Güvenlik

Mobil Cihaz Yönetim (MDM) Çözümü MobileIron – Bölüm 3 Politika ve Yapılandırma Ayarları Yönetimi

Bu makale Mobil Cihaz Yönetimi (Mobile Device Management (MDM)) konusunu işlediğimiz makale serimizin üçüncü ve son bölümüdür. Birinci ve ikinci bölümlere alttaki linklerden erişebilirsiniz.

Mobil Cihaz Yönetimi Nedir? ve MDM Çözümü MobileIron’ a Giriş

https://www.cozumpark.com/blogs/gvenlik/archive/2017/03/05/mobil-cihaz-yonetimi-nedir-ve-mdm-cozumu-mobile_3101_ron-a-giris.aspx

Mobil Cihaz Yönetim (MDM) Çözümü MobileIron – Bölüm 2 Uygulama Yönetimi

https://www.cozumpark.com/blogs/gvenlik/archive/2017/04/02/mobil-cihaz-yonetim-mdm-cozumu-mobile_3101_ron-bolum-2-uygulama-yonetimi.aspx

İlk bölümde işlediğimiz Mobil Cihaz Yönetimi (Mobile Device Management (MDM)) nedirden sonra uygulama örneği kısmında MobileIron ürününün genel yapısına bakmış ve demo ortamında bir cihazın yönetim altına alınmasını görmüştük. Mobil cihazı yönetimiz altına aldıktan sonraysa cihaza hangi komutlar yollayabileceğimize ayrıca değinmiştik.

İkinci bölümümüzde de mobil cihazlarımıza otomatik ve manuel olarak nasıl uygulama yükleyebileceğimize ve bunları nasıl yöneteceğimize değinmiştir.

clip_image002

Üçüncü makalemizde üstteki resmin alt kısmındaki mobil cihazlarımız için politikalar ve yapılandırma ayarları, veri şifreleme, konteyner yapısı, kimlik doğrulama gibi birçok konuya değineceğiz.

Tüm mobil cihaz yapılandırma ayarlarını ve politikaları MobileIron yönetim ekranı Core’daki Policies & Configs menüsünden yapıyoruz.

clip_image004

Bu menüye girdiğimizde yapılandırma ayarlarının ve politikalarının alt menülere ayrıldığını görüyoruz.

Yapılandırma ayarlarını ekranındayken genel yapıyı özetlemek gerekirse sol tarafta politikalar ve ayarların kayıtları açılıyor. Bunlardan birine tıkladığımızda da sağ tarafa bu politikanın veya ayarın detaylarını hızlı bir şekilde görebiliyoruz. Detayları gördüğümüz kısmın üstündeyse değişiklik yapabilmemiz için Edit butonu bulunuyor.

Sol üst kısımdaysa ayarları silmemiz için Delete ve ayarları istediğimiz Label yani gruplara atamamız veya kaldırmamız için More Actions kısmı bulunuyor.

Ekranda en az yer kaplayan ama içeriği bir derya bir deniz olan Add New butonunu görüyoruz.

clip_image006

Buradaki menü tasarımı yapılırken işletim sistemlerine özel olarak yapılabilen ayarlar yan menüde toparlanmış ama ortak olarak ayarlanabilen Email, Wi-fi vb ayarlar ise direk ilk sekmede sıralanmıştır. Örneğin Android işletim sistemine özel olarak Android for Work ve Samsung’un kendi telefonları için Android’e özel yazdırdığı Browser, Kiosk mode ve Knox Contaniner yapılarını burada yer aldığını görebiliyoruz.

Yeri gelmişken belirtmekte fayda olduğunu düşündüğüm bir konu var. Mobil cihaz yönetiminde dikkat edilmeyen bir konuda alınacak cihazların mobil cihaz yönetimine ne kadar uygun olduğu konusudur. Siz kiosk modu desteklemeyen bir cihaz alırsanız maalesef kiosk modu veya Samsung Safe desteği olmayan bir Samsung cihaz alırsanız yukarıdaki bazı Samsung özellikleri kullanamayabilirsiniz. Bu sebeple cihazlar satın alınmadan mobil cihazlar üstünde yapılacak ayarların uygulanabilir olduğunu demo cihazlar üstünde test etmeniz çok önemlidir.

Yapılandırma ayarlarından bazılarına göz atalım. Add New’den herkesin kullanabileceği Exchange ayarlarına tıklayalım.

