IBM循序漸進推動BYOD

早在這股讓員工自帶設備的BYOD（Bring Your Own Device）風潮興起之前，IBM就已大規模地在全球170個國家據點，允許42萬名員工，可以選擇使用自己購買的私人Mac筆記型電腦來存取內部各項應用，而不使用公司配發的筆電上班。這是IBM推動行動辦公室計畫的一環。

隨著IBM員工的工作型態越來越具有機動性，員工不見得隨時隨地都要待在辦公室裡面，但卻需要隨時隨地能夠存取電子郵件、行事曆、協同作業和不同的應用程式等。而隨著智慧型手機和平板電腦的普及，IBM也開放員工透過上述行動裝置，存取IBM提供給員工使用的、一定範圍內的系統服務。

到了2010年，IBM更針對員工自帶行動設備存取IBM內部網路進行測試計畫，到了2011年底，已經有10萬名IBM員工可以透過行動裝置，存取IBM相關網路。

根據美國IBM的資料，目前全球約有12萬名員工使用行動裝置存取IBM的網路，其中8萬是使用員工自己的行動裝置（以iOS和Android平臺為主）；其他4萬名則是使用由IBM提供的智慧型手機（以黑莓機為主）。

臺灣IBM全球資訊科技服務事業部協理陳俊昌表示，IBM很早就推動員工可以行動辦公，對於員工行動化裝置的管控，也逐漸從開放筆記型電腦有第二種作業系統的選擇後，手持式裝置也從早期的黑莓機（Blackberry），逐步開放到iOS和Android手機平臺。

陳俊昌指出，IBM基於商業需求，開放員工可以使用除了黑莓機以外的智慧型手機和平板電腦，目前也已經區域性的開始推動與允許員工自帶設備，包括歐洲、中東、非洲、亞洲、拉丁美洲、北美洲等地，亞洲地區則是推動進度略晚的地區。IBM原本就提供高階主管黑莓機，但隨著智慧型手機的普及，員工希望能夠使用自己的行動裝置用於工作領域的需求則逐漸興起。

滿足員工對Mac需求，筆電優先開放第二作業系統

傳統企業採購包括筆記型電腦等硬體設備時，一般都認為，只要能夠做到規格統一，集中化管理不僅可以降低IT部門的管理負擔，還能夠做到大幅降低採購成本和維護成本，並且可以減少使用者面臨企業使用各種軟、硬體的故障或需要另外調校的情形。而陳俊昌表示，IBM很早就大量提供員工使用自家生產的筆記型電腦產品，來滿足行動辦公的需求。

不過，IBM原本預設提供給員工使用的筆記型電腦，都是微軟的作業系統，而隨著美國部分研發同仁發覺，有一些研發工作若是在蘋果Mac作業系統下進行開發，整體開發成效不錯。因此，IBM便開始考慮，從筆記型電腦開始，提供員工可以使用第二種作業系統的筆記型電腦。

陳俊昌表示，美國IBM以及特定地區的IBM公司，已經可以提供員工Mac作業系統的筆記型電腦，臺灣IBM則還沒有提供第二種作業系統的筆記型電腦選項。但是他說，員工只要是工作有需要並且獲得主管同意後，都可以跟公司申請使用自己購買的Mac作業系統的筆記型電腦，取代公司發放的筆記型電腦。

不過，IBM在允許員工可以申請使用自行購買的Mac筆記型電腦時，也面臨如何做到標準化的問題。首先，臺灣IBM允許員工使用自行購買的設備取代公司配發的筆記型電腦，不過，這個自帶設備的政策，並不是適用於每一個員工，都必須經過申請和主管同意後，才能夠使用。

陳俊昌指出，有需求的員工提出申請時，都必須簽署一份實體的文件，除了宣告使用自己購買的筆記型電腦取代公司配發的設備外，也必須負起保護該設備上的文件安全性，同時該臺筆記型電腦也必須符合IBM規定的所有安全設定才行。

