Zatrzymywanie aplikacji typu App Killer: Jak chronić aplikacje MTD przy użyciu uprawnień opartych na rolach AMAPI

Uporczywym i frustrującym wyzwaniem w mobilności korporacyjnej jest zapewnienie, że krytyczne aplikacje bezpieczeństwa pozostają aktywne. Wdrażasz najnowocześniejsze rozwiązanie Mobile Threat Defense (MTD) we flocie korporacyjnej, tylko po to, by odkryć, że urządzenia przestają być zgodne z przepisami. Winowajca? Agresywne protokoły optymalizacji baterii OEM -- często nazywane „zabójcami aplikacji” -- lub świadomi użytkownicy końcowi ręcznie wymuszający zatrzymanie aplikacji, aby oszczędzać baterię lub ominąć monitorowanie.

Aby utrzymać postawę bezpieczeństwa zero-trust, aplikacje MTD muszą działać po cichu i w sposób ciągły w tle, 24 godziny na dobę, 7 dni w tygodniu. Gdy limity wykonywania w tle systemu Android zamykają te aplikacje, sieć korporacyjna staje się podatna na phishing, złośliwe oprogramowanie i ataki typu man-in-the-middle. Historycznie rozwiązanie tego problemu wymagało złożonego, niestandardowego skryptowania JSON i ciągłej walki z ustawieniami baterii specyficznymi dla producenta.

Dowiedz się, jak wykorzystać najnowsze uprawnienia oparte na rolach Android Management API (AMAPI) w ramach Nomid MDM, aby uczynić narzędzia Mobile Threat Defense całkowicie odpornymi na manipulacje. Jako oficjalny partner Android Enterprise, Nomid MDM zapewnia bezproblemowe, oparte na interfejsie użytkownika podejście do omijania agresywnych ograniczeń systemu operacyjnego, zapewniając, że Twój stos bezpieczeństwa pozostanie niepokonany w wdrożeniach w służbie zdrowia, handlu detalicznym, edukacji i logistyce.

Zrozumienie problemu „zabójców aplikacji” w systemie Android

Zanim będziesz mógł skutecznie powstrzymać zabójców aplikacji na Androidzie, musisz zrozumieć, jak system operacyjny Android zarządza zasobami. Aby maksymalnie wydłużyć czas pracy na baterii, Android wykorzystuje kilka agresywnych funkcji oszczędzania energii, z których najbardziej znane to tryb Doze i App Standby Buckets. Choć są one doskonałe dla urządzeń konsumenckich, sieją spustoszenie w korporacyjnych narzędziach bezpieczeństwa.

Gdy urządzenie jest odłączone od zasilania i nieruchome, tryb Doze ogranicza aktywność procesora i sieci w tle. Ponadto funkcja App Standby Buckets kategoryzuje aplikacje na podstawie interakcji użytkownika. Ponieważ aplikacje MTD są zaprojektowane tak, aby były niewidoczne dla użytkownika, system operacyjny często kategoryzuje je w zasobnikach „Rzadkie” lub „Ograniczone”, co poważnie ogranicza ich zdolność do skanowania w poszukiwaniu zagrożeń lub raportowania do konsoli MDM.

Dopełnieniem tego zachowania na poziomie systemu operacyjnego jest ingerencja użytkownika. Jeśli pracownik zauważy, że aplikacja zużywa baterię, może przejść do ustawień urządzenia i dotknąć „Wymuś zatrzymanie”. Po wymuszonym zatrzymaniu aplikacja nie może uruchomić się ponownie, dopóki użytkownik nie uruchomi jej ręcznie. Aby ochrona MTD w systemie Android Enterprise była skuteczna, musisz zneutralizować zarówno optymalizację baterii na poziomie systemu operacyjnego, jak i możliwość zamknięcia aplikacji przez użytkownika.

{{OBRAZ_1}}

Rozwiązanie Nomid MDM: Uprawnienia oparte na rolach AMAPI

Nowoczesne rozwiązanie tego wyzwania leży w interfejsie Android Management API (AMAPI). Google wprowadziło uprawnienia oparte na rolach AMAPI (w szczególności poprzez DelegatedScope), aby umożliwić menedżerom zasobów IT przyznawanie podwyższonych uprawnień na poziomie systemu określonym aplikacjom, bez konieczności bycia przez te aplikacje kontrolerem zasad urządzenia (DPC).

