Какой подход выбрать российскому бизнесу: UEM, EMM или MDM?

07.06.2023

Как управлять мобильностью в компании

Каждая организация заинтересована, чтобы сотрудники могли эффективно работать вдали от рабочего места и даже в неурочное время. Для этого чаще всего используются смартфоны, но также ноутбуки, планшеты и специализированные носимые устройства. Этот тренд появился одновременно с популярными смартфонами, но даже самые консервативные организации присоединились к нему во время пандемии COVID-19. Рост продолжается и в иной плоскости – всё больше бизнес-процессов проходит с использование мобильных устройств. Одновременно, к сожалению, растёт и число угроз мобильным устройствам. Критически важны надёжность работы, безопасность устройств и информации, доступной с них. При этом в зависимости от специфики компании мобильные устройства могут:

  • принадлежать сотрудникам (Bring your own device, BYOD);
  • принадлежать организации и использоваться только по работе (Company Owned, Business Only, COBO);
  • принадлежать организации, но допускать использование в личных целях (Company Owned, Personally Enabled, COPE).

В той или иной степени удалённое управление мобильными устройствами нужно для всех трёх сценариев, максимально снижая затраты времени ИТ-специалистов и не перегружая пользователей сложными настройками или процедурами безопасности. Желательно, чтобы пользователям было доступно самообслуживание.

Управление мобильными устройствами может называться MDM – Mobile Device Management, EMM – Enterprise Endpoint Management или даже UEM – Unified Endpoint Management. За этими аббревиатурами скрываются разные поколения систем и разная функциональность. Выбор одной из них зависит от требуемого уровня безопасности и автоматизации, а также политик и сложившейся инфраструктуры компании.

Что умеет система MDM

Основная цель первого поколения систем MDM – в целом применить ИТ-политику организации на мобильном устройстве. Решения MDM нередко поставляются самим производителем мобильной платформы. Подключенные к корпоративному MDM устройства, при соответствующих настройках политики:

  • могут быть дистанционно заблокированы или очищены при утере;
  • обязательно защищены паролем нужной степени надежности;
  • хранят информацию в зашифрованном виде;
  • принудительно используют VPN для подключения к корпоративным ресурсам;
  • не подключаются к опасным сетям Wi-Fi;
  • позволяют отслеживать текущее состояние и местоположение устройств дистанционно.

При этом системы MDM от производителей смартфонов и ОС изначально имели недостатки, которые сложно устранить. Во-первых, это привязка к "родной" платформе, что затрудняет управление парком устройств на разных ОС и от разных производителей. Во-вторых, MDM-решение контролирует устройство целиком, что неприемлемо для сотрудников в сценариях BYOD и COPE.

Отличия систем EMM и MDM

Термин Enterprise Mobility Management, то есть "управление корпоративной мобильностью" был изобретён аналитиками Gartner, чтобы обобщить усовершенствования MDM, предложенные различными производителями этих решений. Главная задача систем EMM – дополнить функции MDM инструментами управления конкретными приложениями и конкретными видами информации. Корпоративные данные и приложения целиком контролирует организация, но личная информация остается подвластна сотруднику и не доступна компании. Основными компонентами EMM являются:

  • MAM (Mobile Application Management). Управление жизненным циклом приложений, как из общедоступных магазинов, так и специально созданных для организации. Их можно дистанционно устанавливать, обновлять, отзывать и конфигурировать. Вместе с MAM часто используются функции изоляции и контейнеризации, позволяющие целиком разделить рабочие и личные приложения и данные в рамках одного устройства. Рабочие "приложения" видят только друг друга, а личные приложения не "видят" рабочих.
  • IAM (Identity & Access Management). Управление доступом к корпоративным сервисам с соблюдением нужных политик компании, например аутентификация при помощи сертификатов, двухфакторная аутентификация, и так далее.
  • MCM (Mobile Content Management). Управление корпоративными данными, доступными с устройства, включая правила доступа, синхронизации, хранения, шифрования и пересылки.


Благодаря системе EMM, в организации можно создать крайне удобный для всех сотрудников и экономный для ИТ-служб режим работы с мобильными устройствами. Если в компании разрешены личные устройства (BYOD), то ИТ-администраторы совместно с сотрудником разворачивают на смартфоне EMM, а дальнейшая конфигурация и техподдержка рабочих приложений и данных может происходить почти целиком автоматически и дистанционно. Иногда сотрудникам даже доступно самообслуживание через специальный портал. Для корпоративных устройств (COBO, COPE), всё ещё проще – сотрудник получает смартфон в пользование уже настроенным, причём ИТ-службам приходится тратить на его настройку считанные минуты.

