Políticas de proteção de aplicações e perfis de trabalho de propriedade pessoal em dispositivos Android Enterprise em Intune
Em muitas organizações, os administradores são desafiados a proteger recursos e dados em diferentes dispositivos. Um dos desafios é proteger recursos para utilizadores com dispositivos Pessoais Android Enterprise, também conhecidos como bring-your-your-your-own-device (BYOD). Microsoft Intune suporta dois cenários de implementação Android para trazer o seu próprio dispositivo (BYOD):
Os cenários de implementação de perfis de trabalho de propriedade pessoal da APP-WE e da Empresa Android incluem as seguintes características-chave importantes para ambientes BYOD:
Proteção e segregação de dados geridos pela organização : Ambas as soluções protegem os dados da organização através da aplicação dos controlos de prevenção de perda de dados (DLP) sobre dados geridos pela organização. Estas proteções impedem fugas acidentais de dados protegidos, como por exemplo um utilizador final que os partilha acidentalmente numa aplicação ou conta pessoal. Servem também para garantir que um dispositivo que aceda aos dados seja saudável e não esteja comprometido.
Privacidade do utilizador final: OS perfis de trabalho de propriedade pessoal app-WE e Android Enterprise separam os conteúdos dos utilizadores finais no dispositivo e os dados geridos pelo administrador de gestão de dispositivos móveis (MDM). Em ambos os cenários, os administradores de TI aplicam políticas, como a autenticação apenas do PIN em aplicações ou identidades geridas pela organização. Os administradores de TI não conseguem ler, aceder ou apagar dados que sejam propriedade ou controlados pelos utilizadores finais.
Quer escolha perfis de trabalho de propriedade pessoal app-WE ou Android Enterprise para a sua implementação BYOD depende dos seus requisitos e necessidades de negócio. O objetivo deste artigo é fornecer orientação para ajudá-lo a decidir. Para obter mais informações relacionadas com dispositivos Android geridos, consulte Gerir dispositivos de perfil de trabalho de propriedade pessoal/corporativa do Android com o Intune.
Sobre as políticas de proteção de aplicações Intune
As políticas de proteção de aplicações Intune (APP) são políticas de proteção de dados direcionadas aos utilizadores. As políticas aplicam a proteção contra a perda de dados ao nível da aplicação. A Intune APP exige que os desenvolvedores de aplicações permitam funcionalidades de APP nas aplicações que criam.
As aplicações individuais do Android estão ativadas para APP de algumas formas:
Integrado de forma nativa em aplicações de primeira parte da Microsoft: Microsoft Office aplicações para Android, e uma seleção de outras aplicações da Microsoft, vem com intune APP incorporado. Estas Office aplicações, como o Word, OneDrive, Outlook, e assim por diante, não precisam de mais personalização para aplicar políticas. Estas aplicações podem ser instaladas pelos utilizadores finais diretamente da Google Play Store.
Integrados em criações de apps por desenvolvedores que usam o Intune SDK: Os desenvolvedores de aplicações podem integrar o Intune SDK no seu código fonte e recompiler as suas apps para suportar as funcionalidades políticas da Intune APP.
Embrulhado usando a ferramenta de embrulho da aplicação Intune: Alguns clientes compilam aplicações Android (. Ficheiro APK) sem acesso ao código fonte. Sem o código fonte, o desenvolvedor não pode integrar-se com o Intune SDK. Sem o SDK, não podem ativar a sua aplicação para políticas de APP. O desenvolvedor deve modificar ou recodificar a aplicação para apoiar as políticas de APP.
Para ajudar, o Intune inclui a ferramenta App Wrapping Tool para aplicações Android existentes (APKs), e cria uma app que reconhece as políticas de APP.
Para obter mais informações sobre esta ferramenta, consulte preparar aplicações de linha de negócio para políticas de proteção de aplicações.
Para ver uma lista de aplicações ativadas com APP, consulte aplicações geridas com um rico conjunto de políticas de proteção de aplicações móveis.
