Общие сведения об управлении рабочим профилем Android Enterprise
Microsoft Intune поддерживает управление рабочими профилями— параметр управления Android Enterprise, который обеспечивает разделение рабочих приложений и данных на зарегистрированных устройствах на уровне платформы. Когда сотрудник или учащийся регистрирует свое устройство в Intune, он включает создание рабочего профиля. Рабочий профиль создает отдельную секцию на устройстве для рабочей учетной записи пользователя, чтобы пользователь легко и безопасно переключаться между своими личными приложениями и рабочими приложениями. Когда они покидают рабочий профиль, они возвращаются на личную сторону своего устройства, где их личные приложения и данные не затрагиваются политиками Intune.
Пользователи устройств, регистрируя личные устройства, должны регистрироваться через приложение Корпоративный портал Intune, а пользователи на корпоративных устройствах — через приложение Microsoft Intune.
В этой статье приводятся общие сведения о параметрах управления рабочими профилями Android Enterprise, поддерживаемых Microsoft Intune, которые включают:
- Рабочие профили для корпоративных устройств.
- Рабочие профили для личных устройств.
Вам нужно знать
Android Enterprise доступен не везде. Прежде чем создавать профиль регистрации в Центре администрирования Microsoft Intune, убедитесь, что Android Enterprise доступен в вашем регионе. Дополнительные сведения о доступности и требованиях для Android Enterprise см. в разделе Требования к Android Enterprise (открывается справка Android Enterprise).
В тех местах, где Android Enterprise не поддерживается, существуют другие варианты управления Android, поддерживаемые Intune, в том числе:
- Управление платформой Открытый код Android (AOSP)
- Управление администраторами устройств Android
- управление мобильными приложениями;
Управляемая учетная запись Google Play
Чтобы включить управление устройствами и приложениями для устройств Android Enterprise в Intune, необходимо подключить клиент Microsoft Intune к управляемой учетной записи Google Play.
Управление рабочим профилем
Microsoft Intune политики и параметры применяются только к рабочему профилю. Администратор Intune может управлять рабочими частями зарегистрированного устройства.
- Все приложения, развертываемые в Intune, устанавливаются в рабочий профиль. Администраторы могут контролировать и отслеживать приложения и действия в рабочем профиле.
- Все приложения Android и данные за пределами рабочего профиля остаются личными и находятся под контролем пользователя устройства. Пользователи могут установить любое выбранное приложение на личной стороне устройства.
В рабочем профиле есть уникальные значки приложений, которые помогут пользователям различать рабочие и личные приложения на своем устройстве.
Параметры, доступные в Intune, от регистрации до конфигурации устройства и соответствия требованиям, позволяют адаптировать уровень защиты в соответствии с потребностями вашей организации. Дополнительные сведения о применимых параметрах см. в разделе:
- Параметры соответствия устройств для Android Enterprise в Intune
- Параметры устройства Android Enterprise для разрешения или ограничения функций с помощью Intune
Публикация и распространение приложений
Управляемый Google Play является неотъемлемой частью процесса распространения приложений Android Enterprise и управления ими. Все приложения, развернутые в рабочем профиле на личных и корпоративных устройствах, поступают из управляемой службы Google Play.
Чтобы управлять приложениями и развертывать их в Play Store, войдите на веб-сайт Google Play с учетными данными администратора для управления Google. Здесь можно утвердить приложения для развертывания. Утвержденные приложения синхронизируются с Microsoft Intune и отображаются в Центре администрирования, где можно развертывать их и управлять ими. Бизнес-приложения ( LOB), разработанные вашей организацией, должны публиковаться в Managed Google Play с помощью консоли управляемой публикации Google Play.
Приложения можно установить без взаимодействия с пользователем и без необходимости разрешить установку приложений из неизвестных источников. Чтобы просмотреть и установить дополнительные или доступные приложения, пользователь может просматривать управляемый магазин Google Play на своем устройстве. Дополнительные сведения см. в статье о назначении приложений управляемого Google Play для корпоративных устройств с Android в Intune.
