Поделиться через


Управление мобильными приложениями и личные рабочие профили на устройствах Android Enterprise в Intune

Во многих организациях администраторам требуется защитить ресурсы и данные на разных устройствах. Одной из проблем является защита ресурсов для пользователей с личными устройствами Android Enterprise, также известными как "принеси свое устройство" (BYOD). Microsoft Intune поддерживает два сценария развертывания Android для использования собственных устройств (BYOD):

Сценарии развертывания личного рабочего профиля MAM и Android Enterprise включают следующие ключевые функции, важные для сред BYOD:

  • Защита и разделение данных, управляемых организацией. Оба решения защищают данные организации, применяя средства защиты от потери данных (DLP) к данным, управляемым организацией. Эти меры защиты предотвращают случайные утечки защищенных данных, например, когда конечный пользователь случайно предоставляет их личному приложению или учетной записи. Они также служат для того, чтобы устройство, обращающееся к данным, было работоспособным и не скомпрометировано.

  • Конфиденциальность конечных пользователей. MAM разделяет содержимое конечных пользователей и организации в управляемых приложениях, а личные рабочие профили Android Enterprise разделяют содержимое конечных пользователей на устройстве и данные, управляемые администратором управления мобильными устройствами (MDM). В обоих сценариях ИТ-администраторы применяют политики, такие как проверка подлинности только с ИСПОЛЬЗОВАНИЕМ ПИН-кода для приложений или удостоверений, управляемых организацией. ИТ-администраторы не могут читать, получать доступ к данным, которые принадлежат конечным пользователям или управляются ими.

Выбор личных рабочих профилей MAM или Android Enterprise для развертывания BYOD зависит от ваших требований и бизнес-потребностей. Цель этой статьи — предоставить рекомендации, которые помогут вам принять решение. Дополнительные сведения об управляемых устройствах Android см. в статье Управление устройствами с личным или корпоративным рабочим профилем Android с помощью Intune.

Сведения о политиках защиты приложений Intune

Intune политики защиты приложений (APP) — это политики защиты данных, предназначенные для пользователей. Политики применяют защиту от потери данных на уровне приложения. Intune APP требует, чтобы разработчики приложений включили функции приложения в создаваемых ими приложениях.

Отдельные приложения Android включены для APP несколькими способами:

  1. Встроенная интеграция с приложениями Майкрософт: приложения Microsoft 365 (Office) для Android и ряд других приложений Майкрософт, поставляются со встроенным Intune APP. Эти приложения Office, такие как Word, OneDrive, Outlook и т. д., больше не нуждаются в настройке для применения политик. Эти приложения могут быть установлены конечными пользователями непосредственно из Google Play Store.

  2. Интеграция разработчиков в сборки приложений с помощью пакета SDK для Intune. Разработчики приложений могут интегрировать пакет SDK для Intune в исходный код и перекомпилировать свои приложения для поддержки функций политики приложений Intune.

  3. Оболочка с помощью средства упаковки приложений Intune. Некоторые клиенты компилируют приложения Android (. APK-файл) без доступа к исходному коду. Без исходного кода разработчик не сможет интегрироваться с пакетом SDK для Intune. Без пакета SDK они не смогут включить свое приложение для политик приложений. Разработчик должен изменить или перекодировать приложение для поддержки политик ПРИЛОЖЕНИй.

    Чтобы помочь, Intune включает средство App Wrapping Tool для существующих приложений Android (APK) и создает приложение, которое распознает политики приложений.

    Дополнительные сведения об этом средстве см. в статье Подготовка бизнес-приложений для политик защиты приложений.

Список приложений, включенных с помощью ПРИЛОЖЕНИЯ, см. в статье Управляемые приложения с широким набором политик защиты мобильных приложений.

Сценарии развертывания

В этом разделе описываются важные характеристики сценариев развертывания личного рабочего профиля MAM и Android Enterprise.

MAM

Развертывание MAM определяет политики для приложений, а не устройств. Для BYOD MAM часто используется на незарегистрированных устройствах. Для защиты приложений и доступа к данным организации администраторы используют приложения, управляемые приложением, и применяют к этим приложениям политики защиты данных.

Данная функция применяется к:

  • Android 4.4 и более поздних версий

Совет

Дополнительные сведения см. в статье Что такое политики защиты приложений?

Личные рабочие профили Android Enterprise

Личные рабочие профили Android Enterprise — это основной сценарий развертывания Android Enterprise. Личный рабочий профиль Android Enterprise — это отдельный раздел, созданный на уровне ОС Android, которым можно управлять с помощью Intune.

Личный рабочий профиль Android Enterprise включает следующие функции:

  • Традиционные функции MDM. Ключевые возможности MDM, такие как управление жизненным циклом приложений с помощью управляемого Google Play, доступны в любом сценарии Android Enterprise. Управляемый Google Play предоставляет надежный интерфейс для установки и обновления приложений без вмешательства пользователя. ИТ-служба также может отправлять параметры конфигурации приложений в приложения организации. Кроме того, пользователи не должны разрешать установку из неизвестных источников. Другие распространенные действия MDM, такие как развертывание сертификатов, настройка Wi-Fi/VPN и установка секретных кодов устройств, доступны в личных рабочих профилях Android Enterprise.

