Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Számos szervezetben a rendszergazdáknak kihívást jelent az erőforrások és az adatok védelme a különböző eszközökön. Az egyik kihívás az erőforrások védelme a személyes Android Enterprise-eszközökkel, más néven saját eszközökkel (BYOD) rendelkező felhasználók számára. Microsoft Intune két androidos üzembehelyezési forgatókönyvet támogat a saját eszközök használata (BYOD) esetében:
A MAM és az Android Enterprise személyes tulajdonú munkahelyi profilok üzembehelyezési forgatókönyvei a következő fontos funkciókat tartalmazzák a BYOD-környezetekhez:
A szervezet által felügyelt adatok védelme és elkülönítése: Mindkét megoldás védi a szervezeti adatokat azáltal, hogy adatveszteség-megelőzési (DLP) vezérlőket kényszerít ki a szervezet által felügyelt adatokra. Ezek a védelem megakadályozza a védett adatok véletlen kiszivárgását, például ha egy végfelhasználó véletlenül megosztja őket egy személyes alkalmazással vagy fiókkal. Emellett arra is szolgálnak, hogy az adatokhoz hozzáférő eszközök kifogástalan állapotban legyenek, és ne sérüljenek.
Végfelhasználók adatainak védelme: A MAM elkülöníti a végfelhasználói és szervezeti tartalmakat a felügyelt alkalmazásokban, az Android Enterprise személyes tulajdonú munkahelyi profiljai pedig elkülönítik az eszközön található végfelhasználói tartalmakat, valamint a mobileszköz-felügyeleti (MDM) rendszergazda által kezelt adatokat. Mindkét esetben a rendszergazdák házirendeket kényszerítenek ki, például a csak PIN-kóddal történő hitelesítést a szervezet által felügyelt alkalmazásokon vagy identitásokon. A rendszergazdák nem tudják olvasni, elérni vagy törölni a végfelhasználók tulajdonában lévő vagy általuk felügyelt adatokat.
Attól függ, hogy a saját tulajdonú MAM vagy az Android Enterprise munkahelyi profilokat választja-e a BYOD-környezethez, az a követelményektől és az üzleti igényektől függ. A cikk célja, hogy útmutatást nyújtson a döntéshez. A felügyelt Android-eszközökkel kapcsolatos további információkért lásd: Személyes tulajdonú androidos/vállalati tulajdonú munkahelyi profilos eszközök kezelése Intune.
Tudnivalók Intune alkalmazásvédelmi szabályzatokról
Intune alkalmazásvédelmi szabályzatok a felhasználókra vonatkozó adatvédelmi szabályzatok. A szabályzatok alkalmazásszinten alkalmazzák az adatveszteség-védelmet. Intune alkalmazásvédelmi szabályzatok megkövetelik, hogy az alkalmazásfejlesztők engedélyezhessék az alkalmazásvédelmi szabályzatok funkcióit az általuk létrehozott alkalmazásokon.
Az egyes Android-alkalmazások többféleképpen engedélyezve vannak az APP-hoz:
A Belső Microsoft-alkalmazásokba natív módon integrálva: Az Androidhoz készült Microsoft 365 (Office) alkalmazások és számos más Microsoft-alkalmazás beépített Intune appot is kínál. Ezekhez a Microsoft 365-alkalmazásokhoz, például a Word, a OneDrive-hoz, az Outlookhoz stb. nincs szükség további testreszabásra a szabályzatok alkalmazásához. Ezeket az alkalmazásokat a végfelhasználók közvetlenül a Google Play Áruházból telepíthetik.
Az Intune SDK-t használó fejlesztők által létrehozott alkalmazásokba integrálva: Az alkalmazásfejlesztők integrálhatják a Intune SDK-t a forráskódjukba, és újrafordíthetik az alkalmazásaikat Intune alkalmazásvédelmi szabályzatok funkcióinak támogatásához.
Az Intune alkalmazásburkoló eszköz használatával burkolva: Egyes ügyfelek Android-alkalmazásokat fordítanak le (. APK-fájl) a forráskód elérése nélkül. A forráskód nélkül a fejlesztő nem integrálható a Intune SDK-val. Az SDK nélkül nem tudják engedélyezni az alkalmazásukat az alkalmazásvédelmi szabályzatokhoz. A fejlesztőnek módosítania vagy újra kell kódolnia az alkalmazást az alkalmazásvédelmi szabályzatok támogatásához.
Ennek érdekében Intune tartalmazza a meglévő Android-alkalmazások (APK-k) App Wrapping Tool eszközét, és létrehoz egy alkalmazást, amely felismeri az alkalmazásvédelmi szabályzatokat.
Az eszközzel kapcsolatos további információkért lásd: Üzletági alkalmazások előkészítése alkalmazásvédelmi szabályzatokhoz.
