Jak zabezpieczyć systemy POS w handlu detalicznym za pomocą Nomid MDM i trybu kiosku Android Enterprise

Sprzedawcy coraz częściej zastępują przestarzały, toporny sprzęt POS (Point of Sale) ekonomicznymi i wszechstronnymi tabletami z systemem Android. Jednak umieszczenie zwykłego tabletu konsumenckiego na ladzie sklepowej niesie ze sobą poważne ryzyko operacyjne i naruszenie bezpieczeństwa. Bez odpowiedniego zarządzania kasjerzy mogą przeglądać strony internetowe, klienci mogą przypadkowo zamknąć ekran transakcji, a niezweryfikowane aplikacje mogą zagrozić wrażliwym danym płatniczym.

W tym miejscu kluczowe staje się dedykowane zarządzanie urządzeniami. Jako oficjalny partner Android Enterprise, Nomid MDM zapewnia najlepsze rozwiązanie zorientowane na handel detaliczny. W tym kompleksowym samouczku Nomid MDM dowiesz się dokładnie, jak przekształcić standardowe tablety z Androidem w niezawodne, zgodne z przepisami terminale POS. Wykorzystując tryb kiosku Android Enterprise, zablokujesz tablety, zablokujesz nieautoryzowane aplikacje i wdrożysz ciche aktualizacje na urządzeniach pierwszej linii bez zakłócania pracy w godzinach szczytu.

Wymagania wstępne dla bezpieczeństwa systemu Android POS

Przed rozpoczęciem konfigurowania środowiska MDM dla detalicznego punktu sprzedaży upewnij się, że masz przygotowane następujące elementy:

• Dostęp administratora Nomid MDM: Musisz posiadać rolę Global Admin lub Device Manager w swojej instancji Nomid MDM.
• Zarządzane konto Google Play: Firmowe konto Google w celu powiązania organizacji z Android Enterprise.
• Kompatybilny sprzęt: Urządzenia muszą pracować pod kontrolą systemu Android 8.0 lub nowszego. W celu zapewnienia optymalnego bezpieczeństwa i ograniczeń na poziomie sprzętowym, wysoce zalecane są tablety Samsung Galaxy ze względu na ich natywną integrację Samsung Knox z Nomid MDM.
• Twoja aplikacja POS: Opublikowana prywatnie przez zarządzany sklep Google Play lub dostępna jako bezpieczny plik APK.

Krok 1: Powiąż Android Enterprise ze swoją instancją Nomid MDM

Aby korzystać z trybu kiosku Android Enterprise, musisz najpierw ustanowić bezpieczne połączenie między platformą Android Enterprise firmy Google a konsolą Nomid MDM. Pozwala to na zarządzanie aplikacjami i ciche wdrażanie zasad.

1. Zaloguj się do swojego Panelu Nomid MDM.
2. W menu nawigacyjnym po lewej stronie kliknij Ustawienia>Integracje>Android Enterprise.
3. Kliknij przycisk Zarejestruj w Google. Zostaniesz przekierowany do portalu Managed Google Play Enterprise.
4. Zaloguj się przy użyciu firmowego konta Google (nie używaj osobistego adresu Gmail).
5. Kliknij Rozpocznij i wprowadź nazwę swojej firmy jako nazwę organizacji.
6. Zaakceptuj umowę Managed Google Play i kliknij Potwierdź.
7. Kliknij Zakończ rejestrację. Zostaniesz automatycznie przekierowany z powrotem do konsoli Nomid MDM.
8. Sprawdź, czy status połączenia jest teraz oznaczony jako Aktywny.

Oczekiwany rezultat: Twoja instancja Nomid MDM została pomyślnie powiązana z Android Enterprise, co odblokowuje możliwość wdrażania zarządzanych aplikacji Google Play i egzekwowania zasad dla urządzeń dedykowanych (kiosków).

Uwaga: Jeśli zarządzasz wieloma markami detalicznymi lub franczyzami w ramach jednej korporacji, Nomid MDM pozwala na tworzenie oddzielnych „Witryn” lub „Organizacji”, z których każda posiada własne powiązanie z Managed Google Play w celu precyzyjnej dystrybucji aplikacji.

Krok 2: Zatwierdź i zaimportuj swoją aplikację POS

Przed zablokowaniem urządzenia musisz upewnić się, że aplikacja POS została zatwierdzona do cichej dystrybucji.

