Hantera Android-enheter med personligt ägd/företagsägd arbetsprofil med Intune

Android Enterprise erbjuder en uppsättning registreringsalternativ som ger användarna de senaste och säkraste funktionerna. Registrering med en Personligt ägd/företagsägd Android Enterprise-arbetsprofil möjliggör en uppsättning funktioner och tjänster som separerar personliga appar och data från arbetsappar och data. Det ger också ytterligare hanteringsfunktioner och sekretess när personer använder sina personliga Android-enheter för arbete.

Enheter som stöds

Android Enterprise-hanteringsfunktioner förlitar sig på funktioner som ingår i nyare Android-operativsystem. För enheter som inte stöder Android Enterprise är konventionell Android-hantering fortfarande tillgängligt. Mer information finns i Krav för Android Enterprise.

Introduktioner

Innan du registrerar Android Enterprise-arbetsprofilenheter måste du slutföra några registreringssteg. De här stegen upprättar en anslutning mellan din Intune klientorganisation och hanterad Google Play. Mer information finns i Aktivera registrering av Android Enterprise-enheter med personligt ägd arbetsprofil eller Konfigurera Intune registrering av företagsägda Android Enterprise-enheter med arbetsprofil.

Hantering av arbetsprofil

När du hanterar en Personligt ägd eller företagsägd Android Enterprise-arbetsprofilenhet med Intune hanterar du inte hela enheten. Hanteringsfunktionerna påverkar bara arbetsprofilen som skapas på enheten under registreringen. Alla appar som distribueras till enheten med Intune installeras i arbetsprofilen. Appikoner i arbetsprofilen skiljer sig från personliga appar på enheten. Alla Android-appar och data utanför Android Enterprise-delen av enheten förblir personliga och kontrolleras av slutanvändaren. Användare kan installera valfri app som de väljer på enhetens personliga sida. Administratörer kan hantera och övervaka appar och åtgärder som är begränsade till arbetsprofilen.

När du konfigurerar principer för enhetskonfiguration eller efterlevnad kan du med det breda utbudet av inställningar skräddarsy skyddet efter dina specifika behov. Mer information om hur du implementerar specifika säkerhetskonfigurationsscenarier finns i vägledningen för ramverket för säkerhetskonfiguration för Android Enterprise-enhetsbegränsningsprinciper.

Ramverket för säkerhetskonfiguration är indelat i olika konfigurationsnivåer som ger vägledning för personligt ägda och övervakade enheter, där varje nivå bygger vidare på föregående nivå. De tillgängliga nivåerna och inställningarna på varje nivå varierar beroende på registreringsläge:

Du kan också granska enhetsefterlevnadsinställningarna för Android Enterprise i Intune- och Android Enterprise-enhetsinställningarna för att tillåta eller begränsa funktioner med hjälp av Intune.

Publicering och distribution av appar

Hanterad Google Play är en integrerad del av distribution och hantering av Android Enterprise-appar. Alla appar som distribueras till Android Enterprise-enheter med personligt ägd och företagsägd arbetsprofil i arbetsprofilen kommer från den hanterade Google Play-tjänsten. Om du vill hantera och distribuera appar i Play Store loggar du in på Google Play-webbplatsen med ditt företags administratörsautentiseringsuppgifter för Google-hantering. Du kan godkänna appar för Android Enterprise-distribution så att de visas i enheternas arbetsprofiler. Dessa appar synkroniseras sedan till administrationscentret för Microsoft Endpoint Manager där de sedan kan distribueras och hanteras med hjälp av Intune. Verksamhetsspecifika appar (LOB) som utvecklats av din organisation måste publiceras till Managed Google Play med googles publiceringskonsol för Android-appar. Verksamhetsspecifika appar måste konfigureras i Android-apppubliceringskonsolen för att begränsa åtkomsten till din organisation.

Appar kan installeras utan användarinteraktion och utan att användaren behöver tillåta installation från okända källor. Om du vill bläddra bland och installera valfria eller tillgängliga appar kan användaren bläddra i Play for Work Store på sin enhet. Mer information finns i Tilldela appar till Android Enterprise-arbetsprofilenheter med Intune.

