09 февраля 2018

Безопасная работа Android приложений в G Suite


Система управления мобильными приложениями для доменных пользователей G Suite теперь позволяет пользователям устанавливать приложения с минимальными правами.

Не секрет, что множество мобильных приложений, которые предлагаются в Google Play бесплатно, пытаются заработать на данных своих пользователей. Ранее, до появления версии Android 6.0, администратор домена G Suite сразу видел полный список прав, которые запрашивает приложение, и мог разрешить или запретить приложение для всех пользователей домена G Suite ещё до того, как кто-то из них попытается это приложение установить.

После появления Android 6.0, мобильные приложения Android получили возможность не запрашивать полный список прав при установке, а запрашивать их постфактум, как в контексте действий пользователя, так и после обновления ранее установленной версии приложения (см. рис. выше). 

Это привело к тому, что администраторы доменов G Suite фактически стали применять ко всем пользователям только "белый список" приложений, которым они безусловно доверяют, например Google Drive или Gmail, а все остальные приложения были запрещены к установке для всех пользователей домена G Suite, т.к. администратору, ответственному за сохранность данных организации, совершенно невозможно было контролировать доступ к общим и персональным данным пользователей, включая их почту, контакты, календари, файлы, изображения, а также к их камере, микрофону, координатам, звонкам и т.д.


Теперь Google решил эту проблему, предоставив администраторам домена G Suite новые доменные политики для управления зарегистрированными в домене G Suite мобильными устройствами, которые позволяют разрешить доступ, запретить доступ или оставить доступ на усмотрения пользователя для всех новых Android приложений, устанавливаемых под доменным аккаунтом G Suite.

Таким образом, чтобы обеспечить возможность пользователям устанавливать любые Android приложения по своему желанию, но без предоставления им каких-либо прав доступа к данным доменных аккаунтов, администратору достаточно выбрать для всех пользователей домена опцию "Deny automatically" (см. рис. выше), которая позволит установить приложение, не подвергая данные организации никакой опасности.


Далее, если приложение не сможет функционировать нормально без обоснованно минимально необходимых прав доступа, пользователь сможет обратиться к администратору домена G Suite с просьбой включить это очень нужное ему приложение в "белый список" с минимально необходимыми правами.

Получив такую заявку, администратор домена G Suite теперь имеет возможность не просто добавить Android приложение в "белый список", как раньше, а может также указать какой именно список прав доступа он одобряет конкретному приложению, если оно их запросит, отклоняя автоматически все остальные запросы прав доступа с помощью контекстной команды "Manage runtime permissions" в свойствах самого приложения в "белом списке".

Таким образом, администратор домена G Suite теперь может выдавать индивидуальный список прав всем Android приложениям для всех пользователей и при этом позволять всем пользователям свободно устанавливать любые Android приложения на свои смартфоны, планшеты и Chromebook, не подвергая данные организации никакой опасности.
Отправить комментарий