Zarządzanie aplikacjami mobilnymi i profile służbowe należące do użytkownika na urządzeniach z systemem Android Enterprise w Intune
W wielu organizacjach administratorzy muszą chronić zasoby i dane na różnych urządzeniach. Jednym z wyzwań jest ochrona zasobów dla użytkowników z osobistymi urządzeniami z systemem Android Enterprise, znanymi również jako "przynieś własne urządzenie" (BYOD). Microsoft Intune obsługuje dwa scenariusze wdrażania systemu Android dla urządzenia typu "przynieś własne urządzenie":
- Zarządzanie aplikacjami mobilnymi (MAM)
- Profile służbowe należące do użytkownika systemu Android Enterprise
Scenariusze wdrażania profilów służbowych zarządzania aplikacjami mobilnymi i aplikacjami mobilnymi systemu Android Enterprise należą do następujących kluczowych funkcji ważnych dla środowisk BYOD:
Ochrona i podział danych zarządzanych przez organizację: oba rozwiązania chronią dane organizacji, wymuszając mechanizmy kontroli ochrony przed utratą danych (DLP) na danych zarządzanych przez organizację. Te zabezpieczenia zapobiegają przypadkowemu wyciekowi chronionych danych, na przykład przypadkowemu udostępnieniu ich aplikacji osobistej lub kontu użytkownikowi końcowemu. Służą one również do zapewnienia, że urządzenie uzyskujące dostęp do danych jest w dobrej kondycji i nie jest zagrożone.
Prywatność użytkowników końcowych: zarządzanie aplikacjami mobilnymi oddziela zawartość użytkowników końcowych i organizacji w aplikacjach zarządzanych, a profile służbowe należące do użytkownika systemu Android Enterprise oddzielają zawartość użytkowników końcowych na urządzeniu oraz dane zarządzane przez administratora zarządzania urządzeniami przenośnymi (MDM). W obu scenariuszach administratorzy IT wymuszają zasady, takie jak uwierzytelnianie tylko przy użyciu numeru PIN w aplikacjach lub tożsamościach zarządzanych przez organizację. Administratorzy IT nie mogą odczytywać, uzyskiwać dostępu do danych należących do użytkowników końcowych ani ich usuwać.
To, czy wybierasz profile służbowe zarządzania aplikacjami mobilnymi, czy też prywatne profile służbowe systemu Android Enterprise na potrzeby wdrożenia usługi BYOD, zależy od wymagań i potrzeb biznesowych. Celem tego artykułu jest zapewnienie wskazówek, które pomogą Ci w podjęciu decyzji. Aby uzyskać więcej informacji dotyczących zarządzanych urządzeń z systemem Android, zobacz Manage Android personally-owned/corporate-owned work profile devices with Intune (Zarządzanie urządzeniami z profilem służbowym należącymi do użytkownika/firmowego systemu Android przy użyciu Intune).
Informacje o zasadach ochrony aplikacji Intune
Intune zasady ochrony aplikacji (APP) to zasady ochrony danych przeznaczone dla użytkowników. Zasady stosują ochronę przed utratą danych na poziomie aplikacji. Intune aplikacja wymaga, aby deweloperzy aplikacji włączyli funkcje aplikacji w utworzonych przez nie aplikacjach.
Poszczególne aplikacje systemu Android są włączone dla aplikacji na kilka sposobów:
Natywnie zintegrowane z aplikacjami microsoft first-party: aplikacje microsoft 365 (Office) dla systemu Android i wybór innych aplikacji firmy Microsoft są dostępne z wbudowanymi aplikacjami Intune APP. Te aplikacje pakietu Office, takie jak Word, OneDrive, Outlook itd., nie wymagają więcej dostosowań w celu zastosowania zasad. Te aplikacje mogą być instalowane przez użytkowników końcowych bezpośrednio ze Sklepu Google Play.
Zintegrowane z kompilacjami aplikacji przez deweloperów korzystających z zestawu Intune SDK: deweloperzy aplikacji mogą zintegrować zestaw Intune SDK z kodem źródłowym i ponownie skompilować swoje aplikacje w celu obsługi Intune funkcji zasad aplikacji.
Opakowane przy użyciu narzędzia opakowującego aplikacje Intune: niektórzy klienci kompilują aplikacje systemu Android (. Plik APK) bez dostępu do kodu źródłowego. Bez kodu źródłowego deweloper nie może zintegrować się z zestawem Intune SDK. Bez zestawu SDK nie mogą włączyć aplikacji dla zasad aplikacji. Deweloper musi zmodyfikować lub ponownie zakodować aplikację, aby obsługiwała zasady aplikacji.
Aby pomóc, Intune zawiera narzędzie App Wrapping Tool dla istniejących aplikacji systemu Android (APK) i tworzy aplikację, która rozpoznaje zasady aplikacji.
