Anleitungen

Das Arbeitsprofil für Geräte im Mitarbeitereigentum, auch als Bring Your Own Device (BYOD) bekannt, bietet eine vollständige Segmentierung von Geschäfts- und Personaldaten sowie Apps auf dem Gerät. Da sich das Gerät im Eigentum des Mitarbeiters befindet, können Richtlinien nur auf das Arbeitsprofil/die Arbeitspartition angewendet werden und können nicht auf das persönliche Profil/die persönliche Partition oder geräteübergreifend angewendet werden.

Das Datenschutz- und Sicherheitsmodell des Arbeitsprofils für Geräte im Mitarbeitereigentum ist konzeptionell identisch mit Apples BYOD User Enrollment-Bereitstellungsmodell. Der wesentliche Unterschied liegt in der Benutzeroberfläche: Apple „verblendet" Geschäfts- und persönliche Apps visuell, während Android eine explizite visuelle Unterscheidung zwischen den beiden Typen bietet. In beiden Fällen ist die Datenspeicherung logisch getrennt und IT-Teams werden Datentransferkontrolle (DLP)-Kontrollen zur Verwaltung zur Verfügung gestellt.

Info: Handelt es sich um ein Unternehmensgerät?

In diesem Fall bevorzugen Sie möglicherweise die Arbeitsprofil für gemischte Nutzung von Unternehmenseigentum-Geräten-Anmeldungsmethode. Diese Methode behält die gleiche starke Trennung von Geschäfts- und Personaldaten und Datenschutzkontrollen des Arbeitsprofils für Geräte im Mitarbeitereigentum bei, bietet der IT-Abteilung aber ein paar weitere geräteübergreifende Kontrollen.

Wenn eine vollständige Geräteverwaltung ohne diese logische Datentrennung erforderlich ist, sollten Sie Android Fully Managed Devices in Betracht ziehen.

Es wird nicht empfohlen, ein persönlich genutztes Gerät vollständig zu verwalten: Eine solche Anmeldestrategie wird von Android nicht unterstützt, beeinträchtigt den Datenschutz der Benutzer erheblich und wird normalerweise von Endbenutzern schlecht angenommen.

Bereitstellen von Arbeitsprofil für Geräte im Mitarbeitereigentum

Das Konfigurieren eines Arbeitsprofils auf einem Gerät im Mitarbeitereigentum erfordert einen Service, der Android Enterprise-kompatible Mobile Device Management bereitstellt.

Jamf bietet Manager for Android als Teil seines kommerziellen Jamf for Mobile-Angebots an, wobei die Realisierung von Trusted Access-Ergebnissen mit jedem kompatiblen UEM-Drittanbieter möglich ist.

{{snippet.Manager for Android Config}}

Verwendung eines Android UEM von Drittanbietern

Während die Dokumentation zur Bereitstellung von Android Work Profile for Employee Owned Devices mit einem UEM von Drittanbietern außerhalb des Umfangs dieses Dokuments liegt, können Sie auf die Dokumentation Ihres UEM oder von Microsoft Endpoint Manager als Ausgangspunkt verweisen:

• End-to-End Android Enterprise Setup Guide
• Work Profile for Employee Devices Enrollments
• Benachrichtigen Sie Benutzer, dass sie ein Arbeitsprofil auf ihrem Gerät erstellen.

Nachdem ein Arbeitsprofil konfiguriert ist, können IT-Administratoren Managed Google Play-Apps bereitstellen

Bereitstellen von Jamf Trust

Die Jamf Trust-App ist erforderlich, um verschiedene Sicherheitsdienste auf Android-Geräten zu aktivieren, einschließlich Jamf Private Access.

Info: Hinweis für Android for Manager-Bereitstellungen

Die meisten dieser Schritte werden automatisch ausgeführt, wenn Sie die oben angegebenen Schritte unter Bereitstellen mit Manager for Android befolgen.

Es ist jedoch nützlich, die folgenden Konzepte zu überprüfen, da sie auch für Manager for Android-Bereitstellungen gelten.

Private Access wird in der Jamf Trusted Access-Lösung verwendet, um den Zugriff auf Unternehmensressourcen für die Arbeitsprofilpartition auf einem ordnungsgemäß registrierten BYO-Gerät zu ermöglichen. Die aktive Bedrohungsabwehr ist auch für Apps und Netzwerkverkehr innerhalb des von der Organisation verwalteten Arbeitsprofils aktiviert.

