Gestire i dispositivi del profilo di lavoro di proprietà personale/aziendale android con Intune

Android Enterprise offre un set di opzioni di registrazione che offrono agli utenti le funzionalità più aggiornate e sicure. La registrazione con un profilo di lavoro di proprietà personale/aziendale di Android Enterprise consente un set di funzionalità e servizi che separano le app e i dati personali dalle app e dai dati di lavoro. Offre anche funzionalità di gestione aggiuntive e privacy quando gli utenti usano i propri dispositivi Android personali per lavoro.

Dispositivi supportati

Le funzionalità di gestione di Android Enterprise si basano su funzionalità che fanno parte di sistemi operativi Android più recenti. Per i dispositivi che non supportano Android Enterprise, la gestione androide convenzionale rimane disponibile. Per altre informazioni, vedere Requisiti di Android Enterprise.

Onboarding

Prima di registrare i dispositivi del profilo di lavoro Android Enterprise, è necessario completare alcuni passaggi di onboarding. Questi passaggi stabiliscono una connessione tra il tenant di Intune e Google Play gestito. Per altre informazioni, vedere Abilitare la registrazione dei dispositivi del profilo di lavoro di proprietà personale di Android Enterprise o Configurare la registrazione di Intune dei dispositivi android enterprise di proprietà dell'azienda con il profilo di lavoro.

Gestione dei profili di lavoro

Quando si gestisce un dispositivo profilo di lavoro di proprietà personale o aziendale Android Enterprise con Intune, non si gestisce l'intero dispositivo. Le funzionalità di gestione influiscono solo sul profilo di lavoro creato nel dispositivo durante la registrazione. Tutte le app distribuite nel dispositivo con Intune vengono installate nel profilo di lavoro. Le icone delle app nel profilo di lavoro si differenziano dalle app personali nel dispositivo. Tutte le app e i dati Android all'esterno della parte Android enterprise del dispositivo rimangono personali e sotto il controllo dell'utente finale. Gli utenti possono installare qualsiasi app scelta sul lato personale del dispositivo. Gli amministratori possono gestire e monitorare le app e le azioni con ambito al profilo di lavoro.

Quando si configurano criteri per la configurazione o la conformità del dispositivo, l'ampia gamma di impostazioni consente di personalizzare la protezione in base alle esigenze specifiche. Per comprendere meglio come implementare scenari di configurazione della sicurezza specifici, vedere le linee guida del framework di configurazione della sicurezza per i criteri di restrizione dei dispositivi Android Enterprise.

Il framework di configurazione della sicurezza è organizzato in livelli di configurazione distinti che forniscono indicazioni per i dispositivi di proprietà personale e supervisionati, con ogni livello che si basa al di fuori del livello precedente. I livelli e le impostazioni disponibili in ogni livello variano in base alla modalità di registrazione:

In alternativa, è possibile esaminare le impostazioni di conformità dei dispositivi per Android Enterprise in Intune e Android Enterprise per consentire o limitare le funzionalità usando Intune.

Pubblicazione e distribuzione di app

Google Play gestito è parte integrante della distribuzione e della gestione delle app Android Enterprise. Tutte le app distribuite nei dispositivi del profilo di lavoro di proprietà personale e aziendale di Android Enterprise nel profilo di lavoro provengono dal servizio Google Play gestito. Per gestire e distribuire le app nel Play Store, accedi al sito Web di Google Play con le credenziali di amministratore della tua azienda per la gestione di Google. È possibile approvare le app per la distribuzione Android Enterprise in modo che vengano visualizzate nei profili di lavoro dei dispositivi. Queste app vengono quindi sincronizzate con l'interfaccia di amministrazione Microsoft Intune in cui possono essere distribuite e gestite usando Intune. Le app line-of-business (LOB) sviluppate dall'organizzazione devono essere pubblicate in Google Play gestito tramite la console di pubblicazione di app Android di Google. Le app line-of-business devono essere configurate nella console di pubblicazione delle app Android per limitare l'accesso all'organizzazione.

Le app possono essere installate senza l'interazione dell'utente e senza che l'utente consenta l'installazione da origini sconosciute. Per esplorare e installare app facoltative o disponibili, l'utente può esplorare l'archivio Play for Work nel dispositivo. Per altre informazioni, vedere Assegnare app ai dispositivi del profilo di lavoro Android Enterprise con Intune.

