Un MDM (Mobile Device Management) è una piattaforma software che permette a un’organizzazione di gestire, monitorare e applicare policy di sicurezza su dispositivi mobili — smartphone, tablet, laptop — di proprietà aziendale o personale usati per lavoro (BYOD, Bring Your Own Device). Con la diffusione del lavoro remoto e l’accesso alle risorse aziendali da dispositivi mobili, l’MDM è diventato un controllo fondamentale per estendere le policy di sicurezza aziendale oltre il perimetro di rete.
Architettura
L’MDM funziona tramite un agente (profilo di gestione) installato sul dispositivo, che lo registra presso il server MDM. Su iOS, il profilo di gestione è installato tramite Apple DEP (Device Enrollment Program, ora Apple Business Manager) o su invito. Su Android, tramite Android Enterprise (Work Profile o Device Owner mode).
Il canale di comunicazione tra agente e server usa API native della piattaforma — MDM Protocol di Apple (APNS), Android Management API di Google — che operano anche quando le app utente non sono in esecuzione.
Funzionalità principali
Enrollment e provisioning: registrazione automatica dei dispositivi aziendali (zero-touch enrollment tramite DEP/Android Zero-Touch), distribuzione automatica di certificati, account email, VPN e configurazioni Wi-Fi.
Policy enforcement: imporre requisiti di sicurezza sul dispositivo — lunghezza minima del PIN, cifratura abilitata, versione OS minima, assenza di jailbreak/root. I dispositivi non conformi possono essere bloccati dall’accesso alle risorse aziendali.
App management (MAM): distribuzione, aggiornamento e rimozione di app aziendali. Le app gestite possono essere configurate centralmente (es. impostare il server Exchange automaticamente) e rimosse remotamente senza toccare i dati personali dell’utente.
Remote wipe: cancellazione remota del dispositivo in caso di smarrimento o furto. Le piattaforme MDM moderne distinguono tra full wipe (cancellazione completa) e selective wipe (rimozione solo dei dati aziendali, lasciando intatti i dati personali) — fondamentale in contesti BYOD per rispettare la privacy del dipendente.
Compliance monitoring: verifica continua che i dispositivi rispettino le policy (OS aggiornato, schermo bloccato, cifratura attiva). Integrazione con sistemi di Conditional Access (Azure AD, Okta) per bloccare l’accesso alle app aziendali da dispositivi non conformi.
BYOD e Work Profile (Android)
In contesti BYOD, l’MDM non gestisce l’intero dispositivo dell’utente ma solo un Work Profile separato — un container applicativo cifrato separatamente dal profilo personale. Le app aziendali vivono nel Work Profile; i dati personali dell’utente restano nel profilo personale, inaccessibili all’MDM. Il selective wipe cancella solo il Work Profile.
Su iOS, la separazione è meno netta: il profilo MDM gestisce le managed app e i dati di quelle app, ma non può accedere alle app e ai dati personali. Le managed open-in restriction impediscono che documenti da app gestite vengano salvati in app non gestite (es. non si può salvare un allegato email aziendale su un servizio cloud personale).
UEM: Unified Endpoint Management
L’evoluzione moderna dell’MDM è l’UEM (Unified Endpoint Management): gestione unificata di mobile, desktop (Windows, macOS), laptop e dispositivi IoT da un’unica piattaforma. Soluzioni come Microsoft Intune, VMware Workspace ONE, Jamf (specializzato Apple) e IBM MaaS360 coprono l’intero parco dispositivi aziendale con policy coerenti.
Sicurezza dell’MDM stesso
Un server MDM è un obiettivo ad alto valore: chi lo controlla ha accesso a tutti i dispositivi gestiti. La compromissione di un MDM è un attacco supply chain di tipo enterprise — permette di distribuire app malevole su migliaia di dispositivi contemporaneamente. Documentato in attacchi reali contro aziende specifiche tramite MDM server esposti.