因此， IBM規定，使用Mac作業系統筆記型電腦的使用者，也必須在電腦中安裝標準的電腦安全檢查工具（Workstation Security Tool，簡稱WST），主要的目的是在檢查員工的筆記型電腦的安全設定，是否符合IBM的資安規定，例如，是否有安裝防毒軟體、開始個人防火牆、定期做病毒碼更新、設定螢幕保護程式密碼、設定硬碟密碼，可以透過Lotus Note存取加密文件的功能，筆記型電腦登入的密碼必須每90天更新一次等。

陳俊昌表示，這個WST工具預設在開機時，都會先檢查員工使用筆記型電腦的安全狀態，如果有不符合安全規定時，系統會先寄信給當事人，提醒員工使用的筆電有不合規定之處，盡快進行修正；若未修正，則會寄送檢查報告給員工的主管知悉。

由於員工都必須安裝許多IBM提供給員工使用的軟體與系統，軟體資產是IBM重要的公司資產之一，透過在筆記型電腦中安裝電子資產盤點工具（Electronic Asset Management Tool，簡稱e-AMT），定期檢查該筆電中是否安裝非法軟體，包括容易洩密的P2P軟體等，都可以確保該臺筆記型電腦的安全等級是否有符合IBM的資安規定。

在符合一致性安全規範與標準化需求時，IBM開放員工可以使用第二種作業系統的筆記型電腦時，也面臨軟體安裝、派送的問題。陳俊昌指出，透過使用IBM標準化軟體安裝工具（IBM Standard Software Installer），IBM員工就可以在企業入口網站（EIP）的單一畫面中，安裝IBM合法授權員工使用的軟體，並可以做到派送IBM資安政策與進行端點安全管理。

從開放員工申請使用第二作業系統的筆記型電腦開始，IBM開始步入允許員工自帶設備（BYOD）的階段。但是，陳俊昌認為，面對這種BYOD的趨勢，公司IT部門在管理上的管理觀念必須改變，關注的重點在於，IT部門能夠順暢地提供員工使用公司相關的系統服務和後續維護，但員工自帶設備面臨相關的軟、硬體故障，則多由員工自行負責。

以社群力量，解決員工自帶設備使用困擾

為了解決這些自帶設備的技術支援問題，IBM並非完全由IT部門接手維護工作，而是採用社群支援的方式來協助，陳俊昌表示，IBM員工開始自帶設備，尤其是開放員工使用自己的Mac筆記型電腦後，經常會遇到有些公事上需要的應用程式不支援Mac作業系統，如果要等IT部門出面協助處理，時效上往往是緩不濟急。因此，IBM針對全球員工建置一個專屬Mac的社群，透過社群腦力激盪的方式，解決問題、提供所需服務。

例如，IBM員工原本在Mac作業系統中，並無法查詢全球員工名錄（Blue Page），便有相關同仁參與技術採用計畫（Technology Adoption Program），參照應用程式資安開發準則（App Security Guideline），依循內部的作業程式，開發Mac版上可以查詢全球員工名錄（Blue Page）的應用程式，並公布在該社群網站中，提供給Mac筆電使用者下載使用。

陳俊昌說：「透過這樣的方式，不僅可以解決同仁在自帶設備時面臨的問題，還有機會將同仁開發出來的應用程式，思考進一步商品化的可能性。」

IBM開放自帶筆電之後，越來越多的員工提出建議，要求望能使用隨身攜帶的私人手機來處理公事，尤其是透過自己的手機收發公司的郵件，來加快回應客戶信件的速度。

IBM原本只開放高階主管可以使用黑莓機存取公司的重要系統，但開始看到員工的業務需求後，便從使用者的角度開始思考，開放員工使用自己的手機存取公司的業務系統，但也採取了相應控管作法，以兼顧資安需求和使用者便利的平衡。

