Gerenciamento de Aplicativos Móveis e perfis de trabalho de propriedade pessoal em dispositivos Android Enterprise em Intune
Em muitas organizações, os administradores são desafiados a proteger recursos e dados em diferentes dispositivos. Um desafio é proteger recursos para usuários com dispositivos Android Enterprise pessoais, também conhecidos como BYOD (bring-your-own-device). Microsoft Intune dá suporte a dois cenários de implantação do Android para BYOD (bring-your-own-device):
- Gerenciamento de Aplicativos Móveis (MAM)
- Perfis de trabalho de propriedade pessoal do Android Enterprise
O MAM e os cenários de implantação de perfil de trabalho de propriedade pessoal do Android Enterprise incluem os seguintes recursos importantes para ambientes BYOD:
Proteção e segregação de dados gerenciados pela organização: ambas as soluções protegem os dados da organização aplicando controles DLP (prevenção contra perda de dados) em dados gerenciados pela organização. Essas proteções evitam vazamentos acidentais de dados protegidos, como um usuário final compartilhando-os acidentalmente em um aplicativo pessoal ou conta. Eles também servem para garantir que um dispositivo que acessa os dados esteja íntegro e não comprometido.
Privacidade do usuário final: o MAM separa o conteúdo do usuário final e da organização em aplicativos gerenciados e perfis de trabalho de propriedade pessoal do Android Enterprise separam o conteúdo dos usuários finais no dispositivo e os dados gerenciados pelo administrador do MDM (gerenciamento de dispositivo móvel). Em ambos os cenários, os administradores de TI impõem políticas, como autenticação somente PIN em aplicativos ou identidades gerenciados pela organização. Os administradores de TI não conseguem ler, acessar ou apagar dados pertencentes ou controlados pelos usuários finais.
Se você escolher perfis de trabalho de propriedade pessoal do MAM ou do Android Enterprise para sua implantação BYOD, depende de suas necessidades e de negócios. O objetivo deste artigo é fornecer diretrizes para ajudá-lo a decidir. Para obter mais informações relacionadas a dispositivos Android gerenciados, consulte Gerenciar dispositivos de perfil de trabalho de propriedade pessoal/corporativa do Android com Intune.
Sobre Intune políticas de proteção de aplicativos
Intune app protection policies (APP) são políticas de proteção de dados direcionadas aos usuários. As políticas aplicam a proteção contra perda de dados no nível do aplicativo. Intune APP exige que os desenvolvedores de aplicativos habilitem os recursos do APP nos aplicativos que eles criam.
Aplicativos Android individuais estão habilitados para APP de algumas maneiras:
Integrados nativamente aos aplicativos de primeira parte da Microsoft: aplicativos do Microsoft 365 (Office) para Android e uma seleção de outros aplicativos da Microsoft, vêm com Intune aplicativo interno. Esses aplicativos do Office, como Word, OneDrive, Outlook e assim por diante, não precisam de mais personalização para aplicar políticas. Esses aplicativos podem ser instalados por usuários finais diretamente da Google Play Store.
Integrados a builds de aplicativos por desenvolvedores usando o SDK Intune: os desenvolvedores de aplicativos podem integrar o SDK Intune ao código-fonte e recompilar seus aplicativos para dar suporte a Intune recursos de política do APP.
Encapsulado usando a ferramenta de encapsulamento de aplicativo Intune: alguns clientes compilam aplicativos Android (. Arquivo APK) sem acesso ao código-fonte. Sem o código-fonte, o desenvolvedor não pode se integrar ao SDK Intune. Sem o SDK, eles não podem habilitar seu aplicativo para políticas de APP. O desenvolvedor deve modificar ou recodificar o aplicativo para dar suporte a políticas de APP.
Para ajudar, Intune inclui a ferramenta App Wrapping Tool para APKs (aplicativos Android) existentes e cria um aplicativo que reconhece políticas de APP.
