Bring Your Own Device (BYOD) ワークフローを最適にサポートする方法を学びます
組織
ほとんどのシナリオでは、管理者は、従業員所有のデバイス (BYODデバイス) を整理するための最も効果的なオプションは、該当デバイス用に別のBlueprintを作成することだと考えます。BYODデバイスに別のBlueprintを活用することには、次の利点があります。
専用のグループを持つことで、企業所有のデバイスとの明確な分離。
従業員所有のデバイスを個別に制限の少ない方法で管理。
BYOD Blueprintのアクセスコードを、登録のため登録ポータルから個別に有効にすることが可能。
管理
一般的に言えば、ほとんどの組織では、 BYOD デバイスに対する制限が少なくなります。一般的な方法の1つは、情報セキュリティの最小レベルを維持するために必要な制限のみを課すことです。また、エンドユーザーに必要な企業アプリケーションや、条件付きアクセスワークフロー用のデバイスID証明書をデプロイする必要がある場合もあります。
組織が BYOD デバイスに展開できるアイテムの例を次に示します。
パスコードプロファイルを介してパスコード/パスワード要件を課す。
FileVaultプロファイルを使用してmacOSデバイスにFileVaultを適用。
スクリーンセーバープロファイルによるスクリーンセーバーの開始間隔の強制。
Managed OS と Custom Appsを使用して、オペレーティングシステムと企業アプリケーションを最新の状態に保つ。
SCEP プロファイルを使用した条件付きアクセス用のデバイス ID 証明書のデプロイ。
特定の状況では、手動で登録されたデバイスは監視対象ではないため、それらに適用できる制限が限られ、管理のオプションは制限されます(特に iOS)。これらの制限の一例は、デバイスが監視対象でない限り、 iOS でのカメラの使用を防ぐことはできないことなどがあります。
登録
新しい Blueprintを作成し、いくつかの制限を設定し、いくつかのアプリケーションを追加できたところで、組織の BYOD デバイスを登録ポータルよりKandjiに登録します。通常、自動デバイス登録を使用し、 BYOD Blueprint のみで手動登録できるようにする場合は、登録ポータルの非BYODブループリントを無効にするオプションがあります。通常は、エンド ユーザーに、アクセスコードを含む (次のように) 完全な登録 URL を提供することをお勧めします。
https://accuhive.kandji.io/enroll/access-code/123456同意
手動で登録したデバイスでも制御レベルと情報が提供されるため、エンドユーザーは、登録時にIT管理者に与えられる制御の量を理解することが重要です。Appleは、プロファイルのインストールプロセス中に、 MDM サーバーが要求している「権限」をリストし、可能なアクションの簡単な概要を提供することで、これをエンドユーザーに非常に明確に示します。 BYOD登録を展開する際は、エンドユーザーとコミュニケーションをとることを常にお勧めします。
BYODの未来
Appleは、BYODデバイス専用に設計された新しいタイプの登録方法をMDMフレームワークに導入しました。この新しい登録方法は、ユーザー登録と呼ばれ、BYODワークフローに合わせて調整されており、IT管理者が必要とする管理機能の範囲と、ユーザーが期待するプライバシーに関する懸念との間の中間点を見つけます。ユーザー登録では、エンドユーザーはより多くのプライバシーを享受できますが、IT管理者は、特に既存の登録オプションが提供する管理権限の量を考慮すると、いくつかの重要な管理制限に気付くでしょう(登録されたAppleの監視対象デバイスのワイプ、ロック、制限など)。
ユーザー登録は、Apple Business Manager (または Apple School Manager) の管理対象Apple Account と MDMソリューションの力を活用することで機能します。ユーザデータのプライバシーは、仕事用と個人用の別々のAPFSボリュームによって保護され、管理対象Appleアカウントは、ビジネスアプリ(企業所有)と個人のアプリ(ユーザ所有)を分離するために使用されます。デバイスのシリアル番号とMACアドレスもIT部門から隠され、登録時に作成された匿名化された識別子に置き換えられます。
ここ Kandjiでは、 BYOD とAppleの新しいユーザー登録機能の未来に非常に興奮しており、将来それをサポートするのが待ちきれません。