Organización
En la mayoría de los escenarios, los administradores consideran que la opción más eficaz para organizar los dispositivos propiedad de los empleados ( dispositivosBYOD ) es crear una Blueprint independiente para ellos. Aprovechar un Blueprint independiente para BYOD dispositivos tiene las siguientes ventajas.
Separación distinta de los dispositivos propiedad de la empresa al tener un grupo dedicado.
Permite una administración separada y menos restrictiva de los dispositivos propiedad de los empleados.
Permite que el código de acceso del BYOD Blueprint se habilite de forma independiente para la inscripción a través del portal de inscripción.
Administración
En términos generales, la mayoría de las organizaciones impondrán menos restricciones a BYOD dispositivos. Una práctica común es imponer solo las restricciones necesarias para mantener un nivel mínimo de seguridad de la información. Es posible que las organizaciones también deseen implementar las aplicaciones corporativas necesarias para sus usuarios finales o certificados de identidad de dispositivo para flujos de trabajo de acceso condicional.
Ejemplos de elementos que una organización puede implementar en BYOD dispositivos son:
Imponer un requisito de código de acceso/contraseña a través de un perfil de código de acceso.
Aplicación de FileVault en dispositivos macOS a través de un perfil FileVault .
Aplicar los intervalos de inicio del protector de pantalla a través de un perfil de protector de pantalla.
Garantizar que el sistema operativo y las aplicaciones corporativas estén actualizados mediante Managed OS y Custom Apps.
Implementación de un certificado de identidad de dispositivo para el acceso condicional a través de un perfil SCEP.
En determinadas circunstancias, las opciones de administración serán limitadas (especialmente en iOS), ya que los dispositivos que se inscriben manualmente no están supervisados, lo que limita las restricciones que se les pueden imponer. Un ejemplo de estas limitaciones es que no se puede impedir el uso de la cámara en iOS a menos que el dispositivo esté supervisado.
Inscripción
Ahora que ha creado una nueva Blueprint, ha configurado algunas restricciones y ha agregado algunas aplicaciones, es el momento de inscribir los dispositivos BYOD de su organización Usando el Kandji Portal de Inscripción. Si normalmente utiliza la Device Enrollment automatizada y permite que solo se inscriban los BYOD Blueprint a través de este método, tiene la opción de deshabilitar los planos técnicos que no sonBYOD para el portal de inscripción. Por lo general, se recomienda proporcionar a los usuarios finales la URL de inscripción completa con el código de acceso (similar a la siguiente).
https://accuhive.kandji.io/enroll/access-code/123456Consentimiento
Con el nivel de control e información que se proporciona incluso a través de un dispositivo inscrito manualmente, es importante que los usuarios finales comprendan la cantidad de control que se otorga a un administrador de TI al inscribirse. Apple deja esto muy claro al usuario final durante el proceso de instalación del perfil al enumerar los "derechos" que el servidor MDM está solicitando y dar un breve resumen de las acciones posibles. Siempre se recomienda que se comunique con los usuarios finales al implementar una iniciativa de inscripción BYOD .
El futuro de BYOD
Apple ha introducido un nuevo tipo de método de inscripción en el marco de MDM que está diseñado específicamente para dispositivos BYOD . Este nuevo método de inscripción, conocido como inscripción de usuarios, se adapta a los flujos de trabajo BYOD , encontrando un punto medio entre el alcance de las capacidades de administración que desean los administradores de TI y las preocupaciones de privacidad que esperan los usuarios. En Inscripción de usuarios, el usuario final puede disfrutar de más privacidad, pero los administradores de TI notarán algunas restricciones de administración significativas, especialmente teniendo en cuenta la cantidad de poder de administración que proporcionan las opciones de inscripción existentes (como borrar, bloquear y restringir libremente los dispositivos inscritos y supervisados por Apple).
La inscripción de usuarios funciona aprovechando el poder de un Apple Account administrado de Apple Business Manager (o Apple School Manager) con el poder de una solución MDM. La privacidad de los datos del usuario se protege a través de volúmenes APFS separados para uso laboral y personal, y las cuentas de Apple administradas se utilizan para separar las aplicaciones comerciales (propiedad de la empresa) de las aplicaciones personales (propiedad del usuario). Los números de serie de los dispositivos y las direcciones MAC también se ocultan al departamento de TI y se reemplazan por un identificador anónimo creado durante la inscripción.
Aquí en Kandji, estamos muy entusiasmados con el futuro de BYOD y la nueva función de inscripción de usuarios de Apple y estamos ansiosos por admitirla en el futuro.