Cenários de implementação
Esta secção descreve as características importantes dos cenários de implementação de perfis de trabalho de propriedade pessoal da APP-WE e da Android Enterprise.
APP-WE
Uma implementação APP-WE (políticas de proteção de aplicações sem inscrição) define políticas em apps e não em dispositivos. Neste cenário, os dispositivos normalmente não são matriculados ou geridos por uma autoridade mdm, como o Intune. Para proteger as aplicações e o acesso a dados organizacionais, os administradores usam aplicações geríveis pela APP e aplicam políticas de proteção de dados a estas apps.
Esta funcionalidade aplica-se a:
- Android 4.4 e mais tarde
Dica
Para mais informações, veja o que são as políticas de proteção de aplicações?
Os cenários app-WE são para utilizadores finais que querem uma pequena pegada organizacional nos seus dispositivos, e não querem inscrever-se no MDM. Como administrador, ainda precisa de proteger os seus dados. Estes dispositivos não são geridos. Assim, tarefas e funcionalidades comuns do MDM, tais como WiFi, VPN de dispositivos e gestão de certificados, não fazem parte deste cenário de implementação.
Perfis de trabalho da Android Enterprise
Os perfis de trabalho de propriedade pessoal do Android Enterprise são o cenário de implementação do Android Enterprise e o único cenário direcionado para casos de utilização BYOD. O perfil de trabalho pessoal da Android Enterprise é uma divisória separada criada ao nível do Sistema Operativo Android que pode ser gerida pela Intune.
Um perfil de trabalho pessoal da Android Enterprise inclui as seguintes funcionalidades:
Funcionalidade TRADICIONAL DE MDM: As principais capacidades do MDM, como a gestão do ciclo de vida de aplicações utilizando o gerido Google Play, estão disponíveis em qualquer cenário Android Enterprise. O Google Play gerido proporciona uma experiência robusta para instalar e atualizar aplicações sem qualquer intervenção do utilizador. O TI também pode empurrar as definições de configuração de aplicativos para aplicações organizacionais. Também não requer que os utilizadores finais permitam instalações de fontes desconhecidas. Outras atividades comuns do MDM, tais como a implementação de certificados, a configuração wi-fi/VPNs e a definição de códigos de acesso ao dispositivo estão disponíveis com perfis de trabalho pessoalmente do Android Enterprise.
DLP no limite de perfil de trabalho de propriedade pessoal da Android Enterprise: Como APP-WE, IT pode impor políticas de proteção de dados. Com um perfil de trabalho pessoal da Android Enterprise, as políticas DLP são aplicadas ao nível do perfil de trabalho, não ao nível da aplicação. Por exemplo, a proteção de cópia/pasta é aplicada pelas definições de APP aplicadas a uma aplicação, ou aplicadas pelo perfil de trabalho. Quando a aplicação é implantada num perfil de trabalho, os administradores podem interromper a proteção de cópia/pasta para o perfil de trabalho, desligando esta política ao nível da APP.
Sugestões otimizar a experiência do perfil de trabalho
Deve considerar como usar APP e multi-identidade ao trabalhar com perfis de trabalho de propriedade pessoal do Android Enterprise.
Quando usar a APP dentro dos perfis de trabalho da Android Enterprise
Os perfis de trabalho da Intune APP e da Android Enterprise são tecnologias complementares que podem ser usadas em conjunto ou separadamente. Em termos arquitetónicos, ambas as soluções impõem políticas em diferentes camadas – APP na camada de aplicações individuais, e perfil de trabalho na camada de perfil. Implementar aplicações geridas com uma política de APP para uma aplicação num perfil de trabalho é um cenário válido e suportado. Utilizar APP, perfis de trabalho ou uma combinação depende dos seus requisitos DLP.