Para obter mais informações sobre essa ferramenta, confira preparar aplicativos de linha de negócios para políticas de proteção de aplicativos.
Para ver uma lista de aplicativos habilitados com o APP, consulte aplicativos gerenciados com um conjunto avançado de políticas de proteção de aplicativos móveis.
Cenários de implantação
Esta seção descreve as características importantes dos cenários de implantação do perfil de trabalho de propriedade pessoal do MAM e do Android Enterprise.
MAM
Uma implantação de MAM define políticas em aplicativos, não em dispositivos. Para BYOD, o MAM geralmente é usado em dispositivos não registrados. Para proteger aplicativos e acessar dados organizacionais, os administradores usam aplicativos gerenciáveis por APLICATIVO e aplicam políticas de proteção de dados a esses aplicativos.
Esse recurso aplica-se a:
- Android 4.4 e versão mais recente
Dica
Para obter mais informações, consulte O que são políticas de proteção de aplicativo?.
Perfis de trabalho de propriedade pessoal do Android Enterprise
Os perfis de trabalho de propriedade pessoal do Android Enterprise são o cenário principal de implantação do Android Enterprise. O perfil de trabalho de propriedade pessoal do Android Enterprise é uma partição separada criada no nível do sistema operacional Android que pode ser gerenciada por Intune.
Um perfil de trabalho de propriedade pessoal do Android Enterprise inclui os seguintes recursos:
Funcionalidade MDM tradicional: os principais recursos do MDM, como o gerenciamento do ciclo de vida do aplicativo usando o Google Play gerenciado, estão disponíveis em qualquer cenário do Android Enterprise. O Google Play gerenciado fornece uma experiência robusta para instalar e atualizar aplicativos sem qualquer intervenção do usuário. A TI também pode enviar configurações de configuração de aplicativo para aplicativos organizacionais. Também não exige que os usuários finais permitam instalações de fontes desconhecidas. Outras atividades comuns do MDM, como implantar certificados, configurar WiFi/VPNs e definir senhas de dispositivo estão disponíveis com perfis de trabalho de propriedade pessoal do Android Enterprise.
DLP no limite de perfil de trabalho de propriedade pessoal do Android Enterprise: com um perfil de trabalho de propriedade pessoal do Android Enterprise, as políticas DLP são impostas no nível do perfil de trabalho, não no nível do aplicativo. Por exemplo, a proteção de cópia/colar é imposta pelas configurações de APP aplicadas a um aplicativo ou impostas pelo perfil de trabalho. Quando o aplicativo é implantado em um perfil de trabalho, os administradores podem pausar a proteção de cópia/colar no perfil de trabalho desativando essa política no nível do APP.
Dicas para otimizar a experiência de perfil de trabalho
Você deve considerar como usar APP e várias identidades ao trabalhar com perfis de trabalho de propriedade pessoal do Android Enterprise.
Quando usar o APP em perfis de trabalho de propriedade pessoal do Android Enterprise
Intune app e perfis de trabalho de propriedade pessoal do Android Enterprise são tecnologias complementares que podem ser usadas em conjunto ou separadamente. Arquitetônicamente, ambas as soluções impõem políticas em camadas diferentes – APP na camada de aplicativo individual e perfil de trabalho na camada de perfil. A implantação de aplicativos gerenciados com uma política de APP em um aplicativo em um perfil de trabalho é um cenário válido e com suporte. Usar APP, perfis de trabalho ou uma combinação depende dos requisitos de DLP.
Perfis de trabalho e APP de propriedade pessoal do Android Enterprise complementam as configurações uns dos outros fornecendo cobertura adicional se um perfil não atender aos requisitos de proteção de dados da sua organização. Por exemplo, os perfis de trabalho não fornecem controles nativamente para restringir uma economia de um aplicativo a um local de armazenamento em nuvem não confiável. O APP inclui esse recurso. Você pode decidir que o DLP fornecido exclusivamente pelo perfil de trabalho é suficiente e optar por não usar o APP. Ou, você pode exigir as proteções de uma combinação dos dois.
