有效執行MDM解決方案 達成BYOD管理目標
要有效達成BYOD的目的,企業需要行動裝置管理(MDM)解決方案,以便管理所有類型的裝置(無論行動裝置位於何處)。但是每個組織的MDM設計可能會因為每個組織的特殊管理需求而有所不同,有時很難判斷哪個解決方案最符合組織的需求,但可用性、延展性、效能、管理性與安全性這幾項層級,是MDM應該要積極達成的管理目標。
設計MDM解決方案的第一個步驟,是決定將用來支援行動裝置的管理平台需求。如想要採用單一管理解決方案,來管理所有行動裝置時,就可能會忽略BYOD可能需要的多平台需求,但選擇跨平台解決方案,也意味著BYOD的管理會變得比較複雜,IT人員必須先徹底了解公司的長期策略,才能完全了解目前和未來的商務需求,選擇正確的解決方案,才能在商務需求成長及變更時隨之擴充。
企業首先要識別使用者的需求,如需要取公司哪些資源、不同的使用者設定,會對企業的行動性策略造成什麼影響、使用者能否在內部部署環境中,透過其行動裝置存取他們有存取權的所有應用程式,或是只需要電子郵件功能(包括行事曆、連絡人和工作)的基本存取權等,員工使用的應用程式也必須能夠在組織中使用的所有行動裝置作業系統上執行,才能有效達成BYOD的管理目標。
其次要識別的是位置的需求,包括是否需要根據使用者位置限制存取公司資源或是具備根據裝置地理位置強制執行原則的能力,公司是否要需要追蹤使用者存取供司資源時的地理位置,也在考量範圍中。
由於在某些情況下,企業可能會需要同時面對BYOD和公司擁有的裝置管理需求,MDM解決方案不但必須能夠跨平台管理,同時也要和目前的內部部署基礎結構整合,安全性原則也要能涵蓋這兩個模型,才能讓IT人員得以掌控全局。
規劃行動裝置管理規則
所有的行動裝置都需要有完整的生命週期管理,簡單、容易註冊是行動裝置管理生命週期中成功的關鍵因素。因為初始的裝置註冊如果過於複雜,不管是管理者或使用者都可能不會願意繼續執行MDM解決方案,這也表示無法有效達成BYOD所要達成的功能、優點與必要的保護。
BYOD的註冊方式,多半是讓使用者自行註冊, 這種類型的註冊通常會使用「以發送為基礎」的註冊模型,當使用者嘗試連線到公司網路或來自裝置的網路資源時,裝置會自動觸發以註冊到MDM解決方案中,使用者有時也可以選擇在連線到組織網路或資源之前註冊其裝置,在大部分情況下,當行動裝置註冊到MDM解決方案時,就會自動將原則和權限指派給裝置。
一旦使用者離開組織或行動裝置需要淘汰或被新裝置取代時,就需要重設或取消註冊,對大部分的行動裝置而言,取消註冊一開始會將裝置重設為原廠預設,或執行所有公司資料和應用程式的選擇性抹除作業,然後再移除管理解決方案的裝置註冊連接,處理程序往往會隨著行動裝置製造商和裝置作業系統平台而異,但一定要確保公司資料不會遺失或洩漏。
行動裝置安全規劃
行動裝置在取消註冊前,運作過程都應該納入在MDM解決方案中,尤其是安全規劃更是重要。但為了追求安全,而犧牲BYOD可能帶來的方便性及效率提升,也非MDM解決方案的目的。想要平衡這些需求,可能就會有特定要求,如相容性規則需要根據產業特性而有所不同。
行動裝置的安全規劃,包含可以在組織中部署到受管理裝置的各種不同設定, 設定可以包含指定時間、到期和裝置密碼存取、裝置加密和從遺失或遭竊的裝置清除資料所需的特性。
無論是何種產業,行動裝置管理有一些一般層面的安全性必須探索及遵循。包括行動裝置本身及雲端待用的資料的加密及分類、用戶端隱私權等;資料在傳輸過程集內部部署時,都必須要能透過加密、驗證及授權等方式,做好資料保護。
並非所有安全性原則皆可用於所有行動裝置平台,IT人員往往要在允許行動裝置有更多存取權限,與強化裝置的安全性相容性之間,設法取得優先順序的平衡,如設計不同層級的安全性,讓每個層級可用的設定各有不同,以取得適當的管理彈性。
行動裝置應用程式規劃
考慮完需求、裝置及安全性規劃後,接下來就要規劃管理應用程式部署、安裝、更新及移除等管理需求。MDM解決方案要能針對不相容的特定應用程式,來管理其限制,這也是整體相容性與安全性策略的核心。
由於越來越多組織開始利用雲端運算基礎結構解決方案的功能和能力,為使用者提供服務和應用程式,軟體即服務(SaaS)型態的MDM解決方案需求儼然成為主流。
SaaS可以從單一位置集中管理使用者和裝置服務、應用程式和活動,不論使用者或裝置的位置何在。 在某些情況下,SaaS解決方案決策可能完全獨立,或只是如何管理行動裝置的一小部分,每個SaaS解決方案都有不同的需求、行動裝置管理功能,以及與內部部署網路和平台的整合層級,在決定如何使用 SaaS 解決方案來管理行動裝置之前,IT人員還需要檢查這些類型的雲端平台架構之間的差異,並選擇其中一個最符合組織整體需求的類型。
清查和報告功能不可或缺
MDM解決方案不只能協助管理BYOD,也可用來管理內部部署網路資源的存取,如電子郵件伺服器、Wi-Fi網路帳號,或VPN資源等,可確保安全性更新狀態,並且讓行動裝置使用者更容易根據公司原則存取公司資源。
管理行動裝置時,往往還需要記錄行動裝置和平台事件並加以分析,才能追蹤其是否符合組織中的管理原則。詳細報告也可以提供IT人員即時統計資料和資料,讓IT人員可以根據行動裝置和行動裝置使用者的狀態做出更快速、更佳的決策。