Zarządzanie urządzeniami ATAK Android: MDM, rejestracja i zarządzanie flotą urządzeń taktycznych

Q: Jak wygląda monitorowanie zgodności w czasie rzeczywistym dla flot ATAK?

Panel zgodności MDM wyświetla stan zgodności każdego zarejestrowanego urządzenia względem aktywnego zestawu polityk. Zdarzenia niezgodności generują natychmiastowe alerty do administratora i uruchamiają automatyczne naprawianie: kwarantanna urządzenia od zasobów sieciowych, wysłanie powiadomienia push do operatora urządzenia i rejestrowanie naruszenia w dzienniku audytu. Dzienniki naruszeń polityk zasilają SIEM organizacji.

Autor: Zespół inżynierów Corvus Intelligence · O zespole →

29 maja 2026 11 min czytania

Wdrażanie Android Team Awareness Kit na dużą skalę to nie tylko problem oprogramowania — to problem zarządzania urządzeniami. Pojedyncze urządzenie ATAK skonfigurowane ręcznie w garnizonowym biurze IT jest zarządzalne. Flota 200 wzmocnionych przenośnych urządzeń Android rozproszonych po wielu batalionach, noszących certyfikaty tożsamości urządzeń, zatwierdzone zestawy wtyczek, niejawne dane kartograficzne i rygorystyczne polityki bezpieczeństwa, wymaga tej samej dyscypliny Mobile Device Management stosowanej do firmowych flot smartfonów — dostosowanej do ograniczeń operacji taktycznych: brak niezawodnego internetu, wymagania czyszczenia w środowiskach odmowy dostępu i zerowa tolerancja dla ręcznej rekonfiguracji w terenie.

Ten artykuł omawia kompletny stos zarządzania urządzeniami ATAK Android: wybór platformy MDM, metody rejestracji dla sieci podłączonych i air-gapped, dystrybucję aplikacji i wtyczek ATAK, egzekwowanie polityk bezpieczeństwa, architekturę zdalnego czyszczenia, zarządzanie cyklem życia certyfikatów i monitorowanie zgodności.

Wybór platformy MDM: opcje zgodne ze STIG dla taktycznego Androida

Trzy platformy dominują w zgodnym ze STIG MDM Android dla obronności: Samsung Knox, VMware Workspace ONE i Microsoft Intune. Każda ma opublikowany poziom bazowy DISA STIG, ale ich możliwości znacząco się różnią dla zastosowań taktycznych.

Samsung Knox (Knox Platform for Enterprise). Knox jest preferowanym wyborem dla dedykowanych taktycznych urządzeń ATAK, ponieważ zapewnia sprzętowe przechowywanie kluczy, którego ogólne interfejsy API Android Enterprise nie mogą odtworzyć. Sprzętowa atestacja Knox weryfikuje integralność urządzenia na poziomie bootloadera — MDM może potwierdzić, że urządzenie nie zostało zmodyfikowane i że system Android nie został zrootowany, nawet po tygodniach poza nadzorem administratora IT. Knox Dual Data Protection szyfruje dane urządzenia przed ich odszyfrowaniem przez system Android OS, zapewniając dodatkową warstwę na natywnym pełnym szyfrowaniu dysku Android. STIG Knox (DISA STIG dla Samsung Android) rozszerza ogólny Android STIG o specyficzne dla sprzętu kontrole istotne w modelach zagrożeń fizycznego przechowywania.

VMware Workspace ONE. Workspace ONE jest właściwym wyborem dla niejednorodnych flot, gdzie urządzenia ATAK Android współistnieją z urządzeniami iOS uruchamiającymi inne aplikacje taktyczne. Zunifikowane zarządzanie punktami końcowymi Workspace ONE obejmuje obie platformy z jednej konsoli. Implementacja Android Enterprise jest solidna, ale opiera się na standardowej atestacji sprzętowej Android Enterprise, a nie na kontrolach sprzętowych Knox — dopuszczalne, gdy pula sprzętu obejmuje urządzenia inne niż Samsung, ale istotny kompromis bezpieczeństwa na dedykowanym sprzęcie taktycznym Samsung.