Suprimir a política do APP para perfis de trabalho de propriedade pessoal do Android Enterprise
Talvez seja necessário dar suporte a usuários individuais que têm vários dispositivos – dispositivos não registrados com aplicativos gerenciados por MAM e dispositivos gerenciados com perfis de trabalho de propriedade pessoal do Android Enterprise.
Por exemplo, você exige que os usuários finais insiram um PIN ao abrir um aplicativo de trabalho. Dependendo do dispositivo, os recursos PIN são manipulados pelo APP ou pelo perfil de trabalho. Para aplicativos gerenciados do MAM, os controles de acesso, incluindo o comportamento PIN-to-launch, são imposto pelo APP. Para dispositivos registrados, o PIN do APP pode estar desabilitado para evitar a necessidade de um PIN de dispositivo e um PIN de APLICATIVO. (Configuração do PIN do APLICATIVO para Android. Para dispositivos de perfil de trabalho, você pode usar um PIN de dispositivo ou perfil de trabalho imposto pelo sistema operacional. Para realizar esse cenário, configure as configurações do APP para que elas não se apliquem quando um aplicativo é implantado em um perfil de trabalho. Se você não configurá-lo dessa forma, o usuário final será solicitado para um PIN pelo dispositivo e novamente na camada APP.
Controlar o comportamento de várias identidades em perfis de trabalho de propriedade pessoal do Android Enterprise
Aplicativos do Office, como Outlook e OneDrive, têm comportamento de "várias identidades". Em uma instância do aplicativo, o usuário final pode adicionar conexões a várias contas distintas ou locais de armazenamento na nuvem. No aplicativo, os dados recuperados desses locais podem ser separados ou mesclados. E, o usuário é capaz de alternar de contexto entre identidades pessoais (user@outlook.com) e identidades de organização (user@contoso.com).
Ao usar perfis de trabalho de propriedade pessoal do Android Enterprise, talvez você queira desabilitar esse comportamento de várias identidades. Quando você desabilitar, instâncias com selo do aplicativo no perfil de trabalho só podem ser configuradas com uma identidade de organização. Use a configuração de aplicativo Contas Permitidas para dar suporte a aplicativos do Office Android.
Para obter mais informações, confira implantar as configurações de configuração do aplicativo do Outlook para iOS/iPadOS e Android.
Quando usar Intune APP
Há vários cenários de mobilidade empresarial em que usar Intune APP é a melhor recomendação.
Sem MDM, sem registro, os serviços do Google não estão disponíveis
Alguns clientes não querem nenhuma forma de gerenciamento de dispositivos, incluindo o gerenciamento de perfil de trabalho de propriedade pessoal do Android Enterprise, por diferentes razões:
- Razões legais e de responsabilidade
- Para consistência da experiência do usuário
- O ambiente do dispositivo Android é altamente heterogêneo
- Não há conectividade com os serviços do Google, o que é necessário para o gerenciamento de perfil de trabalho.
Por exemplo, os clientes em ou têm usuários na China não podem usar o gerenciamento de dispositivos Android, já que os serviços do Google estão bloqueados. Nesse caso, use Intune APP para DLP.
Resumo
Usando Intune, os perfis de trabalho de propriedade pessoal do MAM e do Android Enterprise estão disponíveis para o programa BYOD do Android. Você pode optar por usar perfis de MAM e/ou de trabalho, dependendo dos requisitos de uso e negócios. Em resumo, use perfis de trabalho de propriedade pessoal do Android Enterprise se precisar de atividades de MDM em dispositivos gerenciados, como implantação de certificado, push de aplicativo e assim por diante. Use o MAM se quiser proteger os dados da organização em aplicativos.
Próximas etapas
Comece a usar políticas de proteção de aplicativo ou registre seus dispositivos.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de