Intune中的 Android Enterprise 设备上的移动应用程序管理和个人拥有的工作配置文件

项目
12/12/2023

在许多组织中，管理员需要保护不同设备上的资源和数据。一个挑战是保护使用个人 Android Enterprise 设备（也称为自带设备 (BYOD) ）的用户的资源。 Microsoft Intune支持两种 Android 部署方案，用于自带设备 (BYOD) ：

MAM 和 Android Enterprise 个人拥有的工作配置文件部署方案包括以下对 BYOD 环境非常重要的关键功能：

组织和隔离组织管理的数据：这两种解决方案都通过强制实施数据丢失防护 (DLP) 组织托管数据的控制来保护组织数据。这些保护可防止受保护数据的意外泄漏，例如最终用户意外将其共享到个人应用或帐户。它们还有助于确保访问数据的设备正常运行且不会受到威胁。
最终用户隐私：MAM 将托管应用程序中的最终用户和组织内容与 Android Enterprise 个人拥有的工作配置文件分开，将设备上的最终用户内容与移动设备管理 (MDM) 管理员管理的数据分开。在这两种方案中，IT 管理员都强制实施策略，例如对组织管理的应用或标识进行仅 PIN 身份验证。 IT 管理员无法读取、访问或清除最终用户拥有或控制的数据。

是否为 BYOD 部署选择 MAM 或 Android Enterprise 个人拥有的工作配置文件取决于你的要求和业务需求。本文的目的是提供指导来帮助你做出决定。有关托管 Android 设备的详细信息，请参阅使用Intune管理 Android 个人拥有/公司拥有的工作配置文件设备。

关于Intune应用保护策略

Intune应用保护策略 (应用) 是面向用户的数据保护策略。策略在应用程序级别应用数据丢失保护。 Intune APP 要求应用开发人员在他们创建的应用上启用应用功能。

可通过以下几种方式为应用启用单个 Android 应用：

本机集成到 Microsoft 第一方应用中：Microsoft 365 (Office) Android 应用以及一系列其他 Microsoft 应用，内置Intune应用。这些 Office 应用（如Word、OneDrive、Outlook 等）无需再进行任何自定义来应用策略。最终用户可以直接从 Google Play Store 安装这些应用。
集成到开发人员使用 Intune SDK 的应用生成中：应用开发人员可以将 Intune SDK 集成到其源代码中，并重新编译其应用以支持Intune应用策略功能。
使用Intune应用包装工具包装：某些客户 ( 编译 Android 应用。APK 文件) 无法访问源代码。如果没有源代码，开发人员无法与 Intune SDK 集成。如果没有 SDK，他们无法为应用策略启用应用。开发人员必须修改或重新编码应用以支持应用策略。

为了提供帮助，Intune包括适用于现有 Android 应用的App Wrapping Tool工具 (APK) ，并创建可识别应用策略的应用。

有关此工具的详细信息，请参阅为应用保护策略准备业务线应用。

若要查看使用 APP 启用的应用列表，请参阅具有一组丰富的移动应用程序保护策略的托管应用。

部署方案

本部分介绍 MAM 和 Android Enterprise 个人拥有的工作配置文件部署方案的重要特征。

MAM

MAM 部署在应用（而不是设备）上定义策略。对于 BYOD，MAM 通常用于未注册的设备。为了保护应用和对组织数据的访问，管理员使用可管理应用的应用，并将数据保护策略应用于这些应用。

此功能适用于：

Android 4.4 及更高版本

提示

有关详细信息，请参阅什么是应用保护策略？。

Android Enterprise 个人拥有的工作配置文件

Android Enterprise 个人拥有的工作配置文件是 Android Enterprise 部署的核心方案。 Android Enterprise 个人拥有的工作配置文件是在 Android OS 级别创建的单独分区，可由Intune管理。

Android Enterprise 个人拥有的工作配置文件包括以下功能：

传统 MDM 功能：关键 MDM 功能（如使用托管 Google Play 的应用生命周期管理）在任何 Android 企业方案中都可用。托管的 Google Play 提供可靠的体验，无需任何用户干预即可安装和更新应用。 IT 还可以将应用配置设置推送到组织应用。它也不要求最终用户允许来自未知源的安装。 Android Enterprise 个人拥有的工作配置文件提供了其他常见 MDM 活动，例如部署证书、配置 WiFi/VPN 以及设置设备密码。
Android Enterprise 个人拥有的工作配置文件边界上的 DLP：对于 Android Enterprise 个人拥有的工作配置文件，DLP 策略在工作配置文件级别而不是应用级别强制执行。例如，复制/粘贴保护由应用于应用的应用设置强制实施，或由工作配置文件强制实施。将应用部署到工作配置文件后，管理员可以通过在应用级别关闭此策略来暂停对工作配置文件的复制/粘贴保护。

