Android Enterprise 裝置上的行動應用程式管理和個人擁有的工作配置檔 Intune

在許多組織中，系統管理員都面臨保護不同裝置上資源和數據的挑戰。 其中一項挑戰是使用個人 Android Enterprise 裝置保護使用者的資源，也稱為攜帶您自己的裝置 (BYOD) 。 Microsoft Intune 支援兩種 Android 部署案例，適用於攜帶您自己的裝置 (BYOD) ：

• Mobile Application Management (MAM)
• Android Enterprise 個人擁有的工作配置檔

MAM 和 Android Enterprise 個人擁有的工作配置檔部署案例包含下列 BYOD 環境的重要功能：

• 保護和隔離組織管理的數據：這兩個解決方案都會藉由對組織管理的數據強制執行數據外泄防護 (DLP) 控制來保護組織數據。 這些保護可防止意外洩漏受保護的數據，例如終端使用者不小心將其共用至個人應用程式或帳戶。 它們也可確保存取數據的裝置狀況良好且不會遭到入侵。

• 用戶隱私權：MAM 會分隔受控應用程式中的使用者和組織內容，Android Enterprise 個人擁有的工作配置檔會分隔裝置上的用戶內容，以及由行動裝置管理 (MDM) 系統管理員管理的數據。 在這兩種情況下，IT 系統管理員都會強制執行原則，例如組織管理的應用程式或身分識別上的僅限 PIN 驗證。 IT 系統管理員無法讀取、存取或清除終端用戶擁有或控制的數據。

您為 BYOD 部署選擇 MAM 或 Android Enterprise 個人擁有的工作設定檔，取決於您的需求和商務需求。 本文的目標是提供指引來協助您決定。 如需受控 Android 裝置的詳細資訊，請參閱使用 Intune 管理 Android 個人擁有/公司擁有的工作配置檔裝置。

關於 Intune 應用程式保護原則

Intune 應用程式保護原則 (APP) 是以使用者為目標的數據保護原則。 這些原則會在應用層級套用數據遺失保護。 Intune 應用程式需要應用程式開發人員在所建立的應用程式上啟用應用程式功能。

個別的 Android 應用程式會透過幾種方式為 APP 啟用：

1. 原生整合到Microsoft第一方應用程式：Microsoft 365 (適用於 Android 的 Office) 應用程式，以及其他Microsoft應用程式的選取專案，隨附 Intune 應用程式內建。 這些 Office 應用程式，例如 Word、OneDrive、Outlook 等等，不需要再進行任何自定義即可套用原則。 用戶可以直接從Google Play商店安裝這些應用程式。

2. 由開發人員使用 Intune SDK 整合到應用程式組建中：應用程式開發人員可以將 Intune SDK 整合到其原始程式碼，並重新編譯其應用程式，以支援 Intune 應用程式原則功能。

3. 使用 Intune 應用程式包裝工具包裝：有些客戶會編譯 Android 應用程式 (。APK 檔案) 不存取原始程式碼。 如果沒有原始程式碼，開發人員就無法與 Intune SDK 整合。 如果沒有 SDK，他們就無法針對 APP 原則啟用其應用程式。 開發人員必須修改或重新編碼應用程式，才能支援APP原則。

   為了提供協助，Intune 包含現有 Android 應用程式 (APK) 的 App Wrapping Tool 工具，並建立可辨識 APP 原則的應用程式。

   如需此工具的詳細資訊，請參閱 準備應用程式保護原則的企業營運應用程式。

若要查看已啟用APP的應用程式清單，請參閱 具有一組豐富行動應用程式保護原則的受控應用程式。

部署案例

本節說明 MAM 和 Android Enterprise 個人擁有工作配置檔部署案例的重要特性。

MAM

MAM 部署會在應用程式上定義原則，而不是在裝置上定義原則。 針對 BYOD，MAM 通常用於未註冊的裝置上。 為了保護應用程式和存取組織數據，系統管理員會使用APP可管理的應用程式，並將資料保護原則套用至這些應用程式。

本功能適用於：

• Android 4.4 和更新版本

提示

如需詳細資訊，請 參閱什麼是應用程式保護原則？。

Android Enterprise 個人擁有的工作配置檔

Android Enterprise 個人擁有的工作配置檔是核心 Android Enterprise 部署案例。 Android Enterprise 個人擁有的工作配置檔是在 Android OS 層級建立的個別分割區，可由 Intune 管理。

Android Enterprise 個人擁有的工作設定檔包含下列功能：

• 傳統 MDM 功能：任何 Android Enterprise 案例都提供重要的 MDM 功能，例如使用受控 Google Play 的應用程式生命週期管理。 受控 Google Play 提供強大的體驗來安裝和更新應用程式，而不需要任何使用者介入。 IT 也可以將應用程式組態設定推送至組織應用程式。 它也不需要終端用戶允許來自未知來源的安裝。 Android Enterprise 個人擁有的工作配置檔可使用其他常見的 MDM 活動，例如部署憑證、設定 WiFi/VPN，以及設定裝置密碼。

