Mobile Application Management en werkprofielen in persoonlijk eigendom op Android Enterprise-apparaten in Intune

In veel organisaties worden beheerders uitgedaagd om resources en gegevens op verschillende apparaten te beveiligen. Eén uitdaging is het beveiligen van resources voor gebruikers met persoonlijke Android Enterprise-apparaten, ook wel bring-your-own-device (BYOD) genoemd. Microsoft Intune ondersteunt twee Android-implementatiescenario's voor bring-your-own-device (BYOD):

De implementatiescenario's voor mam- en Android Enterprise-werkprofielen in persoonlijk eigendom bevatten de volgende belangrijke functies die belangrijk zijn voor BYOD-omgevingen:

  • Beveiliging en scheiding van door de organisatie beheerde gegevens: beide oplossingen beschermen organisatiegegevens door DLP-controles (preventie van gegevensverlies) af te dwingen op door de organisatie beheerde gegevens. Deze beveiligingen voorkomen onbedoelde lekken van beveiligde gegevens, zoals een eindgebruiker die deze per ongeluk deelt met een persoonlijke app of account. Ze zorgen er ook voor dat een apparaat dat toegang heeft tot de gegevens in orde is en niet wordt aangetast.

  • Privacy van eindgebruikers: MAM scheidt inhoud van eindgebruikers en organisaties in beheerde toepassingen en Android Enterprise-werkprofielen scheiden de inhoud van eindgebruikers op het apparaat en gegevens die worden beheerd door de MDM-beheerder (Mobile Device Management). In beide scenario's dwingen IT-beheerders beleidsregels af, zoals verificatie met alleen pincode voor door de organisatie beheerde apps of identiteiten. IT-beheerders kunnen geen gegevens lezen, openen of wissen die eigendom zijn van of beheerd worden door eindgebruikers.

Of u mam- of Android Enterprise-werkprofielen in persoonlijk eigendom kiest voor uw BYOD-implementatie, is afhankelijk van uw vereisten en zakelijke behoeften. Het doel van dit artikel is om u te helpen bij het nemen van beslissingen. Zie Apparaten met een Android-werkprofiel in persoonlijk eigendom/bedrijfseigendom beheren met Intune voor meer informatie met betrekking tot beheerde Android-apparaten.

Over Intune app-beveiligingsbeleid

Intune app-beveiligingsbeleid (APP) zijn beleid voor gegevensbeveiliging dat is gericht op gebruikers. Het beleid past bescherming tegen gegevensverlies toe op toepassingsniveau. Intune APP vereist dat app-ontwikkelaars APP-functies inschakelen voor de apps die ze maken.

Afzonderlijke Android-apps zijn op een aantal manieren ingeschakeld voor APP:

  1. Systeemeigen geïntegreerd in Microsoft eigen apps: Microsoft Office-apps voor Android en een aantal andere Microsoft-apps worden geleverd met Intune ingebouwde APP. Deze Office-apps, zoals Word, OneDrive, Outlook, enzovoort, hoeven niet meer te worden aangepast om beleid toe te passen. Deze apps kunnen door eindgebruikers rechtstreeks vanuit Google Play Store worden geïnstalleerd.

  2. Geïntegreerd in app-builds door ontwikkelaars met behulp van de Intune SDK: App-ontwikkelaars kunnen de Intune SDK integreren in hun broncode en hun apps opnieuw compileren om Intune APP-beleidsfuncties te ondersteunen.

  3. Verpakt met behulp van het Intune app wrapping tool: sommige klanten compileren Android-apps (. APK-bestand) zonder toegang tot broncode. Zonder de broncode kan de ontwikkelaar niet integreren met de Intune SDK. Zonder de SDK kunnen ze hun app niet inschakelen voor APP-beleid. De ontwikkelaar moet de app wijzigen of opnieuw coderen om APP-beleid te ondersteunen.

    Om u te helpen, bevat Intune het hulpprogramma App Wrapping Tool voor bestaande Android-apps (API's) en maakt een app die APP-beleid herkent.

    Zie Line-Of-Business-apps voorbereiden voor app-beveiligingsbeleid voor meer informatie over dit hulpprogramma.