Az APP-ban engedélyezett alkalmazások listájának megtekintéséhez tekintse meg a mobilalkalmazás-védelmi szabályzatok gazdag készletével rendelkező felügyelt alkalmazások listáját.
Telepítési forgatókönyvek
Ez a szakasz a mam és az Android Enterprise személyes tulajdonú munkahelyi profilok üzembehelyezési forgatókönyveinek fontos jellemzőit ismerteti.
MAM
A MAM üzemelő példánya nem az eszközökön, hanem az alkalmazásokon definiál szabályzatokat. A BYOD esetében a MAM-t gyakran nem regisztrált eszközökön használják. Az alkalmazások védelme és a szervezeti adatokhoz való hozzáférés érdekében a rendszergazdák alkalmazás által kezelhető alkalmazásokat használnak, és adatvédelmi szabályzatokat alkalmaznak ezekre az alkalmazásokra.
Ez a funkció az alábbiakra vonatkozik:
- Android 4.4 és újabb verziók
Tipp
További információ: Mik azok az alkalmazásvédelmi szabályzatok?
Android Enterprise személyes tulajdonú munkahelyi profilok
Az Android Enterprise személyes tulajdonú munkahelyi profiljai az Android Enterprise központi telepítési forgatókönyvei. Az Android Enterprise személyes tulajdonú munkahelyi profilja egy különálló partíció, amelyet az Android operációs rendszer szintjén hoztak létre, amelyet a Intune felügyelhet.
Az Android Enterprise személyes tulajdonú munkahelyi profilja a következő funkciókat tartalmazza:
Hagyományos MDM-funkciók: A fő MDM-képességek, például az alkalmazások életciklusának felügyelt Google Play-beli kezelése, bármely Android Enterprise-forgatókönyvben elérhetők. A felügyelt Google Play robusztus felületet biztosít az alkalmazások felhasználói beavatkozás nélküli telepítéséhez és frissítéséhez. Az informatikai rendszer az alkalmazáskonfigurációs beállításokat is leküldheti a szervezeti alkalmazásoknak. Emellett nem követeli meg a végfelhasználóktól az ismeretlen forrásokból származó telepítések engedélyezését. Egyéb gyakori MDM-tevékenységek, például tanúsítványok üzembe helyezése, Wi-Fi-/VPN-ek konfigurálása és az eszköz PIN-kódjának beállítása elérhető az Android Enterprise személyes tulajdonú munkahelyi profiljaival.
DLP az Android Enterprise személyes tulajdonú munkahelyi profiljának határán: Az Android Enterprise személyes tulajdonú munkahelyi profilja esetén a DLP-szabályzatokat a munkahelyi profil szintjén kényszeríti ki a rendszer, nem az alkalmazás szintjén. A másolási/beillesztési védelmet például az alkalmazásra alkalmazott alkalmazásvédelmi szabályzatok beállításai, vagy a munkahelyi profil kényszeríti. Amikor az alkalmazást egy munkahelyi profilba helyezik üzembe, a rendszergazdák szüneteltethetik a munkahelyi profilba történő másolást/beillesztést, ha kikapcsolják ezt a szabályzatot az alkalmazásvédelmi szabályzatok szintjén.
Tippek a munkahelyi profil élményének optimalizálásához
Érdemes megfontolni az alkalmazásvédelmi szabályzatok és a többszörös identitás használatát az Android Enterprise személyes tulajdonú munkahelyi profiljainak használatakor.
Mikor érdemes alkalmazásvédelmi szabályzatokat használni az Android Enterprise személyes tulajdonú munkahelyi profiljaiban?
Intune alkalmazásvédelmi szabályzatok és az Android Enterprise személyes tulajdonú munkahelyi profiljai olyan kiegészítő technológiák, amelyek együtt vagy külön is használhatók. Architekturális szempontból mindkét megoldás különböző rétegeken kényszeríti a szabályzatokat – az alkalmazásvédelmi szabályzatokat az egyes alkalmazásrétegben, és a munkahelyi profilt a profilrétegben. Érvényes és támogatott forgatókönyv, ha alkalmazásvédelmi szabályzatokkal felügyelt alkalmazásokat helyez üzembe egy munkahelyi profilban lévő alkalmazásra. Az alkalmazásvédelmi szabályzatok, munkahelyi profilok vagy kombinációk használata a DLP-követelményektől függ.
Az Android Enterprise személyes tulajdonú munkahelyi profiljai és alkalmazásvédelmi szabályzatai kiegészítik egymás beállításait azáltal, hogy további lefedettséget biztosítanak, ha az egyik profil nem felel meg a szervezet adatvédelmi követelményeinek. A munkahelyi profilok például nem biztosítanak natív módon olyan vezérlőket, amelyek korlátozzák az alkalmazások nem megbízható felhőbeli tárhelyre való mentését. Alkalmazásvédelem szabályzatok tartalmazzák ezt a funkciót. Dönthet úgy, hogy a kizárólag a munkahelyi profil által biztosított DLP elegendő, és dönthet úgy, hogy nem használ alkalmazásvédelmi szabályzatokat. Vagy megkövetelheti a kettő kombinációjától származó védelmet.
