Mobilní zabezpečení stručný průvodce
1 Úvod V současné době se zvyšuje riziko úniku informací skrze mobilní zařízení (tablety, chytré telefony), jelikož stále více zaměstnanců používá tato zařízení k práci, sdílí s ním nejrůznější dokumenty, ukládá citlivá data a kontakty, nebo vyřizuje důležité e-maily. Pokud je takový telefon odcizen, může se k těmto informacím dostat nepovolaná osoba a zneužít je. Řešením je služba Mobilní zabezpečení, jež výše zmíněná rizika eliminuje tím, že umožňuje jejich okamžitou vzdálenou správu. Celý produkt sestává ze dvou částí internetového administračního portálu a mobilní aplikace v mobilu či tabletu, která s portálem komunikuje prostřednictvím datového připojení (WiFi, mobilní data). Služba disponuje následujícími funkcemi: Lokalizace, zamknutí nebo vymazání dat kdykoli potřebujete. Správa až 50 zařízení z jednoho administrátorského účtu. Vzdálené nastavení e-mailů a WiFi. Vynucení nastavení hesla na zařízení. Vhodné pro všechny operační systémy. Antivirová ochrana. Obsah průvodce: Nastavení portálu Přidání mobilního zařízení Funkce Zamknout, Smazat, Najít Funkce Mobilní zabezpečení (F-Secure antivirus) Ostatní funkce Sekce nastavení Odebrání zařízení Podporované telefony: Android 2.3+ Apple ios 4+ Symbian S60/3rd series + Windows Phone 7, 8 Podporované internetové prohlížeče: Internet Explorer 9+ Mozilla Firefox 20+ Google Chrome Dodavatel služby: Služba Mobilní zabezpečení je realizována ve spolupráci s firmami AirWatch a F-Secure, kteří jsou předními výrobci antivirových programů a systémů umožňujících vzdálenou správu mobilních zařízení.
2 Nastavení portálu a přidání mobilního zařízení 2.1 Nastavení portálu Jakmile si službu objednáte na některém z našich prodejních kanálů, bude vám vygenerováno přístupové jméno (standardně bývá nastaveno jako vaše e-mailová adresa) a heslo do administračního portálu. Ten naleznete na adrese https://mz.vodafone.cz a administrační údaje obdržíte e-mailem, který jste zadali při aktivaci služby prodejci. Prosím, ujistěte se, že tento e-mail nespadl do SPAMového koše vždy přichází z adresy noreply@vodafone.com Upozornění: je nezbytné, abyste se do portálu https://mz.vodafone.cz přihlašovali vždy z internetového prohlížeče instalovaného na počítači či notebooku. V případě zobrazení z mobilního zařízení se portál nenačte z důvodu bezpečnosti. Při prvním přihlášení do portálu budete vyzváni k následujícím krokům: a) Po zadání přihlašovacích údajů budete vyzváni ke změně hesla. b) EULA Licenční smlouva s koncovým uživatelem je nutné odsouhlasit tyto podmínky kliknutím na tlačítko Přijmout. c) Bezpečnostní otázka je nutno nastavit jednu s předdefinovaných otázek a nastavit i její odpověď. Tato otázka bude použita v případě, že zapomenete své heslo. d) Bezpečnostní PIN nastavte 4místný číselný kód, který portál vyžaduje k některým autorizovaným operacím. Poté se vám odhalí prostředí, kde máte přehled o přidaných mobilních zařízeních a kde si rovněž můžete další zařízení přidat či odebrat, nebo s ním vykonat příkazy lokalizace, smazání či zamknutí nebo nastavení antivirového řešení. V menu Moje nastavení je nutné z bezpečnostních důvodů zaškrtnout políčko Požadovat heslo tím zajistíte, že si koncový uživatel vždy bude muset zařízení odemknout, jakmile vyprší doba, kdy se mobil či tablet automaticky zamkne, nebo pokud zařízení zamknete vzdáleně vy. Zabráníte tak tomu, aby kdokoliv cizí přistupoval k zařízení a jeho citlivým údajům.
