Вот что сказал об этом Shankar Iyer, CEO компании Omnissa:
Теперь мы - независимая софтверная компания, обладающая уникальной комбинацией талантов, технологий и активов экосистемы, сосредоточенной исключительно на обеспечении трансформационных рабочих пространств для клиентов и партнеров по всему миру.
С поддержкой KKR мы теперь обладаем гибкостью, приверженностью и инвестициями, чтобы занять наше место в качестве ведущей софтверной компании, определяющей и возглавляющей этот рынок с емкостью в 26 миллиардов долларов.
Этот момент был результатом более чем двухлетней работы, и я горжусь тем, что нахожусь в окружении высококвалифицированной команды менеджеров, которые неустанно работали для реализации нашего общего видения.
Наши 4000 сотрудников будут связаны общей структурой владения, которая объединит нас всех в путешествии по переосмыслению нашей отрасли и будущего работы.
Этот момент стал возможным благодаря нашим клиентам и партнерам. Мы не принимаем вашу лояльность как должное. Наше существование обусловлено вашим глубоким доверием к нашим технологиям и вашим сильным желанием реализовать видение автономных рабочих пространств, управляемых ИИ. Мы намерены продолжать заслуживать ваше доверие, создавая огромную новую ценность на нашей платформе и упрощая совместную работу.
В конце этого месяца мы проведем Omnissa Live, первое из серии мероприятий, чтобы полностью изложить наше видение и стратегию как самостоятельной компании и исследовать захватывающие возможности, которые мы видим впереди. Пожалуйста, запланируйте присоединиться к нам там. Мы знаем, что последние семь месяцев вызвали неопределенность. Сегодня с уверенностью я могу заверить вас, что мы готовы привести вас к новым высотам.
Нашим технологическим коллегам – лидерам инноваций и пионерам в различных категориях, таких как операционные системы, облачные среды, системы безопасности, платформы приложений и устройства – мы с нетерпением ждем тесного сотрудничества с вами и создания экосистемы, наполненной гибкостью и выбором, для наших и ваших клиентов.
Напомним, что продуктовый портфель компании теперь выглядит так (это больше не-VMware продукты):
Консоль Workspace ONE UEM включает различные способы развертывания приложений Win32. Рекомендуемыми методами являются механизм развертывания программного обеспечения (Windows Desktop Software Deployment) и оркестратор для последовательной установки. Метод Product Provisioning, хотя и поддерживается, считается устаревшим для настольных ПК Windows.
Установщики Win32 имеют разные требования в зависимости от типа установки, необходимой для программного обеспечения. Они могут требовать или не требовать административного доступа и могут изменять свое поведение в зависимости от контекста установки. Для эффективного развертывания важно понимать, как работает установщик. Также вы можете самостоятельно перепаковать приложение.
Workspace ONE может устанавливать приложения в системном контексте и в контексте пользователя. Он может устанавливать пользовательские приложения от имени обычного пользователя, если соответствующие права администратора выбраны в параметрах развертывания.
Данное руководство предназначено для ИТ-специалистов и администраторов Workspace ONE в существующих производственных средах. Также будет полезен опыт управления устройствами Windows.
На настольных ПК с Microsoft Windows установщик может запускаться в системном контексте или в контексте пользователя.
Контекст установки:
Device: Команда установки выполняется как System.
User: Команда установки выполняется как User, при необходимости позволяя отображать интерфейс пользователю.
Контекст установки может влиять на поведение установщика. Некоторые установщики могут потребовать ответа на вопрос, предназначена ли установка для всех пользователей или только для текущего пользователя, и в зависимости от ответа установка будет происходить в другом месте.
Если приложение установлено пользователем, но установщик размещает бинарные файлы и ярлыки в папке для всех пользователей/Program Files, то приложение будет доступно другим пользователям. Это важно учитывать в сценарии с несколькими пользователями.
Контекст System
Системный контекст — это контекст, в котором работает операционная система, обладающая полными правами на устройстве. Он не имеет информации о пользователях, не может отображать информацию пользователю в графическом интерфейсе и не имеет доступа к HKCU.
Команда установки унаследует системные права на устройстве, что позволит ей получить доступ к ресурсам с использованием учетной записи "NT AUTHORITY\SYSTEM". Любая попытка доступа к папке или ключу реестра будет оцениваться в соответствии с этой учетной записью и списком управления доступом (ACL), установленным на объекте.
Контекст User
В пользовательском контексте команда установки запускается под учетной записью пользователя, что позволяет отображать интерфейс пользователю и получать доступ к информации и файлам пользователя. Уровень доступа к операционной системе и файлам будет зависеть от прав доступа пользователя.
Если пользователь является обычным, и приложению требуются права, превышающие его права, а административные привилегии не выбраны, установка приложения завершится неудачей из-за отказа в доступе.
В зависимости от требований установщика может потребоваться понимание того, как UAC может повлиять на развертывание приложения.
Как UAC влияет на развертывание приложений
Контроль учетных записей (User Account Control, UAC) — это функция безопасности операционной системы Microsoft Windows. Она основана на принципе, что пользователь или устройство должны иметь возможность вносить определенные изменения в конфигурацию или файлы в операционной системе без дополнительных привилегий, если это не может потенциально повлиять на стабильность или безопасность ОС. В таких случаях требуются административные права, также известные как супер-токены (super tokens).
Супер-токен необходим для изменения защищенных папок, драйверов, системных настроек и прочего. Например, изменение времени требует административных привилегий, так как это может повлиять на системы безопасности.
Защищенные папки включают следующие:
\Program Files\ с подкаталогами
\Windows\system32\
\Program Files (x86)\ с подкаталогами для 64-битных версий Microsoft Windows
Оценка необходимости административных прав
Теперь, когда мы рассмотрели, как Windows реагирует в плане доступа, наш следующий шаг — проанализировать приложение, чтобы определить, будут ли необходимы права администратора.
Как правило, приложения устанавливаются в каталог "Program Files", так как это место по умолчанию. Однако многие приложения могут быть установлены в других местах. Это верно для приложений в пользовательском контексте, которые могут потребовать установки исключительно в области пользователя (т.е. в папке пользователя).
Для установок, связанных с изменением системных настроек или установкой драйверов, требуются права администратора для внесения изменений в важные папки и настройки, так как этого потребует UAC.
Важно четко понимать действия и местоположения установщика, чтобы определить, требуются ли административные права.
Ниже представлена блок-схема, показывающая, требуются ли административные права:
Поведение установки приложений Win32 с использованием ресурсов
Единственный случай, когда установка не работает, это если пользователь является обычным пользователем, а установщику требуются административные привилегии.
Поведение установки приложений Win32 с использованием Product Provisioning
Рекомендуется развертывать приложения Win32 через ресурсы (Resources). Однако, если вы пробовали развертывать приложение через ресурсы, и это вас не устроило, в качестве альтернативного метода вы можете завершить развертывание на своих устройствах с помощью Product Provisioning.
Если вы настраиваете приложения Win32 с использованием Product Provisioning, вы можете воспользоваться следующей таблицей, чтобы понять комбинации установки и запуска манифеста и контекста команды. Вы можете выбрать установку или запуск на системном уровне, уровне пользователя или уровне учетной записи администратора. В зависимости от выбранных параметров ваша установка может различаться.
Обратитесь к таблице, чтобы понять поведение установки приложений Win32 с использованием предоставления продуктов.
Перейдите в раздел Devices > Provisioning > Components > Files/Actions и выберите Add Files/Actions, перейдите на вкладку Manifest и установите Action(s) To Perform = Install/ Run.
Предложения для параметров Retry Count, Retry Interval, Install Timeout для ваших приложений Win32
Значения параметров "Retry Count", "Retry Interval" и "Install Timeout" для приложений Win32 влияют на время, которое система затрачивает на сообщение о неудачном процессе установки. Вы можете изменить значения по умолчанию, чтобы сократить время развертывания.
Значения по умолчанию для этих параметров:
Retry Count — 3 раза
Retry Interval — 5 минут
Install Timeout — 60 минут
работают в следующей последовательности для одного неудачного процесса установки:
Через 3 часа и 15 минут система однократно сообщает о неудачной установке приложения. Затем система устанавливает следующее приложение.
