Czym jest tryb BYOD?

BYOD, czyli Bring Your Own Device, to model, w którym użytkownik korzysta z własnego urządzenia do celów służbowych. Z perspektywy organizacji oznacza to możliwość bezpiecznego udostępnienia aplikacji firmowych, danych i zasobów bez konieczności zarządzania całym telefonem.

Najważniejszą cechą tego modelu jest rozdzielenie przestrzeni prywatnej i służbowej. Firma zarządza wyłącznie profilem pracy, natomiast część osobista pozostaje pod kontrolą użytkownika.

To rozwiązanie sprawdza się szczególnie wtedy, gdy:

• pracownicy korzystają już z własnych telefonów,
• firma nie chce wymieniać lub resetować istniejących urządzeń,
• ważne jest oddzielenie danych firmowych od prywatnych,
• organizacja chce wdrożyć polityki bezpieczeństwa tylko w obszarze służbowym.
  

W praktyce BYOD jest często najbardziej elastycznym sposobem wdrożenia MDM, bo nie wymaga nowych urządzeń ani pełnego przejęcia kontroli nad telefonem.

Co pokazuje film?

W filmie prezentujemy proces dodawania urządzenia z Androidem do Essentials MDM w trybie BYOD. Całość rozpoczyna się w konsoli administracyjnej, gdzie administrator wybiera platformę Android i scenariusz wdrożenia przeznaczony dla urządzeń prywatnych.

Następnie przypisywana jest odpowiednia grupa urządzeń, a system generuje kod QR. W przeciwieństwie do scenariuszy takich jak COBO czy COSU, tutaj nie pracujemy na urządzeniu po resecie fabrycznym, ale na telefonie, który już działa i jest używany przez użytkownika.

Po zeskanowaniu kodu urządzenie kieruje użytkownika do pobrania agenta Essentials MDM, a następnie rozpoczyna się tworzenie profilu służbowego.

Dodawanie urządzenia w trybie BYOD – krok po kroku

1. Rozpoczęcie dodawania urządzenia w konsoli Essentials MDM

Proces zaczyna się od utworzenia nowego urządzenia w systemie. Administrator wybiera opcję dodania urządzenia, a następnie wskazuje:

• platformę Android,
• scenariusz BYOD.
  

W filmie widać, że ten model wdrożenia został potraktowany jako jeden z najciekawszych, ponieważ odpowiada na bardzo częste pytanie: czy można objąć zarządzaniem urządzenie, z którego użytkownik już korzysta?

W przypadku BYOD odpowiedź brzmi: tak.

2. Dlaczego BYOD jest wyjątkowy?

Najważniejsza różnica między BYOD a pozostałymi scenariuszami polega na tym, że nie trzeba przywracać urządzenia do ustawień fabrycznych. Nie musi to być też urządzenie nowe.

To ogromna zaleta w organizacjach, które:

• chcą szybko wdrożyć politykę mobilną,
• nie planują zakupu nowej floty urządzeń,
• chcą wykorzystać już istniejące telefony pracowników,
• potrzebują bezpiecznego dostępu do danych firmowych bez ingerencji w prywatną część telefonu.
  

3. Wybór grupy urządzeń i metody wdrożenia

Po wybraniu platformy Android administrator przypisuje odpowiednią grupę urządzeń. Następnie wskazywana jest metoda BYOD.

System informuje, że na urządzeniu zostanie utworzony profil pracy. To właśnie ten profil będzie zarządzany przez Essentials MDM i to w jego obrębie pojawią się aplikacje oraz ustawienia służbowe.

4. Wygenerowanie kodu QR

Jak w innych scenariuszach, system generuje kod QR. Różnica polega jednak na sposobie jego użycia.

W scenariuszach takich jak COBO, WPC czy COSU kod QR skanowany jest zwykle na ekranie startowym urządzenia po resecie. W BYOD urządzenie już działa, dlatego użytkownik nie uruchamia specjalnego kreatora pierwszej konfiguracji, ale korzysta po prostu z aparatu w telefonie lub wbudowanego czytnika kodów QR.

To prostsze i bardziej naturalne z punktu widzenia użytkownika końcowego.

5. Zeskanowanie kodu i przejście do pobrania agenta

Po zeskanowaniu kodu QR urządzenie zostaje przekierowane do strony internetowej, z której można pobrać agenta Essentials MDM. To ważny moment, ponieważ właśnie agent odpowiada za dalszą komunikację z systemem i utworzenie środowiska służbowego.

W filmie widać, że system bardzo szybko wykrywa, iż użytkownik rozpoczął ten proces. Już na tym etapie w konsoli pojawia się wpis dotyczący urządzenia.

6. Instalacja agenta Essentials MDM

Kolejny krok to pobranie i uruchomienie agenta. W pokazanym przykładzie instalacja odbywa się ręcznie, dlatego urządzenie może poinformować o instalacji z nieznanego źródła.

