ProGet MDM — zabezpieczenie urządzeń mobilnych

Uwaga redakcyjna: Artykuł dotyczy Proget Software sp. z o.o. (proget.pl) — polskiego systemu MDM z Bielsko-Białej, niezwiązanego z produktem Inedo ProGet (package manager do zarządzania pakietami NuGet/npm/Docker). Wszystkie opisane poniżej funkcje (polityki, geofencing, selective wipe, szyfrowanie urządzeń) odnoszą się do platformy MDM od Proget Software.

46–68% naruszeń danych w firmach zaczyna się od urządzenia mobilnego, którego dział IT nie kontroluje (źródło: Verizon DBIR 2023/2024). Nie od wyrafinowanego ataku hakerskiego. Od służbowego telefonu z wyłączonym szyfrowaniem, bez polityki hasła, podłączonego do publicznego Wi-Fi w kawiarni. MDM (Mobile Device Management) to nie jest narzędzie do "zarządzania telefonami". To narzędzie do zarządzania ryzykiem, które to ryzyko redukuje do poziomu akceptowalnego. W tym artykule pokazuję, jak ProGet MDM i ManageEngine Mobile Device Manager Plus realizują to w praktyce.

46–68% naruszeń danych ma źródło w niezarządzanym urządzeniu mobilnym (Verizon DBIR 2023/2024)

8 min średni czas selective wipe od zgłoszenia zagubienia urządzenia

3 warstwy polityk bezpieczeństwa chronią urządzenie na każdym poziomie

Co to jest ProGet MDM i jak działa

ProGet MDM to rozwiązanie do zarządzania urządzeniami mobilnymi tworzone przez Proget Software sp. z o.o., polską firmę z Bielsko-Białej, specjalizującą się w oprogramowaniu do zarządzania flotą urządzeń mobilnych dla sektora enterprise i MŚP. Platforma oferuje kompleksowe funkcje MDM, MAM i UEM dedykowane polskiemu rynkowi, ze wsparciem technicznym w języku polskim.

Podstawowy mechanizm działania MDM opiera się na protokole enrollment: urządzenie rejestruje się w systemie zarządzania, otrzymuje profil konfiguracyjny i od tej chwili podlega polityce IT. Na iOS realizuje to protokół Apple DEP/ABM, na Android: Android Enterprise (formerly Android for Work). Bez enrollmentu urządzenie po prostu nie otrzymuje dostępu do zasobów firmowych.

Kluczowy insight Różnica między "zabezpieczonym" a "kontrolowanym" urządzeniem jest dokładnie taka, jak między zamkiem w drzwiach a alarmem z monitoringiem. Zamek daje poczucie bezpieczeństwa. Alarm daje dane i czas do reakcji. MDM to alarm.

Warto rozróżnić trzy generacje zarządzania urządzeniami: MDM (zarządzanie samym urządzeniem), MAM (zarządzanie aplikacjami) i UEM (Unified Endpoint Management, zarządzanie wszystkimi typami endpoints). ProGet MDM operuje głównie w warstwie MDM i MAM. ManageEngine Mobile Device Manager Plus oferuje pełny UEM, obejmując laptopy, tablety, smartfony, a nawet urządzenia IoT.

Kluczowe funkcje bezpieczenstwa MDM

Nowoczesne rozwiązania MDM dostarczają kilka warstw ochrony, które działają niezależnie. Awaria jednej nie oznacza upadku całości. Poniżej kluczowe mechanizmy, które powinno oferować każde enterprise-grade rozwiązanie MDM:

Szyfrowanie urządzenia i danych w ruchu

Polityka MDM może wymusić włączenie szyfrowania na poziomie urządzenia (FileVault na macOS, BitLocker na Windows, szyfrowanie sprzętowe na iOS/Android). Dane w ruchu zabezpiecza wymuszony VPN per-app: aplikacje korporacyjne zawsze łączą się przez szyfrowany tunel, bez wyjątków i bez możliwości obejścia przez użytkownika.

Geofencing i conditional access

Geofencing to definicja stref geograficznych, w których urządzenie ma dostęp do zasobów firmowych. Przekroczenie granicy strefy, na przykład wyjazd urządzenia za granicę lub wejście do lokalizacji niezatwierdzonych, automatycznie wyzwala akcję: od powiadomienia, przez blokadę dostępu do emaila, aż po pełną blokadę urządzenia. To szczególnie ważne w branżach regulowanych, gdzie dane nie mogą opuszczać określonej jurysdykcji.

