在智能手機(jī)、平板電腦、筆記本電腦和臺(tái)式電腦上安全使用內(nèi)置云服務(wù)。

　　大多數(shù)現(xiàn)代設(shè)備和瀏覽器都能夠使用內(nèi)置云服務(wù) 跨設(shè)備同步用戶數(shù)據(jù)和設(shè)置。微軟、蘋果和谷歌都提供了以這種方式同步數(shù)據(jù)的能力。

　　本文將幫助使用設(shè)備的任何人評(píng)估這些服務(wù)和功能的好處，以及它們可能帶來的安全風(fēng)險(xiǎn)。

　　對(duì)于組織，我們討論了防止數(shù)據(jù)通過這些服務(wù)泄露到外部世界所需的額外安全控制。

　　為什么要保護(hù)內(nèi)置云服務(wù)？

　　內(nèi)置云服務(wù)通常允許跨設(shè)備同步用戶數(shù)據(jù)和設(shè)置，還可以通過在線界面進(jìn)行訪問。它們還提供一些遠(yuǎn)程設(shè)備管理功能，包括在設(shè)備丟失或被盜時(shí)遠(yuǎn)程鎖定或遠(yuǎn)程擦除。

　　對(duì)于個(gè)人而言，內(nèi)置云服務(wù)可以提供安全優(yōu)勢(shì)。例如，Edge、Chrome和Safari等瀏覽器包含可“開箱即用”的內(nèi)置密碼管理器。結(jié)合云服務(wù)，這些允許跨設(shè)備同步密碼，以幫助個(gè)人應(yīng)對(duì)帳戶密碼管理的挑戰(zhàn)。此外，如果設(shè)備丟失或被盜，設(shè)備所有者遠(yuǎn)程鎖定或擦除設(shè)備的能力可以防止未經(jīng)授權(quán)訪問設(shè)備及其數(shù)據(jù)。

　　組織可能希望限制或控制這些服務(wù)的使用，以防止將公司數(shù)據(jù)同步到個(gè)人帳戶。對(duì)于擁有和發(fā)行設(shè)備的組織，使用移動(dòng)設(shè)備管理應(yīng)用技術(shù)控制可以限制或阻止使用內(nèi)置云服務(wù)。

　　如果對(duì)設(shè)備使用自帶設(shè)備 （BYOD）策略，則限制對(duì)這些服務(wù)的訪問會(huì)更加復(fù)雜。在這些情況下，很可能可以在同一設(shè)備上訪問工作和個(gè)人帳戶和數(shù)據(jù)。這為組織保持工作和個(gè)人資料、帳戶、應(yīng)用程序和數(shù)據(jù)之間的分離提出了更大的挑戰(zhàn)。

　　為安全使用內(nèi)置云服務(wù)做準(zhǔn)備

　　在設(shè)備上使用內(nèi)置云服務(wù)時(shí)，下面列出的許多注意事項(xiàng)與個(gè)人和組織同樣相關(guān)。但是，選擇可能會(huì)有所不同。

　　對(duì)于組織而言，還有一些重要的額外考慮因素。在此處的選擇將取決于業(yè)務(wù)需求、數(shù)據(jù)的隔離和分離以及設(shè)備的所有權(quán)模型。

　　我們?cè)谙旅媪谐隽艘恍﹩栴}，可以幫助評(píng)估是否允許使用內(nèi)置云服務(wù)。

　　對(duì)于個(gè)人

　　設(shè)備內(nèi)置了哪些云服務(wù)？

　　如何設(shè)置和配置基于云的服務(wù)和帳戶？

　　有哪些數(shù)據(jù)同步和備份服務(wù)？

　　哪些設(shè)備設(shè)置可用于配置內(nèi)置云服務(wù)？

　　在哪里以及如何訪問數(shù)據(jù)？

　　如何防止未經(jīng)授權(quán)訪問我存儲(chǔ)在云中的數(shù)據(jù)備份？

　　如果設(shè)備上存儲(chǔ)的數(shù)據(jù)丟失或被盜，我如何保護(hù)對(duì)它的訪問？

　　對(duì)于組織：

　　用戶是否需要訪問設(shè)備上的內(nèi)置云服務(wù)？

　　組織內(nèi)使用的設(shè)備內(nèi)置了哪些云服務(wù)？

　　設(shè)備上的哪些附加功能可能會(huì)因登錄內(nèi)置云服務(wù)（例如查找我的設(shè)備）而啟用。結(jié)果會(huì)產(chǎn)生什么風(fēng)險(xiǎn)？