  • Защита от потери данных на границе личного рабочего профиля Android Enterprise. При использовании личного рабочего профиля Android Enterprise политики защиты от потери данных применяются на уровне рабочего профиля, а не на уровне приложения. Например, защита от копирования и вставки обеспечивается параметрами приложения, применяемыми к приложению, или рабочим профилем. При развертывании приложения в рабочем профиле администраторы могут приостановить защиту копирования и вставки в рабочий профиль, отключив эту политику на уровне приложения.

Советы по оптимизации работы с рабочим профилем

При работе с личными рабочими профилями Android Enterprise следует учитывать использование приложений и нескольких удостоверений.

Когда следует использовать APP в личных рабочих профилях Android Enterprise

Intune личные рабочие профили APP и Android Enterprise — это взаимодополняющие технологии, которые можно использовать вместе или по отдельности. С архитектурой оба решения применяют политики на разных уровнях: APP на отдельном уровне приложения и рабочий профиль на уровне профиля. Развертывание приложений, управляемых с помощью политики приложений, в приложении в рабочем профиле является допустимым и поддерживаемым сценарием. Использование приложения, рабочих профилей или сочетания зависит от требований к защите от потери данных.

Личные рабочие профили Android Enterprise и app дополняют параметры друг друга, предоставляя дополнительное покрытие, если один профиль не соответствует требованиям вашей организации к защите данных. Например, рабочие профили изначально не предоставляют элементы управления, чтобы ограничить сохранение приложения в ненадежное облачное хранилище. Приложение включает эту функцию. Вы можете решить, что защита от потери данных, предоставляемая только рабочим профилем, является достаточной, и не использовать APP. Кроме того, вы можете требовать защиту от сочетания этих двух компонентов.

Отключение политики приложений для личных рабочих профилей Android Enterprise

Может потребоваться поддержка отдельных пользователей с несколькими устройствами— незарегистрированные устройства с управляемыми приложениями MAM и управляемые устройства с личными рабочими профилями Android Enterprise.

Например, при открытии рабочего приложения пользователям требуется ввести ПИН-код. В зависимости от устройства функции ПИН-кода обрабатываются приложением или рабочим профилем. Для приложений, управляемых MAM, элементы управления доступом, включая поведение пин-кода и запуска, применяются приложением. Для зарегистрированных устройств ПИН-код приложения может быть отключен, чтобы избежать необходимости ввода ПИН-кода устройства и ПИН-кода приложения. (Параметр ПИН-кода приложения для Android. Для устройств с рабочим профилем можно использовать ПИН-код устройства или рабочего профиля, применяемый ОС. Чтобы реализовать этот сценарий, настройте параметры приложения так, чтобы они не применялись при развертывании приложения в рабочем профиле. Если вы не настроите его таким образом, конечный пользователь получает запрос на ВВОД ПИН-кода на устройстве и снова на уровне ПРИЛОЖЕНИЯ.

Управление поведением нескольких удостоверений в личных рабочих профилях Android Enterprise

Приложения Office, такие как Outlook и OneDrive, имеют поведение с несколькими удостоверениями. В пределах одного экземпляра приложения конечный пользователь может добавлять подключения к нескольким отдельным учетным записям или расположениям облачного хранилища. В приложении данные, полученные из этих расположений, могут быть разделены или объединены. Кроме того, пользователь может переключаться между личными удостоверениями (user@outlook.com) и удостоверениями организации (user@contoso.com).

При использовании личных рабочих профилей Android Enterprise может потребоваться отключить это поведение с несколькими удостоверениями. При его отключении для экземпляров приложения с эмблемой в рабочем профиле можно настроить только удостоверение организации. Используйте параметр конфигурации приложения "Разрешенные учетные записи" для поддержки приложений Office Android.

Дополнительные сведения см. в статье Развертывание параметров конфигурации приложений Outlook для iOS/iPadOS и Android.

Когда следует использовать Intune APP

Существует несколько сценариев корпоративной мобильности, в которых рекомендуется использовать Intune APP.

Нет MDM, нет регистрации, службы Google недоступны

Некоторым клиентам не нужна какая-либо форма управления устройствами, включая управление личным рабочим профилем Android Enterprise, по разным причинам:

  • Юридические причины и причины ответственности
  • Для согласованности взаимодействия с пользователем
  • Среда устройства Android очень разнородна
  • Нет подключения к службам Google, которые требуются для управления рабочими профилями.

Например, клиенты в Китае или пользователи в Китае не могут использовать управление устройствами Android, так как службы Google заблокированы. В этом случае используйте Intune APP для защиты от потери данных.

Сводка

С помощью Intune для вашей программы ANDROID BYOD доступны личные рабочие профили MAM и Android Enterprise. Вы можете использовать MAM и (или) рабочие профили в зависимости от бизнес-требований и требований к использованию. Таким образом, используйте личные рабочие профили Android Enterprise, если вам нужны действия MDM на управляемых устройствах, такие как развертывание сертификатов, отправка приложений и т. д. Используйте MAM, если вы хотите защитить данные организации в приложениях.

Дальнейшие действия

Начните использовать политики защиты приложений или зарегистрируйте устройства.