Os perfis de trabalho e APP da Android Enterprise complementam as configurações uns dos outros, fornecendo cobertura adicional se um perfil não cumprir os requisitos de proteção de dados da sua organização. Por exemplo, os perfis de trabalho não fornecem controlos nativo para restringir uma aplicação de poupar para um local de armazenamento de nuvem não fidedinha. A APP inclui esta funcionalidade. Pode decidir que o DLP fornecido unicamente pelo perfil de trabalho é suficiente e optar por não utilizar a APP. Ou pode precisar das proteções de uma combinação dos dois.
Suprimir a política de APP para perfis de trabalho pessoalmente da Android Enterprise
Poderá ser necessário suportar utilizadores individuais que tenham vários dispositivos - dispositivos não geridos num cenário APP-WE e dispositivos geridos com perfis de trabalho pessoalmente do Android Enterprise.
Por exemplo, é necessário que os utilizadores finais introduzam um PIN ao abrir uma aplicação de trabalho. Dependendo do dispositivo, as funcionalidades PIN são manuseadas por APP ou pelo perfil de trabalho. Para os dispositivos APP-WE, o comportamento PIN-para-lançamento é aplicado pela APP. Para dispositivos de perfil de trabalho, pode utilizar um DISPOSITIVO ou PIN de perfil de trabalho imposto pelo SISTEMA. Para concretizar este cenário, configurar as definições de APP para que não se apliquem quando uma aplicação é implantada num perfil de trabalho. Se não o configurar desta forma, o utilizador final é solicitado por um PIN pelo dispositivo e novamente na camada APP.
Controle o comportamento multi-identidade nos perfis de trabalho da Android Enterprise
Office aplicações, como Outlook e OneDrive, têm comportamento "multi-identidade". Dentro de um caso da aplicação, o utilizador final pode adicionar ligações a várias contas distintas ou locais de armazenamento em nuvem. Dentro da aplicação, os dados obtidos a partir destes locais podem ser separados ou fundidos. E, o utilizador pode contextualizar a troca entre identidades pessoais user@outlook.com e identidades de organização user@contoso.com ( ).
Ao utilizar perfis de trabalho pessoalmente da Android Enterprise, poderá querer desativar este comportamento multi-identidade. Quando a desativa, as instâncias crachadas da aplicação no perfil de trabalho só podem ser configuradas com uma identidade de organização. Utilize a configuração da aplicação Contas Permitidas para suportar Office aplicações Android.
Para obter mais informações, consulte implementar Outlook para configurações de aplicações iOS/iPadOS e Android.
Quando usar a APP Intune
Existem vários cenários de mobilidade empresarial onde usar a App Intune é a melhor recomendação.
Sem MDM, sem inscrições, os serviços do Google estão indisponíveis
Alguns clientes não querem qualquer forma de gestão de dispositivos, incluindo a gestão de perfis de trabalho pessoalmente da Android Enterprise, por diferentes razões:
- Razões legais e de responsabilidade
- Para a consistência da experiência do utilizador
- O ambiente do dispositivo Android é altamente heterogéneo
- Não existe qualquer conectividade com os serviços da Google, o que é necessário para a gestão do perfil de trabalho.
Por exemplo, os clientes que têm utilizadores na China não podem usar a gestão de dispositivos Android uma vez que os serviços da Google estão bloqueados. Neste caso, utilize a App Intune para DLP.
Resumo
Utilizando o Intune, tanto os perfis de trabalho de propriedade pessoal da APP-WE como da Android Enterprise estão disponíveis para o seu programa ANDROID BYOD. Escolher APP-WE ou perfis de trabalho depende dos requisitos de negócio e utilização. Em resumo, utilize perfis de trabalho pessoalmente do Android Enterprise se precisar de atividades de MDM em dispositivos geridos, tais como implementação de certificados, push de aplicações, e assim por diante. Utilize o APP-WE se não quiser ou não conseguir gerir dispositivos, e esteja a utilizar apenas aplicações ativadas pela App Intune.
Passos seguintes
Comece a utilizar políticas de proteção de aplicações,ou inscreva os seus dispositivos.