Gestion des appareils mobiles

Bitdefender GravityZone offre aux entreprises une visibilité complète de l'état de leur sécurité, des menaces de sécurité, et un contrôle des services de sécurité qui protègent leurs postes de travail virtuels ou physiques, leurs serveurs et leurs appareils mobiles. Toutes les solutions Bitdefender pour Entreprise sont administrées dans GravityZone via une console unique, le Control Center, qui fournit des services de contrôle, de création de rapports et d'alerte aux différents responsables au sein de l'entreprise.

GravityZone Security for Mobile Devices permet d'administrer la sécurité des appareils mobiles, qu'ils appartiennent à l'entreprise ou à ses salariés qui les utilisent, dans la société. A partir du Control Center de GravityZone, vous pouvez, à distance, exécuter des tâches (verrouiller, déverrouiller, analyser, rechercher et effacer), mettre en application des politiques de sécurité et recevoir des notifications concernant les problèmes de sécurité de chaque appareil mobile administré.

Cet article explique comment fonctionne la synchronisation entre GravityZone et les appareils mobiles administrés. Une vue d'ensemble des composants de GravityZone Mobile Device Managements et des prérequis nécessaires pour utiliser le service Mobile Device Security est également disponible.

Prérequis pour la sécurité des appareils mobiles

Pour administrer les appareils mobiles à partir du Control Center de GravityZone, il est nécessaire de remplir les conditions suivantes :

  • Configurer le Serveur de communication avec une adresse publique (externe)
  • Ajouter les certificats d'administration iOS au compte racine du Control Center
    • Certificat du Serveur de communication, nécessaire pour sécuriser les communications entre le serveur et les appareils mobiles iOS.
    • Certificat MDM Push d'Apple, exigé pour s'assurer de sécuriser les communications entre le Serveur de communication et le service Apple Push Notifications (APN) lors de l'envoi des notifications push.
    • Certificat de signature d'identité et de profil iOS MDM, utilisé par le Serveur de communication pour signer les certificats d'identité et les profils de configuration envoyés aux appareils mobiles.
    • Certificats iOS MDM Trust Chain, nécessaires pour s'assurer que les appareils mobiles iOS acceptent le certificat du serveur de communication et le certificat de signature d'identité et de profil iOS MDM.
  • Ajouter les appareils mobiles aux utilisateurs dans le Control Center. Appareils mobiles acceptés :
    • iPhones Apple et tablettes iPad (iOS 5.1+)
    • Smartphones et tablettes Android de Google (2.3+)
  • Installer et activer l'application GravityZone Mobile Client sur les appareils mobiles
  • Les appareils mobiles doivent avoir un signal de données cellulaires ou une connexion Wi-Fi et une connexion au Serveur de communication.
    Note : Si votre société utilise un pare-feu qui restreint le trafic Internet, il est nécessaire de le configurer pour qu'il permette la connexion aux services GCM / APN.
  • Les appareils iOS doivent avoir une connexion directe à Internet pour recevoir les notifications envoyées par le serveur d'Apple. Les appareils iOS ne peuvent pas se connecter au service Apple Push Notification en utilisant un réseau Wi-Fi avec un serveur proxy.
  • Pour que les appareils Android puissent communiquer avec le service Google Cloud Messaging (GCM) :
    • Google Play Store doit être installé.
    • Les appareils possédant une version inférieure à Android 4.0.4 doivent également avoir au moins un compte Google ouvert.
  • Un certain nombre de ports doivent être ouverts pour envoyer des notifications.

Composants d'administration des appareils mobiles

  1. GravityZone
    • Le Control Center : Un tableau de bord Web et une console d'administration unifiée qui offre aux entreprises une visibilité complète de l'état de leur sécurité, des menaces contre leur sécurité, et un contrôle de leurs services de sécurité.
    • Le Communication Server : Rôle de GravityZone qui assure les communications avec les appareils mobiles administrés. La communication avec les appareils iOS s'effectue par l'intermédiaire d'un plugin dédié appelé MDM Server.
    • Le GravityZone Mobile Client, exclusivement distribué via l'Apple App Store et Google Play.
  2. Services de notification des appareils mobiles
    • Service Google Cloud Messaging (GCM) pour les appareils Android.
    • Service Apple Push Notification (APN) pour les appareils iOS.
  3. Appareils mobiles
    • Appareils Android
    • Appareils iOS

Flux de communication

Le diagramme ci-dessous décrit le flux de communication entre le Control Center et les appareils mobiles administrés :

GravityZone Mobile Device Management Workflow

Les notifications push sont des demandes de synchronisation utilisées pour inciter les appareils à se connecter au Serveur de communication GravityZone (Communication Server) pour récupérer les mises à jour des politiques et des tâches. Ces notifications n'incluent pas la mise à jour de la politique ou la tâche, elles informent simplement l'appareil qu'il doit se connecter au Control Center de GravityZone.

