ATAK Android-laitteiden hallinta: MDM, rekisteröinti ja laivueen hallinta taktisille laitteille

Q: Voidaanko ATAK pakkoasentaa ja versio kiinnittää MDM:n kautta?

Kyllä. Android Enterprisen hallittu Google Play (tai Samsung Knox App Management) mahdollistaa MDM:n lähettää tietyn APK-version rekisteröidyille laitteille ja estää itseohjautuvat päivitykset. MDM-käytäntö voi kiinnittää ATAKin tiettyyn versionumeroon, hylätä sovellukset, jotka eivät vastaa hyväksyttyä tiivistettä, ja porrastaa käyttöönotot laitekohtaisesti.

Q: Mitä suojauskäytäntöjä tulisi noudattaa taktisissa ATAK-laitteissa?

Vähimmäisvaatimukset: AES-256-täyslevysalaus pakotetaan rekisteröinnissä, näytön lukituksen aikakatkaisu 30 sekuntia tai vähemmän, PIN tai biometrinen avaus vaaditaan (kuvioavaus kielletty), USB-virheenkorjaus poistettu käytöstä, tuntemattomista lähteistä asentaminen estetty, kehittäjäasetukset poistettu käytöstä ja aina päällä oleva VPN TAK Server -yhteyksille salaamattomissa verkoissa. Android 13 STIG ja Samsung Knox STIG ovat viralliset ohjauslähteet.

Kirjoittanut Corvus Intelligence -insinööritiimi · Tietoa tiimistä →

29. toukokuuta 2026 11 min lukuaika

Android Team Awareness Kitin käyttöönotto laajassa mittakaavassa ei ole pelkästään ohjelmisto-ongelma — se on laitehallintaongelma. Yksittäinen ATAK-laite, joka on konfiguroitu käsin garnisonin IT-toimistossa, on hallittavissa. 200 kovennetun Android-kämmentietokoneen laivue, joka on jaettu useille pataljoonille ja jonka mukana kulkevat laiteidentiteettisertifikaatit, hyväksytyt lisäosapaketit, luokiteltu karttatietodata ja tiukat suojauskäytännöt, vaatii samaa Mobile Device Management -kurinalaisuutta kuin yrityssmartphone-laivueet — sopeutettuna taktisten operaatioiden rajoituksiin: ei luotettavaa internet-yhteyttä, pyyhintävaatimukset kiellettyympäristöissä ja nollatoleranssi manuaaliselle uudelleenkonfiguroinnille kentällä.

Tämä artikkeli kattaa täydellisen ATAK Android -laitehallintapinon: MDM-alustan valinta, rekisteröintimenetelmät yhdistetyille ja air-gapped-verkoille, ATAK-sovellusten ja lisäosien jakelu, suojauskäytäntöjen valvonta, etäpyyhintäarkkitehtuuri, sertifikaattien elinkaaren hallinta ja vaatimustenmukaisuuden seuranta.

MDM-alustan valinta: STIG-yhteensopivat vaihtoehdot taktiselle Androidille

Kolme alustaa hallitsee STIG-yhteensopivaa Android MDM:ää puolustuksessa: Samsung Knox, VMware Workspace ONE ja Microsoft Intune. Kullakin on julkaistu DISA STIG -peruslinja, mutta niiden ominaisuudet eroavat merkittävästi taktisessa käytössä.

Samsung Knox (Knox Platform for Enterprise). Knox on suosituin valinta dedikoituihin taktisiin ATAK-laitteisiin, koska se tarjoaa laitteistopohjaisen avainvaraston, jota yleiset Android Enterprise -rajapinnat eivät pysty toistamaan. Knox-laitteistotodistus varmentaa laitteen eheyden käynnistyslataimen tasolla — MDM voi vahvistaa, että laitetta ei ole peukaloitu ja Android OS:ää ei ole rootattu, vaikka laite on ollut IT-ylläpitäjän valvonnan ulkopuolella viikkoja. Knox Dual Data Protection salaa laitetiedot ennen kuin Android OS voi purkaa niiden salauksen, tarjoten ylimääräisen kerroksen Androidin natiivin täyslevysalauksen päälle. Knox STIG laajentaa yleistä Android STIG:ä laitteistokohtaisilla kontrolleilla, jotka ovat tärkeitä fyysisen säilytyksen uhkamalleissa.

