Cuando las personas traen sus propios dispositivos al trabajo o la escuela, no quieren I.T. Administradores para gestionar todo el dispositivo. Pero hasta ahora, Apple. Solo se ofrecen dos formas para I.T. para administrar sus dispositivos iOS: ya sea inscripciones de dispositivos, que ofrecían a los administradores capacidades de administración en todo el dispositivo o esas mismas capacidades de administración de dispositivos combinadas con un proceso de instalación automatizado. En la Conferencia Mundial de Desarrolladores de Apple la semana pasada, la compañía anunció planes para introducir un tercer método: la inscripción de usuarios.
Esta nueva opción de inscripción en MDM (administración de dispositivos móviles) está diseñada para equilibrar mejor las necesidades de I.T. para proteger los datos corporativos confidenciales y administrar el software y la configuración disponibles para los usuarios, mientras que al mismo tiempo permite que los datos personales privados de los usuarios permanezcan separados de I.T. vigilancia.
Según Apple, cuando las necesidades tanto de los usuarios como de TI están equilibradas, es más probable que los usuarios acepten un programa BYOD "traiga su propio dispositivo" corporativo, algo que en última instancia puede ahorrarle dinero al negocio que no tiene que serlo. invertido en compras de hardware.
La nueva opción de inscripción de usuarios para MDM tiene tres componentes: una ID de Apple administrada que se encuentra junto a la ID personal; separación criptográfica de datos personales y laborales; y un conjunto limitado de capacidades de administración en todo el dispositivo para I.T.
La ID de Apple administrada será la identidad de trabajo del usuario en el dispositivo, y la crea el administrador de Apple School Manager o Apple Business Manager, dependiendo de si se trata de una escuela o un negocio. El usuario inicia sesión en el ID de Apple administrado durante el proceso de inscripción.
Desde ese momento en adelante hasta que finalice la inscripción, las aplicaciones y cuentas administradas de la compañía utilizarán la cuenta iCloud de Apple ID administrada.
Mientras tanto, las aplicaciones y cuentas personales del usuario utilizarán la cuenta personal de iCloud de Apple ID, si una está conectada al dispositivo.
Las aplicaciones de terceros se utilizan en modo administrado o no administrado.
Eso significa que los usuarios no podrán cambiar de modo o ejecutar las aplicaciones en ambos modos al mismo tiempo. Sin embargo, algunas de las aplicaciones integradas como Notes estarán basadas en la cuenta, lo que significa que la aplicación usará el ID de Apple apropiado, ya sea el administrado o el personal, según la cuenta en la que estén operando en ese momento.
Para separar los datos de trabajo de los personales, iOS creará un volumen de APFS administrado en el momento de la inscripción. El volumen utiliza claves criptográficas separadas que se destruyen junto con el propio volumen cuando finaliza el período de inscripción. (iOS siempre había eliminado los datos administrados cuando finaliza la inscripción, pero esto es un respaldo criptográfico en caso de que algo saliera mal durante la cancelación de la inscripción, explicó la compañía).
El volumen administrado alojará los datos locales almacenados por cualquier aplicación de terceros administrada junto con los datos administrados de la aplicación Notes. También contendrá un llavero administrado que almacena elementos seguros como contraseñas y certificados; las credenciales de autenticación para cuentas administradas; y adjuntos de correo y cuerpos completos de correo electrónico.
El volumen del sistema aloja una base de datos central para correo, incluidos algunos metadatos y cinco vistas previas de línea, pero esto también se elimina cuando finaliza la inscripción.
Las aplicaciones personales de los usuarios y sus datos no pueden ser administradas por el I.T. admin, por lo que nunca corren el riesgo de que sus datos sean leídos o borrados.
Y a diferencia de las inscripciones en dispositivos, las inscripciones de usuarios no proporcionan un UDID o cualquier otro identificador persistente al administrador. En su lugar, crea un nuevo identificador llamado "ID de inscripción". Este identificador se utiliza en la comunicación con el servidor MDM para todas las comunicaciones y se destruye cuando finaliza la inscripción.
Apple también señaló que una de las grandes razones por las que los usuarios temen a los programas BYOD corporativos es porque piensan que I.T. el administrador borrará todo su dispositivo cuando finalice la inscripción, incluidas sus aplicaciones y datos personales.
Para resolver este problema, las consultas MDM solo pueden devolver los resultados administrados.
En la práctica, eso significa I.T. Ni siquiera puedo averiguar qué aplicaciones personales están instaladas en el dispositivo, algo que puede parecer una invasión de la privacidad para los usuarios finales. (Esta función también se ofrecerá para inscripciones de dispositivos). Y porque I.T. no sabe qué aplicaciones personales están instaladas, tampoco puede restringir el uso de ciertas aplicaciones.
Las inscripciones de usuarios tampoco admitirán el comando "borrar dispositivo", y no tienen que hacerlo porque I.T. sabrá que los datos confidenciales y correos electrónicos se han ido. No hay necesidad de limpiar el dispositivo por completo.
De manera similar, el servidor Exchange no puede enviar su comando de borrado remoto, solo el borrado remoto solo de la cuenta para eliminar los datos administrados.
Otra característica nueva relacionada con las inscripciones de usuarios es cómo el tráfico para las cuentas administradas se guía a través de la VPN corporativa. Al usar la función VPN por aplicación, el tráfico de las aplicaciones integradas de Correo, Contactos y Calendarios solo pasará por la VPN si los dominios coinciden con los de la empresa. Por ejemplo, mail.acme.com puede pasar a través de la VPN, pero no a mail.aol.com. En otras palabras, el correo personal del usuario permanece privado.
Esto aborda lo que ha sido una preocupación constante sobre cómo funcionan algunas soluciones MDM: enrutar el tráfico a través de un proxy corporativo significa que la empresa podría ver los correos electrónicos personales de los empleados, las cuentas de redes sociales y otra información privada.
Las inscripciones de usuarios también imponen un código de acceso no simple de 6 dígitos, ya que el servidor MDM no puede ayudar a los usuarios borrando el código anterior si el usuario lo olvida.
Algunos recomiendan hoy a los usuarios que no acepten las políticas de BYOD MDM debido al impacto en la privacidad personal. Mientras que una empresa tiene todo el derecho de administrar y borrar sus propias aplicaciones y datos, I.T. se ha excedido con algunas de sus capacidades de administración remota, incluida su capacidad para borrar dispositivos completos, acceder a datos personales, rastrear la ubicación de un teléfono, restringir el uso personal de aplicaciones y más.
Sin embargo, las políticas MDM de Apple no han incluido el rastreo por GPS, y tampoco esta nueva opción.
La nueva política de Apple es un paso hacia un mejor equilibrio de preocupaciones, pero requerirá que los usuarios comprendan los matices de estos detalles más técnicos, lo que puede que no.
Para empezar, la educación del usuario se reducirá a las empresas que insisten en estas políticas de MDM: deberán establecer su propia documentación, explicadores y nuevas políticas de privacidad con sus empleados que detallan a qué tipo de datos pueden y no pueden acceder. así como qué tipo de control tienen sobre los dispositivos corporativos.
Source link