Реализация политик BYOD (Bring Your Own Device) для мобильного приложения

TRUETECH занимается разработкой, поддержкой и обслуживанием мобильных приложений iOS, Android, PWA. Имеем большой опыт и экспертизу для публикации мобильных приложений в популярные маркеты Google Play, App Store, Amazon, AppGallery и другие.
8+Лет на рынке900+Реализованных проектов100+Разработчиков в штате19+Партнеров

Разработка и поддержка любых видов мобильных приложений:

Информационные и развлекательные мобильные приложения
Новостные приложения, игры, справочники, онлайн-каталоги, погодные, фитнес и здоровье, туристические, образовательные, социальные сети и мессенджеры, квиз, блоги и подкасты, форумы, агрегаторы
Мобильные приложения электронной коммерции
Интернет-магазины, B2B-приложения, маркетплейсы, онлайн-обменники, кэшбэк-сервисы, биржи, дропшиппинг-платформы, программы лояльности, доставка еды и товаров, платежные системы
Мобильные приложения для управления бизнес-процессами
CRM-системы, ERP-системы, управление проектами, инструменты для команды продаж, учет финансов, управление производством, логистика и доставка, управление персоналом, системы мониторинга данных
Мобильные приложения электронных услуг
Доски объявлений, онлайн-школы, онлайн-кинотеатры, платформы предоставления электронных услуг, платформы кешбека, видеохостинги, тематические порталы, платформы онлайн-бронирования и записи, платформы онлайн-торговли

Это лишь некоторые из типы мобильных приложений, с которыми мы работаем, и каждый из них может иметь свои специфические особенности и функциональность, а также быть адаптированным под конкретные потребности и цели клиента.

Услуги, которые мы предлагаем
Показано 1 из 1Все 1735 услуг
Реализация политик BYOD (Bring Your Own Device) для мобильного приложения
Сложный
~3-5 дней
Часто задаваемые вопросы

Наши компетенции:

Этапы разработки

Последние работы

  • image_mobile-applications_feedme_467_0.webp
    Разработка мобильного приложения для компании FEEDME
    792
  • image_mobile-applications_xoomer_471_0.webp
    Разработка мобильного приложения для компании XOOMER
    671
  • image_mobile-applications_rhl_428_0.webp
    Разработка мобильного приложения для компании RHL
    1097
  • image_mobile-applications_zippy_411_0.webp
    Разработка мобильного приложения для компании ZIPPY
    969
  • image_mobile-applications_affhome_429_0.webp
    Разработка мобильного приложения для компании Affhome
    914
  • image_mobile-applications_flavors_409_0.webp
    Разработка мобильного приложения для компании FLAVORS
    495
Показать больше работ

Реализация политик BYOD (Bring Your Own Device) для мобильного приложения

Сотрудник работает с корпоративным приложением на личном iPhone. IT-отдел хочет защитить данные, но не может и не должен управлять личным устройством целиком. Именно здесь BYOD-политики становятся архитектурным решением, а не организационным.

Техническая основа BYOD: разделение данных

BYOD работает через разграничение: корпоративные данные живут в изолированном пространстве, личные данные недоступны MDM/MAM системе. Платформы реализуют это по-разному.

iOS User Enrollment (iOS 13+). Пользователь регистрирует Managed Apple ID (отдельный от личного). Создаётся отдельный APFS-раздел, где хранятся managed-данные приложения. MDM видит только managed-пространство: серийный номер устройства скрыт, UDID заменён на одноразовый Enrollment ID. IT-отдел физически не может получить доступ к личным фото или истории браузера.

Android Work Profile. Отдельный managed-профиль с собственным launcher, отдельным keystore, изолированным хранилищем. Переключение между профилями — свайп или иконка-портфель. Корпоративные приложения — только в Work Profile. Личные приложения в Work Profile установить нельзя.

Что приложение должно поддерживать для BYOD

Разработчик корпоративного приложения отвечает не за MDM-конфигурацию (это задача IT), а за то, что само приложение корректно работает в managed-среде:

Managed App Configuration. Приложение читает конфигурацию из managed-словаря, а не из захардкоженных constans или пользовательских настроек. На iOS — UserDefaults.standard.dictionary(forKey: "com.apple.configuration.managed"), на Android — RestrictionsManager.applicationRestrictions.

Respect Data Loss Prevention (DLP) флагов. Если MAM-политика запрещает copy-paste, приложение не должно его обходить через собственный буфер. Если запрещён save to personal storage — UIDocumentPickerViewController нужно открывать только в managed-пространстве.

Отключение экранных снимков в managed-состоянии. На iOS нет API запретить screenshot, но UIScreen.isCaptured позволяет скрыть sensitive-контент:

NotificationCenter.default.addObserver(forName: UIScreen.capturedDidChangeNotification, object: nil, queue: .main) { _ in
    self.sensitiveView.isHidden = UIScreen.main.isCaptured
}

На Android — WindowManager.LayoutParams.FLAG_SECURE при addFlags:

window.addFlags(WindowManager.LayoutParams.FLAG_SECURE)

Обработка Selective Wipe. При получении MAM-команды wipe приложение очищает только корпоративные данные. Реализуется через IntuneMAMPolicyDelegate.wipeDataForAccount() (Intune) или через BroadcastReceiver на Android с action com.microsoft.intune.mam.client.app.MAMSingleIdentityRequirements.WIPE_USER_DATA.

Политики аутентификации в BYOD-контексте

Conditional Access — ключевой механизм: корпоративное приложение доступно только при соблюдении условий. Типичный набор условий для BYOD:

  • Устройство зарегистрировано в EMM (Intune/Workspace ONE).
  • Операционная система не старше N версий.
  • Нет признаков jailbreak/root.
  • Включено шифрование диска.

На iOS jailbreak-детекция через приложение ненадёжна (Dopamine, palera1n обходят большинство проверок). Надёжнее — Conditional Access на уровне Azure AD: Intune сообщает о compliance-статусе устройства, и если устройство jailbroken по оценке Intune — токен не выдаётся.

Root-детекция на Android через RootBeer или собственные проверки:

val rootChecker = RootBeer(context)
if (rootChecker.isRooted) {
    // Уведомить MAM-политику, заблокировать доступ
}

Но помним: любая on-device root-детекция обходится с правами root. Это первый рубеж, не последний.

Организационная составляющая

BYOD без чёткой политики использования — юридическая проблема. Сотрудник должен подписать соглашение: что IT может видеть (compliance status, app inventory в Work Profile), что не может (личные данные, местоположение вне рабочего времени). На практике BYOD-политика документируется в MDM-enrollment agreement, который пользователь принимает при регистрации.

Приложение на своём уровне показывает пользователю при первом запуске, какие данные собираются и как они защищены — это не только UX, но и требование GDPR для работодателей в ЕС.

Этапы внедрения

Аудит типов устройств и платформ → выбор MDM/MAM платформы → проектирование enrollment workflow → адаптация приложения (Managed Config, DLP, wipe) → тестирование на BYOD-устройствах → юридическая документация → rollout + onboarding сотрудников.

Сроки: адаптация готового приложения под BYOD — 2–4 недели. Полный проект с выбором и настройкой EMM-платформы — 6–10 недель. Стоимость рассчитывается индивидуально.