如何成功實現移動設備管理
由于操作系統功能增加以及移動設備管理平臺的進步,組織可以實施自帶設備(BYOD)策略來滿足用戶的生產力和隱私需求,而又不影響數據安全性,但它需要進行大量規劃。
當組織為自帶設備(BYOD)引入統一端點管理(UEM)和移動設備管理(MDM)策略時,這就變得更加困難。但是,可以在組織需求和用戶需求之間取得平衡。
為了成功部署自帶設備(BYOD)計劃,IT管理員必須正確設計適用于設備的移動設備管理(MDM)策略,并確保員工清楚地了解這些策略的含義。例如,某些組織提供補貼或其他方法來償還設備使用成本,而其他組織僅允許訪問應用程序,而不支付用戶費用。
設定期望值減輕最終用戶的擔憂
無論組織采用哪種自帶設備(BYOD)模式,都必須事先為用戶設定期望,以便用戶能夠按照約定的系統進行操作。當用戶提交費用賬單,發現他們沒有權利報銷時,就會產生矛盾,因為他們已經知道他們會得到補償。
一旦最終用戶提前知道他們要注冊的內容,他們通常會很樂意遵守政策。如果管理員說他們看不到某些功能并破壞了信任,則該策略注定會失敗。要成功地為自帶設備(BYOD)實施移動設備管理(MDM),組織應減輕用戶的共同擔憂。例如,移動設備管理(MDM)可以跟蹤瀏覽器歷史記錄嗎?不能,但是移動設備管理(MDM)可用于部署可重定向、控制和監視基于SIM的和通過Wi-Fi的流量的頂層服務。這樣做的組織應該使用戶意識到這一點,并為自帶設備(BYOD)用戶考慮一項單獨的策略。
移動設備管理(MDM)可以閱讀短信嗎?不在iOS設備上,因為蘋果公司尚未提供移動設備管理(MDM)的功能,即使在受監管的設備上也是如此。在某些版本的Android平臺上是可能的,但是IT團隊很少會部署原生控件來讀取短信。文本消息可以路由到組織電子郵件存檔。大多數消息傳遞應用程序在消息上部署端到端加密,這使IT部門無法訪問內容。
受到嚴格監管的組織可以部署第三方產品來記錄業務信息,但是應該將其清楚地傳達給用戶,并且通常會在未經篩選的區域進行個人通信。要求記錄此類通信的組織通常不允許受監管用戶使用自帶設備(BYOD),因為很難實現用戶隱私和合規性之間的平衡。
移動設備管理(MDM)可以跟蹤位置嗎?是的,它甚至可以阻止用戶在注冊移動設備管理(MDM)后禁用位置服務。大多數移動設備管理(MDM)平臺,其中包括Workspace One的VMware AirWatch、IBM MaaS360、MobileIron等,都具有隱私設置,可防止對自帶設備(BYOD)進行位置跟蹤。IT部門應始終清楚是否針對所有組(特定用戶)進行了跟蹤,或者未啟用。
移動設備管理(MDM)平臺可以查看用戶手機上安裝了哪些應用程序嗎?通常,一旦用戶注冊了設備,移動設備管理(MDM)平臺就會收集應用程序清單。使用隱私設置,IT部門可以選擇不查看此信息,或僅查看從內部應用程序商店中部署的業務線應用程序。限制可見性是一個好主意,因為個人應用程序可以顯示IT部門應盡可能避免的不良信息。
如果員工離職,自帶設備(BYOD) 的移動設備管理(MDM)會發生什么?當員工離職時,通常會從移動設備管理(MDM)或組織移動性管理中清除其設備。組織的所有應用程序和數據都將從其設備中清除,而個人信息保持不變。良好的自帶設備(BYOD)策略將嚴格將業務信息與個人信息區分開來保護組織,但是,在涉及非正式使用時,這也使用戶受益。退役設備通常稱為選擇性擦除;在此過程中,IT部門還應刪除用戶訪問公司應用程序所必需的所有憑據。移動設備管理(MDM)平臺(如Workspace One公司的VMware AirWatch和MobileIron)可為標記為個人擁有的設備提供防止出廠重置的保護,因此絕不會意外擦除它們。
平衡安全性和隱私
組織可以使用不同的方法來實施自帶設備(BYOD)政策。組織應始終防止業務信息泄漏到個人云存儲或IT部門無法到達的任何地方。一些移動設備管理(MDM)平臺(例如MobileIron)為應用程序提供打包服務,而其他平臺(例如VMware Workspace One)則部署單獨的工作區。Android Enterprise提供了IT可以管理的工作資料,而設備的其余部分仍可供個人使用。
即使組織允許個人設備訪問其資源,它也應建立某些基準以維護安全性。組織應支持最低操作系統版本,以確保設備接收最新補丁程序并解決已知漏洞。對于Android系統來說,值得將手機類型限制在信譽良好制造商的手中;谷歌公司提供了Android企業推薦設備列表。要列出該清單,制造商必須遵守發布補丁的服務等級協議,并確保設備可以訪問多個操作系統升級。
最新版本的iOS和Android在提高用戶隱私性的同時,還允許組織確定所有設備的位置都是安全的。蘋果公司在iOS 13上引入了用戶注冊功能,該功能可保留設備序列號和IMEI等個人詳細信息,但允許IT部門在專用設備分區內部署和管理應用程序。Android 10(Q)可以強制執行最低強度解鎖代碼,阻止未知來源安裝應用程序,并確定用戶是否可以將個人日歷與工作日歷同步。