Настройка параметров в зависимости от приложения
Настройте значения, соответствующие приложению.
Пример быстрой установки
Браузерное приложение устанавливается на устройство за четыре минуты. Рассмотрите возможность установки следующих значений для этого приложения:
Retry Count — 2 раза
Retry Interval — 5 минут
Install Timeout — 5 минут
Система сообщает о сбое этого приложения в течение 20 минут. Затем она устанавливает следующее приложение.
Пример медленной установки
Крупное приложение для повышения производительности устанавливается на устройство за 30 минут. Рассмотрите следующие значения для этого приложения:
Retry Count — 3 раза
Retry Interval — 5 минут
Install Timeout — 35 минут
Система может сообщить о сбое этого приложения в течение 120 минут. Затем она устанавливает следующее приложение.
Предложения для параметра Device Restart для ваших приложений Win32
Значения для перезагрузки устройства для приложений Win32 позволяют пользователю отложить перезагрузку устройства и установить крайний срок, до которого пользователь может откладывать перезагрузку. Эти значения позволяют администраторам и конечным пользователям иметь больший контроль над перезагрузками, чтобы предотвратить потерю работы пользователем.
Администраторы могут выбрать принудительную перезагрузку ПК после установки приложения или позволить пользователю отложить перезагрузку на более удобное время.
Перезагрузка устройства помогает настроить следующие параметры:
Предупредить пользователя перед перезагрузкой устройства, чтобы он мог сохранить свои файлы и закрыть приложения.
Предупредить пользователя, когда требуется перезагрузка устройства.
Позволить пользователю отложить перезагрузку устройства и перезапустить его в удобное время.
Workspace ONE Intelligent Hub отображает уведомления о перезагрузке устройства на различных этапах. Уведомление об откладывании позволяет пользователю перезагрузить или отложить перезагрузку. Workspace ONE Intelligent Hub обновляет данные о перезагрузке для откладывания или перезагрузки и показывает это уведомление в соответствии с временем, выбранным пользователем.
Следующая таблица показывает уведомления, отображаемые на различных этапах:
Во время установки приложения
Уведомляет пользователя о необходимости сохранить файлы и закрыть приложение.
После установки приложения
Отображает первое уведомление и сообщает пользователю о перезагрузке системы.
За 48 часов до крайнего срока перезагрузки
Отображает второе уведомление и предупреждает пользователя о принудительной перезагрузке.
За 15 минут до крайнего срока перезагрузки
Отображает третье уведомление и предупреждает пользователя о принудительной перезагрузке.
За 5 минут до крайнего срока перезагрузки
Отображает системные подсказки, указывающие дату и время запланированной принудительной перезагрузки.
Определенные типы организаций обязаны настраивать протоколы безопасности своих конечных точек в соответствии с определенными стандартами и бенчмарками, такими как Standards and Technology (NIST) и Center for Internet Security (CIS). Некоторые организации выбирают соответствие этим стандартам просто потому, что это хорошая проверенная практика.
Проект macOS Security Compliance Project (mSCP) является инструментом с открытым исходным кодом, который позволяет администраторам создавать профили безопасности на основе этих стандартов, настраивать их в соответствии с конкретными потребностями их организации, чтобы дальше импортировать их в решение Workspace ONE. Используя эту интеграцию, администраторы могут упростить развертывание и управление своими профилями безопасности, увеличивая общую защищенность их парка устройств на базе macOS.
Преимущества использования mSCP
mSCP предоставляет полный набор руководств по безопасности на основе объединенных знаний и лучших практик отрасли, а также собственной документации по безопасности Apple. Инструмент включает поддерживаемые базовые настройки от организаций, включая упомянутые NIST и CIS, а также Defense Information Systems Agency (DISA) и Committee on National Security Systems Instruction (CNSSI). Используя mSCP, организации могут установить базовую конфигурацию безопасности, которая соответствует стандартам, тщательно разработанным этими структурами для защиты их устройств macOS от угроз и уязвимостей.
Некоторые из ключевых преимуществ mSCP - гибкость и надежность. Поскольку администраторы могут задавать различные настройки базовых уровней, им относительно легко найти правильный баланс между более высоким уровнем безопасности и удобством использования для конкретных потребностей их компании. Что касается надежности, mSCP регулярно обновляется для имплементации последних руководств по безопасности от Apple, помогая организациям опережать появление новых угроз.
Улучшение развертывания с помощью Workspace ONE
Workspace ONE предлагает простой способ развертывания и управления профилями безопасности, сгенерированными с помощью mSCP. Функциональность загрузки профиля в Workspace ONE позволяет администраторам напрямую загружать профили .mobileconfig от mSCP через консоль Workspace ONE.
Эта интеграция упрощает процесс развертывания, позволяя администраторам быстро и эффективно применять конфигурации безопасности к своим устройствам macOS. Более того, Workspace ONE предоставляет мощные возможности управления, такие как проверки соответствия и возможности удаленного стирания контента, обеспечивая безопасность устройств на протяжении всего их жизненного цикла.
В 2022 году надзорный орган Европейского союза (ЕС) - Европейская комиссия - запустила амбициозный проект с целью "обеспечения справедливых и открытых цифровых рынков". Основная цель Закона о цифровых рынках (DMA) заключается в ограничении влияния технологических гигантов и обеспечении их "справедливого поведения в онлайне". Вот шесть онлайн-платформ, определенных как фундаментальные игроки:
Alphabet
Amazon
Apple
ByteDance
Meta
Microsoft
Для этих нескольких платформ еврокомиссия определила ряд бизнес-практик, которые им необходимо изменить в течение ближайших лет, чтобы соответствовать DMA. В случае Apple еврокомиссия считает, что App Store, Safari и Apple Pay считаются "основными сервисами платформы", и что конкурирующим разработчикам должно быть разрешено предлагать альтернативные решения для пользователей iPhone и iPad. В результате в iOS 17.4 было внесено несколько изменений, которые с течением времени значительно повлияют на пользователей в ЕС.
Альтернативные бесконтактные платежные системы
Теперь компании могут разрабатывать решения, использующие технологию бесконтактных платежей (NFC) любым способом, обеспечивающим плавность и удобство, чтобы создавать альтернативные платежные системы tap-and-go, конкурирующие непосредственно с Apple Pay в ЕС. Для того чтобы воспользоваться этой возможностью и конкурировать с Apple Pay, компаниям необходимо получить соответствующие разрешения разработчика. Процесс получения разрешения позволяет Apple обеспечить следующее:
Разработчики будут платить за использование технологии NFC, на которую Apple потратила значительное время и ресурсы на ее создание.
Конкуренты, конечно же, должны иметь лицензию у соответствующих органов для предоставления платежных услуг в Европейской экономической зоне (European Economic Area, EEA).
Разработчики будут соблюдать основные дизайн-принципы Apple.
Если вы являетесь клиентом Workspace ONE и имеете опасения относительно альтернативных платежных систем, работающих на корпоративных устройствах, вы можете просто заблокировать загрузку приложений. С помощью функций mobile device management (MDM) вы также можете использовать профиль ограничений для удаления App Store. Чтобы скрыть отдельные приложения и предотвратить их запуск, вы можете использовать функцию Hide App в профиле Restrictions profile. Для получения дополнительных способов блокировки приложений на корпоративных устройствах с помощью Workspace ONE ознакомьтесь с руководством на Tech Zone.
Альтернативные магазины приложений
С момента появления iPhone миллионы пользователей iOS имели единственное место для загрузки приложений — App Store. Поэтому наиболее значимым изменением в iOS 17.4 является появление альтернативных маркетплейсов приложений, конкурирующих непосредственно с App Store в ЕС. Разработчики приложений также могут использовать альтернативных поставщиков платежных услуг (payment service providers, PSP), чтобы реализовывать покупки в приложениях или отправлять пользователей на сторонние веб-сайты для проведения транзакций. Конечно же, они также могут использовать собственную платежную систему Apple за 3% комиссии (стоимость процессинга).