Microsoft Intune (GCC High). Intune GCC High jest odpowiednią ścieżką dla organizacji już działających w Microsoft 365 GCC High i niechcących wprowadzać drugiego dostawcy MDM. Implementacja Android Enterprise Intune jest w pełni zgodna ze STIG i integruje się z Azure AD do zarządzania tożsamością. Jego słabością do zastosowań taktycznych jest to samo co Workspace ONE: brak dostępu do interfejsów API Knox Platform for Enterprise na sprzęcie Samsung. Jeśli flota urządzeń to Samsung i wymagana jest atestacja sprzętowa, integracja Knox Mobile Enrollment (KME) przez Intune częściowo wypełnia lukę, ale wymaga dodatkowej konfiguracji.

Kluczowy wniosek: Wybór platformy MDM to decyzja o sprzęcie floty w równym stopniu co o oprogramowaniu. Jeśli flota urządzeń ATAK jest zunifikowana na Samsung Galaxy XCover lub DuraForce, kontrole Knox STIG dostępne przez Samsung Knox Platform for Enterprise stanowią znaczącą poprawę bezpieczeństwa w porównaniu z ogólnym MDM Android Enterprise. Jeśli flota jest mieszana, wybierz platformę obsługującą najszerszy zakres urządzeń i zaakceptuj kompromis atestacji sprzętowej Knox.

Rejestracja urządzeń: zero-touch, kod QR i metody offline

Rejestracja zero-touch jest preferowaną metodą dla dużego provisioning floty, gdzie urządzenia są zamawiane bezpośrednio od Samsung (lub innego autoryzowanego sprzedawcy uczestniczącego w programie zero-touch Google). Organizacja rejestruje numery IMEI urządzeń w portalu zero-touch przed wysyłką urządzeń. Gdy każde urządzenie startuje po raz pierwszy, kontaktuje się z serwerami zero-touch Google, pobiera konfigurację rejestracji MDM (adres URL serwera, token rejestracyjny, dane uwierzytelniające Wi-Fi) i automatycznie kończy rejestrację — bez interakcji operatora poza włączeniem urządzenia. Jest to właściwa metoda dla zamówień garnizonowych, ale wymaga dostępu do infrastruktury Google podczas pierwszego uruchomienia.

Inicjowanie z kodu QR jest standardowym rozwiązaniem zapasowym dla rejestracji w terenie już wdrożonych urządzeń i dla organizacji, które nie mogą korzystać z zero-touch. Administrator MDM generuje kod QR inicjowania kodujący adres serwera MDM, token rejestracyjny i opcjonalnie dane uwierzytelniające Wi-Fi dla sieci rejestracji. Operator przywraca urządzenie do ustawień fabrycznych, sześciokrotnie dotyka ekranu powitalnego, aby wejść w tryb inicjowania, i skanuje kod QR kamerą urządzenia. Rejestracja kończy się automatycznie. Inicjowanie z kodu QR wymaga połączenia Wi-Fi z serwerem MDM, ale nie dostępu do internetu — serwer MDM może znajdować się w sieci lokalnej.

Rejestracja offline dla środowisk air-gapped używa lokalnie hostowanego serwera MDM (lokalny Workspace ONE, SOTI MobiControl lub Knox EMM w izolowanym segmencie sieci) bez połączenia z publicznym internetem. Kody QR rejestracji kodują lokalny adres URL serwera. Urządzenia rejestrują się w lokalnym tenancie MDM, otrzymują konfigurację i certyfikaty z lokalnej infrastruktury i nigdy nie kontaktują się z zewnętrznymi usługami chmurowymi. Ta architektura jest wymagana dla wdrożeń ATAK w sieciach niejawnych, gdzie jakiekolwiek połączenie poza perymetrem sieci jest zabronione.

