作者:Chohan Wu
圖一、各個國家的公司對於BYOD 的態度 (來源)
智慧型手機以及平板電腦等行動裝置在最近幾年來有顯著的成長,在這樣的趨勢下,員工可攜自有設備上班(Bring Your Own Device, BYOD)已成為現在大多數的公司需要面臨的課題。所謂的員工可攜自有設備上班(BYOD)就是指員工可以在公司內使用自己的筆電、手機、平板等行動裝置來連結外部網路,同時也能利用自己的裝置來存取公司內部資料以及應用程式等。
對員工來說,BYOD 可以讓員工使用自己熟悉的設備或是應用程式,以增加生產力。同時,辦公的地點也不必被受限,可以在任何地點以第一時間有效率的回覆及處理公事;對公司而言,公司則不需要為員工採購及維護相關設備,進而可以降低設備成本。
然而,BYOD 對公司來說也可能有潛在的風險。對於 IT 部門來說,開放自有設備存取公司資源等於是失去了對設備安全性的掌握,員工在外的所作所為都可能對公司資安造成影響,例如員工私有設備的遺失或惡意遭竊都有可能造成公司的資料外洩。
圖二、中小企業與大型企業分別對於BYOD的看法 (來源)
微軟致力於發展對 BYOD 友善的產品,並針對可能造成的資安風險對微軟產品的管理者及使用者提供以下幾點:
1. 將BYOD 設備加入主網域
一般來說,對於不在公司網域的員工,是無法進入公司的內部網路的。這時就可以利用 Windows 8 所內建的離線網域加入過程 (Djoin.exe) 來加入公司內部網路。關於如何使用 (Djoin.exe) 可以參考操作教學 (英文)。
2. 利用群組原則管理電腦和使用者設定
針對 BYOD 的設備加入公司內部網路時,公司往往會對該設備以群組原則加以管理。群組原則可以防止使用者任意更動系統設定,在同一的網域內透過集中管理的方式,安裝與維護網域中每一電腦或使用者的作業環境。而Windows 8 針對此原則有新的功能。
3. 使用AppLocker來限定使用者從 Windows 市集上下載的應用程式
AppLocker可以用來管理應用程式的權限,針對詳細的功能說明,可以參考此篇AppLocker 概觀。
4. 利用側載 (Sideloading) 來對 BYOD 設備安裝應用程式
當要使用 Line of business (LOB) 程式的時候,往往都是採用側載的方法安裝,以省去發布的必要。對於使用 Windows 8 的使用者可以參考側載操作教學。
5. 管理 Internet Explorer 10 (IE 10) 的組態設定
針對BYOD 的使用者在設定群組原則時可以參考 IE 10 的組態原則設定,以符合企業的需求。
6. 利用 BitLocker 來加密、修復以及移除作業系統
BitLocker 能夠藉由加密等方式幫助使用者從裡到外完整的保護資料,最新的 BitLocker 資訊,請參考 Windows 8 BitLocker 概觀。
7. 利用 System Center 2012 組態管理員 SP1 來管理 BYOD 設備
組態管理員 SP1 提供公司內部的 Windows 8 裝置以及應用程式的觀禮,它可以讓管理者集中管理公司內部的 BYOD 設備,關於組態管理員SP1的操作說明,可以參考TechNet Library的文件。
8. 利用 Windows Intune 來管理 BYOD 設備
Windows Intune讓管理者除了可以使用組態管理員外,也可以在BYOD的設備中,建立一個雲端的解決方案。若想要得知最新的資訊,可以參考Windows Intune 部落格 (英文)。
9. 提供一個可攜式的 Windows 作業環境讓使用者可以在不同電腦中工作
在Windows 8 企業版中提供了 Windows To Go的功能,該項功能可以讓使用者在任何的 Windows 7 或 Windows 8設備中建立一個Windows To Go的作業環境,此種可攜式作業環境與一般正常的安裝不同,詳細的功能說明請見:Windows To Go 功能概觀。
10.利用虛擬桌面基礎結構 (Virtual Desktop Infrastructure, VDI) 提供遠端控制 Windows 8 桌面
BYOD的形式是可以很複雜的,但是管理者並不會讓所有的裝置都允許存取公司內部網路,這時候就可以利用虛擬桌面基礎結構 VDI 提供一個虛擬桌面。若想要深入了解虛擬桌面的方式及最新功能,可以參考TechNet 上所提供的桌面虛擬化首頁 (英文)。
根據一份 Microsoft 微軟公司委託 comScrore 公司所提出的調查報告指出,在九個調查的國家中,有 78% 的公司是允許員工攜帶自己的行動裝置的,其中有 31% 的公司會補助員工購買設備。而在公司對於 BYOD 政策的支持度中,又以中國的 86% 最多,日本的 30% 最少。
BYOD 可以提升員工的生產力和創造力,並且可以創造出一個更彈性的工作環境,微軟 Windows 8 的主要目標之一即是提供員工更好的使用感受,同時又可提供雇主更好的符合企業等級需求的作業系統,關於更多的Windows 8 以及BYOD的資訊,可以參考微軟科技個人化以及IT個人化問答集等文章。
參考資料
comScrore 公司針對 BYOD 議題進行之調查報告(英文)
http://download.microsoft.com/download/5/B/B/5BB044A3-897B-4FDA-A827-69240B9E1837/TiC-BYOD-July-2013-2.pdf微軟資安部落格-電腦信任度調查報告 (英文)
http://blogs.technet.com/b/security/archive/2013/07/10/trust-in-computing-survey-part-i-consumerization-of-it-goes-mainstream.aspx微軟致力於發展對 BYOD 友善的產品 (英文)
http://www.microsoft.com/en-us/windows/enterprise/scenarios/BYOD.aspx#
如何管理一個安裝 Windows 8 的BYOD裝置 (英文)
http://technet.microsoft.com/en-us/windows/jj874384.aspxDjoin.exe的操作教學 (英文)
http://technet.microsoft.com/library/dd392267.aspxWindows 8針對群組原則的新特色 (英文)
http://technet.microsoft.com/library/jj574108.aspx#BKMK_FastBootWindows 8 AppLocker 概觀
http://technet.microsoft.com/library/hh831409.aspxWindows 8新增和移除應用程式教學
http://technet.microsoft.com/library/hh852635.aspx
IE10的組態原則設定
http://technet.microsoft.com/library/hh846775.aspxWindows 8 BitLocker概觀
http://technet.microsoft.com/library/hh831713.aspxSystem Center 2012 組態管理員 SP1 操作文件
http://technet.microsoft.com/library/gg682129.aspx微軟Windows Intune部落格 (英文)
http://blogs.technet.com/b/windowsintune/微軟Windows To Go 功能概觀
http://technet.microsoft.com/library/hh831833.aspx微軟桌面虛擬化首頁 (英文)
http://technet.microsoft.com/en-us/windows/gg276319