设备策略层面
· 密码更新
注意是"自动更新"，这一点很重要，多年来的运维经验告诉我，最好选一款能和现有域集成的移动设备管理软件(MDM，业界所谓的BYOD 1.0)，实现屏幕锁与域帐户的密码同步与更新。毕竟用户大多不是电脑专业选手，而且从 best practice的角度来说，这将省去维护人员处理由于用户由于域密码更新而未能自动同步到移动设备上所导致的锁死的各种求助电话。
· 自动锁屏
这里实际上是两个概念：一个是企业通过MDM设定好移动设备在多长时间没触碰的情况下(即Timeout)自动锁屏;这个时间的把握最好融合用户的接受度以及需遵从的规范。另一个概念是必要是企业对移动设备的远程锁屏，以阻止被继续盗用。这不但适用于设备被偷和丢失场合，也适合于用户离职时。密码复杂度的规定，这里就不赘述了。
· OS和Apps升级
常言道，“升不升是个问题!”不要操作系统一出新的就马上升级的，有经验的小伙伴都知道这往往是一个坑啊。有实力的企业，就组织IT人员做pilot吧。体验的重点是升级后，各种与工作相关特别是企业定制的那些Apps是否存在兼容性的问题;当然没实力的话，先hold几个月，就让其他企业先去“尝鲜”或“踩雷”吧。另外，扩展说明一下：同理，一些知名和常用Apps的更新包也可能存在类似的升级坑点和隐患。因此，把自动升级block掉，乃是极好的。
· 下载控制
比较强势的企业可以通过阻止下载的手段来禁止用户通过应用商店和浏览器进行随便。但是要注意到是：这毕竟是用户自己所有权的移动设备，而并非企业所配备，太严格了谁还陪你玩儿?上纲上线的说，这对"稳定军心"和"促进生产力"没好处哦。另外，对禁用设备上的摄像头以及截屏功能等
安全管控策略也最好慎用。那么怎么破?一.加强各种操作的系统日志管理;二.直接运用BYOD 2.0。君莫急，下文马上谈到。
另外，好学的您也许会追问，那么公司派发设备呢?那就比较easy啦，IT部门可以选择运用策略进行推送(类似微软的SCCM)，或是事先准备好一些权利受控的下载专用帐号，已备临时之需。当然， IT人员要在后台做好记录(若能自带则更好)，定期评估Apps的必要性，或是运用策略远程删除掉。