Dystrybucja aplikacji ATAK: sklep firmowy, wymuszona instalacja i przypięcie wersji

ATAK nie jest dostępny w publicznym sklepie Google Play — wersja używana w wdrożeniach taktycznych to ATAK-CIV (cywilny wydanie TAK.gov) lub specyficzna dla DoD wersja dystrybuowana przez autoryzowane kanały. Żadna wersja nie może być dystrybuowana przez konsumenckie sklepy z aplikacjami. Dystrybucja aplikacji przez MDM jest operacyjnym standardem.

Prywatny firmowy katalog aplikacji MDM przechowuje zatwierdzone APK ATAK. Polityka wymuszonej instalacji wysyła ATAK na wszystkie urządzenia w docelowej grupie natychmiast po rejestracji — operatorzy otrzymują w pełni skonfigurowaną instalację ATAK bez ręcznego transferu APK ani kroków sideloadingu. Polityka MDM przypina ATAK do zweryfikowanej wersji APK według skrótu: wszelkie aktualizacje niezgodne z zatwierdzonym skrótem są odrzucane, chroniąc urządzenie przed niezamierzonym dryftem wersji.

Etapowe wdrożenia są niezbędne dla aktualizacji wersji ATAK. Nowe wydanie ATAK musi być zweryfikowane względem pełnego zatwierdzonego zestawu wtyczek przed wdrożeniem — wtyczka skompilowana dla ATAK SDK w wersji N może nie działać z wersją N+1. Mechanizm etapowego wdrożenia MDM pozwala wysłać aktualizację najpierw na 10% urządzeń, zweryfikować przez zespół testowy w reprezentatywnej konfiguracji, a następnie wdrożyć na resztę floty.

Framework AppConfig Android Enterprise umożliwia wysyłanie zarządzanych wartości konfiguracyjnych do ATAK w czasie instalacji: adres i port serwera TAK, domyślne ustawienia kanałów, odwołania do aliasów certyfikatów. Operatorzy otrzymują wstępnie skonfigurowany ATAK łączący się z właściwym serwerem TAK bez ręcznego wprowadzania danych — redukując błędy rejestracji i eliminując klasę wniosków o wsparcie w terenie.

Zarządzanie wtyczkami: lista dozwolonych, polityka sideloadingu i weryfikacja podpisu

Architektura wtyczek ATAK jest znaczącą powierzchnią ataku we wdrożeniach floty. Niepodpisana lub złośliwa wtyczka zainstalowana przez operatora może uzyskać dostęp do magistrali CoT ATAK, lokalizacji urządzenia i potencjalnie mikrofonu i kamery urządzenia — te same możliwości, które czynią wtyczki ATAK potężnymi, czynią je niebezpiecznymi bez ograniczeń.

MDM egzekwuje zatwierdzoną listę wtyczek jako zestaw dozwolonych certyfikatów podpisywania APK. Tylko APK podpisane certyfikatami na liście dozwolonych mogą być instalowane w profilu roboczym. Sideloading niepodpisanych lub niewymienionych wtyczek z USB lub transferu plików jest zablokowany przez politykę. Nowe wtyczki przechodzą proces przeglądu bezpieczeństwa zanim ich certyfikat podpisywania zostanie dodany do listy dozwolonych: analiza statyczna, analiza dynamiczna pod reprezentatywnym obciążeniem CoT i przegląd zadeklarowanych uprawnień Android wtyczki względem jej deklarowanej funkcji.

Aktualizacje wtyczek podlegają temu samemu etapowemu procesowi wdrożenia co ATAK core. Każda wersja wtyczki jest przypięta do skrótu APK w MDM. Dystrybucja wtyczek przez firmowy katalog aplikacji zastępuje indywidualny transfer APK — operatorzy otrzymują aktualizacje wtyczek przez ten sam zarządzany kanał aplikacji co każda inna aplikacja dystrybuowana przez MDM. W przypadku własnych wtyczek ATAK, klucz podpisywania zespołu deweloperskiego jest rejestrowany na liście dozwolonych MDM, a potok CI/CD podpisuje każdą kompilację wydania przed przesłaniem do katalogu MDM.

