Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Dans de nombreuses organisations, les administrateurs doivent protéger les ressources et les données sur différents appareils. L’un des défis consiste à protéger les ressources pour les utilisateurs disposant d’appareils Android Entreprise personnels, également appelés BYOD (bring-your-own-device). Microsoft Intune prend en charge deux scénarios de déploiement Android pour byOD (bring-your-own-device) :
- Gestion des applications mobiles (MAM)
- Profils professionnels Android Enterprise appartenant à l’utilisateur
Les scénarios de déploiement de profils professionnels Android Enterprise appartenant à l’utilisateur incluent les fonctionnalités clés suivantes importantes pour les environnements BYOD :
Protection et séparation des données gérées par organization : les deux solutions protègent les données organization en appliquant des contrôles de protection contre la perte de données (DLP) sur les données gérées par organization. Ces protections empêchent les fuites accidentelles de données protégées, telles qu’un utilisateur final les partageant accidentellement avec une application ou un compte personnel. Ils permettent également de s’assurer qu’un appareil accédant aux données est sain et non compromis.
Confidentialité des utilisateurs finaux : la gestion des applications mobiles sépare le contenu des utilisateurs finaux et des organization dans les applications managées et les profils professionnels Android Enterprise appartenant à l’utilisateur séparent le contenu des utilisateurs finaux sur l’appareil et les données gérées par l’administrateur de gestion des appareils mobiles (GPM). Dans les deux scénarios, les administrateurs informatiques appliquent des stratégies, telles que l’authentification par code confidentiel uniquement sur les identités ou applications gérées par organization. Les administrateurs informatiques ne peuvent pas lire, accéder ou effacer les données détenues ou contrôlées par les utilisateurs finaux.
Que vous choisissiez des profils professionnels MAM ou Android Enterprise appartenant à l’utilisateur pour votre déploiement BYOD dépend de vos besoins et de vos besoins professionnels. L’objectif de cet article est de fournir des conseils pour vous aider à décider. Pour plus d’informations sur les appareils Android gérés, consultez Gérer les appareils Android avec profil professionnel appartenant à l’utilisateur/appartenant à l’entreprise avec Intune.
À propos des stratégies de protection des applications Intune
Les stratégies de protection des applications Intune sont des stratégies de protection des données destinées aux utilisateurs. Les stratégies appliquent la protection contre la perte de données au niveau de l’application. Les stratégies de protection des applications Intune exigent que les développeurs d’applications activent les fonctionnalités des stratégies de protection des applications sur les applications qu’ils créent.
Les applications Android individuelles sont activées pour l’application de plusieurs façons :
Intégré en mode natif aux applications internes Microsoft : les applications Microsoft 365 (Office) pour Android et une sélection d’autres applications Microsoft sont fournies avec l’application Intune intégrée. Ces applications Microsoft 365, telles que Word, OneDrive, Outlook, etc., n’ont plus besoin de personnalisation pour appliquer des stratégies. Ces applications peuvent être installées par les utilisateurs finaux directement à partir de Google Play Store.
Intégré aux builds d’applications par les développeurs à l’aide du SDK Intune : les développeurs d’applications peuvent intégrer le SDK Intune dans leur code source et recompiler leurs applications pour prendre en charge les fonctionnalités des stratégies de protection des applications Intune.
Encapsulé à l’aide de l’outil de création de package de restrictions d’application Intune : certains clients compilent des applications Android (. Fichier APK) sans accès au code source. Sans le code source, le développeur ne peut pas s’intégrer au Kit de développement logiciel (SDK) Intune. Sans le SDK, ils ne peuvent pas activer leur application pour les stratégies de protection des applications. Le développeur doit modifier ou recoder l’application pour prendre en charge les stratégies de protection des applications.
Pour vous aider, Intune inclut l’outil App Wrapping Tool pour les applications Android existantes et crée une application qui reconnaît les stratégies de protection des applications.
Pour plus d’informations sur cet outil, consultez Préparer des applications métier pour les stratégies de protection des applications.
Pour afficher la liste des applications activées avec APP, consultez Applications gérées avec un ensemble complet de stratégies de protection des applications mobiles.
