越来越多企业积极鼓励让员工携带自己设备上班(BYOD)，当然，它的便利性和对工作效率、工作时间的节省很让人心动，但是也存在一些数据安全等管理上的难题。在这些方面，除了采用相关解决方案，如移动装置管理(MDM)、移动应用程序管理(MAM)、桌面虚拟化(VDI)等之外，IT管理者更应关心如何拟定有效的BYOD管理政策。微软亚洲首席安全顾问Pierre Noel日前在身分认证管理与资安研讨会上分享微软的BYOD政策。

Noel认为一定要先做好资料分级才有BYOD。在微软，资料分级是由一开始的文件拥有者Data Owner负责决定等级，有了文件分级后，越机密的文件就需要在越严格的条件下才能存取，例如端点设备要有BitLocker加密、并且透过DirectAccess VPN连线进来，同时用智慧卡进行身分认证后的才可存取机密文件或应用程序。微软透过以下4个项目来定义安全等级(0~100%)，不同等级有不同的权限：

1)登入系统的身分：仅使用LiveID登入或是强认证登入。

2)登入系统的设备：自己的设备或是公司配发的设备。

3)登入系统的位置：在内网或外网;或是所在国家。

4)登入系统欲存取的文件等级或应用程序类别

微软透过上述简单清楚的4项目来定义安全等级，Noel认为BYOD政策不需要制订的太复杂，在清楚的准则下可让员工容易了解，而且只要在此准则下，不需要管员工是使用何种设备，举凡笔电、平板、智慧手机都可纳进BYOD政策来管理。然而，让员工(文件拥有者)自行设定文件等级的做法是否会有误差?Noel承认可能会有风险，但这时就可以透过其他系统，如Exchange邮件系统的设定来协助过滤机密文件的传递。