Llegamos a ustedes gracias a:



Reportajes y análisis

MDM: Las mejores herramientas para la gestión de BYOD

MobiControl y Afaria lideraran el camino en la prueba de cinco proveedores de herramientas de MDM.

[26/11/2012] Para el año pasado, las soluciones para la administración de dispositivos móviles (MDM) estaban enfocados en la gestión de activos: provisión, protección y contenido de los dispositivos móviles. Un año hace la diferencia. Los productos que se comparan en esta ronda de pruebas tienen controles más fuertes para sistemas operativos móviles y teléfonos inteligentes específicos, además de características como rastreo basado en ubicación, seguimiento de uso, la autenticación de dos factores y sandboxing de las identidades personales y corporativas.
De las cinco aplicaciones MDM que revisamos, MobiControl de SOTI fue muy fuerte y comprendió muy bien los teléfonos y plataformas de sistemas operativos específicos. Tangoe tuvo características muy fuertes enfocadas a las funciones de administración empresarial. Newcomer Webroot es prometedora, pero aún tiene trabajo por hacer para ponerse al día con los demás en nuestra prueba. Afaria de SAP, que probamos el año pasado, lucía un nuevo cambio de imagen, casi radical, lo cual es una mejora dramática en su última edición. Venerable LanDesk ha añadido MDM a su suite de gestión de escritorio, y si bien la fase de instalación nos inquietó moderadamente, llegaron a gustarnos sus controles de dispositivo, la fácil gestión de políticas y la presentación de informes.
En general, MobiControl y Afaria empataron en el primer lugar de nuestra prueba, y Tangoe quedó detrás.
El propósito específico de nuestra prueba fue examinar la administración de dispositivos móviles. Sin embargo, es importante señalar que los cinco proveedores ofrecen MDM, así como una variedad de otras aplicaciones opcionales. Estas características adicionales no fueron probadas.
Por ejemplo, Tangoe también ofrece control de costos de telefonía y aplicaciones de ciclo de vida de activos. LanDesk añade su consola de administración de alto grado basada en Windows. SAP/Afaria añade análisis opcionales y su aplicación MDM puede ser alojada de forma interna en la infraestructura de base de datos SAP/Sybase (también en Microsoft). SOTI añade MobiAssist, una mesa de ayuda para PC/dispositivos móviles con un rápido control remoto. Y Webroot añade una línea de sistemas de detección de virus/malware y navegación web segura.
Estas son las opiniones individuales:
Tangoe MDM
Tangoe se instala en sus hosts (en un centro de colocación Data Foundry y en otros lugares), o puede implementarse en las instalaciones, o ejecutarse como un servicio gestionado dentro de un cliente del centro de datos (por Tangoe o afiliados de Tangoe). Optamos por el modelo alojado en la nube (porque es más fácil, la verdad). Se puede acceder a una pila completa de la instalación a través de VPN.
Tangoe comenzó con aplicaciones de contención de costos de telefonía y control de activos, y sus productos ofrecen una completa administración del ciclo de vida del dispositivo móvil. La funcionalidad MDM se veía madura y reflejó adecuadamente el flujo de trabajo utilizado en las grandes organizaciones. En nuestras pruebas, la interfase de usuario web no definía bien el flujo de trabajo, pero se volvió rápidamente maniobrable.
La aplicación MDM Tangoe puede cubrir iOS, Android, BlackBerry y Windows Mobile. El proceso de admisión al cliente comienza con el aprovisionamiento de los elementos de Tangoe MDM, a continuación, se despliegan las aplicaciones y software a sus destinos. En nuestro caso, fue la nube Tangoe.
El flujo de trabajo de Tangoe MDM quería que decidiéramos las políticas de cumplimiento y seguridad de una de dos maneras: un modelo plano que trata a todos los dispositivos de la misma forma, o uno que divide a los dispositivos en dos perfiles, personales y corporativos.