首先，確保員工的智慧型手機符合公司的資安規範。陳俊昌表示，IBM開放員工使用自己的智慧型手機，和先前開放員工可以使用自己購買的Mac筆電是一樣的，都必須確保相關設備，都符合IBM的資安政策設定。

IBM員工根據使用手機平臺不同，需要安裝不同的安全設定檔（Security Profile Information，SPI），但基本上都包括Tivoli手機用戶端程式、Lotus Traveler client for push mail、行事曆和通訊錄的用戶端程式、偵測惡意程式應用程式以及新型態的手機瀏覽器等。

安裝了這樣的設定檔與相關的手機端應用程式後後，至少可以確保員工手機的安全性，已經符合IBM的資安政策。例如，IBM規定密碼一定要8碼，但目前iPhone預設的密碼只有4碼，並不符合IBM的資安政策，但安裝SPI設定檔與手機應用程式後，就可以強迫手機密碼從4碼變更為8碼，也強迫啟動螢幕保護程式並設密碼，同樣的，也可以符合IBM使用密碼每90天必須更改的規定。

其次，手機安全性符合IBM的資安政策後，下一個議題是，員工可以使用自己的行動設備，存取哪些公司內部系統。因為電子郵件是同仁之間最主要的溝通方式，所以，IBM先開放員工用私人手機讀取公司電子郵件，但需搭配使用IBM Lotus Traveler這套App。

陳俊昌表示，在手機上讀取公司郵件是需要事先申請的，IBM Lotus Traveler會依照員工的角色與職權設定存取郵件系統和資料的權限。而員工在讀取郵件的過程中，除了要登入員工自己IBM專屬的帳號、密碼外，還可以設定是否要新增其他密碼，以強化手機讀取郵件的安全性。

另外，由於Lotus Notes設定機密郵件可以加密，在手機上無法讀取，使用者必須回到筆記型電腦上才能讀取加密郵件，陳俊昌表示，主要還是避免機密郵件的附件存放在手機上，杜絕機敏資料因為手機遺失等意外要成外洩。

目前IBM針對iOS和Android手機平臺，只開放電子郵件讀取功能，若是員工拿公司配發的黑莓機，除了手機讀取郵件，還可以透過VPN連線，登入EIP、查詢全球員工名錄或銷售產品資料庫等更進階的資料。由於IBM推行BYOD的策略，是全球分區進行，亞太地區目前尚未開放員工在自己的行動裝置上，進行讀取郵件以外的權限。

IBM打造手機App商店「WhirlWind」

只是存取電子郵件，仍無法滿足IBM員工對於行動化的需求，等到兩大智慧手機平臺iOS和Android的App應用起飛，IBM也很快地決定要擴大員工自帶設備的深度。

因此，在2009年時，IBM決定打造一個全球員工專屬的IBM手機App Store「WhirlWind」（龍捲風），來解決員工自帶設備的App部署問題，經過9個月的開發測試，WhirlWind終於在2010年9月上線。

IBM採用了WebSphere 應用伺服器、DB2資料庫、JavaScript工具Dojo來打造WhirlWind，另外，IBM也將這個App Store視為另一個企業入口網，所以，引進了企業標示服務（Enterprise Tagging Service）、評比服務（Ratings Service），讓這個App Store和一般的Apple或Google的App Store一樣，可以即時得知有哪些最新的App可以下載，有哪些人對哪些App有不同的評價；為了確保使用者的確是IBM的員工，WhirlWind也導入IBM相關的身分認證服務（Authentication services）。

WhirlWind整個計畫一開始，先挑選了100個熟悉智慧型手機的員工進行開發、測試，後來找了400位同仁做第一波的測試，並讓所開發的App更為好用。接下來大規模測試時，在沒有任何宣傳下，總共有5千名IBM員工加入測試。等到WhirlWind正式發表後，前6周就有2萬名員工加入使用，且使用人數持續增加。

