Uma das maiores preocupações dos usuários de BYOD é a privacidade do conteúdo pessoal nos dispositivos gerenciados pelo Workspace ONE UEM. Sua empresa deve assegurar a eles que seus dados pessoais não estão sujeitos à supervisão corporativa.
Com o Workspace ONE UEM, você pode garantir a privacidade dos dados pessoais ao criar políticas de privacidade personalizadas que não coletam dados pessoais baseados no tipo de propriedade do dispositivo. Além disso, é possível definir configurações de privacidade detalhadas para desativar a coleção de informações pessoais identificáveis e proibir certas ações remotas nos dispositivos dos funcionários para garantir a privacidade destes.
Você deverá informar aos usuários finais sobre como seus dados são coletados e armazenados quando eles se inscreverem no Workspace ONE UEM.
Para obter mais informações sobre como a VMware lida com informações coletadas por meio do Workspace ONE UEM, como em relação às técnicas de análise, consulte a política de privacidade da VMware em https://www.vmware.com/help/privacy.html.
Importante: Países e jurisdições têm regras diferentes que ditam como dados podem ser coletados dos usuários. Sua empresa deve pesquisar detalhadamente as leis aplicáveis antes de configurar seu BYOD e as políticas de privacidade.
A privacidade do usuário é uma grande preocupação para você e seus usuários. O Workspace ONE UEM oferece controle granular sobre quais dados são coletados de usuários e quais dados coletados podem ser visualizados pelos administradores. Defina as configurações de privacidade para atender seus usuários e suas necessidades de negócios.
Importante: Cada jurisdição tem seus próprios regulamentos que regem quais dados podem ser coletados dos usuários. Analise estes regulamentos minuciosamente antes de configurar suas políticas de privacidade.
Selecione a configuração apropriada para a coleta de dados de GPS, Telecom, Aplicativos, Perfis e Rede.
Selecione a configuração apropriada para os Comandos que podem ser realizados nos dispositivos. Considere desativar todos os comandos remotos para dispositivos de propriedade do funcionário, principalmente a remoção completa dos dados. Essa desativação evita a remoção acidental ou a limpeza do conteúdo pessoal de um usuário. Se escolher desativar a função de limpeza para tipos selecionados de propriedade de iOS, os usuários não veem a permissão “Apagar todo o conteúdo e configurações” durante a inscrição.
Observação: Se você alterar as configurações de privacidade de impedir () para permitir ( ou ) em bloqueio, desligamento, reinicialização ou limpeza do código de acesso, todos os dispositivos Apple inscritos anteriormente deverão ser inscritos novamente com a nova configuração de privacidade antes que você possa executar essas ações remotas nesses dispositivos Apple.
Se pretende permitir acesso ao controle remoto, ao gerenciador de arquivos ou ao gerenciador de registro para dispositivos Android/Windows Rugged, considere o uso da opção Permitir com a autorização do usuário. Essa opção exige que o usuário concorde com o acesso do administrador ao seu dispositivo por meio de uma mensagem de alerta antes de a ação ser executada. Se você optar por permitir o uso de qualquer comando, mencione isso de forma clara no acordo de termos de uso.
Os avisos de privacidade são entregues automaticamente de acordo com o grupo organizacional e a propriedade do dispositivo sendo conectado. Você pode exibir uma nota de privacidade para cada tipo de propriedade: Propriedade do funcionário, Corporativo - Dedicado, Corporativo - Compartilhado e Desconhecido.
Quando você atribui um tipo de propriedade para receber avisos de privacidade, todos os usuários no tipo de propriedade selecionado recebem a notificação de privacidade imediatamente como Web clip. Se você tiver inserido o valor de pesquisa do aviso de privacidade PrivacyNotificationUrl
no seu modelo de mensagem, a mensagem incluirá uma URL onde o usuário poderá ler o aviso de privacidade.