Selective wipe i full wipe

Selective wipe usuwa wyłącznie dane korporacyjne: aplikacje, emaile, dokumenty, konfiguracje VPN, certyfikaty. Prywatne zdjęcia i aplikacje pracownika pozostają nienaruszone. Jest to kluczowe dla BYOD. Full wipe przywraca urządzenie do ustawień fabrycznych i stosowany jest tylko w przypadku kradzieży lub zagubienia urządzenia ze szczególnie wrażliwymi danymi.

Dane z wdrożeń U klientów z wdrożonym MDM średni czas od zgłoszenia zagubienia urządzenia do wykonania selective wipe wynosi 8 minut. Bez MDM ten sam proces zajmuje 2-3 dni — i kończy się rozmową z prawnikiem o naruszeniu RODO.

Kontrola aplikacji i App Catalog

Polityki MDM definiują whitelist i blacklist aplikacji. App Catalog dostarcza pracownikom zatwierdzony zestaw narzędzi, bez możliwości instalacji zewnętrznych APK poza oficjalnym sklepem lub katalogiem firmowym. W trybie kiosk (single-app mode) urządzenie może uruchamiać wyłącznie jedną, zatwierdzoną aplikację; przydatne w przypadku tabletów na liniach produkcyjnych lub w handlu.

3 warstwy polityk ochrony urządzeń

W praktycznych wdrożeniach polityki MDM układają się w trzy warstwy, które odpowiadają na różne scenariusze zagrożeń. Każda warstwa jest niezależna. Można je wdrażać stopniowo, zaczynając od warstwy pierwszej.

Warstwa 1

Wymuszenie podstaw

Szyfrowanie urządzenia, siła hasła (min. 8 znaków, duże/małe/cyfry/znaki specjalne), automatyczna blokada po 5 minutach bezczynności. Zero wyjątków, zero "tylko na chwilę".

Warstwa 2

Kontrola dostępu

Geofencing, conditional access na zasoby firmowe, wymuszony per-app VPN, blokada niezatwierdzonych sieci Wi-Fi, certyfikaty urządzenia jako drugi czynnik uwierzytelnienia.

Warstwa 3

Reakcja na incydent

Zdalne blokowanie, selective wipe, full wipe, śledzenie lokalizacji (tylko urządzenia firmowe, za zgodą), automatyczne raporty compliance, alerty o próbach jailbreak/root.

Wdrożenie wszystkich trzech warstw jednocześnie może spotkać się z oporem pracowników, zwłaszcza w przypadku urządzeń prywatnych (BYOD). Rekomendowane podejście to wdrożenie warstwa po warstwie, z odpowiednim komunikatem dla użytkowników wyjaśniającym co jest zbierane, co nie jest zbierane i dlaczego.

ProGet MDM vs ManageEngine MDM vs Microsoft Intune

Rynek MDM/UEM jest dojrzały i konkurencyjny. Trzy rozwiązania, które najczęściej pojawiają się w polskich firmach enterprise to ProGet MDM, ManageEngine Mobile Device Manager Plus i Microsoft Intune. Różnią się modelem integracji, ceną i zakresem funkcji.

Kryterium	ProGet MDM	ManageEngine MDM+	Microsoft Intune
Integracja z ITSM	Ograniczona (API)	Natywna z SDP	Przez konektor
Dystrybucja aplikacji mobilnych	App Catalog (on-prem)	App Catalog	Win32/LoB apps
BYOD / selective wipe	Tak	Tak	Tak
Geofencing	Podstawowy	Zaawansowany	Przez Compliance
Model licencji	Per-server (on-prem)	Per-device lub SaaS	Microsoft 365 bundle

Dla firm korzystających z ekosystemu ManageEngine (ServiceDesk Plus, AssetExplorer, Log360) naturalnym wyborem jest ManageEngine Mobile Device Manager Plus: natywna integracja eliminuje potrzebę budowania własnych konektorów i zapewnia spójny widok incydentów, zasobów i polityk w jednym miejscu. ProGet MDM (Proget Software) sprawdza się tam, gdzie priorytetem jest polskojęzyczne wsparcie techniczne, wdrożenie on-premises i dedykowana obsługa rynku SME/enterprise w Polsce. Intune to wybór dla firm mocno zanurzonych w ekosystemie Microsoft 365 z Azure AD jako centrum tożsamości.

