两种终端数据清除策略的技术笔记：企业定向清除 vs 完全擦除

在终端生命周期管理中，设备退役或转交时的数据清理是常见需求。不同场景下对“清除范围”的要求差异很大：BYOD场景需保留员工个人数据，而公司资产转交则要求彻底归零。本文记录两种标准化的清除策略及其技术原理。

1. 企业定向清除（保留个人数据）

适用场景：员工自带的BYOD设备，离职或调岗时需要移除企业相关配置和应用，但不得影响员工的个人照片、文档、聊天记录等。

技术原理：终端管理系统仅删除由管理平台下发的策略与资源，包括：

• 企业Wi-Fi、VPN、CA证书等网络配置

• 安全策略、合规策略、权限限制

• 通过MDM推送安装的企业应用

不删除的内容：出厂预装应用、用户自行下载的非管理应用、相册、短信、通话记录等个人数据。

实现示例：在部分终端管理工具（如 Endpoint Central）中，此功能称为“企业清除”。操作时管理端下发指令，设备上的管理代理执行定向清理。

注意：此方法的前提是设备已预先注册到MDM系统，且管理代理拥有足够的权限（无需root/越狱）。对于未注册的设备，无法远程定向清除。

2. 完全擦除清除（恢复出厂状态）

适用场景：公司全权拥有的设备，在员工交接、设备回收或疑似安全入侵后，需要彻底清除所有数据，恢复到类似“新机”状态。

技术原理：执行设备级的恢复出厂设置操作，覆盖所有用户分区数据。对于部分移动设备（如支持Samsung KNOX或Android SAFE的机型），还可选择是否同时擦除外置SD卡。

清除范围：操作系统用户数据、所有已安装应用（含系统应用更新）、用户账户、文档、媒体文件、个性化设置。

实现示例：仍以 Endpoint Central 为例，其“完全清除”功能即对应此策略。IT管理员可远程触发，设备会执行完整的wipe流程。

注意：完全擦除后设备将脱离管理状态，需要重新注册和配置才能纳入管控。对于丢失或被盗的设备，此操作可防止数据泄露，但前提是设备在线且能接收指令。

3. 策略选择的两个判断维度

在实践中，选择哪种清除策略主要看两点：

• 设备所有权：BYOD选定向清除，公司资产选完全擦除。

• 安全要求：如果设备曾疑似被入侵或需要转交给不可信用户，必须使用完全擦除。

两者并非互斥——同一设备在不同生命周期阶段可能先后采用不同策略（例如BYOD员工离职时先做定向清除，设备被公司回购后再做一次完全擦除）。

4. 常见局限与应对

• 离线设备：无论哪种清除方式，都需要设备在线才能远程执行。离线设备通常需要手动处理。

• 操作系统限制：iOS设备的完全清除需要用户输入Apple ID密码（因激活锁机制），自动化程度低于Android/Windows。

• 管理代理被卸载：若用户提前卸载了管理代理，定向清除将无法执行。因此通常需配合禁止卸载策略。

以上是两种数据清除策略的技术要点。具体实现时，可参考各自终端管理产品的文档。