ra2 studio - stock.adobe.com
EMM : 8 fonctionnalités de MobileIron que les administrateurs doivent connaître
Pour tirer pleinement profit de sa plateforme de gestion de la mobilité d’entreprise, il peut être nécessaire de se pencher sur des fonctionnalités à côté desquelles il est facile de passer.
Lorsque la mobilité d’entreprise se concentrait sur l’administration des terminaux mobiles, l’effort portait sur la protection des données et la sécurisation des appareils en cas de perte ou de vol. Mais aujourd’hui, le sujet concerne bien plus. Les outils de MDM et d’EMM possèdent de nombreuses fonctionnalités, dont certaines peuvent être méconnues des administrateurs. Cela vaut donc pour la solution de MobileIron.
Protection intégrée contre les menaces mobiles
S’appuyant sur un partenariat avec Zimperium, MobileIron propose une application de défense contre les menaces mobiles (MTD), intégrée au terminal. Il est possible de la déployer au moment de l’enrôlement, même si l’organisation ne dispose pas encore, à ce moment-là, de la licence appropriée. L’obtention de cette licence est alors la seule chose nécessaire pour faire appliquer les politiques de MTD sur les terminaux des utilisateurs.
Ainsi, les administrateurs évitent les difficultés liées au déploiement et à l’activation de l’agent pour le terminal. Mais obtenir des utilisateurs qu’ils le lancent pour l’activer pouvait être difficile. Là, cette contrainte est levée.
Contrôles de confidentialité
Les utilisateurs ont souvent des inquiétudes en matière de protection de leur vie privée lorsque leur organisation enrôle les terminaux dans l’EMM, en particulier si l’appareil est personnel. Détailler ce que les administrateurs de l’EMM peuvent et ne peuvent pas voir, supprimer et modifier est essentiel pour obtenir l’adhésion des utilisateurs. Dans ce contexte, la plateforme de MobileIron embarque des fonctionnalités susceptibles d’aider.
Les administrateurs peuvent ainsi attribuer des politiques différentes à des groupes d’appareils : chaque groupe dispose de paramètres adaptés à son cas d’usage, ou à la criticité des données avec lesquelles il doit permettre de travailler. Les administrateurs peuvent également choisir de désactiver le suivi de la géolocalisation et décider de ne voir que les détails de base des terminaux, comme l’inventaire des applications installées à partir du magasin applicatif d’entreprise. Il est également possible de désactiver la commande d’effacement à distance pour les appareils appartenant à l’utilisateur.
Effacement persistant
Dans la plupart des plateformes d’EMM, l’effacement à distance est une commande simple qui permet de ramener l’appareil à son état en sortie d’usine. Comme de nombreuses autres plateformes d’EMM, MobileIron s’intègre avec Active Directory (AD) : les utilisateurs peuvent ainsi utiliser leurs informations d’authentification de l’annuaire pour enregistrer leurs appareils.
Dans ce scénario, l’appareil d’un utilisateur peut être effacé, mais son compte AD peut ne pas être désactivé : l’utilisateur peut immédiatement réinscrire son appareil. Un tel écart de synchronisation entre EMM et AD peut laisser brièvement ouverte une fenêtre durant laquelle un utilisateur représente un risque de sécurité.
MobileIron Core, la console d’administration de MobileIron EMM, dispose d’une fonction unique d’effacement appelée « Cancel Wipe ». Avec celle-ci, l’effacement d’un appareil est une commande persistante : quiconque essaiera de réenrôler un terminal effacé à distance le verra… effacé à nouveau.
Tunnel MobileIron
La plateforme d’EMM de MobileIron comprend Tunnel, un service de VPN par application qui permet aux utilisateurs d’accéder aux ressources de l’entreprise en toute sécurité sans avoir à lancer manuellement une session VPN à chaque fois. Le VPN peut établir une connexion sur des réseaux cellulaires et Wi-Fi, et Tunnel garantit également que seules les données d’entreprise passent par le VPN. Cette séparation du trafic permet de protéger les données d’entreprise tout en laissant l’utilisateur conduire des activités personnelles sans que le trafic correspondant ne passe par le pare-feu de l’entreprise.
Help@Work pour le partage d’écran
L’une des fonctions les plus importantes de la plateforme d’EMM de MobileIron pour résoudre les problèmes techniques est l’outil Help@Work. Les équipes d’assistance peuvent y avoir recours pour aider les utilisateurs dans l’incapacité de décrire les problèmes techniques avec précision : grâce à lui, un utilisateur peut partager son écran avec les administrateurs.
Pour les appareils iOS, cela prend la forme d’un enregistrement d’écran dont la console de support est définie comme destinataire. Mais cela s’arrête là, car iOS ne supporte pas la prise de contrôle à distance complète, contrairement à Android. Avec ce dernier, les administrateurs peuvent aider les utilisateurs de manière directe et complète, sans se contenter de les guider.
Intégration SIEM
Depuis 2014, MobileIron joue l’intégration avec le système de gestion des informations et des événements de sécurité (SIEM) de Splunk. Mais ce n’est pas la seule qui soit supportée. Ces intégrations peuvent aider à améliorer la cohérence de la gestion des terminaux mobiles avec la stratégie globale de sécurité de l’entreprise.
Boutique applicative
La séparation des données est particulièrement importante avec les terminaux utilisés pour accéder à la fois à des contenus professionnels et personnels. Mais la configuration d’applications pour la conteneurisation peut toutefois s’avérer difficile.
La plateforme de MobileIron embarque un système d’encapsulation d’applications, mais le processus doit être répété à chaque nouvelle mise à jour, souvent avec la complicité de l’éditeur de l’application. Mais MobileIron propose une place de marché dédiée où les utilisateurs peuvent télécharger des applications mobiles préencapsulées, pour iOS comme Android.
Architectures sans confiance
Utilisé conjointement avec les principales fonctionnalités de la plateforme d’EMM, MobileIron Access permet de gérer un accès conditionnel aux ressources internes et cloud de l’entreprise, via une couche de SSO. Ce composant peut être déployé de manière combinée avec MobileIron MTD pour assurer une protection au niveau du terminal, du réseau, et de l’identité. Access n’autorise les utilisateurs à accéder aux ressources que lorsque la posture de sécurité du terminal, du réseau, et de l’utilisateur est conforme aux exigences définies.