартные, так и собственные приложения напрямую сотрудникам, включая возможность внедрения режима киоска (Kiosk Mode) или блокировки устройства.

В зависимости от решения поддерживаются различные функции:

• применение политик:
  • персональные (конфигурируемые под корпоративную среду);
  • специфичные для конкретных платформ (Android, iOS, Windows, Blackberry);
  • политики и правила соответствия требованиям;
• настройка VPN;
• корпоративный каталог приложений;
• предустановленные параметры Wi-Fi и точек доступа;
• обнаружение jailbreak/root-прав;
• удалённое удаление корпоративных данных;
• полная очистка устройства;
• удалённая блокировка устройства;
• удалённые сообщения/звуковые сигналы;
• отключение стандартных приложений;
• функции ПЗ для киосков и др^[12].

Современные MDM-решения существуют как в виде облачных систем, так и в традиционном формате на собственных серверах организации. В стремительно развивающейся индустрии SaaS-решения зачастую проще внедрять, они требуют меньше капитальных вложений и облегчают обновление по сравнению с привычными on-premises, для которых могут потребоваться собственные серверы/ВМ, регулярное обслуживание и бо́льшие капиталовложения.

Тенденция перехода к облачным моделям значительно усилилась с развитием концепции унифицированного управления конечными точками (UEM). Облачные платформы стали предпочтительным вариантом для компаний с географически распределёнными командами и удалёнными сотрудниками благодаря своей масштабируемости, гибкости и экономической эффективности^[13]. По прогнозам аналитической компании Gartner, сделанным в 2022 году, к 2025 году более 90 % клиентов будут использовать облачные UEM-инструменты для управления большей частью своих устройств, что является значительным ростом по сравнению с 50 % в начале 2022 года^[14]. К 2025 году облачные UEM-платформы стали стандартом для большинства организаций, обеспечивая быстрое развёртывание, простое обновление и возможность управления гибридными средами без необходимости в сложной локальной инфраструктуре^[15].

Что касается безопасности — в США для облачных провайдеров существуют регламентные требования и проверки, такие как Федеральный закон о безопасности информации (FISMA). Взаимоотношения с государственными клиентами строятся на основе сертификаций FedRAMP, охватывающих различные уровни защищённости^[16].

Первоначально MDM решал задачи управления функциональностью устройств, однако по мере интеграции с управление мобильным контентом (MCM), управление идентификацией мобильных устройств (MIM), а также управление мобильными приложениями (MAM), возникло понятие корпоративное управление мобильностью (EMM). За счёт включения поддержки управления не только мобильными, но и традиционными десктопными устройствами, EMM эволюционировал в унифицированное управление конечными точками (UEM).

В 2019 году унифицированное управление конечными точками (UEM) утвердилось в качестве преемника традиционных систем управления мобильностью (EMM) и устройствами (MDM)^[17]. Ключевой концепцией стала возможность управлять из единой консоли не только смартфонами, но и персональными компьютерами, а также устройствами Интернета вещей (IoT)^[17][18]. Зрелость рынка была подтверждена публикацией первого «магического квадранта» Gartner для UEM, в котором лидерами были названы VMware, Microsoft, IBM, BlackBerry и MobileIron^[17]. Объём рынка UEM в 2019 году оценивался в 3,4 млрд долларов.

2020 год стал переломным для UEM из-за пандемии COVID-19 и массового перехода на удалённую работу^[19]. Традиционные инструменты управления оказались неспособны эффективно поддерживать и защищать устройства за пределами корпоративной сети, что вызвало взрывной рост спроса на UEM-платформы^[20]. Основной акцент сместился на комплексное управление ПК, в частности на базе Windows 10, которые стали главным рабочим инструментом для удалённых сотрудников^[21]. Доля устройств с Windows 10, управляемых через облачные UEM-системы, выросла с 5 % в 2019 году до примерно 20 % к сентябрю 2020 года^[22]. Усилилась интеграция UEM с системами безопасности и начался переход к модели Zero Trust («нулевое доверие»)^[23][19]. В «магическом квадранте» Gartner за 2020 год лидерами рынка были названы Microsoft и VMware, также в число лидеров вошла IBM^[21][24].