Las aplicaciones, datos, encriptación, y la configuración se dividen en el dispositivo para su control, aunque esta característica, denominada Divide, tiene costos adicionales por dispositivo, al mes.
Este perfil empresarial/personal opcional se convierte en el eje de una metodología sandbox del dispositivo; el dispositivo se mantiene y parte las dos personalidades. Lo pusimos a prueba en un teléfono Android, y encontramos que algunos recursos (aplicaciones, ajustes y configuraciones) debían ser duplicadas, por lo que se deben considerar los recursos del dispositivo en términos de almacenamiento. Muchas aplicaciones significarán mucho espacio de almacenamiento y la cantidad reservada para negocios versus almacenamiento personal (música, aplicaciones, videos) debe entenderse bien, o uno de los dos sufrirá por falta de espacio.
La cantidad de recursos utilizados en datos, voz y mensajes de texto también son rastreados en el dispositivo, y la información está disponible (por opción de política) para el usuario, de manera que los costos pueden ser mostrados. Esto incluye un desglose por aplicación de la cantidad de recursos de teléfono que se utiliza en el dispositivo (un teléfono en nuestro caso) y cuánto de saldo queda dentro del período de facturación. Las aplicaciones individuales pueden ser "separadas" por su uso voraz (ejemplo: videos).
Para llegar allí, tuvimos que definir un plan del operador, que explique las distintas opciones. El dispositivo envía la información que se utiliza para crear un gráfico de trabajo que se usa para compararlo con el plan del operador. El seguimiento de recursos puede elaborar una revisión de la actividad para el usuario, aunque no pudimos llegar a números suficientes como para vivir asustados por nuestros costos mensuales. ¿Domará con esto a los usuarios salvajes? Pensamos que puede ayudar.
Hay disponible una integración con Active Directory, y/o Microsoft Office 365, y Business Productivity Online Services de Microsoft, pero no probamos estas características a profundidad.
También podemos optar por la entrega de aplicaciones para dispositivos, elaborada a través de categorías específicas de dispositivos móviles. La distribución de aplicaciones sería a través de la "tienda empresarial" de una organización, o de las tiendas de la plataforma elegida como GooglePlay. Por seguridad, las aplicaciones no son aprobadas en primer lugar; eso depende de la organización del cliente. Pudimos agregar al pool de aplicaciones y, además colocar aplicaciones para proceso de push (nuevamente, por métodos específicos del sistema operativo), hacia teléfonos para actualizaciones iniciales, remplazos u otros usos.
Aunque las etapas de formulación de políticas hicieron que nos cuestionemos sobre las operaciones, encontramos un práctico botón "probar" para que podamos examinarlas antes de llevarlas a nuevos grupos de usuarios. Nos gustó eso. La documentación de ayuda en línea es buena, pero carece de sugerencias de flujo e información de integración, así que la ayuda de Tangoe, al menos en la integración inicial, es probablemente la primera integración de Tangoe MDM.
En general, es una poderosa aplicación con un flujo comprensible y buenos controles.
SOTI MobiControl
De las aplicaciones MDM que probamos, SOTI es la más completa (para Android e iOS), aunque también podría ser la aplicación MDM más espantosa que hemos visto. El miedo viene por el grado de control que se puede ejercer -y el hecho de que puede rastrear la ubicación del teléfono a través de la mayor parte del planeta mediante su consola de Google Maps. Tenemos imágenes en Google Maps de hacia dónde se dirigía el teléfono, así como un seguimiento al dispositivo (y al usuario) por la calle, mientras se desplazaba. Nos vino a la mente el nombre de una entidad gubernamental (de EE.UU.) cuyo nombre tiene tres letras.
Al usar una tecnología específica de una marca de teléfonos -Samsung en nuestra prueba- puede determinar la ubicación de un usuario junto a un agujero específico en un campo de golf, usando Google Maps. En otros dispositivos, es solo ligeramente menos preciso en la búsqueda de ubicación y, a veces, simplemente nos brindó un vecindario, en lugar de una ubicación exacta, cuando estábamos en las áreas del centro.
