Gerenciamento de Aplicativo Móvel e perfis de trabalho de propriedade pessoal em dispositivos Android Enterprise em Intune

Em muitas organizações, os administradores são desafiados a proteger recursos e dados em dispositivos diferentes. Um desafio é proteger recursos para usuários com dispositivos Android Enterprise pessoais, também conhecidos como BYOD (traga seu próprio dispositivo). Microsoft Intune dá suporte a dois cenários de implantação do Android para BYOD (traga seu próprio dispositivo):

O MAM e o Android Enterprise cenários de implantação de perfil de trabalho de propriedade pessoal incluem os seguintes recursos importantes para ambientes BYOD:

  • Proteção e segregação de dados gerenciados pela organização: ambas as soluções protegem os dados da organização impondo controles DLP (prevenção contra perda de dados) em dados gerenciados pela organização. Essas proteções impedem vazamentos acidentais de dados protegidos, como um usuário final compartilhando-os acidentalmente em um aplicativo ou conta pessoal. Eles também servem para garantir que um dispositivo que acessa os dados esteja íntegro e não comprometido.

  • Privacidade do usuário final: o MAM separa o conteúdo do usuário final e da organização em aplicativos gerenciados e perfis de trabalho android Enterprise de propriedade pessoal separam o conteúdo dos usuários finais no dispositivo e os dados gerenciados pelo administrador do MDM (gerenciamento de dispositivo móvel). Em ambos os cenários, os administradores de TI impõem políticas, como autenticação somente pin em identidades ou aplicativos gerenciados pela organização. Os administradores de TI não conseguem ler, acessar ou apagar dados de propriedade ou controlados pelos usuários finais.

Se você escolher MAM ou Android Enterprise perfis de trabalho de propriedade pessoal para sua implantação byOD depende de seus requisitos e necessidades de negócios. O objetivo deste artigo é fornecer diretrizes para ajudá-lo a decidir. Para obter mais informações relacionadas a dispositivos Android gerenciados, consulte Gerenciar dispositivos de perfil de trabalho de propriedade pessoal/corporativa do Android com Intune.

Sobre as Intune de proteção de aplicativo

Intune app protection policies (APP) são políticas de proteção de dados direcionadas aos usuários. As políticas aplicam a proteção contra perda de dados no nível do aplicativo. Intune APP requer que os desenvolvedores de aplicativos habilitem recursos de APLICATIVO nos aplicativos que eles criam.

Aplicativos Android individuais são habilitados para APP de algumas maneiras:

  1. Integrados nativamente aos aplicativos internos da Microsoft: Microsoft Office aplicativos para Android e uma seleção de outros aplicativos da Microsoft, vêm com Intune aplicativo interno. Esses Office aplicativos, como Word, OneDrive, Outlook e assim por diante, não precisam de mais personalização para aplicar políticas. Esses aplicativos podem ser instalados pelos usuários finais diretamente da Google Play Store.

  2. Integrado às compilações de aplicativos por desenvolvedores usando o SDK do Intune: os desenvolvedores de aplicativos podem integrar o SDK do Intune ao código-fonte e recompilar seus aplicativos para dar suporte Intune recursos de política de APLICATIVO.

  3. Encapsulado usando a Intune de encapsulamento de aplicativos: alguns clientes compilam aplicativos Android (. Arquivo APK) sem acesso ao código-fonte. Sem o código-fonte, o desenvolvedor não pode se integrar ao SDK do Intune. Sem o SDK, eles não podem habilitar seu aplicativo para políticas de APLICATIVO. O desenvolvedor deve modificar ou recodificar o aplicativo para dar suporte a políticas de APLICATIVO.

    Para ajudar, Intune inclui a ferramenta App Wrapping Tool apKs (aplicativos Android) existentes e cria um aplicativo que reconhece políticas de APLICATIVO.

    Para obter mais informações sobre essa ferramenta, consulte preparar aplicativos de linha de negócios para políticas de proteção de aplicativo.