1. Przejdź do Zarządzanie aplikacjami>Katalog aplikacji w konsoli Nomid MDM.
2. Kliknij Dodaj aplikację i wybierz Zarządzany sklep Google Play.
3. Wyszukaj swoją aplikację POS (np. Square, Toast, Shopify POS lub własną aplikację autorską).
4. Kliknij aplikację, a następnie kliknij Zatwierdź.
5. Pojawi się komunikat z pytaniem, jak postępować z przyszłymi uprawnieniami aplikacji. Wybierz Pozostaw zatwierdzone, gdy aplikacja poprosi o nowe uprawnienia, aby zapewnić bezproblemowe, ciche aktualizacje.
6. Kliknij Gotowe. Aplikacja pojawi się teraz w Twoim katalogu aplikacji Nomid MDM.

Oczekiwany rezultat: Twoja aplikacja POS została zaimportowana do Nomid MDM i autoryzowana do instalacji typu zero-touch na urządzeniach detalicznych.

Krok 3: Utwórz profil trybu kiosku Android Enterprise

To jest rdzeń Twojej strategii bezpieczeństwa Android POS. Skonfigurujesz profil „Urządzenia dedykowanego” (wcześniej znanego jako COSU - Corporate-Owned Single-Use), aby ograniczyć tablet do jednej aplikacji.

1. Przejdź do Zarządzanie urządzeniami>Profile.
2. Kliknij Utwórz profil>Android>Android Enterprise.
3. Wybierz Urządzenie dedykowane (Kiosk) jako scenariusz wdrożenia.
4. Nazwij profil (np. Blokada POS - Główna kasa).
5. W zakładce Konfiguracja kiosku wybierz Tryb jednej aplikacji.
6. Kliknij Wybierz aplikację i wybierz aplikację POS zatwierdzoną w kroku 2.
7. Skonfiguruj kod PIN wyjścia z kiosku. Wprowadź złożony, 6-cyfrowy kod PIN.
8. W sekcji Automatyczne uruchamianie aplikacji ustaw przełącznik na PRAWDA. Zapewni to automatyczne ponowne uruchomienie aplikacji POS w przypadku jej awarii lub ponownego uruchomienia urządzenia.
9. Kliknij Zapisz i kontynuuj.

Oczekiwany rezultat: Zostanie utworzony bazowy profil trybu kiosku, określający, że urządzenie będzie obsługiwać wyłącznie wybraną aplikację POS i wymagać bezpiecznego kodu PIN do wyjścia.

Ostrzeżenie: Nigdy nie wdrażaj profilu kiosku bez ustawienia kodu PIN wyjścia z kiosku. Jeśli wystąpi błąd sieci lub aplikacja POS będzie wymagać ręcznego rozwiązywania problemów administracyjnych, lokalny personel IT będzie potrzebować tego kodu PIN, aby tymczasowo obejść blokadę. Przechowuj ten kod PIN bezpiecznie w swoim sejfie haseł IT.

Krok 4: Skonfiguruj rygorystyczne ograniczenia sprzętowe i systemowe

Samo zablokowanie ekranu na jednej aplikacji to za mało. Sprytni użytkownicy często potrafią obejść podstawowe kioski za pomocą przycisków sprzętowych lub gestów systemowych. Musisz zastosować głębokie ograniczenia systemowe, aby naprawdę zablokować tablety z Androidem.

Podczas edycji profilu Blokada POS przejdź do zakładki Ograniczenia.W sekcji Funkcjonalność urządzenia zastosuj następujące ustawienia:

• Zezwalaj na przywracanie ustawień fabrycznych: FAŁSZ (Zapobiega kradzieży i nieautoryzowanemu czyszczeniu danych)
• Zezwalaj na uruchamianie w trybie awaryjnym: FAŁSZ (Zapobiega ominięciu agenta MDM)
• Zezwalaj na przechwytywanie ekranu: FAŁSZ (Chroni dane kart kredytowych klientów)
• Zezwalaj na regulację głośności: FAŁSZ (Blokuje dźwięk na optymalnym poziomie dla alertów POS)

W sekcji Interfejs systemowy zastosuj następujące ustawienia:

• Wyłącz pasek stanu: PRAWDA (Ukrywa zegar, baterię i zapobiega dostępowi do szybkich ustawień poprzez przesunięcie palcem w dół)
• Wyłącz pasek nawigacji: PRAWDA (Usuwa przyciski Home, Wstecz i Ostatnie aplikacje)
• Wyłącz ekran blokady: PRAWDA (Zapewnia, że tablet uruchamia się bezpośrednio w aplikacji POS bez konieczności przesuwania palcem)

Jeśli używasz tabletów Samsung Galaxy, przejdź do podzakładki Integracja Samsung Knox.Włącz Ograniczenia sprzętowe Knox i ustaw Wyłącz fizyczny przycisk zasilania: PRAWDA. Zapobiega to przypadkowemu wyłączeniu terminala POS przez personel sklepu podczas transakcji.Kliknij Zapisz i opublikuj.

