Moderní správa firemních zařízení MDM/EMM/UEM

Systémy, jež v kontextu aktuálních globálních výzev neztrácejí na významu. Naopak se staly klíčovými prvky moderních bezpečnostních řešení.

MDM (Mobile Device Management)
EMM (Enterprise Mobility Management)
UEM (Unified Endpoint Management), pojmy, které jsou v oblasti IT užívány pro označení nástrojů pro hromadnou správu firemních zařízení.

Dnešním požadavkem většiny firem je poskytnout svým zaměstnancům jednoduchý a uživatelsky přívětivý způsob spolupráce a přístupu na firemní data. Tento trend výrazně akceleroval adopci cloudových nástrojů pro firemní spolupráci, které umožňují snadné sdílení souborů a komunikaci mezi členy týmů, a to odkudkoli na světě a z jakéhokoli zařízení. Tedy bez nutnosti provozu komplexní on‐premise IT infrastruktury a také bez nutnosti složitého připojování a ověřování klientů přes VPN.

Využití zařízení podle volby zaměstnance CYOD (Choose Your Own Device) anebo soukromých zařízení BYOD (Bring Your Own Device) je tak stále častější, stejně tak i využití více typů zařízení jedním uživatelem současně. Studie potvrzují, že zaměstnanci jsou při práci efektivnější, pokud používají zařízení podle svých znalostí a preference.

Tyto změny přinášejí firmám a zaměstnancům vysokou flexibilitu, ale zároveň je stavějí před řadu bezpečnostních výzev. Zejména jaká bezpečnostní pravidla stanovit pro přístup do cloudu a jak ochránit firemní data před neautorizovaným přístupem a případným únikem.
A právě zde dnešní Unified Endpoint Management systémy hrají velmi důležitou roli.

Jak se systémy pro správu firemních zařízení MDM, EMM a UEM vyvíjely a jaký je mezi nimi rozdíl?

Mobile Device Management

je označení pro správu mobilních zařízení s operačním systémem iOS nebo Android. Technologie v sobě obsahuje nástroje pro jejich konfiguraci a základní zabezpečení. Pomocí MDM jste schopní na všech zařízeních například nastavit zámek pro odemknutí, Wi‐Fi, e‐mailového klienta a nainstalovat aplikace.

Enterprise mobility management

je další evolucí správy firemní flotily zařízení, kde MDM je základním stavebním kamenem. Kromě toho však obsahuje nástroje pro zabezpečení firemních aplikací MAM (Mobile Application Management) a nástroje pro správu dokumentů a zabezpečení přístupu na firemní zdroje MCM (Mobile Content Management). Typicky EMM systémy umožňují zabezpečení firemních dat pomocí šifrovaného kontejneru a k dispozici jsou bezpečnostní brány pro přístup na interní webové stránky či síťová úložiště. Díky úzké integraci je možné v reálném čase povolit či zablokovat přístup na základě stavu spravovaného zařízení v MDM.

Unified endpoint management

systémy pak představují další stupeň, rozšiřující možnosti správy na všechna firemní zařízení. Tedy nejenom mobilní platformy, ale i desktopové systémy a IoT řešení. Díky modernímu API ve většině současných operačních systémů je tak možné z jedné administrativní konzole jednotně spravovat všechna firemní zařízení, a to kdekoli na světě. Stačí k tomu jen internetová konektivita. To je velká výhoda oproti tradičním způsobům správy počítačů s OS Windows pomocí Active Directory Group Policies (GPo) a nástrojů typu Microsoft SCCM/ConfigMg (System Center Configuration Manager). Ty byly navrženy pro správu stanic a serverů v rámci lokální sítě (LAN), a nejsou tak vhodné pro správu zařízení mimo síťový perimetr. Adopce moderního managementu Windows 10/11 začíná rezonovat u mnoha společností.

Dnes již prakticky na trhu neexistuje čistě MDM nástroj a většina řešení nabízí EMM funkcionalitu. Lídři trhu jako Microsoft, VMware, Soti nebo Ivanti poskytují komplexní řešení v oblasti jednotné správy – Unified Endpoint Management. Kromě toho si velmi silnou pozici drží např. Jamf coby specializovaný nástroj pro správu Apple zařízení. Soti je také velmi silné v oblasti správy odolných (rugged) Android zařízení hojně používaných např. v logistice.

Moderní bezpečnostní koncept

Vraťme se teď k potřebám firem, adopci cloudových technologií a bezpečnostním aspektům, které jsem zmínil na začátku článku. S přechodem do cloudu nelze opomenout bezpečnostní opatření.

Na začátku by si každá firma měla položit otázku, zda chce opravdu umožnit nekontrolovaný přístup na firemní data bez ohledu na to, zda dané zařízení splňuje alespoň základní bezpečnostní požadavky.

Co když ho uživatel ztratí a nebude mít nastavený zámek zařízení nebo nebude šifrováno? Co když používá zastaralý operační systém se známými zranitelnostmi?
Je také možné slepě považovat firemní počítač přistupující z internetu za bezpečný, když se dlouhodobě pohybuje mimo firmu?

Právě z těchto důvodů vstupují do popředí moderní bezpečnostní koncepty. Klasická ochrana síťovým perimetrem totiž s cloudem nefunguje a není snadné rozlišit, který přístup je či není bezpečný. Základní premisou tzv. Zero trustu je „nikomu nevěř, vždy ověřuj“. Díky úzké integraci mezi systémy pro správu identity (např. Azure AD, Okta) pro jednotnou správu zařízení (UEM), pro rozšířenou detekci a reakci XDR (Extended Detection and Response) je možné v reálném čase vyhodnotit důvěru pro přístup uživatele z daného zařízení na konkrétní aplikaci a přístup buď povolit, anebo zablokovat.

Unified endpoint management je tedy klíčovým systémem pro moderní správu a vyhodnocení důvěryhodnosti zařízení.

Autor: Ladislav Blažek, technický ředitel System4u

Moderní správa firemních zařízení MDM/EMM/UEM