Hantering av mobilprogram och personligt ägda arbetsprofiler på Android Enterprise-enheter i Intune

I många organisationer utmanas administratörer att skydda resurser och data på olika enheter. En utmaning är att skydda resurser för användare med personliga Android Enterprise-enheter, även kallade BYOD (Bring Your Own Device). Microsoft Intune stöder två Android-distributionsscenarier för BYOD (Bring Your Own Device):

Distributionsscenarierna MAM och Android Enterprise med personligt ägd arbetsprofil innehåller följande viktiga funktioner som är viktiga för BYOD-miljöer:

  • Skydd och uppdelning av organisationshanterade data: Båda lösningarna skyddar organisationsdata genom att tillämpa kontroller för dataförlustskydd (DLP) på organisationshanterade data. Dessa skydd förhindrar oavsiktliga läckor av skyddade data, till exempel att en slutanvändare oavsiktligt delar dem till en personlig app eller ett personligt konto. De säkerställer också att en enhet som kommer åt data är felfri och inte komprometteras.

  • Slutanvändarsekretess: MAM separerar slutanvändar- och organisationsinnehåll i hanterade program och Android Enterprise-personligt ägda arbetsprofiler separerar slutanvändarnas innehåll på enheten och data som hanteras av MDM-administratören (hantering av mobila enheter). I båda scenarierna tillämpar IT-administratörer principer, till exempel autentisering med endast PIN-kod på organisationshanterade appar eller identiteter. IT-administratörer kan inte läsa, komma åt eller radera data som ägs eller kontrolleras av slutanvändare.

Om du väljer MAM- eller Android Enterprise-personligt ägda arbetsprofiler för BYOD-distributionen beror på dina krav och affärsbehov. Målet med den här artikeln är att ge vägledning som hjälper dig att bestämma. Mer information om hanterade Android-enheter finns i Hantera personligt ägda/företagsägda Android-arbetsprofilenheter med Intune.

Om Intune-appskyddsprinciper

Intunes appskyddsprinciper (APP) är dataskyddsprinciper som riktas till användare. Principerna tillämpar dataskydd på programnivå. Intune APP kräver att apputvecklare aktiverar APP-funktioner i de appar som de skapar.

Enskilda Android-appar är aktiverade för APP på några olika sätt:

  1. Inbyggt integrerat i Microsofts förstapartsappar: Microsoft 365-appar (Office) för Android och ett urval av andra Microsoft-appar har inbyggt Intune APP. Dessa Office-appar, till exempel Word, OneDrive, Outlook och så vidare, behöver inte någon mer anpassning för att tillämpa principer. Dessa appar kan installeras av slutanvändare direkt från Google Play Store.

  2. Integrerade i appbyggen av utvecklare som använder Intune SDK: Apputvecklare kan integrera Intune SDK i sin källkod och kompilera om sina appar för att stödja Intune APP-principfunktioner.

  3. Omsluten med intune-appomslutningsverktyget: Vissa kunder kompilerar Android-appar (. APK-fil) utan åtkomst till källkod. Utan källkoden kan utvecklaren inte integrera med Intune SDK. Utan SDK:t kan de inte aktivera sin app för APP-principer. Utvecklaren måste ändra eller koda om appen för att stödja APP-principer.

    Som hjälp innehåller Intune App Wrapping Tool-verktyget för befintliga Android-appar (APK:er) och skapar en app som identifierar APP-principer.

    Mer information om det här verktyget finns i Förbereda verksamhetsspecifika appar för appskyddsprinciper.

En lista över appar som är aktiverade med APP finns i Hanterade appar med en omfattande uppsättning skyddsprinciper för mobilprogram.

Distributionsscenarier

I det här avsnittet beskrivs de viktiga egenskaperna för scenarier för distribution av personligt ägd arbetsprofil för MAM och Android Enterprise.

MAM

En MAM-distribution definierar principer för appar, inte enheter. För BYOD används MAM ofta på oregistrerade enheter. För att skydda appar och åtkomst till organisationsdata använder administratörer apphanterbara appar och tillämpar dataskyddsprinciper på dessa appar.

Den här funktionen gäller för:

  • Android 4.4 och senare

Tips

Mer information finns i Vad är appskyddsprinciper?.

Personligt ägda Android Enterprise-arbetsprofiler

Personligt ägda Android Enterprise-arbetsprofiler är det centrala distributionsscenariot för Android Enterprise. Personligt ägd Android Enterprise-arbetsprofil är en separat partition som skapas på Android OS-nivå och som kan hanteras av Intune.

En personligt ägd Android Enterprise-arbetsprofil innehåller följande funktioner:

  • Traditionella MDM-funktioner: Viktiga MDM-funktioner, till exempel applivscykelhantering med hanterad Google Play, är tillgängliga i alla Android Enterprise-scenarion. Hanterat Google Play ger en robust upplevelse för att installera och uppdatera appar utan att användaren behöver göra något. IT kan också push-överföra appkonfigurationsinställningar till organisationsappar. Det kräver inte heller att slutanvändare tillåter installationer från okända källor. Andra vanliga MDM-aktiviteter, till exempel distribution av certifikat, konfiguration av WiFi/VPN och inställning av enhetslösenord, är tillgängliga med Personligt ägda Android Enterprise-arbetsprofiler.

