Ja myslim ze ten dotaz dava velkej smysl. Podle me mix OS velmi "hrozi", zejmena kdyz si lidi prinesou svoje zarizeni, coz se podle me stane. Tj. je tady najednou android (uz pry maji nejake firemni profily v posl. verzich), windows, linux, macOS, iOS. Tohle tema me hodne zajima, protoze me hrozi ze na gymplu budu potrebovat resit centralni spravu tech zarizeni. Windows Server to podle me nevyresi - jednak na nej skola nema penize, a jednak resi jen windows stanice. Takze jsem se dival po SW jako Puppet, Ansible ap. Nedava to vetsi smysl?
Ale tak se preci s AD nepracuje. Asi nebudete neci soukrome stroje a prostredky pripojovat do AD a nebudete tak umoznovat nezajistenym strojum pristup k firemnim prostredkum. To je zasadni nabourani bezpecnosti firmy. Tohle se resi jinak. Autorizace se udeli na zklade uzivatelske autentizace s pristupem k zprostredkovatelskym sluzbam v DMZ. Nikoli se vstupem primo do interni site. Zadny profil proto neni na zarizeni s jakymkoli OS potreba.
Co vim, tak android ma pracovni profil pouze ve spojeni s Google Workspace (drive Google Apps nebo G Suite). U BYOD si clovek v nastaveni proste prida dalsi Google profil. Spravce mu zarizeni schvali v admin konzoli a uzivateli se vytvorit tzv. "Pracovni profil" (pozor pracovni profil, je mozny az u vyssi verze MDM - ta jde zakoupit zvlast nebo je v ramci workspace planu Business Plus - u skolnich organizaci nevim jak to je). Tento pracovni profil je naprosto oddeleny od soukromeho a to az tak ze pokud chcete treba zalohovat fotky do firemniho Google Photos, tak je musite vyfotil aplikaci fotaku v pracovnim profilu. Vsechny aplikace ktere tedy chcete pouzivat jak v pracovnim tak v soukromem profilu mate zduplikovany, ale podle uloziste je APK sdilene, jen jejich ulozny prostor je oddeleny dle profilu.
Cele Google Workspace jde pak napojit na AD at uz MSAD nebo treba LDAP.
Nevidim v tom zadny problem. Google toto ma pekne podchycene a zarizeni se daji krasne omezit. Jako bonus jim muzete prednastavit SSID a hesla WiFi siti, predinstalovat aplikace nebo jim dovolit instalovat aplikace jen ze seznamu, tak aby si do pracovniho profilu nenainstalovali zavirovane hry apod. My konkretne fungujeme tak, ze ten kdo ma firemni telefon, tak ma jako hlavni G ucet prihlaseny ten firemni(vsichni pak maji druhy soukromy telefon). Ten kdo nema, tak jede v rezimu BYOD a ma pracovni profil.
Google Workspace MDM resp. zprava koncovych zarizeni navic podporuje i Windows, iOS a ChromeOS. Na windows muzete treba instalovat aplikace podobne jako u MSAD za pomoci Group policies - akorat teda dost nepohodlne. Nebo treba umoznit prihlaseni do windows pomoci google uctu. U iOS muzete vse spravovat prakticky skoro stejne jako u Androidu, akorat je potreba nejakej Appli certifikat pro spravu zarizeni(coz samozrejme stoji nemale penize), ale osobni zkusenost nemam protoze u nas ma iOS pouze jeden clovek a kvuli nemu do toho nebudeme investovat.
Spíš jsem ten dotaz myslel tak, jak funguje admin když má ve správě mix OS. Nemyslím tím cizí přístroje. Např. jak funguje sw firma když má různé programátory s různými OS na desktopu. To prostě funguje tak že nemá centrální správu a každý si zodpovídá za svoje PC ?
31. 3. 2022, 15:07 editováno autorem komentáře
> Podle me mix OS velmi "hrozi", zejmena kdyz si lidi prinesou
> svoje zarizeni, coz se podle me stane.
Tahle situace je běžná na univerzitách. Zkuste získat tipy od někoho, kdo tam do IT vidí.
Jako obyčejný uživatel, který si oprašuje vlastní linuxové pracovní stanice a PC clustery, jen uvedu, že svá zařízení smí studenti připojit jen přes Eduroam WiFi, kterou od interní unverzitní sítě odděluje firewall, který povoluje přístup jen k některým službám.
U zaměstnanců je to složitější. Pokud získáte důvěru lidí odpovědných za bezpečnost, tak můžete vlastní zařízení napojit na interní síť kabelem. Musíte se ale o to zařízení starat a v případě bezpečnostního incidentu si vás náležitě podají. Pro lidi z podnikové sféry to asi zní divně, ale bez tohoto přístupu by se těžko dělal vědecký výzkum.
Co se zařízení vlastněných univerzitou týče, tak podporovány jsou Windows, MacOS, iOS, Linux a Android. Software pro jejich centralizovanou správu neznám.
Re: "Pokud získáte důvěru lidí odpovědných za bezpečnost, tak můžete vlastní zařízení napojit na interní síť kabelem."
A není rozdělování zabezpečení přístupu k službám z LAN a WAN už trochu přežitek? Tím nemyslím vystavovat porty LAN služeb na veřejce, nebo jet na firewallu brány INPUT policy ACCEPT, ale spíš řešit zabezpečení každé služby bez ohledu na přístup z LAN / WAN.
Přijde mi že, omezovat připojení osobních zařízení uživatelů do sítě není efektivní, stejně jako není realistický předpoklad, že zařízení v LAN budou bezpečná.
Primárním cílem Eduroamu je poskytnout WiFi připojení uživatelům registrovaným v této celosvětové infrastruktuře. Například student nebo zaměstnanec ČVUT se může připojit na Eduroam WiFi na víceméně kterékoliv evropské univerzitě pod svým kontem z ČVUT. Přístup je možný i některých letištích, nádražích, ... Omezení přístupu z Eduroamu do lokální sítě se ze zřejmých důvodů používá, ale je to spíš vedlejší efekt než primární metoda řešení bezpečnosti.
Pokud povolíte připojení přinesených zařízení do interní sítě, tak budete dřív či později řešit problémy s útoky nebo spamováním z těchto zařízení kvůli malware.
Porty pro ssh (a řada dalších) jsou Eduroamem blokovány. Pokud se chcete na počítače v interní síti dostat přes Eduroam, tak se do té interní sítě napřed musíte přihlásit přes VPN klienta. (Používali jsme Cisco, ale nedávno jsme kvůli ceně přešli na FortiClient.)
Univerzitní sítě bývají poměrně otevřené. Já jsem se mohl na své počítače připojit z domova přes ssh bez použití VPN. Teď to kvůli válce na Ukrajině zablokovali, přístup do interní sítě je jen přes VPN.
Univerzity mívají desítky tisíc studentů a tisíce zaměstnanců. Nedivil bych se, kdyby IT oddělení muselo systémy na centralizovanou správu kupovat na základě výběrových řízení. (Nemám na mysli "Chceme tenhle produkt, kdo ho prodá nejlevněji", ale "Chceme takovou funkčnost, my si vybereme z nabídnutých produktů.")