您的位置首页 >网络安全 >

Apple正在使企业BYOD计划对用户隐私的侵害性降低

当人们将自己的设备带到工作或学校时,他们不希望IT管理员管理整个设备。但直到现在,AppleIT部门只提供两种方式来管理其iOS设备:设备注册,为管理员提供设备范围的管理功能,或者与自动设置过程相结合的设备管理功能。在上周举行的Apple全球开发者大会上,该公司宣布计划推出第三种方法:用户注册。

这种新的MDM(移动设备管理)注册选项旨在更好地平衡IT需求,以保护敏感的企业数据并管理用户可用的软件和设置,同时允许用户的私人个人数据与IT保持独立监督。

根据Apple的说法,当用户和IT的需求处于平衡状态时,用户更有可能接受企业“自带设备”(BYOD)计划 - 最终可以节省不需要投入的商业资金。在硬件购买。

MDM的新用户注册选项有三个组件:与个人ID一起存放的托管Apple ID;个人和工作数据的加密分离;以及针对IT的一组有限的设备范围管理功能。

托管Apple ID将是用户在设备上的工作标识,由管理员在Apple School Manager或Apple Business Manager中创建 - 具体取决于是针对学校还是企业。用户在注册过程中登录托管Apple ID。

从那时起直到注册结束,公司的托管应用和帐户将使用托管的Apple ID的iCloud帐户。

同时,用户的个人应用和帐户将使用个人Apple ID的iCloud帐户(如果已登录设备)。

然后,第三方应用程序可以在托管或非托管模式下使用。

这意味着用户将无法同时在两种模式下更改模式或运行应用程序。但是,一些像Notes这样的内置应用程序将基于帐户,这意味着应用程序将使用相应的Apple ID - 管理员或个人ID - 取决于他们当时正在操作的帐户。

要将工作数据与个人数据分开,iOS将在注册时创建托管APFS卷。卷使用单独的加密密钥,当注册期结束时,这些加密密钥与卷本身一起被销毁。(当注册结束时,iOS总是删除托管数据,但这是一个加密支持,以防万一在注册期间出现任何问题,公司解释说。)

托管卷将托管由任何托管第三方应用程序存储的本地数据以及Notes应用程序中的托管数据。它还将包含一个托管密钥链,用于存储密码和证书等安全项目;管理帐户的身份验证凭据;和邮件附件和完整的电子邮件正文。

系统卷确实托管了一个用于邮件的中央数据库,包括一些元数据和五行预览,但在注册结束时也会删除。

用户的个人应用程序及其数据无法由IT管理员进行管理,因此他们永远不会有读取或删除数据的风险。

与设备注册不同,用户注册不向管理员提供UDID或任何其他持久标识符。相反,它会创建一个名为“注册ID”的新标识符。此标识符用于与MDM服务器进行通信以进行所有通信,并在注册结束时销毁。

Apple还指出,用户担心企业BYOD计划的一个重要原因是他们认为IT管理员会在注册结束时删除整个设备 - 包括他们的个人应用程序和数据。

为解决此问题,MDM查询只能返回托管结果。

实际上,这意味着IT甚至无法找出设备上安装了哪些个人应用程序 - 这些内容可能会让最终用户感到隐私侵犯。(此功能也将用于设备注册。)由于IT不知道安装了哪些个人应用程序,因此也无法限制某些应用程序的使用。

用户注册也不支持“擦除设备”命令 - 而且他们没有必要,因为IT会知道敏感数据和电子邮件已经消失。不需要完整的设备擦除。

同样,Exchange Server无法发送其远程擦除命令 - 只需要仅限帐户的远程擦除即可删除托管数据。

与用户注册相关的另一个新功能是如何通过公司VPN引导管理帐户的流量。使用每应用程序VPN功能,来自邮件,联系人和日历内置应用程序的流量只有在域名与业务相匹配时才会通过VPN。例如,mail.acme.com可以通过VPN,但不能通过mail.aol.com。换句话说,用户的个人邮件仍然是私密的。

这解决了一些关于某些MDM解决方案如何运作的持续关注 - 通过公司代理路由流量意味着企业可以看到员工的个人电子邮件,社交网络帐户和其他私人信息。

用户注册也只强制使用六位数的非简单密码,因为如果用户忘记了MDM服务器,则无法通过清除过去的代码来帮助用户。

有些人今天建议用户不要接受BYOD MDM政策,因为这会影响个人隐私。虽然企业有权管理和擦除自己的应用程序和数据,但IT部门已经超越了一些远程管理功能 - 包括擦除整个设备,访问个人数据,跟踪手机位置,限制个人使用应用程序和更多。

Apple的MDM政策尚未包括GPS跟踪,但这种新选项也不包括在内。

Apple的新政策是朝着更好地平衡关注点迈出的一步,但需要用户了解这些更多技术细节的细微差别 - 他们可能不会这样做。

用户教育将归结为坚持这些MDM策略的企业 - 他们需要建立自己的文档,解释器,并与员工建立新的隐私政策,详细说明他们可以访问和不访问的数据类型,以及他们对企业设备的控制。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。