Wdrożenie krok po kroku

Wdrożenie MDM to projekt, nie jednorazowa konfiguracja. Poniżej schemat działania, który stosujemy u klientów:

Inwentaryzacja urządzeń: lista wszystkich urządzeń mobilnych, które mają dostęp do zasobów firmowych: firmowych i prywatnych (BYOD). To baseline do polityk i licencjonowania.
Definicja polityk bezpieczeństwa: decyzja co jest wymagane obowiązkowo (szyfrowanie, hasło) a co opcjonalne (geofencing, single-app mode). Polityki powinny być zatwierdzone przez HR i prawnika przed wdrożeniem.
Konfiguracja serwera MDM i integracja z Active Directory: serwer MDM łączy się z AD/Azure AD, pobiera grupy użytkowników i przypisuje profile konfiguracyjne per-grupa. Dla Apple: konfiguracja Apple Business Manager (DEP). Dla Android: konfiguracja Android Enterprise.
Enrollment pilot (10-20 urządzeń): wdrożenie na grupie pilotażowej, zebranie feedbacku, korekta polityk przed pełnym rolloutem. Ten krok jest często pomijany, i jest to najczęstszy błąd.
Pełny rollout i komunikacja do pracowników: enrollment wszystkich urządzeń, szkolenie pracowników z aplikacji MDM (Intelligent Hub / Company Portal), dokumentacja co jest monitorowane.
Monitoring compliance i cykl przeglądów: raporty compliance co tydzień, przegląd polityk co kwartał, aktualizacja polityk przy każdej zmianie systemu operacyjnego.

Integracja z ServiceDesk Plus

Najważniejsza przewaga ManageEngine Mobile Device Manager Plus nad niezależnymi rozwiązaniami MDM to integracja z ServiceDesk Plus. W praktyce oznacza ona:

Automatyczne tickety przy incydentach MDM: zgłoszenie zagubienia urządzenia przez pracownika automatycznie tworzy ticket w SDP, przypisuje go do właściwego technika i uruchamia workflow selective wipe.
CMDB synchronizacja: każde urządzenie zarządzane przez MDM pojawia się automatycznie jako asset w CMDB ServiceDesk Plus z pełnym profilem: model, OS, wersja, compliance, właściciel, lokalizacja.
Dashboardy compliance: widok w SDP pokazuje, które urządzenia nie spełniają polityk bezpieczeństwa, z możliwością natychmiastowej akcji remediacyjnej bez przełączania się między systemami.
Alerty przez katalog usług: pracownicy zgłaszają problem z urządzeniem przez Service Catalog, a nie przez telefon do helpdesku, co skraca czas reakcji i tworzy pełną historię incydentu.

W przypadku ProGet MDM lub Microsoft Intune integrację z ServiceDesk Plus można zbudować przez API, ale wymaga to własnego developmentu lub zakupu konektor ów. Koszt i złożoność tej integracji to jeden z kluczowych argumentów przy wyborze ManageEngine MDM+ dla firm, które już korzystają z SDP.

Pytanie do Twojej firmy Czy MDM działa u was jako samodzielne narzędzie, czy jest zintegrowany z ServiceDesk Plus i CMDB — tak żeby incydent z urządzeniem tworzył ticket automatycznie? Jeśli nie — to luka, którą warto zamknąć zanim zdarzenie bezpieczeństwa wymusi to awaryjnie.

Podsumowanie i rekomendacje

MDM to nie projekt jednorazowy i nie checkbox w audycie. To ciągły proces, który wymaga utrzymania: aktualizacji polityk przy nowych wersjach OS, przeglądu listy urządzeń przy rotacji pracowników i regularnych testów procedur wipe.

Trzy decyzje, które warto podjąć zanim zaczniesz wdrożenie:

On-premises czy SaaS? On-prem daje pełną kontrolę nad danymi, SaaS eliminuje koszty utrzymania serwera. Dla danych wrażliwych (branża medyczna, finanse, obronność) on-prem jest często wymogiem compliance.
Jeden ekosystem czy najlepsze narzędzie per kategoria? Jeśli już korzystasz z ManageEngine, MDM+ to wybór oczywisty. Jeśli jesteś na Microsoft 365, Intune to naturalny krok. Mieszanie ekosystemów generuje koszty integracji.
Jakie urządzenia priorytetowo? Zacznij od urządzeń z dostępem do najwrażliwszych zasobów: email zarządu, VPN do systemów ERP, dostęp do danych klientów. Dopiero potem obejmuj szerokim enrollmentem wszystkich pracowników.

