Work Profile für Mixed-Use unternehmenseigene Geräte, früher bekannt als Corporate-owned Personally Enabled (COPE), ist eine Erweiterung von Work Profiles für BYOD.
Wie bei Work Profiles gibt es eine klare Trennung von Geschäfts- und Persönlichkeitsdaten sowie Apps auf dem Gerät. Die verwaltende Organisation kann keine Daten in Bewegung oder im Ruhezustand im persönlichen Container „sehen".
Der Hauptunterschied besteht jedoch darin, dass die IT-Abteilung zusätzlich die Möglichkeit hat, geräteweit geltende Einstellungen anzuwenden, wie z. B. WiFi-Konfigurationen, Verhinderung der App-Installation in der Geschäfts- und persönlichen Partition, Verhinderung von USB-Dateiübertragungen und vieles mehr.
Diese Verwaltungsstrategie wurde entwickelt, um die Datenschutzrechte der Endbenutzer zu bewahren und gleichzeitig der IT eine bessere Kontrolle über das physische Gerät zu ermöglichen, das letztendlich ihr Eigentum ist.
Bereitstellung von Work Profile für Mixed-Use unternehmenseigene Geräte
Genau wie bei iOS/iPadOS bietet Google eine Zero-Touch-Enrollment-Funktion zur Registrierung eines von einem Unternehmen erworbenen Android-Geräts direkt ab Werk in der MDM an.
{{snippet.Manager for Android Config}}
Verwendung eines Drittanbieter-Android-UEM
Während eine Dokumentation für Work Profile für Mixed-Use unternehmenseigene Geräte für andere UEMs außerhalb des Umfangs dieses Dokuments liegt, können Sie sich als Ausgangspunkt auf die Dokumentation für Microsoft Endpoint Manager beziehen:
- End-to-End Android Enterprise Setup Guide
- Work Profile for Mixed Use Company Owned Devices Enrollments
Bereitstellung von Jamf Trust
Die Jamf Trust App ist erforderlich, um verschiedene Sicherheitsdienste auf Android-Geräten zu aktivieren, einschließlich Jamf ZTNA.
Info: Hinweis für Bereitstellungen von Manager für Android
Die meisten dieser Schritte werden automatisch ausgeführt, wenn Sie die oben genannten Schritte in Bereitstellung mit Manager für Android befolgen.
Es ist jedoch sinnvoll, die folgenden Konzepte zu überprüfen, da sie auch für Manager für Android-Bereitstellungen gelten.
ZTNA wird in der Jamf Trusted Access-Lösung verwendet, um den Zugriff auf Unternehmensressourcen für die Work Profile Partition auf einem ordnungsgemäß registrierten Work Profile für Mixed-Use unternehmenseigenes Gerät zu aktivieren. Der aktive Bedrohungsschutz ist auch für Apps und Netzwerkverkehr innerhalb des von der Organisation verwalteten Work Profile aktiviert.
Warning: Datenschutzbeschränkungen
Bei der Bereitstellung von Jamf Trust auf einem Work Profile für Mixed-Use unternehmenseigenes Gerät können nur Elemente innerhalb der Work Profile Partition „angezeigt" und „geschützt" werden. Dies ist ein bewusstes, datenschutzorientiertes Merkmal dieses Bereitstellungsmodells.
Wir raten davon ab, den Bedrohungsschutz in der „persönlichen" Partition des Geräts bereitzustellen. Ohne automatisierte Bereitstellung und aufgrund der Datenschutzauswirkungen für Endbenutzer werden die Aktivierungsquoten schlecht sein.
Stattdessen ist das Ziel von Trusted Access, Ihr Netzwerkzugriffsmodell so zu stärken, dass Unternehmensdaten nur über das Work Profile erreichbar sind und nicht über das Personal Profile zugegriffen werden können (obwohl es das gleiche Gerät und der gleiche Benutzer ist!).
Wenn Sie Sichtbarkeit und Kontrolle über alle Daten und Netzwerkverbindungen des Geräts benötigen, verwenden Sie stattdessen Fully Managed Enrollments.
Die folgenden Schritte beschreiben die allgemeinen Schritte zur rationalisierenden Bereitstellung der Jamf Trust App über Ihre Android Enterprise-kompatible MDM:
- Führen Sie die Schritte in Aktivierung des Zugriffs für vertrauenswürdige Geräte durch, um Private Access in RADAR zu konfigurieren.
- Konfigurieren Sie die Jamf Trust App über Managed Google Play.
- Verwenden Sie bei der Konfiguration der Konfigurationseinstellungen der App die Werte aus dem Abschnitt Managed Configuration des im vorherigen Schritt erstellten Aktivierungsprofils.
- Die Jamf Trust App wird in der Work Profile Partition auf dem Gerät installiert, nicht im Personal Profile.
Info: Per-App VPN auf Work Profile für Mixed-Use unternehmenseigene Geräte
Während Sie Per-App VPN für Apps innerhalb des Work Profile verwenden können, empfehlen wir die Verwendung der Standardkonfiguration, um Private Access und Threat Defense für alle Apps und Netzwerkverkehr innerhalb des Work Profile verfügbar zu machen.
- Definieren Sie ein neues Android-Konfigurationsprofil in Ihrer MDM, das Zero-Touch-Aktivierung von Jamf Trust ermöglicht, und weisen Sie dieses Profil Ihren Zielgeräten zu.
- Nur Bedrohungsschutzfunktionen werden via Zero Touch aktiviert. Der Benutzer muss die Jamf Trust App öffnen und sich mit seinen Identitätsanbieter-Anmeldedaten authentifizieren, um Private Access zu aktivieren.
- Stellen Sie die Jamf Trust App und das erstellte Konfigurationsprofil automatisch auf Geräten bereit, die sich über Work Profile registrieren, um sicherzustellen, dass sichere Netzwerkfunktionen für ihre Anwendungen innerhalb des Work Profile verfügbar sind.
Deployment-Tipps
- Das Work Profile wurde in Android 11 eingeführt. Zuvor wäre es als „Corporate-owned, personally enabled" bekannt gewesen, was aufgrund strengerer Datenschutzanforderungen geändert wurde.
- Wenn Sie eine Bereitstellung auf einer älteren Android-Betriebssystemversion durchführen, lohnt es sich, zu überprüfen, welche Optionen möglicherweise verfügbar sind.
- Es gibt im Allgemeinen erhebliche Unterschiede im Android Enterprise-Verhalten und der Kompatibilität zwischen Android-Betriebssystemversionen und Geräte-OEMs. Testen Sie gründlich!
- Ein vorhandenes Gerät muss auf Werkseinstellungen zurückgesetzt und erneut registriert werden, um in diesen Registrierungsmodus versetzt zu werden.
- Das Work Profile kann von Benutzern angehalten werden, wodurch das Profil und alle darin enthaltenen Apps deaktiviert werden. In diesem Zustand werden Work Apps ausgesetzt oder beendet und ihre Benachrichtigungen deaktiviert.
- Apps innerhalb des Work Profile werden anders gekennzeichnet als persönliche Apps.