Normalement, la synchronisation d'appareils mobiles avec le Serveur de communication s'effectue automatiquement grâce au mécanisme de notifications Push. L'utilisateur peut aussi synchroniser l'appareil mobile avec le Serveur de communication / MDM en appuyant sur le bouton Synchroniser dans GravityZone Mobile Client.

Si votre société utilise un pare-feu qui restreint le trafic Internet, vous devrez ouvrir les ports requis pour permettre la connexion aux services de notifications Google / Apple.

GravityZone Mobile Client peut également initier la synchronisation avec le Serveur de communication (sans recevoir aucune notification Push) pour communiquer des changements ou des événements importants, dans les situations suivantes :

  • Changement de profil manuel
  • Changement d'administrateur de l'appareil
  • Accès à des pages Web placées sur liste noire par la politique (alerte de sécurité Web)
  • Mot de passe de verrouillage d'écran requis par la politique inchangé à la date exigée
  • Malware non supprimé au bout d'une heure
  • Changement d'état du débogage USB
  • Résultats d'analyse manuelle

Communication avec les appareils Andoid

  1. Une tâche ou l'actualisation d'une politique est envoyée par le Control Center à l'appareil mobile.
  2. Le Serveur de communication envoie une notification à l'appareil par l'intermédiaire du service de messagerie Google Cloud.
  3. Quand la notification arrive, le système Android signifie à l'application Mobile Client de se synchroniser avec le Control Center GravityZone.
    • L'application Mobile Client n'a pas à être active pour recevoir les notifications. Le système Android la réactive dès que la notification arrive.
    • Si l'appareil est hors ligne, il recevra les notifications de GCM dès qu'il sera reconnecté.
  4. L'application Mobile Client se connecte au Serveur de communication pour recevoir les données.
  5. L'appareil envoie l'état de la tâche au Serveur de communication.
  6. L'état de la tâche est mis à jour dans le Control Center. Toutes les erreurs constatées sont affichées dans l'état de la tâche.

Toute modification affectant la conformité de l'appareil est immédiatement détectée et envoyée au Serveur de communication par GravityZone Mobile Client. Si l'appareil est hors ligne, GravityZone Mobile Client réessaie chaque minute d'envoyer les informations de changements de conformité au Serveur de communication, jusqu'à ce que l'appareil soit de nouveau en ligne.
En plus des synchronisations déclenchées par les notifications, Mobile Client se synchronise automatiquement toutes les trois heures avec le Serveur de communication. La synchronisation automatique assure que toutes les tâches et les mises à jour des politiques sont prises en compte même si certaines notifications sont perdues.

Flux de communication avec les appareils iOS

  1. Une tâche ou l'actualisation d'une politique est envoyée par le Control Center à l'appareil mobile.
  2. Le serveur MDM envoie une notification à l'appareil par l'intermédiaire du service Apple Push Notification.
  3. Quand la notification arrive, iOS est invité à se synchroniser avec le serveur MDM.
    • GravityZone Mobile Client n'a pas à être actif pour recevoir les notifications.
    • Si l'appareil est hors ligne, il recevra les notifications du service Apple Push Notification dès qu'il sera reconnecté.
  4. Le système d'exploitation de l'appareil (iOS) se connecte au serveur MDM pour recevoir les données.
  5. L'appareil envoie l'état de la tâche au serveur MDM.
  6. L'état de la tâche est mis à jour dans le Control Center. Toutes les erreurs constatées sont affichées dans l'état de la tâche.

Note : En plus des demandes de synchronisation déclenchées suite à l'actualisation d'une politique ou d'une tâche dans le Control Center, le serveur MDM envoie aussi des demandes de synchronisation toutes les trois heures. La synchronisation automatique permet de contrôler que toutes les tâches et les actualisations des politiques soient prises en compte même si certaines notifications sont perdues. De plus, la communication périodique est utilisée pour effectuer des vérifications de la validité des mots de passe, et l'audit des applications (nouvelle fonctionnalité à venir).


Evaluez cet article :

Envoyer