Overzicht van android enterprise-werkprofielbeheer
Microsoft Intune ondersteunt werkprofielbeheer, een Android Enterprise-beheeroptie waarmee werk-apps en -gegevens op ingeschreven apparaten op platformniveau kunnen worden gescheiden. Wanneer een werknemer of student zijn of haar apparaat inschrijft bij Intune, kan er een werkprofiel worden gemaakt. Het werkprofiel maakt een afzonderlijke partitie op het apparaat voor het werkaccount van de gebruiker, zodat de gebruiker eenvoudig en veilig kan schakelen tussen hun persoonlijke apps en zakelijke apps. Wanneer ze het werkprofiel verlaten, keren ze terug naar de persoonlijke kant van hun apparaat, waar hun persoonlijke apps en gegevens niet worden beïnvloed door Intune-beleid.
Apparaatgebruikers die persoonlijke apparaten inschrijven, moeten zich inschrijven via de Intune-bedrijfsportal-app, terwijl gebruikers op apparaten in bedrijfseigendom zich moeten inschrijven via de Microsoft Intune-app.
Dit artikel bevat een overzicht van de beheeropties voor Android Enterprise-werkprofielen die worden ondersteund door Microsoft Intune, waaronder:
- Werkprofielen voor apparaten in bedrijfseigendom.
- Werkprofielen voor persoonlijke apparaten.
U moet weten
Android Enterprise is niet overal beschikbaar. Voordat u een inschrijvingsprofiel maakt in het Microsoft Intune-beheercentrum, moet u ervoor zorgen dat Android Enterprise beschikbaar is in uw regio. Zie Vereisten voor Android Enterprise voor meer informatie over beschikbaarheid en vereisten voor Android Enterprise (opent Help voor Android Enterprise).
Op plaatsen waar Android Enterprise niet wordt ondersteund, zijn er andere door Intune ondersteunde Android-beheeropties waaruit u kunt kiezen, waaronder:
- Beheer van Android Open Source Platform (AOSP)
- Beheer van Android-apparaatbeheerder
- Mobile Application Management
Beheerd Google Play-account
Als u apparaat- en app-beheer wilt inschakelen voor Android Enterprise-apparaten in Intune, moet u uw Microsoft Intune-tenant verbinden met een beheerd Google Play-account.
Het werkprofiel beheren
Microsoft Intune-beleid en -instellingen zijn alleen van toepassing op het werkprofiel. Als Intune-beheerder kunt u de werkonderdelen van het ingeschreven apparaat beheren.
- Alle apps die u in Intune implementeert, worden geïnstalleerd in het werkprofiel. Beheerders kunnen apps en acties beheren en bewaken die zijn gericht op het werkprofiel.
- Alle Android-apps en -gegevens buiten het werkprofiel blijven persoonlijk en onder controle van de gebruiker van het apparaat. Gebruikers kunnen elke app installeren die ze kiezen aan de persoonlijke kant van het apparaat.
Het werkprofiel bevat unieke app-pictogrammen waarmee gebruikers onderscheid kunnen maken tussen de werk-apps en persoonlijke apps op hun apparaat.
Met de instellingen die beschikbaar zijn in Intune, variërend van inschrijving tot apparaatconfiguratie tot naleving, kunt u het beveiligingsniveau aanpassen aan de behoeften van uw organisatie. Zie voor meer informatie over toepasselijke instellingen:
- Instellingen voor apparaatcompatibiliteit voor Android Enterprise in Intune
- Android Enterprise-apparaatinstellingen om functies toe te staan of te beperken met Intune
App publiceren en distribueren
Beheerde Google Play is een integraal onderdeel van de distributie en het beheer van Android Enterprise-apps. Alle apps die zijn geïmplementeerd in het werkprofiel op persoonlijke apparaten en apparaten in bedrijfseigendom, zijn afkomstig van de beheerde Google Play-service.
Als u apps in de Play Store wilt beheren en implementeren, meldt u zich aan bij de Google Play-website met uw beheerdersreferenties voor Google-beheer. Hier kunt u apps goedkeuren voor implementatie. Goedgekeurde apps worden gesynchroniseerd met Microsoft Intune en worden weergegeven in het beheercentrum, waar u ze kunt implementeren en beheren. Lob-apps (Line-Of-Business) die door uw organisatie zijn ontwikkeld, moeten worden gepubliceerd naar Beheerde Google Play met behulp van de console voor beheerde publicaties van Google Play.
Apps kunnen worden geïnstalleerd zonder tussenkomst van de gebruiker en zonder dat de gebruiker app-installaties van onbekende bronnen hoeft toe te staan. Om door optionele of beschikbare apps te bladeren en te installeren, kan de gebruiker door de beheerde Google Play Store op zijn of haar apparaat bladeren. Zie Apps toewijzen aan Apparaten met een Android Enterprise-werkprofiel met Intune voor meer informatie.
