Mobilní zabezpečení Komplet (MDM) JAK NA TO aneb NÁVOD K POUŽITÍ NEJROZŠÍŘENĚJŠÍCH FUNKCÍ

Mobilní zabezpečení Komplet (MDM) JAK NA TO aneb NÁVOD K POUŽITÍ NEJROZŠÍŘENĚJŠÍCH FUNKCÍ

Mobilní zabezpečení Komplet (MDM) JAK NA TO aneb NÁVOD K POUŽITÍ NEJROZŠÍŘENĚJŠÍCH FUNKCÍ Obsah 1. Úvod...3 2. První přihlášení do administračního portálu...3 3. Spárování se zařízením...3 4. Funkce Najít, Poloha, Uzamknutí a Výmaz zařízení...6 Najít zařízení...6 Poloha...6 Uzamknout zařízení...7 Výmaz zařízení...7 5. Nastavení restrikcí: fotoaparát a přístup na Facebook...8 Vytvoření a instalace nového profilu...8 Odinstalace profilu...10 6. Bezpečný přístup k souborům uloženým v cloudu...11 7. Odstranění Mobilního zabezpečení ze zařízení...13 ios zařízení...14 Android OS zařízení...14 Odstranění z administračního portálu MZ...15 2

1. Úvod V současné době se zvyšuje riziko úniku informací skrze mobilní zařízení (tablety, chytré telefony), jelikož stále více zaměstnanců používá tato zařízení k práci, sdílí s ním nejrůznější dokumenty, ukládá citlivá data a kontakty, nebo vyřizuje důležité e-maily. Pokud je takové zařízení odcizeno, může se k těmto informacím dostat nepovolaná osoba a zneužít je. Řešením je služba Mobilní zabezpečení komplet (MDM), jež výše zmíněná rizika eliminuje tím, že umožňuje jejich okamžitou vzdálenou správu. Celý produkt sestává ze dvou částí internetového administračního portálu a mobilní aplikace v mobilu či tabletu, která s portálem komunikuje prostřednictvím datového připojení (Wi-Fi, mobilní data). Mobilní zabezpečení Komplet (MDM) nabízí širokou škálu funkcí a možností, jak efektivně spravovat a chránit mobilní zařízení. V tomto stručném průvodci jsou popsány nejpoužívanější funkce. Podrobné informace o všech postupech a funkcích naleznete v kompletní nápovědě. Pro zpřístupnění je nutné se napřed přihlásit v administračním portálu MZ (viz kap. 2. Nastavení administračního portálu). Podporované telefony: Android 2.3+ Apple ios 4+ Symbian S60/3rd series + Windows Phone 7, 8 Podporované internetové prohlížeče: Internet Explorer 9+ Mozilla Firefox 20+ Google Chrome Dodavatel služby: Služba Mobilní zabezpečení je realizována ve spolupráci s firmami AirWatch a F-Secure, které jsou předními výrobci antivirových programů a systémů umožňujících vzdálenou správu mobilních zařízení. 2. První přihlášení do administračního portálu Jakmile si službu objednáte na některém z našich prodejních kanálů, bude vám vygenerováno přístupové jméno (standardně bývá nastaveno jako vaše e-mailová adresa) a heslo do administračního portálu. Ten naleznete na adrese mz.vodafone.cz a administrační údaje obdržíte e-mailem, který jste zadali při aktivaci služby prodejci. Prosím, ujistěte se, že tento e-mail nespadl do SPAMového koše vždy přichází z adresy noreply@vodafone.com. Upozornění: Je nezbytné, abyste se do portálu mz.vodafone.cz přihlašovali vždy z internetového prohlížeče instalovaného na počítači či notebooku. V případě zobrazení z mobilního zařízení se portál nenačte z důvodu bezpečnosti. Při prvním přihlášení do portálu budete vyzváni k následujícím krokům: a) Po zadání přihlašovacích údajů budete vyzváni ke změně hesla. b) EULA Licenční smlouva s koncovým uživatelem je nutné odsouhlasit tyto podmínky kliknutím na tlačítko Přijmout. c) Bezpečnostní otázka je nutno nastavit jednu s předdefinovaných otázek a nastavit i její odpověď. Tato otázka bude použita v případě, že zapomenete své heslo. d) Bezpečnostní PIN nastavte 4místný číselný kód, který portál vyžaduje k některým autorizovaným operacím. 3. Spárování se zařízením Abyste mohli jednotlivá zařízení vzdáleně ovládat, je potřeba je spárovat s administračním portálem. To se provede tak, že nejprve nainstalujete do zařízení aplikaci a poté provedete autorizaci. Portál vám potvrdí, že zařízení bylo spárováno. Přihlaste se do administračního portálu MZ. Po přihlášení se řiďte níže popsanými pokyny. 3