Egzekwowanie polityki bezpieczeństwa: szyfrowanie, blokada i USB

Android STIG i Samsung Knox STIG definiują poziom bazowy kontroli dla utwardzania urządzeń ATAK. Niezbywalny zestaw polityk dla każdej floty ATAK niosącej wrażliwe dane:

Szyfrowanie urządzenia. Pełne szyfrowanie dysku AES-256 egzekwowane przy rejestracji. Urządzenia bez wsparcia sprzętowego szyfrowania są odrzucane. Knox Dual Data Protection jest włączone na sprzęcie Samsung dla dodatkowej warstwy szyfrowania przed uruchomieniem. MDM blokuje ukończenie rejestracji do potwierdzenia statusu szyfrowania.

Blokada ekranu. Maksymalny limit czasu blokady ekranu 30 sekund. PIN minimum sześciocyfrowy lub odblokowanie biometryczne (odcisk palca). Odblokowanie wzorem jest zabronione przez politykę na urządzeniach sąsiadujących z danymi niejawnymi. Maksymalna liczba nieudanych prób odblokowania ustawiona na 10, wyzwalająca pełne czyszczenie przy 11. nieudanej próbie — krytyczne dla zapobiegania atakom brute-force na przechwycone urządzenia.

Debugowanie USB. Wyłączone przez politykę MDM. Debugowanie USB jest znaczącym wektorem ataku — umożliwia dostęp ADB do systemu plików urządzenia i pamięci procesów bez danych uwierzytelniających odblokowania urządzenia. Opcje programisty są wyłączone przez tę samą politykę. Transfer danych USB można ograniczyć do trybu tylko ładowania przez politykę Knox USB dla urządzeń wymagających fizycznego zarządzania zasilaniem w terenie.

Polityka sieciowa. Zawsze aktywny VPN dla każdego urządzenia łączącego się z serwerem TAK przez niezaszyfrowaną sieć. Polityka Wi-Fi ogranicza połączenia do zatwierdzonej listy SSID i zabrania otwartego/firmowego Wi-Fi bez WPA3 lub WPA2 Enterprise. Bluetooth jest domyślnie wyłączony i wymaga wyraźnego wyjątku polityki dla urządzeń korzystających z peryferyjnych czujników Bluetooth.

Odblokowanie biometryczne. Odblokowanie twarzą jest wyłączone przez politykę STIG na urządzeniach używanych w środowiskach wielooperatorskich. Odblokowanie odciskiem palca jest preferowaną metodą biometryczną. Odblokowanie biometryczne może być tymczasowo zawieszone przez politykę na wyzwalaczu geofence — na przykład wyłączenie biometrii i wymaganie PIN gdy urządzenie jest wykryte w strefie wysokiego ryzyka.

Zdalne czyszczenie i blokada: selektywne czyszczenie, pełne czyszczenie i wyzwalacze geofence

Możliwość zdalnego czyszczenia jest podstawowym wymogiem dla każdej floty ATAK noszącej dane powyżej publicznego poziomu klasyfikacji. Dwa tryby czyszczenia obsługują różne scenariusze operacyjne.

Selektywne czyszczenie usuwa tylko zarządzany profil roboczy — ATAK, wszystkie zatwierdzone wtyczki, dane wtyczek, certyfikat serwera TAK i zarządzany magazyn kluczy. Osobista partycja urządzenia pozostaje nienaruszona. Selektywne czyszczenie jest właściwą odpowiedzią dla wdrożeń taktycznych zbliżonych do BYOD. Wykonanie selektywnego czyszczenia zajmuje 15–30 sekund i może być wywołane z konsoli MDM, z automatycznej reguły zgodności lub przez API MDM.

Pełne czyszczenie przywraca całe urządzenie do ustawień fabrycznych. Pełne czyszczenie jest wymagane przez politykę dla każdego urządzenia ocenionego jako przechwycone, skompromitowane lub poza autoryzowanym nadzorem w wdrożeniach sąsiadujących z danymi niejawnymi. Pełne czyszczenie jest nieodwracalne i zajmuje 3–5 minut.