В 2021—2022 годах развитие UEM-платформ определялось адаптацией к новым реалиям гибридной и удалённой работы^[25]. Основной фокус сместился с простого администрирования на обеспечение безопасности и улучшение цифрового опыта сотрудников (Digital Employee Experience, DEX). Наметилась чёткая тенденция к конвергенции UEM и инструментов DEX, что позволяло ИТ-отделам проактивно отслеживать и повышать качество взаимодействия сотрудников с корпоративными технологиями^[26]. По прогнозам Gartner, к 2027 году такая конвергенция приведёт к созданию автономных систем управления, которые сократят участие человека в процессах администрирования на 40 %^[26]. Продолжился переход на облачные UEM-решения: если в начале 2022 года их использовали около 50 % компаний, то к 2025 году, по прогнозу Gartner, эта доля должна была превысить 90 %.

На фоне роста киберугроз усилилась роль UEM в реализации архитектуры безопасности Zero Trust («нулевое доверие»)^[27]. Ключевой функцией стал условный доступ, основанный на анализе местоположения, состояния устройства и личности пользователя^[25]. Для автоматизации задач по выявлению проблем, установке обновлений и самостоятельному восстановлению систем стали активнее применяться технологии искусственного интеллекта (ИИ)^[28]. Платформы расширили поддержку различных операционных систем (Windows, macOS, iOS, Android, ChromeOS) и типов устройств, включая защищённые и IoT-гаджеты^[29]. В 2022 году аналитики называли лидерами рынка Microsoft, VMware и Ivanti. В России интерес к UEM-системам вырос на фоне требований регуляторов и ухода иностранных вендоров^[30].

В 2023 году рынок UEM продолжил рост, чему способствовали гибридные модели работы и усиление требований к кибербезопасности^[31]. Объём мирового рынка, по разным оценкам, составил от 5,5 млрд^[31] до 9,34 млрд долларов США^[32]. Ключевыми тенденциями стали углублённая интеграция с архитектурой безопасности Zero Trust («нулевое доверие»)^[33], расширение управления на устройства Интернета вещей (IoT)^[31] и фокус на цифровом опыте сотрудников (DEX)^[34].

К 2024 году основной вектор развития сместился в сторону интеллектуальной автоматизации. Искусственный интеллект (ИИ) стал неотъемлемой частью UEM-платформ, что привело к появлению концепции автономного управления конечными точками (Autonomous Endpoint Management, AEM)^[35]. ИИ-алгоритмы начали применяться для прогнозной аналитики, автоматического устранения ошибок и более быстрого обнаружения угроз^[36]. Одновременно с этим качество цифрового опыта сотрудников (DEX) стало одним из главных приоритетов, а UEM-решения — ключевым инструментом для его измерения и улучшения^[37]. Платформы стали основой для реализации архитектуры Zero Trust, обеспечивая непрерывную проверку устройств на соответствие политикам безопасности и применяя условный доступ к корпоративным данным^[38].

В 2025 году облачные UEM-платформы окончательно утвердились в качестве отраслевого стандарта, особенно для компаний с географически распределёнными командами. Продолжилось расширение спектра управляемых устройств, который теперь включает не только ПК и смартфоны, но и носимые гаджеты, а также специализированное оборудование для таких отраслей, как здравоохранение и розничная торговля. Современные UEM-системы тесно интегрируются со средствами защиты (антивирусами, EDR, DLP), объединяя управление и безопасность в единой консоли^[39]. На фоне ухода иностранных вендоров в России активизировалось развитие отечественных UEM-решений, среди которых Kaspersky Secure Mobility Management, UEM SafeMobile и «Аврора Центр».