Apple предупредила, что любые новые рынки или альтернативные методы оплаты могут принести риски в виде угроз конфиденциальности, безопасности и мошенничества, поскольку у Apple будет очень мало контроля над этими аспектами. Ограниченные законом DMA, Apple предпринимает меры для смягчения этих рисков.
Требования для разработчиков сторонних магазинов приложений
Теперь Apple предоставляет новые API, позволяющие сторонним разработчикам создавать и управлять собственными платформами распространения приложений (которые будут доступны для загрузки на их веб-сайтах). Каждому разработчику такого магазина необходимо получить соответствующее разрешение разработчика, через которое Apple будет обеспечивать соблюдение следующих определенных требований:
Маркировка, информирующая пользователей о том, что приложение, которое они загружают, использует платежную систему не от Apple
Уведомления в приложении, предупреждающие пользователей о том, что они собираются провести транзакцию, используя платежную систему не от Apple
Расширенная переносимость данных для пользователей, позволяющая им экспортировать данные о своем использовании приложений
Требования для разработчиков приложений
Помимо этих требований для разработчиков рынка, Apple также внедрила процесс сертификации для распространяемых ими приложений (исторически приложения, распространяемые через App Store, всегда проходили проверку со стороны Apple для обеспечения целостности). Она включает в себя набор автоматизированных и ручных проверок, разработанных как минимальное средство защиты от рисков безопасности и мошенничества. Apple также внедрила новые защиты, которые предотвращают запуск приложений, если они содержат вредоносное программное обеспечение. Однако для приложений, использующих альтернативную платежную систему, Apple предупреждает, что компания не сможет возвращать деньги и будет иметь ограниченные возможности по обслуживанию клиентов.
Теперь разработчики приложений также платят комиссию Apple, называемую Комиссией за базовую технологию (Core Technology Fee, CTF). CTF начинает действовать только после того, как приложение было загружено 1 миллион раз — так что для подавляющего большинства приложений она никогда не будет актуальной. Однако в редких ситуациях это может стать накладным для разработчика. Apple предоставила удобный калькулятор комиссий, чтобы помочь разработчикам быстро понять стоимость своего приложения на альтернативном маркетплейсе.
Важные аспекты для клиентов Workspace ONE
Если у клиентов Workspace ONE возникают опасения относительно альтернативных магазинов приложений на корпоративных устройствах, Apple ввела новый ключ ограничений (Restrictions key), доступный для блокировки их запуска на контролируемых устройствах. Этот ключ будет поддерживаться в следующем релизе продукта Workspace ONE Unified Endpoint Management (UEM). Тем не менее, вы также можете легко реализовать это ограничение как Custom Settings profile, используя следующий XML:
Для получения дополнительной информации о том, как VMware реализует новые ключи профиля, ознакомьтесь вот с этим постом в блоге компании.
Также профиль ограничений можно использовать для удаления подозрительных приложений с контролируемых устройств с помощью функции Hide Apps. Для получения дополнительной информации о способах блокировки приложений на корпоративных устройствах с помощью Workspace ONE ознакомьтесь с обучающим руководством на Tech Zone.
Браузерные приложения и альтернативные браузерные движки в ЕС
iOS 17.4 вводит новый, удобный для пользователей опыт выбора браузера по умолчанию. При первом запуске Safari на устройстве с iOS 17.4 пользователи будут приглашены выбрать свой браузер по умолчанию из списка основных браузерных приложений, доступных на рынке. Apple также позволяет разработчикам приложений внедрять альтернативные браузерные движки в свои приложения, не требуя больше использования WebKit. Для использования альтернативного браузерного движка требуется специальное разрешение разработчика, а также соблюдение расширенных требований безопасности.
Управление приложениями по умолчанию и расширенная совместимость
Кроме перечисленного, Apple позволяет пользователям устанавливать магазины приложений по умолчанию и приложения для бесконтактных платежей по умолчанию. Кроме того, Apple также открыла доступ к более чем 250 000 API-интерфейсам разработчиков для предоставления сторонним приложениям доступа к основным технологиям платформы, таким как Bluetooth-радио, камера и микрофон устройства. Форма запроса на совместимость должна быть заполнена и утверждена Apple для доступа к этому расширенному API.
Возможны дополнительные изменения
На данный момент Apple представила эти изменения в еврокомиссию в качестве своего ответа на поставленные вопросы. ЕК оценивает предложения и собирает обратную связь от заинтересованных сторон. Конечные решения, которые будут реализованы, могут отличаться от того, что здесь описано.
Android 14, выпущенный в октябре прошлого года, получил ряд улучшений в области работы функций Android Enterprise. В этой версии ОС появились новые возможности для лучшей защиты устройств в корпоративной среде и улучшения пользовательского интерфейса рабочего профиля. Также в Android 14 была добавлена поддержка управления финансируемыми устройствами (financed devices). Сегодня мы поговорим о том, какие нововведения появились в работе клиентов VMware Workspace ONE на Android 14 (также посмотрите нашу статью об управлении такими устройствами через интерфейс AMAPI).
Функции безопасности
Android 14 представляет несколько новых возможностей, которые организации могут использовать для лучшей защиты своих устройств и обеспечения соответствия их корпоративным политикам. Первая из них - возможность блокировать использование устройствами сотовых сетей 2G. Сети 2G имеют ряд известных уязвимостей и используют слабое шифрование по современным меркам. Android 14 также позволяет организациям отключать сверхширокополосные (UWB) сети, которые становятся популярными для определения местоположения удаленных устройств и для разблокировки умных автомобилей и домов.
Со стороны приложений Android 14 позволяет администраторам устанавливать список разрешенных программ в личном профиле, которые могут получать доступ к рабочим контактам. Администраторы также могут предотвратить незащищенное использование корпоративных учетных данных, указав, каким приложениям для управления учетными данными разрешается использование API Android Credential Manager.
Улучшения пользовательского интерфейса рабочего профиля
Android 14 вносит ряд улучшений пользовательского интерфейса в сам рабочий профиль. По запросам пользователей, снимки экрана рабочих приложений больше не будут автоматически сохраняться в личном профиле — теперь они будут храниться в рабочем. Также улучшено обнаружение рабочих приложений. Android 14 также улучшает опыт шаринга экрана, позволяя пользователям делиться определенными приложениями в рабочем профиле.
Android 14 также лучше определяет, какое приложение должно открывать ссылку. В предыдущих версиях Android, если пользователь открывал ссылку на нативное приложение, например Google Maps, и это приложение было установлено только в личном профиле, ссылка вместо этого автоматически открывалась в браузере рабочего профиля. Теперь с Android 14 пользователи сначала будут спрашивать, хотят ли они открыть ссылку в нативном приложении в личном профиле, а не автоматически предлагать худший опыт, открывая в браузере. Однако пользователи все равно будут иметь возможность открыть ссылку в рабочем браузере.
Поддержка финансируемых устройств
Исторически некоторые финансируемые устройства Android не поддерживали решения для управления устройствами, такие как Workspace ONE Unified Endpoint Management (UEM). Это происходит, когда финансирующая сторона устанавливает на устройство приложение, например, Google Device Lock Controller. Эти приложения, также называемые агентами финансовых киосков, используют те же API управления устройствами, что и решения типа Workspace ONE UEM. Это позволяет финансирующим сторонам блокировать устройства и легче их выводить из эксплуатации. Именно из-за использования агентами финансовых киосков API управления устройствами решения типа Workspace ONE UEM не могли перенимать управление устройством.
В Android 14 это изменилось - теперь можно нескольким приложениям выступать в роли агентов управления на одном устройстве. Когда решение UEM и другое приложение применяют противоречивые политики, Android 14 применяет наиболее строгий вариант. Таким образом, агент финансового киоска не сможет убрать ограничения, примененные Workspace ONE UEM.
Обнаруживать, является ли устройство финансируемым
Видеть, какие политики применили другие агенты управления устройствами
Быть уведомленными об изменениях этих политик.
Еще несколько функций и изменений в поведении приложений, введенных с Android 14
Во время настройки устройства, принадлежащего компании, экран устройства теперь будет оставаться включенным. Это была необязательная конфигурация, введенная в Android 13, и теперь это поведение по умолчанию.
