Одной из главных проблем для конечных пользователей личных устройств является конфиденциальность личных данных на устройствах под управлением Workspace ONE Intelligent Hub. Ваша организация должна гарантировать cотрудникам, что их личные данные не подвергаются корпоративному надзору.
С помощью решения Workspace ONE UEM можно обеспечить конфиденциальность личных данных, создав индивидуальные политики конфиденциальности, которые не собирают личные данные на основе типа владения устройством. Кроме того, вы можете задать детализированные настройки конфиденциальности, чтобы деактивировать сбор персональных данных и запретить определенные удаленные действия на личных устройствах сотрудников для обеспечения конфиденциальности сотрудников.
Вы обязаны информировать пользователей о том, как собираются и хранятся их данные после регистрации пользователей в Workspace ONE UEM.
Дополнительные сведения о том, как компания VMware обрабатывает аналитическую и другую информацию, собранную при помощи Workspace ONE UEM, приведена в политике конфиденциальности VMware по адресу https://www.vmware.com/help/privacy.html.
Важно! Правила, регулирующие сбор данных конечных пользователей, зависят от страны и юрисдикции. Ваша организация должна тщательно изучить применимые законы перед настройкой политики в отношении личных устройств сотрудников и политики конфиденциальности.
Конфиденциальность — это главная проблема для вас и ваших пользователей. Workspace ONE UEM позволяет детально управлять тем, какие данные пользователей собираются и какие собранные данные доступны для просмотра администраторами. Настройте параметры конфиденциальности, чтобы удовлетворить требования пользователей и бизнес-подразделения.
Важно! В каждой юрисдикции есть свои правила, регулирующие сбор информации о пользователях. Перед настройкой политик конфиденциальности нужно тщательно изучить эти правила.
Выберите соответствующую настройку для сбора данных GPS, мобильной связи, приложений, профилей и сети.
Выберите соответствующие настройки для команд, которые можно выполнять на устройстве. Рекомендуем отключить все удаленные команд для личных устройств сотрудников, особенно команды полной очистки устройства. Эта деактивация предотвращает случайное удаление или очистку личных данных пользователей. Если деактивировать функцию очистки для некоторых типов принадлежности iOS, пользователи не будут видеть разрешение «Удалить весь контент и все настройки» во время регистрации.
Примечание. Если вы измените параметры конфиденциальности удаленной блокировки, завершения работы, перезагрузки или очистки секретного кода с запрета () на разрешение ( или ), то перед выполнением этих удаленных действий на этих устройствах Apple все ранее зарегистрированные устройства Apple должны быть повторно зарегистрированы с новой настройкой конфиденциальности, прежде чем вы сможете выполнить эти удаленные действия на этих Apple устройствах.
Если для защищенных устройств Windows и Android разрешается доступ для дистанционного управления, диспетчера файлов или диспетчера реестра, рекомендуем использовать параметр Разрешить с согласия пользователя. Тогда перед выполнением действия пользователь должен подтвердить права администратора на свое устройство в сообщении с запросом. Чтобы разрешить использование любых команд, явно укажите эти команды в условиях использования.
Уведомления о конфиденциальности отправляются автоматически с учетом организационной группы и типа принадлежности подключенного устройства. Можно включить отображение уведомления о конфиденциальности для каждого типа принадлежности: Личное, Корпоративное-личное, Корпоративное-общее и Неизвестное.
Если назначается тип принадлежности для получения уведомления о конфиденциальности, все пользователи с выбранным типом принадлежности незамедлительно получат уведомление о конфиденциальности в виде веб-клипа. Если включить в шаблон сообщения значение подстановки PrivacyNotificationUrl
, сообщение будет содержать URL-адрес, который ведет на страницу уведомления о конфиденциальности.
Пользователи автоматически получат уведомление о конфиденциальности в следующих случаях.
Развертывание уведомления о конфиденциальности при активации устройства см. в разделе Запись отдельных устройств.
Пользователям можно рассылать уведомления о конфиденциальности, чтобы информировать о том, какие данные собираются с зарегистрированных устройств. Чтобы создать сообщение для пользователей о сборе данных, проконсультируйтесь с юристами своей компании.
Укажите настройки на странице Добавление или изменение шаблона сообщения.
Настройка | Описание |
---|---|
Имя | Введите имя шаблона уведомления. |
Описание | Введите описание создаваемого шаблона. |
Категория | Выберите Регистрация. |
Тип | Выберите Активация устройства MDM. |
Выбор языка | Выберите для шаблона язык по умолчанию. Нажмите кнопку Добавить, чтобы добавить дополнительные языки по умолчанию в многоязычном пакете. |
По умолчанию | Назначить этот шаблон как шаблон сообщения по умолчанию. |
Тип сообщения | Выберите один или несколько типов сообщения: Электронная почта, SMS или Push-уведомления. |
Создайте контент уведомления. Типы сообщений, выбранные в поле Тип сообщения определяют, какие сообщения используются для настройки.
