Mobilalkalmazás-kezelés és személyes tulajdonú munkahelyi profilok Android Enterprise-eszközökön a Intune
Számos szervezetben a rendszergazdáknak kihívást jelent az erőforrások és az adatok védelme a különböző eszközökön. Az egyik kihívás az erőforrások védelme a személyes Android Enterprise-eszközökkel, más néven saját eszközökkel (BYOD) rendelkező felhasználók számára. Microsoft Intune két androidos üzembehelyezési forgatókönyvet támogat a saját eszközök használata (BYOD) esetében:
A MAM és az Android Enterprise személyes tulajdonú munkahelyi profilok üzembehelyezési forgatókönyvei a következő fontos funkciókat tartalmazzák a BYOD-környezetekhez:
A szervezet által felügyelt adatok védelme és elkülönítése: Mindkét megoldás védi a szervezeti adatokat azáltal, hogy adatveszteség-megelőzési (DLP) vezérlőket kényszerít ki a szervezet által felügyelt adatokra. Ezek a védelem megakadályozza a védett adatok véletlen kiszivárgását, például ha egy végfelhasználó véletlenül megosztja őket egy személyes alkalmazással vagy fiókkal. Emellett arra is szolgálnak, hogy az adatokhoz hozzáférő eszközök kifogástalan állapotban legyenek, és ne sérüljenek.
Végfelhasználók adatainak védelme: A MAM elkülöníti a végfelhasználói és szervezeti tartalmakat a felügyelt alkalmazásokban, az Android Enterprise személyes tulajdonú munkahelyi profiljai pedig elkülönítik az eszközön található végfelhasználói tartalmakat, valamint a mobileszköz-felügyeleti (MDM) rendszergazda által kezelt adatokat. Mindkét esetben a rendszergazdák házirendeket kényszerítenek ki, például a csak PIN-kóddal történő hitelesítést a szervezet által felügyelt alkalmazásokon vagy identitásokon. A rendszergazdák nem tudják olvasni, elérni vagy törölni a végfelhasználók tulajdonában lévő vagy általuk felügyelt adatokat.
Attól függ, hogy a saját tulajdonú MAM vagy az Android Enterprise munkahelyi profilokat választja-e a BYOD-környezethez, az a követelményektől és az üzleti igényektől függ. A cikk célja, hogy útmutatást nyújtson a döntéshez. A felügyelt Android-eszközökkel kapcsolatos további információkért lásd: Személyes tulajdonú androidos/vállalati tulajdonú munkahelyi profilos eszközök kezelése Intune.
Tudnivalók Intune alkalmazásvédelmi szabályzatokról
Intune alkalmazásvédelmi szabályzatok (APP) a felhasználókra vonatkozó adatvédelmi szabályzatok. A szabályzatok alkalmazásszinten alkalmazzák az adatveszteség-védelmet. Intune APP használatához az alkalmazásfejlesztőknek engedélyezniük kell az alkalmazásfunkciókat az általuk létrehozott alkalmazásokban.
Az egyes Android-alkalmazások többféleképpen engedélyezve vannak az APP-hoz:
A Belső Microsoft-alkalmazásokba natív módon integrálva: Az Androidhoz készült Microsoft 365 (Office) alkalmazások és számos más Microsoft-alkalmazás beépített Intune appot is kínál. Ezekhez az Office-alkalmazásokhoz, például a Word, a OneDrive-hoz, az Outlookhoz stb. nincs szükség további testreszabásra a szabályzatok alkalmazásához. Ezeket az alkalmazásokat a végfelhasználók közvetlenül a Google Play Áruházból telepíthetik.
A Intune SDK-t használó fejlesztők alkalmazás-buildjeibe integrálva: Az alkalmazásfejlesztők integrálhatják a Intune SDK-t a forráskódjukba, és újrafordíthetik az alkalmazásaikat, hogy támogassák Intune APP policy funkcióit.
Az Intune alkalmazásburkoló eszköz használatával burkolva: Egyes ügyfelek Android-alkalmazásokat fordítanak le (. APK-fájl) a forráskód elérése nélkül. A forráskód nélkül a fejlesztő nem integrálható a Intune SDK-val. Az SDK nélkül nem tudják engedélyezni az alkalmazásukat az alkalmazásszabályzatokhoz. A fejlesztőnek módosítania vagy újra kell kódolnia az alkalmazást az alkalmazásszabályzatok támogatásához.
Ennek érdekében Intune tartalmazza a meglévő Android-alkalmazások (APK-k) App Wrapping Tool eszközét, és létrehoz egy alkalmazást, amely felismeri az alkalmazásszabályzatokat.
Az eszközzel kapcsolatos további információkért lásd: Üzletági alkalmazások előkészítése alkalmazásvédelmi szabályzatokhoz.