优化工作配置文件体验的提示

在使用 Android Enterprise 个人拥有的工作配置文件时，应考虑如何使用 APP 和多标识。

何时在 Android Enterprise 个人拥有的工作配置文件中使用应用

Intune APP 和 Android Enterprise 个人拥有的工作配置文件是可以一起使用或单独使用的互补技术。在体系结构上，这两种解决方案在不同层强制实施策略 - 单个应用层的 APP，在配置文件层强制实施工作配置文件。将使用应用策略管理的应用部署到工作配置文件中的应用是一种有效且受支持的方案。使用 APP、工作配置文件或组合取决于 DLP 要求。

Android Enterprise 个人拥有的工作配置文件和应用在一个配置文件不符合组织的数据保护要求时，通过提供额外的覆盖范围来补充彼此的设置。例如，工作配置文件本身不会提供用于限制应用保存到不受信任的云存储位置的控制。 APP 包含此功能。你可以决定仅由工作配置文件提供的 DLP 已足够，并选择不使用 APP。或者，可以要求对两者的组合进行保护。

禁止使用适用于 Android Enterprise 个人拥有的工作配置文件的应用策略

可能需要支持具有多个设备（具有 MAM 托管应用程序的未注册设备）的单个用户，以及具有 Android Enterprise 个人拥有的工作配置文件的托管设备。

例如，你要求最终用户在打开工作应用时输入 PIN。 PIN 功能由应用或工作配置文件处理，具体取决于设备。对于 MAM 托管应用程序，访问控制（包括 PIN 到启动行为）由应用强制执行。对于已注册的设备，可以禁用应用 PIN，以避免同时需要设备 PIN 和应用 PIN。 (Android 应用 PIN 设置。对于工作配置文件设备，可以使用 OS 强制实施的设备或工作配置文件 PIN。若要完成此方案，请配置应用设置，以便在将应用部署到工作配置文件时不应用这些设置。如果未以这种方式配置，则最终用户会收到设备提示输入 PIN，并在应用层再次提示输入 PIN。

控制 Android Enterprise 个人拥有的工作配置文件中的多标识行为

Office 应用程序（如 Outlook 和 OneDrive）具有“多标识”行为。在应用程序的一个实例中，最终用户可以添加到多个不同帐户或云存储位置的连接。在应用程序中，从这些位置检索到的数据可以分离或合并。而且，用户能够在个人标识 () user@outlook.com 和组织标识之间进行上下文切换， user@contoso.com () 。

使用 Android Enterprise 个人拥有的工作配置文件时，可能需要禁用此多标识行为。禁用它时，工作配置文件中带锁屏提醒的应用实例只能使用组织标识进行配置。使用“允许的帐户”应用配置设置来支持 Office Android 应用。

有关详细信息，请参阅部署 Outlook for iOS/iPadOS 和 Android 应用配置设置。

何时使用 Intune APP

在多种企业移动性方案中，最好使用 Intune APP。

无 MDM、无注册、Google 服务不可用

出于不同原因，某些客户不需要任何形式的设备管理，包括 Android Enterprise 个人拥有的工作配置文件管理：

法律和责任原因
为了保持用户体验的一致性
Android 设备环境具有高度异质性
与 Google 服务没有任何连接，这是工作配置文件管理所必需的。

例如，在中国的客户或在中国拥有用户的客户无法使用 Android 设备管理，因为 Google 服务被阻止。在这种情况下，请使用用于 DLP Intune APP。

摘要

使用 Intune，MAM 和 Android Enterprise 个人拥有的工作配置文件都可用于 Android BYOD 计划。可以根据业务和使用情况要求选择使用 MAM 和/或工作配置文件。总之，如果需要在托管设备上执行 MDM 活动，例如证书部署、应用推送等，请使用 Android Enterprise 个人拥有的工作配置文件。如果要保护应用程序中的组织数据，请使用 MAM。