Automatyczne czyszczenie geofence jest konfiguracją najwyższego bezpieczeństwa dla urządzeń ATAK działających w pobliżu spornych granic. MDM definiuje geograficzny perymetr odpowiadający obszarowi operacyjnemu. Jeśli urządzenie opuści perymetr i nie zamelduje się w ciągu konfigurowalnego czasu łaski (15–60 minut w zależności od modelu zagrożeń), MDM automatycznie wydaje polecenie czyszczenia. To chroni przed scenariuszem, gdy urządzenie zostaje przechwycone i przewiezione poza obszar operacyjny zanim ręczne polecenie czyszczenia może być wykonane przez łańcuch dowodzenia.

Zarządzanie certyfikatami: tożsamość urządzenia i uwierzytelnianie klienta TAK Server

TAK Server uwierzytelnia klientów ATAK przy użyciu wzajemnego TLS — każde urządzenie klienta przedstawia certyfikat tożsamości podpisany przez CA TAK Server (lub podrzędny CA zaufany przez TAK Server). Ręczne zarządzanie tymi certyfikatami na skalę — generowanie, dystrybucja, instalacja i rotacja certyfikatów dla 200 urządzeń — jest operacyjnie niemożliwe. Zarządzanie certyfikatami MDM automatyzuje cały cykl życia.

MDM konfiguruje profil SCEP (Simple Certificate Enrollment Protocol) wskazujący na CA organizacji. SCEP jest standardowym protokołem automatycznego wystawiania certyfikatów na urządzeniach mobilnych: urządzenie generuje parę kluczy w sprzęcie (w sprzętowym magazynie kluczy Knox na urządzeniach Samsung), wysyła żądanie podpisania certyfikatu do punktu końcowego SCEP i otrzymuje podpisany certyfikat z powrotem. MDM instaluje certyfikat w magazynie kluczy Android Enterprise i udostępnia go dla ATAK przez konfigurację zarządzanej aplikacji.

Okresy ważności certyfikatów należy ustawić na 12 miesięcy z automatycznym odnowieniem uruchamianym 30 dni przed wygaśnięciem. MDM inicjuje odnowienie automatycznie — bez działania operatora. Odwoływanie jest obsługiwane przez CRL CA lub responder OCSP; TAK Server powinien być skonfigurowany do sprawdzania statusu odwołania certyfikatu przy każdym połączeniu klienta.

Dla środowisk air-gapped CA jest lokalnym wystąpieniem Microsoft ADCS lub samodzielnym serwerem EJBCA z włączonym modułem SCEP RA. Punkt końcowy SCEP jest publikowany tylko w sieci air-gapped. Certyfikaty urządzeń wystawione przez ten CA są zaufane tylko przez lokalny TAK Server — nie dają dostępu do żadnego zewnętrznego systemu, ograniczając zasięg skompromitowanego certyfikatu urządzenia.

Monitorowanie zgodności: pulpit, alerty i dziennik audytu

Bieżące monitorowanie zgodności floty odpowiada na dwa operacyjne pytania: które urządzenia są obecnie poza polityką i co się wydarzyło na konkretnym urządzeniu między dwoma punktami w czasie. Oba pytania wymagają telemetrii przepływającej z urządzeń do MDM stale — nie tylko przy rejestracji.

Pulpit zgodności MDM pokazuje stan zgodności każdego zarejestrowanego urządzenia w czasie rzeczywistym względem aktywnego zestawu polityk. Urządzenie staje się niezgodne, gdy jakakolwiek kontrola polityki zawodzi: limit czasu blokady ekranu zmieniony przez operatora, debugowanie USB ponownie włączone, status szyfrowania zmieniony, zainstalowana nieautoryzowana aplikacja. Niezgodne urządzenia są natychmiast oznaczane na pulpicie. Automatyczne reguły naprawcze wykonują się bez interwencji administratora — urządzenie, które wyłączy blokadę ekranu, otrzymuje polecenie blokady od MDM w ciągu 60 sekund; urządzenie z włączonym debugowaniem USB jest poddawane kwarantannie od dostępu do sieci TAK Server do czasu ponownego zastosowania polityki.

