摘要：在自带设备(BYOD)环境中实现移动设备管理(MDM)并不容易。IT团队应该与最终用户进行沟通，以设定有关移动设备管理(MDM)平台能够和不能追踪的个人信息的期望值。

   在自带设备(BYOD)环境中实现移动设备管理(MDM)并不容易。IT团队应该与最终用户进行沟通，以设定有关移动设备管理(MDM)平台能够和不能追踪的个人信息的期望值。
　　
　　由于操作系统功能增加以及移动设备管理平台的进步，组织可以实施自带设备(BYOD)策略来满足用户的生产力和隐私需求，而又不影响数据安全性，但它需要进行大量规划。
　　
　　当组织为自带设备(BYOD)引入统一端点管理(UEM)和移动设备管理(MDM)策略时，这就变得更加困难。但是，可以在组织需求和用户需求之间取得平衡。
　　
　　为了成功部署自带设备(BYOD)计划，IT管理员必须正确设计适用于设备的移动设备管理(MDM)策略，并确保员工清楚地了解这些策略的含义。例如，某些组织提供补贴或其他方法来偿还设备使用成本，而其他组织仅允许访问应用程序，而不支付用户费用。
　　
　　设定期望值减轻最终用户的担忧
　　
　　无论组织采用哪种自带设备(BYOD)模式，都必须事先为用户设定期望，以便用户能够按照约定的系统进行操作。当用户提交费用账单，发现他们没有权利报销时，就会产生矛盾，因为他们已经知道他们会得到补偿。
　　
　　一旦最终用户提前知道他们要注册的内容，他们通常会很乐意遵守政策。如果管理员说他们看不到某些功能并破坏了信任，则该策略注定会失败。要成功地为自带设备(BYOD)实施移动设备管理(MDM)，组织应减轻用户的共同担忧。例如，移动设备管理(MDM)可以跟踪浏览器历史记录吗?不能，但是移动设备管理(MDM)可用于部署可重定向、控制和监视基于SIM的和通过Wi-Fi的流量的顶层服务。这样做的组织应该使用户意识到这一点，并为自带设备(BYOD)用户考虑一项单独的策略。
　　
　　移动设备管理(MDM)可以阅读短信吗?不在iOS设备上，因为苹果公司尚未提供移动设备管理(MDM)的功能，即使在受监管的设备上也是如此。在某些版本的Android平台上是可能的，但是IT团队很少会部署原生控件来读取短信。文本消息可以路由到组织电子邮件存档。大多数消息传递应用程序在消息上部署端到端加密，这使IT部门无法访问内容。
　　
　　受到严格监管的组织可以部署第三方产品来记录业务信息，但是应该将其清楚地传达给用户，并且通常会在未经筛选的区域进行个人通信。要求记录此类通信的组织通常不允许受监管用户使用自带设备(BYOD)，因为很难实现用户隐私和合规性之间的平衡。
　　
　　移动设备管理(MDM)可以跟踪位置吗?是的，它甚至可以阻止用户在注册移动设备管理(MDM)后禁用位置服务。大多数移动设备管理(MDM)平台，其中包括WorkspaceOne的VMwareAirWatch、IBMMaaS360、MobileIron等，都具有隐私设置，可防止对自带设备(BYOD)进行位置跟踪。IT部门应始终清楚是否针对所有组(特定用户)进行了跟踪，或者未启用。
　　
　　移动设备管理(MDM)平台可以查看用户手机上安装了哪些应用程序吗?通常，一旦用户注册了设备，移动设备管理(MDM)平台就会收集应用程序清单。使用隐私设置，IT部门可以选择不查看此信息，或仅查看从内部应用程序商店中部署的业务线应用程序。限制可见性是一个好主意，因为个人应用程序可以显示IT部门应尽可能避免的不良信息。
　　
　　如果员工离职，自带设备(BYOD)的移动设备管理(MDM)会发生什么?当员工离职时，通常会从移动设备管理(MDM)或组织移动性管理中清除其设备。组织的所有应用程序和数据都将从其设备中清除，而个人信息保持不变。良好的自带设备(BYOD)策略将严格将业务信息与个人信息区分开来保护组织，但是，在涉及非正式使用时，这也使用户受益。退役设备通常称为选择性擦除;在此过程中，IT部门还应删除用户访问公司应用程序所必需的所有凭据。移动设备管理(MDM)平台(如WorkspaceOne公司的VMwareAirWatch和MobileIron)可为标记为个人拥有的设备提供防止出厂重置的保护，因此绝不会意外擦除它们。
　　
　　平衡安全性和隐私
　　
　　组织可以使用不同的方法来实施自带设备(BYOD)政策。组织应始终防止业务信息泄漏到个人云存储或IT部门无法到达的任何地方。一些移动设备管理(MDM)平台(例如MobileIron)为应用程序提供打包服务，而其他平台(例如VMwareWorkspaceOne)则部署单独的工作区。AndroidEnterprise提供了IT可以管理的工作资料，而设备的其余部分仍可供个人使用。
　　
　　即使组织允许个人设备访问其资源，它也应建立某些基准以维护安全性。组织应支持最低操作系统版本，以确保设备接收最新补丁程序并解决已知漏洞。对于Android系统来说，值得将手机类型限制在信誉良好制造商的手中;谷歌公司提供了Android企业推荐设备列表。要列出该清单，制造商必须遵守发布补丁的服务等级协议，并确保设备可以访问多个操作系统升级。
　　
　　最新版本的iOS和Android在提高用户隐私性的同时，还允许组织确定所有设备的位置都是安全的。苹果公司在iOS13上引入了用户注册功能，该功能可保留设备序列号和IMEI等个人详细信息，但允许IT部门在专用设备分区内部署和管理应用程序。Android10(Q)可以强制执行最低强度解锁代码，阻止未知来源安装应用程序，并确定用户是否可以将个人日历与工作日历同步。
　　
　　编辑：Harris