  • DLP på gränsen för personligt ägd Android Enterprise-arbetsprofil: Med en personligt ägd Android Enterprise-arbetsprofil tillämpas DLP-principer på arbetsprofilnivå, inte på appnivå. Till exempel tillämpas kopierings-/inklistringsskydd av appinställningarna som tillämpas på en app eller tillämpas av arbetsprofilen. När appen distribueras till en arbetsprofil kan administratörer pausa kopierings-/inklistringsskyddet till arbetsprofilen genom att inaktivera den här principen på APP-nivå.

Tips för att optimera arbetsprofilupplevelsen

Du bör överväga hur du använder APP och flera identiteter när du arbetar med personligt ägda Android Enterprise-arbetsprofiler.

När du ska använda APP i Personligt ägda Android Enterprise-arbetsprofiler

Personligt ägda Arbetsprofiler i Intune APP och Android Enterprise är kompletterande tekniker som kan användas tillsammans eller separat. Arkitektoniskt tillämpar båda lösningarna principer i olika lager – APP på det enskilda applagret och arbetsprofilen på profillagret. Att distribuera appar som hanteras med en APP-princip till en app i en arbetsprofil är ett giltigt scenario som stöds. Om du vill använda APP, arbetsprofiler eller en kombination beror på dina DLP-krav.

Personligt ägda Android Enterprise-arbetsprofiler och APP kompletterar varandras inställningar genom att ge ytterligare täckning om en profil inte uppfyller organisationens dataskyddskrav. Arbetsprofiler tillhandahåller till exempel inte internt kontroller för att begränsa en app från att spara till en obetrodd molnlagringsplats. APP innehåller den här funktionen. Du kan besluta att DLP som endast tillhandahålls av arbetsprofilen är tillräckligt och välja att inte använda APP. Eller så kan du kräva skydd från en kombination av de två.

Ignorera APP-princip för Personligt ägda Android Enterprise-arbetsprofiler

Du kan behöva stödja enskilda användare som har flera enheter – oregistrerade enheter med MAM-hanterade program och hanterade enheter med personligt ägda Android Enterprise-arbetsprofiler.

Du kan till exempel kräva att slutanvändarna anger en PIN-kod när de öppnar en arbetsapp. Beroende på enheten hanteras PIN-funktionerna av APP eller av arbetsprofilen. För MAM-hanterade program framtvingas åtkomstkontroller, inklusive BETEENDET FÖR ATT STARTA MED PIN-kod, av APP. För registrerade enheter kan APP-PIN-koden inaktiveras för att undvika att kräva både en PIN-kod för enheten och en PIN-kod för appen. (APP-PIN-inställning för Android. För arbetsprofilenheter kan du använda en PIN-kod för enhet eller arbetsprofil som tillämpas av operativsystemet. För att åstadkomma det här scenariot konfigurerar du APP-inställningar så att de inte tillämpas när en app distribueras till en arbetsprofil. Om du inte konfigurerar det på det här sättet uppmanas slutanvändaren att ange en PIN-kod av enheten och igen på APP-lagret.

Kontrollera beteendet för flera identiteter i Personligt ägda Android Enterprise-arbetsprofiler

Office-program, till exempel Outlook och OneDrive, har beteendet "flera identiteter". I en instans av programmet kan slutanvändaren lägga till anslutningar till flera olika konton eller molnlagringsplatser. I programmet kan data som hämtas från dessa platser separeras eller sammanfogas. Och användaren kan växla kontext mellan personliga identiteter (user@outlook.com) och organisationsidentiteter (user@contoso.com).

När du använder personligt ägda Android Enterprise-arbetsprofiler kanske du vill inaktivera det här beteendet för flera identiteter. När du inaktiverar den kan märkta instanser av appen i arbetsprofilen endast konfigureras med en organisationsidentitet. Använd appkonfigurationsinställningen Tillåtna konton för att stödja Office Android-appar.

Mer information finns i distribuera konfigurationsinställningar för Outlook för iOS/iPadOS och Android-appar.

När du ska använda Intune APP

Det finns flera scenarier för företagsmobilitet där användning av Intune APP är den bästa rekommendationen.

Ingen MDM, ingen registrering, Google-tjänster är inte tillgängliga

Vissa kunder vill inte ha någon form av enhetshantering, inklusive personligt ägd hantering av Android Enterprise-arbetsprofil, av olika skäl:

  • Juridiska skäl och ansvarsskäl
  • För konsekvens i användarupplevelsen
  • Android-enhetsmiljön är mycket heterogen
  • Det finns ingen anslutning till Google-tjänster, vilket krävs för hantering av arbetsprofiler.

Kunder i eller har användare i Kina kan till exempel inte använda Android-enhetshantering eftersom Google-tjänster blockeras. I det här fallet använder du Intune APP för DLP.

Sammanfattning

Med Intune är både MAM- och Android Enterprise-personligt ägda arbetsprofiler tillgängliga för ditt Android BYOD-program. Du kan välja att använda MAM- och/eller arbetsprofiler beroende på dina affärs- och användningskrav. Sammanfattningsvis använder du Personligt ägda Android Enterprise-arbetsprofiler om du behöver MDM-aktiviteter på hanterade enheter, till exempel certifikatdistribution, app-push och så vidare. Använd MAM om du vill skydda organisationsdata i program.

Nästa steg

Börja använda appskyddsprinciper eller registrera dina enheter.