只是想插话并说您那里的列表并不完全 100% 准确，但它很接近。

请记住，这会因 MDM 供应商和移动操作系统而异，但如果您的雇主启用该功能并且您选择接受共享您的位置数据，MobileIron可以看到您的位置。

这究竟是如何完成的？他们只是在设置中配置一些东西，然后我提供我的锁屏密码来授予他们权限？

您的雇主应将您引导至您注册设备并安装 MDM 应用程序的门户。雇主无法查看/提取，也不知道您的个人 PIN。

是否可以观察到我在公司提供的应用程序之外的任何行为或数据？

行为 - 是的，如果您考虑到位置数据。

公司提供的应用程序之外的数据 - 不。

但是，您的雇主可以看到您手机上安装的所有应用程序的列表，因此您在安装任何“有问题的”应用程序之前可能会三思而后行。

我可以安装哪些应用程序或“根级”实用程序？

不知道如何准确回答这个问题。听起来你在问他们是否可以在你的手机上安装相当于 rootkit 的东西？实际上，我倾向于回答不。

是否会对我如何使用手机或我可以安装的应用程序施加任何限制？

是的，您的雇主可以将应用列入黑名单。

还有什么我需要注意的吗？

是的，请参阅下面的信息图。（地点）

我的公司目前正在为所有工作电话实施 MDM……所以也许我可以提供帮助。

该公司将在移动设备上安装配置文件和策略（除了您在上面的图片中概述的内容之外）可以强制执行以下操作：

• 持续的 VPN 连接（能够拦截进出您设备的网络流量）
• 高级内容过滤
• 激活锁绕过码
• 密码策略执行

这绝不是一份详尽的清单，只是分享我迄今为止的工作经验。

对于它的价值，除非绝对必要，否则我总是会避开 BYOD，我只是不喜欢任何其他人可以访问我的主要设备。

从安全的角度来看，您通常更喜欢拥有自己的设备。这只是将所有内容分开。即使您备份了手机和所有数据，也最好将其分开。这还假设公司通过政策和技术控制允许您独立备份您的设备。您还会冒着意外使用错误电子邮件或以您不希望的方式混合信息的风险。你也可以在周末关掉你的工作电话，如果你离开公司，你不必担心有人用那个号码打电话给你。

在监控您的流量方面，如果您通过强制代理或使用他们的 wifi 通过他们的网络连接，他们几乎肯定有可能监控您的流量，而不是您的个人手机通过手机公司的服务（手机公司可以当然在这种情况下监视你）。

除了可以少拿一件小的实体物品这一事实之外，通常利弊多于利弊。我认为没有理由通过使用您的手机为您的公司节省资金（除非他们随后为您的计划付费？）。

MDM 可以根据组织和 MDM 供应商以各种不同的方式应用。并非所有供应商都提供所有功能，并且您对自己手机的控制程度将根据您的 IT 部门选择的配置而有所不同。

您的雇主将通过将设备连接到运行 Apple Configurator 的计算机来“监督”该设备，这将恢复它并应用其中包含证书的配置文件。

这将允许他们将更多配置文件远程推送到您的设备，并且这些配置文件可能包含可用于拦截来自您设备的安全连接的其他证书。

我不知道他们是让你在设备上使用自己的 Apple ID 还是使用公司提供的 Apple ID；如果是前者，您的数据（图片、音乐、应用程序数据、通话记录、本地联系人/日历等）将是安全的，因为 Apple 不提供任何允许从 MDM 解决方案访问此类数据的功能。在后一种情况下，设备可能被配置为备份到他们的 Apple ID 的 iCloud，他们稍后可以在不同的设备上恢复它并获取您的数据。

我会非常小心联系人、便笺和电子邮件 - 联系人可能是本地的（并且无法从 MDM 访问），但没有什么能阻止他们秘密上传一个新的配置文件，该配置文件为 iPhone 上的联系人以及所有新联系人配置了他们的 LDAP/CardDAV 服务器'd add 将被添加到他们控制下的远程服务器上。日历也一样。这不是完全保密的，因为您可以通过检查设备设置中当前安装的配置文件来检查是否添加了此类帐户，但是每次添加新联系人/约会/便笺时检查是否方便？我不这么认为。

他们还可以配置全局 HTTP 代理或 VPN（将始终开启）以通过他们的网络路由您的流量，再加上安装在设备上的证书，他们将能够拦截和解密所有“安全”（ HTTPS）来自您的设备的通信。只有明确使用证书固定的应用程序才会受到保护。这将允许他们访问您的浏览历史记录和使用频率。

如果您可以与公司的系统管理员协商手动安装配置文件（无需监督设备），该配置文件会强制执行他们想要的任何安全/密码策略，最终是按需 VPN（您可以指定哪些域/IP 应该通过 VPN 以及哪些那些没有，因此可以只为与工作相关的服务器启用它，同时保持其他流量不变）但没有证书颁发机构会这样做。确保在安装之前仔细查看配置文件（设备会显示配置文件将执行的所有操作）。

否则不要。这是个坏主意。