什么是自带设备 (BYOD)？

BYOD 在 21 世纪头十年的最后几年随着 iOS 和 Android 智能手机的推出而兴起，因为越来越多的员工更喜欢这些设备而不是公司标准配备的手机。远程和混合工作模式的兴起，以及企业网络与供应商和承包商的日益集成，加快了 BYOD 政策从智能手机扩展到更多设备的需求。

最近，新冠疫情以及芯片短缺和供应链中断迫使许多组织采取自带设备办公 (BYOD) 政策。这种方法使新员工能够在等待公司发放的设备时继续工作。

BYOD 政策通常由首席信息官 (CIO) 和其他高层 IT 决策者制定，它定义了员工在工作中使用员工自有设备应遵守的条款，以及最终用户在使用这些设备时必须遵守的安全政策。

虽然 BYOD 政策的具体内容会根据组织的 BYOD 策略的目标而有所不同，但大多数设备策略都定义了一些近似以下内容的信息：

可接受的使用情况：BYOD 政策通常会规定员工如何以及何时可以使用个人设备完成与工作相关的任务。例如可接受的使用指南可能包括有关通过虚拟专用网 (VPN) 安全连接到公司资源的信息以及经批准的工作相关应用程序列表。

可接受的使用政策通常会规定如何使用员工自有设备处理、存储和传输敏感的公司数据。在适用的情况下，BYOD 政策可能还包括符合健康保险流通和责任法案 (HIPAA)、萨班斯-奥克斯利法案和通用数据保护条例 (GDPR) 等法规的数据安全和保留政策。

允许的设备：BYOD 政策可能会概述员工可以用于工作目的的个人设备类型以及相关设备规格（例如最低操作系统版本）。

安全措施：BYOD 政策通常为员工的设备设定安全标准。其中可包括最低密码要求和双重身份验证政策、敏感信息备份协议以及设备丢失或被盗时应遵循的程序。安全措施还可能规定员工必须在其设备上安装安全软件，例如移动设备管理 (MDM) 或移动应用程序管理 (MAM) 工具。下面将进一步详细讨论这些 BYOD 安全解决方案。

隐私和权限：BYOD 政策通常概述 IT 部门为尊重员工在设备上的隐私而将采取的措施，包括组织将如何保持员工个人数据和公司数据之间的分离。该政策还可能详细说明 IT 部门在员工设备上所需的特定权限，包括其可能需要安装的某些软件和可能需要控制的应用程序。

报销：如果公司为使用个人设备的员工提供报销，例如为购买设备提供津贴或为互联网或移动数据计划提供补贴，那么 BYOD 政策将概述如何处理报销事宜以及员工可获得的报销金额。它还具体规定了员工可以获得的金额。

IT 支持：BYOD 政策可能会规定公司 IT 部门在多大程度上可以（或不可以）帮助员工排除损坏或功能不正常的个人设备的故障。

离职：最后，BYOD 政策通常会概述员工离开公司或将设备从 BYOD 计划中注销时应采取的步骤。这些退出程序通常包括从设备中删除敏感的公司数据、取消设备对网络资源的访问权限以及退出用户或设备账户的计划。

BYOD 计划引发了 IT 部门在使用公司发放的设备时不经常遇到（或较难遇到）的设备安全忧虑。员工设备中的硬件或系统漏洞可能会扩大公司的攻击面，从而为黑客提供突破公司网络和访问敏感数据的新方法。与使用公司发放的设备相比，员工在个人设备上敢于进行风险更大的浏览、电子邮件或消息传递行为。因个人使用而感染员工计算机的恶意软件很容易传播到公司网络。

对于公司发放的设备，IT 可以通过直接监控和管理设备设置、配置、应用程序软件和权限来避免这些问题和类似问题。但 IT 安全团队不太可能对员工的个人设备拥有同样的控制权，而员工可能会对这种程度的控制感到愤怒。随着时间的推移，公司已转向各种其他技术来降低 BYOD 安全风险。

虚拟桌面，也称为虚拟桌面基础架构 (VDI) 或桌面即服务 (DaaS)，是在远程服务器上托管的虚拟机上运行的完全预置的桌面计算实例。员工可以访问这些桌面，并且基本上可以从他们的个人设备远程运行它们，通常是通过加密连接或 VPN。

