Общие сведения об управлении рабочим профилем Android Enterprise

Microsoft Intune поддерживает управление рабочими профилями — параметр управления Android Enterprise, который позволяет разделять рабочие приложения и данные на зарегистрированных устройствах на уровне платформы. Когда сотрудник или учащийся регистрирует свое устройство в Intune, он включает создание рабочего профиля. Рабочий профиль создает отдельную секцию на устройстве для рабочей учетной записи пользователя, чтобы пользователь легко и безопасно переключаться между своими личными приложениями и рабочими приложениями. Когда они покидают рабочий профиль, они возвращаются на личную сторону своего устройства, где политики Intune не влияют на их личные приложения и данные.

Пользователи устройств, регистрируя личные устройства, должны регистрироваться с помощью приложения корпоративного портала Intune, а пользователи на корпоративных устройствах — через приложение Microsoft Intune.

В этой статье приводятся общие сведения о параметрах управления рабочими профилями Android Enterprise, поддерживаемых Microsoft Intune, в том числе:

• Рабочие профили для корпоративных устройств.
• Рабочие профили для личных устройств.

Вам нужно знать

Android Enterprise доступен не везде. Прежде чем создавать профиль регистрации в Центре администрирования Microsoft Intune, убедитесь, что Android Enterprise доступен в вашем регионе. Дополнительные сведения о доступности и требованиях для Android Enterprise см. в разделе Требования к Android Enterprise (открывается справка Android Enterprise).

В тех местах, где Android Enterprise не поддерживается, существуют другие варианты управления Android, поддерживаемые Intune, в том числе:

• Управление платформой Android с открытым кодом (AOSP)
• Управление администраторами устройств Android
• управление мобильными приложениями;

Управляемая учетная запись Google Play

Чтобы включить управление устройствами и приложениями для устройств Android Enterprise в Intune, необходимо подключить клиент Microsoft Intune к управляемой учетной записи Google Play.

Управление рабочим профилем

Политики и параметры Microsoft Intune применяются только к рабочему профилю. Администратор Intune может управлять рабочими частями зарегистрированного устройства.

• Все приложения, развертываемые в Intune, устанавливаются в рабочий профиль. Администраторы могут контролировать и отслеживать приложения и действия в рабочем профиле.
• Все приложения Android и данные за пределами рабочего профиля остаются личными и находятся под контролем пользователя устройства. Пользователи могут установить любое выбранное приложение на личной стороне устройства.

В рабочем профиле есть уникальные значки приложений, которые помогут пользователям различать рабочие и личные приложения на своем устройстве.

Параметры, доступные в Intune, от регистрации до конфигурации устройства и соответствия требованиям, позволяют адаптировать уровень защиты в соответствии с потребностями вашей организации. Дополнительные сведения о применимых параметрах см. в разделе:

• Параметры соответствия устройств для Android Enterprise в Intune
• Параметры устройства Android Enterprise для разрешения или ограничения функций с помощью Intune

Публикация и распространение приложений

Управляемый Google Play является неотъемлемой частью процесса распространения приложений Android Enterprise и управления ими. Все приложения, развернутые в рабочем профиле на личных и корпоративных устройствах, поступают из управляемой службы Google Play.

Чтобы управлять приложениями и развертывать их в Play Store, войдите на веб-сайт Google Play с учетными данными администратора для управления Google. Здесь можно утвердить приложения для развертывания. Утвержденные приложения синхронизируются с Microsoft Intune и отображаются в Центре администрирования, где можно развертывать их и управлять ими. Бизнес-приложения ( LOB), разработанные вашей организацией, должны публиковаться в Managed Google Play с помощью консоли управляемой публикации Google Play.

Приложения можно установить без взаимодействия с пользователем и без необходимости разрешить установку приложений из неизвестных источников. Чтобы просмотреть и установить дополнительные или доступные приложения, пользователь может просматривать управляемый магазин Google Play на своем устройстве. Дополнительные сведения см. в статье о назначении приложений управляемого Google Play для корпоративных устройств с Android в Intune.