Конфигурация приложений
Android для бизнеса предоставляет инфраструктуру для развертывания значений конфигурации в поддерживающих их приложениях. Указывая значения для рабочих приложений, вы убедитесь, что они правильно настроены при первом запуске приложения. Для поддержки конфигурации приложений необходимо, чтобы разработчики приложений создавали приложения Android специально для поддержки значений управляемой конфигурации. В этом случае вы сможете указать и применить эти параметры конфигурации с помощью Intune. Дополнительные сведения см. в статье Добавление политик конфигурации приложений для управляемых устройств Android.
Конфигурация электронной почты
В отличие от iOS и iPadOS в Android для бизнеса не предоставляется приложение электронной почты по умолчанию или нативный профиль электронной почты. Вместо этого можно настроить параметры электронной почты для поддерживаемых приложений электронной почты с помощью Intune параметров конфигурации приложений.
Gmail и Nine Work — это два клиентских приложения Exchange ActiveSync (EAS) в Play Store, которые поддерживают конфигурацию приложений Android Enterprise. Intune предоставляет шаблоны конфигурации для приложений Gmail и Nine Work, что позволяет управлять ими как рабочими приложениями. Другие почтовые приложения, поддерживающие профили конфигурации приложений, можно настроить в политике конфигурации приложений.
Если вы используете Exchange ActiveSync условный доступ для личного или корпоративного устройства, рассмотрите возможность использования почтового приложения Gmail или Nine Work. Также поддерживается приложение Microsoft Outlook для Android и любое другое почтовое приложение, использующее современную проверку подлинности через MSAL. Дополнительные сведения см. в разделе Настройка параметров электронной почты в Microsoft Intune.
Совет
библиотека аутентификация Azure AD (ADAL) устарела, поэтому рекомендуется обновить приложения, которые в настоящее время используют ADAL, до MSAL. Подробности см. в статье Обновление приложений, чтобы использовать библиотеку проверки подлинности Майкрософт (MSAL) и API Microsoft Graph
Политики защиты приложений
Microsoft Intune поддерживает политики защиты приложений, применяемые к приложениям в рабочем профиле и на личных устройствах. Вы можете публиковать бизнес-приложения в консоли публикации Google Play и делать приложения частными для своей организации.
Дополнительные сведения о политиках защиты приложений для рабочего профиля см. в следующих статьях:
Профили VPN
Поддержка VPN аналогична профилям Android VPN. Для управления Android Enterprise доступны одни и те же VPN-поставщики и базовые параметры конфигурации с двумя отличиями:
VPN на уровне рабочего профиля. VPN-подключения ограничены приложениями, развернутыми в рабочем профиле на личных и корпоративных устройствах, поэтому VPN-подключение могут использовать только управляемые приложения. Личные приложения на устройстве не могут использовать управляемое VPN-подключение. Дополнительные сведения см. в разделе о параметрах VPN Android для бизнеса.
VPN для конкретного приложения. Vpn для конкретного приложения можно настроить в Intune, если поставщик VPN поддерживает:
Конфигурация VPN для конкретного приложения.
Возможность настройки VPN для каждого приложения с помощью профиля конфигурации приложения Android Enterprise.
Дополнительные сведения см. в разделе Использование пользовательского профиля Microsoft Intune с целью создания профиля VPN для каждого приложения на устройствах Android.
Профили сертификатов
Для рабочего профиля на личных и корпоративных устройствах доступны те же конфигурации профилей сертификатов, которые доступны для управления Android. Android Enterprise предоставляет расширенные API управления сертификатами.
Расширенное управление сертификатами.
Обеспечивает автоматическое и простое развертывание сертификата для пользователя.
Гарантирует, что развернутые сертификаты удаляются, когда устройство прекращает работу с Intune, а рабочий профиль удаляется.
Информирует пользователей устройств о том, что сертификат был развернут и настроен сотрудником ит-службы поддержки через Microsoft Intune.
Дополнительные сведения см. в разделе Настройка профиля сертификата для устройств в Microsoft Intune.
Профили Wi-Fi
Wi-Fi профили удаляются, когда устройство прекращает работу с Intune, а рабочий профиль удаляется. Дополнительные сведения см. в разделе Настройка параметров Wi-Fi в Microsoft Intune.