← Блог

MDM від Apple та Google: як захистити корпоративні дані на мобільних пристроях

Інфостілери компрометують 30% корпоративних і 46% некерованих пристроїв з доступом до робочих облікових записів. MDM — єдиний спосіб контролювати, захищати та дистанційно стирати корпоративні дані на смартфонах співробітників.

Кібербезпека · 2026-04-07T08:00:00

Щороку мільярди корпоративних записів витікають через мобільні пристрої. За даними Verizon DBIR 2025, інфостілери скомпрометували 30% корпоративних і 46% некерованих пристроїв із доступом до робочих облікових записів. MDM — це не розкіш, а необхідність для кожної компанії з 10+ співробітниками.

Вступ: мобільний пристрій — найслабша ланка

Уявіть: ваш менеджер з продажу звільняється. На його iPhone — корпоративна пошта, CRM, контакти 500 клієнтів, внутрішні чати в Slack. Він здає ноутбук, але телефон — його особистий. Що відбувається з корпоративними даними?

Без MDM — нічого. Дані залишаються на пристрої. Назавжди.

За даними Verizon Data Breach Investigations Report 2025, який проаналізував понад 22 000 інцидентів та 12 000 підтверджених витоків:

  • 60% витоків пов'язані з людським фактором
  • 30% корпоративних пристроїв скомпрометовані інфостілерами
  • 46% некерованих (BYOD) пристроїв з корпоративними обліковими записами — заражені
  • 44% витоків включали ransomware
    • Реальний кейс: у листопаді 2024 року компанія Hot Topic зазнала витоку 54 мільйонів записів клієнтів через інфостілер, встановлений на робочому комп'ютері співробітника. Імена, адреси, телефони, історія покупок, дані кредитних карток — усе опинилося в руках зловмисників. А у травні 2025 року Coinbase розкрив витік даних 69 461 користувача через інсайдерську загрозу — підкуплених операторів підтримки за кордоном, які мали доступ з мобільних пристроїв.

    Що таке MDM

    Mobile Device Management (MDM) — це технологія централізованого управління мобільними пристроями в організації. Але називати MDM просто "контролем" — некоректно. Точніша аналогія:

    > MDM — це охоронець для кожного телефону у вашій компанії. Він не читає особисті повідомлення співробітника, але стежить, щоб корпоративні дані не вийшли за межі захищеного периметру.

    MDM дозволяє:

  • Розгортати корпоративні застосунки та налаштування на сотні пристроїв одночасно
  • Розділяти корпоративні та особисті дані на одному пристрої
  • Контролювати які застосунки мають доступ до корпоративної пошти та файлів
  • Стирати корпоративні дані дистанційно — без впливу на особисті фото та повідомлення
  • Блокувати пристрій у разі крадіжки або втрати
  • Виявляти зламані (jailbroken/rooted) пристрої та автоматично відключати їх від корпоративної мережі

    • Apple MDM: як це працює

    Apple побудувала одну з найзріліших екосистем для управління пристроями в корпоративному середовищі. У березні 2026 року Apple анонсувала Apple Business — нову all-in-one платформу, що об'єднує функції Apple Business Manager, MDM та розгортання пристроїв.

    Apple Business Manager + Automated Device Enrollment

    Apple Business Manager (ABM) — це веб-портал, через який організація:
  • Реєструє куплені пристрої (iPhone, iPad, Mac)
  • Прив'язує їх до свого MDM-сервера
  • Створює Managed Apple ID для співробітників
    • Automated Device Enrollment (ADE) — раніше відомий як DEP (Device Enrollment Program) — дозволяє:

    1. Співробітник отримує новий iPhone 2. Вмикає його та підключається до Wi-Fi 3. Пристрій автоматично реєструється у корпоративному MDM 4. Завантажуються робочі застосунки, профілі, обмеження 5. Співробітник починає працювати — без участі IT-відділу

    Ключова перевага ADE: профіль реєстрації неможливо видалити через налаштування пристрою. Навіть після скидання до заводських налаштувань пристрій знову зареєструється в MDM.

