Administración de aplicaciones móviles y perfiles de trabajo de propiedad personal en dispositivos Android Enterprise en Intune
En muchas organizaciones, los administradores tienen el desafío de proteger los recursos y los datos en distintos dispositivos. Un desafío es proteger los recursos de los usuarios con dispositivos Android Enterprise personales, también conocidos como bring-your-own-device (BYOD). Microsoft Intune admite dos escenarios de implementación de Android para bring-your-own-device (BYOD):
- Administración de aplicaciones (MAM)
- Perfiles de trabajo de propiedad personal de Android Enterprise
Los escenarios de implementación de perfiles de trabajo de propiedad personal de MAM y Android Enterprise incluyen las siguientes características clave importantes para los entornos BYOD:
Protección y segregación de datos administrados por la organización: ambas soluciones protegen los datos de la organización mediante la aplicación de controles de prevención de pérdida de datos (DLP) en los datos administrados por la organización. Estas protecciones evitan pérdidas accidentales de datos protegidos, como que un usuario final los comparta accidentalmente con una aplicación o cuenta personales. También sirven para asegurarse de que un dispositivo que accede a los datos está en buen estado y no está en peligro.
Privacidad del usuario final: MAM separa el contenido del usuario final y la organización en las aplicaciones administradas y los perfiles de trabajo de propiedad personal de Android Enterprise separan el contenido de los usuarios finales en el dispositivo y los datos administrados por el administrador de administración de dispositivos móviles (MDM). En ambos escenarios, los administradores de TI aplican directivas, como la autenticación solo con PIN en identidades o aplicaciones administradas por la organización. Los administradores de TI no pueden leer, acceder o borrar datos que pertenecen o controlan los usuarios finales.
La elección de perfiles de trabajo de propiedad personal de MAM o Android Enterprise para la implementación de BYOD depende de sus requisitos y necesidades empresariales. El objetivo de este artículo es proporcionar instrucciones para ayudarle a decidir. Para obtener más información relacionada con dispositivos Android administrados, consulte Administración de dispositivos de perfil de trabajo de propiedad personal o corporativa de Android con Intune.
Acerca de Intune directivas de protección de aplicaciones
Intune directivas de protección de aplicaciones (APP) son directivas de protección de datos destinadas a los usuarios. Las directivas aplican la protección contra pérdida de datos en el nivel de aplicación. Intune APP requiere que los desarrolladores de aplicaciones habiliten las características de la aplicación en las aplicaciones que crean.
Las aplicaciones de Android individuales están habilitadas para APP de varias maneras:
Integrado de forma nativa en aplicaciones de microsoft de primera entidad: las aplicaciones de Microsoft 365 (Office) para Android y una selección de otras aplicaciones de Microsoft, incluyen Intune APLICACIÓN integrada. Estas aplicaciones de Office, como Word, OneDrive, Outlook, etc., no necesitan más personalización para aplicar directivas. Estos usuarios finales pueden instalar estas aplicaciones directamente desde Google Play Store.
Integrado en las compilaciones de aplicaciones por los desarrolladores que usan el SDK de Intune: los desarrolladores de aplicaciones pueden integrar el SDK de Intune en su código fuente y volver a compilar sus aplicaciones para admitir Intune características de directiva de aplicaciones.
Encapsulado mediante la herramienta de ajuste de aplicaciones Intune: algunos clientes compilan aplicaciones Android (. Archivo APK) sin acceso al código fuente. Sin el código fuente, el desarrollador no puede integrarse con el SDK de Intune. Sin el SDK, no pueden habilitar su aplicación para las directivas de APLICACIÓN. El desarrollador debe modificar o volver a codificar la aplicación para admitir directivas de APLICACIÓN.
Para ayudar, Intune incluye la herramienta de App Wrapping Tool para aplicaciones Android (APK) existentes y crea una aplicación que reconoce las directivas de APLICACIÓN.
