BYOD 終端使用者的最大顧慮是 Workspace ONE UEM 所管理裝置上的個人內容隱私權。您的組織必須確保這些個人資料不在公司的監管範圍內。

使用 Workspace ONE UEM,您可以依據裝置擁有權類型建立不收集個人資料的自訂隱私權政策,以確保個人資料的隱私。此外,還可以定義細微的隱私權設定,以停用收集可識別個人身分的資訊,且不允許對員工自有裝置執行某些遠端動作,以確保員工隱私權。

請務必通知終端使用者,並說明當他們向 Workspace ONE UEM 註冊時,將如何收集與儲存他們的資料。

如需瞭解 VMware 如何處理透過 Workspace ONE UEM 收集的資訊 (例如分析),請參閱 VMware 隱私權政策,網址為 https://www.vmware.com/tw/help/privacy.html

**重要提示:**各個國家/地區和管轄區域有不同的規則,管理可以從終端使用者處收集的資料。設定 BYOD 和隱私權政策之前,您的組織必須徹底瞭解適用的法規。

配置隱私權設定

終端使用者的隱私權您與您的使用者需關注的重要事項。Workspace ONE UEM 可提供最細微的控制方案,決定要從使用者收集何種資訊,而管理員又能查閱哪些收集而來的資訊。配置隱私權設定,同時滿足使用者的需求和您的和商務需求。

  • 根據裝置擁有權來檢視並調整隱私權原則,讓您可以遵守其他國家的資料隱私權法規或法律所定義的各種限制。
  • 確保某 IT 的檢查與平衡性都已到位,以避免伺服器與系統超載。

**重要提示:**每個管轄權皆有其本身的規則,可管理能向終端使用者收集的資料。必須通盤研究這些資訊,才能開始配置您的隱私權政策。

  1. 瀏覽至裝置 > 設定 > 裝置 & 使用者 > 一般 > 隱私權

  2. GPS 資料、電信資料、應用程式資料、設定檔和網路資料的收集選取合適的設定。****************

    此圖示是有圓形外框的灰色完整圓形。- 收集並顯示 – 使用者資料會收集至 UEM console,並在其中顯示。
    此圖示是有圓形外框的灰色半圓。 - 收集但不顯示 – 收集使用者資料並用於報告中,但不在 UEM console 中顯示。
    此圖示為空白灰色外框。- 不收集 – 不收集使用者資料,因此無法顯示。

  3. 為可在裝置上執行的指令選取合適的設定。請考慮在所有的員工自攜裝置上停用遠端指令,特別是完全抹除指令。停用後可以防止不小心刪除或抹除終端使用者的個人內容。如果您停用特定 iOS 所有權類型的抹除功能,使用者不會在註冊期間看到「清除所有內容和設定」權限。

    此圖示是有圓形外框的灰色完整圓形。- 允許 – 命令在沒有使用者同意下在裝置上執行。
    此圖示是有圓形外框的灰色半圓。- 經使用者同意允許 – 只有在使用者同意下,才能在裝置上執行該命令。
    此圖示為空白灰色外框。- 禁止 – 不在裝置上執行命令。

  4. 如果您允許 Android/Windows 和堅固型裝置使用遠端控制或登錄管理員的存取權限,請考慮使用經使用者同意允許的選項。在執行此選項前,管理員必須透過訊息提示來取得終端使用者同意才能存取其裝置。如果您要允許使用任何指令,請在使用條款協議中明確地指出這些指令。

  5. 對於使用者資訊,請選擇是否要在主控台的資訊中顯示不顯示姓氏名字電話號碼Email 帳戶使用者名稱等資料。

  6. 如果使用者名稱以外的任一選項設為不顯示,那麼無論該資料出現在 UEM 主控台的任何地方,都會顯示為「私人」。主控台無法搜尋設為不顯示的選項。設為不顯示的使用者名稱,在裝置清單檢視與裝置明細頁面中都只會顯示為「私人」而已。UEM 主控台中的其他頁面都會顯示已註冊使用者的使用者名稱。

  7. 您可以將名字、姓氏、Email 地址和電話號碼等個人識別資訊予以加密。在您要設定加密的全域或客戶層級企業群組內,導覽至群組與設定 > 所有設定 > 系統 > 安全性 > 資料安全。若要啟用加密功能,請選擇您要加密的使用者資料,然後選取儲存來加密使用者的資料。此動作會限制 UEM 主控台上的某些功能,譬如搜尋、排序和篩選等。