2.2 Přidání mobilního zařízení Abyste mohli jednotlivá zařízení vzdáleně ovládat, je potřeba je spárovat s administračním portálem. To se provede tak, že nejprve nainstalujete do zařízení aplikaci a poté provedete autorizaci. Portál vám potvrdí, že zařízení bylo spárováno. Průvodce vás opět provede jednotlivými kroky: A) Zařízení Android, Symbian, Windows Phone 1. Začněte kliknutím na Přidat zařízení: 2. V nabídce vyplňte požadované údaje, zejména věnujte pozornost zvolenému operačnímu systému (platformě) pro správnou funkci musí zvolená položka odpovídat realitě. Následně zvolte, zda chcete obdržet internetový odkaz s informací, jak a kde se stáhne mobilní aplikace zda e-mailem či SMSkou. Pokud zvolíte e-mail, je nutné, abyste si ho otevřeli rovnou v mobilním telefonu. U možnosti zaslání skrze SMS počítejte s prodlevou až tři minuty. Pokud přidáváte zařízení typu tablet bez SIM karty, zvolte možnost WiFi nebude samozřejmě možné nechat si zaslat SMS, ale pouze e-mail.
3. Na uvedeném mobilní zařízení otevřete e-mail či SMS s odkazem. Otevře se vám mobilní webová stránka, která nabídne dva kroky: a. stáhnutí mobilní aplikace do zařízení - proveďte prosím nejprve tento krok. Potvrďte rovněž všechny její požadavky na přístup k přístroji. Aplikace je v českém jazyce, ale její název je anglický, jelikož se používá pro více světových trhů najednou. Jmenuje se AirWatch MDM Agent. b. Po dokončení instalace se vraťte na webovou stránku a klikněte na Již máte nainstalováno? Klikněte zde pro pokračování., nebo případně aplikaci spusťte. Zařízení si může vyžádat Server a ID skupiny. Do pole Server vepište mz-ds.vodafone.cz. ID skupiny je 6-místný kód, který naleznete v SMS odkazu za parametrem AC=. Např. https://mz-ds.vodafone.cz/devicemanagement/enrollment?ac=ngb0ip V tomto případě je tedy 6-místný kód NGB0IP. Dále pokračujte dle instrukcí. Po dokončení procesu je mobilní zařízení spárované, tj. připravené ke správě.
B) Zařízení Apple (ios) Mobilní zařízení typu ios je specifické tím, že je nutné před samotnou procedurou popsanou v bodu A) nastavit v administračním portálu tzv. APNs Apple Push Notification service. Jedná se o certifikát, který generuje firma Apple pro všechny uživatele jejich zařízení, který je zdarma a pro jeho získání je nutné mít vytvořené Apple ID. Veškeré podrobnosti naleznete v průvodci, kterého spustíte tím, že přidáte zařízení na platformě Apple (ios) v hlavním menu či kliknutím na menu Úvodní nastavení pro ios, nebo Moje nastavení / ios nastavení. Klikněte na zelené tlačítko Vygenerovat certifikát a spustí se vám podrobný průvodce generování certifikátu 4 kroky k jeho získání a nahrání do portálu pozorně si je pročtěte a proveďte je. Upozornění: Generuje se jeden certifikát pro všechna zařízení, která do budoucna přidáte do portálu, takže tuto proceduru provedete jen jedenkrát. Certifikát vyprší po jednom roce, na což budete portálem upozorněni a průvodce vás opět provede jeho obnovou (společnost Apple tuto politiku vyžaduje po všech dodavatelích konzolí na vzdálenou správu a nemůžeme ji z naší strany ji nijak ovlivnit). Pokud jste úspěšně nainstalovali do portálu certifikát, pokračujte stejným postupem, který je popsán výše v bodu A) Zařízení Android, Symbian, Windows Phone
C) Zařízení typu Windows Phone dodatečná nastavení v aplikaci Aplikace stáhnutá do telefonů s OS Windows Phone vyžaduje více manuálního nastavení než ostatní operační systémy. To je dáno bezpečnostními omezeními samotného výrobce OS. Jakmile do mobilního zařízení stáhnete aplikaci (agenta), otevřete ji a vyplňte políčka jméno hostitele a ID skupiny. Jméno hostitele je vždy mz-ds.vodafone.cz bez úvozovek. ID skupiny najdete v registračním e-mailu či SMS je součástí odkazu a je to směs čísel a písmen uvedená za identifikátorem AC=, např. https://mz-ds.vodafone.cz/devicemanagement/enrollment?ac=ngb0ip Položka Informace o zařízení se nevyplňuje Pak stiskněte tlačítko registrovat a potvrďte přístup k polohovým a push službám Jakmile dojde k ověření a hlášce Byli jste úspěšně ověřeni u Vodafone serveru, vygeneruje se dočasné heslo, které si poznamenejte nebo zkopírujte do schránky. Rovněž si poznamenejte internetový odkaz, který se zde vytvořil (URL) Jděte dle návodu do menu: Nastavení/Systém/Firemní aplikace/přidat účet Zde zadejte e-mailovou adresu, na kterou jste si zaregistrovali mobilní zařízení a dočasné heslo a klikněte na Přihlásit se Pak je potřeba vyplnit název serveru zde vložte URL, kterou jste si v bodě výše měli poznamenat A nakonec budete vyzváni asi po 30 vteřinách k zadání nového hesla. Tím je registrace dokončena. Toto heslo si poznamenejte, můžete ho znovu potřebovat v okamžiku, kdy ztratíte nebo změníte telefon a celou proceduru budete opakovat.