W połączeniu z precyzyjnymi zasadami wyłączenia z optymalizacji baterii MDM i rygorystycznymi ustawieniami blokady aplikacji, Nomid MDM zapewnia, że wymuszone aplikacje na Androida stają się prawdziwie odpornymi na manipulacje aplikacjami bezpieczeństwa. Niezależnie od tego, czy wdrażasz wzmocnione skanery w magazynie logistycznym, czy tablety z obsługą Samsung Knox w placówce medycznej, ta konfiguracja gwarantuje, że Twoje rozwiązanie MTD przetrwa ponowne uruchomienia, ingerencję użytkownika i agresywne zarządzanie zasobami systemu operacyjnego.

{{OBRAZ_2}}

Samouczek krok po kroku: Zabezpieczanie aplikacji MTD przed manipulacją w Nomid MDM

Wykonaj te precyzyjne kroki w konsoli Nomid MDM, aby skonfigurować, wdrożyć i chronić aplikację Mobile Threat Defense przy użyciu uprawnień opartych na rolach AMAPI. Ten samouczek zakłada, że masz już połączone zarządzane konto Google Play ze swoją instancją Nomid MDM.

Krok 1: Wymuszenie instalacji aplikacji MTD

Aby upewnić się, że aplikacja MTD jest obecna na urządzeniu natychmiast po rejestracji Zero-Touch, musisz skonfigurować ją jako aplikację instalowaną przymusowo. Zapobiega to odinstalowaniu jej przez użytkownika.

1. Zaloguj się do Konsoli administratora Nomid MDM.
2. Przejdź do Aplikacje > Katalog aplikacji w menu nawigacyjnym po lewej stronie.
3. Kliknij Dodaj aplikację i wyszukaj konkretne rozwiązanie MTD (np. Lookout, Zimperium lub Microsoft Defender) w ramce iframe zarządzanego Sklepu Google Play.
4. Zatwierdź aplikację i jej wymagane uprawnienia, a następnie kliknij Synchronizuj.
5. Przejdź do Zasady > Profile urządzeń i wybierz profil przypisany do docelowych urządzeń.
6. Na karcie Aplikacje znajdź swoją aplikację MTD i zmień Typ wdrożenia na Wymuszona instalacja (odpowiednik AMAPI: installType: FORCE_INSTALLED).
7. Zapisz profil.

Oczekiwany rezultat: Aplikacja MTD zostanie teraz automatycznie pobrana i zainstalowana na wszystkich urządzeniach przypisanych do tego profilu bez konieczności interakcji ze strony użytkownika, a przycisk „Odinstaluj” zostanie zablokowany na urządzeniu.

Ostrzeżenie: Aplikacje instalowane przymusowo zużywają dane sieciowe podczas początkowej konfiguracji urządzenia. Jeśli wdrażasz urządzenia za pomocą rejestracji Zero-Touch przez sieci komórkowe w logistyce lub środowiskach pracy w terenie, upewnij się, że Twoje plany taryfowe uwzględniają ten początkowy transfer danych.

Krok 2: Zastosowanie wyłączenia z optymalizacji baterii MDM

Następnie musisz poinstruować system operacyjny Android, aby ignorował tę konkretną aplikację podczas stosowania trybu Doze i limitów App Standby.

1. Będąc nadal w sekcji Profile urządzeń w Nomid MDM, edytuj swój profil docelowy.
2. Przejdź do karty Zaawansowane konfiguracje aplikacji.
3. Znajdź sekcję Wyłączenia z optymalizacji baterii.
4. Kliknij Dodaj wyłączenie i wybierz swoją aplikację MTD z listy rozwijanej.
5. Przełącz ustawienie na Wyłączone z optymalizacji. (Wykorzystuje to zasadę AMAPI batteryOptimization: EXEMPTED).
6. Zapisz zmiany.

Oczekiwany rezultat: System operacyjny Android nie będzie już zawieszać procesów w tle aplikacji MTD, zapewniając ciągłe skanowanie zagrożeń niezależnie od poziomu naładowania baterii urządzenia lub stanu czuwania.

Krok 3: Przypisanie uprawnień opartych na rolach AMAPI (Delegated Scopes)

To krytyczny krok, aby powstrzymać zabójców aplikacji na Androidzie. Delegując zakres Security Admin, dajesz aplikacji MTD uprawnienia do monitorowania zdarzeń na poziomie systemu bez ryzyka zamknięcia przez system operacyjny.

