В современных реалиях стремительно увеличивается доля мобильных устройств при обработке корпоративной информации. Согласно данным аналитических агентств, в 2026 году до 70% сотрудников российских компаний используют личные или корпоративные смартфоны для доступа к рабочей электронной почте и приложениям, содержащим конфиденциальные данные. Удаленный и гибридный форматы работы, внедрение мобильных CRM-систем, терминалов сбора данных в логистике и ритейле, а также цифровизация государственных сервисов привели к тому, что мобильные устройства способны в полной степени заменить автоматизированное рабочее место. Это, в свою очередь, кратно увеличило поверхность атак для злоумышленников и одновременно усложнило контроль за соблюдением требований информационной безопасности.
Отечественные регуляторы также расширяют список требований к защите информации при обработке мобильных устройств (например, в требованиях о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, утверждённых приказом ФСТЭК России от 11 апреля 2025 г. № 117).
Совокупность описанных факторов создаёт предпосылки для внедрения промышленных решений управления мобильными устройствами.
В данной статье рассматриваются основные функции, реализуемые решениями класса MDM/UEM: регистрация, политики безопасности, очистка информации, контроль приложений. Решения класса MDM (Управление мобильными устройствами, Mobile Device Management) предлагают базовый уровень управления, фокусирующийся на настройке, защите и отслеживании мобильных устройств. Расширенный подход, который охватывает не только мобильные устройства, но и другие типы конечных точек, объединяя управление в единую консоль, представлен решениями UEM (Unified Endpoint Management).
Регистрация устройств
Регистрация (Enrollment) — процедура установки доверенных отношений между мобильным устройством и консолью администратора системы управления мобильными устройствами (MDM-сервером). В результате регистрации на устройстве появляется корневой сертификат MDM-сервера, инсталлируются профили конфигурации и агент управления, который получает привилегии на установку и удаление приложений, а также принудительное применение политик безопасности.
Процедура регистрации может быть как неавтоматизированной, требующей от владельца устройства самостоятельной настройки, так и автоматизированной посредством авторегистрации (Zero-Touch Enrollment / Automated Device Enrollment), с использованием технологии беспроводной передачи данных малого радиуса действия (Near Field Communication, NFC), QR-кода, электронной почты или СМС.
При выборе и адаптации процедуры регистрации устройств в корпоративной среде стоит учитывать ряд факторов:
1. Правовые и этические аспекты концепции использования личных гаджетов в рабочих целях (Bring your own device, BYOD). При подключении личных устройств работников к MDM-сервису необходимо соблюдать правовые и этические нормы, требующие получения информированного согласия от владельца устройства. Работник должен понимать, какие данные собираются, какие политики применяются и какие действия может совершать администратор.
2. Аппаратные ограничения устройств. Необходимо учитывать физические параметры мобильных устройств. Например, устройства, не оснащенные камерой (терминалы сбора данных, промышленные планшеты), не способны сканировать QR-коды, что требует использования альтернативных методов регистрации.
3. Инфраструктурные требования. Для работы MDM с устройствами на базе iOS требуется наличие действующего сертификата Apple Push Notification service (APNs), который необходимо регулярно обновлять. Для Android-устройств критическим фактором является наличие Google Play Services: устройства без них теряют часть функциональности управления.
Выбор стратегии регистрации должен определяться типом устройств и сценарием использования.

Для корпоративных устройств (COBO / COPE) рекомендуется использовать автоматизированные методы регистрации (Apple Business Manager для iOS, Zero-Touch Enrollment или Seamless Provisioning для Android). Это обеспечивает максимальный уровень контроля и автоматическую настройку устройств.
Для личных устройств сотрудников (BYOD) рекомендуется использовать режимы, обеспечивающие разделение личных и корпоративных данных (User Enrollment на iOS, Work Profile на Android). Это ограничивает права администратора корпоративным контейнером и минимизирует юридические риски.
Для специализированных устройств (терминалы сбора данных, промышленные планшеты, киоски) предпочтителен метод регистрации по серийному номеру (Seamless Provisioning), который обходит ограничения бескамерных устройств и не требует наличия Google Play Services.

