由于操作系统功能增加以及移动设备管理平台的进步,组织可以实施自带设备(BYOD)策略来满足用户的生产力和隐私需求,而又不影响数据安全性,但它需要进行大量规划。
当组织为自带设备(BYOD)引入统一端点管理(UEM)和移动设备管理(MDM)策略时,这就变得更加困难。但是,可以在组织需求和用户需求之间取得平衡。
为了成功部署自带设备(BYOD)计划,IT管理员必须正确设计适用于设备的移动设备管理(MDM)策略,并确保员工清楚地了解这些策略的含义。例如,某些组织提供补贴或其他方法来偿还设备使用成本,而其他组织仅允许访问应用程序,而不支付用户费用。
设定期望值减轻最终用户的担忧
无论组织采用哪种自带设备(BYOD)模式,都必须事先为用户设定期望,以便用户能够按照约定的系统进行操作。当用户提交费用账单,发现他们没有权利报销时,就会产生矛盾,因为他们已经知道他们会得到补偿。
一旦最终用户提前知道他们要注册的内容,他们通常会很乐意遵守政策。如果管理员说他们看不到某些功能并破坏了信任,则该策略注定会失败。要成功地为自带设备(BYOD)实施移动设备管理(MDM),组织应减轻用户的共同担忧。例如,移动设备管理(MDM)可以跟踪浏览器历史记录吗?不能,但是移动设备管理(MDM)可用于部署可重定向、控制和监视基于SIM的和通过Wi-Fi的流量的顶层服务。这样做的组织应该使用户意识到这一点,并为自带设备(BYOD)用户考虑一项单独的策略。
移动设备管理(MDM)可以阅读短信吗?不在iOS设备上,因为苹果公司尚未提供移动设备管理(MDM)的功能,即使在受监管的设备上也是如此。在某些版本的Android平台上是可能的,但是IT团队很少会部署原生控件来读取短信。文本消息可以路由到组织电子邮件存档。大多数消息传递应用程序在消息上部署端到端加密,这使IT部门无法访问内容。
受到严格监管的组织可以部署第三方产品来记录业务信息,但是应该将其清楚地传达给用户,并且通常会在未经筛选的区域进行个人通信。要求记录此类通信的组织通常不允许受监管用户使用自带设备(BYOD),因为很难实现用户隐私和合规性之间的平衡。
移动设备管理(MDM)可以跟踪位置吗?是的,它甚至可以阻止用户在注册移动设备管理(MDM)后禁用位置服务。大多数移动设备管理(MDM)平台,其中包括Workspace One的VMware AirWatch、IBM MaaS360、MobileIron等,都具有隐私设置,可防止对自带设备(BYOD)进行位置跟踪。IT部门应始终清楚是否针对所有组(特定用户)进行了跟踪,或者未启用。
移动设备管理(MDM)平台可以查看用户手机上安装了哪些应用程序吗?通常,一旦用户注册了设备,移动设备管理(MDM)平台就会收集应用程序清单。使用隐私设置,IT部门可以选择不查看此信息,或仅查看从内部应用程序商店中部署的业务线应用程序。限制可见性是一个好主意,因为个人应用程序可以显示IT部门应尽可能避免的不良信息。
如果员工离职,自带设备(BYOD) 的移动设备管理(MDM)会发生什么?当员工离职时,通常会从移动设备管理(MDM)或组织移动性管理中清除其设备。组织的所有应用程序和数据都将从其设备中清除,而个人信息保持不变。良好的自带设备(BYOD)策略将严格将业务信息与个人信息区分开来保护组织,但是,在涉及非正式使用时,这也使用户受益。退役设备通常称为选择性擦除;在此过程中,IT部门还应删除用户访问公司应用程序所必需的所有凭据。移动设备管理(MDM)平台(如Workspace One公司的VMware AirWatch和MobileIron)可为标记为个人拥有的设备提供防止出厂重置的保护,因此绝不会意外擦除它们。
平衡安全性和隐私
组织可以使用不同的方法来实施自带设备(BYOD)政策。组织应始终防止业务信息泄漏到个人云存储或IT部门无法到达的任何地方。一些移动设备管理(MDM)平台(例如MobileIron)为应用程序提供打包服务,而其他平台(例如VMware Workspace One)则部署单独的工作区。Android Enterprise提供了IT可以管理的工作资料,而设备的其余部分仍可供个人使用。
即使组织允许个人设备访问其资源,它也应建立某些基准以维护安全性。组织应支持最低操作系统版本,以确保设备接收最新补丁程序并解决已知漏洞。对于Android系统来说,值得将手机类型限制在信誉良好制造商的手中;谷歌公司提供了Android企业推荐设备列表。要列出该清单,制造商必须遵守发布补丁的服务等级协议,并确保设备可以访问多个操作系统升级。
最新版本的iOS和Android在提高用户隐私性的同时,还允许组织确定所有设备的位置都是安全的。苹果公司在iOS 13上引入了用户注册功能,该功能可保留设备序列号和IMEI等个人详细信息,但允许IT部门在专用设备分区内部署和管理应用程序。Android 10(Q)可以强制执行最低强度解锁代码,阻止未知来源安装应用程序,并确定用户是否可以将个人日历与工作日历同步。