Элемент | Описание |
---|---|
Эл. почта | |
Форматирование контента эл. почты | Выберите формат доставки уведомлений по электронной почте: в виде обычного текста или HTML. |
Тема | Задайте тему уведомления по электронной почте. |
Текст сообщения | Напишите текст сообщения электронной почты, которое будет отправляться пользователям. Отображаемые в этом поле средства изменения и форматирования зависят от выбора в поле Форматирование контента эл. почты. Если вы включили визуальное уведомления о конфиденциальности, включите значение подстановки PrivacyNotificationUrl в текст сообщения. |
SMS | |
Текст сообщения | Напишите текст SMS-сообщения, которое будет отправляться пользователям. Если вы включили визуальное уведомление о конфиденциальности, включите значение подстановки PrivacyNotificationUrl в текст сообщения. |
Извещающий | |
Текст сообщения | Напишите текст Push-уведомления, которое будет отправляться пользователям. Если вы включили визуальное уведомление о конфиденциальности, включите значение подстановки PrivacyNotificationUrl в текст сообщения. |
Нажмите Сохранить.
Поддержание баланса между требованиями бизнеса и обеспечением конфиденциальности сотрудников может быть трудной задачей. Ниже приведены несколько простых рекомендаций по оптимальному управлению настройками конфиденциальности.
Важно! Все развертывания отличаются друг от друга. Задайте настройки и политики, которые лучше всего подходят вашей организации, проконсультировавшись со своим юридическим отделом, отделом кадров и отделом управления.
Обычно для корпоративных-личных и личных устройств отображается имя, фамилия, номер телефона и электронный адрес.
Обычно для личных устройств целесообразно указать не собирать или собирать, но не показывать информацию о приложении. Это важная настройка, поскольку общедоступные приложения, установленные на устройстве, можно считать личной информацией. Для корпоративных устройств Workspace ONE UEM собирает информацию обо всех установленных приложениях.
Если указано «не собирать», не будет собираться только личная информация в приложениях. Workspace ONE UEM собирает сведения обо всех управляемых приложениях (общедоступных, внутренних и приобретенных).
Рекомендуем отключить все удаленные команды для личных устройств. Если разрешаете удаленные действия или команды, явно укажите их в соглашении об условиях использования.
Сбор GPS-координат вызывает опасения относительно конфиденциальности данных. Хотя это не относится к сбору данных GPS для личных устройств сотрудников, следующие примечания применяются ко всем устройствам, зарегистрированным в Workspace ONE UEM.
Данные об использовании мобильной связи на личных устройствах сотрудников можно собирать, только если работодатель оплачивает расходы сотрудников на мобильную связь. Если работодатель оплачивает расходы или устройства принадлежат компании, можно собирать следующие данные.
Инфраструктура Workspace ONE UEM собирает и хранит множество типов пользовательских данных. В следующей таблице каждый тип данных соответствует платформам и операционным системам, из которых можно собирать данные.
Используйте эту таблицу, чтобы определить, какой сбор данных необходим для вашего развертывания. Workspace ONE UEM также определяет дополнительные данные, которые можно собирать, например MAC-адрес Bluetooth. Можно настроить эти параметры и назначить параметры конфиденциальности по типу владения: выделенное корпоративное, общее корпоративное и личное устройство сотрудника.
Дополнительные сведения о том, как компания VMware обрабатывает аналитическую и другую информацию, собранную при помощи Workspace ONE UEM, приведена в политике конфиденциальности VMware по адресу https://www.vmware.com/help/privacy.html.
✓ — можно собирать.
X — нельзя собирать.
✓* — данные можно собирать в средах Workspace ONE Intelligent Hub.
✓** — можно собирать в средах Workspace ONE Intelligent Hub или iOS версии 9.3 и выше в управляемом режиме.