Политики безопасности
Политики безопасности — набор правил, которые MDM-сервер принудительно применяет на устройстве. Политики можно разделить на три основные категории:
1. Политики соответствия (Compliance policies) проверяют, соответствует ли устройство заданным требованиям: актуальность версии ОС, наличие шифрования, отсутствие джейлбрейка или рут-доступа. При несоответствии устройство может быть заблокировано или лишено доступа к корпоративным ресурсам.
2. Профили конфигурации (Configuration profiles) задают параметры работы устройства: настройки Wi-Fi и VPN, требования к парольной политике (длина, сложность, срок действия), ограничения функций (запрет камеры, Bluetooth, AirDrop). Эти профили устанавливаются централизованно и не требуют участия пользователя.
3. Правила условного доступа (Conditional Access rules) управляют доступом к корпоративным ресурсам на основе статуса устройства. Например, доступ к корпоративной почте может быть разрешен только устройствам, которые зарегистрированы в MDM, имеют актуальную версию ОС и не скомпрометированы.
На корпоративных устройствах доступен полный спектр политик: администратор может принудительно блокировать камеру, запрещать установку приложений из неконтролируемых источников, настраивать сложные парольные политики, ограничивать передачу данных по Bluetooth и USB, а также принудительно включать шифрование.
На личных устройствах доступен существенно усеченный набор политик. Администратор может настроить требования к паролю и принудительно включить шифрование, но не может блокировать аппаратные функции (камеру, Bluetooth) или ограничивать использование системных сервисов. Это осознанный компромисс между безопасностью и приватностью сотрудника.
Некоторые параметры (например, геолокация) не могут быть принудительно включены администратором — требуется ручное разрешение пользователя. Это архитектурное ограничение, общее для всех мобильных платформ.
Категории политик MDM:

В области аутентификации и доступа администратор может задавать требования к парольной политике: минимальную длину, обязательное использование букв, цифр и специальных символов, срок действия пароля, запрет на повторное использование предыдущих паролей. Также управляются параметры блокировки устройства: время бездействия до автоматической блокировки, максимальное количество неудачных попыток ввода пароля, после которого устройство блокируется или сбрасывается. На корпоративных устройствах доступно управление биометрической аутентификацией (Touch ID, Face ID), на личных — только принудительное включение парольной защиты.
В сфере безопасности устройства политики позволяют принудительно включать шифрование хранящихся данных, что является критическим требованием для соответствия регуляторным нормам. MDM может обнаруживать устройства с джейлбрейком (iOS) или рут-доступом (Android) и автоматически блокировать их доступ к корпоративным ресурсам. Также управляется запрет на отладку по USB и включение режима разработчика. На корпоративных Android-устройствах доступна проверка целостности ОС через набор инструментов SafetyNet / Play Integrity (при наличии Google Play Services). На личных устройствах эти возможности либо ограничены, либо недоступны.
Сетевые параметры включают автоматическую настройку корпоративных Wi-Fi сетей с передачей учетных данных и сертификатов, а также настройку VPN-профилей с возможностью принудительного включения Always-On VPN. Администратор может запретить использование персональных точек доступа (режим модема), ограничить или полностью отключить Bluetooth, AirDrop (на iOS) и Nearby Share (на Android). На корпоративных устройствах доступен полный контроль над сетевыми функциями, на личных — только настройка профилей без возможности принудительного ограничения.
Управление аппаратными компонентами — одна из областей, где разница между корпоративными и личными устройствами наиболее существенна. На корпоративных устройствах администратор может принудительно отключать камеру, микрофон, модуль NFC, запрещать создание скриншотов и запись экрана. На личных устройствах эти возможности недоступны — пользователь сохраняет полный контроль над аппаратными функциями своего устройства. Это осознанный компромисс между безопасностью и приватностью.
Параметры защиты данных включают возможность изоляции корпоративных данных в защищенном контейнере, что особенно актуально для BYOD-сценариев. Администратор может ограничивать буфер обмена, запрещая копирование данных из корпоративных приложений в личные, блокировать сохранение корпоративных файлов в личные облачные сервисы (iCloud, Google Drive, Dropbox), а также ограничивать передачу файлов через внешние носители. На корпоративных устройствах эти политики применяются ко всему устройству, на личных — только к корпоративному контейнеру.
Системные и корпоративные настройки включают управление версиями операционной системы: администратор может требовать обновления до определенной версии или, наоборот, запрещать обновления для обеспечения совместимости с корпоративными приложениями. Также управляются системные дата и время (запрет на изменение), формат имени устройства (например, принудительное именование по шаблону «Фамилия-Должность-Модель»), а также использование данных в роуминге. На корпоративных устройствах доступен полный контроль, на личных — только ограниченный набор этих параметров.

Очистка информации (Wipe)

Очистка (Wipe) — удаление данных с устройства по команде с MDM-сервера. Различают два типа очистки.
1. Полная очистка (Complete Wipe) удаляет все данные и возвращает устройство к заводским настройкам. Применяется только для корпоративных устройств при утере устройства или увольнении работника. После очистки устройство может быть автоматически возвращено в пул для переиспользования. Администратор не имеет технической возможности выполнить Complete Wipe на личном устройстве
2. Выборочная очистка (Selective Wipe) удаляет только корпоративные профили, сертификаты и управляемые приложения. Личные данные пользователя (фото, контакты, личные приложения) остаются нетронутыми. Применяется для личных устройств (BYOD), исключая претензии о нарушении приватности и защищает организацию от судебных исков.
Для выполнения команды очистки устройство должно быть онлайн. Если устройство выключено или находится вне зоны покрытия сети, команда будет выполнена при следующем подключении.
При использовании Selective Wipe на личных устройствах важно документально зафиксировать процедуру очистки. Рекомендуется:

Получать от сотрудника согласие на применение Selective Wipe при увольнении
Формировать акт об уничтожении данных (для требований регуляторов)
Интегрировать MDM с HR-системами для автоматического запуска очистки при увольнении.