Os usuários receberão automaticamente o aviso de privacidade se:
Para saber como implementar um aviso de privacidade como parte de uma ativação de dispositivo, consulte Cadastrar um dispositivo individual.
Informe aos usuários quais dados sua empresa coleta dos dispositivos inscritos, usando um aviso de privacidade notificado. Determine com o seu departamento jurídico qual mensagem sobre a coleta de dados você deve informar aos seus usuários.
Conclua as configurações Adicionar ou editar modelo de mensagem.
Configuração | Descrição |
---|---|
Nome | Digite um nome para o modelo de notificação. |
Descrição | Digite uma descrição do modelo que está criando. |
Categoria | Selecione Inscrição. |
Tipo | Selecione Ativação de dispositivo MDM. |
Selecionar idioma | Selecione o idioma padrão para seu modelo. Use o botão Adicionar para adicionar mais idiomas padrão em uma entrega com vários idiomas. |
Padrão | Atribua esse modelo como o modelo de mensagem padrão. |
Tipo de mensagem | Selecione um ou mais tipos de mensagens: E-mail, SMS ou mensagem Push. |
Crie o conteúdo da notificação. Os tipos de mensagem que você selecionou em Tipo de mensagem determinam quais mensagens aparecem para configuração.
Elemento | Descrição |
---|---|
Formato do conteúdo do e-mail | Escolha se a notificação por e-mail será entregue como Texto sem formatação ou HTML. |
Assunto | Digite o assunto da sua notificação de e-mail. |
Corpo da mensagem | Escreva a mensagem de e-mail a ser enviada para os usuários. As ferramentas de edição e formatação exibidas nessas caixa de texto dependem do formato escolhido na seleção Formato do conteúdo do e-mail. Se tiver habilitado o aviso de privacidade visual, inclua o valor de pesquisa PrivacyNotificationUrl no corpo da mensagem. |
SMS | |
Corpo da mensagem | Escreva o SMS a ser enviado a seus usuários. Se tiver habilitado o aviso de privacidade visual, inclua o valor de pesquisa PrivacyNotificationUrl no corpo da mensagem. |
Envio por push | |
Corpo da mensagem | Escreva a notificação Push a ser enviada a seus usuários. Se tiver habilitado o aviso de privacidade visual, inclua o valor de pesquisa PrivacyNotificationUrl no corpo da mensagem. |
Selecione Salvar.
Alcançar o equilíbrio entre as necessidades de negócios e as preocupações com a privacidade dos funcionários pode ser um desafio. Há algumas práticas simples que podem gerenciar as Configurações de privacidade para chegar ao melhor equilíbrio.
Importante: Cada implementação é diferente. Personalize as configurações e políticas que se adequam à sua organização da melhor forma consultando suas equipes jurídica, de recursos humanos e de gerenciamento.
Em geral, você exibe as informações do usuário como nome, sobrenome, número de telefone e endereço de e-mail para dispositivos do funcionário e da empresa.
Geralmente, recomenda-se configurar a coleta de dados do aplicativo como Não coletar ou Coletar e não exibir para dispositivos de propriedade do funcionário. Essa configuração é importante porque aplicativos públicos instalados no dispositivo, se visualizados, podem ser considerados informação de identificação pessoal. Para dispositivos corporativos, o Workspace ONE UEM registra todos os aplicativos instalados no dispositivo.
Se a opção Não coletar estiver selecionada, somente as informações pessoais do aplicativo não serão coletadas. O Workspace ONE UEM coleta todos os aplicativos gerenciados, sejam públicos, internos ou comprados.
Considere desativar todos os comandos remotos para dispositivos de propriedade do funcionário. No entanto, se você permitir ações ou comandos remotos, mencione-os explicitamente no acordo de termos de uso.
A coleta de coordenadas de GPS está relacionada de maneira fundamental às preocupações com a privacidade. Enquanto não é adequado coletar dados de GPS dos dispositivos de propriedade do funcionário, as seguintes observações se aplicam a todos os dispositivos inscritos no Workspace ONE UEM.