App-configuratie
Android Enterprise biedt infrastructuur voor het implementeren van app-configuratiewaarden voor apps die deze ondersteunen. Door de waarden voor werk-apps op te geven, zorgt u ervoor dat ze correct zijn geconfigureerd wanneer gebruikers de app voor het eerst starten. Ondersteuning voor app-configuratie vereist dat app-ontwikkelaars Android-apps maken die specifiek ondersteuning bieden voor beheerde configuratiewaarden. Als dat zo is, kunt u Intune gebruiken om deze configuratie-instellingen op te geven en toe te passen. Zie App-configuratiebeleid voor beheerde Android-apparaten toevoegen voor meer informatie.
E-mailconfiguratie
Android Enterprise biedt geen standaard-e-mail-app of systeemeigen e-mailprofielobject zoals die van iOS/iPadOS. In plaats daarvan kunt u e-mailinstellingen configureren voor ondersteunde e-mail-apps via intune-app-configuratie-instellingen.
Gmail en Nine Work zijn twee EAS-client-apps (Exchange ActiveSync) in de Play Store die ondersteuning bieden voor de configuratie van Android Enterprise-apps. Intune biedt configuratiesjablonen voor Gmail- en Nine Work-apps, zodat u deze kunt beheren als werk-apps. U kunt andere e-mail-apps configureren die app-configuratieprofielen ondersteunen in een app-configuratiebeleid.
Als u voorwaardelijke toegang van Exchange ActiveSync gebruikt voor een persoonlijk of bedrijfsapparaat, kunt u overwegen de e-mail-app van Gmail of Nine Work te gebruiken. De Microsoft Outlook voor Android-app en elke andere e-mail-app die gebruikmaakt van moderne verificatie via MSAL, wordt ook ondersteund. Zie E-mailinstellingen configureren in Microsoft Intune voor meer informatie.
Tip
Azure AD Authentication Library (ADAL) is afgeschaft, dus we raden u aan apps die momenteel gebruikmaken van ADAL bij te werken naar MSAL. Zie Uw toepassingen bijwerken om Microsoft Authentication Library (MSAL) en Microsoft Graph API te gebruiken voor meer informatie.
Beleid voor app-beveiliging
Microsoft Intune ondersteunt app-beveiligingsbeleid dat wordt toegepast op apps in het werkprofiel en aan de persoonlijke kant van apparaten. U kunt Line-Of-Business-apps publiceren in de Google Play-publicatieconsole en u kunt apps privé maken voor uw organisatie.
Zie de volgende artikelen voor meer informatie over app-beveiligingsbeleid voor het werkprofiel:
VPN-profielen
VPN-ondersteuning is vergelijkbaar met VPN-profielen voor Android. Dezelfde VPN-providers en basisconfiguratieopties zijn beschikbaar voor Android Enterprise-beheer, met twee verschillen:
VPN-bereik van werkprofiel: VPN-verbindingen zijn beperkt tot de apps die zijn geïmplementeerd in het werkprofiel op persoonlijke apparaten en apparaten in bedrijfseigendom, zodat alleen beheerde apps de VPN-verbinding kunnen gebruiken. Persoonlijke apps op het apparaat kunnen geen beheerde VPN-verbinding gebruiken. Zie VPN-instellingen voor Android Enterprise voor meer informatie.
App-specifieke VPN : u kunt een app-specifieke VPN configureren in Intune als de VPN-provider het volgende ondersteunt:
De configuratie van een app-specifieke VPN.
De mogelijkheid om VPN per app te configureren via het configuratieprofiel van de Android Enterprise-app.
Zie Een aangepast Microsoft Intune-profiel gebruiken om een VPN-profiel per app te maken voor Android-apparaten voor meer informatie.
Certificaatprofielen
Dezelfde certificaatprofielconfiguraties die beschikbaar zijn voor Android-beheer, zijn beschikbaar voor het werkprofiel op persoonlijke apparaten en apparaten in bedrijfseigendom. Android Enterprise biedt verbeterde API's voor certificaatbeheer.
Verbeterd certificaatbeheer:
Zorgt ervoor dat de implementatie van certificaten op de achtergrond en naadloos verloopt voor de gebruiker.
Zorgt ervoor dat geïmplementeerde certificaten worden verwijderd wanneer een apparaat buiten gebruik wordt gesteld van Intune en het werkprofiel wordt verwijderd.
Informeert apparaatgebruikers dat het certificaat is geïmplementeerd en geconfigureerd door hun IT-ondersteuningsmedewerker via Microsoft Intune.
Zie Een certificaatprofiel configureren voor uw apparaten in Microsoft Intune voor meer informatie.
Wi-Fi profielen
Wi-Fi profielen worden verwijderd wanneer het apparaat buiten gebruik wordt gesteld van Intune en het werkprofiel wordt verwijderd. Zie How to configure Wi-Fi settings in Microsoft Intune (Wi-Fi-instellingen configureren in Microsoft Intune) voor meer informatie.