Android | Apple iOS | macOS | Защищенные устройства Windows | Windows Desktop | |
---|---|---|---|---|---|
Отслеживание приложений | |||||
Просмотр установленных внутренних приложений | ✓ | ✓ | ✓ | X | ✓ |
Просмотр версий приложений | ✓ | ✓ | ✓ | X | ✓ |
Сбор статуса приложения | ✓ | X | ✓ | X | ✓ |
Сертификаты | |||||
Просмотр списка установленных сертификатов | ✓ | ✓ | ✓ | X | ✓* |
Отслеживание активов | |||||
Имя устройства | ✓ | ✓ | ✓ | ✓ | ✓ |
UDID устройства | ✓ | ✓ | ✓ | ✓ | ✓ |
Номер телефона | ✓ | ✓ | X | ✓ | ✓ |
Номер IMEI/MEID | ✓ | ✓ | X | ✓ | ✓ |
Серийный номер устройства | ✓ | ✓ | ✓ | ✓ | ✓ |
Номер IMSI | ✓ | X | X | ✓ | ✓ |
Модель устройства | ✓ | ✓ | ✓ | ✓ | X |
Название модели устройства (понятное) | X | ✓ | ✓ | ✓ | X |
Производитель | ✓ | ✓ | ✓ | ✓ | ✓ |
Версия ОС | ✓ | ✓ | ✓ | ✓ | ✓ |
Сборка ОС | ✓ | X | ✓ | ✓ | ✓ |
Версия встроенного ПО/ядра | X | X | ✓ | X | X |
Отслеживание ошибок устройства | X | X | ✓ | ✓ | ✓ |
Статус устройства | |||||
Доступный аккумулятор | ✓ | ✓ | ✓ | ✓ | ✓ |
Емкость аккумулятора | ✓ | ✓ | ✓ | ✓ | X |
Доступная память | ✓ | ✓ | ✓ | ✓ | X |
Объем памяти | ✓ | ✓ | ✓ | ✓ | X |
Местоположение | |||||
Отслеживание GPS | ✓ | ✓** | ✓ | ✓ | ✓ |
Данные Bluetooth | ✓ | ✓** | ✓ | ✓ | ✓ |
Данные USB | X | ✓** | ✓ | ✓ | ✓ |
Сеть | |||||
IP-адрес Wi-Fi | ✓ | ✓ | ✓ | ✓ | ✓ |
Mac-адрес Wi-Fi | ✓ | ✓ | ✓ | ✓ | ✓ |
Уровень сигнала Wi-Fi | X | X | ✓ | ✓ | ✓ |
Версия настроек оператора связи | ✓ | ✓ | X | X | X |
Уровень сигнала сотовой сети | ✓ | X | X | X | X |
Технология сотовой связи (нет, GSM, CDMA) | ✓ | ✓ | X | X | X |
Текущий MCC | ✓ | ✓ | X | X | X |
Текущий MNC | ✓ | ✓ | X | X | X |
Номер SIM-карты | ✓ | ✓ | X | X | ✓ |
Сеть оператора SIM-карты | ✓ | ✓ | X | X | X |
MNC абонента | ✓ | ✓ | X | X | X |
MAC-адрес Bluetooth | ✓ | ✓ | ✓ | X | X |
Показать IP-адреса | ✓ | ✓ | ✓ | X | X |
Показать сетевые адаптеры | X | X | ✓ | X | X |
Показать MAC-адрес | ✓ | ✓ | ✓ | X | X |
Роуминг | |||||
Обнаружение статуса роуминга | ✓ | ✓ | X | X | X |
Деактивировать push-уведомления в роуминге | X | ✓ | X | X | X |
Голосовой роуминг включен (разрешен) | X | ✓ | X | X | X |
Использование данных | |||||
Отслеживать использование данных по сотовой сети | ✓ | ✓ | X | X | X |
Отслеживать использование данных по сети Wi-Fi | X | X | X | X | X |
Звонки | |||||
Отслеживать историю вызовов | ✓ | X | X | X | X |
Сообщения | |||||
Отслеживать историю SMS | ✓ | X | X | X | X |
Статус сотовой сети | |||||
Текущая сеть оператора | ✓ | ✓ | X | X | X |
Статус текущей сети | ✓ | ✓ | X | X | X |
Удаленный просмотр | |||||
Дистанционное управление устройством | ✓ | X | ✓ | ✓ | ✓ |
Снимок экрана (сохранение, отправка по электронной почте, печать и т. д.) | ✓ | X | ✓ | ✓ | ✓ |
Совместное использование экрана (удаленный просмотр в приложениях) | ✓ | ✓ | X | ✓ | ✓ |
Диспетчер файлов | |||||
Доступ к диспетчеру файлов устройства | ✓ | X | ✓ | ✓ | ✓ |
Доступ к диспетчеру реестра устройства | X | X | X | ✓ | ✓ |
Копирование файлов | ✓ | X | ✓ | ✓ | ✓ |
Создание папок | ✓ | X | ✓ | ✓ | ✓ |
Загрузка файлов с устройства | ✓ | X | ✓ | ✓ | ✓ |
Перемещение файлов | ✓ | X | ✓ | ✓ | ✓ |
Переименование папок и файлов | ✓ | X | ✓ | ✓ | ✓ |
Передача файлов на устройство | ✓ | X | ✓ | ✓ | ✓ |
В целях распределения ответственности вы должны информировать сотрудников о собираемых данных и действиях, разрешенных для устройств, зарегистрированных в Workspace ONE UEM. Чтобы лучше объяснить свою стратегию, создайте соглашения об условиях использования в Workspace ONE UEM.
