由于操作系統(tǒng)功能增加以及移動設(shè)備管理平臺的進步，組織可以實施自帶設(shè)備(BYOD)策略來滿足用戶的生產(chǎn)力和隱私需求，而又不影響數(shù)據(jù)安全性，但它需要進行大量規(guī)劃。

當(dāng)組織為自帶設(shè)備(BYOD)引入統(tǒng)一端點管理(UEM)和移動設(shè)備管理(MDM)策略時，這就變得更加困難。但是，可以在組織需求和用戶需求之間取得平衡。

為了成功部署自帶設(shè)備(BYOD)計劃，IT管理員必須正確設(shè)計適用于設(shè)備的移動設(shè)備管理(MDM)策略，并確保員工清楚地了解這些策略的含義。例如，某些組織提供補貼或其他方法來償還設(shè)備使用成本，而其他組織僅允許訪問應(yīng)用程序，而不支付用戶費用。

[[320773]]

設(shè)定期望值減輕最終用戶的擔(dān)憂

無論組織采用哪種自帶設(shè)備(BYOD)模式，都必須事先為用戶設(shè)定期望，以便用戶能夠按照約定的系統(tǒng)進行操作。當(dāng)用戶提交費用賬單，發(fā)現(xiàn)他們沒有權(quán)利報銷時，就會產(chǎn)生矛盾，因為他們已經(jīng)知道他們會得到補償。

一旦最終用戶提前知道他們要注冊的內(nèi)容，他們通常會很樂意遵守政策。如果管理員說他們看不到某些功能并破壞了信任，則該策略注定會失敗。要成功地為自帶設(shè)備(BYOD)實施移動設(shè)備管理(MDM)，組織應(yīng)減輕用戶的共同擔(dān)憂。例如，移動設(shè)備管理(MDM)可以跟蹤瀏覽器歷史記錄嗎?不能，但是移動設(shè)備管理(MDM)可用于部署可重定向、控制和監(jiān)視基于SIM的和通過Wi-Fi的流量的頂層服務(wù)。這樣做的組織應(yīng)該使用戶意識到這一點，并為自帶設(shè)備(BYOD)用戶考慮一項單獨的策略。

移動設(shè)備管理(MDM)可以閱讀短信嗎?不在iOS設(shè)備上，因為蘋果公司尚未提供移動設(shè)備管理(MDM)的功能，即使在受監(jiān)管的設(shè)備上也是如此。在某些版本的Android平臺上是可能的，但是IT團隊很少會部署原生控件來讀取短信。文本消息可以路由到組織電子郵件存檔。大多數(shù)消息傳遞應(yīng)用程序在消息上部署端到端加密，這使IT部門無法訪問內(nèi)容。

受到嚴(yán)格監(jiān)管的組織可以部署第三方產(chǎn)品來記錄業(yè)務(wù)信息，但是應(yīng)該將其清楚地傳達給用戶，并且通常會在未經(jīng)篩選的區(qū)域進行個人通信。要求記錄此類通信的組織通常不允許受監(jiān)管用戶使用自帶設(shè)備(BYOD)，因為很難實現(xiàn)用戶隱私和合規(guī)性之間的平衡。

移動設(shè)備管理(MDM)可以跟蹤位置嗎?是的，它甚至可以阻止用戶在注冊移動設(shè)備管理(MDM)后禁用位置服務(wù)。大多數(shù)移動設(shè)備管理(MDM)平臺，其中包括Workspace One的VMware AirWatch、IBM MaaS360、MobileIron等，都具有隱私設(shè)置，可防止對自帶設(shè)備(BYOD)進行位置跟蹤。IT部門應(yīng)始終清楚是否針對所有組(特定用戶)進行了跟蹤，或者未啟用。

移動設(shè)備管理(MDM)平臺可以查看用戶手機上安裝了哪些應(yīng)用程序嗎?通常，一旦用戶注冊了設(shè)備，移動設(shè)備管理(MDM)平臺就會收集應(yīng)用程序清單。使用隱私設(shè)置，IT部門可以選擇不查看此信息，或僅查看從內(nèi)部應(yīng)用程序商店中部署的業(yè)務(wù)線應(yīng)用程序。限制可見性是一個好主意，因為個人應(yīng)用程序可以顯示IT部門應(yīng)盡可能避免的不良信息。

如果員工離職，自帶設(shè)備(BYOD) 的移動設(shè)備管理(MDM)會發(fā)生什么?當(dāng)員工離職時，通常會從移動設(shè)備管理(MDM)或組織移動性管理中清除其設(shè)備。組織的所有應(yīng)用程序和數(shù)據(jù)都將從其設(shè)備中清除，而個人信息保持不變。良好的自帶設(shè)備(BYOD)策略將嚴(yán)格將業(yè)務(wù)信息與個人信息區(qū)分開來保護組織，但是，在涉及非正式使用時，這也使用戶受益。退役設(shè)備通常稱為選擇性擦除;在此過程中，IT部門還應(yīng)刪除用戶訪問公司應(yīng)用程序所必需的所有憑據(jù)。移動設(shè)備管理(MDM)平臺(如Workspace One公司的VMware AirWatch和MobileIron)可為標(biāo)記為個人擁有的設(shè)備提供防止出廠重置的保護，因此絕不會意外擦除它們。

平衡安全性和隱私

組織可以使用不同的方法來實施自帶設(shè)備(BYOD)政策。組織應(yīng)始終防止業(yè)務(wù)信息泄漏到個人云存儲或IT部門無法到達的任何地方。一些移動設(shè)備管理(MDM)平臺(例如MobileIron)為應(yīng)用程序提供打包服務(wù)，而其他平臺(例如VMware Workspace One)則部署單獨的工作區(qū)。Android Enterprise提供了IT可以管理的工作資料，而設(shè)備的其余部分仍可供個人使用。

即使組織允許個人設(shè)備訪問其資源，它也應(yīng)建立某些基準(zhǔn)以維護安全性。組織應(yīng)支持最低操作系統(tǒng)版本，以確保設(shè)備接收最新補丁程序并解決已知漏洞。對于Android系統(tǒng)來說，值得將手機類型限制在信譽良好制造商的手中;谷歌公司提供了Android企業(yè)推薦設(shè)備列表。要列出該清單，制造商必須遵守發(fā)布補丁的服務(wù)等級協(xié)議，并確保設(shè)備可以訪問多個操作系統(tǒng)升級。

最新版本的iOS和Android在提高用戶隱私性的同時，還允許組織確定所有設(shè)備的位置都是安全的。蘋果公司在iOS 13上引入了用戶注冊功能，該功能可保留設(shè)備序列號和IMEI等個人詳細(xì)信息，但允許IT部門在專用設(shè)備分區(qū)內(nèi)部署和管理應(yīng)用程序。Android 10(Q)可以強制執(zhí)行最低強度解鎖代碼，阻止未知來源安裝應(yīng)用程序，并確定用戶是否可以將個人日歷與工作日歷同步。