Sdílet prostřednictvím


Správa mobilních aplikací a pracovní profily v osobním vlastnictví na zařízeních s Androidem Enterprise v Intune

V mnoha organizacích jsou správci vyzváni k ochraně prostředků a dat na různých zařízeních. Jednou z výzev je ochrana prostředků pro uživatele s osobními zařízeními s Androidem Enterprise, označovaná také jako vlastní zařízení (BYOD). Microsoft Intune podporuje dva scénáře nasazení Androidu pro vlastní zařízení (BYOD):

Scénáře nasazení pracovního profilu MAM a Android Enterprise v osobním vlastnictví zahrnují následující klíčové funkce důležité pro prostředí BYOD:

  • Ochrana a oddělení dat spravovaných organizací: Obě řešení chrání data organizace tím, že u dat spravovaných organizací vynucují ovládací prvky ochrany před únikem informací. Tyto ochrany zabraňují náhodnému úniku chráněných dat, například když je koncový uživatel omylem sdílí s osobní aplikací nebo účtem. Slouží také k zajištění toho, aby zařízení, které přistupuje k datům, bylo v pořádku a nebylo ohroženo.

  • Ochrana osobních údajů koncových uživatelů: MAM odděluje obsah koncových uživatelů a organizace ve spravovaných aplikacích a pracovní profily Androidu Enterprise v osobním vlastnictví oddělují obsah koncových uživatelů na zařízení a data spravovaná správcem správy mobilních zařízení (MDM). V obou scénářích správci IT vynucují zásady, jako je ověřování pouze pin kódem u aplikací nebo identit spravovaných organizací. Správci IT nemůžou číst, přistupovat nebo mazat data, která vlastní nebo řídí koncoví uživatelé.

To, jestli pro nasazení modelu BYOD zvolíte pracovní profily MAM nebo Android Enterprise v osobním vlastnictví, závisí na vašich požadavcích a obchodních potřebách. Cílem tohoto článku je poskytnout pokyny, které vám pomůžou při rozhodování. Další informace týkající se spravovaných zařízení s Androidem najdete v tématu Správa zařízení s pracovním profilem Androidu v osobním vlastnictví nebo ve vlastnictví firmy s Intune.

Informace o zásadách ochrany aplikací Intune

Intune zásady ochrany aplikací (APP) jsou zásady ochrany dat cílené na uživatele. Zásady používají ochranu před únikem dat na úrovni aplikace. Intune APP vyžaduje, aby vývojáři aplikací povolili funkce APLIKACE v aplikacích, které vytvářejí.

Jednotlivé aplikace pro Android jsou pro APLIKACI povolené několika způsoby:

  1. Nativně integrované do aplikací Microsoftu od microsoftu: Aplikace Microsoft 365 (Office) pro Android a výběr dalších aplikací microsoftu se dodávají s integrovanou aplikací Intune APP. Tyto aplikace Office, například Word, OneDrive, Outlook atd., nepotřebují k použití zásad žádné další přizpůsobení. Tyto aplikace můžou koncoví uživatelé nainstalovat přímo z Obchodu Google Play.

  2. Integrované do buildů aplikací vývojáři pomocí sady Intune SDK: Vývojáři aplikací můžou integrovat sadu Intune SDK do zdrojového kódu a znovu zkompilovat své aplikace tak, aby podporovaly funkce zásad Intune APP.

  3. Zabalené pomocí nástroje Intune app wrapping: Někteří zákazníci kompilují aplikace pro Android (. SOUBOR APK) bez přístupu ke zdrojovému kódu. Bez zdrojového kódu se vývojář nemůže integrovat se sadou Intune SDK. Bez sady SDK nemůžou ve své aplikaci povolit zásady APLIKACE. Vývojář musí aplikaci upravit nebo překódovat, aby podporovala zásady APLIKACE.

    Pro pomoc Intune zahrnuje nástroj App Wrapping Tool pro existující aplikace pro Android (APK) a vytvoří aplikaci, která rozpozná zásady APLIKACE.

