Guías

El perfil de trabajo para dispositivos personales de empleados, también conocido como Bring Your Own Device (BYOD), proporciona una segmentación completa de datos y aplicaciones de trabajo y personales en el dispositivo. Como el dispositivo es propiedad del empleado, la política solo puede aplicarse al perfil/partición de trabajo y no puede aplicarse al perfil/partición personal ni a todo el dispositivo.

El modelo de privacidad y seguridad del Perfil de Trabajo para Dispositivos de Empleados es conceptualmente idéntico al modelo de implementación de User Enrollment BYOD de Apple. La diferencia notable está en el diseño de la interfaz de usuario: Apple "mezcla" visualmente las aplicaciones de trabajo y personales, mientras que Android proporciona una distinción visual explícita entre ambos tipos. En ambos casos, el almacenamiento de datos está lógicamente separado y se proporcionan controles de transferencia de datos (DLP) a los equipos de TI para gestionar.

Información: ¿Es el dispositivo corporativo?

Si es así, puede preferir usar el método de inscripción Perfil de Trabajo para Dispositivos Corporativos de Uso Mixto en su lugar. Este método preserva la misma separación fuerte de datos de trabajo y personal y controles de privacidad del Perfil de Trabajo para Dispositivos Personales de Empleados, pero proporciona a TI algunos controles más amplios del dispositivo.

Si se requiere una gestión completa del dispositivo sin esta separación lógica de datos, debe considerar usar Dispositivos Completamente Administrados de Android en su lugar.

No se recomienda intentar administrar completamente un dispositivo de propiedad personal: esta estrategia de inscripción no es compatible con Android, compromete significativamente la privacidad del usuario y generalmente tiene una adopción deficiente por parte de los usuarios finales.

Implementar Perfil de Trabajo para Dispositivos Personales de Empleados

La configuración de un Perfil de Trabajo en un Dispositivo Personal de Empleado requiere un servicio que proporcione gestión de dispositivos móviles compatible con Android Enterprise.

Jamf proporciona Manager for Android como parte de su oferta comercial Jamf for Mobile, aunque es posible lograr resultados de Trusted Access usando cualquier proveedor de UEM compatible de terceros.

{{snippet.Manager for Android Config}}

Usar un UEM de Android de Terceros

Si bien la documentación para implementar Perfil de Trabajo para Dispositivos Personales de Empleados de Android usando UEM de terceros está fuera del alcance de este documento, puede consultar la documentación de su UEM o de Microsoft Endpoint Manager como punto de partida:

• Guía de Configuración de Android Enterprise de Extremo a Extremo
• Inscripciones de Perfil de Trabajo para Dispositivos de Empleados
• Notifique a los usuarios que creen un Perfil de Trabajo en su dispositivo.

Una vez que se configura un Perfil de Trabajo, los administradores de TI pueden implementar aplicaciones de Managed Google Play

Implementar Jamf Trust

La aplicación Jamf Trust es necesaria para habilitar varios servicios de seguridad en dispositivos Android, incluido Jamf Private Access.

Información: Nota para Implementaciones de Manager para Android

La mayoría de estos pasos se completan automáticamente al seguir los pasos anteriores en Implementar Usando Manager for Android.

Sin embargo, es útil revisar los conceptos a continuación ya que también se aplican a implementaciones de Manager for Android.

Private Access se utiliza en la solución Jamf Trusted Access para habilitar el acceso a recursos de la empresa para la partición del Perfil de Trabajo en un dispositivo BYO correctamente inscrito. La defensa activa contra amenazas también se habilita para aplicaciones y tráfico de red dentro del Perfil de Trabajo administrado por la organización.

Advertencia: Limitación de Privacidad

Al implementar Jamf Trust en un Perfil de Trabajo en un dispositivo BYO, el servicio solo puede "ver" y "proteger" dentro de la partición del Perfil de Trabajo. Este es un atributo intencional de diseño privado de este modelo de implementación.

Desaconsejamos intentar implementar defensa contra amenazas en la partición "personal" del dispositivo. Sin implementación automatizada y debido a las implicaciones de privacidad del usuario final, las tasas de activación serán deficientes.

En su lugar, el objetivo de Trusted Access es fortalecer su modelo de acceso a la red de modo que los datos de la empresa solo sean accesibles a través del Perfil de Trabajo y no se puedan acceder a través del Perfil Personal (¡aunque sea el mismo dispositivo y usuario!).

Los siguientes pasos describen los pasos de alto nivel necesarios para optimizar la implementación de la aplicación Jamf Trust a través de su MDM compatible con Android Enterprise:

1. Siga los pasos en Habilitación del Acceso para Dispositivos de Confianza para configurar Private Access en RADAR.
2. Configure la aplicación Jamf Trust a través de Managed Google Play.
   • Al configurar la Configuración de la Aplicación, use los valores presentados en la sección Configuración Administrada del Perfil de Activación creado en el paso anterior.
   • La aplicación Jamf Trust se instalará en la partición del Perfil de Trabajo en el dispositivo, no en el Perfil Personal.

Información: VPN por Aplicación en Perfil de Trabajo para Dispositivos Personales de Empleados

Aunque puede usar VPN por Aplicación para aplicaciones dentro del Perfil de Trabajo, recomendamos usar la configuración predeterminada para poner Private Access y Defensa contra Amenazas a disposición de todas las aplicaciones y tráfico de red dentro del Perfil de Trabajo.

3. Defina un nuevo perfil de configuración de Android en su MDM que Habilite la Activación de Toque Cero de Jamf Trust y asigne este perfil a sus dispositivos de destino.
   • Solo se habilitarán las capacidades de defensa contra amenazas a través de toque cero. El usuario deberá abrir la aplicación Jamf Trust y autenticarse con sus credenciales de proveedor de identidad para activar Private Access.
4. Implemente automáticamente la aplicación Jamf Trust y el perfil de configuración creado en dispositivos que se inscriban a través del Perfil de Trabajo para garantizar que las redes seguras estén disponibles para sus aplicaciones dentro del Perfil de Trabajo.

Consejos sobre Perfil de Trabajo

• El perfil de trabajo se introdujo en Android 11.
  • Si está implementando en una versión anterior del sistema operativo Android, vale la pena verificar qué opciones pueden estar disponibles.
• Generalmente hay diferencias significativas en el comportamiento y compatibilidad de Android Enterprise en diferentes versiones del sistema operativo Android y OEM de fabricantes de dispositivos. ¡Pruebe minuciosamente!
• Los dispositivos podrán añadir y eliminar libremente el Perfil de Trabajo sin tener que realizar un restablecimiento de fábrica del dispositivo.
• El Perfil de Trabajo puede ser pausado por los usuarios, lo que desactiva el perfil y todas las aplicaciones dentro de él. Cuando está en este estado, las aplicaciones de Trabajo se suspenderán o terminarán y sus notificaciones también se deshabilitarán.
• Las aplicaciones dentro del Perfil de Trabajo se marcarán de manera diferente a las aplicaciones Personales.
• Tenga en cuenta que hay restricciones sobre qué configuraciones se pueden aplicar según si el dispositivo es personal o corporativo.