如何在BYOD部署中创建逻辑容器并管理公司数据?

对于采用移动设备来提高员工生产力和客户满意度的组织来说,BYOD(自带设备)似乎是一个完美的解决方案,因为它允许用户从个人设备访问公司数据,从而确保组织不承担额外成本,而且绝对没有学习曲线。但是,BYOD也有它的缺点,因为该设备还包含个人数据和应用,组织无法完全控制它,从而增加了数据泄露的风险。

以下是个人拥有的设备可能发生的数据泄露:

  • 如果设备中的个人应用访问公司应用上的公司数据
  • 如果使用个人应用访问从公司网站下载的机密数据
  • 如果公司数据从被管设备传输到非被管设备
  • 如果使用个人应用访问公司电子邮件账户中可用的电子邮件附件
  • 如果公司账户中的可用数据备份到用户的个人账户中

管理个人拥有的设备的简单解决方案是通过BYOD容器化将设备上的个人和公司数据隔离开来。Mobile Device Manager Plus(MDM)是一个容器管理软件,除了是一个移动设备管理解决方案外,还允许组织在安卓和iOS设备上实现BYOD容器化。

解决方案:

按照以下步骤使用MDM实现移动设备容器化:

安卓设备

当使用容器管理软件或MDM解决方案将安卓设备配置为配置文件所有者时,将自动创建一个工作配置文件。这确保了MDM容器化无需任何手动操作即可实现。请参阅将设备设置为配置文件所有者的登记方法列表

所有使用MDM解决方案分发的应用都被视为公司应用,并将在工作配置文件中提供。它们将用公文包符号表示,以便于识别。工作配置文件中的这些公司应用不与个人空间中的应用通信。此外,它还确保公司数据不能从公司空间传输到个人空间或使用USB传输到其他设备,从而维护完整的数据安全。

MDM容器化还确保用户不能修改组织配置的公司电子邮件账户。因此,阻止用户将其个人账户添加到公司电子邮件应用。对于个人账户,可以在个人设备空间下载其他应用。

 

iOS设备

对于iOS设备,只有使用MDM这样的容器管理软件才能实现容器化。为了创建移动应用容器并确保公司应用和账户上的数据在个人设备上保持完全安全,需要对设备应用某些限制。以下是可应用于设备以创建虚拟移动设备容器的建议限制列表:

  • 将数据从被管应用共享到非被管应用
  • 将数据从非被管应用共享到被管应用
  • 屏幕截图和屏幕录制
  • 允许USB连接并与iTunes配对
  • 将被管应用的数据和文档同步到iCloud

有关实现容器化的其他限制和配置步骤的列表,请参阅此文档

注意:如果启用了将数据从被管应用共享到非被管应用的限制,则非被管应用将无法访问iOS 11设备上的被管联系人。在运行iOS 12及更高版本的设备上,管理员可以通过启用允许非被管应用访问被管联系人选项来允许访问被管联系人。

以下是容器管理软件(如MDM)支持的其他设置列表,以保护BYOD部署中的公司数据:

被管Web域

可以配置被管Web域,以确保从特定网站下载的任何文档只能在设备的ME MDM应用中查看或存储。当用户将公司网站上的机密文件下载到个人设备上时,这一点至关重要。配置被管Web域可防止未经授权的应用或个人应用访问公司数据。

文档查看器

设备中的ManageEngine MDM应用中提供了文档查看器。它允许用户查看从MDM服务器共享的内容、电子邮件附件或从被管Web域配置文件中配置的页面下载的文档。由于文档是在ManageEngine MDM应用中下载的,因此任何个人或未经授权的应用都无法访问这些文档,文档查看器阻止将内容上传到第三方云服务。

虚拟专用网络(VPN)

通过配置VPN,企业可以安全访问internet上的数据。大多数组织都要求使用VPN,以使用个人设备访问公司数据。VPN保护internet上的数据时,可以通过配置per-app VPN来保护公司应用上可用的数据,这会在访问指定应用上的数据时创建一个VPN。