a) Průvodce Začínáme Po prvním přihlášení můžete využít průvodce, který vás navede k přidání zařízení alternativní cestou. b) Přidání krok za krokem běžný způsob 1. Tento krok je pouze pro zařízení s ios. Pokud přidáváte zařízení s Android OS, tento krok přeskočte. V případě ios zařízení je nejprve potřeba vygenerovat tzv. APNs certifikát, bez kterého vám Mobilní zabezpečení nebude fungovat. Certifikát stačí vygenerovat jen jednou pro všechna budoucí zařízení. V levém panelu přejděte na Skupiny a nastavení Všechna nastavení Zařízení a uživatelé Apple APNs pro MDM. Přejděte na Vygenerovat nový certifikát. Na další stránce klikněte na MDM_APNsRequest.plist a tím stáhnete soubor, který si uschovejte. Dále zvolte Přejít na stránky Apple a přihlaste se pod svým Apple ID e-mailem a heslem. Po přihlášení klikněte na Create a certifikate. Dále potvrďte smluvní podmínky a postupujte dle pokynů, až se dostanete k tlačítku Browse, na které klikněte a vyberte soubor MDM_APNsRequest.plist, který jste si uschovali. Po vybrání klikněte na Upload. Na další stránce je již připraven váš certifikát. Kliknutím na Download certifikát stáhněte a vraťte se zpět do administrátorského portálu Mobilního zabezpečení. Přejděte na Další. Klikněte na Nahrát a zvolte uložený certifikát. Do pole AppleID* zadejte svůj Apple ID e-mail. Pokračujte kliknutím na Další a následně certifikát potvrďte. 2. V levém panelu zvolíme Účty a v okně dále Uživatelé Prohlížení v seznamu. 4

3. Vytvoříme nového uživatele a přiřadíme k němu zařízení. Přejdeme nad Přidat a zvolíme Přidat uživatele. 4. Nastavíme uživatelské jméno, heslo, jméno a příjmení, e-mailovou adresu a mobilní telefon. Číslo mobilního telefonu zadáme s předvolbou ve formátu +420XXXXXXXXX. Přepneme Typ zprávy na SMS. Potvrdíme kliknutím na Uložit a přidat zařízení. 5. V dalším okně zvolte Vlastnictví a Platformu. Typ zprávy opět přepněte na SMS. Potvrďte tlačítkem Potvrdit. 6. Na zadané číslo jste obdrželi dvě SMS zprávy. V jedné z nich je odkaz. a) Používáte-li Android OS, klikněte na odkaz v SMS, a otevřete ho v prohlížeči. Řiďte se pokyny na stránce. Stáhněte AirWatch MDM Agenta z Google Play Store a po nainstalování se vraťte do prohlížeče a klikněte na Již máte nainstalováno? Klikněte zde pro pokračování. Zařízení automaticky přejde do aplikace. b) Pokud máte ios (iphone apod.), napřed přejděte do Apple Store, vyhledejte aplikaci AirWatch MDM Agent a nainstalujte ji. Po dokončení instalace klikněte na odkaz v SMS a zařízení přejde k nastavení aplikace. 7. Aplikace si během procesu vyžádá uživatelské jméno a heslo, které jsme nastavili ve 3. bodě. Může si vyžádat i Group ID (ID skupiny) a Server. Group ID naleznete v SMS odkazu za parametrem?ac=, v našem případě tedy TESTMSKOMPLET. Server je mz-ds.vodafone.cz. 8. Dále postupujte dle instrukcí zařízení až k dokončení nastavení. Po oznámení, že je proces dokončen, prohlížeč zavřete a spusťte aplikaci AirWatch MDM Agent. V případě, že se změna neprojevila ihned, vyčkejte několik sekund. 9. Hotovo. Zařízení je spárované, připravené ke správě. Zde je náhled úspěšně spojeného zařízení s Android OS. 5