VMware Workspace ONE. Workspace ONE on oikea valinta heterogeenisille laivueille, joissa ATAK Android -laitteet rinnakkaiseksistoidaan iOS-laitteiden kanssa. Workspace ONE:n yhtenäinen endpoint-hallinta kattaa molemmat alustat yhdellä konsolilla. Android Enterprise -implementaatio on vankka, mutta nojaa standardiin Android Enterprise -laitteistotodistukseen eikä Knox-laitteistotason kontrolleihin — hyväksyttävää, kun laitteistovaranto sisältää muita kuin Samsung-laitteita, mutta merkittävä tietoturvaompromissi dedikoituun Samsung-taktiseen laitteistoon.

Microsoft Intune (GCC High). Intune GCC High on käyttökelpoinen reitti organisaatioille, jotka jo toimivat Microsoft 365 GCC High:ssa eivätkä halua ottaa käyttöön toista MDM-toimittajaa. Intunen Android Enterprise -implementaatio on täysin STIG-yhteensopiva ja integroituu Azure AD:hen identiteetinhallintaan. Sen heikkous taktisessa käytössä on sama kuin Workspace ONE:lla: ei pääsyä Knox Platform for Enterprise -rajapintoihin Samsung-laitteistolla.

Keskeinen havainto: MDM-alustan valinta on yhtä lailla laivueen laitteistopäätös kuin ohjelmistopäätös. Jos ATAK-laitelaivue on standardoitu Samsung Galaxy XCoverille tai DuraForcelle, Samsung Knox Platform for Enterprise -ominaisuuden Knox STIG -kontrollit edustavat merkittävää tietoturvaparannusta yleiseen Android Enterprise MDM:ään verrattuna. Jos laivue on sekalainen, valitse alusta, joka kattaa laajimman laitekirjon, ja hyväksy Knox-laitteistotodistuksen kompromissi.

Laiterekisteröinti: zero-touch, QR-koodi ja offline-menetelmät

Zero-touch-rekisteröinti on suositeltavin menetelmä suurten laivueiden provisiointiin, jossa laitteet hankitaan suoraan Samsungilta (tai muulta valtuutetulta jälleenmyyjältä, joka on liittynyt Googlen zero-touch-ohjelmaan). Organisaatio rekisteröi laitteiden IMEI-numerot zero-touch-portaaliin ennen laitteiden toimittamista. Ensimmäisellä käynnistyksellä laite ottaa yhteyttä Googlen zero-touch-palvelimiin, hakee MDM-rekisteröintikonfiguraation (palvelimen URL, rekisteröintitoken, Wi-Fi-tunnistetiedot) ja suorittaa rekisteröinnin automaattisesti — ilman operaattorin toimia kytkemisen lisäksi. Tämä on oikea menetelmä garnisonin hankinnoille, mutta se vaatii internet-yhteyden Googlen infrastruktuuriin ensimmäisellä käynnistyksellä.

QR-koodiprovisiointi on standardi vararatkaisu jo käytössä olevien laitteiden kenttärekisteröintiin ja organisaatioille, jotka eivät voi käyttää zero-touchia. MDM-ylläpitäjä luo provisiointikoodin QR-koodin, joka koodaa MDM-palvelimen osoitteen, rekisteröintitokenin ja valinnaisesti rekisteröintiverkon Wi-Fi-tunnistetiedot. Operaattori palauttaa laitteen tehdasasetuksiin, napauttaa tervetuloruutua kuusi kertaa siirtyäkseen provisiointitilaan ja skannaa QR-koodin laitteen kameralla. Rekisteröinti suoritetaan automaattisesti. QR-koodiprovisiointi vaatii Wi-Fi-yhteyden MDM-palvelimeen, muttei internet-yhteyttä.

Offline-rekisteröinti air-gapped-ympäristöihin käyttää paikallisesti isännöityä MDM-palvelinta (on-premises Workspace ONE, SOTI MobiControl tai Knox EMM eristetyssä verkkosegmentissä) ilman yhteyttä julkiseen internetiin. Rekisteröinnin QR-koodit koodaavat paikallisen palvelimen URL:n. Laitteet rekisteröityvät paikalliseen MDM-vuokralaiseen, saavat konfiguraationsa ja sertifikaattinsa paikallisesta infrastruktuurista eivätkä koskaan ota yhteyttä ulkoisiin pilvipalveluihin.

