企業資訊部門對 iOS 裝置的監管權限

當企業的資訊部門使用 MDM 管理行動裝置，使用者常會感到疑慮：企業是否會像「老大哥」一樣，窺探自己在裝置上的一舉一動？今天就讓我們一一破解這些疑慮。

首先，要知道企業資訊部門是否有使用 MDM，可由 iOS 裝置是否受到監管（supervised）來辨別。不妨參考 Apple 的支援網頁說明，辨別自己的裝置是否被監管：

「學校與企業可透過監管功能，更充分地掌控擁有的 iOS 裝置。透過監管功能，您的管理者不但可套用其他取用限制，像是關閉 AirDrop 或是防止存取 App Store，也能提供更多的裝置設定與功能，像是在背景更新 app 或是過濾網頁用途。您的 iPhone、iPad 或 iPod touch 預設不會受到監管。監管功能只能在您設定新的裝置時才能開啟。如果您的 iPhone、iPad 或 iPod touch 此刻並未受到監管，則您的管理者需要完全清除裝置才能設定監管功能。」

若裝置已受監管，「設定」畫面的頂端會顯示「此 iPhone 是由（企業名稱）監督和管理」的訊息。如果沒有看到這則訊息，則表示此裝置並未受到監管。在受到監管的裝置上，可至「設定」>「一般」>「描述檔與裝置管理」，查看企業對 iOS 預先設定做了哪些修改。若裝置在資訊部門監管之下，表示企業對該裝置有更多控制權，但這並不是說資訊部門有權存取裝置上的所有資料，而是指資訊部門能夠對該裝置的功能採取更多限制。

資訊部門可以追蹤我的位置嗎？

這是企業 iPhone 使用者最常見的問題。這個問題分為三部分。若裝置連接企業的 Wi-Fi ，則資訊部門便可以知道您是否在該位置。若透過電信商來追蹤，則可以確定您的位置。透過 MDM，資訊部門只有在將您的裝置啟用遺失模式時，才能追蹤受監管的裝置。且只有 MDM 的註冊使用者才能登入尋找裝置。遺失模式非永久設定，而且必須先停用遺失模式，才能再度使用該裝置。

資訊部門可以讀取 iMessages 嗎？

不行。企業資訊部門無法查看 SMS 簡訊和 iMessage 內容。MDM 會報告裝置上的訊息及聯絡人數量，但無法看到使用者所傳送的訊息內容及對象。透過電信商也許可以查看 SMS 簡訊內容，但這非 Apple 所涉及的權責範圍。資訊部門可以禁止使用者使用「訊息」app，通常只有特定用途的裝置才會做此設定。

有一點要注意的是，若在屬於企業擁有的裝置上登入 iMessage，當企業資訊部門取回該裝置後，便可以解鎖裝置並看到上面的訊息內容。Apple 的重點在讓資訊部門能夠管理 iMessage 使用，而不是遠端監控您的私人訊息。

資訊部門可以查看「照片」app 中的照片嗎？

與 iMessage 一樣。透過 MDM 管理，無法查看、修改或刪除「照片」app 的相片（包括 iCloud 中的照片），但可以停用 iCloud 照片功能。 iCloud 照片功能被停用的原因，可能是為了不讓受監管的 Apple ID 帳號內儲存過多非教育/企業用途的影音內容。使用者要注意的反而是那些要求存取照片媒體庫的其它 app，這些 app 更有可能取用照片內容及內含位置資料。

資訊部門可以讀取我的私人電子郵件嗎？

若使用網路郵件，則資訊部門可能會獲知您有使用個人電子郵件帳號，但他們無法知道您所送出的電子郵件內容。就算使用「郵件」app，資訊部門也一樣無法得知郵件內容。資訊部門的權責，只限於指定使用者是否能在資訊部門指派的帳號之外自行增刪電子郵件帳號。

資訊部門可以遠端控制裝置嗎？

儘管 Mac 有遠端控制選項，iOS 裝置卻沒有。而且 Mac 被遠端控制時會彈出視窗。MDM 的重點在於管理。Apple 並未提供任何 API 讓資訊部門在 iOS 裝置上安裝侵入式工具進行遠端控制。

資訊部門可以查看網頁瀏覽記錄嗎？

透過 Apple MDM API 無法查看網頁瀏覽記錄。一如之前所強調的，MDM 的用途在管理。資訊部門可以在 macOS 電腦上安裝較具侵入性的工具，但無法透過 Jamf 之類的工具來監視 Safari 或 Chrome 的網頁瀏覽記錄。資訊部門僅能限制使用者所能拜訪的網站，或強制使用 VPN 連回企業網路（以便監控流量），無法透過 MDM 檢視紀錄。

結論

一般人對於讓企業管理自己使用的 iPhone 都會感到有點不安。但 Apple 始終以使用者隱私為重，即使在企業用途上亦堅持此原則，絕不可能讓資訊部門有權限讀取使用者所傳送的訊息內容。資訊部門可以監管企業擁有的裝置，若僅是安裝 MDM 描述檔的個人裝置，則資訊部門會受限於 Apple 所規範的限制。要記住的是，資訊部門還是可以解鎖企業擁有的裝置，因此若在企業裝置上登入 iMessage 和 iCloud 照片等個人服務，務必在歸還裝置前先行登出。