  8. 選擇是否要在裝置上啟用停用****勿擾模式。此設定允許使用者裝置在特定時間內略過 MDM 指令。啟用後,您可選擇勿擾模式到期前的寬限期或啟動時間 (以分鐘、小時或天為單位)。

  9. 選擇在裝置上啟用停用****方便使用的隱私權通知

  10. 啟用時,您可以針對每個擁有權層級選擇 (顯示隱私權通知) 或 (不顯示隱私權通知):員工自用公司專用公司共用未知

  11. 按一下儲存。隱私權設定是受限動作,因此您必須輸入四位數主控台 PIN 碼以便繼續。

隱私權聲明部署

隱私權聲明會依照裝置所連接之企業群組和裝置擁有權而自動傳送。您可以針對每個擁有權類型選擇顯示隱私權通知:員工自用公司專用公司共用未知

當您指派某個將要接收隱私權聲明的擁有權類型時,所有符合所選之擁有權類型的使用者,都會立即收到具有 Web Clip 形式的隱私權聲明。如果您在訊息範本中插入隱私權聲明的查閱值 PrivacyNotificationUrl,那麼該訊息便會包含一條 URL,可供使用者閱讀隱私權聲明之用。

每當下列情形發生時,使用者便會自動收到隱私權聲明:

  • 當使用者註冊新裝置,而您已為其擁有權類型啟用了隱私權通知。
  • 使用者目前正在使用已註冊的裝置;而在註冊後,其擁有權已變成要指派 Web Clip 的類型。

若要瞭解如何將隱私權聲明部署為裝置啟用程序的一部分,請參閱登錄個別裝置

為 BYOD 使用者建立隱私權通知

自訂隱私權聲明來告知使用者,說明您的公司將會從他們所註冊的裝置中收集何種資料。請與您的法律部門合作,決定應使用何種訊息來與終端使用者溝通資料的收集事宜。

  1. 瀏覽至群組與設定 > 所有設定 > 裝置與使用者 > 一般 > 訊息範本

  2. 選取新增即可建立範本。如果您已建立隱私權通知範本,請從可用的範本清單中選擇此範本加以使用或編輯。

  3. 完成新增/編輯訊息範本的設定。

    設定 描述
    名稱 輸入通知範本的名稱。
    描述 輸入您所建立的範本描述。
    類別 選取註冊
    類型 選取 MDM 裝置啟動
    選擇語言 選取您範本的預設語言。在需要多語言表達的情況下,選擇新增按鍵來新增其他的預設語言。
    預設值 將此範本指派為預設訊息範本。
    訊息類型 選取一或多個訊息類型:EmailSMS推播訊息。
  4. 建立通知內容。您在上方的訊息類型選取項目中所選的訊息類型,將會決定即將顯示哪種範本供您配置。

    元素 描述
    Email
    Email 內容格式化 選擇您的 Email 通知是要以純文字HTML 格式傳送。
    主題 輸入您 Email 通知中的主旨列。
    訊息內文 撰寫 Email 訊息以傳送給您的使用者。出現在此文字方塊的編輯和格式化工具取決於您在 Email 內容格式選取項目中所選的格式。如果您已啟用視覺隱私權聲明,請在訊息內文中附上查閱值 PrivacyNotificationUrl
    SMS 簡訊
    訊息內文 撰寫 SMS 訊息以傳送給您的使用者。如果您已啟用視覺隱私權聲明,請在訊息內文中附上查閱值 PrivacyNotificationUrl
    推播
    訊息內文 撰寫推播通知以傳送給您的使用者。如果您已啟用視覺隱私權聲明,請在訊息內文中附上查閱值 PrivacyNotificationUrl
  5. 選取儲存

隱私權最佳作法

要在商務需求與員工的隱私考量之間取得平衡可說是個挑戰。有幾個簡單的做法可讓隱私設定管理達到最佳平衡。

**重要提示:**每個部署都不盡相同。請洽詢您的法律、人力資源和管理團隊,以最適合您企業的方式量身制訂這些設定和原則。

使用者資訊的隱私權最佳作法

一般而言,您會在員工自有和公司擁有的裝置上,顯示使用者資訊,例如姓氏、名字、電話號碼與 Email 地址。

應用程式資訊的隱私權最佳作法

一般而言,您應該將員工自有裝置中應用程式資訊的收集設為不收集或是收集但不顯示。此設定至關重要,因為公用 APP 已安裝在裝置上,若經檢視則會被視為可辨識個人身份的資訊。對於公司擁有的裝置,Workspace ONE UEM 會記錄所有已安裝在裝置上的應用程式。