ATAK-sovelluksen jakelu: yrityssäilö, pakkoasennus ja versioiden kiinnittäminen

ATAK ei ole saatavilla julkisesta Google Play Storesta — taktisissa käyttöönotoissa käytetty versio on joko ATAK-CIV (siviili-TAK.gov-julkaisu) tai DoD-spesifinen versio, jota jaetaan valtuutettujen kanavien kautta. Kumpikaan versio ei voi olla saatavilla kuluttajasovelluskauppojen kautta. MDM-pohjainen sovelluksen jakelu on operatiivinen standardi.

MDM:n yksityinen yrityssovellusluettelo isännöi hyväksyttyä ATAK APK:ta. Pakkoasennuskäytäntö lähettää ATAKin kaikille rekisteröinnin kohderyhmän laitteille välittömästi rekisteröinnin jälkeen. MDM-käytäntö kiinnittää ATAKin vahvistettuun APK-versioon tiivisteen mukaan: kaikki päivitykset, jotka eivät vastaa hyväksyttyä tiivistettä, hylätään.

Porrastetut käyttöönotot ovat välttämättömiä ATAK-versiopäivityksissä. Uusi ATAK-julkaisu on validoitava koko hyväksyttyä lisäosasarjaa vastaan ennen käyttöönottoa. MDM:n porrastettu käyttöönottomekanismi mahdollistaa päivityksen lähettämisen ensin 10 prosentille laitteista, testitiimin validoinnin ja sitten käyttöönoton laivueen loppuosalle.

Android Enterprisen AppConfig-kehys mahdollistaa hallittujen konfiguraatioarvojen lähettämisen ATAKille asennushetkellä: TAK Server -osoite ja portti, oletuskanavaasetukset, sertifikaatin aliasviittaukset. Operaattorit saavat esikoostetun ATAKin, joka yhdistyy oikeaan TAK Serveriin ilman manuaalista syöttöä.

Lisäosien hallinta: sallittuluettelo, sivulatauskäytäntö ja allekirjoituksen vahvistus

ATAKin lisäosaarkkitehtuuri on merkittävä hyökkäyspinta laivueen käyttöönotoissa. Operaattorin asentama allekirjoittamaton tai haitallinen lisäosa voi päästä käsiksi ATAKin CoT-väylään, laitteen sijaintiin ja mahdollisesti laitteen mikrofoniin ja kameraan.

MDM valvoo hyväksyttyä lisäosalistaa sallittuina APK-allekirjoitussertifikaatteina. Vain sallittuluettelossa olevilla sertifikaateilla allekirjoitetut APK-tiedostot voidaan asentaa työprofiiliin. Allekirjoittamattomien tai luetteloon kuulumattomien lisäosien sivulataus USB:ltä tai tiedostonsiirrolla on estetty käytännöllä. Uudet lisäosat käyvät läpi tietoturvatarkastusprosessin ennen allekirjoitussertifikaattinsa lisäämistä sallittuluetteloon.

Lisäosapäivitykset noudattavat samaa porrastettua käyttöönottoprosessia kuin ATAK Core. Jokainen lisäosaversio on kiinnitetty APK-tiivisteeseensä MDM:ssä. Lisäosien jakelu yrityssovellusluettelon kautta korvaa yksittäisen APK-siirron. Itse kehitetyille ATAK-lisäosille kehitystiimin allekirjoitusavain rekisteröidään MDM:n sallittuluetteloon.

Suojauskäytäntöjen valvonta: salaus, lukitus ja USB

Android STIG ja Samsung Knox STIG määrittelevät ATAK-laitteiden kovennuksen kontrolliperuslinjan. Välttämätön käytäntösarja kaikille arkaluonteista dataa kuljettaville ATAK-laivueille:

Laitteen salaus. AES-256-täyslevysalaus pakotetaan rekisteröinnissä. Laitteet ilman laitteistokohtaista salaustukea hylätään. Knox Dual Data Protection on käytössä Samsung-laitteistolla ylimääräistä pre-boot-salaustasoa varten. MDM estää rekisteröinnin valmistumisen, kunnes salauksen tila on vahvistettu.

Näytön lukitus. Näytön lukituksen enimmäisaikakatkaisu 30 sekuntia. Vähintään kuusinumeroinen PIN tai biometrinen avaus (sormenjälki). Kuvioavaus on kielletty käytännöllä laitteissa, joilla on pääsy luokiteltuun dataan läheisissä yhteyksissä. Epäonnistuneiden avausyritysten enimmäismäärä on 10, mikä laukaisee täydellisen pyyhinnän 11. epäonnistuneella yrityksellä.