Az APP-ban engedélyezett alkalmazások listájának megtekintéséhez tekintse meg a mobilalkalmazás-védelmi szabályzatok gazdag készletével rendelkező felügyelt alkalmazások listáját.
Telepítési forgatókönyvek
Ez a szakasz a mam és az Android Enterprise személyes tulajdonú munkahelyi profilok üzembehelyezési forgatókönyveinek fontos jellemzőit ismerteti.
MAM
A MAM üzemelő példánya nem az eszközökön, hanem az alkalmazásokon definiál szabályzatokat. A BYOD esetében a MAM-t gyakran nem regisztrált eszközökön használják. Az alkalmazások védelme és a szervezeti adatokhoz való hozzáférés érdekében a rendszergazdák alkalmazás által kezelhető alkalmazásokat használnak, és adatvédelmi szabályzatokat alkalmaznak ezekre az alkalmazásokra.
Ez a funkció az alábbiakra vonatkozik:
- Android 4.4 és újabb verziók
Tipp
További információ: Mik azok az alkalmazásvédelmi szabályzatok?
Android Enterprise személyes tulajdonú munkahelyi profilok
Az Android Enterprise személyes tulajdonú munkahelyi profiljai az Android Enterprise központi telepítési forgatókönyvei. Az Android Enterprise személyes tulajdonú munkahelyi profilja egy különálló partíció, amelyet az Android operációs rendszer szintjén hoztak létre, amelyet a Intune felügyelhet.
Az Android Enterprise személyes tulajdonú munkahelyi profilja a következő funkciókat tartalmazza:
Hagyományos MDM-funkciók: A fő MDM-képességek, például az alkalmazások életciklusának felügyelt Google Play-beli kezelése, bármely Android Enterprise-forgatókönyvben elérhetők. A felügyelt Google Play robusztus felületet biztosít az alkalmazások felhasználói beavatkozás nélküli telepítéséhez és frissítéséhez. Az informatikai rendszer az alkalmazáskonfigurációs beállításokat is leküldheti a szervezeti alkalmazásoknak. Emellett nem követeli meg a végfelhasználóktól az ismeretlen forrásokból származó telepítések engedélyezését. Egyéb gyakori MDM-tevékenységek, például tanúsítványok üzembe helyezése, Wi-Fi-/VPN-ek konfigurálása és az eszköz PIN-kódjának beállítása elérhető az Android Enterprise személyes tulajdonú munkahelyi profiljaival.
DLP az Android Enterprise személyes tulajdonú munkahelyi profiljának határán: Az Android Enterprise személyes tulajdonú munkahelyi profilja esetén a DLP-szabályzatokat a munkahelyi profil szintjén kényszeríti ki a rendszer, nem az alkalmazás szintjén. A másolási/beillesztési védelmet például az alkalmazásra alkalmazott alkalmazásbeállítások vagy a munkahelyi profil kényszeríti. Amikor az alkalmazást egy munkahelyi profilba helyezik üzembe, a rendszergazdák szüneteltethetik a munkahelyi profilra történő másolás/beillesztés védelmét, ha kikapcsolják ezt a szabályzatot az ALKALMAZÁS szintjén.
Tippek a munkahelyi profil élményének optimalizálásához
Az Android Enterprise személyes tulajdonú munkahelyi profiljaival végzett munka során érdemes megfontolni az APP és a többszörös identitás használatát.
Mikor érdemes az APP-t használni az Android Enterprise személyes tulajdonú munkahelyi profiljaiban?
Intune APP és Android Enterprise személyes tulajdonú munkahelyi profilok egymást kiegészítő technológiák, amelyek együtt vagy külön is használhatók. Architektúra szempontjából mindkét megoldás különböző rétegeken kényszeríti a szabályzatokat – az alkalmazás az egyes alkalmazásrétegben, a munkahelyi profil pedig a profilrétegben. Érvényes és támogatott forgatókönyv, ha alkalmazásszabályzattal felügyelt alkalmazásokat helyez üzembe egy munkahelyi profilban lévő alkalmazásra. Az ALKALMAZÁS, munkahelyi profilok vagy kombinációk használata a DLP-követelményektől függ.
Az Android Enterprise személyes tulajdonú Munkahelyi profilok és appok kiegészítik egymás beállításait azáltal, hogy további lefedettséget biztosítanak, ha az egyik profil nem felel meg a szervezet adatvédelmi követelményeinek. A munkahelyi profilok például nem biztosítanak natív módon olyan vezérlőket, amelyek korlátozzák az alkalmazások nem megbízható felhőbeli tárhelyre való mentését. Az APP tartalmazza ezt a funkciót. Dönthet úgy, hogy a kizárólag a munkahelyi profil által biztosított DLP elegendő, és dönthet úgy, hogy nem használja az APP-t. Vagy megkövetelheti a kettő kombinációjától származó védelmet.