Появилось несколько улучшений специальных возможностей, включая улучшенное увеличение, нелинейное масштабирование размера шрифта, флэш-уведомления и улучшения для слуховых аппаратов.
Настройки рабочих приложений обнаруживаются при поиске в разделе Settings.
Workspace ONE UEM имеет поддержку управления устройствами Android 14 в решении Intelligent Hub 23.07. Для получения дополнительной информации о специфических изменениях для предприятий в Android 14, вы можете прочитать статью "Getting Ready for Android 14".
На конференции Explore 2023 сотрудники VMware подробно рассказали о следующем этапе развития управления Android-устройствами - Android Management API (AMAPI). Недавно бета-версия AMAPI стала доступна для пользователей. Она поддерживает управление Android-устройствами, зарегистрированными в режиме рабочего профиля, который используется для рабочих или личных устройств.
AMAPI - это новый подход к управлению Android-устройствами уровня предприятия. AMAPI является частью Android — он встроен в ОС и разработан Google. Это открывает возможности, которые недоступны в текущем подходе к управлению платформой Android Enterprise, который называется Custom Device Policy Controller (DPC). Примером функции, доступной только в AMAPI, является недавно введенный режим потерянного устройства (Corporate Owned Personally Enabled, COPE). Вот три основных преимущества AMAPI:
Простота: Workspace ONE Unified Endpoint Management (UEM) создает желаемое состояние устройства и передает его AMAPI, который применяет его. Это упрощает процесс поддержки новых функций Android в консоли Workspace ONE UEM.
Нативность: AMAPI является частью Android и обновляется и поддерживается Google. Следовательно, лучшие практики управления устройствами встроены в AMAPI компанией Google, и это общий стек, используемый в экосистеме Android.
Возможности: AMAPI имеет дополнительные средства, чтобы гарантировать, что политики применяются к устройствам. Например, AMAPI может обеспечивать минимальные требования к сложности пароля на личных устройствах.
В чем разница между AMAPI и Custom DPC?
Сегодня Workspace ONE UEM использует подход к Android Enterprise, называемый Custom DPC. С Custom DPC решение Workspace ONE UEM распределяет политики, внутренние приложения и многое другое на Workspace ONE Intelligent Hub, который действует как основное управляющее приложение устройства или рабочего профиля. Intelligent Hub применяет эти ресурсы к устройству и возвращает информацию об устройстве в Workspace ONE UEM.
Публичные приложения — это приложения, опубликованные в управляемом Google Play Store. Для распространения и доставки публичных приложений на устройства Workspace ONE UEM использует Google Play EMM API.
Теперь давайте рассмотрим AMAPI. С AMAPI решение Workspace ONE UEM передает желаемое состояние устройства в AMAPI. Аналогично Custom DPC это определяет, какие публичные приложения AMAPI должен установить на устройство. Workspace ONE также передает, какие управляющие политики — требования к паролям, сертификаты, настройки разрешений для приложений — AMAPI должен применить. В свою очередь, AMAPI передает политики клиенту Android Device Policy (ADP), который применяет их к устройству. В AMAPI именно ADP, встроенный компонент Android, выступает в качестве основного управляющего приложения на устройстве. ADP работает на всех Android-устройствах с GMS на Android 5.1+. Обратите внимание, что Workspace ONE UEM сам определяет минимальные поддерживаемые версии ОС.
Помимо применения управляющих политик, ADP также передает информацию о состоянии устройства в AMAPI, который, в свою очередь, передает эту информацию в Workspace ONE UEM через Google Pub/Sub.
Workspace ONE Intelligent Hub остается ключевым компонентом для управления устройствами. Он обрабатывает распространение сертификатов и внутренних приложений и позволяет использовать уникальные функции, такие как предоставление продуктов и Freestyle Orchestrator. Intelligent Hub также является не только управляющим клиентом. Он предоставляет унифицированный каталог приложений VMware, пакет Mobile Threat Defense SDK, интеграцию с Intelligence для продвинутой аналитики и многое другое. Именно поэтому Intelligent Hub присутствует на всех устройствах, которыми управляются с помощью AMAPI.
AMAPI вносит несколько изменений в опыт работы администратора и конечного пользователя устройства.
В качестве администратора вы увидите два основных обновления в консоли Workspace ONE UEM:
При создании профилей Android теперь вы будете выбирать, создавать ли профили для Custom DPC или для AMAPI.
Теперь вы можете выбрать, будут ли новые устройства, регистрирующиеся в Workspace ONE UEM, управляться с использованием Custom DPC или AMAPI. Это может быть установлено по режиму (Рабочий профиль, COPE или полностью управляемый) и по организационной группе.
В качестве конечного пользователя устройства:
Помимо начала регистрации через Intelligent Hub, теперь вы можете начать регистрацию своих личных устройств, запустив URL регистрации AMAPI. Этот URL регистрации предоставляется администратором UEM и может распространяться через QR-код, текст, электронную почту, внутренний сайт или другими способами.
Когда вы устанавливаете политику, требующую взаимодействия конечного пользователя, AMAPI предпримет действия, чтобы удостовериться, что требования политики соблюдаются. Например, когда вы устанавливаете минимальные требования к паролю устройства через профили, AMAPI приостановит управляемые приложения до тех пор, пока пароль устройства не соответствует требованиям политики. AMAPI также направляет конечного пользователя на установку пароля, соответствующего политике.
AMAPI представляет будущее управления устройствами Android и добавляет много преимуществ, включая уникальные функции. VMware рекомендует организациям ознакомиться с AMAPI и применять его в соответствии с их требованиями.
Управляется ли устройство с помощью Custom DPC или AMAPI, изначально нужно будет решить в момент регистрации устройства. Организации смогут внедрить подход "ограничить и развивать" при использовании AMAPI. Не воздействуя на зарегистрированные устройства, управляемые с помощью Custom DPC, организации могут настроить Workspace ONE UEM для использования AMAPI для регистрации новых устройств. Организации могут включить AMAPI для новых регистраций для отдельных режимов управления (рабочий профиль, COPE или полностью управляемый), а также только для конкретных организационных групп.
В будущем будет предусмотрена поддержка миграции устройств с Custom DPC на AMAPI без необходимости повторной регистрации. Такая миграция будет поддерживаться для всех режимов — рабочего профиля, COPE и полностью управляемого.
Бета-версия AMAPI доступна уже сегодня. На текущий момент она поддерживает управление устройствами в режиме рабочего профиля, который используется для управления личными устройствами пользователей (BYOD). По мере развития бета-версии будет добавлена поддержка режима COPE и, позднее, режима полного управления. Для получения дополнительной информации о различных режимах управления Android Enterprise вы можете посмотреть документ "Operational Tutorial for Managing Android Devices".
Аналогично, поддержка режима рабочего профиля в AMAPI будет доступна в производственных средах в первую очередь, затем последует COPE и, в конце концов, режимы полного управления.
На сайте проекта VMware Labs обновилась полезная адмнистраторам инфраструктуры виртуальных ПК утилита Forklift for Workspace ONE UEM до версии 3.0.3 (ранее она называлась Workspace ONE UEM Workload Migration Tool).
Forklift for Workspace ONE UEM позволяет провести бесшовную миграцию конфигураций приложений и устройств между различными окружениями Workspace One UEM (например, тестовой средой и производственной). Ее возможности включают в себя:
Миграцию приложений, профилей, сенсоров (Sensors), скриптов объектов Windows 10 Baselines Continuous Delivery pipelines как часть решения для создания/обновления и апгрейда ресурсов из сред разработчиков в производственные среды.
Шаблоны экспортируемых/импортируемых ресурсов в виде контейнеров для быстрого их развертывания в среде UEM.
Forklift for Workspace ONE UEM представляет собой набор из двух связанных контейнеров, вспомогательные скрипты для их запуска, а также Docker Compose file, чтобы обеспечивать связь этих контейнеров.