Para obtener más información sobre esta herramienta, consulte preparación de aplicaciones de línea de negocio para directivas de protección de aplicaciones.
Para ver una lista de aplicaciones habilitadas con APP, consulte Aplicaciones administradas con un amplio conjunto de directivas de protección de aplicaciones móviles.
Escenarios de implementación
En esta sección se describen las características importantes de los escenarios de implementación de perfiles de trabajo de propiedad personal de MAM y Android Enterprise.
MAM
Una implementación de MAM define directivas en aplicaciones, no en dispositivos. Para BYOD, MAM se usa a menudo en dispositivos no inscritos. Para proteger las aplicaciones y el acceso a los datos de la organización, los administradores usan aplicaciones administrables por aplicaciones y aplican directivas de protección de datos a estas aplicaciones.
Esta característica se aplica a:
- Android 4.4 y posterior
Sugerencia
Para obtener más información, consulte ¿Qué son las directivas de protección de aplicaciones?.
Perfiles de trabajo de propiedad personal de Android Enterprise
Los perfiles de trabajo de propiedad personal de Android Enterprise son el escenario principal de implementación de Android Enterprise. El perfil de trabajo de propiedad personal de Android Enterprise es una partición independiente creada en el nivel del sistema operativo Android que se puede administrar mediante Intune.
Un perfil de trabajo de propiedad personal de Android Enterprise incluye las siguientes características:
Funcionalidad mdm tradicional: las funcionalidades clave de MDM, como la administración del ciclo de vida de las aplicaciones mediante Google Play administrado, están disponibles en cualquier escenario de Android Enterprise. Google Play administrado proporciona una experiencia sólida para instalar y actualizar aplicaciones sin intervención del usuario. Ti también puede insertar la configuración de la aplicación en las aplicaciones de la organización. Tampoco requiere que los usuarios finales permitan instalaciones de orígenes desconocidos. Otras actividades de MDM comunes, como la implementación de certificados, la configuración de redes WiFi/VPN y la configuración de códigos de acceso de dispositivo están disponibles con perfiles de trabajo de propiedad personal de Android Enterprise.
DLP en el límite del perfil de trabajo de propiedad personal de Android Enterprise: con un perfil de trabajo de propiedad personal de Android Enterprise, las directivas DLP se aplican en el nivel de perfil de trabajo, no en el nivel de aplicación. Por ejemplo, la protección de copiar y pegar se aplica mediante la configuración de aplicación aplicada a una aplicación o aplicada por el perfil de trabajo. Cuando la aplicación se implementa en un perfil de trabajo, los administradores pueden pausar la protección de copiar y pegar en el perfil de trabajo desactivando esta directiva en el nivel de aplicación.
Sugerencias para optimizar la experiencia del perfil de trabajo
Debe tener en cuenta cómo usar app y varias identidades al trabajar con perfiles de trabajo de propiedad personal de Android Enterprise.
Cuándo usar APP en perfiles de trabajo de propiedad personal de Android Enterprise
Intune APP y los perfiles de trabajo de propiedad personal de Android Enterprise son tecnologías complementarias que se pueden usar juntas o por separado. Arquitectónicamente, ambas soluciones aplican directivas en diferentes capas: APLICACIÓN en la capa de aplicación individual y perfil de trabajo en la capa de perfil. La implementación de aplicaciones administradas con una directiva de APLICACIÓN en una aplicación en un perfil de trabajo es un escenario válido y compatible. Para usar APP, perfiles de trabajo o una combinación depende de los requisitos de DLP.
Los perfiles de trabajo y la aplicación de propiedad personal de Android Enterprise se complementan entre sí proporcionando cobertura adicional si un perfil no cumple los requisitos de protección de datos de su organización. Por ejemplo, los perfiles de trabajo no proporcionan controles de forma nativa para impedir que una aplicación se guarde en una ubicación de almacenamiento en la nube que no es de confianza. LA APLICACIÓN incluye esta característica. Puede decidir que DLP proporcionado únicamente por el perfil de trabajo es suficiente y elegir no usar APP. O bien, puede requerir las protecciones de una combinación de los dos.