1. W konsoli Nomid MDM przejdź do Bezpieczeństwo > Uprawnienia delegowane.
2. Kliknij Utwórz nową delegację.
3. Wybierz docelowy Profil urządzenia.
4. W polu Aplikacja docelowa wybierz swoją aplikację MTD.
5. Na liście Delegowane zakresy zaznacz pole Security Admin (odpowiednik AMAPI: DELEGATED_SCOPE_SECURITY_ADMIN).
6. Opcjonalnie: Jeśli Twoja aplikacja MTD zapewnia ochronę przed phishingiem za pośrednictwem lokalnego VPN, zaznacz również pole Network Activity Admin (odpowiednik AMAPI: DELEGATED_SCOPE_NETWORK_ACTIVITY_LOGS).
7. Kliknij Zastosuj delegację.

Oczekiwany rezultat: Aplikacja MTD posiada teraz podwyższone uprawnienia na poziomie systemu. System operacyjny rozpoznaje ją jako krytyczny komponent bezpieczeństwa, co znacznie zmniejsza prawdopodobieństwo nieoczekiwanego zamknięcia przez protokoły zarządzania pamięcią specyficzne dla producenta OEM.

Uwaga: Nie wszystkie aplikacje MTD są zbudowane tak, aby akceptować wszystkie delegowane zakresy AMAPI. Zapoznaj się z dokumentacją dostawcy konkretnej aplikacji MTD, aby upewnić się, że delegujesz tylko te zakresy, do których obsługi aplikacja została zaprogramowana.

Krok 4: Zablokowanie ustawień informacji o aplikacji, aby zapobiec ingerencji użytkownika

Nawet przy zastosowaniu zabezpieczeń na poziomie systemu operacyjnego, użytkownik może nadal próbować przejść do ustawień urządzenia i wybrać „Wymuś zatrzymanie” lub wyczyścić dane aplikacji. Musisz zablokować dostęp do tych ustawień.

1. Przejdź do Zasady > Profile urządzeń i otwórz swój profil docelowy.
2. Przejdź do karty Ograniczenia urządzenia.
3. Przewiń w dół do sekcji Zarządzanie aplikacjami.
4. Znajdź ustawienie o nazwie Zezwalaj użytkownikowi na modyfikację ustawień aplikacji i przełącz je na Wyłączone (odpowiednik AMAPI: modifyAppSettingsDisabled: true).
5. Aby zachować pełną skrupulatność, znajdź Zezwalaj użytkownikowi na wymuszanie zatrzymania aplikacji i przełącz na Wyłączone.
6. Kliknij Opublikuj profil, aby przesłać te zmiany do swojej floty.

Oczekiwany rezultat: Gdy użytkownik przejdzie do Ustawienia > Aplikacje > [Aplikacja MTD], przyciski „Wymuś zatrzymanie”, „Odinstaluj” i „Wyczyść dane” będą wyszarzone i nieaktywne. Aplikacja jest teraz w pełni odporna na manipulacje.

Weryfikacja ochrony MTD przed manipulacją

Po przesłaniu zaktualizowanego profilu Nomid MDM na urządzenia, musisz zweryfikować, czy konfiguracja skutecznie powstrzymuje zabójców aplikacji na Androidzie i zapobiega ingerencji użytkownika. Weź urządzenie testowe, które otrzymało zaktualudowany profil, i wykonaj następujące testy:

• Test wymuszonego zatrzymania: Przejdź do Ustawienia > Aplikacje > [Twoja aplikacja MTD]. Sprawdź, czy przyciski „Wymuś zatrzymanie” i „Odinstaluj” są wyszarzone.
• Test optymalizacji baterii: Przejdź do Ustawienia > Bateria > Optymalizacja baterii (ścieżki menu różnią się w zależności od producenta OEM). Wyszukaj swoją aplikację MTD. Powinna mieć status „Nieoptymalizowana”, a użytkownik nie powinien mieć możliwości zmiany tego stanu.
• Test ponownego uruchomienia: Uruchom ponownie urządzenie. Nie otwieraj aplikacji MTD ręcznie. Zaloguj się do konsoli internetowej dostawcy MTD i sprawdź, czy urządzenie łączy się i raportuje swój stan kondycji w ciągu 5 minut od uruchomienia. Potwierdza to, że aplikacja uruchamia się automatycznie w tle.