Só se coletam dados de telecomunicação de dispositivos dos funcionários que fazem parte de uma de ajuda financeira na qual as despesas com celular são subsidiadas. Nesse caso ou no caso de dispositivos de propriedade da empresa, considere os seguintes dados que você pode coletar.
A infraestrutura do Workspace ONE UEM coleta e armazena vários tipos de dados gerados por usuários. A matriz seguinte liga cada tipo de dado à plataformas e sistemas operacionais dos quais os dados podem ser coletados.
Use esta matriz para determinar qual coleta de dados é necessária para sua implementação. O Workspace ONE UEM também define dados opcionais que você pode coletar, como Bluetooth MAC. Você pode configurar estas opções e atribuir configurações de privacidade por tipo de propriedade: corporativo - dedicado, corporativo, compartilhado e funcionário.
Para obter mais informações sobre como a VMware lida com informações coletadas por meio do Workspace ONE UEM, como em relação às técnicas de análise, consulte a política de privacidade da VMware em https://www.vmware.com/help/privacy.html.
✓ - Pode ser coletado.
X - Não pode ser coletado.
✓* - Pode ser coletado em implantações do Workspace ONE Intelligent Hub.
✓** - Pode ser coletado em implementações do Workspace ONE Intelligent Hub ou modo supervisionado do iOS 9.3 e superior.
Android | Apple iOS | macOS | Windows Rugged | Windows Desktop | |
---|---|---|---|---|---|
Rastreamento de aplicativos | |||||
Visualização de aplicativos internos instalados | ✓ | ✓ | ✓ | X | ✓ |
Visualização de versões do aplicativo | ✓ | ✓ | ✓ | X | ✓ |
Captura do status do aplicativo | ✓ | X | ✓ | X | ✓ |
Certificados | |||||
Visualização da lista de certificados instalados | ✓ | ✓ | ✓ | X | ✓* |
Rastreamento de ativos | |||||
Nome do dispositivo | ✓ | ✓ | ✓ | ✓ | ✓ |
UDID do dispositivo | ✓ | ✓ | ✓ | ✓ | ✓ |
Número de telefone | ✓ | ✓ | X | ✓ | ✓ |
Número do IMEI/MEID | ✓ | ✓ | X | ✓ | ✓ |
Número de série do dispositivo | ✓ | ✓ | ✓ | ✓ | ✓ |
Número IMSI | ✓ | X | X | ✓ | ✓ |
Modelo do dispositivo | ✓ | ✓ | ✓ | ✓ | X |
Apelido do modelo do dispositivo | X | ✓ | ✓ | ✓ | X |
Fabricante | ✓ | ✓ | ✓ | ✓ | ✓ |
Versão do S.O. | ✓ | ✓ | ✓ | ✓ | ✓ |
Build do SO | ✓ | X | ✓ | ✓ | ✓ |
Versão do Kernel/Firmware | X | X | ✓ | X | X |
Rastreio de erros do dispositivo | X | X | ✓ | ✓ | ✓ |
Status do dispositivo | |||||
Bateria disponível | ✓ | ✓ | ✓ | ✓ | ✓ |
Capacidade da bateria | ✓ | ✓ | ✓ | ✓ | X |
Memória disponível | ✓ | ✓ | ✓ | ✓ | X |
Capacidade da memória | ✓ | ✓ | ✓ | ✓ | X |
Local | |||||
Rastreamento de GPS | ✓ | ✓** | ✓ | ✓ | ✓ |
Dados de Bluetooth | ✓ | ✓** | ✓ | ✓ | ✓ |
Dados USB | X | ✓** | ✓ | ✓ | ✓ |
Rede | |||||
Endereço IP de acesso Wi-Fi | ✓ | ✓ | ✓ | ✓ | ✓ |
MAC de Wi-Fi | ✓ | ✓ | ✓ | ✓ | ✓ |
Força do sinal de Wi-Fi | X | X | ✓ | ✓ | ✓ |
Versão das configurações da operadora | ✓ | ✓ | X | X | X |
Força do sinal do celular | ✓ | X | X | X | X |
