MDM(移动设备管理)最常见的应用之一是设备锁定。通过MDM平台发送设备锁定指令,可以将目标设备锁定,实现设备停用的目的。这一功能广泛应用于金融租赁、教育、军事、物流等需要特定条件使用设备的行业场景。
设备锁概述:
MDM(移动设备管理)设备锁是一种特殊的安全功能,我们常见的输入密码错误超过一定次数,将手机进入锁定的情形,就是设备锁的一种形式。通过MDM系统,我们可以主动将设备设置为锁定状态,远程锁定和控制移动设备,以保护企业数据和资产。MDM设备锁通常用于以下场景:
-
租赁设备未及时付款:如果当前设备为金融租赁设备,可以在未付款的情况下锁定设备。
-
设备丢失或被盗:如果员工的设备丢失或被盗,管理员可以远程锁定设备,防止未经授权的访问。
-
违反安全政策:如果员工违反了企业的安全政策或者为规范使用设备,管理员可以远程锁定其设备,直到问题得到解决。
-
数据泄露:在数据泄露的情况下,管理员可以迅速锁定设备,防止敏感信息的进一步泄露。
MDM设备锁的一些关键特性包括:
- 远程锁定:管理员可以远程锁定设备,无需物理接触。
- 密码设置:可以设置或更改设备的锁定密码。
- 数据擦除:在必要时,可以远程擦除设备上的数据。
- 设备定位:在设备丢失的情况下,可以定位设备的位置。
- 无需网络访问:可以设置设备必须处在移动网络和wifi环境,一旦失去网络通信,里面自动锁定设备。
iOS设备锁(丢失模式)
通过MDM管理iOS企业设备时,可以主动激活丢失模式,从而达到设备锁定的目的。丢失模式下,可以在屏幕上显示联系电话和自定义的信息。常见于租赁行业,在未正常付款的设备上自动激活丢失模式,付款后解锁设备。
实现iOS的MDM(移动设备管理)通常需要以下几个步骤,首先,需要有一个企业级开发者账户,这通常需要支付年费,并且通过苹果的认证。建立一个MDM服务器,该服务器将用于管理设备和与iOS设备通信。服务器可以是自行搭建的,也可以使用第三方服务。使用苹果提供的工具,如Apple Configurator 2,创建包含所需设置和策略的监管配置文件。将iOS设备注册到MDM系统中。这通常通过让用户安装一个监管配置文件来完成,该文件可以通过邮件附件发送,或者用户可以通过Safari浏览器访问特定链接下载。
安卓设备锁
安卓设备上的应用与iOS设备类似,提供了一系列的管理功能来增强设备安全性、数据保护以及满足企业或组织的特定需求。我们可以简单粗暴的将整个设备锁定,设备只能停留在锁定的页面,除非设备管理人员解锁设备。
基于安卓开放的接口,我们可以根据场景更好的定制我们的设备锁,
-
远程密码锁定:
管理员可以通过MDM平台发送远程锁定指令,使设备立即无法进行任何操作,直到输入正确的密码或通过MDM进行解锁。 -
设备定位与追踪:
在设备丢失或被盗的情况下,MDM可以提供设备的GPS位置信息,帮助追踪和定位设备。 -
设备擦除锁:
如果设备无法找回,MDM可以远程执行数据擦除操作,确保敏感信息不被泄露。 -
访问控制锁:
MDM可以控制设备上的应用程序访问权限,例如禁止访问Google Play商店或其他应用市场,防止未授权应用的安装。 -
应用管理锁:
MDM允许管理员管理设备上安装的应用程序,包括安装、更新、配置和卸载。 -
使用时间锁:
可以设置设备在特定时间或满足特定条件时自动锁定,例如在非工作时间自动锁定设备。 -
地理围栏锁:
设备只能在规划好的范围内使用,超出范围则自动设备设备。
Google EMM 安卓设备
Google EMM(Enterprise Mobility Management,企业移动管理)是一套用于管理安卓设备的综合解决方案,它提供了一系列的工具和API,使企业能够更安全、高效地管理员工使用的设备。通过谷歌EMM提供的设备管理接口,我们同样可以实现设备锁的能力。
通过安卓设备的kiosk应用锁定功能,将单个应用锁定至前端,禁用系统操作,通知等,达到设备锁定的功能。
三星Knox
三星Knox是三星电子开发的一种安全平台,专为三星的Android设备提供多层安全保护。Knox技术不仅在硬件层面上提供安全防护,还通过一系列软件解决方案增强了设备的安全性。以下是三星Knox锁的一些关键特点:
-
多层次安全:三星Knox在硬件和软件层面提供安全保护,包括安全启动、安全数据加密和安全存储。
-
数据隔离:Knox允许企业将工作数据与个人数据隔离开来,确保工作数据的安全,同时保护个人隐私。
-
设备管理:三星Knox可以与MDM(移动设备管理)解决方案集成,使IT管理员能够远程管理设备,包括锁定、定位、擦除数据等。
-
安全启动:Knox确保设备在启动时不会加载任何未经授权的软件,保护设备免受恶意软件的侵害。
-
安全容器:Knox创建了一个安全的容器,用于存储敏感数据和应用程序,这些数据和应用程序只能通过特定的安全方式访问。
-
