| 14 сентября 2019 г. — 14:13 PT
Apple @ Work представлен вам Spike, первым в мире приложением для разговорной электронной почты, которое помогает профессионалам и командам тратить меньше времени на электронную почту и больше на выполнение задач.
Одна из частых вещей, которые я слышу о решениях MDM (управление мобильными устройствами) от моих друзей, ориентированных на технологии, — это то, что они ненавидят, когда ИТ-отделы их компаний «втягивают» их устройства в выбранную организацией систему управления. Для тех, кто любит копаться, настраивать и управлять своими устройствами самостоятельно, «управляемость» может показаться так, будто за вами наблюдает старший брат. К счастью, Apple имеет четкие API для взаимодействия своих устройств с MDM, поэтому конечные пользователи могут быть уверены, что их ИТ-отдел не имеет доступа ко всему на их устройствах. Если вам интересно, может ли ваш ИТ-отдел читать ваши iMessages, вы пришли по адресу.
О Apple @ Work: Брэдли Чемберс управляет корпоративной ИТ-сетью с 2009 года. На основе своего опыта развертывания и управления межсетевыми экранами, коммутаторами, системой управления мобильными устройствами, корпоративным Wi-Fi, сотнями Mac и сотнями iPad, Брэдли расскажет о способах развертывания Apple устройств ИТ-менеджерами, создания сетей для их поддержки, обучения пользователей, историй из «окопов» ИТ-управления и о том, как Apple могла бы улучшить свои продукты для ИТ-отделов.
Одна из первых вещей, которую следует понять, если ваша компания использует MDM, — это находится ли устройство iOS под наблюдением или нет (наблюдение доступно только для iOS). Apple имеет страницу поддержки, чтобы помочь вам определить, находится ли ваше устройство под наблюдением.
Наблюдение предоставляет школам и предприятиям больший контроль над устройствами iOS, которыми они владеют. С помощью наблюдения ваш администратор может применять дополнительные ограничения, такие как отключение AirDrop или предотвращение доступа к App Store. Оно также предоставляет дополнительные конфигурации устройств и функции, такие как бесшумное обновление приложений или фильтрацию веб-трафика. По умолчанию ваш iPhone, iPad или iPod touch не находится под наблюдением. Наблюдение может быть включено только при настройке нового устройства. Если ваш iPhone, iPad или iPod touch в настоящее время не находится под наблюдением, ваш администратор должен полностью стереть ваше устройство, чтобы настроить наблюдение.
Если ваши устройства находятся под наблюдением, вы увидите уведомление в самом верху экрана настроек, где будет написано «Этот iPhone находится под наблюдением и управляется Company, Inc.». Если вы не видите этого сообщения, ваше устройство не находится под наблюдением. Если устройства находятся под наблюдением, вы можете перейти в «Настройки» > «Основные» > «Профили и управление устройствами», чтобы увидеть, что именно компания изменила по сравнению со стандартными настройками iOS. Когда компания осуществляет наблюдение за устройством, она получает больший контроль над ним, чем обычно. Большая часть этого дополнительного контроля заключается не в доступе к большим объемам данных, а в возможности наложить больше ограничений на то, что вы можете делать.
Может ли мой ИТ-отдел отслеживать мое местоположение?
Этот вопрос часто возникает у корпоративных пользователей iPhone. Есть три аспекта этого вопроса. Если вы подключены к корпоративной сети Wi-Fi, ваш ИТ-отдел может определить, находитесь ли вы там. Если ваша компания осуществляет отслеживание через оператора сотовой связи, они могут определить, где вы находитесь. Через MDM ИТ-отделы могут отслеживать ваше устройство только в том случае, если они переведут ваше устройство в управляемый режим потери. Управляемый режим потери доступен только для устройств под наблюдением. Только зарегистрированные пользователи портала MDM смогут найти устройство. Управляемый режим потери не является постоянным, и его необходимо отключить, прежде чем устройство можно будет использовать снова.
Может ли мой ИТ-отдел читать iMessages?
Нет, SMS-сообщения и iMessages не видны вашему ИТ-отделу. MDM может предоставлять информацию о количестве сообщений или контактов, но они не могут видеть, кому или что вы отправляли сообщения через приложение «Сообщения». SMS-сообщения потенциально могут просматриваться через оператора сотовой связи, но это не относится к Apple или iMessage. Однако ИТ-отдел может отключить использование приложения «Сообщения». Эта настройка обычно делается для устройств, имеющих определенное назначение.
