Cuando las personas traen sus propios dispositivos al trabajo o a la escuela, no quieren que los administradores de TI administren todo el dispositivo. Pero hasta ahora, Apple. solo se ofrecieron dos formas para que TI administre sus dispositivos iOS: las inscripciones de dispositivos, que ofrecían a los administradores capacidades de administración en todo el dispositivo, o esas mismas capacidades de administración de dispositivos combinadas con un proceso de configuración automatizado. En la Conferencia Mundial de Desarrolladores de Apple la semana pasada, la compañía anunció planes para introducir un tercer método: la inscripción de usuarios.
Esta nueva opción de inscripción en MDM (administración de dispositivos móviles) está diseñada para equilibrar mejor las necesidades de TI para proteger los datos corporativos confidenciales y administrar el software y la configuración disponibles para los usuarios, mientras que al mismo tiempo permite que los datos personales privados de los usuarios permanezcan separados de TI. vigilancia.
Según Apple, cuando las necesidades tanto de los usuarios como de TI están equilibradas, es más probable que los usuarios acepten un programa corporativo "traiga su propio dispositivo" (BYOD, por sus siglas en inglés), algo que en última instancia puede ahorrarle dinero al negocio que no tiene que ser invertido en compras de hardware.
La nueva opción de inscripción de usuarios para MDM tiene tres componentes: una ID de Apple administrada que se encuentra junto a la ID personal; separación criptográfica de datos personales y laborales; y un conjunto limitado de capacidades de administración de todo el dispositivo para TI.
La ID de Apple administrada será la identidad de trabajo del usuario en el dispositivo, y la crea el administrador de Apple School Manager o Apple Business Manager, dependiendo de si se trata de una escuela o un negocio. El usuario inicia sesión en el ID de Apple administrado durante el proceso de inscripción.
Desde ese momento en adelante hasta que finalice la inscripción, las aplicaciones y cuentas administradas de la compañía utilizarán la cuenta iCloud de Apple ID administrada.
Mientras tanto, las aplicaciones y cuentas personales del usuario utilizarán la cuenta personal de iCloud de Apple ID, si una está conectada al dispositivo.
Las aplicaciones de terceros se utilizan en modo administrado o no administrado.
Eso significa que los usuarios no podrán cambiar de modo o ejecutar las aplicaciones en ambos modos al mismo tiempo. Sin embargo, algunas de las aplicaciones integradas como Notes estarán basadas en la cuenta, lo que significa que la aplicación usará el ID de Apple apropiado, ya sea el administrado o el personal, según la cuenta en la que estén operando en ese momento.
Para separar los datos de trabajo de los personales, iOS creará un volumen de APFS administrado en el momento de la inscripción. El volumen utiliza claves criptográficas separadas que se destruyen junto con el propio volumen cuando finaliza el período de inscripción. (iOS siempre había eliminado los datos administrados cuando finaliza la inscripción, pero esto es un respaldo criptográfico en caso de que algo saliera mal durante la cancelación de la inscripción, explicó la compañía).
El volumen administrado alojará los datos locales almacenados por cualquier aplicación de terceros administrada junto con los datos administrados de la aplicación Notes. También albergará un llavero administrado que almacena elementos seguros como contraseñas y certificados; las credenciales de autenticación para cuentas administradas; y adjuntos de correo y cuerpos completos de correo electrónico.
El volumen del sistema aloja una base de datos central para correo, incluidos algunos metadatos y cinco vistas previas de línea, pero esto también se elimina cuando finaliza la inscripción.
Las aplicaciones personales de los usuarios y sus datos no pueden ser administrados por el administrador de TI, por lo que nunca corren el riesgo de que sus datos sean leídos o borrados.
Y a diferencia de las inscripciones en dispositivos, las inscripciones de usuarios no proporcionan un UDID o cualquier otro identificador persistente al administrador. En su lugar, crea un nuevo identificador llamado "ID de inscripción". Este identificador se utiliza en la comunicación con el servidor MDM para todas las comunicaciones y se destruye cuando finaliza la inscripción.
Apple también señaló que una de las grandes razones por las que los usuarios temen a los programas BYOD corporativos es porque piensan que el administrador de TI borrará todo su dispositivo cuando finalice la inscripción, incluidas sus aplicaciones y datos personales.
Para resolver este problema, las consultas MDM solo pueden devolver los resultados administrados.
En la práctica, eso significa que IT ni siquiera puede descubrir qué aplicaciones personales están instaladas en el dispositivo, algo que puede parecer una invasión de la privacidad para los usuarios finales. (Esta función también se ofrecerá para inscripciones de dispositivos). Y como TI no sabe qué aplicaciones personales están instaladas, tampoco puede restringir el uso de ciertas aplicaciones.
Las inscripciones de usuarios tampoco admitirán el comando "borrar dispositivo", y no tienen que hacerlo porque TI sabrá que los datos confidenciales y los correos electrónicos se han ido. No hay necesidad de limpiar el dispositivo por completo.
De manera similar, el servidor de Exchange no puede enviar su comando de borrado remoto, solo el borrado remoto solo de la cuenta para eliminar los datos administrados.
Otra característica nueva relacionada con las inscripciones de usuarios es cómo el tráfico para las cuentas administradas se guía a través de la VPN corporativa. Al usar la función VPN por aplicación, el tráfico de las aplicaciones integradas Correo, Contactos y Calendarios solo pasará por la VPN si los dominios coinciden con los de la empresa. Por ejemplo, mail.acme.com puede pasar a través de la VPN, pero no a mail.aol.com. En otras palabras, el correo personal del usuario permanece privado.
Esto aborda lo que ha sido una preocupación constante acerca de cómo operan algunas soluciones de MDM: enrutar el tráfico a través de un proxy corporativo significa que la empresa podría ver los correos electrónicos personales de los empleados, las cuentas de redes sociales y otra información privada.
Las inscripciones de usuarios también imponen un código de acceso no simple de seis dígitos, ya que el servidor MDM no puede ayudar a los usuarios borrando el código anterior si el usuario lo olvida.
Algunos recomiendan hoy a los usuarios que no acepten las políticas de BYOD MDM debido al impacto en la privacidad personal. Si bien una empresa tiene todo el derecho de administrar y borrar sus propias aplicaciones y datos, TI se ha sobrepasado con algunas de sus capacidades de administración remota, incluida su capacidad para borrar dispositivos completos, acceder a datos personales, rastrear la ubicación de un teléfono, restringir el uso personal de aplicaciones y Más.
Sin embargo, las políticas de MDM de Apple no han incluido el rastreo por GPS, ni esta nueva opción.
La nueva política de Apple es un paso hacia un mejor equilibrio de inquietudes, pero requerirá que los usuarios comprendan los matices de estos detalles más técnicos, lo que tal vez no lo hagan.
Para comenzar, la educación del usuario se reducirá a las empresas que insisten en estas políticas de MDM; deberán establecer su propia documentación, explicaciones y nuevas políticas de privacidad con sus empleados que detallan a qué tipo de datos pueden y no pueden acceder. así como qué tipo de control tienen sobre los dispositivos corporativos.
Source link