Organización
En la mayoría de los escenarios, los administradores consideran que la opción más eficaz para organizar los dispositivos propiedad de los empleados ( dispositivosBYOD ) es crear una Blueprint independiente para ellos. Aprovechar un Blueprint independiente para BYOD dispositivos tiene las siguientes ventajas.
Separación distinta de los dispositivos propiedad de la empresa al tener un grupo dedicado.
Permite una administración separada y menos restrictiva de los dispositivos propiedad de los empleados.
Permite que el código de acceso del BYOD Blueprint se habilite de forma independiente para la inscripción a través del portal de inscripción.
Administración
En términos generales, la mayoría de las organizaciones impondrán menos restricciones a BYOD dispositivos. Una práctica común es imponer solo las restricciones necesarias para mantener un nivel mínimo de seguridad de la información. Es posible que las organizaciones también deseen implementar las aplicaciones corporativas necesarias para sus usuarios finales o certificados de identidad de dispositivo para flujos de trabajo de acceso condicional.
Ejemplos de elementos que una organización puede implementar en BYOD dispositivos son:
Imponer un requisito de código de acceso/contraseña a través de un perfil de código de acceso.
Aplicación de FileVault en dispositivos macOS a través de un perfil FileVault .
Aplicar los intervalos de inicio del protector de pantalla a través de un perfil de protector de pantalla.
Garantizar que el sistema operativo y las aplicaciones corporativas estén actualizados mediante Managed OS y Custom Apps.
Implementación de un certificado de identidad de dispositivo para el acceso condicional a través de un perfil SCEP.
En determinadas circunstancias, las opciones de administración serán limitadas (especialmente en iOS), ya que los dispositivos que se inscriben manualmente no están supervisados, lo que limita las restricciones que se les pueden imponer. Un ejemplo de estas limitaciones es que no se puede impedir el uso de la cámara en iOS a menos que el dispositivo esté supervisado.
Inscripción
Ahora que ha creado una nueva Blueprint, ha configurado algunas restricciones y ha agregado algunas aplicaciones, es el momento de inscribir los dispositivos BYOD de su organización Usando el Kandji Portal de Inscripción. Si normalmente utiliza la Device Enrollment automatizada y permite que solo se inscriban los BYOD Blueprint a través de este método, tiene la opción de deshabilitar los planos técnicos que no sonBYOD para el portal de inscripción. Por lo general, se recomienda proporcionar a los usuarios finales la URL de inscripción completa con el código de acceso (similar a la siguiente).
https://accuhive.kandji.io/enroll/access-code/123456Consentimiento
Con el nivel de control e información que se proporciona incluso a través de un dispositivo inscrito manualmente, es importante que los usuarios finales comprendan la cantidad de control que se otorga a un administrador de TI al inscribirse. Apple deja esto muy claro al usuario final durante el proceso de instalación del perfil al enumerar los "derechos" que el servidor MDM está solicitando y dar un breve resumen de las acciones posibles. Siempre se recomienda que se comunique con los usuarios finales al implementar una iniciativa de inscripción BYOD .