    Managed Apple ID — корпоративна ідентичність

    Managed Apple ID — це корпоративний Apple-акаунт, створений через ABM. Він:

  • Прив'язаний до корпоративного домену (name@company.com)
  • Може бути федерований через Microsoft Entra ID або Google Workspace
  • Має обмежений доступ до App Store (тільки схвалені застосунки)
  • Дає доступ до корпоративного iCloud Drive з окремим шифруванням

    • Ключові можливості Apple MDM

    | Функція | Опис | |---------|------| | Remote Wipe | Повне або вибіркове стирання корпоративних даних | | Lost Mode | Блокування пристрою з повідомленням та відстеженням геолокації | | Activation Lock | Запобігає активації краденого пристрою | | App Management | Розгортання, оновлення та видалення застосунків | | Restriction Profiles | Заборона скріншотів, AirDrop, copy-paste між робочим і особистим | | Managed Data Separation | Криптографічне розділення корпоративних і особистих даних | | Compliance Monitoring | Виявлення jailbreak, застарілих версій iOS |

    BYOD: Apple User Enrollment

    Для сценарію BYOD (Bring Your Own Device) Apple пропонує Account-Driven User Enrollment:

  • Співробітник використовує власний iPhone
  • Реєстрація через Managed Apple ID
  • iOS автоматично створює окремий APFS-том з власними ключами шифрування
  • Корпоративні дані ізольовані криптографічно від особистих
  • IT-адміністратор не бачить особисті застосунки, фото чи повідомлення
  • При звільненні — стирається тільки корпоративний том, особисті дані залишаються

    • Популярні MDM-рішення для Apple

  • Jamf Pro — лідер ринку для великих підприємств (500+ пристроїв), від $4/пристрій/місяць
  • Mosyle — оптимальний для SMB, безкоштовний план до 30 пристроїв
  • Kandji (Iru) — з 2025 року об'єднує MDM, EDR, Identity та Compliance в одній платформі
  • Fleet — open-source MDM з підтримкою Declarative Device Management (DDM)
  • Apple Configurator — безкоштовний інструмент для ручного налаштування невеликої кількості пристроїв

    • Android Enterprise: альтернатива від Google

    Google розвиває програму Android Enterprise — стандарт корпоративного управління Android-пристроями, що підтримується усіма великими MDM-вендорами.

    Work Profile — контейнер для корпоративних даних

    Work Profile — ключова концепція Android Enterprise для BYOD:

  • На пристрої створюється ізольований контейнер (Work Profile)
  • Корпоративні застосунки позначені іконкою портфеля
  • Дані з робочого профілю не можуть копіюватися в особистий
  • IT-адмін керує тільки робочим профілем
  • Співробітник може "вимкнути" робочий профіль після робочого дня

    • Fully Managed — для корпоративних пристроїв

    Коли компанія видає пристрій співробітнику:

  • Повний контроль над усім пристроєм
  • Заборона встановлення застосунків поза дозволеного списку
  • Примусове шифрування, PIN, біометрія
  • Повне дистанційне стирання при звільненні

    • Zero-Touch Enrollment — розгортання на масштабі

    Аналог Apple ADE для Android:

    1. Компанія купує пристрої у авторизованого ресселера 2. Пристрої реєструються на порталі Zero-Touch 3. При першому ввімкненні — автоматична реєстрація в MDM 4. Навіть після factory reset пристрій повертається під управління MDM

    Samsung Knox — додатковий рівень захисту

    Samsung Knox додає апаратний рівень безпеки поверх стандартного Android Enterprise:

    | Функція Knox | Опис | |--------------|------| | Knox Attestation | Перевірка цілісності пристрою на апаратному рівні | | Knox Container | Ізольований контейнер з окремим шифруванням | | Knox E-FOTA | Контрольоване оновлення firmware за розкладом | | Knox Security Center | Моніторинг загроз у реальному часі | | Dual VPN | Окремі VPN-тунелі для робочих і особистих даних |

    Knox побудований на ARM TrustZone — апаратному середовищі довіри, що зберігає криптографічні ключі та сертифікати на рівні чипа, недоступному для операційної системи.

    Google Endpoint Management

    Для організацій, що використовують Google Workspace, вбудований Google Endpoint Management дозволяє:

  • Керувати Android та iOS пристроями з консолі Google Admin
  • Примусово встановлювати робочий профіль
  • Вимагати шифрування та screen lock
  • Дистанційно стирати робочі дані
  • Контролювати застосунки через managed Google Play

    • 10 способів як MDM запобігає витоку даних

    1. Дистанційне стирання при звільненні

    Співробітник звільняється — IT-адмін натискає одну кнопку, і всі корпоративні дані, застосунки та облікові записи зникають з пристрою. Особисті фото залишаються.