Zie Beheerde apps met een uitgebreide set beveiligingsbeleid voor mobiele toepassingen voor een lijst met apps die zijn ingeschakeld met APP.

Implementatiescenario's

In deze sectie worden de belangrijke kenmerken van de implementatiescenario's voor mam- en Android Enterprise-werkprofielen in persoonlijk eigendom beschreven.

MAM

Een MAM-implementatie definieert beleidsregels voor apps, niet voor apparaten. Voor BYOD wordt MAM vaak gebruikt op niet-ingeschreven apparaten. Om apps en toegang tot organisatiegegevens te beveiligen, gebruiken beheerders app-beheerbare apps en passen ze beleid voor gegevensbeveiliging toe op deze apps.

Deze functie is van toepassing op:

  • Android 4.4 en hoger

Tip

Zie Wat is app-beveiligingsbeleid? voor meer informatie.

Android Enterprise-werkprofielen in persoonlijk eigendom

Android Enterprise-werkprofielen in persoonlijk eigendom zijn het kernscenario voor android enterprise-implementatie. Het Android Enterprise-werkprofiel in persoonlijk eigendom is een afzonderlijke partitie die is gemaakt op het niveau van het Android-besturingssysteem en die kan worden beheerd door Intune.

Een Android Enterprise-werkprofiel in persoonlijk eigendom bevat de volgende functies:

  • Traditionele MDM-functionaliteit: belangrijke MDM-mogelijkheden, zoals het beheer van de levenscyclus van apps met behulp van beheerde Google Play, zijn beschikbaar in elk Android Enterprise-scenario. Beheerde Google Play biedt een robuuste ervaring om apps te installeren en bij te werken zonder tussenkomst van de gebruiker. IT kan ook app-configuratie-instellingen pushen naar organisatie-apps. Eindgebruikers hoeven ook geen installaties van onbekende bronnen toe te staan. Andere algemene MDM-activiteiten, zoals het implementeren van certificaten, het configureren van Wi-Fi/VPN's en het instellen van wachtwoordcodes voor apparaten, zijn beschikbaar met Android Enterprise-werkprofielen in persoonlijk eigendom.

  • DLP op de grens van het Android Enterprise-werkprofiel in persoonlijk eigendom: met een Android Enterprise-werkprofiel in persoonlijk eigendom wordt DLP-beleid afgedwongen op het niveau van het werkprofiel, niet op app-niveau. Kopieer-/plakbeveiliging wordt bijvoorbeeld afgedwongen door de APP-instellingen die worden toegepast op een app of afgedwongen door het werkprofiel. Wanneer de app is geïmplementeerd in een werkprofiel, kunnen beheerders de beveiliging tegen kopiëren en plakken in het werkprofiel onderbreken door dit beleid uit te schakelen op APP-niveau.

Tips voor het optimaliseren van de ervaring met het werkprofiel

U moet overwegen hoe u APP en meerdere identiteiten gebruikt bij het werken met Android Enterprise-werkprofielen in persoonlijk eigendom.

Wanneer app gebruiken in Android Enterprise-werkprofielen in persoonlijk eigendom

Intune APP- en Android Enterprise-werkprofielen in persoonlijk eigendom zijn aanvullende technologieën die samen of afzonderlijk kunnen worden gebruikt. Architectuur: beide oplossingen dwingen beleidsregels af op verschillende lagen: APP op de afzonderlijke app-laag en werkprofiel op de profiellaag. Het implementeren van apps die worden beheerd met een APP-beleid naar een app in een werkprofiel is een geldig en ondersteund scenario. Het gebruik van APP, werkprofielen of een combinatie is afhankelijk van uw DLP-vereisten.

Android Enterprise-werkprofielen in persoonlijk eigendom en app vullen elkaars instellingen aan door extra dekking te bieden als één profiel niet voldoet aan de vereisten voor gegevensbescherming van uw organisatie. Werkprofielen bieden bijvoorbeeld geen systeemeigen besturingselementen om te voorkomen dat een app wordt opgeslagen op een niet-vertrouwde cloudopslaglocatie. APP bevat deze functie. U kunt besluiten dat DLP die alleen door het werkprofiel wordt verstrekt, voldoende is en ervoor kiezen om APP niet te gebruiken. U kunt ook de beveiliging van een combinatie van de twee vereisen.