Scénarios de déploiement
Cette section décrit les caractéristiques importantes des scénarios de déploiement de profils professionnels mobiles et Android Enterprise appartenant à l’utilisateur.
Gestion des applications mobiles
Un déploiement GAM définit des stratégies sur les applications, et non sur les appareils. Pour BYOD, la gestion des applications mobiles est souvent utilisée sur les appareils non inscrits. Pour protéger les applications et l’accès aux données de l’organisation, les administrateurs utilisent des applications gérables par les applications et appliquent des stratégies de protection des données à ces applications.
Cette fonctionnalité s’applique à :
- Android 4.4 et versions ultérieures
Conseil
Pour plus d’informations, consultez Que sont les stratégies de protection des applications ?.
Profils professionnels Android Enterprise appartenant à l’utilisateur
Les profils professionnels Android Enterprise appartenant à l’utilisateur sont le scénario principal de déploiement Android Enterprise. Le profil professionnel Android Enterprise appartenant à l’utilisateur est une partition distincte créée au niveau du système d’exploitation Android qui peut être gérée par Intune.
Un profil professionnel Android Enterprise appartenant à l’utilisateur inclut les fonctionnalités suivantes :
Fonctionnalités GPM traditionnelles : les fonctionnalités GPM clés, telles que la gestion du cycle de vie des applications à l’aide de Google Play managé, sont disponibles dans n’importe quel scénario Android Entreprise. Google Play géré offre une expérience robuste pour installer et mettre à jour des applications sans intervention de l’utilisateur. Le service informatique peut également envoyer (push) les paramètres de configuration d’application aux applications de l’organisation. Il n’exige pas non plus que les utilisateurs finaux autorisent les installations à partir de sources inconnues. D’autres activités GPM courantes, telles que le déploiement de certificats, la configuration wi-fi/VPN et la définition de codes secrets d’appareil, sont disponibles avec les profils professionnels Android Enterprise appartenant à l’utilisateur.
DLP sur la limite du profil professionnel Android Enterprise appartenant à l’utilisateur : avec un profil professionnel Android Enterprise appartenant à l’utilisateur, les stratégies DLP sont appliquées au niveau du profil professionnel, et non au niveau de l’application. Par exemple, la protection contre le copier/coller est appliquée par les paramètres de stratégies de protection des applications appliqués à une application ou par le profil professionnel. Lorsque l’application est déployée dans un profil professionnel, les administrateurs peuvent suspendre la protection contre le copier/coller dans le profil professionnel en désactivant cette stratégie au niveau des stratégies de protection des applications.
Conseils pour optimiser l’expérience de profil professionnel
Vous devez réfléchir à l’utilisation des stratégies de protection des applications et des identités multiples lorsque vous utilisez des profils professionnels Android Enterprise appartenant à l’utilisateur.
Quand utiliser des stratégies de protection des applications dans les profils professionnels Android Entreprise appartenant à l’utilisateur
Les stratégies de protection des applications Intune et les profils professionnels Android Entreprise appartenant à l’utilisateur sont des technologies complémentaires qui peuvent être utilisées ensemble ou séparément. Sur le plan architectural, les deux solutions appliquent des stratégies à différentes couches : stratégies de protection des applications au niveau de la couche d’application individuelle et profil de travail au niveau de la couche de profil. Le déploiement d’applications gérées avec des stratégies de protection des applications sur une application dans un profil professionnel est un scénario valide et pris en charge. L’utilisation de stratégies de protection des applications, de profils professionnels ou d’une combinaison dépend de vos exigences DLP.
Les stratégies de protection des applications et profils professionnels Android Entreprise appartenant à l’utilisateur complètent les paramètres des autres en fournissant une couverture supplémentaire si un profil ne répond pas aux exigences de protection des données de votre organization. Par exemple, les profils professionnels ne fournissent pas de contrôles en mode natif pour empêcher une application d’enregistrer dans un emplacement de stockage cloud non approuvé. Protection d'applications stratégies incluent cette fonctionnalité. Vous pouvez décider que la protection contre la perte de données fournie uniquement par le profil professionnel est suffisante et choisir de ne pas utiliser les stratégies de protection des applications. Vous pouvez également exiger les protections d’une combinaison des deux.