USB-virheenkorjaus. Poistettu käytöstä MDM-käytännöllä. USB-virheenkorjaus on merkittävä hyökkäysvektori — se mahdollistaa ADB-pääsyn laitteen tiedostojärjestelmään ja prosessimuistiin ilman laitteen avaamistunnistetietoja. Kehittäjäasetukset poistetaan käytöstä samalla käytännöllä.

Verkkokäytäntö. Aina päällä oleva VPN kaikille laitteille, jotka yhdistyvät TAK Serveriin salaamattoman verkon kautta. Wi-Fi-käytäntö rajoittaa yhteydet hyväksyttyyn SSID-listaan. Bluetooth on oletuksena poistettu käytöstä ja vaatii nimenomaisen käytäntöpoikkeuksen Bluetooth-oheisantureita käyttäville laitteille.

Biometrinen avaus. Kasvoavaus on poistettu käytöstä STIG-käytännöllä monikäyttäjäympäristöissä käytettävissä laitteissa. Sormenjälkiavaus on suositeltavin biometrinen menetelmä. Biometrinen avaus voidaan tilapäisesti keskeyttää käytännöllä geofence-laukaisimessa.

Etäpyyhintä ja -lukitus: valikoiva pyyhintä, täydellinen pyyhintä ja geofence-laukaisimet

Etäpyyhintäkyky on perusvaatimus kaikille ATAK-laivueille, jotka kuljettavat julkisen luokitustason yläpuolella olevia tietoja.

Valikoiva pyyhintä poistaa vain hallitun työprofiilin — ATAKin, kaikki hyväksytyt lisäosat, lisäosatiedot, TAK Server -sertifikaatin ja hallitun avainvaraston. Laitteen henkilökohtainen osio jää koskemattomaksi. Valikoiva pyyhintä on sopiva vastaus BYOD-läheisiin taktisiin käyttöönotoihin. Suorittaminen kestää 15–30 sekuntia.

Täydellinen pyyhintä palauttaa koko laitteen tehdasasetuksiin. Vaaditaan käytännöllä kaikille laitteille, joiden katsotaan olevan kaapattuja, vaarantuneita tai luvattoman hallussapidon ulkopuolella luokiteltuun dataan liittyvissä käyttöönotoissa. Peruuttamaton, kestää 3–5 minuuttia.

Automaattinen geofence-pyyhintä on korkein tietoturvakonfiguraatio ATAK-laitteille, jotka toimivat kiistanalaisten rajojen lähellä. MDM määrittää maantieteellisen kehän, joka vastaa operatiivista aluetta. Jos laite poistuu kehän ulkopuolelle eikä kirjaudu sisään konfiguroitavassa varoajassa (15–60 minuuttia uhkamallin mukaan), MDM antaa automaattisesti pyyhintäkomennon.

Sertifikaattien hallinta: laiteidentiteetti ja TAK Server -asiakasautentikaatio

TAK Server autentikoi ATAK-asiakkaat keskinäisellä TLS:llä — jokainen asiakaslaite esittää TAK Serverin CA:n (tai TAK Serverin luottaman alisteisen CA:n) allekirjoittaman laiteidentiteettisertifikaatin. Näiden sertifikaattien manuaalinen hallinta laajassa mittakaavassa on operatiivisesti kestämätöntä. MDM-sertifikaattien hallinta automatisoi koko elinkaaren.

MDM konfiguroi SCEP (Simple Certificate Enrollment Protocol) -profiilin, joka osoittaa organisaation CA:han. SCEP on standardiprotokolla automaattiselle sertifikaattien myöntämiselle mobiililaitteilla: laite luo avainparin laitteistossa (Samsung-laitteiden Knox-laitteistopohjaisessa avainvarastossa), lähettää sertifikaatin allekirjoituspyynnön SCEP-päätepisteeseen ja saa allekirjoitetun sertifikaatin takaisin. MDM asentaa sertifikaatin Android Enterprise -avainvarastoon ja tekee sen saataville ATAKille hallitun sovelluskonfiguraation kautta.

Sertifikaattien voimassaoloajat tulisi asettaa 12 kuukauteen, automaattinen uusiminen laukaisee 30 päivää ennen vanhenemista. MDM käynnistää uusimisen automaattisesti. Peruuttaminen hoidetaan CA:n CRL:n tai OCSP-vastajan kautta.

Air-gapped-ympäristöissä CA on paikallinen Microsoft ADCS -instanssi tai itsenäinen EJBCA-palvelin, jossa SCEP RA -moduuli on käytössä. SCEP-päätepiste julkaistaan vain air-gapped-verkossa.