    2. Блокування copy-paste між робочим і особистим

    MDM забороняє копіювати текст з корпоративного Outlook в особистий Telegram. Клієнтські контакти не можна "перетягнути" в особисту адресну книгу.

    3. Примусове шифрування та screen lock

    MDM вимагає PIN мінімум 6 символів, біометрію, та автоматичне блокування через 2 хвилини бездіяльності. Без цього — доступ до корпоративної пошти заблоковано.

    4. Заборона скріншотів у корпоративних застосунках

    Android Enterprise дозволяє повністю заблокувати скріншоти в робочому профілі. Apple MDM може обмежити screen recording та AirDrop.

    5. Контроль доступу застосунків до корпоративних даних

    Тільки схвалені застосунки можуть відкривати корпоративні файли. Наприклад: вкладення з корпоративної пошти відкривається тільки в Microsoft Office, а не в будь-якому файловому менеджері.

    6. VPN-per-app для корпоративного трафіку

    Замість того, щоб весь трафік пристрою йшов через корпоративний VPN, MDM налаштовує VPN тільки для конкретних робочих застосунків. Особистий YouTube працює без VPN.

    7. Виявлення jailbreak та root

    MDM постійно перевіряє цілісність пристрою. Якщо виявлено jailbreak (iOS) або root (Android) — корпоративні дані автоматично стираються, а доступ до пошти блокується.

    8. Геофенсинг — обмеження доступу за локацією

    MDM може заборонити доступ до корпоративних даних поза межами офісу або країни. Якщо пристрій з'являється в несанкціонованій локації — доступ блокується автоматично.

    9. Дозволений список застосунків (allowlisting)

    На корпоративному пристрої можна встановити тільки схвалені IT-відділом застосунки. Ніяких сторонніх месенджерів, VPN-сервісів або хмарних сховищ.

    10. Моніторинг відповідності та авто-ремедіація

    MDM постійно перевіряє: чи оновлена ОС? Чи ввімкнено шифрування? Чи не встановлено заборонені застосунки? Якщо пристрій не відповідає політиці — автоматичне обмеження доступу до корпоративних ресурсів.

    BYOD vs корпоративні пристрої: що обрати

    | Критерій | BYOD (особистий пристрій) | Корпоративний пристрій | |----------|--------------------------|----------------------| | Вартість | Компанія не купує пристрої | Компанія купує та обслуговує | | Контроль | Тільки робочий профіль/контейнер | Повний контроль над пристроєм | | Приватність | Співробітник зберігає приватність | Компанія бачить усе | | Безпека | Середня — залежить від співробітника | Висока — повний контроль | | Стирання даних | Тільки робочі дані | Повне стирання пристрою | | Задоволення співробітників | Вище — один пристрій | Нижче — два пристрої | | Юридичні ризики | Потрібна BYOD-політика та згода | Простіше — пристрій належить компанії | | Рекомендовано для | Офісні працівники, менеджери | Фінанси, юристи, безпека, топ-менеджмент |

    Наша рекомендація: гібридний підхід.
  • BYOD з Work Profile — для більшості офісних працівників
  • Корпоративні пристрої з Fully Managed — для співробітників з доступом до критичних даних (фінанси, юристи, C-level)
  • Dedicated Devices — для кіосків, складських сканерів, POS-терміналів

    • Як Panoptic допомагає

    MDM захищає пристрої. Але хто захищає вас від того, що вже витекло?

    Panoptic доповнює MDM на рівні threat intelligence:
  • Аудит MDM-конфігурації — перевіряємо, чи правильно налаштовані ваші політики MDM, чи немає прогалин у захисті
  • Моніторинг Dark Web — перевіряємо, чи не з'явилися корпоративні облікові записи ваших співробітників у базах витоків (LeakCheck, Dehashed, HIBP, Intelligence X — 6 джерел одночасно)
  • Breach Check для корпоративного домену — один запит по вашому домену покаже всі скомпрометовані email та паролі
  • Моніторинг інфостілерів — відстежуємо появу корпоративних credentials у логах інфостілерів, які продаються на Dark Web маркетплейсах
  • Threat Intelligence інтеграція — дані про скомпрометовані пристрої та облікові записи можна інтегрувати з вашим MDM для автоматичного реагування

    • > Якщо MDM — це замок на дверях, то Panoptic — це охоронна система, яка стежить, чи не з'явився ваш ключ на чорному ринку.