• Android Enterprise 個人擁有工作配置檔界限上的 DLP：使用 Android Enterprise 個人擁有的工作設定檔時，DLP 原則會在工作設定檔層級強制執行，而不是在應用程式層級強制執行。 例如，複製/貼上保護是由套用至應用程式的應用程式設定強制執行，或由工作配置檔強制執行。 當應用程式部署到工作配置檔時，系統管理員可以在應用程式層級關閉此原則，以暫停工作配置檔的複製/貼上保護。

優化工作配置檔體驗的秘訣

使用 Android Enterprise 個人擁有的工作設定檔時，您應該考慮如何使用 APP 和多重身分識別。

在 Android Enterprise 個人擁有的工作設定檔中使用 APP 的時機

Intune APP 和 Android Enterprise 個人擁有的工作配置檔是可一起或個別使用的互補技術。 在架構上，這兩個解決方案都會在不同的層級強制執行原則 – 個別應用層的APP，以及配置檔層的工作配置檔。 將使用APP原則管理的應用程式部署到工作配置檔中的應用程式是有效且支援的案例。 使用 APP、工作設定檔或組合取決於您的 DLP 需求。

如果某個配置檔不符合貴組織的數據保護需求，則 Android Enterprise 個人擁有的工作配置檔和 APP 會提供額外的涵蓋範圍，以補充彼此的設定。 例如，工作配置檔不會以原生方式提供控制，以限制應用程式儲存至不受信任的雲端儲存位置。 APP 包含這項功能。 您可以決定僅由工作配置檔提供的 DLP 已足夠，並選擇不使用 APP。 或者，您可以要求兩者的組合提供保護。

隱藏 Android Enterprise 個人擁有工作配置檔的 APP 原則

您可能需要支援具有多個裝置的個別使用者 - 具有 MAM 受控應用程式的未註冊裝置，以及具有 Android Enterprise 個人擁有工作設定檔的受管理裝置。

例如，您需要使用者在開啟工作應用程式時輸入 PIN。 根據裝置，PIN 功能會由APP或工作配置文件處理。 針對 MAM 受控應用程式，包括 PIN 到啟動行為的訪問控制會由 APP 強制執行。 對於已註冊的裝置，可能會停用應用程式 PIN，以避免同時需要裝置 PIN 和應用程式 PIN。 (Android 的應用程式 PIN 設定。 針對工作設定檔裝置，您可以使用 OS 強制執行的裝置或工作設定檔 PIN。 若要完成此案例，請設定應用程式設定，使其不會在應用程式部署到工作配置檔 時 套用。 如果您未以這種方式進行設定，裝置會提示使用者輸入 PIN 碼，並在應用層再次提示使用者輸入 PIN 碼。

在Android Enterprise個人擁有的工作配置檔中控制多重身分識別行為

Outlook 和 OneDrive 等 Office 應用程式具有「多重身分識別」行為。 在應用程式的一個實例中，用戶可以將連線新增至多個不同的帳戶或雲端記憶體位置。 在應用程式內，從這些位置擷取的數據可以分開或合併。 而且，用戶能夠在個人身分識別 () user@outlook.com 與組織身分識別 () user@contoso.com 之間進行內容切換。

使用 Android Enterprise 個人擁有的工作設定檔時，您可能會想要停用此多重身分識別行為。 當您停用它時，只能使用組織身分識別來設定工作配置檔中應用程式的徽章實例。 使用 [允許的帳戶] 應用程式組態設定來支援 Office Android 應用程式。

如需詳細資訊，請 參閱部署 iOS/iPadOS 版 Outlook 和 Android 應用程式組態設定。

使用 Intune APP 的時機

有數個企業行動性案例，其中使用 Intune APP 是最佳建議。

沒有 MDM、沒有註冊、Google 服務無法使用

有些客戶基於不同的原因，不想要任何形式的裝置管理，包括 Android Enterprise 個人擁有的工作配置檔管理：

• 法律和責任原因
• 用戶體驗的一致性
• Android 裝置環境具有高度異質性
• 對Google服務沒有任何連線能力，這是工作配置檔管理的必要專案。

例如，中國或有使用者的客戶無法使用 Android 裝置管理，因為 Google 服務遭到封鎖。 在此情況下，請使用 Intune APP for DLP。

摘要

使用 Intune，MAM 和 Android Enterprise 個人擁有的工作配置檔都適用於您的 Android BYOD 計劃。 您可以選擇使用 MAM 和 / 或工作設定檔，視您的業務和使用需求而定。 總而言之，如果您需要受管理裝置上的 MDM 活動，例如憑證部署、應用程式推送等，請使用 Android Enterprise 個人擁有的工作配置檔。 如果您要保護應用程式內的組織數據，請使用 MAM。

後續步驟

開始使用應用程式保護原則，或 註冊您的裝置。