Vaatimustenmukaisuuden seuranta: kojelauta, hälytykset ja tarkistusloki

Jatkuva laivueen vaatimustenmukaisuuden seuranta vastaa kahteen operatiiviseen kysymykseen: mitkä laitteet ovat tällä hetkellä käytännön ulkopuolella ja mitä tietyllä laitteella on tapahtunut kahden ajanhetken välillä. Molemmat vaativat telemetriaa, joka virtaa jatkuvasti laitteilta MDM:lle.

MDM-vaatimustenmukaisuuden kojelauta näyttää kunkin rekisteröidyn laitteen reaaliaikaisen vaatimustenmukaisuuden tilan aktiivista käytäntösarjaa vastaan. Laite muuttuu vaatimustenvastaiseksi, kun jokin käytäntötarkistus epäonnistuu: operaattorin muuttama näytön lukituksen aikakatkaisu, USB-virheenkorjauksen uudelleen ottaminen käyttöön, salaustilan muuttuminen, luvattoman sovelluksen asentaminen. Vaatimustenvastaiset laitteet merkitään välittömästi kojelautaan. Automaattiset korjaussäännöt suoritetaan ilman ylläpitäjän toimia — laite, joka poistaa näytön lukituksen käytöstä, saa lukituskomennon MDM:ltä 60 sekunnin sisällä.

Vaatimustenvastaisista laitteista ilmoitetaan MDM-push-ilmoituksilla IT-tietoturvatiimille ja riippuen rikkomuksen vakavuusluokituksesta yksikön tietoturvavastaavalle. Ilmoitusten reititys käyttää MDM:n roolipohjaisia ilmoituskäytäntöjä.

Käytäntörikkomusten tarkistusloki kirjaa jokaisen vaatimustenmukaisuustapahtuman laitetunnisteella, aikaleimalla, rikkomuksen tyypillä, rikotulla käytännöllä ja suoritetulla automaattisella korjaustoimella. Tämä loki syötetään organisaation SIEM:iin MDM:n syslog- tai API-integraation kautta — mahdollistaen ristiinkorrelaation ATAK-laitteiden käytäntörikkomusten ja muiden tietotelemetrioiden välillä.

Keskustele projektistasi

Suunnittelemme ja toteutamme ATAK-laitehallinta-arkkitehtuureja — MDM-rekisteröintiä, sertifikaattien elinkaarta, lisäosien jakelua ja vaatimustenmukaisuuden seurantaa taktisille Android-laivueille.

Kenttäsovellusten kehitys → Varaa briefing

Tämän analyysin ovat valmistelleet Corvus Intelligencen insinöörit, jotka rakentavat operatiivisesti kriittistä ohjelmistoa puolustus- ja viranomaisorganisaatioille. Tutustu tiimiimme →

Usein kysytyt kysymykset

Mitkä MDM-alustat ovat STIG-yhteensopivia ATAK-käyttöönotoissa?

Samsung Knox, VMware Workspace ONE ja Microsoft Intune kaikilla on julkaistut STIG-vaatimustenmukaisuuden peruslinjat Android Enterpriselle. Samsung Knox on suosituin valinta dedikoiduille taktisille laitteille, koska Knox Platform for Enterprise (KPE) tarjoaa laitteistopohjaisen avainvaraston ja laitetodistuksen. Workspace ONE sopii heterogeenisille laivueille. Intune toimii Microsoft 365 GCC High -ympäristöissä, mutta sillä on heikompi Android-laitteistotodistus kuin Knoxilla.

Miten zero-touch-rekisteröinti toimii ATAK-laitteilla?

Zero-touch-rekisteröinti liittää laitteiden IMEI- tai sarjanumerot MDM-konfiguraatioon etukäteen ennen toimitusta. Ensimmäisellä käynnistyksellä laite ottaa yhteyttä Googlen zero-touch-portaaliin, saa MDM-palvelimen URL:n ja rekisteröintitokenin, ja suorittaa rekisteröinnin automaattisesti ilman operaattorin toimia. Air-gapped-ympäristöissä zero-touch korvataan QR-koodilla tai NFC:llä, koska se vaatii internet-yhteyden.

Voidaanko ATAK pakkoasentaa ja versio kiinnittää MDM:n kautta?

Kyllä. Android Enterprisen hallittu Google Play mahdollistaa MDM:n lähettää tietyn APK-version rekisteröidyille laitteille ja estää itseohjautuvat päivitykset. Käytäntö voi kiinnittää ATAKin tiettyyn versionumeroon, hylätä sovellukset ilman hyväksyttyä tiivistettä ja porrastaa käyttöönotot laitekohtaisesti.