Jeśli urządzenie przejdzie pomyślnie wszystkie trzy testy, Twoje uprawnienia oparte na rolach AMAPI i wyłączenia z optymalizacji baterii MDM działają idealnie.

{{OBRAZ_3}}

Często zadawane pytania dotyczące rozwiązywania problemów

Dlaczego moja aplikacja MTD nadal przechodzi w stan uśpienia na urządzeniach Samsung?

Urządzenia Samsung korzystają z zastrzeżonego systemu zarządzania baterią obok natywnej funkcji Android Doze. Podczas gdy polityka wyłączenia z baterii Nomid MDM obsługuje stronę natywnego Androida, może być konieczne skorzystanie z naszej głębokiej integracji z Samsung Knox. W konsoli Nomid MDM przejdź do sekcji OEMConfig swojego profilu, dodaj wtyczkę Knox Service Plugin (KSP) i wyraźnie dodaj nazwę pakietu aplikacji MTD do białej listy w ustawieniach optymalizacji baterii Knox.

Delegowany zakres „Security Admin” nie został zastosowany. Co poszło nie tak?

AMAPI odrzuci delegowany zakres, jeśli aplikacja docelowa nie jest zainstalowana przymusowo lub jeśli manifest aplikacji nie deklaruje wsparcia dla tej konkretnej roli zarządzania. Upewnij się, że Krok 1 (Wymuszona instalacja) został w pełni ukończony i zsynchronizowany przed zastosowaniem Kroku 3. Dodatkowo sprawdź u dostawcy MTD, czy obecna wersja aplikacji obsługuje delegowane zakresy AMAPI.

Czy użytkownicy mogą to ominąć, uruchamiając urządzenie w trybie awaryjnym?

Jak zaktualizować aplikację MTD, jeśli zablokowałem modyfikacje aplikacji?

Zablokowanie ograniczenia „Modyfikuj ustawienia aplikacji” uniemożliwia użytkownikowi zmianę stanów aplikacji; nie uniemożliwia to systemowi MDM aktualizacji aplikacji. Nomid MDM będzie nadal po cichu przesyłać aktualizacje do aplikacji MTD za pośrednictwem zarządzanego Sklepu Google Play w tle, zgodnie ze skonfigurowanymi zasadami okna konserwacji.

Urządzenie wyświetla się jako „Niezgodne” w Nomid MDM po zastosowaniu tych ustawień. Dlaczego?

Zwykle dzieje się tak, jeśli aplikacja MTD wymaga od użytkownika jednokrotnego otwarcia jej w celu przyznania lokalnych uprawnień urządzenia (takich jak Lokalizacja lub Pamięć), zanim będzie mogła zostać aktywowana. Aby to naprawić, użyj Zasad uprawnień aplikacji w Nomid MDM, aby po cichu automatycznie przyznać wszystkie wymagane uprawnienia wykonawcze aplikacji MTD. Ustaw zasadę uprawnień na GRANT dla konkretnej nazwy pakietu MTD, aby nie była wymagana żadna interakcja ze strony użytkownika.

Podsumowanie

Powstrzymanie zabójców aplikacji na Androidzie i zapewnienie ciągłego działania stosu bezpieczeństwa nie jest już kwestią zgadywania i obejść specyficznych dla producentów OEM. Wykorzystując uprawnienia oparte na rolach AMAPI, wyłączenia z optymalizacji baterii i rygorystyczne ograniczenia zarządzania aplikacjami, możesz przekształcić standardowe wdrożenia mobilne w utwardzone punkty końcowe typu zero-trust.

Nomid MDM eliminuje złożoność skryptowania JSON w Android Management API, umożliwiając menedżerom zasobów IT wdrażanie odpornych na manipulacje rozwiązań MTD za pomocą zaledwie kilku kliknięć. Niezależnie od tego, czy zabezpieczasz dane pacjentów w służbie zdrowia, czy chronisz systemy punktów sprzedaży w handlu detalicznym, wdrożenie tych kroków gwarantuje, że Twoje aplikacje Mobile Threat Defense będą działać bezbłędnie w tle.

Gotowy na błyskawiczne wdrażanie urządzeń i niezrównaną kontrolę bezpieczeństwa? Zaloguj się do konsoli Nomid MDM już dziś, aby skonfigurować uprawnienia delegowane, lub skontaktuj się z naszymi specjalistami ds. integracji Android Enterprise, aby zoptymalizować poziom bezpieczeństwa Twojej floty.