3 Správa mobilních zařízení 3.1 Funkce Zamknout, Smazat, Najít Zamknout: zařízení bude okamžitě zamčeno, pokud je zapnuté a připojené k mobilním datům či Wi-Fi. Odemknout ho lze zadáním hesla, které si volí sám uživatel zařízení. Pokud zapomenete heslo, jedinou možností je funkce Smazat, proto dbejte na jeho bezpečné uložení či zapamatování! Smazat: ze zařízení budou smazána veškerá data jako například kontakty, e-maily, fotky, SMS zprávy, dokumenty tj. bude uvedeno do továrního nastavení včetně smazání dat z paměťové karty. Tuto funkci použijte v případě, že mobilní zařízení nemůžete nalézt a zneužití údajů v přístroji by mohlo mít na vás negativní vliv. Najít: stisknutím tlačítka Najít/Zobrazit místo najít dojde k lokalizaci zařízení bude zobrazena jeho poloha na mapě uvnitř administračního portálu. Je nutné, aby v zařízení nebyla blokována služba GPS. Upozornění: funkce Najít začne fungovat zhruba po 60ti minutách od spárování zařízení s portálem. Do té doby zůstane zobrazená hláška o nedostupnosti této funkce.
3.2 Funkce Mobilní zabezpečení ( F-Secure antivirus) Tato funkce je dostupná jen pro otevřené operační systémy, které jsou náchylné k virové nákaze. V současné době se jedná o Android a Symbian. Pro použití této služby je potřeba do zařízení nainstalovat další dvě aplikace, které posléze budou fungovat jako antivirus a bezpečný prohlížeč. Aplikace Mobilní zabezpečení antivirus a Safe browser (bezpečný prohlížeč) Aplikace nainstalujete do telefonu skrze administrační portál kliknutím na ikonku Mobilní zabezpečení (antivirus) - Instalovat. Na zařízení bude zaslán e-mail s instrukcemi ke stažení postupujte prosím podle nich. Pokud bude vaše zařízení odmítat instalaci aplikace, jděte v mobilu či tabletu do menu Nastavení/Možnosti pro vývojáře, kde zaškrtněte položku Povolit instalace aplikace z jiných zdrojů než je Google Play. Upozornění: tyto aplikace vyžadují tzv. licenční klíč. Ten je součástí e-mailu zadejte ho prosím do aplikace, aby začala fungovat. Aplikace Safe browser se nainstaluje automaticky po instalaci aplikace Mobilní zabezpečení antivirus. Aplikace Antivirus je dodávána společností F-Secure. Scanuje v reálném čase veškeré soubory či přílohy e-mailů, nebo kontroluje aplikace, které se do zařízení stahují snížíte tedy riziko napadení vašeho mobilního zařízení virem či malwarem na minimum podobně jako je tomu při používání antivirového programu na počítači či notebooku. V aplikaci můžete využít i služby Bezpečné kontakty, která vám umožní automaticky nepřijímat hovory či SMS od čísel, které si sami nastavíte. Aplikace Safe browser (bezpečný prohlížeč) garantuje, že se nedostanete na potenciálně škodlivé webové stránky, proto doporučujeme jeho používání oproti standardnímu vestavěnému mobilnímu internetovému prohlížeči.