Esto significa: No más mentiras sobre "Oh, estoy en casa con el niño enfermo", o "Todavía estoy en Estocolmo". Por supuesto, esa misma localización vectorial del usuario también puede ser tremendamente útil. "¿En qué planta se encuentra?'' Oh, mira, está atrapada de nuevo en una autopista''. "No, todavía está en su hotel''.
Solo el administrador de la MobiControl puede "ver" esta información, pero tenemos la sensación de que abre una caja de Pandora de situaciones interesantes.
MobiControl tiene dos versiones. Hemos probado la versión de nube, en lugar de la de instalaciones propias (on-premise). La entrada del cliente incluye vinculación a Active Directory cuando sea necesaria o deseada.
Utilizamos una máquina virtual de Windows 7 cableada a una dirección IPv4 en nuestra red de centros de operaciones como una máquina virtual; la máquina necesita una dirección IP accesible en todo el mundo o conexión FQDN o proxy, ya que los dispositivos se comunican con esta máquina. Si hay muchos dispositivos, la máquina necesitará protección razonable y recursos de alta disponibilidad.
La máquina proxy SOTI necesita tener dos puertos abiertos (y libres desde el exterior), y la máquina también necesita un camino limpio hacia un servidor de catálogo de Active Directory para la autenticación del proxy. Esto permite que puedan llegar las peticiones de usuarios de fuera de la red, y permite que los comandos y cambios de Active Directory pasen por SOTI para fines de control.
El MobiControl SOTI cubre iOS, Android y las versiones más antiguas de Windows Mobile. Tuvimos que crear grupos, luego dispositivos para llenar los grupos, y a continuación, describir, a través de un Device Agent Manager, el dispositivo en sí. Fue un poco laborioso para la conectividad básica y el control. El verdadero trabajo viene en el diseño de las cargas y la gestión de claves de autenticación (cuando sean necesarias) y los componentes de accesibilidad para el acceso a la organización a través de Active Directory donde se desee.
El aprovisionamiento de la flota puede ser detallado para las diferentes calidades de los dispositivos móviles, dependiendo de su marca/modelo, sistema operativo, versión, y otros calificadores. Los detalles pueden ser de teléfonos específicos para propósitos de carga de la aplicación (se puede incluir una carga variable de aplicaciones si se desea), o cargas ordenadas por departamento (aplicaciones, políticas). Dentro de la carga puede haber cosas como las claves de seguridad hasta acceso de Exchange Mail protegido con SSL, o paquetes de aplicaciones y/o datos y/o enlaces a ellos, o controles de configuración. El flujo de trabajo, como Tangoe MDM, no es bastante obvio, pero la estrategia de configuración se puede decidir con un poco de experimentación.
Obtuvimos la aplicación del dispositivo MobiControl desde la AppStore de Apple y GooglePlay. Instalamos la aplicación, e ingresamos un código. El código, a su vez, sectorizó a la aplicación de administración MobiControl de Windows 7 que ya habíamos configurado. Una vez conectado, el teléfono está bloqueado a todo lo que se haya configurado en la aplicación de gestión. El teléfono también envía, a través del operador o Wi-Fi, la ubicación aproximada del dispositivo.
También se incluye un catálogo de aplicaciones tipo tienda, que SOTI no revisa a través de AppThority u otro fabricante analizador de aplicaciones móviles.
Encontramos que el aprovisionamiento de MobiControl y el modelo de administración están bien pensados, y en términos de privacidad de la ubicación del usuario, es un poco preocupante desde una perspectiva de gestión -muy útil en algunos casos, pero en otros es oneroso. Podríamos optar por ambas razones, pero solo después de una revisión de lo que deberían ser las normas éticas de privacidad de la ubicación.