Para ver uma lista de aplicativos habilitados com APP, consulte aplicativos gerenciados com um conjunto avançado de políticas de proteção de aplicativo móvel.

Cenários de implantação

Esta seção descreve as características importantes do MAM e do Android Enterprise de implantação de perfil de trabalho de propriedade pessoal.

MAM

Uma implantação de MAM define políticas em aplicativos, não em dispositivos. Para BYOD, o MAM geralmente é usado em dispositivos não registrados. Para proteger aplicativos e acesso a dados organizacionais, os administradores usam aplicativos gerenciáveis pelo APP e aplicam políticas de proteção de dados a esses aplicativos.

Esse recurso aplica-se a:

  • Android 4.4 e versão mais recente

Dica

Para obter mais informações, consulte O que são políticas de proteção de aplicativo?.

Perfis Enterprise de trabalho de propriedade pessoal do Android

Os Enterprise de trabalho de propriedade pessoal do Android são o principal cenário de implantação Enterprise Android. O perfil Enterprise trabalho de propriedade pessoal do Android é uma partição separada criada no nível do sistema operacional Android que pode ser gerenciada por Intune.

Um perfil Enterprise trabalho de propriedade pessoal do Android inclui os seguintes recursos:

  • Funcionalidade de MDM tradicional: os principais recursos de MDM, como o gerenciamento do ciclo de vida do aplicativo usando o Google Play gerenciado, estão disponíveis em qualquer cenário de Enterprise Android. O Google Play gerenciado fornece uma experiência robusta para instalar e atualizar aplicativos sem nenhuma intervenção do usuário. A TI também pode enviar por push as definições de configuração do aplicativo para aplicativos organizacionais. Ele também não exige que os usuários finais permitam instalações de fontes desconhecidas. Outras atividades comuns do MDM, como a implantação de certificados, a configuração de WiFi/VPNs e a configuração de senhas de dispositivo estão disponíveis com perfis de trabalho de propriedade pessoal do Android Enterprise.

  • DLP no limite do perfil de trabalho de propriedade pessoal do Android Enterprise: com um perfil de trabalho de propriedade pessoal do Android Enterprise, as políticas DLP são impostas no nível do perfil de trabalho, não no nível do aplicativo. Por exemplo, a proteção de copiar/colar é imposta pelas configurações do APP aplicadas a um aplicativo ou impostas pelo perfil de trabalho. Quando o aplicativo é implantado em um perfil de trabalho, os administradores podem pausar a proteção de copiar/colar no perfil de trabalho desativando essa política no nível do APLICATIVO.

Dicas otimizar a experiência de perfil de trabalho

Você deve considerar como usar o APP e várias identidades ao trabalhar com o Android Enterprise perfis de trabalho de propriedade pessoal.

Quando usar o APP no Android Enterprise perfis de trabalho de propriedade pessoal

Intune APP e Android Enterprise perfis de trabalho de propriedade pessoal são tecnologias complementares que podem ser usadas em conjunto ou separadamente. Arquitetônicamente, ambas as soluções impõem políticas em camadas diferentes – APP na camada de aplicativo individual e perfil de trabalho na camada de perfil. Implantar aplicativos gerenciados com uma política de APLICATIVO em um aplicativo em um perfil de trabalho é um cenário válido e com suporte. Para usar APP, perfis de trabalho ou uma combinação depende de seus requisitos de DLP.

O Android Enterprise perfis de trabalho de propriedade pessoal e o APP complementam as configurações uns dos outros fornecendo cobertura adicional se um perfil não atender aos requisitos de proteção de dados da sua organização. Por exemplo, os perfis de trabalho não fornecem controles nativamente para impedir que um aplicativo salve em um local de armazenamento em nuvem não confiável. O APP inclui esse recurso. Você pode decidir que a DLP fornecida exclusivamente pelo perfil de trabalho é suficiente e optar por não usar o APP. Ou você pode exigir as proteções de uma combinação dos dois.