Важно помнить, что если вы вошли в iMessage на устройстве, принадлежащем вашей компании, и они забрали его у вас, они могут разблокировать его и просмотреть ваши сообщения. Apple сосредоточена на том, чтобы позволить ИТ-отделам управлять использованием iMessage, но не на том, чтобы ваши сообщения просматривались удаленно.
Может ли мой ИТ-отдел просматривать мои фотографии в приложении «Фото»?
Подобно iMessage, не существует протокола MDM для просмотра, изменения или удаления фотографий в приложении «Фото» (включая iCloud Фото). Однако они могут отключить такие функции, как iCloud Фото. Отключение этой функции может быть сделано для того, чтобы пользователи не перегружали управляемый Apple ID медиафайлами, не связанными с образованием/бизнесом. Также разумно, чтобы конечные пользователи знали, что приложения, запрашивающие доступ к вашей фототеке, могут просматривать все ваши фотографии и данные о местоположении, хранящиеся вместе с ними.
Может ли мой ИТ-отдел читать мои личные учетные записи электронной почты?
Если вы используете веб-почту, ИТ-отдел, вероятно, сможет определить, что вы использовали личную учетную запись электронной почты, но они не смогут прочитать то, что вы отправили. Если вы используете локальное приложение «Почта», они также не смогут просмотреть ваши электронные письма. Однако ИТ-отделы могут указать, можете ли вы добавлять или удалять учетные записи почты, помимо тех, которые они указали.
Может ли мой ИТ-отдел удаленно управлять моим устройством?
На стороне iOS — нет. На Mac есть варианты удаленного управления, но Mac отображает всплывающее окно при удаленном управлении. Вся суть MDM заключается в управлении, а не в контроле/мониторинге. На стороне Mac существуют более инвазивные инструменты, которыми могут пользоваться ИТ-отделы, но Apple не имеет официальных API для этого. В ситуации BYOD (Bring Your Own Device — принесите свое собственное устройство) я бы не разрешил ИТ-отделам устанавливать что-либо, кроме профиля MDM.
Может ли мой ИТ-отдел просматривать историю моего браузера?
Используя API Apple MDM, нет, не может. Как я уже говорил, MDM — это управление. Ваш ИТ-отдел может установить более инвазивные инструменты на macOS, но они не могут отслеживать вашу историю в Safari или Chrome с помощью таких инструментов, как Jamf. Они могут ограничивать сайты, к которым вы можете получить доступ, полностью блокировать веб-браузер или заставлять вас использовать VPN, возвращающий трафик в корпоративную сеть (где они могут отслеживать трафик), но они не могут просматривать список посещенных вами веб-сайтов через портал MDM.
Заключение
Я надеюсь, что это ответит на некоторые основные вопросы о том, как управляется ваше устройство. Я знаю, что использование личного iPhone для доступа к корпоративной электронной почте может вызывать некоторое беспокойство, если для доступа требуется MDM, но Apple всегда заботится о конфиденциальности конечных пользователей, даже в корпоративных ситуациях. Последнее, чего хочет Apple, — это чтобы ИТ-отдел читал ваши iMessages.
На стороне iOS MDM является максимально строгим. На стороне Mac ИТ-отделы могут устанавливать более инвазивные инструменты. Если это устройство, принадлежащее компании, предполагайте, что кто-то следит за вашим экраном. Если это личное устройство, на которое был добавлен профиль MDM, ИТ-команда ограничена пределами, установленными Apple. Еще один момент, который следует помнить: устройство, принадлежащее компании и находящееся под управлением, может быть разблокировано ИТ-отделами, поэтому, если вы вошли в личные службы, такие как iMessage и iCloud Photos, обязательно выйдите из системы перед возвратом устройства.
Спасибо Spike за спонсорство Apple @ Work. Spike, приложение для разговорной электронной почты, дает вашей команде суперспособности. Превратите свою электронную почту в единственное рабочее пространство, которое вам когда-либо понадобится. Чат, электронная почта и отличные инструменты для совместной работы, которые сэкономят вам время, — все в одном месте. Добивайтесь большего с Spike. Попробуйте бесплатно на всех платформах прямо сейчас.