Alkalmazásvédelmi szabályzatok letiltása az Android Enterprise személyes tulajdonú munkahelyi profiljaihoz
Előfordulhat, hogy támogatnia kell azokat a felhasználókat, akik több eszközzel rendelkeznek – a MAM által felügyelt alkalmazásokkal és a felügyelt eszközökkel rendelkező, személyes tulajdonú munkahelyi profilokkal rendelkező, regisztráció nélküli felhasználókat.
Munkahelyi alkalmazás megnyitásakor például a végfelhasználóknak PIN-kódot kell megadniuk. Az eszköztől függően a PIN-kódot az alkalmazásvédelmi szabályzatok vagy a munkahelyi profil kezeli. A MAM által felügyelt alkalmazások esetében a hozzáférés-vezérlést, beleértve a PIN-kód indításhoz viselkedését, alkalmazásvédelmi szabályzatok kényszerítik ki. A regisztrált eszközök esetében előfordulhat, hogy az alkalmazásvédelmi szabályzatOK PIN-kódja le van tiltva, hogy ne kelljen az eszköz PIN-kódját és az alkalmazásvédelmi szabályzatok PIN-kódját is megkövetelni. (Alkalmazásvédelem szabályzatOK PIN-beállítása Androidon. Munkahelyi profilos eszközök esetén használhatja az operációs rendszer által kényszerített eszköz- vagy munkahelyiprofil-PIN-kódot. A forgatókönyv végrehajtásához konfigurálja az alkalmazásvédelmi szabályzatok beállításait úgy, hogy azok ne legyenek érvényesek , amikor egy alkalmazás üzembe van helyezve egy munkahelyi profilban. Ha nem így konfigurálja, a végfelhasználótól PIN-kódot kér az eszköz, majd ismét az alkalmazásvédelmi szabályzatok rétegében.
A többszörös identitás viselkedésének szabályozása az Android Enterprise személyes tulajdonú munkahelyi profiljaiban
Az Office-alkalmazások, például az Outlook és a OneDrive "többszörös identitással" rendelkeznek. Az alkalmazás egy példányán belül a végfelhasználó több különböző fiókhoz vagy felhőtárhelyhez is hozzáadhat kapcsolatokat. Az alkalmazáson belül az ezekről a helyekről lekért adatok elkülöníthetők vagy egyesíthetők. A felhasználó kontextusváltást is képes végrehajtani a személyes identitások (user@outlook.com) és a szervezeti identitások (user@contoso.com) között.
Az Android Enterprise személyes tulajdonú munkahelyi profilok használatakor érdemes lehet letiltani ezt a többszörös identitást. Ha letiltja, a munkahelyi profilban lévő alkalmazás jelvényes példányai csak szervezeti identitással konfigurálhatók. Használja az Engedélyezett fiókok alkalmazáskonfigurációs beállítást az Office Android-alkalmazások támogatásához.
További információ: Az iOS/iPadOS Outlook és az Android alkalmazáskonfigurációs beállításainak telepítése.
Mikor érdemes Intune APP-t használni?
Számos nagyvállalati mobilitási forgatókönyv létezik, ahol az Intune APP használata a legjobb javaslat.
Nincs MDM, nincs regisztráció, a Google-szolgáltatások nem érhetők el
Egyes ügyfelek különböző okokból nem szeretnének semmilyen eszközfelügyeletet, beleértve az Android Enterprise személyes tulajdonú munkahelyi profilok kezelését:
- Jogi és felelősségi okok
- A felhasználói élmény konzisztenciájához
- Az Android-eszközkörnyezet rendkívül heterogén
- Nincs kapcsolat a Google-szolgáltatásokkal, ami a munkahelyi profilok kezeléséhez szükséges.
Például a kínai ügyfelek nem használhatják az Android-eszközfelügyeletet, mert a Google-szolgáltatások le vannak tiltva. Ebben az esetben használja Intune DLP-hez készült APP-t.
Összefoglalás
A Intune használatával a MAM és az Android Enterprise személyes tulajdonú munkahelyi profiljai is elérhetők androidos BYOD-programjához. A MAM- és/vagy munkahelyi profilokat az üzleti és használati igényeitől függően használhatja. Összefoglalva, akkor használja az Android Enterprise személyes tulajdonú munkahelyi profiljait, ha MDM-tevékenységekre van szüksége a felügyelt eszközökön, például a tanúsítványok üzembe helyezésén, az alkalmazások leküldésén stb. A MAM-et akkor használja, ha a szervezeti adatokat az alkalmazásokon belül szeretné védeni.
Következő lépések
Kezdje el használni az alkalmazásvédelmi szabályzatokat, vagy regisztrálja az eszközöket.