Guides

Profil professionnel pour appareils d'entreprise à usage mixte, anciennement connu sous le nom de Corporate-owned Personally Enabled (COPE), est une extension des Profils professionnels pour BYOD.

Comme les profils professionnels, il existe une segmentation claire des données et applications professionnelles et personnelles sur l'appareil. L'organisation responsable ne peut pas « voir » les données en transit ou au repos dans le conteneur personnel.

Cependant, la différence majeure est que le service informatique a la capacité supplémentaire d'appliquer des paramètres à l'échelle de l'appareil, tels que les configurations WiFi, empêcher l'installation d'applications sur la partition professionnelle et personnelle, prévenir les transferts de fichiers USB, et bien d'autres.

Cette stratégie de gestion est conçue pour préserver la confidentialité des données de l'utilisateur final tout en permettant au service informatique de mieux « verrouiller » l'actif physique qu'il possède finalement.

Déploiement du profil professionnel pour appareil d'entreprise à usage mixte

Tout comme sur iOS/iPadOS, Google fournit une fonctionnalité d'inscription sans contact pour inscrire un appareil Android acheté par l'entreprise dans MDM dès la sortie de l'emballage.

{{snippet.Manager for Android Config}}

Utilisation d'un UEM Android tiers

Bien que la documentation pour le profil professionnel pour appareil d'entreprise à usage mixte soit en dehors de la portée de ce document pour d'autres UEM, vous pouvez consulter la documentation pour Microsoft Endpoint Manager comme point de départ :

• Guide complet de configuration d'Android Enterprise
• Inscriptions du profil professionnel pour appareil d'entreprise à usage mixte

Déploiement de Jamf Trust

L'application Jamf Trust est requise pour activer divers services de sécurité sur les appareils Android, notamment Jamf ZTNA.

Info : Remarque pour les déploiements Android for Manager

La plupart de ces étapes sont automatiquement complétées en suivant les étapes ci-dessus dans Déploiement avec Manager for Android.

Cependant, il est utile de revoir les concepts ci-dessous car ils s'appliquent également aux déploiements Manager for Android.

ZTNA est utilisé dans la solution Jamf Trusted Access pour activer l'accès aux ressources de l'entreprise pour la partition du profil professionnel sur un appareil d'entreprise à usage mixte correctement inscrit. La défense active contre les menaces est également activée pour les applications et le trafic réseau au sein du profil professionnel géré par l'organisation.

Avertissement : Limitations de confidentialité

Lors du déploiement de Jamf Trust sur un appareil d'entreprise à usage mixte, il ne peut « voir » et « protéger » que dans la partition du profil professionnel. Il s'agit d'un attribut intentionnel de confidentialité par conception de ce modèle de déploiement.

Nous déconseillons de tenter de déployer la défense contre les menaces sur la partition « personnelle » de l'appareil. Sans déploiement automatisé et en raison des implications en matière de confidentialité de l'utilisateur final, les taux d'activation seront faibles.

Au lieu de cela, l'objectif de Trusted Access est de renforcer votre modèle d'accès réseau de sorte que les données de l'entreprise ne soient accessibles que via le profil professionnel et ne puissent pas être accédées via le profil personnel (même si c'est le même appareil et utilisateur !).

Si vous avez besoin de visibilité et de contrôle sur toutes les connexions de données et réseau de l'appareil, utilisez plutôt les inscriptions Entièrement gérées.

Les étapes suivantes décrivent les étapes générales requises pour rationaliser le déploiement de l'application Jamf Trust via votre MDM compatible Android Enterprise :

1. Suivez les étapes dans Activation de l'accès pour les appareils approuvés pour configurer Private Access dans RADAR.
2. Configurez l'application Jamf Trust via Managed Google Play.
   • Lors de la configuration des Paramètres de configuration de l'application, utilisez les valeurs présentées dans la section Configuration gérée du profil d'activation créé à l'étape précédente.
   • L'application Jamf Trust sera installée dans la partition du profil professionnel sur l'appareil, et non dans le profil personnel.

Info : VPN par application sur profil professionnel pour appareils d'entreprise à usage mixte

Bien que vous puissiez utiliser VPN par application pour les applications au sein du profil professionnel, nous recommandons d'utiliser la configuration par défaut pour rendre Private Access et Threat Defense disponibles pour toutes les applications et le trafic réseau au sein du profil professionnel.

3. Définissez un nouveau profil de configuration Android dans votre MDM qui Active l'activation sans contact de Jamf Trust et assignez ce profil à vos appareils cibles.
   • Seules les capacités de défense contre les menaces seront activées via zéro contact. L'utilisateur devra ouvrir l'application Jamf Trust et s'authentifier avec ses identifiants du fournisseur d'identité pour activer Private Access.
4. Déployez automatiquement l'application Jamf Trust et le profil de configuration créé sur les appareils qui s'inscrivent via le profil professionnel pour s'assurer que la mise en réseau sécurisée est disponible pour leurs applications au sein du profil professionnel.

Conseils de déploiement

• Le profil professionnel a été introduit dans Android 11. Auparavant, il aurait été connu sous le nom de « Corporate-owned, personally enabled », qui a été modifié en raison de exigences renforcées en matière de confidentialité.
  • Si vous déployez sur une version plus ancienne du système d'exploitation Android, il vaut la peine de vérifier les options qui peuvent être disponibles.
• Il existe généralement des différences importantes dans le comportement et la compatibilité d'Android Enterprise selon les versions du système d'exploitation Android et les fabricants OEM des appareils. Testez minutieusement !
• Un appareil existant devra être réinitialisé en usine et ré-inscrit pour être mis en mode d'inscription.
• Le profil professionnel peut être interrompu par les utilisateurs, ce qui désactive le profil et toutes les applications qu'il contient. Dans cet état, les applications professionnelles seront suspendues ou terminées et leurs notifications désactivées.
• Les applications au sein du profil professionnel seront marquées différemment des applications personnelles.