Oczekiwany rezultat: Urządzenie jest teraz całkowicie zablokowane. Wszystkie drogi ucieczki przez przyciski sprzętowe, gesty przesuwania i menu systemowe są całkowicie wyłączone, co zapewnia absolutne bezpieczeństwo systemu Android POS.

Krok 5: Skonfiguruj okna serwisowe dla cichych aktualizacji

W środowisku detalicznym wymuszenie aktualizacji aplikacji lub systemu operacyjnego w godzinach pracy może zamrozić transakcję i spowodować irytację klientów. Nomid MDM pozwala na planowanie cichych aktualizacji wyłącznie poza godzinami pracy.

1. Przejdź do Zarządzanie urządzeniami>Zasady>Aktualizacje systemowe.
2. Utwórz nową zasadę o nazwie POS Detaliczny - Aktualizacje nocne.
3. W sekcji Zasady aktualizacji systemu wybierz W oknie czasowym.
4. Ustaw Czas rozpoczęcia na 02:00 i Czas zakończenia na 05:00 (pamiętaj o dostosowaniu do lokalnej strefy czasowej swoich sklepów).
5. W sekcji Zasady aktualizacji aplikacji wybierz Wysoki priorytet / W oknie czasowym i zastosuj identyczne ramy czasowe od 02:00 do 05:00.
6. Przypisz tę zasadę do swojej grupy urządzeń Blokada POS.
7. Kliknij Wdróż.

Oczekiwany rezultat: Zarówno poprawki systemu Android, jak i aktualizacje aplikacji POS będą teraz pobierane i instalowane cicho w środku nocy, co gwarantuje brak przestojów w godzinach otwarcia sklepu.

Krok 6: Przygotuj urządzenia za pomocą Zero-Touch Enrollment (ZTE)

Ręczna konfiguracja jest nieefektywna przy wdrażaniu setek terminali POS w wielu lokalizacjach. Nomid MDM specjalizuje się w błyskawicznym wdrażaniu urządzeń przy użyciu Android Zero-Touch Enrollment oraz Samsung Knox Mobile Enrollment (KME).

Zaloguj się do swojego Portalu Android Zero-Touch (lub portalu Samsung KME, jeśli używasz wyłącznie sprzętu Samsung).Przejdź do Konfiguracje i kliknij ikonę +, aby dodać nową konfigurację.W menu rozwijanym EMM DPC wybierz Nomid MDM.W polu JSON DPC Extras wklej swój unikalny token rejestracji Nomid MDM (znajdziesz go w konsoli Nomid MDM w sekcji Rejestracja>Tokeny Zero-Touch). Powinien on wyglądać podobnie do tego: {"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {"tenant_id": "TWÓJ_ID_INSTANCJI_NOMID", "profile_id": "TWÓJ_ID_PROFILU_DETALICZNEGO"}}Nazwij konfigurację Automatyczne wdrożenie Nomid POS i kliknij Zastosuj.Przejdź do zakładki Urządzenia, wybierz nowo zakupione tablety (które sprzedawca sprzętu automatycznie dodał do Twojego portalu) i przypisz im konfigurację Automatyczne wdrożenie Nomid POS.

Oczekiwany rezultat: Gdy kierownik sklepu rozpakuje nowy tablet, połączy go z Wi-Fi i włączy, urządzenie automatycznie skontaktuje się z Google, pobierze agenta Nomid MDM, zastosuje profil kiosku, zainstaluje aplikację POS i samo się zablokuje. Interwencja IT na miejscu nie jest wymagana.

Uwaga: Integracja Nomid MDM z Samsung Knox Mobile Enrollment (KME) oferuje dodatkową warstwę bezpieczeństwa. Jeśli urządzenie zostanie skradzione i zresetowane do ustawień fabrycznych przez niepowołaną osobę, KME gwarantuje, że urządzenie natychmiast ponownie zarejestruje się w Nomid MDM przy następnym połączeniu z Internetem, czyniąc skradziony sprzęt bezużytecznym.