    Další informace o tomto nástroji najdete v tématu Příprava obchodních aplikací pro zásady ochrany aplikací.

Pokud chcete zobrazit seznam aplikací s povolenou aplikací, přečtěte si téma Spravované aplikace s bohatou sadou zásad ochrany mobilních aplikací.

Scénáře nasazení

Tato část popisuje důležité charakteristiky scénářů nasazení pracovních profilů MAM a Android Enterprise v osobním vlastnictví.

MAM

Nasazení MAM definuje zásady pro aplikace, ne pro zařízení. V případě modelu BYOD se MAM často používá na nezaregistrovaných zařízeních. K ochraně aplikací a přístupu k datům organizace používají správci aplikace, které se dají spravovat, a uplatňují na tyto aplikace zásady ochrany dat.

Tato funkce platí pro:

  • Android 4.4 a novější

Tip

Další informace najdete v tématu Co jsou zásady ochrany aplikací?.

Pracovní profily Androidu Enterprise v osobním vlastnictví

Pracovní profily Androidu Enterprise v osobním vlastnictví představují základní scénář nasazení Androidu Enterprise. Pracovní profil Androidu Enterprise v osobním vlastnictví je samostatný oddíl vytvořený na úrovni operačního systému Android, který je možné spravovat pomocí Intune.

Pracovní profil Androidu Enterprise v osobním vlastnictví obsahuje následující funkce:

  • Tradiční funkce MDM: Klíčové funkce MDM, jako je správa životního cyklu aplikací pomocí spravovaného Google Play, jsou k dispozici v každém scénáři Android Enterprise. Managed Google Play poskytuje robustní prostředí pro instalaci a aktualizaci aplikací bez zásahu uživatele. IT může také odesílat nastavení konfigurace aplikací do aplikací organizace. Nevyžaduje také, aby koncoví uživatelé povolovat instalace z neznámých zdrojů. Další běžné aktivity MDM, jako je nasazování certifikátů, konfigurace Wi-Fi/VPN a nastavení přístupových kódů zařízení, jsou k dispozici s pracovními profily androidu Enterprise v osobním vlastnictví.

  • Ochrany před únikem informací na hranici pracovního profilu Android Enterprise v osobním vlastnictví: U pracovního profilu Androidu Enterprise v osobním vlastnictví se zásady ochrany před únikem informací vynucují na úrovni pracovního profilu, ne na úrovni aplikace. Ochranu před kopírováním a vložením například vynucuje nastavení APLIKACE použité pro aplikaci nebo pracovní profil. Když je aplikace nasazená do pracovního profilu, můžou správci pozastavit ochranu před kopírováním a vložením do pracovního profilu vypnutím této zásady na úrovni APLIKACE.

Tipy pro optimalizaci prostředí pracovního profilu

Při práci s pracovními profily Androidu Enterprise v osobním vlastnictví byste měli zvážit, jak používat APP a multi-identity.

Kdy použít APLIKACI v pracovních profilech Androidu Enterprise v osobním vlastnictví

pracovní profily Intune APP a Android Enterprise v osobním vlastnictví jsou doplňkové technologie, které je možné používat společně nebo samostatně. Z architektonického hlediska obě řešení vynucuje zásady v různých vrstvách – APP v jednotlivých aplikačních vrstvách a pracovní profil na vrstvě profilu. Nasazení aplikací spravovaných pomocí zásad APLIKACE do aplikace v pracovním profilu je platný a podporovaný scénář. Použití aplikace, pracovních profilů nebo kombinace závisí na vašich požadavcích na únik informací.

Pracovní profily androidu Enterprise a aplikace v osobním vlastnictví se vzájemně doplňují tím, že poskytují další pokrytí, pokud jeden profil nesplňuje požadavky vaší organizace na ochranu dat. Pracovní profily například nativně neposkytují ovládací prvky pro omezení ukládání aplikace do nedůvěryhodného umístění cloudového úložiště. App zahrnuje tuto funkci. Můžete se rozhodnout, že ochrana před únikem informací poskytovaná výhradně pracovním profilem je dostatečná, a rozhodnete se aplikaci APP nepoužívat. Nebo můžete vyžadovat ochranu z kombinace těchto dvou.

