MDM/EMM řešení pro in-house model IT

Až donedávna drtivá většina firem používala klasický, tzv. in-house model IT se servery a souvisejícím hardwarem ve vlastních prostorách nebo pronajatém datacentru. V takových případech je zabezpečení a správa přístupu k firemním datům relativně jednoduchá. Data se nachází na centrálně přístupné lokalitě, stačí tedy zřídit centrální přístupovou bránu, která umožní kontrolu, kdo a odkud k datům přistupuje.

Ve firmách s in-house IT se pomocí EMM řeší zejména a nejčastěji tyto požadavky:

• snadná konfigurace zařízení a nastavení zabezpečení,
• zabezpečený, snadno použivatelný přístup do vnitřní firemní sítě,
• využití stávajících rolí a oprávnění uživatelů i při přístupu z mobilních zařízení,
• oddělení soukromých a firemních dat v mobilním zařízení – tzv. kontejnerizace, podpora nasazení BYOD,
• aplikace pro práci s firemními dokumenty a daty, browser pro intranet,
• okamžitá podpora nových verzí operačních systémů a modelů mobilních zařízení. 

Systémy EMM a cloudové služby

Čím dál více společností dnes začíná využívat cloudové služby, kterými nahrazují provoz vlastního IT řešení. Nejčastěji se jedná o nástroje pro komunikaci a práci s dokumenty, typicky Microsoft Office365 nebo Google GSuite. Rozšířené je také používání online chatových a hlasových služeb, například Skype for Business.

Jen málo firem je však schopno přesunout veškeré své IT zázemí do cloudu (cloudem zde myslíme veřejný cloud se sdílenými službami, nikoliv tzv. privátní cloud). Brání tomu nejčastěji komplexnost stávajícího IT a technická složitost takového řešení. Někdy je také kompletní cloudové řešení nepraktické a nevhodné. Nejčastější situací je proto hybridní řešení, kdy uživatelé využívají část služeb v cloudu, ale část in-house. Tento stav přitom nemusí být přechodný, hybridní model často ze všech řešení vyjde jako nejpružnější.

Jak vyplývá z výše uvedených požadavků na EMM, hlavním cílem firem je zajistit zabezpečení dat v mobilních zařízeních a zajištění, aby pouze autorizovaná zařízení měla k datům přístup. V případě využití cloudu však standardní kontrola přístupu k datům není možná – cloud je přístupný odkudkoliv z internetu a přístup k němu není možné řídit firewallem. Přesto je třeba zajistit, aby se ke cloudu mohla připojit pouze autorizovaná a zabezpečená mobilní zařízení. U hybridního modelu IT je navíc současně nutné zajistit bezpečný přístup nejen ke cloudovým službám, ale i ke službám ve vnitřní firemní síti.

Řešení těchto problémů přináší hlavní hráči na poli systémů EMM, především MobileIron a AirWatch. Dokážou zabezpečit přístup nejen ke cloudovému e-mailu, ale i ke cloudovým kancelářským aplikacím či úložišti dokumentů. To vše v kombinaci se standardním in-house přístupem. Kromě toho jsou k dispozici další proprietární řešení, například řešení SkypeShield pro zabezpečení komunikace Skype for Business, které lze přímo integrovat s EMM serverem.

Technicky lze bezpečného přístupu mobilních zařízení ke cloudovým službám dosáhnout několika způsoby. Výrobci EMM podporují integraci s Office365 pomocí příkazů Exchange Power Shell, pro Google GSuite využívají Google API: nejvhodnějším a nejbezpečnějším je využití ověřování pomocí klientských certifikátů a vynucení připojení zařízení přes centrální vstupní bránu, která komunikaci ověří a předá dále do cloudu. Základní model řešení je vidět na obrázku.

EMM řešení světových hlavních výrobců jsou již na cloudové služby většinou připravena a integraci s nimi podporují. Velmi však záleží na typu cloudových služeb. Podpora těch nejběžnějších je většinou již přímo součástí správcovské konzole EMM: pokud se firma rozhodne používat méně rozšířenou či specializovanou cloudovou službu, integrace s EMM nemusí být úplně přímočará. Nicméně díky API, které EMM systémy nabízí, jsou i tyto situace většinou řešitelné.