Alerty o niezgodnych urządzeniach są dostarczane przez powiadomienia push MDM do zespołu ds. bezpieczeństwa IT i, w zależności od klasyfikacji ważności naruszenia, do oficera ds. zapewnienia informacji jednostki. Routing alertów używa polityk powiadomień opartych na rolach MDM: naruszenia niskiej ważności (dryft konfiguracji) trafiają do help desku IT; naruszenia wysokiej ważności (wykryty jailbreak, szyfrowanie wyłączone) trafiają do zespołu bezpieczeństwa i uruchamiają automatyczny bilet incydentu.

Dziennik audytu naruszeń polityk rejestruje każde zdarzenie zgodności z identyfikatorem urządzenia, znacznikiem czasu, typem naruszenia, naruszoną polityką i podjętą automatyczną akcją naprawczą. Ten dziennik zasila organizacyjny SIEM przez integrację syslog lub API MDM — umożliwiając korelację krzyżową między naruszeniami polityk urządzeń ATAK a innymi danymi telemetrycznymi bezpieczeństwa.

Omów swój projekt

Projektujemy i wdrażamy architektury zarządzania urządzeniami ATAK — rejestrację MDM, cykl życia certyfikatów, dystrybucję wtyczek i monitorowanie zgodności dla taktycznych flot Android.

Tworzenie aplikacji polowych → Zarezerwuj briefing

Niniejsza analiza została przygotowana przez inżynierów Corvus Intelligence, którzy tworzą oprogramowanie o znaczeniu krytycznym dla organizacji obronnych i rządowych. Poznaj nasz zespół →

Często zadawane pytania

Jakie platformy MDM spełniają wymagania STIG dla wdrożeń ATAK?

Samsung Knox, VMware Workspace ONE i Microsoft Intune posiadają opublikowane poziomy bazowe zgodności STIG dla Android Enterprise. Samsung Knox jest preferowanym wyborem dla dedykowanych urządzeń taktycznych, ponieważ Knox Platform for Enterprise (KPE) zapewnia sprzętowe przechowywanie kluczy, konteneryzację z podwójną tożsamością i atestację urządzenia, których ogólne interfejsy API MDM Android Enterprise nie mogą odtworzyć. Workspace ONE nadaje się do niejednorodnych flot. Intune jest odpowiedni dla organizacji w Microsoft 365 GCC High, ale ma słabszą sprzętową atestację Android niż Knox.

Jak działa rejestracja zero-touch dla urządzeń ATAK?

Rejestracja zero-touch wstępnie kojarzy numery IMEI lub seryjne urządzeń z konfiguracją MDM przed wysyłką urządzenia. Przy pierwszym uruchomieniu urządzenie kontaktuje się z portalem zero-touch Google, pobiera adres URL serwera MDM i token rejestracyjny, po czym automatycznie kończy rejestrację bez interwencji operatora. W środowiskach air-gapped zero-touch jest zastępowane przez inicjowanie z kodu QR lub NFC, ponieważ zero-touch wymaga dostępu do serwerów Google.

Czy ATAK można wymusić do zainstalowania i przypiąć wersję przez MDM?

Tak. Zarządzany Google Play w Android Enterprise (lub Samsung Knox App Management) umożliwia MDM wysyłanie określonej wersji APK na zarejestrowane urządzenia i blokowanie samodzielnych aktualizacji. Polityka MDM może przypiąć ATAK do określonego numeru wersji, odrzucać aplikacje bez zatwierdzonego skrótu i organizować etapowe wdrożenia według grup urządzeń.

Czym jest selektywne czyszczenie w zarządzaniu urządzeniami ATAK?