開發更多手機App，提升員工工作效率

在WhirlWind上，除了可以自主開發原生的App外，也可以納入其他第三方的App。根據IBM統計，最受歡迎的App包括：IBM員工最愛的全球員工名錄（Blue Page）外，還有軟體產品導覽、手機多媒體工具（Mobile Media Library），每一個IBM員工都在使用的即時通訊軟體Sametime IM for Mobile、工時系統（Time Reporting）以及差旅所需的應用程式。

WhirlWind是一個可以同時在手機與電腦端同步的應用程式，陳俊昌表示，當員工登入WhirlWind後，可以直接在手機上，搜尋、瀏覽、下載並安裝所需的App，也可以對該App進行評分；同樣的，也可以在電腦上與手機進行App同步。這樣的使用經驗和使用iOS或Android手機，利用App Store安裝所需的App經驗是一致的。

目前WhirlWind支援Apple iOS、Google Android及Blackberry等三個手機平臺，透過WhirlWind這個手機App的EIP網站，彙整IBM員工自行開發和常用的第三方應用程式，不論員工是從手機或者是電腦登入，都可以找到所需要的App。

WhirlWind中，有員工針對許多IBM軟體版本，開發出支援相關軟體的App供員工使用，因為解決了員工原本只能在電腦、不能在手機上使用的困擾，對於員工生產力有大幅提升。陳俊昌舉例，原本iPhone沒有全球員工名錄（Blue Page）的App，但有IBM同仁開發並釋出給員工下載後，IBM員工只要在全球IBM辦公室所提供的無線網路環境下，都可以在iPhone上使用該App查詢全球員工的名錄。

陳俊昌指出，至於該怎麼判定員工處於IBM的內網環境，除了登入網域、輸入IBM提供給每一個員工，單一的無線網路登入密碼外，還可以透過所在IP位址，判定員工的所在位置。同樣的，員工也可以下載針對Lotus Connections的App，作為和公司內部同仁或回饋App開發的溝通管道。

陳俊昌認為，開放員工使用自己的行動裝置，最大的效果還是在提升員工的工作效率，IBM便透過針對員工開發手機報帳App，加速同仁的報帳程序，也提高工作效率。

以往，IBM員工要報帳，都必須登入電腦介面的報帳系統，因為過程複雜，經常得等到進辦公室後，才能完成報帳程序，過程中，又可能因為拖了一段時間，不是丟了發票就是忘了時間、事由，反而必須花更多時間去彌補。

但是，透過手機App報帳時，登入並開啟App後，利用GPS定位功能，自動輸入員工請客報帳的地點，透過語音辨識功能輸入報帳用途，最後透過手機照相功能拍下發票，便可作為報帳憑證。從繁瑣到簡便的報帳程序，就是提升員工效率的例證。也因為IBM提供了這樣的App發布平臺，也讓內部有開發能力的員工，可以自己改善工作流程，並且分享給更多員工使用。

目前，WhirlWind上的App下載總次數超過4萬次以上，以美國和亞洲的下載次數最多。每個月App下載次數超過4千次，App數量為585個，員工自行開發的App達數十個，還持續增加中。

陳俊昌指出，目前臺灣IBM在BYOD的推動上，雖然還必須遵照總部的計畫，依序推動、逐步推廣，但光是開放允許員工在自己的手機上讀取公司的電子郵件，便已經達到提高生產力的初步效果。負責公司內部和媒體公關聯繫的高級專員鍾淑娟便說，開放員工申請BYOD以來，許多中、高階主管的溝通效率，從以往每件訊息聯繫平均2天才能有結果，現在最晚只要半天就有答案了，溝通效率比以往提升許多。

臺灣IBM全球資訊科技服務事業部協理陳俊昌表示，IBM是有計畫的推動BYOD，從有Mac筆電選擇開始，到開放員工使用自己的智慧型手機，都遵循同樣的步調推動。

相關報導請參考「讓員工自帶設備上班？──BYOD的兩難」