電子零件業 BYOD 自攜設備管理

背景

某專注於伺服器、顯示卡、筆記型電腦散熱模組解決方案的上市櫃公司，需要導入員工自攜設備（BYOD）管理方案。隨著越來越多員工偏好使用個人 Apple 裝置辦公，公司希望能在不侵犯員工隱私的前提下，提供安全的企業資源存取方式。

面臨的挑戰

客戶面臨以下關鍵挑戰：

• 隱私顧慮：員工擔心將個人裝置納入傳統 MDM 管理會侵犯隱私
• 資料安全：公司資料需在個人裝置上受到保護，但公司不應存取個人內容
• 資源存取：員工需要便捷地存取公司應用程式、Wi-Fi、VPN 及內部資源
• 安全政策：IT 需要在不過度干預的情況下，執行基本的安全政策如密碼要求與螢幕鎖定
• 資料外洩防護：公司資料不應外洩至個人應用程式或儲存空間

解決方案

可立可基於 Jamf 設計了一套完整的 BYOD 解決方案：

帳號導向的註冊方式

整合 Apple Business Manager 與 Jamf Pro：

• 員工只需在個人裝置上以公司帳號登入即可完成註冊
• IT 無需實際接觸裝置，註冊由使用者主動發起
• 受管理的企業區域與個人區域明確分離

自動化資源派發

成功註冊後，員工自動取得：

• 企業應用程式：透過 VPP 派送工作用 App（如 Outlook、Edge），並可部署企業內部開發的 In-House App
• Self Service 自助服務：提供企業 App Store，員工可自行取用管理員部署的工作所需 App
• Wi-Fi 設定：自動派送公司內網 Wi-Fi 設定（支援 WPA2/3 Personal、Enterprise 或憑證認證），免除手動輸入密碼
• 書籤與 Web Clip：透過 Web Clip 圖示部署至主畫面，並將企業資源連結部署至 Edge 瀏覽器書籤

Jamf Security Cloud（ZTNA）

部署 Jamf Trust App 實現零信任網路存取：

• 流量分流（Split Tunneling）：特定內網 IP 或 Domain 流量走加密通道回傳至公司防火牆
• 一般流量直出：員工私人上網流量不經過公司內網，確保速度與隱私
• 內容過濾：透過 Jamf Trust 實施特定網站存取政策

完整的資料隔離

運用 Apple 的 BYOD 資料邊界機制：

• 阻擋公司流向私人：禁止公司 App（如 Outlook）的附件開啟於私人 App（如 LINE）
• 允許私人流向公司：允許私人資料開啟於公司 App（如將私人照片傳至 Teams）
• 雲端備份限制：禁止公司 App 的資料備份至個人 iCloud
• 複製貼上限制：限制從公司 App 複製文字貼上至私人 App

密碼政策與合規性檢查

IT 可執行必要的安全政策：

• 合規性檢查：若裝置未設密碼或存在風險，即時切斷企業資源存取權
• 工作資料保護：強制要求裝置必須設定密碼（Passcode）才能存取企業郵件與公司 App
• 訊息推播：IT 可即時發送重要通知至員工 iPhone

成果

方案部署後達成以下成效：

• 員工接受度：因尊重隱私的做法，獲得高註冊率
• 資安合規：在不存取個人資訊的情況下保護公司資料
• 使用者體驗：從個人裝置無縫存取公司資源
• IT 效率：自動化派發降低 IT 工作負擔
• 風險控管：明確的資料邊界降低資料外洩風險

---

可立可是臺灣唯一同時具備 Jamf MSP 與 Elite Partner 雙重資格的夥伴，提供 Apple 裝置完整的企業管理與資安解決方案。無論是裝置部署、應用程式管理、資安防護或合規需求，我們都能提供專業的諮詢與導入服務。