 

clip_image008

Normalde bir cihaza mail kurulumu yaparken cihazı alıyoruz mail uygulaması üzerinden kullanıcı adı, şifre, server adresi veya mail adresi girerek mail kurulumunu yapıyoruz. Bu ayarların otomatik yapılması tabiki işimizi kolaylaştıracaktır. İşte bu kısımda yüzlerde cihaza mail ayarı yapmak yerine bu kısımdan server adresi, domain bilgisi, senkronize olmasını istediğimiz süre ve senkronize olmasını istediğimiz eposta, takvim, kontaklar ve görevleri seçiyoruz. Daha sonra mobil cihaz yönetimine alınan her cihazda bu ayarlar otomatik olarak uygulanıyor ve kullanıcıda mail ve benzeri konularda bize ihtiyacı kalmadan direk olarak kullanmaya başlayabilir.

clip_image010

Bu kolaylıkların yanında Exhange ayarlarının alt kısmına indiğimizde bizim mail uygulamaları üzerinde yapabileceğimiz birçok yapılandırma veya güvenlik ayarı olduğunu görüyoruz. Buradaki önemli bir konu da bazı ayarların yanında bulunan (i) bilgilendirme alanıdır. Bir ayar yapılırken burada yazılı olan notlara dikkat etmek gereklidir. Çünkü hem ayar hakkında daha detaylı bilgi verir hem de hangi mobil cihazlarda bu ayarın kullanılabileceği yazılıdır.

Mobil cihaz yönetimine alınmış mobil cihazlarımızın bir veya birden çok kablosuz ağa otomatik bağlanmasını istiyorsak Wi-fi ayarları sekmesinden istediğimiz ayarların otomatik olarak cihazlarımıza yollanmasını sağlayabiliriz.

clip_image012

Yukarıda görüldüğü gibi kablosuz ağ operasyonları için kullanabileceğimiz birçok ayar bulunmaktadır. Alt kısımda mobil cihazın bağlanmasını istediğimiz kablosuz ağlara hangi öncelikle bağlanmasını istediğimizi bile ayarlayabiliriz.

clip_image014

Daha öncede bahsettiğimiz gibi MobileIron Docs@Work ile mobil cihazlarımız üzerinden iç networkümüzdeki dosya, sharepoint vb. sunuculardaki dokümanlara erişim sağlanabilmekteyiz. CORE’dan Docs@Work uygulamasının ayarlarını merkezi olarak yapabiliriz.

clip_image016

MobileIron’ın kendi web uygulaması Web@Work’ta yapabileceğimiz yapılandırma ayarlarını buradan yapabiliyoruz. Örneğin Web@Works’taki kısayollardan kolay ulaşım için bookmarklar yani yer işaretleri atayabilir veya istediğimiz değişkenlerin, örneğin açılış sayfası gibi, otomatik olarak yapılandırılmasını ayarlayabiliriz.

clip_image018

iOS ve OS-X işletim sistemlerine baktığımızdaysa bu makalede değinemeyeceğimiz kadar çok ayar mevcuttur.

clip_image020

Mobil cihaz politikaları tabında da bizi bir derya bir deniz ayar karşılıyor.

Örnekler üzerinden birkaç politika görelim.

clip_image022

Yine herkesin güvenlik politikasında yer aldığını düşündüğüm mobil cihazların PIN veya parola ile korunmasını örnek bir Security Policy ile deneyelim. Yukarıdaki ayarlardan da görüleceği üzere 4 haneli bir PIN’i, 30 günde bir PIN değişimini ve son 3 PIN’i kullanılmamasını zorunlu kılmış olduk. Burada MobileIron’da bulunan güzel bir özellik bulunuyor. Android cihazlar için Complex PIN’i zorunlu tutabiliyorsunuz. Bu şu demek kullanıcılarınız 1234, 2222, 2468 vb basit PIN’leri de kullanamazlar.

clip_image024

Security Policy’deki Data Encryption yani veri şifreleme alanından mobil cihazlarınızdaki değerli verileri şifreletebilir ve çalınma, kaybolma durumlarında verinin güvenliğini sağlatabiliriz. Bu alanda veri tipine, dosya tibine kadar geniş bir yelpazede alt kırılıma inebildiğimizi ve SD kartlarda dahil şifreletebildiğimizi dikkatinize sunarım.

clip_image026

Security Policy’deki Access Control yani erişim kontrol kısmından mobil cihazlarımızın, Mobil Yönetim Yazılımı CORE ile bağlantısı bir süredir kopuk olan veya politikaları almayan cihazlarda epostalara, uygulamalara erişiminin engellemesini ve uyarı vermesini sağlayabiliriz.

Burada ek bilgi olarak bizim uygun görmediğimiz mobil cihazlarda da erişim engellenebilmekte ve kurumsal verilerimiz ilgili mobil cihazlardan kaldırılabilmektedir. Örneğin mobil cihazımız bizden habersiz rootlandığında  veya cihaza uygun görülmeyen bir uygulama yüklendiğinde mobil cihazdan kurumsal verilere erişimi engellenebiliriz.

clip_image028

Privacy Policy yani gizlilik politikasından mobil cihaza yüklü uygulamalar, lokasyon bilgisi vb bilgilerin alınmasını sağlayabiliriz.

clip_image030

Lockdown Policy yani Kilitleme politikalarından cihazda neyin kullanılmasını istiyorsak veya neyin kullanılmamasını istiyorsak ayarlayabiliyoruz.  Örneğin Bluetooth bağlantısının sadece ses için kullanılmasını ve kameranın kullanılmamasını istemeyebiliriz.