Webroot SecureAnywhere Business-Mobile Protección
Webroot tomó sus aplicaciones de control MDM en línea (llamadas SecureAnywhere Personal), y las actualizó a un producto en la nube para pequeñas organizaciones. Creemos que somos los primeros en revisarlo, ya que la versión "empresarial" es completamente nueva. Nos pareció que era inmadura, pero prometedora.
Webroot es conocida por sus altamente calificados productos de escritorio para protección de virus/malware, y SAB-MP es una extensión de un producto MDM basado en portal. Webroot intenta proteger el teléfono a través de navegación segura, examina los SMS para hallar el origen del malware, y tiene una aplicación de escaneo de virus/malware.
Como producto exclusivo para la nube y en su primera versión, es un poco tosco, pero tiene pretensiones hacia funciones eventuales cubiertas por SOTI, tales como la localización basada en geolocalización de los usuarios, y control del teléfono basado en certificados. Es menos complicado, pero tampoco es tan fuerte como SOTI y Afaria.
Al igual que otros paquetes que probamos, hay dos caras de la instalación, primero una instalación administrativa; y la segunda, una descarga del lado del usuario ya sea para Android o un dispositivo iOS. En la actualidad, no existe un control para dispositivos ActiveSync/Microsoft o BlackBerry. La carga depositada en dispositivos móviles Windows o Android y las aplicaciones no son configurables, no es configurable con los logos corporativos, no se le puede aplicar políticas de control, etc. El control se basa en aplicaciones autorizadas, y navegación web limitada.
Tuvimos una experiencia de cliente simple (inscribirse en la web), y tras unos pocos pasos, estábamos dentro de la interfase de usuario en nube basada en SaaS. Nos gustó el proceso de autenticación de dos métodos para acceder al portal administrativo. Añadimos usuarios, lo que se puede hacer de forma manual o desde una lista importada de Active Directory (instrucciones incluidas). Puede eliminar a los usuarios de Active Directory que no tienen teléfonos.
Una URL/código QR se enviará a continuación por correo electrónico o SMS a los dispositivos deseados, lo cual los lleva a Google Play o a un enlace de la AppStore de Apple, donde se encuentra la aplicación específica del dispositivo que servirá como un controlador de teléfono. El usuario hace clic en ese enlace y envía una carga que se instala en el teléfono. El enlace de Google Play no requirió de una cuenta de Google para descargarse en nuestras pruebas. Cuando termina la instalación en el teléfono, un nombre de usuario y contraseña (enviado en el correo electrónico o SMS) se introduce, y el teléfono cae en las garras de Webroot.
Webroot les proporciona a los usuarios una configuración restringida del navegador. El ajuste sirve como una autoridad de filtrado URL opcional que limita, mediante una lista negra, los sitios a los que puede acceder el navegador. Webroot mantiene una lista de los sitios que están fuera de los límites y en los que los usuarios no podrán navegar. Aunque se dice que esta lista es madura, probarla fue difícil para nosotros. Hemos tomado nota de que no hace filtrado por tipo de contenido, la frase "NSFW" no tiene sentido. También hay un escudo de depuración USB y escudo de "fuentes desconocidas" que se pueden utilizar para filtrar el contenido que entra al teléfono desde dispositivos USB, Bluetooth o tarjetas de memoria.
SecureAnywhere para iOS requiere una etapa administrativa inicial para construir un certificado Apple Push Notification, de tal modo que la descarga para el sitio web pueda existir en la AppStore de Apple. Uno obtiene un enlace (específico de la organización), se descarga la aplicación, y se comporta en gran medida como la versión de Android.
La carga/aplicación del dispositivo puede consultar el teléfono para conocer la ubicación, y luego da la mejor aproximación de su longitud/latitud de Google Maps en la consola administrativa de Webroot. Luego -al igual que SOTI- muestra la ubicación aparente del teléfono. Un mapa con un puntito significa que está ahí. Un círculo de mayor diámetro en el mapa significa: aproximadamente en algún lugar del área en el interior del círculo. El teléfono tiene que tener algún tipo de servicio de geolocalización activado, o al menos proporcionar información con base a las empresas operadoras para hacer esto. Utilizar aplicaciones como Google Play para localizar a un usuario tarda más que tener activado el GPS (que consume poca batería).