Potlačení zásad aplikace pro pracovní profily Androidu Enterprise v osobním vlastnictví

Možná budete muset podporovat jednotlivé uživatele, kteří mají více zařízení – neregistrovaná zařízení s aplikacemi spravovanými MAM a spravovaná zařízení s pracovními profily Android Enterprise v osobním vlastnictví.

Například vyžadujete, aby koncoví uživatelé při otevírání pracovní aplikace zadali KÓD PIN. V závislosti na zařízení zpracovává funkce PIN kódu aplikace nebo pracovního profilu. U aplikací spravovaných MAM vynucuje app řízení přístupu, včetně chování při spuštění pomocí kódu PIN. U zaregistrovaných zařízení může být PIN kód APLIKACE zakázaný, aby se nemuselo vyžadovat PIN kód zařízení i PIN aplikace. (Nastavení PIN kódu aplikace pro Android. Pro zařízení s pracovním profilem můžete použít PIN kód zařízení nebo pracovního profilu vynucovaný operačním systémem. Pokud chcete tento scénář provést, nakonfigurujte nastavení APLIKACE tak, aby se při nasazení aplikace do pracovního profilu nepoužádá. Pokud ho tímto způsobem nenakonfigurujete, zobrazí se koncovému uživateli výzva k zadání PIN kódu zařízením a znovu ve vrstvě APP.

Řízení chování více identit v pracovních profilech Androidu Enterprise v osobním vlastnictví

Aplikace Office, jako je Outlook a OneDrive, mají chování "více identit". V rámci jedné instance aplikace může koncový uživatel přidat připojení k několika jedinečným účtům nebo umístěním cloudového úložiště. V rámci aplikace můžou být data načtená z těchto umístění oddělená nebo sloučená. A uživatel může přepínat mezi osobními identitami (user@outlook.com) a identitami organizace (user@contoso.com).

Pokud používáte pracovní profily Androidu Enterprise v osobním vlastnictví, můžete toto chování s více identitou zakázat. Když ho zakážete, instance aplikace s oznámením v pracovním profilu se dají nakonfigurovat jenom s identitou organizace. Použijte nastavení konfigurace aplikace Povolené účty pro podporu aplikací Office pro Android.

Další informace najdete v tématu nasazení nastavení konfigurace aplikací Outlook pro iOS/iPadOS a Android.

Kdy použít Intune APP

Existuje několik scénářů podnikové mobility, ve kterých je nejlepším doporučením použití Intune APP.

Žádné MDM, žádná registrace, služby Google nejsou k dispozici

Někteří zákazníci nechtějí žádnou formu správy zařízení, včetně správy pracovních profilů androidu Enterprise v osobním vlastnictví, z různých důvodů:

  • Právní důvody a odpovědnosti
  • Pro konzistenci uživatelského prostředí
  • Prostředí zařízení s Androidem je vysoce heterogenní
  • Ke službám Google není k dispozici žádné připojení, které se vyžaduje pro správu pracovních profilů.

Například zákazníci v Číně nebo uživatelé v Číně nemůžou používat správu zařízení s Androidem, protože služby Google jsou blokované. V tomto případě použijte Intune APP pro únik informací.

Souhrn

Pomocí Intune jsou pro váš program BYOD pro Android k dispozici pracovní profily MAM i Android Enterprise v osobním vlastnictví. V závislosti na požadavcích vaší firmy a využití se můžete rozhodnout používat MAM nebo pracovní profily. Pokud potřebujete aktivity MDM na spravovaných zařízeních, jako je nasazení certifikátů, nabízení aplikací atd., použijte pracovní profily Android Enterprise v osobním vlastnictví. Mam použijte, pokud chcete chránit data organizace v aplikacích.

Další kroky

Začněte používat zásady ochrany aplikací nebo zaregistrujte svá zařízení.