Appkonfiguration

Android Enterprise tillhandahåller infrastruktur för distribution av appkonfigurationsvärden till appar som stöder dem. Genom att ange konfigurationsvärden för arbetsappar ser du till att de är korrekt inställda när användarna startar appen för första gången. Stöd för appkonfiguration kräver att apputvecklare skapar sina Android-appar specifikt för att stödja hanterade konfigurationsvärden. Om de gör det kan du använda Intune för att ange och tillämpa dessa konfigurationsinställningar. Mer information finns i Lägga till appkonfigurationsprinciper för hanterade Android-enheter.

Email konfiguration

Android Enterprise tillhandahåller inte någon standardapp för e-post eller internt e-postprofilobjekt som de som tillhandahålls av iOS/iPadOS. I stället kan e-postkonfigurationer ställas in genom att tillämpa appkonfigurationsinställningar på e-postappar som stöder dem. Gmail och Nine Work är två Exchange ActiveSync klientappar (EAS) i Play Store som stöder konfiguration med Android Enterprise-appkonfiguration.

Intune tillhandahåller konfigurationsmallar för Gmail- och Nine Work-appar när de hanteras som arbetsappar. Andra e-postappar som stöder appkonfigurationsprofiler kan konfigureras med konfigurationsprinciper för mobilappar.

Om du använder Exchange ActiveSync villkorlig åtkomst för en Android Enterprise-enhet med personligt ägd eller företagsägd arbetsprofil bör du överväga att använda gmail- eller Nine Work-e-postappen. Den Microsoft Outlook för Android-appen, eller någon annan e-postapp som använder modern autentisering via MSAL, stöds också. Mer information finns i Konfigurera e-postinställningar i Microsoft Intune.

Obs!

Azure Active Directory (Azure AD) Autentiseringsbibliotek (ADAL) kommer att vara inaktuellt, så vi rekommenderar att du uppdaterar appar som för närvarande använder det till MSAL. Mer information finns i Uppdatera dina program så att de använder Microsoft Authentication Library (MSAL) och Microsoft Graph API.

Appskydd principer

Appskydd principer som tillämpas stöds fullt ut i den personligt ägda/företagsägda arbetsprofilen och i den personliga profilen. Du kan publicera verksamhetsspecifika appar i Publiceringskonsolen för Android-appar på https://play.google.com/apps/publish. Den här konsolen innehåller ett alternativ för att göra appar privata för din organisation. Mer information finns i Lägga till en enhetsefterlevnadsprincip för Android Enterprise-arbetsprofilenheter i Intune. Allmän information om appskyddsprinciper finns i Vad är appskyddsprinciper?

VPN-profiler

VPN-stöd liknar Android VPN-profiler. Samma VPN-leverantörer och grundläggande konfigurationsalternativ är tillgängliga för Android Enterprise-hantering med två skillnader:

  • VPN med arbetsprofilomfattning – VPN-anslutningar är begränsade till bara de appar som distribueras till den personligt ägda eller företagsägda arbetsprofilen. Endast Android Enterpise-hanterade appar kan använda VPN-anslutningen. Personliga appar på enheten kan inte använda en hanterad VPN-anslutning. Mer information finns i VPN-inställningar för Android Enterprise.

  • Appspecifik VPN – Appspecifik VPN kan konfigureras i Intune om VPN-providern stöder:

Certifikatprofiler

Samma konfigurationsalternativ för certifikatprofiler som är tillgängliga för Android-hantering är tillgängliga på personligt ägda och företagsägda Android Enterprise-enheter med arbetsprofil. Android Enterprise tillhandahåller förbättrade API:er för certifikathantering. Förbättrad certifikathantering ger följande funktioner:

  • Säkerställer att certifikatdistributionen är tyst och sömlös för användaren.
  • Säkerställer att distribuerade certifikat tas bort när en enhet dras tillbaka från Intune och arbetsprofilen tas bort.
  • Ger förbättrade meddelanden som informerar användarna om att certifikatet har distribuerats och konfigurerats av it-avdelningen via deras hanteringstjänst.

Mer information finns i Konfigurera en certifikatprofil för dina enheter i Microsoft Intune.

Wi-Fi profiler

Wi-Fi profiler som hanteras av Android Enterprise tas bort när enheten dras tillbaka från Intune och arbetsprofilen tas bort. Mer information finns i Konfigurera Wi-Fi inställningar i Microsoft Intune.

Nästa steg