由于操作系统功能的增强和移动设备管理平台的进步,组织可以实施自带设备(BYOD)策略来满足用户的生产力和隐私需求,而不会影响数据安全,但这需要大量的计划。当组织针对自带设备(BYOD)引入统一端点管理(UEM)和移动设备管理(MDM)策略时,这会变得更加困难。但是,可以在组织需求和用户需求之间取得平衡。要成功部署自带设备(BYOD)计划,IT管理员必须为设备正确设计移动设备管理(MDM)策略,并确保员工清楚地了解这些策略的含义。例如,一些组织提供补贴或其他方法来报销设备使用成本,而另一些组织只允许访问应用程序而无需付费用户。设定预期减轻最终用户的顾虑无论组织采用哪种自带设备(BYOD)模式,重要的是预先设定用户预期,以便用户可以在商定的系统内操作。当用户提交费用账单并发现他们无权获得报销时,就会发生冲突,因为他们已经知道他们会得到报销。一旦最终用户提前知道他们要注册的是什么,他们通常会非常乐意遵守该政策。如果管理员说他们看不到某些功能并破坏信任,则该策略注定要失败。要为自带设备(BYOD)成功实施移动设备管理(MDM),组织应该消除用户的常见顾虑。例如,移动设备管理(MDM)能否跟踪浏览器历史记录?否,但MDM可用于部署覆盖服务,这些服务可以重定向、控制和监控基于SIM的流量和通过Wi-Fi的流量。这样做的组织应该让用户意识到这一点,并考虑为自带设备(BYOD)用户制定单独的政策。MDM可以读取短信吗?不适用于iOS设备,因为Apple尚未提供MDM功能,即使是在受监管的设备上也是如此。这在某些版本的Android平台上是可能的,但IT团队很少部署本地控件来阅读短信。文本消息可以路由到组织电子邮件档案。大多数消息传递应用程序对消息部署端到端加密,这使得IT部门无法访问内容。受到严格监管的组织可以部署第三方产品来记录业务信息,但这应该清楚地传达给用户,并且通常将个人通信留在未屏蔽的区域。需要记录此类通信的组织通常不允许受监管的用户携带自己的设备(BYOD),因为很难平衡用户隐私和合规性。移动设备管理(MDM)可以跟踪位置吗?是的,它甚至可以防止用户在注册MDM后禁用定位服务。大多数移动设备管理(MDM)平台,包括WorkspaceOne的VMwareAirWatch、IBMMaaS360、MobileIron等,都具有防止对自带设备(BYOD)设备进行位置跟踪的隐私设置。IT应该始终清楚跟踪是否针对所有组(特定用户)完成,或者是否未启用。移动设备管理(MDM)平台能否查看用户手机上安装的应用程序?通常,MDM平台会在用户注册设备后收集应用程序清单。使用隐私设置,IT部门可以选择不查看此信息,或仅查看从内部应用程序商店部署的业务线应用程序。限制可见性是一个好主意,因为单个应用程序可能会泄露不需要的信息,IT部门应该尽量避免这些信息。如果员工离开公司,自带设备(BYOD)移动设备管理(MDM)会怎样?当员工离开公司时,他们的设备通常会从移动设备管理(MDM)或组织移动管理中清除。该组织的所有应用程序和数据都从他们的设备上擦除,而个人信息则保持不变。良好的自带设备(BYOD)政策将通过严格将业务信息与个人信息分开来保护组织,但是,在非正式使用方面,它也会使用户受益。停用设备通常称为选择性擦除;在此过程中,IT还应删除用户访问公司应用程序所需的所有凭据。WorkspaceOne的VMwareAirWatch和MobileIron等移动设备管理(MDM)平台可为标记为个人拥有的设备提供出厂重置保护,因此它们永远不会被意外擦除。平衡安全和隐私组织可以使用不同的方法来实施自带设备(BYOD)策略。组织应始终防止业务信息泄露到个人云存储或IT无法到达的任何地方。某些移动设备管理(MDM)平台(例如MobileIron)为应用程序提供打包服务,而其他平台(例如VMwareWorkspaceOne)则部署单独的工作区。AndroidEnterprise提供IT可以管理的工作配置文件,而设备的其余部分仍可供个人使用。即使组织允许个人设备访问其资源,它也应该建立某些基线来维护安全性。组织应支持最低操作系统版本,以确保设备收到最新补丁并解决已知漏洞。对于Android,值得将您的手机类型限制为信誉良好的制造商;Google提供了一份Android企业推荐设备列表。要想上榜,制造商必须遵守发布补丁的服务级别协议,并确保设备可以访问多个操作系统升级。最新版本的iOS和Android使组织能够确保所有设备的位置安全,同时改善用户隐私。在iOS13中,Apple引入了用户注册功能,该功能可以保留设备序列号和IMEI等个人详细信息,但允许IT部门在专用设备分区内部署和管理应用程序。Android10(Q)可以强制执行最低强度解锁代码,阻止来自未知来源的应用安装,并确定用户是否可以同步个人和工作日历。