選擇「不收集」時,只有個人應用程式的資訊不會被收集。Workspace ONE UEM 會收集所有受管理應用程式的資訊,無論是公用、內部還是購買的。

遠端指令的隱私權最佳作法

請考慮停用所有員工自有裝置上的遠端指令。然而,如果允許使用遠端的動作和指令,請在使用條款協議中明確指出所用的遠端動作和指令。

GPS 座標收集隱私權的最佳做法

收集 GPS 座標基本上存有侵犯隱私權的疑慮。收集員工自有裝置的 GPS 資料雖然不適當,但下列附註可適用於所有在 Workspace ONE UEM 中註冊的裝置。

  • 只有 Workspace ONE Intelligent Hub 會將裝置 GPS 位置資料轉送回 UEM console。
    • VMware Browser、Content、Boxer 等其他使用 Workspace ONE SDK 的 APP 並不會將 GPS 資料傳回 UEM console。
    • GPS 通常用於尋找遺失或遭竊的裝置。此外,當 Workspace ONE UEM 主控台本來就有一部分功能 (例如地理位置限制) 是知悉裝置位置的情況下也會使用 GPS。
    • 回報 GPS 資料時,Workspace ONE UEM 會針對目前位置定義出一個 1 公里的範圍。當裝置在區域外移動時,它就會報告位置資訊。

私人電信資料的最佳作法

只有手機費用獲得津貼補助時,才可收集員工自用裝置的電信數據。針對上述情況或公司專用的裝置,請考慮使用以下方式來處理您所收集的資料。

  • 電信業者/國家代碼 – 電信業者和國家代碼都會被記錄下來,並且可以用在電信追蹤上。您可以依據所使用的電信業者和國家位置來設定電信計劃,並將裝置指派到適當的計劃中。您可利用這些資訊,並依電信業者和居住國家,或是目前所處國家和目前所用的電信業者追蹤裝置。
  • 漫遊狀態 – 此狀態可用來追蹤哪些裝置處於「漫遊」或「非漫遊」狀態。當裝置處於漫遊狀態時,您可以設置合規原則來停用語音和數據的使用,或套用其他的合規原則。此外,如果裝置指派給某個電信方案,Workspace ONE UEM 便可追蹤漫遊時的數據使用量。收集和監控漫遊狀態,有效地避免因過度使用而導致電信業者收取龐大超額費用的情況。
  • 行動電話數據使用量 – 數據使用量指的就是傳送和接收數據的總位元組。您可收集每台行動裝置的該項資料。如果已將該裝置指派給某項電信方案,您便可依據計費週期內總數據的百分比來監控數據的使用量。此功能讓您能夠依據數據的使用比率來建立合規原則,有助於防止電信業者收取龐大的超額費用。
  • 行動裝置使用量 – 指的是可從每台行動裝置上收集的通話時間 (分鐘)。正如數據使用量,如果該裝置已指派給某電信方案,您就可以根據計費週期的分鐘百分比來監控使用量。此方式可讓您能依據分鐘的使用百分比來建立合規原則,有助於避免支付龐大的超額電信費用。
  • SMS 使用量 – 每台行動裝置可被收集的短訊服務 (SMS) 數據。正如數據使用量,如果該裝置已指派給某電信方案,您就可以根據計費週期的訊息百分比來監控 SMS 使用量。此方法可讓您藉由已使用訊息的百分比來建立合規性原則。監控 SMS 的使用量,有助於防止電信業者收取龐大超額費用。

從 BYOD 終端使用者收集使用者資料

Workspace ONE UEM 基礎結構會收集和儲存多種使用者產生的資料類型。下表會對照每一種資料類型與該資料收集來源的作業系統。

請使用此表格來決定您的部署需要收集哪些資料。Workspace ONE UEM 也會定義您可以收集的選用資料,例如藍牙 MAC。您可以按照下列擁有權類型來設定這些選項及指派隱私權設定:公司專用、公司共用和員工自有。

如需瞭解 VMware 如何處理透過 Workspace ONE UEM 收集的資訊 (例如分析),請參閱 VMware 隱私權政策,網址為 https://www.vmware.com/tw/help/privacy.html