Lockdown Policy ile mobil cihaz üstünden fabrika ayarlarına dönülmesini engellemekten tutunda gps’in açık olup olmasının hatta gps ayarlarına kullanıcının müdehale edip edememesine kadar çok detaylarlı ayarlar bulunuyor. İsteklerinize göre buradaki ayarları yapabilirsiniz.

clip_image032

Sync Policy yani senkronizasyon politikaları ile cihazımız ne kadar sıklıkla bize veri göndermesini ve bağlanmasını istediğimizi ayarlayabiliriz. Buradaki ayarların veri kullanımına etkisini ve şarj durumuna etkisini kontrol etmekte fayda var.

Bir örnekle de satış veya saha ekiplerimiz için kullanabileceğimiz Samsung kiosk mode’a bakalım.

clip_image034

Saha ve satış ekiplerinin telefon veya tabletlerini koisk moda alıp sadece bir uygulama çalıştırmak istiyorsak Single App seçili ile hangi uygulamanın ekranda açılacağı ve görüneceği girilir. System ve navigation barlardan hangisinin aktif olmasını isteniyorsak işaretleyebilir ve çoklu pencere kullanılacaksa Multi Window özelliği aktif edilir.

Ben örneğimde çoklu uygulama yapacağım için Multiple Apps’i tıklıyorum.

clip_image036

Çoklu programa geçince İlk açılacak kiosk ekranının tasarımını değiştirebiliyoruz. Aynı mobil cihazı birde fazla kullanıcı kullanacak ise mutli-user login’i işaretlememiz gerekiyor.

clip_image038

Biraz önce Kiosk modu aktif ettik ama dikkat ettiyseniz hangi uygulamaların kiosk modda görüneceğini sisteme girmedik. Bu ayar için biraz önce Configurations tabına göstermediğim Add New menüsündeki Android’in altında bulunan Samsung Kiosk’a tıklıyorum.

clip_image040

Her kullanıcı grubu için ayrı ayrı uygulama ayarlanması için ilk olarak Ldap Grup seçilmeli ama bizim AD entegrasyonumuz olmadığı için ben herkes için ayar yapıyor olacağım.

Alttaki alanda uygulamaları görüyoruz. Name alanı uygulananın görünmesini istediğiniz ismidir. Package Name ise uygulamanın kimliğidir. Her uygulama için tektir. Eğer package name’i bilmiyorsanız uygulamanın kurulu olduğu bir mobil cihazdaki uygulama özelliklerinden bakabilirsiniz. Ben standart hesap makinesi, kamera ve galeri için ayarlarımı yapıyorum.

clip_image042

Oluşturduğumuz bu politikaların uygulanması için LABEL’lara atamayı unutmamalıyız.

Daha önceki makalelerimizde mobil cihazlarımızı MobileIron Mobil Cihaz Yönetimi CORE’a dahil etmeyi görmüştük. Bu yüzden sadece yaptığımız politikaların ve ayarların etkilerini gösteren ekranları göstereceğim.

clip_image044

Hatırlarsanız Security Policy ile PIN’i zorunlu kılmıştık. Bu ekran mobil cihaz üzerinde bunun bilgisini veriyor.

clip_image046

Yine Security Policy’de Data Encryption yani veri şifreleme yapmıştık. Veri şifreleme esnasında cihaz bir kere kapanıp açılır. Sonraki açılışlarda cihaz ilk olarak kilidi açmamızı isteyecek ve ondan sonra işletim sisteminin açılışına devam edecektir.

clip_image048

Şifrelenmiş cihazı veya SD kartı bilgisayara taktığımızda da aynı şekilde kilidi açmak gerekecektir.

clip_image050

Yukarıda da görüldüğü gibi MobileIron CORE’a dahil edilmiş ve kiosk moda alınmış cihazda sadece bizim istediğimiz uygulamalar görünür ve kullanılabilir. Bizim istemediğimiz uygulamalar ve status barlar gibi alanlar görünmez.

clip_image052

Kiosk moddaki bir cihazı kiosk modda çıkarmamız ve bakım yapmamız gerektiği zaman cihazı seçip Disable Samsung Kiosk’i tıklamamız yeterlidir. Daha sonra cihaz üstünden kiosk mode aktif edebileceğimiz gibi Enable Samsung Kiosk’a tıklayıpta Kiosk’a geçmesini sağlayabiliriz.

clip_image054

Makalemizi bitirmeden önce Lockdown Policy’de engellediğimiz Kamera uygulamamıza tıklıyoruz ve engellendi uyarısına da görüyoruz.

Mobil Cihaz Yönetimi (Mobile Device Management (MDM) makale serimizin sonuna gelmiş buluyoruz. Umarım bilgisayar sayımızdan çok daha hızlı artarak iş yükümüzü katlayan, yönetimimizin dışında kalarak ciddi güvenlik riskleri oluşturan mobil cihaz sorununu, üst yönetimlerinde desteğiyle en kısa sürede çözeriz.

Görüşmek üzere.

Murat CAN

   

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu