Mobile Device Management (MDM) — 8 Essential Policies with Step-by-Step Setup

Real-world lesson: in most MDM projects, the hardest part isn’t the tool — it’s applying the right policies in a way that fits people’s work. Below are the 8 policies I use to keep data safe and users happy, with how it works, where to configure, and tips for common platforms (Microsoft Intune, VMware Workspace ONE, Jamf, Google).

1) Identity & Authentication Policy

Goal: Only authorized users get in, and devices lock when idle.

How it works

• Enable MFA (TOTP, push, biometrics).
• Use SSO via your identity provider (e.g., Entra ID/Azure AD, Okta).
• Set auto-lock after X minutes idle.

Where to configure

• Intune: Identity → Conditional Access (require MFA), Device Configuration → Configuration profiles (lock screen timeout).
• Workspace ONE: Access Policies + Profiles (Passcode/Auto-lock).
• Jamf Pro (Apple): Configuration Profiles → Passcode/Screen Saver, SSO Extensions.
• Google Admin: Security → 2-Step Verification; Devices → Settings → Screen lock.

• Require MFA on all cloud apps
• Set lock after 5–10 min idle
• Block legacy/basic auth

2) Password (or Passcode/Biometrics) Policy

Goal: Strong, renewable credentials with lockout on brute force.

How it works

• Length & complexity requirements
• Rotation or passwordless (where possible)
• Lockout after failed attempts

Where to configure

• Intune: Device Compliance & Configuration → Password.
• Workspace ONE / Jamf / Google: Passcode/Screen Lock payloads.

3) Encryption Policy

Goal: Data remains confidential at rest and in transit.

How it works

• Full-Disk Encryption: BitLocker (Windows), FileVault (macOS), native Android/iOS encryption.
• TLS everywhere (apps, email, VPN).
• Encrypt backups (Time Machine, iTunes/Android backups, cloud backups).

Where to configure

• Intune: Endpoint security → Disk encryption (BitLocker) / Device profiles (FileVault).
• Jamf: Configuration Profiles → FileVault; escrow recovery keys.
• Workspace ONE / Google: Encryption settings in profiles.

4) Containerization (Work Profile) Policy

Goal: Separate company data from personal (BYOD-friendly).

How it works

• Android Work Profile, iOS/iPadOS Managed Open-In, Windows/macOS App Protection.
• Company data lives in a managed container; copy/share restricted across boundaries.

Where to configure

• Intune: App Protection Policies (MAM) + Enrollment restrictions.
• Workspace ONE: Work Profile (Android), Managed Domains (iOS).
• Jamf: Restrictions + Managed Apps configuration.

5) Application Management Policy

Goal: Allow only trusted apps; block risky sources.

How it works

• Allow-list (Company Portal/App Catalog) and Block-list.
• Disable unknown sources (Android), enforce App Store only (iOS/macOS), SmartScreen/AppControl (Windows).

Where to configure

• Intune: Apps → Windows/iOS/Android/macOS (required/available), App Control.
• Workspace ONE: Internal/Public Apps + Compliance rules.
• Jamf: App Installers, Mac App Store, Restrictions.

6) Patch & Update Policy

Goal: Close vulnerabilities fast and block outdated devices.

How it works

• Automatic OS & app updates; maintenance windows.
• Compliance rules: out-of-date devices lose access.

Where to configure

• Intune: Update Rings (Windows), Feature updates, macOS/iOS update policies.
• Workspace ONE: Sensors + Update policies.
• Jamf: Software Updates + Deferrals.

7) Network Access Policy

Goal: Safe connectivity only (trusted Wi-Fi/VPN, no MITM).

How it works

• Pre-configure corporate Wi-Fi (WPA2-E/WPA3-E w/ certificates).
• Force corporate VPN / Per-app VPN for managed apps.
• Block access on open/public networks or warn + restrict.

Where to configure

• Intune/Workspace ONE/Jamf: Wi-Fi and VPN payloads (cert-based auth recommended).
• Combine with Conditional Access / Network Access Control (NAC).

8) Lost Device Policy

Goal: Act fast: lock, locate, wipe, and log an incident.

How it works

• Remote Lock/Wipe (full or selective for BYOD).
• Geolocation where legal and appropriate.
• Automated IR workflow: ticket, notify, revoke tokens.

Where to configure

• Console actions (Intune/Workspace ONE/Jamf/Google) + automation (webhooks, Logic Apps, API).