远程锁定和擦除:如果设备丢失或被盗,管理员可以远程锁定设备或擦除设备上的数据,以防止数据泄露。
-
应用安全:Knox提供了应用沙箱技术,确保应用程序在隔离的环境中运行,防止恶意应用访问其他应用或系统数据。
-
安全更新:三星Knox确保设备能够接收及时的安全更新和补丁,以防止安全漏洞。
-
身份验证和访问控制:Knox支持多种身份验证方法,包括生物识别(指纹、虹膜扫描等)、PIN码、密码等,以确保只有授权用户才能访问设备。
-
集成安全服务:三星Knox提供了一套集成的安全服务,包括VPN、安全邮件、安全浏览器等,以满足企业对移动设备安全的需求。
-
合规性和标准:Knox符合多种行业安全标准和合规性要求,包括政府和金融机构的标准。
三星Knox锁是企业移动安全的重要组成部分,它提供了一套全面的安全措施,以保护企业和个人用户的数据安全。
鸿蒙设备锁
HEM(HUAWEI Enterprise Manager)为企业客户提供面向华为1+8+N全场景智能设备管控解决方案,主 要包括设备管控、应用管控、内容配置、网络管理、设备安全与防护等服务。可广泛用于政务、医疗、教育等行 业,有效助力企业和机构重塑生产力,保障数据安全。Easy Control MDM作为鸿蒙官方合作EMM厂商,提供了完整的企业解决方案。
其中包括:
-
设备全生命周期管理:HEM提供从设备初始部署到淘汰的全周期管理,包括设备权限的控制,如锁机/锁屏、截屏、定时开关机等。
-
安全检测与密码策略:HEM能够执行设备安全检测,制定密码安全策略,增强设备安全性。
-
远程锁机与解锁:管理员可以远程锁定设备,以响应安全事件或政策违规。同时,也支持远程解锁设备,以便在必要时快速恢复正常使用。
-
违规策略执行:在设备出现违规行为,如破解尝试、离线超时、系统版本过低等情况下,HEM可以自动执行锁机等安全措施。
-
定时锁机与解锁:根据企业需求,可以设置设备在特定时间自动锁机,以及在满足某些条件后自动解锁。
-
锁机前通知:在设备被锁定前,HEM可以向用户发送通知,提醒即将发生的锁定操作。
-
设备绑定与批量操作:支持设备绑定和批量绑定功能,便于管理员按组织查看和管理设备。
-
设备策略下发:管理员可以下发设备策略,包括安全设置和使用限制,以满足不同场景的管理需求。
-
设备部署与统计分析:HEM支持设备按项目部署,允许自定义用户协议,并提供设备统计分析功能。
-
SIM卡管控:HEM提供SIM卡管控功能,包括禁止使用第二张SIM卡和设置SIM卡白名单。
-
自定义安全与防护措施:HEM允许自定义告警通知对象,以及规划待开发的锁机能力。
-
企业组织管理:支持员工信息录入、组织管理以及子账号角色权限定义,实现企业内部的精细化管理。
-
内容定制与网络管理:HEM还提供内容定制服务,如开机动画、LOGO、壁纸等,以及网络管理功能,包括WIFI、VPN/APN、蓝牙等的配置和管理。
鸿蒙MDM的设备锁功能通过这些综合性的安全措施,帮助企业构建了一个安全可靠的移动设备管理环境,保障了企业数据的安全性和设备的合规使用。
设备锁场景
场景一:金融租赁设备异常
当设备为正常付款或者离线时间:
- 远程锁定未正常付款的设备,并在设备上提示联系方式以及电话。
- 设备离线时间监控。超时自动异常操作。
- 在新设备上配置MDM监管,确保新设备开机立即安全政策的保护。
场景二:设备丢失或被盗
当员工的手机或平板电脑在公共场合丢失或被盗时,企业可以使用MDM解决方案迅速响应。管理员可以:
- 立即通过MDM平台远程锁定设备,防止未授权访问。
- 激活丢失模式,显示一条自定义消息,提供联系信息,以便找到设备的人能够联系失主。
- 如果确定设备无法找回,执行远程擦除操作,确保敏感数据不被泄露。
场景三:违反安全政策
如果员工违反了企业的安全政策,例如多次输入错误的密码或尝试访问受限内容,管理员可以:
- 使用MDM系统远程锁定该员工的设备,直到问题得到解决。
- 强制设备执行安全检查或更新安全设置,以符合企业的安全标准。
- 在必要时,重新设置或更改设备的访问密码,以确保设备安全。
总结
通过设备锁、禁用设备调试模式,时间围栏、地理围栏等设置,可以组合出各种合适企业自己的业务场景安全方案。MDM设备锁为企业提供了一种强大的安全控制手段,确保在设备丢失、被盗或违反安全政策时能够迅速响应,有效保护企业数据和资源安全。
参考资料:
针对 iPhone 和 iPad 设备的 MDM 访问限制 - 官方 Apple 支持 (中国)
本文作者
范瑞凝
Easycontrol MDM平台产品经理,长期从事移动设备管理、物联网、嵌入式开发等的研究和产品设计工作,有丰富的企业移动设备管理开发以及落地实践产品经验。邮箱:fanruining@abupdate.com
电话: 4008-210-928
地址: 上海市浦东新区博云路2号浦软大厦201室