Tecnologia do celular (nenhuma, GSM, CDMA) | ✓ | ✓ | X | X | X |
MCC atual | ✓ | ✓ | X | X | X |
MNC atual | ✓ | ✓ | X | X | X |
Número do cartão SIM | ✓ | ✓ | X | X | ✓ |
Rede da operadora do SIM | ✓ | ✓ | X | X | X |
MNC do assinante | ✓ | ✓ | X | X | X |
MAC do Bluetooth | ✓ | ✓ | ✓ | X | X |
Exibir endereços IP | ✓ | ✓ | ✓ | X | X |
Mostrar adaptadores de rede | X | X | ✓ | X | X |
Exibir endereço MAC | ✓ | ✓ | ✓ | X | X |
Roaming | |||||
Detectar o status em roaming | ✓ | ✓ | X | X | X |
Desativar notificações push em roaming | X | ✓ | X | X | X |
Ativação do roaming de voz (permitido) | X | ✓ | X | X | X |
Uso de dados | |||||
Rastreio de uso de dados através da rede celular | ✓ | ✓ | X | X | X |
Rastreio de uso de dados através da rede Wi-Fi | X | X | X | X | X |
Chamadas | |||||
Rastreio do histórico de chamadas | ✓ | X | X | X | X |
Mensagens | |||||
Rastreio de histórico de SMS | ✓ | X | X | X | X |
Status do celular | |||||
Rede da operadora atual | ✓ | ✓ | X | X | X |
Status da rede atual | ✓ | ✓ | X | X | X |
Visualização remota | |||||
Controle remoto do dispositivo | ✓ | X | ✓ | ✓ | ✓ |
Captura de tela (salvar, enviar por e-mail, imprimir e assim por diante) | ✓ | X | ✓ | ✓ | ✓ |
Compartilhamento de tela (visualização remota dentro de um aplicativo) | ✓ | ✓ | X | ✓ | ✓ |
Gerenciador de arquivos | |||||
Acesso ao gerenciador de arquivos do dispositivo | ✓ | X | ✓ | ✓ | ✓ |
Acesso ao gerenciador de registro do dispositivo | X | X | X | ✓ | ✓ |
Copiar arquivos | ✓ | X | ✓ | ✓ | ✓ |
Criação de pastas | ✓ | X | ✓ | ✓ | ✓ |
Baixar arquivos do dispositivo | ✓ | X | ✓ | ✓ | ✓ |
Mover arquivos | ✓ | X | ✓ | ✓ | ✓ |
Renomeação de pastas e arquivos | ✓ | X | ✓ | ✓ | ✓ |
Carregamento de arquivos no dispositivo | ✓ | X | ✓ | ✓ | ✓ |
Por motivos de responsabilidade, você deve informar aos seus funcionários sobre os dados que são coletados e as ações que são permitidas nos dispositivos inscritos no Workspace ONE UEM. Para ajudar a comunicar sua estratégia, crie acordos de Termos de Uso no Workspace ONE UEM.
Os usuários devem ler e aceitar os Termos de Uso que você configurar antes que possam habilitar o MDM em seus dispositivos pessoais. Ao atribuir acordos de Termos de Uso baseados no tipo de propriedade, você pode criar e distribuir acordos diferentes para usuários BYOD e corporativos.
Após sua empresa ter escrito o acordo de Termos de Uso, considere distribuí-lo aos funcionários em um documento de uma ou duas páginas que omite qualquer linguagem legal desnecessária. Este documento não é o Termos de Uso oficial com o qual os funcionários devem concordar, mas serve para comunicar suas políticas corporativas. Idealmente, os usuários não verão os termos de uso para os dispositivos de propriedade de funcionário na primeira vez que eles inscreverem seus dispositivos. Divulgue quais informações de usuário final você coleta e como suas políticas de BYOD os afetam.