Давайте посмотрим, что нового появилось в версиях 3.0.1-3.0.3:
Исправлена миграция профилей для cert profiles
Добавлена поддержка профилей для Linux
Добавлена поддержка Docker-образов для Mac M1
Исправлена проблема с миграцией базовых уровней (baselines)
Улучшена обработка ошибок и система сообщений
Исправлены различные баги
Скачать VMware Forklift for Workspace ONE UEM можно по этой ссылке.
На сайте проекта VMware Labs появилась очередная полезная утилита - Rollcall. Она предназначена для развертывания пользователей и групп из сред Google Workspace и Azure Active Directory в инфраструктуру Workspace ONE Access. До этого момента не было прямого способа синхронизировать пользователей и группы из облачных директорий, таких как Google и Azure.
Rollcall соединяется с вашим каталогом Cloud Directory, получает информацию о пользователях и группах и транслирует эти данные в формат спецификации SCIM 1.1. Далее эти данные используются для их применения в инфраструктуру пользователей и групп Workspace ONE Access. После этого можно интегрировать Cloud Identity Provider как стороннего провайдера IDP в среду ONE Access для аутентификации пользователей без необходимости дополнительной синхронизации или использования сторонних коннекторов.
Rollcall состоит из двух компонентов:
Rollcall API Server - это приложение, которое можно запустить на любой системе, где установлен NodeJS, и есть доступ в интернет.
Rollcall Manager - это фронтэнд в виде графического интерфейса для управления настройками пользователей и групп, которые должны быть синхронизированы между Cloud User Directory и Workspace ONE Access. Эта консоль доступна для Windows и macOS.
На днях компания VMware объявила о том, что теперь в решении Workspace ONE Assist поддерживаются устройства на базе iOS и Android, которые не включены в инфраструктуру MDM (mobile device management). Напомним, что ONE Assist позволяет осуществлять удаленную поддержку пользователей (в облаке и собственном датацентре) с помощью встроенного в решение инструментария для совместной работы - утилиты для запроса прав у пользователя, выделения областей экрана, записи сессии и многого другого.
С помощью Workspace ONE Intelligent Hub сотрудники технической поддержки могут запустить сессию решения проблем с пользовательским устройством. Это дает дополнительные возможности поддержки для частных устройств пользователей, а также телефонов и планшетов контрактных работников, которым не требуется покупать оборудование за счет компании.
Напомним, что в рамках концепции digital employee experience (DEX) с помощью решения Workspace ONE Assist
вы сможете реализовать следующие функции на пользовательских устройствах:
Запустить удаленные сессии с установленным Workspace ONE Intelligent Hub в течение нескольких секунд из консоли Workspace ONE.
Просматривать и управлять устройствами в реальном времени, включая задачи по решению аппаратных и программных проблем, настройке сети, управление приложениями и многое другое.
Использовать функций рисования на экране Screen Draw для коммуникации с пользователем и проведения его через процесс онбординга.
Оповещать пользователя о том, что его экран видим администратору, а также возможность прервать сессию со стороны пользователя в любой момент для соблюдения его приватности.
Предоставлять безопасный доступ и разделение окружений для пользователей, которые передают свои устройства другим в рамках рабочих смен.
Записывать скриншоты и видео удаленных сессий для целей обучения и расширенной поддержки.
Больше подробностей о решении Workspace ONE Assist
можно получить на этой странице.
Компания VMware на сайте проекта VMware Labs выпустила обновление своего средства Workspace ONE ConQuest 1.2, предназначенного для настройки устройства Meta Quest 2 VR (Firmware v37+) в целях использования с решением VMware Workspace ONE UEM.
С помощью ConQuest, представляющим собой Windows-приложение, администраторы могут запустить его службы на устройстве Meta Quest 2 в режиме разработчика и подсоединить его к Windows-машине через USB-C. Далее будет установлено приложение Workspace ONE Intelligent Hub App под владельцем устройства, затем можно добавить его в Workspace ONE UEM. Пользователь может ввести детали устройства для включения его в инфраструктуру, после чего оно переходит под управление UEM.
Новые возможности Workspace ONE ConQuest 1.2:
Добавлена поддержка ввода учетных записей при массовом добавлении устройств со стороны UEM
Поддержка файла credentials.xml
Поддержка добавления устройств через credentials.bin
Возможность создания пакета staging package в виде zip-файла
Скачать Workspace ONE ConQuest 1.2 можно по этой ссылке.
Компания VMware выпустила большое руководство и серию обучающих видео, посвященных инфраструктуре доставки облачных пользовательских окружений - Evaluation Guide: Setting Up Cloud-Based VMware Workspace ONE. Эта версия материалов по различным практическим аспектам семейства продуктов для поддержки пользовательских сред построена на базе большой статьи Quick-Start Tutorial for Cloud-Based Workspace ONE, выпущенной еще в 2018 году.
Данный обучающий курс построен в виде готовых «рецептов», практических задач и руководств, которые позволят быстро построить инфраструктуру Workspace ONE в соответствии с лучшими практиками и использовать ее на ежедневной основе. Этот документ занимает всего 32 страницы вместо прошлых 100, поэтому информация подается более лаконично и концентрированно.
Плейлист со всеми обучающими видео доступен по этой ссылке.
Скоро также выйдет и вторая часть руководства, посвященная задачам развертывания и управления приложениями, подключению новых устройств и пользователей, а также всем тем Day-2 операциям, которые приходится выполнять администраторам решения VMware Workspace ONE.
Аналитическая компания IDC недавно опубликовала 3 интересных документа, отражающих исследования рынка программного обеспечения в области управления оконечными устройствами на базе различных программно-аппаратных платформ.
Первое исследование - "MarketScape Worldwide Unified Endpoint Management Software" - посвящено решениям для управления пользовательскими средами и устройствами Unified Endpoint Management (UEM) на основе унифицированного подхода. Тут VMware занимает сильную позицию в квадранте лидеров:
Напомним, что у VMware данный аспект управления виртуальной и физической ИТ-средой реализуется продуктом Dynamic Environment Manager (DEM). Он предназначен для настройки и контроля пользовательских окружений на уровне ОС средствами политик (ранее он назывался VMware User Environment Manager, UEM). Этот продукт входит в семейство решений VMware Workspace ONE, которое получило новые возможности по управлению пользовательскими средами (включая мобильные устройства) после покупки компании AirWatch в 2014 году.
Второе исследование IDC - "Worldwide Unified Endpoint Management Software for Ruggedized/Internet of Things Device Deployments 2022" рассказывает о не только о решениях на базе стандартных пользовательских устройств, таких как компьютеры, ноутбуки, телефоны и планшеты, но и о продуктах и технологиях для управления промышленными системами, такими как медицинское оборудование, производственные IoT-устройства и различные платформы отдельных вертикалей, таких как логистика, общественная безопасность, строительство и прочие. Например, посмотрите наши заметки о решениях Workspace ONE ConQuest, XR Hub или Freestyle Orchestrator.
В третьем исследовании - MarketScape for UEM Software for Apple Devices 2022 - рассказывается о сложной для всех крупных предприятий теме - управлении устройствами Apple, которые, как известно, не всегда просто интегрировать в корпоративную инфраструктуру, а сотрудники широко ими пользуются, совмещая личное и рабочее окружение.
Тут VMware также в числе лидеров (забавно, что названия главного игрока, компании Jamf, на картинке не различить):
Тут VMware также имеет инструменты для управления устройствами на базе macOS и iOS, которые входят в состав решения Workspace ONE еще со времен покупки компании AirWatch. Еще здесь можно выделить некоторые новые инструменты, такие как Workspace ONE Mobile Threat Defense, Mobileconfig Importer и App Analyzer for macOS.
Таги: VMware, IDC, Whitepaper, AirWatch, Workspace ONE, DEM
Компания VMware на днях анонсировала новый продукт из линейки Workspace ONE - Mobile Threat Defense. Это решение дополняет существующие средства по защите пользовательских окружений в части мобильных приложений на платформах Android, iOS и Chrome OS. Уже сегодня этот продукт доступен для пользователей и имеет интеграцию с решением Workspace ONE Intelligent Hub и UEM.