Warnung: Datenschutzbeschränkung

Bei der Bereitstellung von Jamf Trust in einem Arbeitsprofil auf einem BYO-Gerät kann der Service nur innerhalb der Arbeitsprofilpartition „sehen" und „schützen". Dies ist ein absichtliches, Privacy-by-Design-Merkmal dieses Bereitstellungsmodells.

Wir raten davon ab, die Bedrohungsabwehr in der „persönlichen" Partition des Geräts bereitzustellen. Ohne automatisierte Bereitstellung und aufgrund der Datenschutzimplikationen für Endbenutzer werden die Aktivierungsraten gering sein.

Stattdessen besteht das Ziel von Trusted Access darin, Ihr Netzwerkzugriffsmodell so zu stärken, dass auf Unternehmensdaten nur über das Arbeitsprofil zugegriffen werden kann und nicht über das persönliche Profil (obwohl es sich um das gleiche Gerät und den gleichen Benutzer handelt!).

Die folgenden Schritte beschreiben die grundlegenden Schritte, die erforderlich sind, um die Bereitstellung der Jamf Trust-App über Ihr Android Enterprise-kompatibles MDM zu optimieren:

1. Befolgen Sie die Schritte unter Aktivieren des Zugriffs für vertrauenswürdige Geräte, um Private Access in RADAR zu konfigurieren.
2. Konfigurieren Sie die Jamf Trust-App über Managed Google Play.
   • Verwenden Sie bei der Konfiguration der Konfigurationseinstellungen der App die im Abschnitt Verwaltete Konfiguration des im vorherigen Schritt erstellten Aktivierungsprofils angegebenen Werte.
   • Die Jamf Trust-App wird auf dem Gerät in der Arbeitsprofilpartition installiert, nicht in der persönlichen Partition.

Info: Per-App VPN on Work Profile for Employee Owned Devices

Sie können zwar Per-App VPN für Apps im Arbeitsprofil verwenden, wir empfehlen jedoch, die Standardkonfiguration zu verwenden, um Private Access und Threat Defense für alle Apps und Netzwerkverkehr im Arbeitsprofil verfügbar zu machen.

3. Definieren Sie ein neues Android-Konfigurationsprofil in Ihrem MDM, das Zero Touch Activation von Jamf Trust aktiviert, und weisen Sie dieses Profil Ihren Zielgeräten zu.
   • Nur Bedrohungsabwehrfunktionen werden per Zero Touch aktiviert. Der Benutzer muss die Jamf Trust-App öffnen und sich mit seinen Identity Provider-Anmeldedaten authentifizieren, um Private Access zu aktivieren.
4. Stellen Sie die Jamf Trust-App und das erstellte Konfigurationsprofil automatisch auf Geräten bereit, die sich über Work Profile anmelden, um sicherzustellen, dass sichere Netzwerke für ihre Anwendungen im Arbeitsprofil verfügbar sind.

Tipps zum Arbeitsprofil

• Das Arbeitsprofil wurde in Android 11 eingeführt.
  • Wenn Sie auf eine ältere Android-Betriebssystemversion bereitstellen, lohnt es sich zu überprüfen, welche Optionen verfügbar sein können.
• Es gibt im Allgemeinen erhebliche Unterschiede im Android Enterprise-Verhalten und in der Kompatibilität zwischen Android-Betriebssystemversionen und Geräteherstellern (OEMs). Testen Sie gründlich!
• Benutzer können das Arbeitsprofil ohne Werksrücksetzung frei hinzufügen und entfernen.
• Das Arbeitsprofil kann von Benutzern angehalten werden, was das Profil und alle darin enthaltenen Apps deaktiviert. In diesem Zustand werden Arbeits-Apps ausgesetzt oder beendet und ihre Benachrichtigungen deaktiviert.
• Apps im Arbeitsprofil werden anders gekennzeichnet als persönliche Apps.
• Bitte beachten Sie, dass es Einschränkungen gibt, welche Einstellungen je nachdem, ob sich das Gerät im persönlichen oder Unternehmensbesitz befindet, angewendet werden können.