Bring Your Own Device (BYOD) ワークフローを最適にサポートする方法を学びます
組織
ほとんどのシナリオでは、管理者は、従業員所有のデバイス (BYODデバイス) を整理するための最も効果的なオプションは、該当デバイス用に別のBlueprintを作成することだと考えます。BYODデバイスに別のBlueprintを活用することには、次の利点があります。
専用のグループを持つことで、企業所有のデバイスとの明確な分離。
従業員所有のデバイスを個別に制限の少ない方法で管理。
BYOD Blueprintのアクセスコードを、登録のため登録ポータルから個別に有効にすることが可能。
管理
一般的に言えば、ほとんどの組織では、 BYOD デバイスに対する制限が少なくなります。一般的な方法の1つは、情報セキュリティの最小レベルを維持するために必要な制限のみを課すことです。また、エンドユーザーに必要な企業アプリケーションや、条件付きアクセスワークフロー用のデバイスID証明書をデプロイする必要がある場合もあります。
組織が BYOD デバイスに展開できるアイテムの例を次に示します。
パスコードプロファイルを介してパスコード/パスワード要件を課す。
FileVaultプロファイルを使用してmacOSデバイスにFileVaultを適用。
スクリーンセーバープロファイルによるスクリーンセーバーの開始間隔の強制。
Managed OS と Custom Appsを使用して、オペレーティングシステムと企業アプリケーションを最新の状態に保つ。
SCEP プロファイルを使用した条件付きアクセス用のデバイス ID 証明書のデプロイ。
特定の状況では、手動で登録されたデバイスは監視対象ではないため、それらに適用できる制限が限られ、管理のオプションは制限されます(特に iOS)。これらの制限の一例は、デバイスが監視対象でない限り、 iOS でのカメラの使用を防ぐことはできないことなどがあります。
登録
新しい Blueprintを作成し、いくつかの制限を設定し、いくつかのアプリケーションを追加できたところで、組織の BYOD デバイスを登録ポータルよりKandjiに登録します。通常、自動デバイス登録を使用し、 BYOD Blueprint のみで手動登録できるようにする場合は、登録ポータルの非BYODブループリントを無効にするオプションがあります。通常は、エンド ユーザーに、アクセスコードを含む (次のように) 完全な登録 URL を提供することをお勧めします。
https://accuhive.kandji.io/enroll/access-code/123456同意
手動で登録したデバイスでも制御レベルと情報が提供されるため、エンドユーザーは、登録時にIT管理者に与えられる制御の量を理解することが重要です。Appleは、プロファイルのインストールプロセス中に、 MDM サーバーが要求している「権限」をリストし、可能なアクションの簡単な概要を提供することで、これをエンドユーザーに非常に明確に示します。 BYOD登録を展開する際は、エンドユーザーとコミュニケーションをとることを常にお勧めします。