✓ - 可以收集。

X - 不能收集。

✓* - 可在 Workspace ONE Intelligent Hub 部署中收集。

✓** - 可在 Workspace ONE Intelligent Hub 或 iOS 9.3+ 監督模式部署中收集。

Android Apple iOS macOS Windows Rugged Windows 桌面
應用程式追蹤
檢視已安裝的內部應用程式 X
檢視應用程式版本 X
擷取應用程式狀態 X X
憑證
檢視已安裝的憑證清單 X ✓*
資產追蹤
裝置名稱
裝置 UDID
電話號碼 X
IMEI/MEID 號碼 X
裝置序號
IMSI 號碼 X X
裝置型號 X
裝置型號名稱 (暱稱) X X
製造商
作業系統版本
作業系統組建編號 X
韌體/核心版本 X X X X
追蹤裝置錯誤 X X
裝置狀態
可使用電池
電池電量 X
有記憶體可用 X
記憶體容量 X
位置
GPS 追蹤 ✓**
藍牙資料 ✓**
USB 資料 X ✓**
網路
Wi-Fi IP 位址
Wi-fi MAC
Wi-Fi 訊號強度 X X
電信業者設定版本 X X X
手機訊號強度 X X X X
手機技術 (無、GSM、CDMA) X X X
目前的 MCC X X X
目前的 MNC X X X
SIM 卡號碼 X X
SIM 卡電信業者網路 X X X
訂閱者 MNC X X X
藍牙 MAC X X
顯示 IP 位址 X X
顯示 LAN 介面卡 X X X X
顯示 MAC 位址 X X
漫遊
偵測漫遊狀態 X X X
漫遊時停用推播通知 X X X X
啟用語音漫遊 (允許) X X X X
數據使用量
透過行動網路追蹤數據使用量 X X X
透過 Wi-fi 網路追蹤數據使用量 X X X X X
通話
追蹤通話記錄 X X X X
訊息
追蹤 SMS 歷程記錄 X X X X
行動電話通訊狀態
目前的電信業者網路 X X X
目前的網路狀態 X X X
遠端檢視
遠端控制裝置 X
螢幕擷取 (儲存、電子郵件、列印等) X
螢幕共享 (在應用程式中遠端檢視) X
檔案管理員
存取裝置檔案管理員 X
存取裝置登錄管理員 X X X
複製檔案 X
建立資料夾 X
從裝置下載檔案 X
移動檔案 X
重新命名資料夾和檔案 X
將檔案上傳到裝置 X

BYOD 終端使用者的使用條款

基於責任,您必須通知員工所擷取的資料,以及允許在 Workspace ONE UEM 中註冊的裝置上執行的動作。為了協助傳達您的策略,請在 Workspace ONE UEM 中建立使用條款合約。

系統會提示使用者閱讀並接受您所設定的使用條款,然後才能在其個人裝置上啟用 MDM。依據擁有權類型指派使用條款合約,您就可以為企業和 BYOD 使用者建立及散佈不同的合約。

在您的組織撰寫其使用條款合約後,請考慮省略不必要的法律用語後,以一到兩頁白皮書的形式將此合約提供給終端使用者。此白皮書並不是終端使用者同意的官方使用條款,而是用來傳達您的企業政策。理想情況下,終端使用者在第一次註冊其裝置時,不會看到員工自有裝置的使用條款。請坦白說明您收集哪些終端使用者資訊,以及 BYOD 原則所造成的影響。

BYOD 裝置的限制

Workspace ONE UEM 允許您將不同的安全性原則和限制部署到員工自有和公司專用的裝置。

使用限制設定檔,您可以為公司專用裝置設定嚴格限制,並為員工自有裝置設定較寬鬆的限制。例如,YouTube 或原生 App Store 之類應用程式的限制通常不會部署到員工自有裝置。但是,您可以建立安全設定檔和限制,以提高裝置安全等級,而不會對功能造成負面影響。

適用於多種裝置的限制

Workspace ONE UEM 設定的下列限制適用於每一種裝置和平台:

  • 加密備份 – 在有權存取公司內容的 BYOD 裝置中使用資料加密功能保護所有備份。
  • 在支援的瀏覽器中強制使用詐騙警告 – 此功能會在偵測到可疑網站時,要求使用者確認所有由瀏覽器發出的警告。
  • 停用移動電子郵件 –將公司電子郵件轉寄至個人帳戶的功能,或在第三方應用程式中開啟此功能,以防止曝露公司的機密資料。

平台特定限制

每個平台都有一組專用的強制限制。請分別評估這些限制,以判定這些限制對部署的影響。有些限制 (例如,限於受監督裝置的 iOS 限制) 並不適用,因為無法在 Apple Configurator 中註冊員工自有裝置。

  • 若要建立安全設定檔和限制,請導覽至資源 > 設定檔與基準 > 設定檔,選取新增,然後選取適當的平台。
  • 如果要專為員工自有裝置建立設定檔,只需根據以下擁有權類型,將設定檔指派至「智慧群組」:員工自有。如需詳細資訊,請參閱智慧群組