有了虚拟桌面，一切都发生在连接的另一端，个人设备上不会安装任何应用程序，也不会在个人设备上处理或存储任何公司数据，这有效地消除了与个人设备相关的大多数安全问题。但是，虚拟桌面的部署和管理成本可能很高；由于他们依赖于 Internet 连接，因此员工无法离线工作。

基于云的软件即服务 (SaaS) 可以提供类似的安全优势，减少管理开销，但也可以稍微减少对最终用户行为的控制。

在 BYOD 出现之前，组织使用移动设备管理 (MDM) 软件管理公司配发的移动设备。MDM 工具使管理员能够完全控制设备，他们可以执行登录和数据加密策略、安装企业应用程序、推送应用程序更新、跟踪设备位置以及在设备丢失、被盗或以其他方式被入侵锁定或擦除设备。

MDM 是一种可以接受的移动管理解决方案，但员工逐渐开始在工作中使用自己的智能手机，并且很快就对授予 IT 团队对其个人设备、应用程序和数据此种级别的控制权感到不满。从那时起，随着个人设备的用户和员工工作方式的改变，新的设备管理解决方案应运而生：

移动应用程序管理 (MAM)：MAM 专注于应用程序管理，而不是控制设备本身，仅授予 IT 管理员对企业应用程序和数据的控制权。MAM 通常通过容器化来实现这一点，即在个人设备上为业务数据和应用程序创建安全区域。容器化使 IT 能够完全控制容器内的应用程序、数据和设备功能，但它无法接触甚至无法看到容器之外的员工个人数据或设备活动。

企业移动管理 (EMM)： 随着 BYOD 参与度的提高，从智能手机扩展到平板电脑，从 Blackberry OS 和 Apple iOS 扩展到 Android，MAM 很难适应企业网络引入的所有新的员工自有设备。为解决这一问题，企业移动管理 (EMM) 工具很快应运而生。EMM 工具结合了 MDM、MAM 以及身份和访问管理 (IAM) 的功能，为 IT 部门提供单一平台、单一窗格视图以查看网络中所有个人和公司拥有的移动设备。

统一终端管理 (UEM)：EMM 的一个缺点是其无法管理 Microsoft Windows、Apple MacOS 和 Google Chromebook 计算机，这是一个难题，因为 BYOD 需要扩展以包含使用自己的 PC 远程工作的员工和第三方UEM 平台的出现弥补了这一差距，将移动设备、笔记本电脑和台式设备的管理工作整合到一个平台上。借助 UEM，IT 部门可以管理运行任何操作系统的所有类型设备的 IT 安全工具、策略和工作流，无论其从何处连接。

BYOD 为组织带来的最常提及的好处包括：

• 节约成本，减少 IT 管理负担：雇主不再负责为所有员工购买和配置设备。对于能够为大多数或所有员工实施并成功管理 BYOD 的公司来说，节省的成本可能非常可观。
  
  
• 加快新员工入职速度：员工不再需要等待公司发放的设备，就能开始执行与工作相关的任务。这一点在最近的芯片短缺和其他供应链中断事件中尤为重要，因为这些事件可能导致公司无法及时为员工提供电脑，使其无法开始工作。
  
  
• 提高员工满意度和工作效率：有些员工更喜欢使用自己的设备工作，因为他们觉得这些设备比公司配发的设备更熟悉或功能更完备。

员工和雇主可能会面临挑战和权衡，因此 BYOD 的相关优点可能会被抵消：

• 员工隐私问题：员工可能会担心其个人数据和活动的可见性。他们也可能不愿意在个人设备上安装 IT 授权的软件。
  
  
• 候选人池受限、包容性问题：如果 BYOD 是强制性的，那么负担不起或没有足够个人设备的人可能会被排除在考虑范围之外。有些人可能不愿意为需要他们使用个人计算机的组织工作，无论雇主是否为他们报销费用。
  
  
• 剩余的安全风险：即使有了 BYOD 安全和设备管理解决方案，员工也可能并不总是遵守网络安全最佳实践，例如个人设备上的良好密码设置习惯和物理设备安全性，从而为黑客、恶意软件和数据泄露打开了大门。
  
  
• 法规遵从问题：医疗保健、金融、政府和其他受严格监管行业的雇主可能无法为部分或任何员工实施 BYOD，原因是严格的法规和与敏感信息处理相关的高昂处罚。