Пользователям предлагается прочитать и принять настроенные вами условия использования, прежде чем они смогут включить MDM на своих личных устройствах. Назначая соглашения об условиях использования на основе типа владения, вы можете создавать и распространять разные соглашения для корпоративных пользователей и пользователей личных устройств.
После того как ваша организация составит соглашение об условиях использования, целесообразно предоставить его конечным пользователям в виде документа на одной или двух страницах, написанного понятным языком. Такой информационный документ не является официальным текстом условий использования, с которыми соглашаются конечные пользователи; он служит для информирования о корпоративных политиках. В идеале конечные пользователи не должны впервые видеть условия использования личных устройств сотрудников при регистрации устройства. Заранее сообщите, какую информацию о конечных пользователях вы собираете и каким образом на них распространяются политики в отношении личных устройств.
В Workspace ONE UEM можно развертывать различные политики безопасности и ограничения для личных устройств сотрудников и корпоративных устройств.
С помощью профилей ограничений можно установить жесткие ограничения для корпоративных устройств и менее строгие для личных устройств сотрудников. Например, ограничения для таких приложений, как YouTube или собственные магазины приложений, обычно не применяются к устройствам сотрудников. Вместо этого можно создавать профили безопасности и ограничения, которые повышают уровень безопасности устройства, не оказывая отрицательного влияния на функциональность.
Workspace ONE UEM предоставляет следующие ограничения для каждого устройства и платформы.
Каждая платформа имеет собственный набор принудительных ограничений. Оцените эти ограничения по отдельности, чтобы определить их ценность для развертывания. Некоторые из них, например ограничения iOS для контролируемых устройств, не применяются, поскольку личные устройства сотрудников нельзя регистрировать в Apple Configurator.
Дополнительные сведения о создании профилей безопасности и ограничениях см. в разделе Добавление политики соответствия.
Важнейшим аспектом развертывания BYOD является удаление корпоративного контента при увольнении сотрудника или в случае потери или кражи устройства. С помощью Workspace ONE UEM можно выполнять очистку корпоративных данных на устройствах так, чтобы удалить весь корпоративный контент и доступ, не затрагивая личные файлы и настройки.
Если с помощью очистки устройства восстанавливается исходное заводское состояние устройства, Workspace ONE UEM позволяет выбрать способ очистки корпоративных данных для общедоступных и купленных приложений VPP, которые нельзя явно отнести к корпоративным или личным устройствам сотрудников. При очистке корпоративных данных также отменяется регистрация устройства в Workspace ONE UEM и удаляется все содержимое, включенное через MDM. Сюда входят Этот контент включает в себя учетные записи электронной почты, настройки VPN, профили Wi-Fi, безопасный контент и корпоративные приложения.
Если на устройствах под управлением iOS 6 и предыдущих версий использовались коды погашения VPP Apple, никакие погашенные лицензии для этого приложения вернуть нельзя. При установке приложение связывается с учетной записью пользователя App Store. Эту связь невозможно отменить. Однако можно погасить лицензионные коды, использовавшиеся для iOS 7 и более поздних версий.
Очистка устройства. Позволяет отправить на устройство команду MDM для очистки всех данных и операционной системы. Данное действие невозможно отменить.
Очистка корпоративных данных. Позволяет отменить регистрацию устройства и удалить все управляемые корпоративные ресурсы, включая приложения и профили. Это действие является необратимым, и потребуется повторная регистрация, чтобы приложение Workspace ONE UEM могло снова управлять этим устройством. Это действие для устройства содержит параметры, позволяющие предотвратить повторную регистрацию, и текстовое поле Содержание заметки для добавления сведений о действии.
Корпоративная очистка удаляет устройство из Workspace ONE UEM и удаляет весь корпоративный контент, включая учетные записи электронной почты, настройки VPN, профили и приложения.
В целях безопасности и конфиденциальности можно деактивировать функцию очистки устройства BYOD.
Если деактивировать функцию очистки устройств для некоторых типов принадлежности iOS, при регистрации таких устройств пользователи не увидят разрешение «Удалить весь контент и все настройки» во время установки профиля.