APP-beleid onderdrukken voor Android Enterprise-werkprofielen in persoonlijk eigendom

Mogelijk moet u individuele gebruikers met meerdere apparaten ondersteunen: niet-ingeschreven apparaten met door MAM beheerde toepassingen en beheerde apparaten met Android Enterprise-werkprofielen in persoonlijk eigendom.

Eindgebruikers moeten bijvoorbeeld een pincode invoeren bij het openen van een werk-app. Afhankelijk van het apparaat worden de pincodefuncties verwerkt door APP of door het werkprofiel. Voor door MAM beheerde toepassingen worden toegangsbeheer, waaronder het gedrag van de pincode om te starten, afgedwongen door APP. Voor ingeschreven apparaten is de pincode van de app mogelijk uitgeschakeld om te voorkomen dat zowel een apparaatpincode als een app-pincode vereist zijn. (INSTELLING VOOR APP-pincode voor Android. Voor apparaten met een werkprofiel kunt u een apparaat- of werkprofielpincode gebruiken die is afgedwongen door het besturingssysteem. Als u dit scenario wilt uitvoeren, configureert u APP-instellingen zodat deze niet van toepassing zijn wanneer een app wordt geïmplementeerd in een werkprofiel. Als u dit niet op deze manier configureert, wordt de eindgebruiker door het apparaat om een pincode gevraagd en opnieuw op de APP-laag.

Gedrag van meerdere identiteiten beheren in Android Enterprise-werkprofielen in persoonlijk eigendom

Office-toepassingen, zoals Outlook en OneDrive, hebben gedrag met meerdere identiteiten. Binnen één exemplaar van de toepassing kan de eindgebruiker verbindingen toevoegen met meerdere afzonderlijke accounts of cloudopslaglocaties. Binnen de toepassing kunnen de gegevens die van deze locaties worden opgehaald, worden gescheiden of samengevoegd. En de gebruiker kan schakelen tussen persoonlijke identiteiten (user@outlook.com) en organisatie-identiteiten (user@contoso.com).

Wanneer u Android Enterprise-werkprofielen in persoonlijk eigendom gebruikt, kunt u dit gedrag met meerdere identiteiten uitschakelen. Wanneer u deze optie uitschakelt, kunnen exemplaren met badges van de app in het werkprofiel alleen worden geconfigureerd met een organisatie-id. Gebruik de app-configuratie-instelling Toegestane accounts voor het ondersteunen van Office Android-apps.

Zie App-configuratie-instellingen voor Outlook voor iOS/iPadOS en Android implementeren voor meer informatie.

Wanneer Intune-APP gebruiken

Er zijn verschillende scenario's voor bedrijfsmobiliteit waarbij het gebruik van Intune APP de beste aanbeveling is.

Geen MDM, geen inschrijving, Google-services zijn niet beschikbaar

Sommige klanten willen om verschillende redenen geen enkele vorm van apparaatbeheer, waaronder Android Enterprise-werkprofielbeheer in persoonlijk eigendom:

  • Juridische en aansprakelijkheidsredenen
  • Voor consistentie van gebruikerservaring
  • De Android-apparaatomgeving is zeer heterogeen
  • Er is geen verbinding met Google-services, wat vereist is voor het beheer van werkprofielen.

Klanten in china kunnen bijvoorbeeld geen Android-apparaatbeheer gebruiken omdat Google-services zijn geblokkeerd. Gebruik in dit geval Intune APP voor DLP.

Samenvatting

Met Intune zijn zowel MAM- als Android Enterprise-werkprofielen in persoonlijk eigendom beschikbaar voor uw Android BYOD-programma. U kunt mam- en/of werkprofielen gebruiken, afhankelijk van uw bedrijfs- en gebruiksvereisten. Kortom, gebruik Android Enterprise-werkprofielen in persoonlijk eigendom als u MDM-activiteiten nodig hebt op beheerde apparaten, zoals certificaatimplementatie, app-push, enzovoort. Gebruik MAM als u organisatiegegevens in toepassingen wilt beveiligen.

Volgende stappen

Begin met het gebruik van app-beveiligingsbeleid of registreer uw apparaten.