許多企業IT主管可能都知道BYOD盛行背後下的資安危機,但卻不知道如何讓BYOD順勢成為提升企業生產力的助力而非阻力。本文將以實戰方式分享如何善用Microsoft雲端MDM解決方案,搬開以BYOD提高生產力前的絆腳石。
建立並部署好新原則之後,仍然可以隨時調整原則設定內容,以及重新設定所要套用的群組。
如圖43所示,在「所有原則」頁面內可以看到剛剛建立的原則,在選取之後點選「編輯」。
|
▲圖43 原則清單。 |
接下來,說明幾個常見的iOS安全設定項目。如圖44所示,在「應用程式」區域內,IT部門可以分別決定是否要允許應用程式存放區、需要密碼來存取應用程式存放區、允許應用程式內購買。
|
▲圖44 iOS應用程式原則控管。 |
舉例來說,若將其中的「允許應用程式內購買」設定為【否】,那麼使用者的iPad與iPhone將無法在某些App當中進行加購某些升級或功能的行為,而這類的操作需求通常出現在某一些商務App與遊戲App。
除此之外,對於功能的增強或遊戲角色能力的提升,所提供的臨時選購機制則可以考慮關閉。
在如圖45所示的「裝置功能」區域內,則可以控管許多硬體功能面的使用管制,包括相機、卸除式裝置、Wi-Fi網路以及藍牙功能等等。
|
▲圖45 控管裝置硬體。 |
在這裡,企業資安政策最想封鎖的肯定是「允許相機」,因此可以將其設定為「否」以強制關閉其功能。
至於卸除裝置功能的控管,雖然也是許多企業資安控管的重點,但在iOS系列裝置中是不適用的,因為它本身就不提供此功能,除非使用者採用越獄破解。但是越獄破解在Windows Intune的原則管制中是可以防範的,所以使用者可別想動手腳。
如圖46所示,在「功能」區域內可以設定是否允許使用語音助理(Siri),以及是否允許在鎖定裝置時使用語音助理,這裡先將它們皆設定為「否」,待會兒再來看看套用後的結果。
|
▲圖46 控管iOS語音助理。 |
此外,也可以設定是否允許語音撥號,以及是否允許複製和貼上等功能。
完成行動裝置安全原則的內容設定與儲存之後,如圖47所示切換到「原則」頁面中,便可以看到目前已設定的各項原則項目之設定值。當所設定的項目很多時,透過「篩選器」就能夠快速找到所要檢視的項目。
|
▲圖47 檢視iPad原則清單。 |
在前面步驟的原則範例中,曾經將裝置的相機以及語音助理功能予以關閉,接著就來看看此行動裝置原則套用後的結果。
如圖48所示,首先說明相機功能的部分,可以發現它已神奇地消失在iPad的快捷區域內,當回到桌面時,將發現此App也消失得無影無蹤了。
|
▲圖48 iPad照相功能消失。 |
至於iPad的語音助理呢?調出快顯示窗來看看Siri功能項,果真也不見了!此時若想透過按鍵呼叫出Siri,很抱歉!同樣也完全失效了,如圖49所示。
|
▲圖49 Siri功能消失。 |
結語
目前在IT市場上較知名的MDM解決方案除了Microsoft Windows Intune之外,還有VMware的AirWatch、Citrix的XenMobile,甚至於連防毒軟體公司Kaspersky的Security for Mobile解決方案都加入戰局,該如何評估與選擇呢?
其實就筆者的經驗而言,儘管智慧行動裝置的用戶數目前仍是以Android與iOS為最大宗,但大多數的商務工作者仍是以Windows電腦來做為協同合作的主要工具,因此強烈建議採用Microsoft自家的Windows Intune來當作MDM的解決方案,肯定是企業IT最佳的選擇。
<本文作者:顧武雄,Microsoft MVP、MCITP與MCTS認證專家、台灣微軟Technet、TechEd、Webcast特約資深顧問講師,讀者可以透過他的技術Facebook(http://www.facebook.com/profile.php?id=100000322352169)與他聯絡。>