4. Funkce Najít, Poloha, Uzamknutí a Výmaz zařízení 1. Jednotlivé funkce a k čemu slouží, jsou rozepsány níže v této kapitole. Nejprve postupujte dle kroků, jak se dostat do detailního zobrazení zařízení, odkud funkce na zařízení můžete ovládat. Přihlaste se do administračního portálu MZ. 2. V levém panelu zvolte Zařízení Prohlížení v seznamu. Zobrazí se vám vaše spárované zařízení. Klikněte na odkaz (v našem příkladu jan.novak Android Android 4.4.2 ASVH) ve sloupci Obecné informace. Nyní se zobrazil detail zařízení. 3. Pokračujte od tohoto bodu dle toho, jakou funkci si přejete aktivovat: Najít zařízení Pomáhá nalézt ztracené zařízení ve vašem okolí. Funkce spustí vyzváněcí tón, ale pouze v případě, když není vyzvánění ztlumené nebo vypnuté. 1. V nabídce vpravo nahoře rozklikněte Více a klikněte na Najít zařízení. 2. Zobrazí se nové okno, v něm nastavte kolikrát má být tón přehrán a jaká má být prodleva mezi jednotlivými přehrání. Poloha Slouží k lokalizaci zařízení bude zobrazena jeho poloha na mapě uvnitř administračního portálu. Je nutné, aby v zařízení nebyla blokována služba GPS. 6

1. V horizontálním menu překlikněte na záložku Poloha. Poloha by se měla projevit v řádu několika minut od povolení GPS (umístění) na zařízení. Uzamknout zařízení Zařízení bude okamžitě zamčeno, pokud je zapnuté a připojené k mobilním datům či Wi-Fi. Odemknout ho lze zadáním hesla, které si volí sám uživatel zařízení. Pokud zapomenete heslo, jedinou možností je funkce Výmaz zařízení, proto dbejte na jeho bezpečné uložení či zapamatování! 1. V nabídce vpravo nahoře klikněte na Zámek. 2. Zobrazí se nové okno. Ve vyskakovacím seznamu Šablona zprávy vyberte, zda chcete zamknout telefon bez odeslání zprávy, nebo zda chcete odeslat zprávu a telefonní číslo, které se zobrazí na displeji telefonu. Výmaz zařízení Ze zařízení budou smazána veškerá data jako například kontakty, e-maily, fotky, SMS zprávy, dokumenty, tzn. bude uvedeno do továrního nastavení včetně smazání dat z paměťové karty. Tuto funkci použijte v případě, že mobilní zařízení nemůžete nalézt a zneužití údajů v přístroji by mohlo mít na vás negativní vliv. 1. V nabídce vpravo nahoře rozklikněte Více a klikněte na Výmaz zařízení. 2. Zobrazí se nové okno. Ve vyskakovacím seznamu Cílová data pro výmaz zvolte, zda chcete smazat systémové uložiště, vyměnitelné úložiště, nebo obojí. Dále tato operace vyžaduje zadání 4místného bezpečnostního PIN kódu, který jsme nastavili při nastavení administračního portálu. Pozor! Zadáte-li PIN kód správně, výmaz zařízení se ihned automaticky provede bez dalšího potvrzení. 7