Преимущества UEM

Хотя системы EMM обеспечивают эффективное управление смартфонами и планшетами, они не помогают справиться с теми проблемами, которые создают ноутбуки. А ведь ещё бывают носимые устройства, принтеры и устройства IoT – все они подвержены тем же проблемам, что и смартфоны. Именно поэтому решения EMM постепенно эволюционируют в UEM – Unified Endpoint Management, систему унифицированного управления конечными устройствами. UEM позволяет организации создать единую политику для всех компьютеров и мобильных устройств и следить за её соблюдением централизованно, с помощью одной мощной панели управления. Это существенно экономит время как сотрудников служб ИТ и ИБ, так и всех остальных работников компании, поскольку они получают работающий инструмент и не проводят долгие часы, общаясь с техподдержкой.

Хотя все системы в какой-то мере защищают от "мобильных" киберугроз, именно в UEM для этого имеется максимальный инструментарий. Кроме политик шифрования, VPN и прочей пассивной защиты, UEM-агент эффективно блокирует фишинг, вредоносные приложения, позволяет реагировать на события безопасности, и т.п.


В зависимости от размера организации, принятой организации мобильности и других факторов, внедрение UEM может окупить себя уже за полгода-год.

UEM, EMM, MDM: что выбрать?

Ключевыми факторами выбора являются количество и разнообразие мобильных устройств в организации, а также политика их использования. Начните с уточнения простых вопросов:

  1. Сколько мобильных устройств, включая ноутбуки и IoT-устройства используется в организации?
  2. Принята ли одна модель COBO/COPE/BYOD, или гибридный подход?
  3. Если устройства корпоративные, насколько они разнообразны? Везде ли одна платформа (например, iOS + macOS), или сложился "зоопарк" платформ и технологий?
  4. Организации нужно "облачное" (SaaS) решение, или инсталляция на собственных (on-premise) физических серверах?
  5. Насколько часто заменяются мобильные устройства, ожидается ли прирост их количества в обозримом будущем?
  6. Насколько высокий уровень конфиденциальности требуется для мобильных устройств?

Если устройств хотя бы 100, то организации уже необходим один из инструментов MDM/EMM/UEM. Для "только рабочих" устройств (COBO), работающих на одной-единственной платформе, может подойти функциональность MDM, но вот разнообразный парк устройств при политике COPE или BYOD требует перехода к решению EMM или UEM. Выбор в пользу UEM-системы принесёт дополнительную выгоду благодаря унификации обслуживания ноутбуков и смартфонов и повышению общего уровня информационной безопасности.

Ключевыми факторам для расчёта ROI будут как раз количество устройств, периодичность их ротации, время затрачиваемое на их обслуживание, время, затрачиваемое рядовыми сотрудниками на "технические" вопросы, а также риски и стоимость ИБ-инцидентов с мобильными устройствами. Радикально меняет эту калькуляцию повсеместный BYOD, поскольку полный переход на личные устройства экономит организации деньги на оборудование, но сильно повышает сложность и сложность ИТ-поддержки. В таком сценарии решение UEM абсолютно необходимо.

До 2022 года среди этих трёх категорий решения можно было долго выбирать, анализируя десяток вариантов, включая IBM, Microsoft и VMWare. На сегодня, с учётом тотального импортозамещения продуктов в сфере ИТ и ИБ, выбор сильно сократился. Российские устройства на базе ОС "Аврора" имеют функции MDM, поэтому импортозамещение самих смартфонов автоматически сопровождается заменой MDM на отечественный.

Для более популярных устройств на базе Windows, Android и iOS оптимальным отечественным решением является Kaspersky Secure Mobility Management. Оно относится к классу UEM-решений, сочетая традиционно сильные инструменты по защите и управлению Windows-ноутбуками со значительно улучшенными инструментами менеджмента iOS и Android. Благодаря поддержке режимов Device Owner (Android) и Supervised (iOS), UEM-решение помогает воплотить политику COBO, но также поддерживает более мягкие сценарии развертывания COPE и BYOD. Российские ИТ-администраторы оценят, как удобно интегрируется управление мобильными устройствами в уже существующую у организации экосистему продуктов Kaspersky, ну а пользователи сэкономят массу времени благодаря удобным функциями самообслуживания, например корпоративному каталогу приложений.

В зависимости от политики организации, к устройствам могут быть применены очень гибкие настройки, включающие дистанционное удаление рабочей информации с утерянных личных устройств, приостановку доступа к данным для устройств с устаревшими приложениями или базами защиты, дистанционная техподдержка и многое другое. Kaspersky Secure Mobility Management подойдет компаниям с любым уровнем требований к защищенности и конфиденциальности – от мягких до самых высоких.

Вне зависимости от выбора конкретного поставщика, отечественные решения класса MDM, EMM и UEM будут востребованы практически в любом секторе экономики, но в первую очередь о скорейшем внедрении стоит задуматься организациям в розничной торговле, логистике, медицине, строительстве и страховании.