Mitä on valikoiva pyyhintä ATAK-laitteiden hallinnassa?

Valikoiva pyyhintä poistaa vain hallitun työprofiilin tiedot — ATAKin, lisäosat ja datakontainerin — jättäen laitteen henkilökohtaisen osion koskemattomaksi. Olennaista BYOD-taktisissa käyttöönotoissa. Täydellinen pyyhintä palauttaa koko laitteen tehdasasetuksiin. Automaattinen geofence-pyyhintä laukaisee pyyhinnän, jos laite poistuu määritetyn maantieteellisen kehän ulkopuolelle.

Miten TAK Server -asiakasvarmennukset otetaan käyttöön MDM:n kautta?

TAK Server käyttää keskinäistä TLS:ää asiakasautentikointiin — jokainen ATAK-laite esittää TAK Serverin CA:n allekirjoittaman laiteidentiteettisertifikaatin. MDM ottaa nämä sertifikaatit käyttöön SCEP:n kautta Android Enterprise -avainvarastoon langattomasti. MDM asentaa sertifikaatin työprofiiliin ja konfiguroi ATAKin viittaamaan sertifikaatin aliakseen. Rotaatio on automatisoitu MDM:ssä.

Mitä suojauskäytäntöjä tulisi noudattaa taktisissa ATAK-laitteissa?

Vähimmäisvaatimukset: AES-256-täyslevysalaus rekisteröinnissä, näytön lukituksen aikakatkaisu 30 sekuntia tai vähemmän, PIN tai biometrinen avaus vaaditaan (kuvioavaus kielletty), USB-virheenkorjaus poistettu käytöstä, tuntemattomat lähteet estetty, kehittäjäasetukset poistettu käytöstä ja aina päällä oleva VPN TAK Server -yhteyksille. Android 13 STIG ja Samsung Knox STIG ovat viralliset ohjauslähteet.

Miten ATAK-lisäosien hyväksynnät hallitaan MDM:ssä?

Hyväksyttyjen lisäosien lista ylläpidetään MDM:ssä allekirjoitettujen APK-tiivisteiden sallittulistana. MDM-käytäntö estää sellaisten APK-tiedostojen asentamisen, joiden allekirjoitus ei ole sallittulistassa. Uudet lisäosat käyvät läpi tietoturvatarkastuksen. MDM jakaa hyväksytyt lisäosat yksityisen yrityssovellusluettelon kautta.

Miltä reaaliaikainen vaatimustenmukaisuuden seuranta näyttää ATAK-laivueille?

MDM-vaatimustenmukaisuuden kojelauta näyttää kunkin rekisteröidyn laitteen vaatimustenmukaisuuden tilan. Vaatimustenvastaiset tapahtumat tuottavat välittömiä hälytyksiä ja laukaisevat automaattisen korjauksen: karanteeni, push-ilmoitus ja kirjaus tarkastuslokkiin. Lokit syötetään organisaation SIEM:iin korrelaatiota varten.

Miten ATAK-laitteiden rekisteröinti hoidetaan air-gapped-ympäristöissä?

Air-gapped-rekisteröinti käyttää paikallisesti isännöityä MDM-instanssia yhdistettynä QR-koodi- tai NFC-provisiointiin. QR-koodi koodaa paikallisen MDM-palvelimen URL:n, Wi-Fi-tunnistetiedot ja rekisteröintitokenin. Rekisteröinti tapahtuu kokonaan air-gapped-verkon rajojen sisällä. Sertifikaatit myönnetään paikallisesta CA-palvelimesta (Microsoft ADCS tai EJBCA) paikallisen SCEP-päätteen kautta.

Mitä laitteistoa suositellaan ATAK-laivueen käyttöönotoissa?

Samsung Galaxy XCover Pro ja XCover6 Pro ovat yleisimmät ATAK-laitteistoalustat, koska Samsung Knox tarjoaa laitteistotodistuksen ja STIG-vaatimustenmukaisuuden kehykset DoD-käyttöönotoille ja kestävä taso täyttää MIL-STD-810H-vaatimukset. Kyocera DuraForce Ultra 5G on vaihtoehto vaativiin ympäristöihin, jotka vaativat korkeampia IP-luokituksia. Kaikissa laitteissa tulisi olla kaksoistaajuus-GPS (L1/L5).