Organisation
In den meisten Szenarien stellen Administratoren fest, dass die effektivste Option zum Organisieren von mitarbeitereigenen Geräten (BYOD Geräten) darin besteht, einen separaten Blueprint für sie zu erstellen. Die Nutzung eines separaten Blueprint für BYOD Geräte hat die folgenden Vorteile.
Deutliche Trennung von unternehmenseigenen Geräten durch eine dedizierte Gruppe.
Ermöglicht eine separate, weniger restriktive Verwaltung von mitarbeitereigenen Geräten.
Ermöglicht die unabhängige Aktivierung des Zugriffscodes des BYOD Blueprint für die Registrierung über das Registrierungsportal.
Management
Im Allgemeinen werden die meisten Unternehmen weniger Einschränkungen für BYOD Geräte auferlegen. Eine gängige Praxis besteht darin, nur die Einschränkungen aufzuerlegen, die erforderlich sind, um ein Mindestmaß an Informationssicherheit aufrechtzuerhalten. Organisationen möchten möglicherweise auch Unternehmensanwendungen bereitstellen, die für ihre Endbenutzer erforderlich sind, oder Geräteidentitätszertifikate für Workflows mit bedingtem Zugriff.
Beispiele für Elemente, die eine Organisation auf BYOD Geräten bereitstellen kann, sind:
Auferlegen einer Passcode-/Passwortanforderung über ein Passcode-Profil.
Erzwingen von FileVault auf macOS Geräten über ein FileVault Profil.
Erzwingen von Startintervallen für den Bildschirmschoner über ein Bildschirmschoner-Profil.
Sicherstellen, dass das Betriebssystem und die Unternehmensanwendungen mithilfe von Managed OS und Custom Appsauf dem neuesten Stand sind.
Bereitstellen eines Geräteidentitätszertifikats für den bedingten Zugriff über ein SCEP-Profil.
Unter bestimmten Umständen sind die Optionen für die Verwaltung eingeschränkt (insbesondere bei iOS), da Geräte, die manuell registriert werden, nicht überwacht werden, was die Einschränkungen einschränkt, die auf sie angewendet werden können. Ein Beispiel für diese Einschränkungen ist, dass Sie die Verwendung der Kamera an iOS nicht verhindern können, wenn das Gerät nicht beaufsichtigt wird.
Registrierung
Nachdem Sie nun einen neuen Blueprint erstellt, einige Einschränkungen eingerichtet und einige Anwendungen hinzugefügt haben, ist es an der Zeit, die BYOD Geräte Ihrer Organisation using the Kandji Enrollment Portal zu registrieren. Wenn Sie in der Regel die automatisierte Device Enrollment verwenden und nur die Registrierung der BYOD Blueprint über diese Methode zulassen, haben Sie die Möglichkeit, nicht BYOD Blueprints für das Registrierungsportal zu deaktivieren. In der Regel empfehlen wir, Ihren Endbenutzern die vollständige Registrierungs-URL mit dem darin enthaltenen Zugriffscode zu geben (ähnlich wie im folgenden).
https://accuhive.kandji.io/enroll/access-code/123456Einwilligen
Angesichts des Ausmaßes an Kontrolle und Informationen, die selbst über ein manuell registriertes Gerät bereitgestellt werden, ist es für Ihre Endbenutzer wichtig, den Umfang der Kontrolle zu verstehen, die einem IT-Administrator bei der Registrierung übertragen wird. Apple macht dies dem Endbenutzer während des Profilinstallationsprozesses sehr deutlich, indem es die "Rechte" auflistet, die der MDM -Server anfordert, und einen kurzen Überblick darüber gibt, welche Aktionen möglich sind. Es wird immer empfohlen, dass Sie mit Ihren Endbenutzern kommunizieren, wenn Sie eine BYOD Registrierungsinitiative einführen.
Die Zukunft der BYOD
Apple hat eine neue Art von Registrierungsmethode in das MDM -Framework eingeführt, die speziell für BYOD Geräte entwickelt wurde. Diese neue Registrierungsmethode, die als Benutzerregistrierung bezeichnet wird, ist auf BYOD Workflows zugeschnitten und findet einen Mittelweg zwischen dem Umfang der Verwaltungsfunktionen, die IT-Administratoren wünschen, und den Datenschutzbedenken, die Benutzer erwarten. Im Rahmen der Benutzerregistrierung kann der Endbenutzer mehr Privatsphäre genießen, aber IT-Administratoren werden einige erhebliche Verwaltungseinschränkungen bemerken – insbesondere angesichts des Umschwungs an Verwaltungsleistung, den die vorhandenen Registrierungsoptionen bieten (z. B. Löschen, Sperren und Einschränken der Freiheit von registrierten und von Apple betreuten Geräten).
Bei der Benutzerregistrierung wird die Leistungsfähigkeit eines verwalteten Apple Account von Apple Business Manager (oder Apple School Manager) mit der Leistungsfähigkeit einer MDM Lösung kombiniert. Die Privatsphäre der Benutzerdaten wird durch separate APFS-Volumes für den geschäftlichen und privaten Gebrauch geschützt, und verwaltete Apple-Konten werden verwendet, um Geschäfts-Apps (im Besitz des Unternehmens) von persönlichen Apps (im Besitz des Benutzers) zu trennen. Seriennummern und MAC-Adressen von Geräten werden ebenfalls vor der IT-Abteilung verborgen und durch eine anonymisierte Kennung ersetzt, die bei der Registrierung erstellt wird.
Hier bei Kandji sind wir sehr gespannt auf die Zukunft von BYOD und Apples neuer Benutzerregistrierungsfunktion und können es kaum erwarten, Sie in Zukunft zu unterstützen.