Supprimer les stratégies de protection des applications pour les profils professionnels Android Entreprise appartenant à l’utilisateur
Vous devrez peut-être prendre en charge des utilisateurs individuels qui ont plusieurs appareils : des appareils non inscrits avec des applications managées GAM et des appareils gérés avec des profils professionnels Android Enterprise appartenant à l’utilisateur.
Par exemple, vous demandez aux utilisateurs finaux d’entrer un code confidentiel lors de l’ouverture d’une application professionnelle. Selon l’appareil, les fonctionnalités de code confidentiel sont gérées par les stratégies de protection des applications ou par le profil professionnel. Pour les applications gérées par gam, les contrôles d’accès, y compris le comportement du code confidentiel au lancement, sont appliqués par les stratégies de protection des applications. Pour les appareils inscrits, le code confidentiel des stratégies de protection des applications peut être désactivé pour éviter d’exiger à la fois un code confidentiel d’appareil et un code confidentiel des stratégies de protection des applications. (Protection d'applications paramètre de code confidentiel des stratégies pour Android. Pour les appareils avec profil professionnel, vous pouvez utiliser un code confidentiel d’appareil ou de profil professionnel appliqué par le système d’exploitation. Pour ce scénario, configurez les paramètres des stratégies de protection des applications afin qu’elles ne s’appliquent pas lorsqu’une application est déployée dans un profil professionnel. Si vous ne le configurez pas de cette façon, l’utilisateur final est invité à entrer un code confidentiel par l’appareil, puis à nouveau au niveau de la couche stratégies de protection des applications.
Contrôler le comportement multi-identité dans les profils professionnels Android Enterprise appartenant à l’utilisateur
Les applications Office, telles qu’Outlook et OneDrive, ont un comportement « multi-identité ». Au sein d’une instance de l’application, l’utilisateur final peut ajouter des connexions à plusieurs comptes distincts ou emplacements de stockage cloud. Dans l’application, les données récupérées à partir de ces emplacements peuvent être séparées ou fusionnées. De plus, l’utilisateur peut basculer entre les identités personnelles (user@outlook.com) et les identités organization (user@contoso.com).
Lorsque vous utilisez des profils professionnels Android Entreprise appartenant à l’utilisateur, vous souhaiterez peut-être désactiver ce comportement à identités multiples. Lorsque vous le désactivez, les instances avec badge de l’application dans le profil professionnel ne peuvent être configurées qu’avec une identité organization. Utilisez le paramètre de configuration de l’application Comptes autorisés pour prendre en charge les applications Office Android.
Pour plus d’informations, consultez Déployer outlook pour les paramètres de configuration des applications iOS/iPadOS et Android.
Quand utiliser l’application Intune
Il existe plusieurs scénarios de mobilité d’entreprise où l’utilisation de l’application Intune est la meilleure recommandation.
Aucun GPM, aucune inscription, les services Google ne sont pas disponibles
Certains clients ne souhaitent aucune forme de gestion des appareils, y compris la gestion des profils professionnels Android Enterprise appartenant à l’utilisateur, pour différentes raisons :
- Raisons juridiques et de responsabilité
- Pour la cohérence de l’expérience utilisateur
- L’environnement de l’appareil Android est très hétérogène
- Il n’existe aucune connectivité aux services Google, ce qui est nécessaire pour la gestion des profils professionnels.
Par exemple, les clients dans ou ont des utilisateurs en Chine ne peuvent pas utiliser la gestion des appareils Android, car les services Google sont bloqués. Dans ce cas, utilisez l’application Intune pour DLP.
Résumé
À l’aide d’Intune, les profils professionnels MAM et Android Enterprise appartenant à l’utilisateur sont disponibles pour votre programme Android BYOD. Vous pouvez choisir d’utiliser des profils GAM et/ou professionnels en fonction de vos besoins métier et d’utilisation. En résumé, utilisez des profils professionnels Android Enterprise appartenant à l’utilisateur si vous avez besoin d’activités MDM sur des appareils gérés, telles que le déploiement de certificats, l’envoi d’applications, etc. Utilisez mam si vous souhaitez protéger les données d’organisation au sein des applications.
Étapes suivantes
Commencez à utiliser des stratégies de protection desapplications ou inscrivez vos appareils.