Często zadawane pytania dotyczące rozwiązywania problemów

1. Jak tymczasowo wyjść z trybu kiosku w celu przeprowadzenia konserwacji na miejscu?

Jeśli kierownik sklepu musi uzyskać dostęp do ustawień Androida, aby rozwiązać problem z Wi-Fi, może szybko dotknąć ekranu 5 razy (lub użyć określonego gestu zdefiniowanego w profilu Nomid MDM). Spowoduje to wyświetlenie klawiatury PIN. Wprowadź kod PIN wyjścia z kiosku skonfigurowany w kroku 3. Urządzenie zostanie tymczasowo odblokowane. Po zakończeniu konserwacji ponowne uruchomienie urządzenia lub dotknięcie ikony agenta Nomid MDM natychmiast przywróci blokadę.

2. Aplikacja POS ciągle się zawiesza, a ekran robi się czarny. Jak to naprawić?

Zwykle dzieje się tak, jeśli ustawienie Automatyczne uruchamianie aplikacji nie zostało włączone. Upewnij się, że w profilu kiosku ustawiono Automatyczne uruchamianie aplikacji: PRAWDA. Jeśli aplikacja ulegnie awarii, Nomid MDM wykryje jej zamknięcie i uruchomi ją ponownie w ciągu milisekund. Jeśli czarny ekran nadal występuje, sprawdź konsolę Nomid MDM, aby upewnić się, że przypadkowo nie zablokowałeś usługi działającej w tle (np. Usług Google Play), od której aplikacja POS zależy w procesie przetwarzania płatności.

3. Urządzenia tracą połączenie Wi-Fi i stają się offline w konsoli MDM.

Środowiska detaliczne często mają złożone sieci Wi-Fi. Jeśli wyłączyłeś dostęp do aplikacji Ustawienia Androida, personel sklepu nie może łatwo połączyć się ponownie z Wi-Fi po zresetowaniu routera. Aby to rozwiązać, użyj funkcji Network Payloads w Nomid MDM, aby przesłać identyfikator SSID i hasło do firmowej sieci Wi-Fi bezpośrednio na urządzenia. Dodatkowo możesz włączyć przełącznik Zezwalaj na konfigurację Wi-Fi w kiosku w profilu Nomid MDM, co doda bezpieczny, pływający przycisk konfiguracji Wi-Fi nad aplikacją POS, umożliwiając pracownikom zmianę sieci bez wychodzenia z trybu kiosku.

4. Czy mogę zezwolić na dostęp do drugiej aplikacji, np. czytnika czasu pracy lub skanera magazynowego?

Tak. Jeśli kasjerzy potrzebują dostępu do więcej niż jednej aplikacji, należy zmienić profil z Trybu jednej aplikacji na Tryb kiosku z wieloma aplikacjami. Nomid MDM zastąpi standardowy ekran główny Androida niestandardowym, zablokowanym programem uruchamiającym, który wyświetla tylko określone, zatwierdzone aplikacje (np. aplikację POS, kalkulator i skaner magazynowy). Wszystkie inne aplikacje systemowe i ustawienia pozostaną całkowicie ukryte i niedostępne.

Podsumowanie

Zabezpieczanie punktów końcowych w handlu detalicznym nie musi być złożonym, ręcznym zadaniem. Korzystając z Nomid MDM i trybu kiosku Android Enterprise, możesz śmiało wdrażać tablety z Androidem klasy konsumenckiej jako wytrzymałe i wysoce bezpieczne terminale POS. Od wdrażania typu zero-touch, które pozwala uruchomić sklepy w kilka minut, po szczegółowe ograniczenia sprzętowe Samsung Knox zapobiegające manipulacjom - Nomid MDM zapewnia kompletny zestaw narzędzi do nowoczesnego zarządzania IT w handlu detalicznym.

Udało Ci się pomyślnie skonfigurować w pełni zablokowaną, cicho aktualizującą się i automatycznie przygotowywaną flotę detalicznych terminali POS. Kontynuuj monitorowanie swoich urządzeń za pomocą panelu Nomid MDM, aby zapewnić zgodność, śledzić stan urządzeń i wdrażać bezproblemowe aktualizacje dla swoich pracowników pierwszej linii.