身為北飄青年,家裡的電子設備還是要顧,總會有各種各樣的問題需要遠端救援,續到最後還算穩定的Unifi和OPNsense後,今年升級了MDM,聽到MDM一般應該會想到國軍的那一套,但其實MDM意思是Mobile Device Management,很多企業會用來管理員工的3C裝置,用來管理小孩或長輩的手機更是不在話下。
前言
MDM可以做到很多事情,我選擇了25台以下不需要收費的ManageEngine作為我家的MDM解決方案,主要想做的是管理手機能不能裝APP、封鎖一些不良網站(For我家堂弟)、一鍵遠端支援功能,另外或許以後會用到的裝置定位功能。除了MDM外,我還搭配了NextDNS(推廣連結,首年七折)來過濾一些有害網站,若是不想花錢買的話簡單選用CloudFlare的家庭用DNS也是一個不錯的解決方案。
Apple使用者注意
Apple需要企業帳號才能實現管理功能,家庭用戶若孩子使用蘋果裝置可以離開了。
推廣一下NextDNS
NextDNS和其他免費的DNS不同之處在於他擁有一個控制台,可以針對不同裝置去查看它們存取了哪一些網站(但沒有內容),發生誤鎖的話可以手動解除特定網站的封鎖;也有基礎的檔廣告功能,免費版也有一個月30萬的查詢額度可以用。若是使用CloudFlare的DNS服務的話,沒有報告、誤鎖也沒有辦法自己解鎖。
我用到的功能
本次新增的裝置是我爺的三星平板與今年送我表弟的三星手機,針對我爺我把整台平板鎖到只剩下Line和維基百科;針對我表弟的我只套用了Private DNS強制指向我設定好的NextDNS,至於哪些APP能裝請他爸媽使用Google的Family Link去管理就好,身為一年見面不到五次的親戚,實在不好去做審核哪些APP能不能用的。
APP管理
APP管理除了可以建立一個私有的Play商店,只上架受允許的APP外,也可以從系統中移除那些不需要使用的內建APPs,例如內建於三星的Onedrive或是三星商城之類的,間接提高裝置的系統效能。
要使用企業用Play商店需要去Google註冊一個企業帳號,這邊需要一個自己的電子郵件和網域,但如過只是不想讓小孩亂裝APP就直接把安裝APP的功能關閉即可,需要安裝的話去裝置管理把APP送到裝置即可(術語叫做派送)。前者是提供一個白名單讓使用者自己裝需要的,後者是直接幫特定裝置安裝APP。
有一些APP會支援企業設定檔,例如VPN軟體可以自動登入並連上VPN,搭配強制連線功能或許可以保護孩子的隱私。
定位追蹤
這個功能應該不用多做解釋,建議搭配強制開啟行動網路、強制開啟定位功能、禁止開飛航模式這三個設定,孩子除了將手機關機外無法阻止你知道他的位置。
遠端控制
這個不用多做解釋,使用者只需要按下同意(對,當你啟動這功能是他會直接跳出來),你就可以用網頁去控制整台裝置。
MDM的基本概念
針對受控裝置的三個基本單位:使用者、群組、裝置。所有的設定和APP可以針對前面的三個單位派送。
應用程式:在MDM的世界,APP除了像一般在PlayStore下載之外,還可以在安裝前加上設定檔,例如指定VPN軟體要連線到哪一個伺服器;其中功能最多的是ManageEngine MDM,這個是ManageEngine推出的App,很多功能都是透過這個APP達成;目前Private DNS功能是使用這塊完成,所以整個企業只能統一設定,無法區分不同的裝置或群組。
設定檔:比交偏向裝置層級的設定,多是作業系統原生提供的功能,需要特定版本的以上才支援,例如密碼原則、是否允許回復原廠設定或能不能連Wifi、打電話等設定,因為視作業系統提供的,這些功能基本上沒有繞過的可能,只要你有確實設定好的話。
讓我們開始吧
設定檔是用來處理系統層級的設定,我的設定如下;這樣設定應該就可鎖定DNS檔掉壞壞的網站,強制開啟安全搜尋以及若有需要可以派送憑證監聽加密通訊(這部分比較麻煩還沒打算弄,可能牽涉到派送VPN並強制開啟,然後去解密加密流量的部分)。
建議可以搭配Google Family Link服用,做到螢幕時間控管以及更便利的APP安裝許可。
限制
安全性
- 禁止恢復出廠設定
- 禁止使用者安裝或修改憑證
- 禁止開發人員模式
- 禁止安全模式
- 始終開啟Google Play Protect
應用程式
這邊隨喜,但這邊有一個地雷,就是繁體中文的翻譯是錯誤的…需要以英文版為準,選Allow的話,使用者是不能自己裝任何APP的,即使是已經上架的APP,全部的安裝需要由MDM派送。
位置設定
- 始終開啟定位服務
- 禁止模擬位置
日期與時間
- 從網際網路取得時間
- 禁止修改時間設定
成果
這樣一頓操作下來,成功達成了一開始的主要目的,針對爺爺的平板,把APP鎖到只剩下Wiki和Line,且無法分享網路(我還在使用台灣之星的0元方案,1G 60元,雖然很貴但Line用不了多少)。
針對堂弟的手機,主要是放在強制使用NextDNS封鎖不良網站,以及不允許修改時間與關閉定位功能,並指定特定APP無法被解除安裝,這樣可以確保他爸媽另外安裝的Family Link不會被破解或移除,必要的時候也可以對裝置進行定位。