Для устройств без Google Play Services следует предусмотреть альтернативные механизмы очистки, включая организационные меры (изъятие устройства, ручной сброс) при работе с высокочувствительными данными.
Контроль приложений
Контроль приложений (Mobile Application Management, MAM) —комплекс функций MDM, позволяющих централизованно управлять установкой, обновлением, конфигурацией и защитой данных на уровне приложений. В отличие от политик безопасности, которые управляют устройством в целом, контроль приложений фокусируется на ПО и его взаимодействии с данными.
Контроль приложений реализуется через три основных механизма:
1. Каталог приложений (Managed App Store).
MDM формирует корпоративный магазин приложений, содержащий только разрешенное ПО. Пользователь видит в этом каталоге только те приложения, которые одобрены организацией, и может устанавливать их в один клик. Обновления также управляются централизованно. Для российских реалий возможна интеграция с отечественными магазинами RuStore и NashStore.
2. Черные и белые списки приложений.
Белый список (Whitelist): разрешены только приложения из утвержденного перечня. Установка любых других приложений блокируется системой. Доступен только на корпоративных устройствах.
Черный список (Blacklist): запрещены конкретные приложения (например, мессенджеры, не прошедшие корпоративную сертификацию, или приложения с высокими рисками утечки данных).
3. Защита данных на уровне приложений (MAM-политики).

Запрет копирования данных: ограничение буфера обмена между корпоративными и личными приложениями.
Блокировка скриншотов: запрет на создание снимков экрана внутри корпоративных приложений.
Контроль сохранения файлов: запрет на сохранение корпоративных документов в личные облака.
функция Managed Open In на устройствах под iOS: ограничение открытия корпоративных файлов только управляемыми приложениями.
Водяные знаки: наложение на экран информации о пользователе и устройстве при просмотре конфиденциальных документов.
Принудительная аутентификация: требование дополнительной аутентификации (PIN, биометрия) при открытии корпоративного приложения.

На корпоративных устройствах доступен полный спектр управления: белые списки, принудительная установка приложений, централизованное распространение лицензий, блокировка скриншотов на уровне ОС.
Управление приложениями через MDM охватывает три основные категории: установка и доступность приложений, конфигурация приложений и защита данных на уровне приложений. Доступность этих параметров варьируется в зависимости от типа устройства.

На личных устройствах возможности управления приложениями ограничены корпоративным контейнером. Белые списки недоступны, принудительная установка невозможна: MDM может только предложить установить приложение. Однако MAM-политики (запрет копирования, блокировка скриншотов внутри приложений) работают и на личных устройствах.
Для Android-устройств без Google Play Services распространение приложений требует альтернативных подходов (установка через .apk, использование технологии обертывания приложения (App Wrapping), интеграция с RuStore).

Российская специфика управления приложениями включает возможность интеграции с отечественными магазинами приложений RuStore и NashStore, что особенно важно для Android-устройств без Google Play Services. Также поддерживается интеграция с КриптоПро и ViPNet для работы с электронной подписью и ГОСТ-шифрованием внутри корпоративных приложений, что является обязательным требованием для многих государственных заказчиков и организаций критической информационной инфраструктуры.
Заключение
Система управления мобильными устройствами MDM — стратегическая платформа для обеспечения безопасности корпоративных данных на мобильных устройствах. Рассмотренные четыре ключевые функции — регистрация, политики безопасности, очистка информации и контроль приложений — взаимосвязаны и образуют целостную систему управления.
Регистрация является фундаментом: именно на этом этапе определяется статус устройства (корпоративное или личное), который влияет на все последующие возможности управления. Без правильно настроенной регистрации применение политик, контроль приложений и очистка данных либо работают с серьезными ограничениями, либо недоступны.
Политики безопасности позволяют принудительно применять требования к аутентификации, шифрованию, сетевым подключениям и аппаратным функциям. Полноценный контроль достигается только на корпоративных устройствах, в то время как на личных устройствах доступен усеченный набор политик.
Очистка информации обеспечивает возможность удаления корпоративных данных при утере устройства или увольнении сотрудника. Ключевое различие между Complete Wipe (для корпоративных устройств) и Selective Wipe (для личных) позволяет соблюсти баланс между безопасностью и приватностью, минимизируя юридические риски.
Контроль приложений через Managed App Store, черные и белые списки, а также MAM-политики защищает корпоративные данные на уровне ПО. Для личных устройств политики контроля на уровне приложений становятся основным механизмом защиты, позволяющим применять политики без необходимости полного контроля над устройством.
Автор: Иван Бодарев, системный архитектор Angara Security.