Конфигурация приложений

Android для бизнеса предоставляет инфраструктуру для развертывания значений конфигурации в поддерживающих их приложениях. Указывая значения для рабочих приложений, вы убедитесь, что они правильно настроены при первом запуске приложения. Для поддержки конфигурации приложений необходимо, чтобы разработчики приложений создавали приложения Android специально для поддержки значений управляемой конфигурации. В этом случае вы сможете указать и применить эти параметры конфигурации с помощью Intune. Дополнительные сведения см. в статье Добавление политик конфигурации приложений для управляемых устройств Android.

Конфигурация электронной почты

В отличие от iOS и iPadOS в Android для бизнеса не предоставляется приложение электронной почты по умолчанию или нативный профиль электронной почты. Вместо этого можно настроить параметры электронной почты для поддерживаемых приложений электронной почты с помощью параметров конфигурации приложений Intune.

Gmail и Nine Work — это два клиентских приложения Exchange ActiveSync (EAS) в Play Store, поддерживающие конфигурацию приложений Android Enterprise. Intune предоставляет шаблоны конфигурации для приложений Gmail и Nine Work, что позволяет управлять ими как рабочими приложениями. Другие почтовые приложения, поддерживающие профили конфигурации приложений, можно настроить в политике конфигурации приложений.

Если вы используете условный доступ Exchange ActiveSync для личного или корпоративного устройства, рассмотрите возможность использования почтового приложения Gmail или Nine Work. Также поддерживается приложение Microsoft Outlook для Android и любое другое почтовое приложение, использующее современную проверку подлинности через MSAL. Дополнительные сведения см. в разделе Настройка параметров электронной почты в Microsoft Intune.

Совет

Библиотека проверки подлинности Azure AD (ADAL) устарела, поэтому рекомендуется обновить приложения, которые в настоящее время используют ADAL, до MSAL. Подробности см. в статье Обновление приложений, чтобы использовать библиотеку проверки подлинности Майкрософт (MSAL) и API Microsoft Graph

Политики защиты приложений

Microsoft Intune поддерживает политики защиты приложений, применяемые к приложениям в рабочем профиле и на личной стороне устройств. Вы можете публиковать бизнес-приложения в консоли публикации Google Play и делать приложения частными для своей организации.

Дополнительные сведения о политиках защиты приложений для рабочего профиля см. в следующих статьях:

• Общие сведения о политиках защиты приложений

• Добавление политики соответствия устройств для рабочих профилей в Intune

Профили VPN

Поддержка VPN аналогична профилям Android VPN. Для управления Android Enterprise доступны одни и те же VPN-поставщики и базовые параметры конфигурации с двумя отличиями:

• VPN на уровне рабочего профиля. VPN-подключения ограничены приложениями, развернутыми в рабочем профиле на личных и корпоративных устройствах, поэтому VPN-подключение могут использовать только управляемые приложения. Личные приложения на устройстве не могут использовать управляемое VPN-подключение. Дополнительные сведения см. в разделе о параметрах VPN Android для бизнеса.

• VPN для конкретного приложения . Вы можете настроить VPN для конкретного приложения в Intune, если поставщик VPN поддерживает:

  • Конфигурация VPN для конкретного приложения.

  • Возможность настройки VPN для каждого приложения с помощью профиля конфигурации приложения Android Enterprise.

  Дополнительные сведения см. в разделе Использование пользовательского профиля Microsoft Intune с целью создания профиля VPN для каждого приложения на устройствах Android.

Профили сертификатов

Для рабочего профиля на личных и корпоративных устройствах доступны те же конфигурации профилей сертификатов, которые доступны для управления Android. Android Enterprise предоставляет расширенные API управления сертификатами.

Расширенное управление сертификатами.

• Обеспечивает автоматическое и простое развертывание сертификата для пользователя.

• Гарантирует удаление развернутых сертификатов при выходе устройства из Intune и удалении рабочего профиля.

• Информирует пользователей устройств о том, что сертификат был развернут и настроен сотрудником ит-службы поддержки через Microsoft Intune.

Дополнительные сведения см. в разделе Настройка профиля сертификата для устройств в Microsoft Intune.

Профили Wi-Fi

Wi-Fi профили удаляются, когда устройство уходит из Intune и рабочий профиль удаляется. Дополнительные сведения см. в разделе Настройка параметров Wi-Fi в Microsoft Intune.

Дальнейшие действия

• Руководство по развертыванию регистрации для Android

• Назначение приложений управляемого Google Play для корпоративных устройств с Android в Intune