O Workspace ONE UEM permite que você implemente políticas de segurança e restrições diferentes para dispositivos de propriedade de funcionários e para dispositivos corporativos dedicados.
Com os perfis de restrição, você pode estabelecer restrições fortes para dispositivos corporativos dedicados e restrições mais flexíveis para dispositivos de propriedade de funcionários. Por exemplo, restrições a aplicativos como YouTube ou loja de aplicativos nativas não são tipicamente implementadas em dispositivos do funcionário. Ao invés disso, você pode criar perfis de segurança e restrições que aumentam o nível de segurança do dispositivo sem ter um impacto negativo em sua funcionalidade.
O Workspace ONE UEM disponibiliza as seguintes restrições para cada dispositivo e a plataforma:
Cada plataforma tem seu próprio conjunto de restrições executáveis. Avalie estas restrições individualmente para determinar seu valor em sua implementação. Algumas, como as restrições de iOS limitadas aos dispositivos supervisionados, não se aplicam porque os dispositivos dos funcionários não podem ser inscritos no Apple Configurator.
Para obter mais informações sobre como criar perfis de segurança e restrições, consulte Adicionar uma política de conformidade.
Um aspecto essencial da sua implementação BYOD é a remoção do conteúdo corporativo quando um funcionário deixa o emprego ou quando o dispositivo é perdido ou roubado. O Workspace ONE UEM permite que você realize a limpeza dos dados corporativos nos dispositivos para remover todo o conteúdo e acesso da empresa, mas deixar arquivos e configurações pessoais intactos.
Enquanto uma limpeza de dispositivo o restaura ao seu estado original de fábrica, o Workspace ONE UEM permite que você decida até onde uma exclusão de dados corporativos vai quando se aplica a aplicativos VPP públicos e adquiridos que ficam em uma área cinzenta entre os dispositivos corporativos e dos funcionários. A remoção de dados corporativos também remove a inscrição do dispositivo no Workspace ONE UEM e todo o conteúdo habilitado através do MDM. Esse conteúdo inclui contas de e-mail, configurações de VPN, perfis de Wi-Fi, conteúdo seguro e aplicativos corporativos.
Se você utilizou códigos de resgate do Plano de compra por volume da Apple em dispositivos executando iOS 6 e inferior, você não pode recuperar nenhuma licença resgatada para aquele aplicativo. Quando instalado, o aplicativo é associado à conta do usuário na App Store. Esta associação não pode ser desfeita. No entanto, você pode resgatar códigos de licença usados para iOS 7 e superior.
remoção de dados de dispositivo – Envie um comando MDM para apagar os dados de um dispositivo eliminando todos os dados e o sistema operacional. Esta ação não pode ser desfeita.
Apagar dados corporativos – Use Apagar dados corporativos em um dispositivo para cancelar a inscrição e remover todos os recursos corporativos gerenciados, incluindo aplicativos e perfis. Essa ação não pode ser desfeita e uma nova inscrição é necessária para o Workspace ONE UEM gerenciar esse aplicativo novamente. Essa ação do dispositivo inclui opções para evitar uma nova inscrição e uma caixa de texto Descrição da anotação para que você adicione informações sobre a ação.
Apagar dados corporativos do dispositivo cancela a inscrição do dispositivo no Workspace ONE UEM e exclui todo o conteúdo corporativo, incluindo contas de e-mail, configurações de VPN, perfis e aplicativos.
Por razões de segurança e privacidade, é necessário desativar a capacidade de realização de uma limpeza completa em um dispositivo BYOD.
Se escolher desativar a opção de limpeza completa em tipos de propriedade de iOS, usuários inscritos nesse tipo de propriedade não veem as permissões “Apagar todo o conteúdo e configurações” durante a instalação do perfil.