5. Nastavení restrikcí: fotoaparát a přístup na Facebook Profily umožňují nastavit a omezit širokou škálu nastavení, funkcí a chování zařízení podle vašich požadavků. V následujícím příkladu si ukážeme, jak snadné je zakázat používání fotoaparátu a externí aplikace Facebook, kterou si koncový uživatel zařízení nainstaloval z Google Play. Předpokládejme tedy, že na zařízení je již aplikace Facebook nainstalována a fotoaparát je běžným způsobem dostupný. Vytvoření a instalace nového profilu 1. Přihlaste se do administračního portálu MZ. 2. V levém panelu zvolte Zařízení Profil Prohlížení v seznamu. Nacházíte se v zobrazení seznamu profilů. 3. Pro přidání nového profilu klikněte na Přidat. 4. Objeví se okno s výběrem platformy. Při pozastavení kurzoru myši nad jednu z platforem se vám zobrazí shrnutí možností, které lze nastavit. V našem příkladu vybereme Android. 5. V dalším okně zvolíme Jméno* profilu, Typ přiřazení nastavíme na Volitelný a Povolit odstranění na hodnotu Nikdy. Ostatní nás nyní nezajímá. V našem příkladu jsme profil pojmenovali Omezení fotoaparátu. 6. Nyní chceme omezit fotoaparát. Proto v levém panelu přepneme na Omezení. Dále klikneme na tlačítko Konfigurace a nacházíme se v omezení funkcí. Odškrtneme první položku Povolit kameru. 7. Fotoaparát jsme omezili, nyní chceme zakázat aplikaci Facebook. Přepneme na záložku Ovládání aplikace. Odškrtneme možnosti Zabránit odinstalování vyžadovaných aplikací a Povolit pouze instalaci aplikací na whitelistu. Nebudeme je nyní potřebovat. Důležité pro nás je, aby byla povolena možnost Zabránit instalaci aplikací na blacklistu. 8

Tato možnost vynutí automatické odstranění, příp. zabrání instalaci aplikace, která je na blacklistu definovaném v sekci Skupiny aplikací. 8. Nyní profil uložíme. V dolní části klikněte na Uložit a publikovat. 9. Nastavíme zmíněný blacklist. V levém panelu zvolte Aplikace a knihy Aplikace Nastavení Skupiny aplikací. Zvolte Přidat skupinu. 10. Objeví se nové okno. Jako Typ* zvolte Blacklist, Platformu* zvolte Android a zvolte libovolné Jméno* blacklistu. V našem příkladu např. Zakázání FB. Dále musíme určit, jakou aplikaci chceme zakázat. Protože jde o OS Android, najdeme si aplikaci Facebook na Google Play a zjistíme si potřebné údaje. Aplikaci Facebook jsme tedy nalezli na adrese: play.google.com/store/apps/details?id=com.facebook.katana&hl=cs. Jméno aplikace je jednoduše název na Google Play, tedy Facebook. ID aplikace* je pak hodnota, kterou lze zjistit z URL adresy za parametrem?id=. Tedy v našem případě com.facebook.katana. 11. Potvrdíme tlačítkem Další. Na další záložce Přiřazení nic neměníme. Klikneme na Dokončit. 12. Nyní se vrátíme do prohlížení profilů, kde jsme v předchozích krocích vytvořili náš nový profil. V levém panelu zvolte Zařízení Profil Prohlížení v seznamu. 13. V našem příkladu jsme profil pojmenovali Omezení fotoaparátu. Typ přiřazení jsme zvolili Volitelný, tzn., že se přiřadí ke všem zařízením, která splňují kritéria (platforma, verze OS, vlastnictví), ale automaticky se na zařízení nenainstaluje (neaktivuje). 9