Roll-Out Blueprint (Quick Start)

1. Decide ownership: Corporate vs BYOD (defines how strict).
2. Baseline profiles: Identity/MFA → Passcode → Encryption → Update ring.
3. Access controls: Conditional Access (compliant device required).
4. Apps: Publish allow-listed apps; block unknown sources.
5. Network: Push Wi-Fi certs + per-app VPN for sensitive apps.
6. Lost device: Document remote lock/wipe SOP; test monthly.
7. Monitor: Compliance reports, update status, risky sign-ins.
8. Iterate: Gather user feedback; tune friction points.

Bottom Line

Success = security × usability. Flexible, well-explained policies keep people productive while protecting data. The tech is ready; the art is in how we roll it out.

Question for you

Where is the bigger challenge in your org — technology limits or user adoption? My take: policy design + change management wins projects.

রিয়েল লাইফ টিপ: অনেক সময় MDM প্রজেক্টে আসল সমস্যা টুল না, বরং নীতিগুলো কিভাবে কাজে লাগানো হবে সেটা। নিচে ৮টি জরুরি পলিসি দেওয়া হলো—প্রতিটার “কীভাবে কাজ করে”, “কোথায় সেট করবেন”, আর ছোট চেকলিস্টসহ।

১) Identity & Authentication Policy

লক্ষ্য: অনুমোদিত ইউজার ছাড়া কেউ ঢুকতে না পারে, আর ডিভাইস নির্দিষ্ট সময় পর নিজে লক হয়।

কীভাবে কাজ করে

• MFA চালু করুন (TOTP, push, biometrics)।
• SSO ব্যবহার করুন (Azure AD/Okta)।
• Auto-lock ৫–১০ মিনিট।

কোথায় সেট করবেন

• Intune: Conditional Access (MFA), Configuration profiles (lock timeout)।
• Workspace ONE/Jamf/Google: Passcode/Screen lock payload।

২) Password/Passcode Policy

লক্ষ্য: স্ট্রং পাসওয়ার্ড/পাসকোড, ব্যর্থ লগইনে লকআউট।

কোথায় সেট করবেন

• Intune: Compliance + Configuration → Password।
• Jamf/WS1/Google: Passcode/Restrictions।

৩) Encryption Policy

লক্ষ্য: ডেটা at rest ও in transit নিরাপদ রাখা।

কীভাবে কাজ করে

• Full-disk: BitLocker (Windows), FileVault (macOS), iOS/Android নেটিভ।
• সবখানে TLS।
• ব্যাকআপও এনক্রিপ্টেড।

৪) Containerization / Work Profile

লক্ষ্য: কোম্পানির ডেটা আলাদা কন্টেইনারে, BYOD-এ প্রাইভেসি রক্ষা।

কোথায় সেট করবেন

• Intune: App Protection (MAM) + Enrollment rules।
• WS1/Jamf: Android Work Profile, iOS Managed Open-In।

৫) Application Management

লক্ষ্য: ট্রাস্টেড অ্যাপ allow-list, risky সোর্স ব্লক।

কোথায় সেট করবেন

• Intune/WS1/Jamf: Company Portal/App Catalog, Block-list, App Control/Restrictions।

৬) Patch & Update

লক্ষ্য: অটো আপডেট; outdated ডিভাইস ব্লক।

কোথায় সেট করবেন

• Intune: Update Rings/Feature Updates, iOS/macOS policies।
• WS1/Jamf: Software Updates + ডেফার উইন্ডো।

৭) Network Access

লক্ষ্য: ট্রাস্টেড Wi-Fi/VPN, পাবলিক নেটে রেস্ট্রিকশন।

কোথায় সেট করবেন

• Wi-Fi (WPA2-E/WPA3-E সার্টিফিকেট), Per-app VPN; Conditional Access/NAC।

৮) Lost Device

লক্ষ্য: দ্রুত Remote Lock/Wipe, প্রয়োজন হলে লোকেশন, Incident ticket।

রোল-আউট ব্লুপ্রিন্ট

1. Corporate vs BYOD নির্ধারণ
2. Baseline: MFA → Passcode → Encryption → Updates
3. Conditional Access enforce
4. Allow-list অ্যাপ প্রকাশ
5. Wi-Fi সার্ট + Per-app VPN
6. Lost device SOP টেস্ট
7. Compliance রিপোর্ট মনিটর
8. ইউজার ফিডব্যাক অনুযায়ী টিউন

শেষ কথা

সিকিউরিটি × ইউজার-ফ্রেন্ডলি—দুটোর ব্যালেন্সই সফলতা। নীতিগুলো পরিষ্কার করে বুঝিয়ে রোল-আউট করলে রেজিস্ট্যান্স কমে যায়, প্রোডাক্টিভিটিও থাকে।