如需建立安全設定檔和限制的詳細資訊,請參閱新增合規原則

BYOD 裝置的企業抹除

部署 BYOD 最重要的一點,就是在員工離職,或是裝置遺失或遭竊時,能夠移除公司內容。Workspace ONE UEM 可讓您在裝置上執行企業抹除,以移除所有公司內容和存取權限,但仍保留個人檔案和設定。

裝置抹除會將裝置還原到最初的原廠狀態,但在處理無法明確界定屬於公司裝置或員工自有裝置的公用與購買的 VPP 應用程式時,您可以使用 Workspace ONE UEM 的企業抹除功能,並決定要套用至這些應用程式的抹除範圍廣度。企業抹除也能從 Workspace ONE UEM 取消註冊裝置,並去除透過 MDM 啟用的所有內容,包括電子郵件帳戶、VPN 設定、Wi-fi 設定檔、安全內容,以及企業應用程式。

如果您將 Apple 大量採購方案兌換碼用於 iOS 6 及更舊版本的裝置,將無法回收該應用程式的任何已兌換授權。一旦安裝完成後,應用程式便會與使用者的 App Store 帳戶產生關聯。此關聯無法復原,但您可兌換用於 iOS 7 及更新版本的授權碼。

  • 裝置抹除 – 傳送 MDM 指令,以將所有資料和作業系統中的裝置抹除。此動作無法復原。

    • iOS 裝置抹除考量事項
    • 針對 iOS 11 和較舊版本的裝置,裝置抹除指令也會抹除與裝置有關的 Apple SIM 卡的資料。
    • 針對 iOS 11 以上的裝置,您可以保留 Apple SIM 數據方案 (如果裝置中有此方案)。選取 [裝置抹除] 頁面上的保留數據方案核取方塊,然後再傳送裝置抹除命令。
    • 針對 iOS 11.3+ 裝置,您有一個額外的選項,能夠在傳送裝置抹除命令時略過近距離感應設定畫面。啟用此選項後,[設定輔助程式] 中將略過 [近距離感應設定] 畫面,讓裝置使用者不會看到 [近距離感應設定] 選項。
    • 若是 Windows 桌面裝置,您可以選取裝置抹除的類型。
    • 抹除 - 此選項會抹除裝置上所有內容。
    • 抹除受保護 - 此選項與一般裝置抹除相似,但裝置終端使用者無法規避動作。抹除受保護指令會持續嘗試重設裝置,直到成功為止。在某些裝置組態中,此命令會讓裝置無法開機。
    • 抹除與存留佈建資料 - 此選項會抹除裝置,但會指定佈建資料應備份到固定的位置。抹除執行後,佈建資料會還原,並套用至裝置。已儲存佈建資料夾。若要找到資料夾,您可以在裝置上導覽至 %ProgramData%\Microsoft\Provisioning。
  • 企業抹除 – 將裝置進行企業抹除,會解除註冊並移除所有受管的企業資源,包括應用程式和設定檔。此動作無法復原,而且必須要重新註冊後,Workspace ONE UEM 才能再次管理此裝置。此裝置動作包含可防止日後重新註冊的選項,以及一個備註說明文字方塊供您新增動作的相關資訊。

    • 雲端加入網域的裝置不支援企業抹除。

執行 BYOD 裝置的企業抹除

企業抹除會從 Workspace ONE UEM 裝置取消註冊裝置,並去除其所有企業內容,包括 Email 帳戶、VPN 設定、設定檔及應用程式。

  1. 在 Workspace ONE UEM console 中,選取適當的企業群組。
  2. 導覽至裝置 > 清單檢視,然後從清單選取一或多個裝置。
  3. 「裝置明細」視圖顯示您可以在右上角的更多下拉式功能表中執行的動作清單。選取企業抹除
  4. 在確認對話方塊中,選取防止重新註冊以防止重新註冊此裝置。
  5. 輸入安全 PIN 碼 (如果有的話),然後選取企業抹除以完成動作。

停用 BYOD 裝置的完全抹除功能

基於安全性和隱私權原因,您可以停用在 BYOD 裝置上執行完全抹除的功能。

如果您為特定 iOS 擁有權類型停用完全抹除,則註冊為該擁有權類型的使用者就無法在設定檔安裝期間看見「抹除所有內容與設定」權限。

  1. 瀏覽至裝置 > 設定 > 裝置 & 使用者 > 一般 > 隱私權
  2. 向下捲動到指令區段,並尋找員工自有欄位。
  3. 完全抹除選項設為防止,並選取儲存
check-circle-line exclamation-circle-line close-line
Scroll to top icon