Configurazione delle app

Android Enterprise offre un'infrastruttura per la distribuzione dei valori di configurazione delle app nelle app che le supportano. Specificando i valori di configurazione per le app di lavoro, assicurarsi che siano impostati correttamente quando gli utenti avviano l'app per la prima volta. Il supporto per la configurazione delle app richiede che gli sviluppatori di app creino le app Android in modo specifico per supportare i valori di configurazione gestiti. In tal caso, è possibile usare Intune per specificare e applicare queste impostazioni di configurazione. Per altre informazioni, vedere Aggiungere criteri di configurazione delle app per i dispositivi Android gestiti.

configurazione Email

Android Enterprise non fornisce un'app di posta elettronica predefinita o un oggetto profilo di posta elettronica nativo come quelli forniti da iOS/iPadOS. È invece possibile impostare le configurazioni di posta elettronica applicando le impostazioni di configurazione delle app alle app di posta elettronica che le supportano. Gmail e Nine Work sono due app client Exchange ActiveSync (EAS) nel Play Store che supportano la configurazione con la configurazione delle app Android Enterprise.

Intune fornisce modelli di configurazione per le app Gmail e Nine Work quando vengono gestite come app aziendali. Altre app di posta elettronica che supportano i profili di configurazione delle app possono essere configurate con i criteri di configurazione delle app per dispositivi mobili.

Se si usa Exchange ActiveSync l'accesso condizionale per un dispositivo profilo di lavoro di proprietà personale o aziendale di Android Enterprise, provare a usare l'app di posta elettronica Gmail o Nine Work. È supportata anche l'app Microsoft Outlook per Android o qualsiasi altra app di posta elettronica che usa l'autenticazione moderna tramite MSAL. Per altre informazioni, vedere Come configurare le impostazioni di posta elettronica in Microsoft Intune.

Nota

Autenticazione di Azure AD Library (ADAL) è stata deprecata, pertanto è consigliabile aggiornare le app che attualmente la usano in MSAL. Per altre informazioni, vedere Aggiornare le applicazioni per l'uso di Microsoft Authentication Library (MSAL) e Microsoft API Graph.

Criteri di protezione delle app

Protezione di app criteri applicati sono completamente supportati nel profilo di lavoro di proprietà personale/aziendale e nel profilo personale. È possibile pubblicare app line-of-business nella console di pubblicazione delle app Android all'indirizzo https://play.google.com/apps/publish. Questa console include un'opzione per rendere le app private per l'organizzazione. Per altre informazioni, vedere Aggiungere criteri di conformità dei dispositivi per dispositivi con profilo di lavoro Android Enterprise in Intune. Per informazioni generali sui criteri di protezione delle app, vedere Che cosa sono i criteri di protezione delle app?

Profili VPN

Il supporto VPN è simile ai profili VPN Android. Gli stessi provider VPN e le stesse opzioni di configurazione di base sono disponibili per la gestione di Android Enterprise con due differenze:

  • VPN con ambito profilo di lavoro : le connessioni VPN sono limitate solo alle app distribuite nel profilo di lavoro di proprietà personale o aziendale. Solo le app gestite da Android Enterpise possono usare la connessione VPN. Le app personali nel dispositivo non possono usare una connessione VPN gestita. Per altre informazioni, vedere Impostazioni VPN Android Enterprise.

  • VPN specifica dell'app : la VPN specifica dell'app può essere configurata in Intune se il provider VPN supporta:

Profili certificato

Le stesse opzioni di configurazione del profilo certificato disponibili per la gestione Android sono disponibili nei dispositivi android enterprise personali e di proprietà dell'azienda. Android Enterprise offre API avanzate per la gestione dei certificati. La gestione avanzata dei certificati offre le funzionalità seguenti:

  • Garantisce che la distribuzione del certificato sia invisibile all'utente e senza problemi.
  • Garantisce che i certificati distribuiti vengano rimossi quando un dispositivo viene ritirato da Intune e il profilo di lavoro viene rimosso.
  • Fornisce una messaggistica migliorata che informa gli utenti che il certificato è stato distribuito e configurato dal reparto IT tramite il servizio di gestione.

Per altre informazioni, vedere Configurare un profilo certificato per i dispositivi in Microsoft Intune.

Profili Wi-Fi

Wi-Fi profili gestiti da Android Enterprise vengono rimossi quando il dispositivo viene ritirato da Intune e il profilo di lavoro viene eliminato. Per altre informazioni, vedere Come configurare le impostazioni di Wi-Fi in Microsoft Intune.

Passaggi successivi