Aby uzyskać więcej informacji na temat tego narzędzia, zobacz przygotowywanie aplikacji biznesowych na potrzeby zasad ochrony aplikacji.
Aby wyświetlić listę aplikacji włączonych w usłudze APP, zobacz managed apps with a rich set of mobile application protection policies (Aplikacje zarządzane z bogatym zestawem zasad ochrony aplikacji mobilnych).
Scenariusze wdrażania
W tej sekcji opisano ważne cechy scenariuszy wdrażania prywatnych profilów służbowych zarządzania aplikacjami mobilnymi i rozwiązania Android Enterprise.
MAM
Wdrożenie zarządzania aplikacjami mobilnymi definiuje zasady dotyczące aplikacji, a nie urządzeń. W przypadku funkcji BYOD zarządzanie aplikacjami mobilnymi jest często używane na niezarejestrowanych urządzeniach. Aby chronić aplikacje i dostęp do danych organizacji, administratorzy używają aplikacji z możliwością zarządzania aplikacjami i stosują zasady ochrony danych do tych aplikacji.
Ta funkcja ma zastosowanie do:
- System Android 4.4 lub nowszy
Porada
Aby uzyskać więcej informacji, zobacz Co to są zasady ochrony aplikacji?.
Profile służbowe należące do użytkownika systemu Android Enterprise
Prywatne profile służbowe systemu Android Enterprise to podstawowy scenariusz wdrażania systemu Android Enterprise. Osobisty profil służbowy systemu Android Enterprise to oddzielna partycja utworzona na poziomie systemu operacyjnego Android, którą może zarządzać Intune.
Profil służbowy należący do użytkownika systemu Android Enterprise zawiera następujące funkcje:
Tradycyjne funkcje mdm: kluczowe możliwości zarządzania urządzeniami przenośnymi, takie jak zarządzanie cyklem życia aplikacji przy użyciu zarządzanego sklepu Google Play, są dostępne w dowolnym scenariuszu rozwiązania Android Enterprise. Zarządzany sklep Google Play zapewnia niezawodne środowisko instalowania i aktualizowania aplikacji bez żadnej interwencji użytkownika. Dział IT może również wypychać ustawienia konfiguracji aplikacji do aplikacji organizacyjnych. Nie wymaga również od użytkowników końcowych zezwalania na instalacje z nieznanych źródeł. Inne typowe działania zarządzania urządzeniami przenośnymi, takie jak wdrażanie certyfikatów, konfigurowanie sieci Wi-Fi/SIECI VPN i ustawianie kodów dostępu urządzeń, są dostępne w przypadku profilów służbowych należących do użytkownika systemu Android Enterprise.
DLP na granicy profilu służbowego należącego do użytkownika systemu Android Enterprise: w przypadku osobistego profilu służbowego rozwiązania Android Enterprise zasady DLP są wymuszane na poziomie profilu służbowego, a nie na poziomie aplikacji. Na przykład ochrona przed kopiowaniem/wklejaniem jest wymuszana przez ustawienia aplikacji zastosowane do aplikacji lub wymuszane przez profil służbowy. Po wdrożeniu aplikacji w profilu służbowym administratorzy mogą wstrzymać ochronę przed kopiowaniem/wklejaniem do profilu służbowego, wyłączając te zasady na poziomie aplikacji.
Porady dotyczące optymalizacji środowiska profilu służbowego
Podczas pracy z profilami służbowymi należącymi do użytkownika systemu Android Enterprise należy rozważyć sposób używania aplikacji i wielu tożsamości.
Kiedy używać aplikacji w ramach prywatnych profilów służbowych systemu Android Enterprise
Intune profile służbowe należące do użytkowników aplikacji i systemu Android Enterprise to uzupełniające się technologie, które mogą być używane razem lub oddzielnie. W architekturze oba rozwiązania wymuszają zasady w różnych warstwach — APLIKACJA w poszczególnych warstwach aplikacji i profil służbowy w warstwie profilu. Wdrażanie aplikacji zarządzanych przy użyciu zasad aplikacji w aplikacji w profilu służbowym jest prawidłowym i obsługiwanym scenariuszem. Używanie aplikacji, profilów służbowych lub kombinacji zależy od wymagań DLP.
Prywatne profile służbowe i aplikacja systemu Android Enterprise uzupełniają swoje ustawienia, zapewniając dodatkowe pokrycie, jeśli jeden profil nie spełnia wymagań organizacji dotyczących ochrony danych. Na przykład profile służbowe nie zapewniają natywnie kontrolek ograniczających zapisywanie aplikacji do niezaufanej lokalizacji magazynu w chmurze. Aplikacja zawiera tę funkcję. Możesz zdecydować, że DLP udostępniany wyłącznie przez profil służbowy jest wystarczający i nie chcesz używać aplikacji. Możesz też wymagać ochrony z kombinacji tych dwóch elementów.