FAQ: Najczęstsze pytania o MDM

Odpowiedzi na pytania, które najczęściej pojawiają się przed decyzją o wdrożeniu MDM.

Czym różni się ProGet MDM od ManageEngine Mobile Device Manager Plus?

ProGet MDM (Proget Software, Bielsko-Biała) to polskie rozwiązanie MDM skupione na zarządzaniu urządzeniami mobilnymi w środowisku enterprise, ze wsparciem technicznym w języku polskim i modelem licencji on-premises. ManageEngine Mobile Device Manager Plus oferuje pełny zakres UEM z natywną integracją z ServiceDesk Plus, CMDB i innymi narzędziami ManageEngine, co czyni go lepszym wyborem gdy firma już korzysta z ekosystemu ManageEngine. Uwaga: nie należy mylić ProGet MDM z produktem Inedo ProGet, który jest niezwiązanym z MDM repozytorium pakietów (NuGet, npm, Docker).

Jak długo trwa wdrożenie MDM w firmie?

Podstawowe wdrożenie MDM z enrollment urządzeń trwa zazwyczaj 1-2 tygodnie. Pełne wdrożenie z konfiguracją polityk, integracją z Active Directory i szkoleniem działu IT to 3-6 tygodni w zależności od liczby urządzeń i złożoności infrastruktury.

Co to jest selective wipe i kiedy go używać?

Selective wipe usuwa wyłącznie dane firmowe (emaile, aplikacje korporacyjne, dokumenty, VPN) z urządzenia, pozostawiając prywatne zdjęcia i aplikacje pracownika. Używa się go gdy urządzenie jest zgubione lub pracownik odchodzi z firmy. Full wipe przywraca urządzenie do ustawień fabrycznych, stosowany tylko gdy urządzenie trafi w złe ręce.

Czy MDM działa na urządzeniach prywatnych pracowników (BYOD)?

Tak. Zarówno ProGet MDM jak i ManageEngine Mobile Device Manager Plus obsługują scenariusz BYOD (Bring Your Own Device). W modelu BYOD tworzone jest izolowane środowisko kontenerowe dla danych firmowych. Selective wipe usuwa tylko ten kontener, dane prywatne pracownika pozostają nieruszone.

Czy MDM jest wymagany przez RODO lub ISO 27001?

MDM nie jest wprost wskazany w przepisach, ale jest praktycznie niezbędny do spełnienia wymagań artykułu 32 RODO (techniczne środki ochrony danych osobowych) oraz kontroli A.6.7 ISO 27001:2022 (polityki urządzeń mobilnych). Brak MDM w audycie ISO lub podczas kontroli UODO może być traktowany jako brak odpowiednich zabezpieczeń.

Jakub Roszkiewicz

CTO — Rotech Group / ILUN Systems

Ekspert ManageEngine z wieloletnim doświadczeniem we wdrożeniach ITSM, MDM i bezpieczenstwa IT w firmach produkcyjnych i dystrybucyjnych. Odpowiada za architekturę techniczną rozwiązań Rotech Group. Autor wdrożeń ServiceDesk Plus On-Prem i MSP dla klientów z branży automotive, FMCG i retail.

Bezpłatna analiza

Dobierz MDM dla Twojej firmy

Przeprowadzamy bezpłatną analizę środowiska: które urządzenia wymagają zarządzania, jakie polityki są potrzebne i które rozwiązanie pasuje do Waszej infrastruktury.

Umów bezpłatną analizę Wróć do bloga

Planujesz wdrożenie MDM lub ManageEngine w swojej firmie? Sprawdź jak wygląda wdrożenie z Rotech Group →

Powiązane artykuły

ITSM dla MSP — jak wybrać i wdrożyć system Jak przekonać zarząd do inwestycji w ITSM Oxari ITSM — 8 kluczowych funkcji dla IT Managera

← Wszystkie artykuły

Wróć do bloga

Następny artykuł →

MDM: zarządzanie urządzeniami mobilnymi w firmie produkcyjnej i MSP