Po uruchomieniu agenta użytkownik przechodzi do nadania odpowiednich uprawnień. Jest to naturalne, ponieważ aplikacja musi otrzymać dostęp do wybranych usług systemowych, aby móc utworzyć profil pracy i zarządzać jego zawartością.

7. Tworzenie profilu służbowego

Po zaakceptowaniu wymaganych kroków rozpoczyna się standardowa procedura tworzenia profilu służbowego. Film pokazuje, że pod tym względem proces przypomina wdrożenie WPC, ponieważ również tutaj tworzymy wydzieloną przestrzeń pracy.

To właśnie profil służbowy jest sercem scenariusza BYOD. Dzięki niemu:

• aplikacje firmowe trafiają do oddzielnego kontenera,
• dane służbowe są odseparowane od prywatnych,
• organizacja zarządza tylko częścią firmową,
• użytkownik zachowuje prywatność w części osobistej urządzenia.
  

8. Widoczność procesu w konsoli i logach

W trakcie wdrożenia administrator może przejść do konsoli Essentials MDM i obserwować logi. Dzięki temu da się sprawdzić, na jakim etapie jest instalacja oraz czy pojawiły się już nowe wpisy związane z profilem służbowym.

To bardzo praktyczne, ponieważ pozwala szybko potwierdzić, że wdrożenie przebiega prawidłowo i urządzenie poprawnie komunikuje się z systemem.

9. Pojawienie się profilu pracy na urządzeniu

Po kilkunastu sekundach na urządzeniu pojawia się profil służbowy. W filmie widać, że system tworzy nową przestrzeń pracy, a urządzenie zaczyna pokazywać osobne elementy związane z profilem firmowym.

W praktyce użytkownik widzi dwa obszary:

• osobisty – całkowicie prywatny,
  
• praca – zarządzany przez organizację.
  

To bardzo ważny moment, ponieważ właśnie wtedy użytkownik otrzymuje gotowe środowisko służbowe, a administrator uzyskuje kontrolę nad tym, co znajduje się w firmowej części urządzenia.

10. Oddzielenie przestrzeni prywatnej od służbowej

Jedną z największych zalet BYOD jest to, że organizacja nie uzyskuje dostępu do całego telefonu. Zarządzanie dotyczy wyłącznie profilu pracy i aplikacji znajdujących się w tej części.

Dzięki temu:

• użytkownik zachowuje prywatność,
• firma chroni dane służbowe,
• można wdrażać polityki bezpieczeństwa bez naruszania prywatnej przestrzeni,
• urządzenie pozostaje wygodne w codziennym użyciu.
  

To właśnie ten balans między bezpieczeństwem a komfortem jest jednym z głównych powodów, dla których BYOD tak często interesuje organizacje.

Dlaczego BYOD jest praktycznym modelem wdrożenia?

Tryb BYOD jest szczególnie przydatny tam, gdzie firma chce szybko i bezpiecznie udostępnić pracownikom aplikacje oraz dane służbowe, ale nie chce zarządzać całym prywatnym urządzeniem.

Korzyści z tego podejścia to przede wszystkim:

• brak konieczności resetowania telefonu,
• możliwość wdrożenia na urządzeniu już używanym,
• oddzielenie danych prywatnych i służbowych,
• większa wygoda dla użytkownika,
• bezpieczne zarządzanie aplikacjami firmowymi,
• łatwiejsze wdrożenie polityk bezpieczeństwa.
  

To dobry model wszędzie tam, gdzie organizacja chce pogodzić wygodę użytkownika z ochroną danych firmowych.

Na co warto zwrócić uwagę przy wdrożeniu BYOD?

Choć sam proces jest prosty, warto pamiętać o kilku praktycznych kwestiach:

• urządzenie nie musi być nowe ani resetowane,
• użytkownik musi sam wykonać część kroków na swoim telefonie,
• konieczne może być pobranie i uruchomienie agenta,
• trzeba nadać aplikacji wymagane uprawnienia,
• profil służbowy pojawia się dopiero po poprawnym zakończeniu procesu konfiguracji,
• organizacja zarządza tylko częścią służbową, a nie całym urządzeniem.
  

Dzięki temu od początku wiadomo, czego spodziewać się po tym modelu wdrożenia i jakie są jego granice.

Podsumowanie

Film pokazuje, że dodanie urządzenia w trybie BYOD w Essentials MDM jest procesem prostym i bardzo praktycznym. Administrator przygotowuje konfigurację w konsoli, wybiera odpowiednią metodę wdrożenia i generuje kod QR, a użytkownik skanuje go na swoim działającym urządzeniu.

Następnie pobierany jest agent Essentials MDM, tworzy się profil służbowy, a urządzenie zostaje objęte zarządzaniem – ale tylko w zakresie części firmowej.

To praktyczne rozwiązanie dla organizacji, które chcą bezpiecznie udostępnić zasoby firmowe na prywatnych urządzeniach użytkowników bez ingerencji w ich osobistą przestrzeń.