Pomijanie zasad aplikacji dla profilów służbowych należących do użytkownika systemu Android Enterprise
Może być konieczne obsługę poszczególnych użytkowników, którzy mają wiele urządzeń — niezarejestrowanych urządzeń z aplikacjami zarządzanymi przez aplikacje mam i zarządzanymi urządzeniami z profilami służbowymi należącymi do użytkownika systemu Android Enterprise.
Na przykład użytkownicy końcowi muszą wprowadzić numer PIN podczas otwierania aplikacji służbowej. W zależności od urządzenia funkcje numeru PIN są obsługiwane przez aplikację lub profil służbowy. W przypadku aplikacji zarządzanych przez aplikacje do zarządzania aplikacjami mobilnymi mechanizmy kontroli dostępu, w tym zachowanie przy uruchamianiu numeru PIN, są wymuszane przez aplikację. W przypadku zarejestrowanych urządzeń numer PIN aplikacji może zostać wyłączony, aby uniknąć konieczności zarówno numeru PIN urządzenia, jak i numeru PIN aplikacji. (Ustawienie numeru PIN aplikacji dla systemu Android. W przypadku urządzeń z profilem służbowym można użyć numeru PIN urządzenia lub profilu służbowego wymuszanego przez system operacyjny. Aby zrealizować ten scenariusz, skonfiguruj ustawienia aplikacji tak, aby nie były stosowane , gdy aplikacja jest wdrażana w profilu służbowym. Jeśli nie skonfigurujesz go w ten sposób, użytkownik końcowy zostanie wyświetlony monit o podanie numeru PIN przez urządzenie i ponownie w warstwie APLIKACJI.
Kontrolowanie zachowania wielu tożsamości w prywatnych profilach służbowych systemu Android Enterprise
Aplikacje pakietu Office, takie jak Outlook i OneDrive, mają zachowanie "wielu tożsamości". W jednym wystąpieniu aplikacji użytkownik końcowy może dodawać połączenia do wielu odrębnych kont lub lokalizacji magazynu w chmurze. W aplikacji dane pobrane z tych lokalizacji można oddzielić lub scalić. Ponadto użytkownik może przełączać kontekst między tożsamościami osobistymi (user@outlook.com) i tożsamościami organizacji (user@contoso.com).
W przypadku korzystania z prywatnych profilów służbowych systemu Android Enterprise można wyłączyć to zachowanie obejmujące wiele tożsamości. Po jej wyłączeniu wystąpienia aplikacji w profilu służbowym można skonfigurować tylko przy użyciu tożsamości organizacji. Użyj ustawienia konfiguracji aplikacji Dozwolone konta do obsługi aplikacji pakietu Office dla systemu Android.
Aby uzyskać więcej informacji, zobacz wdrażanie ustawień konfiguracji aplikacji Outlook dla systemów iOS/iPadOS i Android.
Kiedy używać Intune APP
Istnieje kilka scenariuszy dotyczących mobilności w przedsiębiorstwie, w których najlepszym zaleceniem jest użycie Intune APP.
Brak rozwiązania MDM, brak rejestracji, usługi Google są niedostępne
Niektórzy klienci nie chcą żadnej formy zarządzania urządzeniami, w tym zarządzania profilami służbowymi należącymi do użytkownika systemu Android Enterprise, z różnych powodów:
- Przyczyny prawne i odpowiedzialności
- Spójność środowiska użytkownika
- Środowisko urządzenia z systemem Android jest wysoce heterogeniczne
- Nie ma żadnych połączeń z usługami Google, które są wymagane do zarządzania profilami służbowymi.
Na przykład klienci w Chinach lub użytkownicy w Chinach nie mogą korzystać z zarządzania urządzeniami z systemem Android, ponieważ usługi Google są zablokowane. W tym przypadku użyj Intune APP for DLP.
Podsumowanie
Korzystając z Intune, dla programu BYOD systemu Android są dostępne zarówno profile służbowe należące do firmy Mam, jak i Android Enterprise. W zależności od wymagań biznesowych i użycia można używać profilów służbowych i/lub zarządzania aplikacjami mobilnymi. Podsumowując, użyj prywatnych profilów służbowych systemu Android Enterprise, jeśli potrzebujesz działań mdm na zarządzanych urządzeniach, takich jak wdrażanie certyfikatów, wypychanie aplikacji itd. Użyj funkcji MAM, jeśli chcesz chronić dane organizacji w aplikacjach.
Następne kroki
Rozpocznij korzystanie z zasad ochrony aplikacji lub zarejestruj swoje urządzenia.