За счет интеграции с Intelligent Hub не требуется установки каких-то новых приложений или сервисов на пользовательские устройства. Администратору требуется лишь включить функции ONE Mobile Threat Defense в настройках, и данное решение автоматически будет развернуто на мобильных устройствах.
Основные возможности по защите мобильных пользовательских сред:
1. Средства защиты мобильных устройств
От атак типа SSL certificate stripping
От слабых алгоритмов (weaker algorithm negotiation)
От сканеров портов
От spyware и surveillance ware
От sideloaded apps
2. Механизмы обработки вредоносного контента и фишинговых угроз
В почте, SMS, мессенжерах и социальных приложениях
Выстраивание цикла обновления ОС и накатывания патчей
Решение проблем с устаревшими и давно не обновляемыми приложениями
4. Управление конфигурациями
Отслеживание Jailbreak / root access
Управление механизмом Wi-Fi auto join
Выявление приложений, которые негативно влияют на пользовательское окружение и устройство
Более подробно о решении Workspace ONE Mobile Threat Defense можно узнать на этой странице (там же есть и небольшое видео о продукте). Документация доступна тут.
На днях компания VMware опубликовала отчет по уязвимостям VMSA-2022-0014, которые были обнаружены в решениях Workspace ONE Access, VMware Identity Manager (vIDM), vRealize Lifecycle Manager, vRealize Automation и VMware Cloud Foundation. Напомним также, что vIDM является компонентом таких продуктов, как NSX vRealize Operations, vRealize Log Insight и vRealize Network Insight. Это критическая уязвимость, которая позволяет обойти процедуры аутентификации пользователя и повысить привилегии в соответствующем продукте.
Обход аутентификации означает, что злоумышленник, который имеет доступ только к сети, в которой работает одно из перечисленных решений, может потенциально получить административный доступ к ним. То есть, уязвимость очень важная и опасная, уровня "emergency" в терминологии ITIL.
Основная информация о том, как закрыть эти дыры, приведена по следующим двум ссылкам:
На сайте проекта VMware Labs появилась очередная новая утилита - Workspace ONE ConQuest. Это средство позволяет сконфигурировать устройства Meta Quest 2 VR (Firmware v37+) для использования с решением VMware Workspace ONE UEM.
С помощью ConQuest, представляющим собой Windows-приложение, администраторы могут запустить его службы на устройстве Meta Quest 2 в режиме разработчика и подсоединить его к Windows-машине через USB-C. Далее будет установлено приложение Workspace ONE Intelligent Hub App под владельцем устройства, затем можно добавить его в Workspace ONE UEM. Пользователь может ввести детали устройства для включения его в инфраструктуру, после чего оно переходит под управление UEM.
Есть 2 версии утилиты ConQuest - ConQuestApp, которое запускается как десктопное приложение, и ConQuestConsole, реализующее сервис через командную строку. Обе они выполняют одинаковые действия на устройствах.
Надо помнить, что данную утилиту нельзя использовать на устройствах Oculus for Business и Quest for Business.
Скачать Workspace ONE ConQuest можно по этой ссылке.
В прошлом году на VMworld 2021 компания VMware представила обновление продукта Workspace ONE Intelligence, который предназначен для для анализа поведения пользователей и устройств и выдачи рекомендации администраторам ИТ-инфраструктуры по применению тех или иных действий. На вход этого движка подаются данные об использовании устройств, приложений и данных пользователей, затем они агрегируются, анализируются, а потом для администраторов генерируются некоторые рекомендации и правила, которые можно применить для повышения эффективности инфраструктуры виртуальных ПК и приложений.
Тогда мы рассказали о новых возможностях этого продукта, а сегодня вкратце расскажем о том, какие основные его функции позволяют повысить безопасность пользовательской среды в рамках концепции Zero Trust Security, то есть когда никакие из систем предприятия по умолчанию не считаются 100% защищенными.
1. Мониторинг и отслеживание аномалий
Workspace ONE Intelligence позволяет пользователям отслеживать изменения метрик в их окружениях, касающихся аномалий в производительности и безопасности, а также проактивно корректировать их с помощью созданных сценариев автоматизации. На картинке ниже представлена временная картинка с трендами рисков, где администратор может погрузиться в отдельную систему для их детального понимания:
2. Доверенная экосистема (Trust Network)
В дополнение к данным окружения платформы Workspace ONE (включая Workspace ONE UEM и Workspace ONE Access), данные могут быть дополнены средствами внешних систем, входящих в доверенную экосистему Trust Network.
Например, вы можете подключить систему VMware Carbon Black, которая также может встроиться в окружение Workspace ONE. Например, вот два виджета, которые отображают Threat Count и Threat Type от Carbon Black в консоли Workspace ONE Intelligence:
3. Автоматизации для работы с данными об угрозах
Вы можете настроить различные автоматизации для действий в ситуации наступления определенных угроз. К примеру, если решение Carbon Black обнаружило какое вредоносное ПО в системе, например, ransomware, то система может быть помещена на карантин, а в Slack будет отправлено сообщение, оповещающее о проблеме. Затем будет создан тикет в ServiceNow, а Workspace ONE UEM протэгирует опасный объект и поместит его на карантин:
4. Аналитика рисков устройств и пользователей
Для дальнейших исследований аномалий в рамках экосистемы инфраструктуры виртуализации система может сделать скоринг рисков для устройств и пользователей на базе датасета, имеющегося в Workspace ONE. Вот так это выглядит:
Более подробно об этих всех возможностях можно почитать в документации.
Еще на конференции VMworld 2020 компания VMware представила новый продукт Freestyle Orchestrator, который дополняет и расширяет возможности UEM (Unified Endpoint Management), являющегося частью платформы по работе с пользовательскими окружениями Workspace ONE. VMware Freestyle Orchestrator - это полностью новый способ развертывания и конфигурирования рабочих станций на базе...
На сайте проекта VMware Labs обновилась интересная и полезная многим Enterprise-админстраторам утилита Forklift for Workspace ONE UEM (она же Workspace ONE UEM Workload Migration Tool) - ее третья версия вышла в начале мая. О первой версии этого средства мы писали еще два года назад вот тут.
Forklift for Workspace ONE UEM позволяет провести бесшовную миграцию конфигураций приложений и устройств между различными окружениями Workspace One UEM (например, тестовой средой и производственной). Ее возможности включают в себя:
Миграцию приложений, профилей, сенсоров (Sensors), скриптов объектов Windows 10 Baselines Continuous Delivery pipelines как часть решения для создания/обновления и апгрейда ресурсов из сред разработчиков в производственные среды.
Шаблоны экспортируемых/импортируемых ресурсов в виде контейнеров для быстрого их развертывания в среде UEM.
Forklift for Workspace ONE UEM представляет собой набор из двух связанных контейнеров, вспомогательные скрипты для их запуска, а также Docker Compose file, чтобы обеспечивать связь этих контейнеров.
Что появилось нового в третьей версии:
Поддержка более чем одного окружения (исходного и целевого)
Поддержка MST и иконок для миграции приложений Windows 10
Поддержка приложений размером более 2 ГБ
Поддержка сенсоров и сценариев при миграции
Поддержка объектов Continuous Delivery Pipelines
Скачать VMware Forklift for Workspace ONE UEM можно по этой ссылке.
Компания VMware какое-то время назад добавила возможность Managed Guest Sessions для операционной системы Chrome OS в своем решении Workspace ONE UEM Console (версия 2102 и выше). Эта опция позволяет гибко управлять общими устройствами на базе Chrome OS с точки зрения сессий пользователей.
Эта концепция была доступна и ранее, но для одного приложения в виде single-app kiosk profile, что позволяло путем применения политики залочить десктоп на одно приложение для публичного десктопа, которое могут использовать несколько пользователей.
С помощью нового механизма Managed Guest Sessions можно выделять отдельному пользователю сессию с необходимым доступом к приложениям и другим ресурсам. Теперь администратор может гранулярно настроить права доступа и политики для таких сессий, что значительно расширяет варианты использования решения Workspace ONE для публичных десктопов: например, библиотеки, тренировочные центры, торговые залы и многое другое.