　　哪些設(shè)備設(shè)置可用于配置內(nèi)置云服務(wù)？

　　哪些設(shè)備設(shè)置可用于隔離工作和個(gè)人數(shù)據(jù)，以防止數(shù)據(jù)泄露到組織外部？

　　可以使用移動(dòng)設(shè)備管理控制和強(qiáng)制執(zhí)行哪些內(nèi)置云服務(wù)和數(shù)據(jù)隔離策略的設(shè)備設(shè)置？

　　如果使用 BYOD 策略部署設(shè)備，個(gè)人數(shù)據(jù)和企業(yè)數(shù)據(jù)很可能會(huì)存儲(chǔ)在同一設(shè)備上，用戶需要訪問內(nèi)置云服務(wù)供個(gè)人使用。這提出了一個(gè)特別復(fù)雜的挑戰(zhàn)?？梢栽谖覀兊淖詭гO(shè)備頁面上找到更多指導(dǎo)。

　　如何安全地使用內(nèi)置云服務(wù)

　　對(duì)于個(gè)人：

　　選擇在設(shè)備上啟用或禁用哪些服務(wù)以進(jìn)行云備份和同步。

　　為用于登錄內(nèi)置云服務(wù)和注冊(cè)新設(shè)備的賬戶設(shè)置并啟用多重身份驗(yàn)證。

　　內(nèi)置密碼管理器通常支持跨受信任設(shè)備同步密碼，更輕松地安全使用密碼。

　　啟用遠(yuǎn)程管理功能，允許在設(shè)備丟失或被盜時(shí)遠(yuǎn)程鎖定和擦除設(shè)備。

　　對(duì)于組織：

　　確定在設(shè)備上使用內(nèi)置云服務(wù)的組織策略。

　　如果部署企業(yè)擁有和管理的設(shè)備，請(qǐng)盡可能使用移動(dòng)設(shè)備管理來禁用使用個(gè)人賬戶的內(nèi)置云服務(wù)，將降低數(shù)據(jù)泄露到企業(yè)之外的風(fēng)險(xiǎn)。

　　一些制造商允許企業(yè)創(chuàng)建可由擁有組織管理的賬戶。例如，Apple Managed ID和Google Managed Accounts可用于幫助更有效地管理風(fēng)險(xiǎn)。

　　如果要求員工在同一設(shè)備上訪問個(gè)人和工作數(shù)據(jù)，則在可能的情況下應(yīng)用技術(shù)控制來提供工作和個(gè)人資料的分離，最好使用移動(dòng)設(shè)備管理來控制、監(jiān)控和強(qiáng)制執(zhí)行這種分離。

　　更多信息

　　對(duì)于個(gè)人

　　我們?cè)谙旅嫣峁┝擞嘘P(guān)當(dāng)今最流行的設(shè)備（包括Windows 10、iOS、macOS、Android和Chrome 操作系統(tǒng)）的內(nèi)置服務(wù)的詳細(xì)信息的鏈接。

　　對(duì)于組織

　　在設(shè)備需要訪問工作和個(gè)人數(shù)據(jù)的場(chǎng)景中，用戶（至少對(duì)于個(gè)人賬戶）很可能需要訪問使用內(nèi)置云服務(wù)的權(quán)限。大多數(shù)設(shè)備制造商提供了隔離工作和個(gè)人數(shù)據(jù)的機(jī)制，可以使用 MDM 進(jìn)行管理。

　　我們?cè)谙旅嫣峁┝艘恍╂溄樱敿?xì)了解Windows 10、iOS和Android提供的控件。

　　請(qǐng)務(wù)必注意，如果設(shè)備上存在惡意軟件，則可以繞過這些技術(shù)控制?？梢栽谧詭гO(shè)備指南中找到更廣泛的信息。