Selektywne czyszczenie usuwa tylko dane zarządzanego profilu roboczego — ATAK, jego wtyczki i kontener danych — pozostawiając osobistą partycję urządzenia nietkniętą. Jest to istotne dla taktycznych wdrożeń BYOD. Pełne czyszczenie przywraca urządzenie do ustawień fabrycznych. Automatyczne czyszczenie geofence aktywuje selektywne lub pełne czyszczenie, jeśli urządzenie opuści zdefiniowany perymetr geograficzny.

Jak certyfikaty klientów TAK Server są wdrażane przez MDM?

TAK Server używa wzajemnego TLS do uwierzytelniania klientów — każde urządzenie ATAK przedstawia certyfikat tożsamości podpisany przez CA TAK Server. Zarządzanie certyfikatami MDM wdraża te certyfikaty przez SCEP do magazynu kluczy Android Enterprise bezprzewodowo. MDM wydaje certyfikat od TAK CA, instaluje go w profilu roboczym i konfiguruje konfigurację ATAK, aby odwoływała się do aliasu certyfikatu. Rotacja certyfikatów jest zautomatyzowana przez MDM.

Jakie polityki bezpieczeństwa należy egzekwować na taktycznych urządzeniach ATAK?

Minimalne wymagane polityki: pełne szyfrowanie dysku AES-256 egzekwowane przy rejestracji, limit czasu blokady ekranu 30 sekund lub mniej, wymagane odblokowanie PIN-em lub biometrią (wzór zabroniony), debugowanie USB wyłączone, instalacja z nieznanych źródeł zablokowana, opcje programisty wyłączone i zawsze aktywny VPN dla połączeń TAK Server. Android 13 STIG i Samsung Knox STIG są miarodajnymi źródłami kontroli.

Jak zarządzać zatwierdzeniami wtyczek ATAK w MDM?

Zatwierdzona lista wtyczek jest przechowywana w MDM jako lista dozwolonych podpisanych skrótów APK lub certyfikatów podpisywania. Polityka MDM blokuje instalację dowolnego APK, którego podpis nie widnieje na liście dozwolonych, zapobiegając nieautoryzowanemu sideloadingowi. Nowe wtyczki przechodzą przegląd bezpieczeństwa zanim ich certyfikat zostanie dodany. MDM dystrybuuje zatwierdzone wtyczki przez prywatny katalog aplikacji firmowych.

Jak wygląda monitorowanie zgodności w czasie rzeczywistym dla flot ATAK?

Pulpit zgodności MDM wyświetla stan zgodności każdego zarejestrowanego urządzenia względem aktywnego zestawu polityk. Zdarzenia niezgodności generują natychmiastowe alerty do administratora i uruchamiają automatyczne naprawianie: kwarantanna urządzenia od zasobów sieciowych, wysłanie powiadomienia push do operatora i rejestrowanie naruszenia w dzienniku audytu. Dzienniki naruszeń zasilają SIEM organizacji.

Jak obsługiwać rejestrację urządzeń ATAK w środowiskach air-gapped?

Rejestracja air-gapped używa lokalnie hostowanego wystąpienia MDM w połączeniu z inicjowaniem QR lub NFC. Kod QR koduje adres URL lokalnego serwera MDM, dane uwierzytelniające Wi-Fi i token rejestracji. Rejestracja urządzenia odbywa się całkowicie w granicach sieci air-gapped. Wystawianie certyfikatów używa lokalnego serwera CA (Microsoft ADCS lub EJBCA) przez lokalny punkt końcowy SCEP MDM.

Jaki sprzęt jest zalecany do wdrożeń floty ATAK?

Samsung Galaxy XCover Pro i XCover6 Pro są najczęstszymi platformami sprzętowymi ATAK, ponieważ Samsung Knox zapewnia atestację sprzętową i mechanizmy zgodności STIG wymagane dla wdrożeń DoD, a klasa wzmocniona spełnia MIL-STD-810H. Kyocera DuraForce Ultra 5G jest alternatywą dla trudnych środowisk z wyższymi klasami IP. Wszystkie urządzenia powinny obsługiwać GPS dwuczęstotliwościowy (L1/L5) dla precyzyjnego pozycjonowania.