Suprimir a política de APLICATIVO Enterprise perfis de trabalho de propriedade pessoal do Android

Talvez seja necessário dar suporte a usuários individuais que têm vários dispositivos – dispositivos não registrados com aplicativos gerenciados por MAM e dispositivos gerenciados com android Enterprise perfis de trabalho de propriedade pessoal.

Por exemplo, você exige que os usuários finais insiram um PIN ao abrir um aplicativo de trabalho. Dependendo do dispositivo, os recursos de PIN são manipulados pelo APP ou pelo perfil de trabalho. Para aplicativos gerenciados por MAM, os controles de acesso, incluindo o comportamento de PIN para inicialização, são impostos pelo APP. Para dispositivos registrados, o PIN do APLICATIVO pode ser desabilitado para evitar a necessidade de um PIN de dispositivo e um PIN de APLICATIVO. (Configuração de PIN do APLICATIVO para Android. Para dispositivos de perfil de trabalho, você pode usar um PIN de dispositivo ou perfil de trabalho imposto pelo sistema operacional. Para realizar esse cenário, defina as configurações do APP para que elas não se apliquem quando um aplicativo é implantado em um perfil de trabalho. Se você não configurá-lo dessa forma, o usuário final será solicitado a fornecer um PIN pelo dispositivo e novamente na camada do APP.

Controlar o comportamento de várias identidades no Android Enterprise perfis de trabalho de propriedade pessoal

Office aplicativos, como Outlook e OneDrive, têm o comportamento de "várias identidades". Em uma instância do aplicativo, o usuário final pode adicionar conexões a várias contas distintas ou locais de armazenamento em nuvem. No aplicativo, os dados recuperados desses locais podem ser separados ou mesclados. Além disso, o usuário pode alternar entre identidades pessoais (user@outlook.com) e identidades da organização (user@contoso.com).

Ao usar o Android Enterprise perfis de trabalho de propriedade pessoal, convém desabilitar esse comportamento de várias identidades. Quando você o desabilita, as instâncias com selo do aplicativo no perfil de trabalho só podem ser configuradas com uma identidade da organização. Use a definição de configuração do aplicativo Contas Permitidas para dar suporte Office aplicativos Android.

Para obter mais informações, consulte implantar Outlook para definições de configuração de aplicativos iOS/iPadOS e Android.

Quando usar o Intune APP

Há vários cenários de mobilidade empresarial em que usar Intune APP é a melhor recomendação.

Sem MDM, sem registro, os serviços do Google não estão disponíveis

Alguns clientes não querem nenhuma forma de gerenciamento de dispositivo, incluindo o Android Enterprise gerenciamento de perfil de trabalho de propriedade pessoal, por diferentes motivos:

  • Motivos legais e de responsabilidade
  • Para consistência da experiência do usuário
  • O ambiente de dispositivo Android é altamente heterogêneo
  • Não há nenhuma conectividade com os serviços do Google, o que é necessário para o gerenciamento de perfil de trabalho.

Por exemplo, os clientes que estão ou têm usuários na China não podem usar o gerenciamento de dispositivo Android, pois os serviços do Google estão bloqueados. Nesse caso, use Intune APP para DLP.

Resumo

Usando Intune, O MAM e o Android Enterprise perfis de trabalho de propriedade pessoal estão disponíveis para seu programa BYOD do Android. Você pode optar por usar perfis de trabalho e/ou MAM, dependendo de seus requisitos de negócios e de uso. Em resumo, use o Android Enterprise perfis de trabalho de propriedade pessoal se você precisar de atividades de MDM em dispositivos gerenciados, como implantação de certificado, push de aplicativo e assim por diante. Use o MAM se quiser proteger os dados da organização em aplicativos.

Próximas etapas

Comece a usar políticas de proteção de aplicativo ou registre seus dispositivos.