3.3 Ostatní funkce - Ikony rychlých akcí Na hlavní obrazovce administračního portálu jsou u každého jednotlivého přidaného zařízení tři ikony umožňující tyto funkce: Vynucení ochrany zařízení heslem Odeslání nastavení e-mailu Odeslání nastavení Wi-Fi Tyto ikony jsou určeny pro zapnutí/vypnutí těchto služeb na každém zařízení zvlášť a zároveň zobrazují, zda byl požadavek odeslán. Standardně je ikona šedá, po odeslání požadavku se zbarví do zelena. Pro celkové nastavení těchto služeb je nutné jednotlivé údaje vyplnit v záložce Nastavení Nastavení emailu. Jakékoliv změny se potom propíší do všech nastavených zařízení. Pokud je v nastavení zaškrtnuto poslat nastavení, jakmile je zařízení zaregistrováno, jsou tyto údaje vepsány do každého přidávaného zařízení. Pokud byl telefon nebo tablet přidán bez vyplněných údajů o heslu/emailu/wi-fi, je nutné u tohoto telefonu kliknout na příslušnou ikonu a odeslat mu nastavení ručně. Propsání údajů do zařízení je otázkou několika desítek sekund.
3.4 Sekce nastavení Na záložce nastavení můžete nalézt další funkce, které slouží k nastavení dodatečných parametrů, které se týkají GPS lokalizace, nastavení e-mailu, nastavení WiFi, nastavení hesla a ios nastavení APNS. Nastavení e-mailu: zde můžete hromadně a vzdáleně nastavit e-mailové přístupové údaje, aniž by koncový uživatel laik musel cokoliv konfigurovat na svém telefonu. Je k dispozici nastavení pro MS Exchange, ale i pro běžné e-mailové účty používající POP3 či IMAP (gmail, seznam atp.). Nastavení Wi-Fi: zde můžete hromadně a vzdáleně nastavit na telefonech připojení k Wi-Fi sítím, které znáte (např. firemní Wi-Fi síť) včetně možnosti, zda se má koncový uživatel připojovat k této síti automaticky. Majitel zařízení tak bude mít toto nastavení automaticky k dispozici, aniž by jako laik musel cokoliv konfigurovat.
Nastavení GPS: zde můžete rozhodnout, zda se mají sbírat GPS data na mobilních zařízeních, v jakém časovém intervalu a čím má být definován vzdálenostní interval. Pokud tedy nastavíte sběr na každých 60 minut, získáte zpětně údaje o poloze zařízení v tomto časovém úseku. Interval vzdálenosti slouží k tomu, aby se GPS data sbírala jen v případě, že se za oněch 60 minut zařízení přemístilo o více než 1 kilometr
3.5 Odebrání zařízení Jestliže se rozhodnete vybrané mobilní zařízení odebrat, použijte tlačítko Odebrat zařízení, které naleznete na záložce Upravit detaily zařízení. Toto zařízení tím zmizí z vašeho přehledu a můžete ho nahradit zařízením jiným. Portál neumí odregistrovat a odstranit samotnou mobilní aplikaci z telefonu či tabletu. Proto je nutné dále postupovat dle následujících kroků. ios zařízení 1. Přejdeme do Nastavení Obecné Profily. 2. V seznamu by měl být profil začínající názvem MDM, případně MDM Profile. Klikněte na tento profil. 3. Zvolte Odstranit a potvrďte zadáním PIN kódu telefonu. 4. Profil je nyní odstraněn. Zařízení již není pod správou administračního portálu. Pokud chcete, nyní lze odinstalovat aplikaci AirWatch MDM Agent.
Android OS zařízení 1. Spustíme aplikaci AirWatch MDM Agent. 2. V pravém horním rohu rozklikneme nabídku a zvolíme Odregistrovat. 3. Zařízení již není pod správou administračního portálu. Pokud chcete, nyní lze odinstalovat aplikaci AirWatch MDM Agent. Upozornění: I když jen odregistrujete aplikaci v zařízení, nebo pouze odstraníte zařízení v administračním portálu, koncové mobilní zařízení nebude možno ovládat, protože dojde k odpárování zařízení s portálem, tzn. ztratí s ním spojení.