При этом пользователю не нужно вводить свои учетные данные Google и беспокоиться о них - работа происходит в режиме гостя. Пользователь имеет доступ к назначенным администратором приложениям, ресурсам, закладкам и прочему. После выхода пользователя из системы - десктоп готов принимать чистые новые сессии.
В консоли Workspace ONE UEM можно настроить управление сессиями. Вот какие настройки можно делать:
Managed Guest Session Name – отображение настраиваемого имени сессии на устройстве.
Browser Settings – администратор может настроить домашнюю страницу, закладки, а также открывать вкладки при логине в систему.
Security and Privacy - здесь можно включить Safe Browsing, а также создавать allow- и deny- списки для большего контроля над активностью пользователей. Также можно включить Incognito Mode для всех пользователей в целях обеспечения приватности.
Application Control – здесь можно настроить приложения и экстеншены, которые будут доступны в рамках сессии на данном устройстве. Также можно использовать allowed и blocked списки приложений.
Session Length – максимальное время, в течение которого пользователь может находиться в своей сессии, перед тем, как его принудительно разлогинит.
Вот как выглядит управление этими настройками:
Все это дает большие возможности для следующих вариантов использования:
Ритейл - общие устройства могут использоваться как клиентами, так и сотрудниками торговых точек. Также это подойдет в целях обучения.
Офисные работники - если, например, работник забыл свой ноутбук, он может безопасно залогиниться в свое временное окружение в течение дня.
Бизнес-центры - ограничение по времени использования будет большим плюсом для использования общих десктопов в общественных местах, таких как БЦ и отели, библиотеки, киберкафе, где дают устройства в аренду.
На сайте проекта VMware Labs появилась очередная полезная штука - утилита Workspace ONE Discovery. Она запускается на рабочих станциях Windows 10 под управлением решения Workspace ONE, где будет показывает различную информацию об оконечных устройствах (Certificate Management, Application Deployment, Profile Management).
Workspace ONE Discovery выводит сервисы, относящиеся к Workspace ONE, а также информацию о том, какие приложения были развернуты. С помощью специального представления можно увидеть, как были сконфигурированы профили, посмотреть сертификаты и отследить, какие апдейты Microsoft Windows были установлены.
Данную информацию можно использовать для решения проблем с рабочими станциями под управлением Workspace ONE. После запуска вы увидите 6 вкладок:
Overview - общая информация об устройстве, какой экзмепляр Workspace ONE UEM управляет этим устройством, и какие сервисы, относящиеся к Workspace ONE, запущены и работают
Packages – список приложений, которые были поставлены с помощью Workspace ONE UEM
Profiles – список изменений, сделанных в профилях средствами Workspace ONE UEM
User Certificates – список установленных пользовательских сертификатов
Machine Certificates – список установленных сертификатов устройств
Windows Updates – список установленных обновлений
Более подробно о Workspace ONE Discovery рассказано в видео ниже:
Скачать Workspace ONE Discovery можно по этой ссылке. Сама утилита работает только на Windows 10.
Осенью 2018 года мы писали об утилите True SSO Diagnostic Utility, с помощью которой можно проводить диагностику сертификатов Horizon View Enrollment Server (ES), настроек Active Directory PKI и свойств служб сертификации Enterprise Certificate Authorities (CA).
На днях же VMware на сайте Labs выпустила еще одно средство - True SSO Configuration Utility, предназначенное уже не только для диагностики, но и настройки сертификатов True SSO для использования с View Connection Server, Enrollment Server и вашим центром сертификации (Certificate Authoriry) и Active Directory.
Для корректной работы утилиты вам понадобятся следующие компоненты инфраструктуры:
VMware Horizon Connection Server
VMware Horizon Enrollment Server
Microsoft Certificate Authority
Workspace One Access
Чтобы начать использовать True SSO Configuration Utility нужно лишь запустить ее на Horizon Connection Server.
Видео установки и первоначальной настройки можно скачать по этой ссылке, а само средство True SSO Configuration Utility доступно для загрузки здесь.
Таги: VMware, Labs, Security, Horizon, SSO, Workspace ONE
На сайте проекта VMware Labs появилась очередная полезность - утилита Workspace ONE App Analyzer for macOS, с помощью которой можно детектировать необходимые для устанавливаемого приложения разрешения (Privacy Permissions), расширения ядра (Kernel Extensions) и системные расширения (System Extensions).
Это потом можно использовать для автоматического создания профилей в Workspace ONE UEM, чтобы там добавить в whitelist требуемые настройки для приложений.
Для работы утилиты потребуется MacOS 10.15 или более поздней версии. Утилита была протестирована с Workspace ONE UEM 2004. Скачать Workspace ONE App Analyzer for macOS можно по этой ссылке (на вкладке Instructions есть небольшое описание рабочего процесса).
Оказывается, на ресурсе VMware Techzone есть не только образовательные материалы, но и полезные утилиты, в частности, VMware Digital Workspace Topology Design Tool. С помощью этого средства администратор может выбрать имеющиеся у него компоненты решений VMware Workspace ONE и VMware Horizon, а также указать вариант развертывания - и нарисовать архитектурную диаграмму сетевой инфраструктуры.
Чтобы получить доступ к этой утилите, переходим по данной ссылке и в разделе Architect and Integrate кликаем по ссылке Launch для виджета Digital Workspace Topology Tool:
После этого нас попросят авторизоваться с кредами My VMware или Partner Portal и попросят ввести название профиля:
Далее нужно выбрать компоненты инфраструктуры Workspace ONE, которые будут использоваться для построения архитектуры (то есть те, которые вы планируете развертывать):
Дальше нужно указать уже компоненты инфраструктуры Horizon, для варианта On-Premises нужно выбрать составляющие решения Horizon 7 в инфраструктуре на вашей площадке:
В итоге вы получите результат с архитектурой сетевой инфраструктуры:
Также вы можете отобразить отчет по необходимым для открытия портам сетевых экранов, через которые осуществляется взаимодействие между компонентами:
Также можно и сохранить полученную конфигурацию в своем профиле (иконка с дискетой).
На сайте проекта VMware Labs появилась очередная полезность - утилита Workspace ONE Mobileconfig Importer. Она дает возможность импортировать существующие файлы конфигурации мобильных устройств (mobileconfig) напрямую в окружения Workspace ONE UEM как профиль Custom Settings. Также можно импортировать plist-файлы настроек приложений в порядке созданных профилей настроек и создавать профили Custom Settings с нуля.
Во время процесса импорта существующих профилей конфигураций утилита пробует разделить каждый словарь PayloadContent dictionary на отдельные нагрузки для профиля Workspace ONE.
Для запуска утилиты потребуется macOS 10.14 или более поздняя версия. Протестирована она была на Workspace ONE UEM 2001.
Скачать Workspace ONE Mobileconfig Importer можно по этой ссылке, а вот тут доступен документ с описанием процедуры развертывания и использования данного средства.
На сайте проекта VMware Labs появилось еще кое-что интересное - утилита App Finder for Tunnel. С помощью данного средства можно настраивать отдельные приложения для использования функции Workspace ONE Tunnel на Mac OS.
Как известно администраторам Workspace ONE, работающим с функциями Unified Endpoint Management (UEM), для отдельных приложений можно настраивать VPN-туннель (добавить их в whitelist), чтобы не гонять через VPN весь трафик устройства пользователя.
При настройке туннеля для приложений в консоли Workspace UEM в разделе VMware Tunnel нужно настроить следующие параметры:
Friendly name
Package ID
Designated requirement
Path (используется только для некоторых дистрибутивов без зарегистрированных бандлов, таких как Curl или ssh)
App Finder for Tunnel поддерживает Drag&Drop интерфейс для перетаскивания приложений в контейнер, который дает возможность получить приведенную выше информацию о приложении и подставить ее в консоль Workspace UEM:
Для работы App Finder for Tunnel поддерживается Mac OS 10.11 или выше. Скачать утилиту можно по этой ссылке.