La protección de dispositivos perdidos incluye geolocalización, la capacidad de hacer que el dispositivo grite (¿dónde lo dejé?), así como funciones para limpiar el dispositivo, bloquearlo, desbloquearlo y bloquearlo con un mensaje. Nos dimos cuenta de algunos retrasos al recibir mensajes en nuestros teléfonos de prueba, mientras que otros eran casi instantáneos. Puede ser que haya sido culpa del operador telefónico, sin embargo las inconsistencias fueron extrañas para nosotros.
En total, la aplicación SAB/MP es rudimentaria y fácil de entender, no tiene cargas de dispositivos, o widgets específicos por modelo, y está más orientado a organizaciones pequeñas. Los documentos eran primitivos, pero explicaban las operaciones a nivel de un operador de sistemas. Los civiles pueden tener problemas, pero los foros y comunidad de soporte están disponibles en el sitio web de Webroot.
Webroot no identificó a nuestro rootkit Android, SuperUser, como malware. Un portavoz de Webroot dice que ellos identifican el malware a través de sus propios procesos, y los "rootkits benignos" no son identificados como malware. Esperamos que cambien su política, ya que creemos que no hay tal cosa como un "rootkit benigno". En segundo lugar, Webroot utiliza su propio sistema de identificación de aplicaciones de malware para ser marcadas. Aunque no sembramos malware en nuestros teléfonos, no hemos podido probar esta afirmación.
En total, Webroot necesita pulirse un poco para llegar al punto en que los demás productos están, aunque parece prometedor.
LanDesk Mobility Manager
La plataforma LANDesk Management Console se basa en los servicios de Windows Active Directory, Exchange 2007 o 2010, y Business Enterprise Server/BES Server de RIM, si lo usa.
LANDesk Mobility Manager es un add-on para la consola de administración LANDesk (requerida). Se puede utilizar sin los servicios de Active Directory, pero no recomiendo esto, ya que la infraestructura de Microsoft Exchange y ActiveSync probablemente serían una molestia sin ella. Su día sería malo si lo intenta.
El producto LanDesk MDM sería el tercer servidor basado en Windows de la red después de un servidor Windows 2003/8 (o R2) primario de "catálogo", y un segundo servidor que aloja la consola de administración.
Las licencias de servidor de Windows pueden ser mínimas; simplemente necesitan estar en el mismo bosque y pueden ser máquinas virtuales. Si se utilizan máquinas virtuales o servidores discretos de fierro puro (bare metal), se necesita un mínimo de 50 gigas libres de almacenamiento. Si tiene Microsoft Exchange (comprobar su versión, ya que hay diferencias de funcionalidad entre los años 2007 y 2010, nosotros utilizamos Exchange 2010), se pueden entender y utilizar las API que Exchange ofrece para el control de dispositivos.
La parte fácil es el suministro inicial de dispositivos. Descargue la aplicación para LanDesk de la App Store de Apple o de Google Play. Instálela y lo siguiente será la autenticación del servidor. Además, el servidor Movility tiene que estar en su DMZ con una dirección IP o FQDN de acceso mundial (o al menos accesible por el operador telefónico). Esto es similar a cómo trabajan SOTI y Webroot. Desde allí, es posible añadir una aplicación de dispositivo que permita un portal de acceso adicional (después de que esté configurado en el gestor de movilidad) para aplicaciones, archivos, etc, que se puedan descargar en el dispositivo.