Klikneme tedy na číslo 1 (počet přiřazení) ve sloupci Instalováno/Přiřazeno. 14. Nyní u zařízení, u kterého si přejeme profil aktivovat, klikneme na ikonu Instalovat profil. 15. Hotovo. Profil se během několika sekund na zařízení nainstaluje. Aplikace Facebook byla odstraněna a fotoaparát byl zakázán. Pokud se pokusíte fotoaparát spustit, objeví se následující hlášení. Odinstalace profilu 1. V navigaci v levém panelu přejděte do Zařízení Profil Prohlížení v seznamu. Nacházíte se v zobrazení seznamu profilů. 2. U profilu klikněte na číslo 1 na levé straně (počet instalací) ve sloupci Instalováno/Přiřazeno. Tím se dostanete na zobrazení zařízení, na kterých je profil nainstalován. 3. Klikněte na ikonu Odstranit profil a operaci potvrďte. 4. Profil je nyní odinstalován, resp. není aktivní na zařízení. Aplikace Facebook není zakázána a fotoaparát je dostupný. 10

6. Bezpečný přístup k souborům uloženým v cloudu Secure Content Locker je doplňující aplikace od společnosti AirWatch, která zajišťuje přístup k sdílenému obsahu v administračním portálu Mobilního zabezpečení. Představte si situaci, ve které požadujete, aby vaši zaměstnanci měli neustále při ruce konkrétní dokumenty. Díky této funkci lze nastavit, aby každé zařízení mělo skrze tuto aplikaci přístup k vámi určeným souborům. V následujících krocích je popsáno, jak aplikaci Secure Content Locker nainstalovat, jak nastavit, aby se v ní automaticky stáhnul námi určený soubor, a jak se do aplikace přihlásit a k souboru dostat. V našem příkladu budeme pracovat s Android OS zařízením. 1. V zařízení spusťte aplikaci Google Play a vyhledejte AirWatch Secure Content Locker. 2. Klikněte na Instalovat a aplikaci nainstalujte. 3. Přihlaste se do administračního portálu MZ na mz.vodafone.cz. 4. V levém panelu zvolte Obsah Kategorie. Při procesu přidávání obsahu je vyžadována kategorie. Je proto nutné nejprve nějakou vytvořit. 5. Klikněte na Přidat kategorii. 6. Zvolte Jméno* kategorie a potvrďte tlačítkem Uložit. V našem příkladě jsme kategorii pojmenovali Povinné soubory. 7. Nyní v levém panelu přejděte na Obsah Prohlížení v seznamu. 8. Klikněte na Přidat obsah. 9. Zvolte Soubor*, který si přejete přidat, kliknutím na Nahrát. Můžete vložit buď místní soubor z pevného disku, nebo odkaz k externímu souboru. V našem příkladu použijeme fiktivní soubor Smlouva.pdf. 10. Klikněte na tlačítko Pokračovat. V dalším okně zvolte kategorii*, kterou jste v předchozích krocích vytvořili. V našem příkladu Povinné soubory. 11

11. Dále nastavíme jen to, co je vyžadováno pro naše potřeby. Přepněte na záložku Přiřazení a změňte Vlastnictví zařízení na hodnotu Jakákoliv. Soubor bude přiřazen, resp. k dispozici, pro všechna zařízení bez ohledu na typ vlastnictví. 12. Následně přepněte na záložku Nasazení. Ujistěte se, že Metoda přenosu je nastavena na Jakákoliv. Typ stahování nastavte na Automatický a zaškrtněte položku Povinné. Datum stáhnutí, datum účinnosti a datum vypršení platnosti nás nyní nemusí zajímat. Datum účinnosti se při nevyplnění nastaví na dnešní datum a protože jsme zaškrtli položku Povinné, soubor se do aplikace Secure Content Locker stáhne hned po přihlášení, jakmile započne automatická synchronizace. 13. Potvrďte tlačítkem Uložit 14. Úspěšně jsme přidali soubor. Nyní se stačí přihlásit do aplikace. V zařízení spusťte (otevřete) aplikaci Secure Content Locker. 15. Po spuštění klikněte na ikonu nastavení. 16. Údaje by měly být již předvyplněny, ale pokud tomu tak není, ujistěte se, že adresa serveru v prvním řádku je nastavena na mz-ds.vodafone.cz. ID skupiny je stejné jako Group ID, které bylo použito při přidání zařízení v kapitole 3. Přidání nového uživatele a zařízení, konkrétně s tím souvisí bod 6 a 7. V našem příkladu je to TESTMSKomplet. Následně klikněte na Hledat. 12