    Практичний чеклист для впровадження MDM

    Покроковий план для CTO/CISO, який впроваджує MDM з нуля:

    Крок 1: Аудит поточного стану

  • [ ] Скільки мобільних пристроїв має доступ до корпоративних даних?
  • [ ] Скільки з них — особисті (BYOD)?
  • [ ] Які застосунки використовуються для роботи (пошта, CRM, месенджери)?
  • [ ] Чи є випадки витоків даних через мобільні пристрої?

    • Крок 2: Обрати MDM-рішення

  • [ ] Для Apple-only середовища: Jamf Pro, Mosyle або Fleet
  • [ ] Для Android-only: Google Endpoint Management або Samsung Knox
  • [ ] Для змішаного середовища: Microsoft Intune, VMware Workspace ONE або Kandji (Iru)
  • [ ] Для SMB (до 100 пристроїв): Mosyle (безкоштовно до 30) або Hexnode

    • Крок 3: Визначити політику BYOD vs Corporate

  • [ ] Які ролі потребують корпоративних пристроїв?
  • [ ] Розробити та підписати BYOD-політику з кожним співробітником
  • [ ] Визначити мінімальні вимоги до особистих пристроїв (версія ОС, шифрування)

    • Крок 4: Створити профілі обмежень

  • [ ] Мінімальна довжина PIN/паролю — 6+ символів
  • [ ] Обов'язкова біометрія (Face ID / Touch ID / Fingerprint)
  • [ ] Заборона copy-paste між робочим і особистим профілем
  • [ ] Заборона скріншотів у робочих застосунках
  • [ ] Обов'язкове шифрування пристрою
  • [ ] Автоматичне блокування через 2 хвилини бездіяльності

    • Крок 5: Зареєструвати пристрої

  • [ ] Налаштувати Apple Business Manager / Zero-Touch Enrollment
  • [ ] Зареєструвати існуючі пристрої через QR-код або посилання
  • [ ] Перевірити, що профілі застосовані коректно

    • Крок 6: Навчити співробітників

  • [ ] Пояснити, що MDM НЕ читає особисті повідомлення
  • [ ] Показати, як працює Work Profile / managed data separation
  • [ ] Описати процедуру при втраті пристрою
  • [ ] Описати процедуру при звільненні

    • Крок 7: Моніторинг compliance

  • [ ] Налаштувати алерти на jailbreak/root
  • [ ] Налаштувати алерти на застарілі версії ОС
  • [ ] Щотижневий звіт про стан пристроїв
  • [ ] Автоматичне обмеження доступу для non-compliant пристроїв

    • Крок 8: Інтеграція з threat intelligence (Panoptic)

  • [ ] Підключити моніторинг корпоративного домену через Panoptic
  • [ ] Налаштувати алерти при появі корпоративних credentials у базах витоків
  • [ ] Інтегрувати дані breach check з MDM для автоматичного реагування
  • [ ] Регулярний аудит скомпрометованих облікових записів

    • Висновок

    У 2026 році MDM — це не опція, а необхідність. Кожна компанія з 10+ співробітниками, де хоча б хтось перевіряє робочу пошту з телефону, потребує MDM.

    Apple MDM пропонує найглибшу інтеграцію з апаратним забезпеченням: Automated Device Enrollment, Managed Apple ID, криптографічне розділення даних на окремих APFS-томах. Android Enterprise дає гнучкість: Work Profile для BYOD, Fully Managed для корпоративних пристроїв, Samsung Knox для додаткового апаратного захисту.

    Обидві платформи вирішують ключову проблему: корпоративні дані залишаються під контролем компанії, навіть коли фізично знаходяться на пристрої співробітника.

    Але MDM — це лише перша лінія оборони. Без моніторингу Dark Web ви не знаєте, чи вже витекли облікові записи ваших співробітників. Без breach check ви не знаєте, чи compromised пристрій ще має доступ до корпоративної мережі.

    Panoptic об'єднує ці два рівні: MDM захищає пристрій, а Panoptic перевіряє, чи не скомпрометовані облікові дані, що на ньому використовуються.

    > Ваші співробітники вже носять корпоративні дані в кишені. Питання не "чи потрібен MDM", а "чому ви ще його не впровадили".

    Panoptic — panoptic.com.ua

    Перевірити свої облікові дані у Dark Web →

    Теги: #MDM, #Apple, #Android, #Data Protection, #BYOD, #Security

    Схожі статті

    Повернутися до блогу | Panoptic