Mobility Manager realiza una comprobación inicial del dispositivo móvil del cliente en busca de rootkits y jailbreaks. Se pueden configurar alertas que permitan la inscripción a pesar de la presencia de estos estados en los dispositivos. Después de la inscripción, se pueden detectar, según vimos, pero no estaban necesariamente en cuarentena, aunque su estado se observó en los informes de inventario. No hay restricciones en la navegación. Nuestros dispositivos rooteados fueron identificados, pero puede "jubilar" dispositivos cuyos estados son cuestionables. Sin embargo, los dispositivos no serán geolocalizados porque el seguimiento de localización no se ofrece.
Las políticas de Active Directory, en términos de control, se aplican fácilmente. Puede bloquear el teléfono, cambiar su PIN, limpiar el teléfono (y puede quitar el comando limpiar si tiene el momento oportuno, a fin de darle a un usuario el tiempo de encontrarlo). También pudimos enviar configuraciones de VPN y de correo electrónico, e incluso claves pre-compartidas de Wi-Fi a los dispositivos que controlábamos.
Si Exchange 2010 está instalado, se pueden activar las políticas para evitar el acceso de los usuarios al correo, si lo desea, o para permitir que solo los usuarios administrados por la aplicación reciban correo electrónico, como una política. Probamos eso y funcionó. Si el correo de la organización es sensible o no debería ser accedido por dispositivos de BYOD, éste es el lugar para administrar el dispositivo, mientras se evita los problemas del envío de correo electrónico asociados a los dispositivos móviles. Usted consigue el acceso, pero el correo no. Y al estar ahí, tiene el correo.
La frecuencia del sondeo de dispositivos es seleccionable, lo cual preferimos, y la incrementamos, y encontramos que el tiempo de reacción en los dispositivos mejoró como resultado. En esta configuración, hay varios puntos potenciales de falla, que deben ser protegidos o hacerse más disponibles, ya que la ruta de acceso al servidor de movilidad (Mobility Manager) en nuestra prueba "DMZ" es fundamental para la interacción entre el Mobility Manager y los dispositivos gestionados.
Aunque nos gusta la configuración de LANDesk, nos sentiríamos más cómodos si los dispositivos traídos bajo su control de gestión recibieran una sonora paliza si instalan rootkits o condiciones de jailbreak. Sin embargo, más allá de esto, para una organización que quiere aprovechar una buena infraestructura de Active Directory, la infraestructura de gestión gratuita que se obtiene con el Mobility Control es una clara ventaja.
SAP Afaria 7
Cuando nos fijamos en lo que entonces era Sybase Afaria, encontramos un paquete integral cuyo enfoque tenía integración tipo Frankenstein. Desde entonces, Sybase y Afaria han sido adquiridas por SAP, y su enfoque de MDM ahora está integrado en un único portal web–interfase de usuario que, a su vez, controla los servidores modulares que realizan diversos elementos de gestión y control de dispositivos.
Su interfase de usuario no es evidente, pero con un poco de lectura de la documentación y asistencia, nos pareció que era comprensible y llena de flujos de trabajo listos para BYOD y control de daño.
El paquete completo de Afaria 7 puede estar basado en la nube (probamos el nuestro en Amazon Web Services/AWS) o como miembros -probablemente máquinas virtuales- en un entorno de red empresarial. Cada portal se puede conectar a Windows Active Directory de la organización, pero solo en el modelo plano -un dominio por vez de Afaria 7- aunque un portavoz dijo que varios dominios/bosques pueden ser tratados hacia fines del 2012.
Las mejoras son importantes, pero se requiere un poco de ajustes. El ajuste tiene lugar en el centro de un programa actual de marketing, donde se ofrece una prueba de dos semanas de Afaria en AWS, con la ayuda opcional de terceros (se obtiene ayuda dedicada de ingeniería como pre-venta) para configurar la correcta plataforma inicial. Es un árbol de decisiones complicadas, y es probable que necesite ayuda. Con la versión de prueba, Afaria pre-carga la configuración y, a su vez, comienza a permitir que un cliente avance a través de un árbol de decisiones de opciones de configuración necesarias para su flujo de trabajo y políticas de órdenes.