Alkalmazásszabályzat letiltása személyes tulajdonú Munkahelyi Android Enterprise-profilokhoz
Előfordulhat, hogy támogatnia kell azokat a felhasználókat, akik több eszközzel rendelkeznek – a MAM által felügyelt alkalmazásokkal és a felügyelt eszközökkel rendelkező, személyes tulajdonú munkahelyi profilokkal rendelkező, regisztráció nélküli felhasználókat.
Munkahelyi alkalmazás megnyitásakor például a végfelhasználóknak PIN-kódot kell megadniuk. Az eszköztől függően a PIN-kódot az APP vagy a munkahelyi profil kezeli. A MAM által felügyelt alkalmazások esetében a hozzáférés-vezérlést, beleértve a PIN-kód indításhoz viselkedését is, az APP kényszeríti. A regisztrált eszközök esetében előfordulhat, hogy az alkalmazás PIN-kódja le van tiltva, hogy ne kelljen az eszköz PIN-kódját és az ALKALMAZÁS PIN-kódját is megkövetelni. (ALKALMAZÁS PIN-kódja beállítás Androidhoz. Munkahelyi profilos eszközök esetén használhatja az operációs rendszer által kényszerített eszköz- vagy munkahelyiprofil-PIN-kódot. A forgatókönyv végrehajtásához konfigurálja az ALKALMAZÁSbeállításokat úgy, hogy azok ne legyenek érvényesek , amikor egy alkalmazás üzembe van helyezve egy munkahelyi profilban. Ha nem így konfigurálja, a végfelhasználótól PIN-kódot kér az eszköz, majd ismét az APP rétegben.
A többszörös identitás viselkedésének szabályozása az Android Enterprise személyes tulajdonú munkahelyi profiljaiban
Az Office-alkalmazások, például az Outlook és a OneDrive "többszörös identitással" rendelkeznek. Az alkalmazás egy példányán belül a végfelhasználó több különböző fiókhoz vagy felhőtárhelyhez is hozzáadhat kapcsolatokat. Az alkalmazáson belül az ezekről a helyekről lekért adatok elkülöníthetők vagy egyesíthetők. A felhasználó kontextusváltást is képes végrehajtani a személyes identitások (user@outlook.com) és a szervezeti identitások (user@contoso.com) között.
Az Android Enterprise személyes tulajdonú munkahelyi profilok használatakor érdemes lehet letiltani ezt a többszörös identitást. Ha letiltja, a munkahelyi profilban lévő alkalmazás jelvényes példányai csak szervezeti identitással konfigurálhatók. Használja az Engedélyezett fiókok alkalmazáskonfigurációs beállítást az Office Android-alkalmazások támogatásához.
További információ: Az iOS/iPadOS Outlook és az Android alkalmazáskonfigurációs beállításainak telepítése.
Mikor érdemes Intune APP-t használni?
Számos nagyvállalati mobilitási forgatókönyv létezik, ahol az Intune APP használata a legjobb javaslat.
Nincs MDM, nincs regisztráció, a Google-szolgáltatások nem érhetők el
Egyes ügyfelek különböző okokból nem szeretnének semmilyen eszközfelügyeletet, beleértve az Android Enterprise személyes tulajdonú munkahelyi profilok kezelését:
- Jogi és felelősségi okok
- A felhasználói élmény konzisztenciájához
- Az Android-eszközkörnyezet rendkívül heterogén
- Nincs kapcsolat a Google-szolgáltatásokkal, ami a munkahelyi profilok kezeléséhez szükséges.
Például a kínai ügyfelek nem használhatják az Android-eszközfelügyeletet, mert a Google-szolgáltatások le vannak tiltva. Ebben az esetben használja Intune DLP-hez készült APP-t.
Összefoglalás
A Intune használatával a MAM és az Android Enterprise személyes tulajdonú munkahelyi profiljai is elérhetők androidos BYOD-programjához. A MAM- és/vagy munkahelyi profilokat az üzleti és használati igényeitől függően használhatja. Összefoglalva, akkor használja az Android Enterprise személyes tulajdonú munkahelyi profiljait, ha MDM-tevékenységekre van szüksége a felügyelt eszközökön, például a tanúsítványok üzembe helyezésén, az alkalmazások leküldésén stb. A MAM-et akkor használja, ha a szervezeti adatokat az alkalmazásokon belül szeretné védeni.
Következő lépések
Kezdje el használni az alkalmazásvédelmi szabályzatokat, vagy regisztrálja az eszközöket.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: