Gestione di applicazioni mobili e profili di lavoro di proprietà personale nei dispositivi Android Enterprise in Intune
In molte organizzazioni, agli amministratori viene richiesto di proteggere risorse e dati in dispositivi diversi. Una sfida consiste nel proteggere le risorse per gli utenti con dispositivi Android Enterprise personali, noti anche come BYOD (Bring Your Own Device). Microsoft Intune supporta due scenari di distribuzione Android per bring-your-own-device (BYOD):
- Gestione di applicazioni mobili (MAM)
- Profili di lavoro di proprietà personale di Android Enterprise
Gli scenari di distribuzione del profilo di lavoro di proprietà personale di MAM e Android Enterprise includono le funzionalità principali seguenti importanti per gli ambienti BYOD:
Protezione e separazione dei dati gestiti dall'organizzazione: entrambe le soluzioni proteggono i dati dell'organizzazione applicando i controlli di prevenzione della perdita dei dati (DLP) sui dati gestiti dall'organizzazione. Queste protezioni impediscono perdite accidentali di dati protetti, ad esempio un utente finale che lo condivide accidentalmente con un'app o un account personale. Servono anche a garantire che un dispositivo che accede ai dati sia integro e non compromesso.
Privacy dell'utente finale: MAM separa il contenuto dell'utente finale e dell'organizzazione nelle applicazioni gestite e i profili di lavoro di proprietà personale di Android Enterprise separano il contenuto degli utenti finali nel dispositivo e i dati gestiti dall'amministratore di gestione dei dispositivi mobili (MDM). In entrambi gli scenari, gli amministratori IT applicano criteri, ad esempio l'autenticazione solo PIN in app o identità gestite dall'organizzazione. Gli amministratori IT non sono in grado di leggere, accedere o cancellare i dati di proprietà o controllati dagli utenti finali.
La scelta dei profili di lavoro di proprietà personale di MAM o Android Enterprise per la distribuzione BYOD dipende dai requisiti e dalle esigenze aziendali. L'obiettivo di questo articolo è fornire indicazioni utili per decidere. Per altre informazioni relative ai dispositivi Android gestiti, vedere Gestire i dispositivi del profilo di lavoro android di proprietà personale o di proprietà dell'azienda con Intune.
Informazioni sui criteri di protezione delle app Intune
Intune i criteri di protezione delle app sono criteri di protezione dei dati destinati agli utenti. I criteri applicano la protezione dalla perdita di dati a livello di applicazione. Intune'APP richiede che gli sviluppatori di app abilitino le funzionalità app nelle app create.
Le singole app Android sono abilitate per l'APP in alcuni modi:
Integrato in modo nativo nelle app microsoft di prima parte: le app microsoft 365 (Office) per Android e una selezione di altre app Microsoft sono disponibili con Intune APP predefinita. Queste app di Office, ad esempio Word, OneDrive, Outlook e così via, non richiedono altre personalizzazioni per applicare i criteri. Queste app possono essere installate dagli utenti finali direttamente da Google Play Store.
Integrato nelle compilazioni di app da parte degli sviluppatori che usano Intune SDK: gli sviluppatori di app possono integrare l'SDK Intune nel codice sorgente e ricompilare le app per supportare Intune funzionalità dei criteri APP.
Wrapped using the Intune app wrapping tool:Some customers compile Android apps (. APK) senza accesso al codice sorgente. Senza il codice sorgente, lo sviluppatore non può eseguire l'integrazione con Intune SDK. Senza l'SDK, non possono abilitare l'app per i criteri APP. Lo sviluppatore deve modificare o ricodificare l'app per supportare i criteri APP.
A tale scopo, Intune include lo strumento App Wrapping Tool per le app Android esistenti e crea un'app che riconosce i criteri app.
Per altre informazioni su questo strumento, vedere Preparare le app line-of-business per i criteri di protezione delle app.
Per visualizzare un elenco di app abilitate con APP, vedere App gestite con un set completo di criteri di protezione delle applicazioni mobili.
Scenari di distribuzione
Questa sezione descrive le caratteristiche importanti degli scenari di distribuzione del profilo di lavoro di proprietà personale di MAM e Android Enterprise.
MAM
Una distribuzione MAM definisce i criteri nelle app, non nei dispositivi. Per BYOD, MAM viene spesso usato nei dispositivi non registrazione. Per proteggere le app e l'accesso ai dati dell'organizzazione, gli amministratori usano app gestibili dall'APP e applicano criteri di protezione dei dati a queste app.
Questa funzionalità si applica a:
- Android 4.4 e versioni successive
Consiglio
Per altre informazioni, vedere Che cosa sono i criteri di protezione delle app?.
Profili di lavoro di proprietà personale di Android Enterprise
I profili di lavoro di proprietà personale di Android Enterprise sono lo scenario di distribuzione principale di Android Enterprise. Il profilo di lavoro di proprietà personale di Android Enterprise è una partizione separata creata a livello di sistema operativo Android che può essere gestita da Intune.
Un profilo di lavoro di proprietà personale di Android Enterprise include le funzionalità seguenti:
Funzionalità MDM tradizionali: le funzionalità MDM chiave, ad esempio la gestione del ciclo di vita delle app tramite Google Play gestito, sono disponibili in qualsiasi scenario Android Enterprise. Google Play gestito offre un'esperienza affidabile per installare e aggiornare le app senza alcun intervento dell'utente. L'IT può anche eseguire il push delle impostazioni di configurazione delle app nelle app aziendali. Inoltre, non richiede agli utenti finali di consentire installazioni da origini sconosciute. Altre attività MDM comuni, ad esempio la distribuzione di certificati, la configurazione di WiFi/VPN e l'impostazione dei passcode del dispositivo sono disponibili con i profili di lavoro di proprietà personale di Android Enterprise.
Prevenzione della perdita dei dati nel limite del profilo di lavoro di proprietà personale di Android Enterprise: con un profilo di lavoro di proprietà personale Android Enterprise, i criteri di prevenzione della perdita dei dati vengono applicati a livello di profilo di lavoro, non a livello di app. Ad esempio, la protezione copia/incolla viene applicata dalle impostazioni APP applicate a un'app o applicate dal profilo di lavoro. Quando l'app viene distribuita in un profilo di lavoro, gli amministratori possono sospendere la protezione copia/incolla nel profilo di lavoro disattivando questo criterio a livello di APP.
Suggerimenti per ottimizzare l'esperienza del profilo di lavoro
È consigliabile considerare come usare APP e identità multiple quando si usano i profili di lavoro di proprietà personale di Android Enterprise.
Quando usare APP all'interno dei profili di lavoro di proprietà personale di Android Enterprise
Intune profili di lavoro di proprietà personale di APP e Android Enterprise sono tecnologie complementari che possono essere usate insieme o separatamente. A livello di architettura, entrambe le soluzioni applicano criteri a livelli diversi: APP a livello di singola app e profilo di lavoro a livello di profilo. La distribuzione di app gestite con criteri APP in un'app in un profilo di lavoro è uno scenario valido e supportato. Per usare l'APP, i profili di lavoro o una combinazione dipende dalle esigenze di prevenzione della perdita dei dati.
I profili di lavoro e l'APP di proprietà personale di Android Enterprise integrano le impostazioni dell'altro fornendo una copertura aggiuntiva se un profilo non soddisfa i requisiti di protezione dei dati dell'organizzazione. Ad esempio, i profili di lavoro non forniscono in modo nativo controlli per limitare il salvataggio di un'app in una posizione di archiviazione cloud non attendibile. L'APP include questa funzionalità. È possibile decidere che la prevenzione della perdita dei dati fornita esclusivamente dal profilo di lavoro sia sufficiente e scegliere di non usare APP. In alternativa, è possibile richiedere le protezioni da una combinazione dei due.
Eliminare i criteri APP per i profili di lavoro di proprietà personale di Android Enterprise
Potrebbe essere necessario supportare singoli utenti che dispongono di più dispositivi, ovvero dispositivi non iscritti con applicazioni gestite MAM e dispositivi gestiti con profili di lavoro di proprietà personale android enterprise.
Ad esempio, è necessario che gli utenti finali immettano un PIN all'apertura di un'app di lavoro. A seconda del dispositivo, le funzionalità DEL PIN vengono gestite dall'APP o dal profilo di lavoro. Per le applicazioni gestite da MAM, i controlli di accesso, incluso il comportamento da PIN a avvio, vengono applicati dall'APP. Per i dispositivi registrati, il PIN app può essere disabilitato per evitare di richiedere sia un PIN del dispositivo che un PIN app. (IMPOSTAZIONE DEL PIN APP per Android. Per i dispositivi del profilo di lavoro, è possibile usare un PIN del dispositivo o del profilo di lavoro applicato dal sistema operativo. Per eseguire questo scenario, configurare le impostazioni app in modo che non vengano applicate quando un'app viene distribuita in un profilo di lavoro. Se non lo si configura in questo modo, all'utente finale viene richiesto un PIN dal dispositivo e di nuovo a livello app.
Controllare il comportamento multi-identità nei profili di lavoro di proprietà personale di Android Enterprise
Le applicazioni di Office, ad esempio Outlook e OneDrive, hanno un comportamento "multi-identità". All'interno di un'istanza dell'applicazione, l'utente finale può aggiungere connessioni a più account distinti o a posizioni di archiviazione cloud. All'interno dell'applicazione, i dati recuperati da queste posizioni possono essere separati o uniti. Inoltre, l'utente è in grado di passare dal contesto tra identità personali (user@outlook.com) e identità dell'organizzazione (user@contoso.com).
Quando si usano profili di lavoro di proprietà personale di Android Enterprise, è possibile disabilitare questo comportamento multi-identità. Quando si disabilita, le istanze con badge dell'app nel profilo di lavoro possono essere configurate solo con un'identità dell'organizzazione. Usare l'impostazione di configurazione dell'app Account consentiti per il supporto delle app Office Android.
Per altre informazioni, vedere Distribuire le impostazioni di configurazione delle app di Outlook per iOS/iPadOS e Android.
Quando usare Intune APP
Esistono diversi scenari di mobilità aziendale in cui l'uso di Intune APP è la raccomandazione migliore.
Nessun MDM, nessuna registrazione, i servizi Google non sono disponibili
Alcuni clienti non vogliono alcuna forma di gestione dei dispositivi, inclusa la gestione dei profili di lavoro di proprietà personale di Android Enterprise, per motivi diversi:
- Motivi legali e di responsabilità
- Per coerenza dell'esperienza utente
- L'ambiente del dispositivo Android è altamente eterogeneo
- Non esiste alcuna connettività ai servizi Google, necessaria per la gestione dei profili di lavoro.
Ad esempio, i clienti in Cina o che hanno utenti in Cina non possono usare la gestione dei dispositivi Android perché i servizi Google sono bloccati. In questo caso, usare Intune APP per la prevenzione della perdita dei dati.
Riepilogo
Usando Intune, i profili di lavoro di proprietà personale MAM e Android Enterprise sono disponibili per il programma ANDROID BYOD. È possibile scegliere di usare MAM e/o profili di lavoro a seconda dei requisiti aziendali e di utilizzo. In sintesi, usare i profili di lavoro di proprietà personale di Android Enterprise se sono necessarie attività MDM nei dispositivi gestiti, ad esempio la distribuzione di certificati, il push dell'app e così via. Usare MAM se si desidera proteggere i dati dell'organizzazione all'interno delle applicazioni.
Passaggi successivi
Iniziare a usare i criteri di protezione delle app o registrare i dispositivi.