Suprimir directiva de aplicación para perfiles de trabajo de propiedad personal de Android Enterprise
Es posible que tenga que admitir usuarios individuales que tengan varios dispositivos: dispositivos no inscritos con aplicaciones administradas mam y dispositivos administrados con perfiles de trabajo de propiedad personal de Android Enterprise.
Por ejemplo, necesita que los usuarios finales escriban un PIN al abrir una aplicación de trabajo. En función del dispositivo, las características del PIN se controlan mediante app o por el perfil de trabajo. En el caso de las aplicaciones administradas de MAM, APP aplica los controles de acceso, incluido el comportamiento de PIN para iniciar. En el caso de los dispositivos inscritos, es posible que el PIN de la aplicación se deshabilite para evitar requerir un PIN de dispositivo y un PIN de aplicación. (Configuración del PIN de la aplicación para Android. En el caso de los dispositivos de perfil de trabajo, puede usar un PIN de perfil de trabajo o dispositivo aplicado por el sistema operativo. Para realizar este escenario, configure las opciones de aplicación para que no se apliquen cuando una aplicación se implemente en un perfil de trabajo. Si no lo configura de esta manera, el dispositivo solicita al usuario final un PIN y, de nuevo, en el nivel de aplicación.
Control del comportamiento de varias identidades en perfiles de trabajo de propiedad personal de Android Enterprise
Las aplicaciones de Office, como Outlook y OneDrive, tienen un comportamiento de "identidad múltiple". En una instancia de la aplicación, el usuario final puede agregar conexiones a varias cuentas distintas o ubicaciones de almacenamiento en la nube. Dentro de la aplicación, los datos recuperados de estas ubicaciones se pueden separar o combinar. Además, el usuario puede cambiar de contexto entre identidades personales (user@outlook.com) e identidades de organización (user@contoso.com).
Al usar perfiles de trabajo de propiedad personal de Android Enterprise, es posible que desee deshabilitar este comportamiento de varias identidades. Al deshabilitarla, las instancias con distintivo de la aplicación en el perfil de trabajo solo se pueden configurar con una identidad de organización. Use la configuración de la aplicación Cuentas permitidas para admitir aplicaciones de Office Android.
Para obtener más información, vea Implementar outlook para iOS/iPadOS y configuración de aplicaciones Android.
Cuándo usar Intune APP
Hay varios escenarios de movilidad empresarial en los que el uso de Intune APP es la mejor recomendación.
Sin MDM, sin inscripción, los servicios de Google no están disponibles
Algunos clientes no quieren ninguna forma de administración de dispositivos, incluida la administración de perfiles de trabajo de propiedad personal de Android Enterprise, por diferentes motivos:
- Motivos legales y de responsabilidad
- Para la coherencia de la experiencia del usuario
- El entorno del dispositivo Android es muy heterogéneo
- No hay conectividad con los servicios de Google, que es necesario para la administración de perfiles de trabajo.
Por ejemplo, los clientes de o que tienen usuarios en China no pueden usar la administración de dispositivos Android, ya que los servicios de Google están bloqueados. En este caso, use Intune APP para DLP.
Resumen
Con Intune, los perfiles de trabajo de propiedad personal de MAM y Android Enterprise están disponibles para el programa BYOD de Android. Puede optar por usar MAM o perfiles de trabajo en función de sus requisitos empresariales y de uso. En resumen, use perfiles de trabajo de propiedad personal de Android Enterprise si necesita actividades de MDM en dispositivos administrados, como la implementación de certificados, la inserción de aplicaciones, etc. Use MAM si desea proteger los datos de la organización dentro de las aplicaciones.
Pasos siguientes
Empiece a usar directivas de protección de aplicaciones o inscriba los dispositivos.