17. Po úspěšném nastavení instance se ocitnete opět na úvodní přihlašovací obrazovce. Uživatelské jméno a Heslo je stejné jako to, které jste nastavili a následně použili při přidání zařízení v aplikaci AirWatch MDM Agent v kapitole 3. Přidání nového uživatele a zařízení. Účty uživatelů včetně jejich jména a hesla lze upravovat v sekci Účty Uživatelé Prohlížení v seznamu. V našem příkladu se přihlašujeme jako uživatel jan.novak. Po zadání obou údajů klikněte na Přihlásit. 18. Po přihlášení se automaticky spustí synchronizační proces. Po dokončení klikněte na Veškerý obsah. 19. A zde už je dostupný náš soubor, který jsme vynutili na zařízení stáhnout. V našem příkladu jsme použili fiktivní soubor Smlouva.pdf. 7. Odstranění Mobilního zabezpečení ze zařízení Administrační portál MZ neumí odregistrovat samotnou aplikaci AirWatch MDM Agent v zařízení. Aplikaci musíte nejprve odregistrovat přímo v telefonu či tabletu, a až následně odstranit položku zařízení v administračním portálu. I když jen odregistrujete aplikaci v zařízení, nebo pouze odstraníte zařízení v administračním portálu, koncové mobilní zařízení nebude možno ovládat, protože dojde k odpárování zařízení s portálem, tzn. ztratí s ním spojení. V první řadě tedy odregistrujeme AirWatch MDM Agent aplikaci: 13

ios zařízení 1. Přejdeme do Nastavení Obecné Profily. 2. V seznamu by měl být profil začínající názvem MDM, případně MDM Profile. Klikněte na tento profil. 3. Zvolte Odstranit a potvrďte zadáním PIN kódu telefonu. 4. Profil je nyní odstraněn. Zařízení již není pod správou administračního portálu. Pokud chcete, nyní lze odinstalovat aplikaci AirWatch MDM Agent. Android OS zařízení 1. Spustíme aplikaci AirWatch MDM Agent. 2. V pravém horním rohu rozklikneme nabídku a zvolíme Odregistrovat. 3. Zařízení již není pod správou administračního portálu. Pokud chcete, nyní lze odinstalovat aplikaci AirWatch MDM Agent. 14

Odstranění z administračního portálu MZ Aplikaci AirWatch MDM Agent jsme odregistrovali a případně odstranili. Dále ještě odstraníme zařízení z administračního portálu. 1. Přihlaste se do administračního portálu MZ. 2. Přejděte v levém panelu na Zařízení Prohlížení v seznamu. Protože jsme již aplikaci AirWatch MDM Agent odregistrovali, u zařízení by se měl změnit stav z Registrováno na Odhlášeno. 3. Zařízení označte po levé straně v zaškrtávacím poli. Nad seznamem zařízení se objeví nabídka. 4. Rozklikněte Více a klikněte na Odstranit zařízení. 5. Zobrazí se okno, ve kterém uveďte Důvod odstranění zařízení a akci potvrďte kliknutím na Odstranit. 6. Odstranění může trvat několik sekund. Aktualizujte seznam kliknutím na Prohlížení v seznamu v levém panelu. 7. Zařízení je nyní odstraněno z administračního portálu. 15 MK14607