El "único panel de vidrio" en Afaria 7 supera los que se manifestaron en nuestra última revisión de Afaria 6, que era muy completo, pero enredado para manejar. En el modelo de nube actual, Afaria todavía utiliza componentes modulares, pero los procesos están vinculados de forma lógica. A modo de ejemplo, podemos configurar un dispositivo con un grupo específico y políticas en unos cinco clics del mouse.
También puede haber servidores "maestros" o distribuidos que cubren las diferentes unidades de negocio o áreas lógicas/geográficas, sujetos a la limitación del Active Directory antes mencionada. O puede no utilizar Active Directory para nada, si lo desea -significa que los usuarios y la autenticación se hace más manual en su naturaleza administrativa.
Las tareas son similares a los otros paquetes de MDM: crear grupos, ajustar políticas, hacer que los usuarios inicien sesión, y controlar el dispositivo, ya sea iOS, Android o Windows Mobile (para v7).
Afaria puede aprovisionar un dispositivo a través de una membresía de Active Directory, Certificate Authority de una organización, a través de MSCHAPv2, o permitiendo que un usuario descargue una carga a través de uno de varios recursos apropiados para el dispositivo.
Las cargas de aplicaciones de software no se incluyeron inicialmente, sino que se enviaron posteriormente. Se puede desarrollar una "tienda de aplicaciones empresariales", si lo desea, en el modelo de SAP. Las aplicaciones de SAP son examinadas por su comportamiento, pero las aplicaciones de usted van por su cuenta -son fácilmente colocadas en una tienda de la empresa para su descarga posterior por los usuarios suscritos.
Afaria hace la configuración inicial de dos semanas de prueba para los servicios alojados en la nube AWS, aunque las instrucciones del manual de provisión en AWS se incluyen para quienes lo hagan por sí mismos (generalmente, por razones de seguridad). En una instalación de la empresa fuera de la nube, el entorno es una instancia de Windows Server utilizando MS SQL Server o Sybase iAnywhere.
Podríamos poner a los usuarios en grupos de tres tipos: estáticos, dinámicos o individuales. Las membresías de grupo tienen políticas aplicadas, y si hay dos, las políticas de ambos grupos estarían en los dispositivos de sus miembros. Se sugiere el uso de grupos dinámicos, ya que también permite la posibilidad de mover usuarios cuyos dispositivos están comprometidos (rootkit, jailbreak, apariencia de una aplicación hostil) hacia grupos de fácil monitoreo y mitigación.
Solíamos incluir Self Service Portal (preconfigurado) para obtener las pruebas de las cargas iniciales de los clientes Afaria. Elegimos no permitirle al acceso a un dispositivo que esté comprometido, por lo que una vez inscrito, el dispositivo puede recibir un mensaje de reparación. De lo contrario, si se deniega el acceso, el usuario solo recibe un mensaje de que el dispositivo está comprometido y que el software no se instalará. La carga puede ser re-inicializada en este caso, después de que un rootkit u otra condición infractora sea removida.
Afaria inmediatamente encontró nuesto rootkit SuperUser y clasificó el dispositivo en la forma deseada.
Afaria encuesta a los grupos por defecto una vez al día, pero nosotros subimos la tasa de sondeo para detectar cambios, como consideramos que harán otras organizaciones.
Afaria carece de algunos componentes competitivos, como la ubicación del dispositivo basada en rastreo. Los dispositivos individuales pueden ser apagados, pero no se ofrece su ubicación. El empaquetado se puede decorar con el logo de la organización, para personalizarlo.
Finalmente, lo que nos pareció inaceptable en nuestra última revisión -la sensación de aplicaciones inconexas e injertadas- ha cambiado radicalmente y para bien.
Tom Henderson, Network World (EE.UU.)
Henderson es investigador principal de ExtremeLabs, de Bloomington, Indiana.