Эта механика позволяет настраивать корпоративные мобильные устройства в соответствии с определенными конфигурациями средствами политик, задаваемых с помощью языка SyncML. Больше года назад мы писали про утилиту VMware Policy Builder, которая позволяет сконфигурировать политики Windows 10 для мобильных устройств Mobile Device Management (MDM) через механизм Configuration Service Providers (CSPs).
На выходе этой утилиты появляется файл SyncML, который используется для настройки мобильных устройств. Так вот с помощью SyncML Compare можно сравнить эти файлы, получив их с сервера и клиентского устройства, чтобы не делать все эти операции вручную средствами сторонних утилит вроде XML Viewer.
SyncML Compare - это приложение Fiddler, которое позволяет сравнить 2 файла syncml, один из которых получен с сервера WS1, а второй - с управляющего клиента на устройстве пользователя. Такая задача часто встает перед администраторами решения Workspace ONE.
Разница в настройках подсвечивается красным, что очень удобно отслеживать в консоли продукта. Утилита очень помогает при траблшутинге проблем и отладке на конечных мобильных устройствах пользователей.
Некоторые из вас знают, что у VMware есть решение для организации доступа конечных пользователей к ресурсам виртуальной инфраструктуры Workspace ONE. Одним из компонентов этого решения является средство Workspace ONE Access (бывший продукт VMware Identity Manager), позволяющее организовать идентификацию и авторизацию пользователей и их устройств в инфраструктурах vSphere и Horizon.
В мае 2018 компании VMware и Octa анонсировали партнерство в области создания единой инфраструктуры по управлению интегрированной аутентификацией и авторизацией пользователей и их устройств (Unified Endpoint Management). Ну а на VMworld 2019 было рассказано о прогрессе в развитии совместных инициатив обеих компаний.
Цель сотрудничества компаний VMware и Okta - создать единую среду универсального SSO-доступа для мобильных устройств и установить доверие к ним для различных платформ на уровне виртуального датацентра.
VMware приносит здесь экспертизу по управлению мобильными устройствами и комплаенса в контексте самих устройств (на базе решений купленной когда-то компании AirWatch), а Octa берет на себя контекст управления идентификацией на уровне пользователя и SSO-интеграцию с различными системами датацентра.
Вторая важная вещь, анонсированная на VMworld 2019 - это интеграции VMware и Octa при работе со службами каталога. Теперь решение Okta Integration Network может быть добавлено в Workspace ONE Intelligent Hub, чтобы создать единую точку управления идентификацией для всех приложений и платформ.
Также функционал для работы с восстановлением идентификации без пароля (повторная авторизация с мобильного) был перенесен со стороны Octa на Workspace ONE во избежание дублирования функционала.
Помимо этого, был убран следующий дублирующийся функционал за счет его перенесения в среду Octa: мобильный SSO и политики доверия на уровне устройств (device trust policies). Теперь пользователи и назначения им прав на ресурсы централизованы в консоли Okta (только те юзеры, которые используют Octa и VMware одновременно). Там же сосредоточены политики и действия (actions).
Еще одна возможность, анонсированная на VMworld - это Workspace ONE Okta Universal Directory Integration. Теперь пользователи получат интеграцию между Workspace ONE Access (бывший VMware Identity Manager) и Okta Universal Directory (UD). Функции UD теперь позволяют могут использовать в качестве источника идентификации не только службы каталога Active Directory, но и любые другие службы, такие как HR-системы со списками сотрудников.
Это хорошо для пользователей, которые часто не включаются в состав Active Directory (сезонные или контрактные рабочие), либо нужно для тех компаний, которые по тем или иным причинам отказываются от AD.
Теперь такие пользователи являются полноценными участниками экосистемы VMware Workspace ONE, а также защищаются в рамках концепции VMware Zero Trust.
UD и Workspace ONE Access коммуницируют за счет SCIM-интеграции, а пользовательская информация передается в Workspace ONE UEM через специальный UEM API.
Кстати, об этих всех моментах написала не только VMware, на и сама Octa.
Недавно компания VMware обновила платформу виртуализации и доставки настольных ПК и приложений VMware Horizon 7.9, а также выпустила новые версии клиентов Horizon Clients 5.1 и решения User Environment Manager 9.8. Одновременно с этим была также выпущен и обновленный продукт Unified Access Gateway 3.6, предназначенный для организации шлюзов и безопасных соединений для доступа к инфраструктуре Workspace ONE и Horizon.
Напомним, что о прошлой версии VMware Unified Access Gateway (UAG) 3.5 мы писали вот тут, она вышла сразу после релиза платформы VMware Horizon 7.8.
Основные нововведения UAG 3.6 включают в себя:
Новый сервис Secure Email Gateway Edge
Возможности миграции из Tunnel Proxy на туннель для каждого из приложений (per-app Tunnel)
Множество прочих улучшений, особенно в сфере безопасности
Вот тут можно увидеть обзор компонента Secure Email Gateway (SEG) Edge Service, который позволяет защитить корпоративную почтовую инфраструктуру и открывает возможности мобильного управления Mobile Email Management (MEM) в продукте Workspace ONE UEM:
Защита почтовика заключается в том, что ограничивается список устройств на уровне Workspace ONE, которым позволено общаться с компонентами почтовой инфраструктуры.
Также с помощью специального SDK можно создавать приложения, которые будут нативно общаться с корпоративными ресурсами предприятия напрямую, в рамках собственного туннеля на уровне приложения. Описание того, как это работает, вы также найдете на видео выше (примерно, начиная с 11:27).
Такой подход позволяет задавать правила для трафика на уровне устройств, существенно повышает производительность и дает возможность поддерживать различные типы трафика (например, UDP).
Про функции OCSP stapling, которые позволяют безопасно установить достоверность SSL-сертификата путем запроса удостоверяющего центра, можно посмотреть, начиная с 13:39:
Ну а про возможности валидации артефактов SAML JWT рассказывают в районе 14:15:
Если вы хотите детальнее узнать об этих возможностях, особенно о Secure Email Gateway Edge и новых функциях безопасности Unified Access Gateway 3.6, посмотрите вот это видео:
Ну а по интерфейсу UAG 9.6 и его настройкам можно детально пройтись вот в этом ролике:
Скачать VMware Unified Access Gateway 3.6 можно по этой ссылке. Release Notes доступны тут.
На сайте проекта VMware Labs появилась новая утилита, которая будет полезна пользователям пакета решений Workspace ONE, куда входит продукт Identity Manager. Утилита Identity Manager Migration/Backup Tool позволяет администраторам автоматизировать процесс экспорта и импорта приложений и их прав доступа при переносе от одного экземпляра Identity Manager к другому.
Утилита использует Identity Manager API для операций экспорта, импорта, удаления и применения прав доступа (entitlements), которые переносятся с помощью XML-файла. Утилита работает как с онпремизным, так и с SaaS-продуктом VMware Identity Manager (в случае SaaS потребуется административный доступ на уровне клиента - Tenant).
Как видно из названия, утилиту можно использовать как для миграции приложений и прав доступа, так и для целей резервного копирования на случай отказа основного экземпляра Identity Manager.
В этом продукте есть 2 всего вкладки - для экспорта данных из одного IM и для импорта на другом.
Вот как это работает:
Скачать
Identity Manager Migration/Backup Tool можно по этой ссылке. Таги: VMware, Workspace ONE, Backup, Labs, Identity Manager
На сайте проекта VMware Labs появилась полезная многим Enterprise-администраторам утилита Workspace One UEM Workload Migration Tool. Она позволяет провести бесшовную миграцию конфигураций приложений и устройств между различными окружениями Workspace One UEM.
Нажатием одной кнопки можно переместить конфигурации среды приемочного тестирования UEM в производственную среду предприятия, без необходимости вводить информацию об исходном и целевом окружении и загрузки файлов. Все это существенно уменьшает время на исполнение цикла ввода обновлений пользовательских окружений в эксплуатацию.
Для успешного выполнения миграции вам потребуется:
Сетевое соединение между двумя площадками.
Компьютер с Windows 10.
2 рабочих окружения Workspace One UEM.
Учетные данные администратора (API credentials) и разрешения (API permissions) для обоих окружений.
Скачать Workspace One UEM Workload Migration Tool можно по этой ссылке.