Guides

Le profil professionnel pour les appareils personnels des employés, également connu sous le nom de Bring Your Own Device (BYOD), offre une segmentation complète des données professionnelles et personnelles et des applications sur l'appareil. Comme l'appareil est la propriété de l'employé, la politique ne peut être appliquée qu'au profil professionnel/partition et ne peut pas être appliquée au profil personnel/partition ni à l'ensemble de l'appareil.

Le modèle de confidentialité et de sécurité du profil professionnel pour les appareils personnels est conceptuellement identique au modèle de déploiement User Enrollment BYOD d'Apple. La différence notable réside dans la conception de l'interface utilisateur : Apple « fusionne » visuellement les applications professionnelles et personnelles, tandis qu'Android établit une distinction visuelle explicite entre les deux types. Dans les deux cas, le stockage des données est logiquement séparé et des contrôles de transfert de données (DLP) sont fournis aux équipes informatiques pour la gestion.

Info : L'appareil est-il la propriété de l'entreprise ?

Si c'est le cas, vous préférerez peut-être utiliser la méthode d'inscription Profil professionnel pour appareils mixtes la propriété de l'entreprise à la place. Cette méthode préserve la même séparation robuste des données professionnelles et personnelles et les contrôles de confidentialité des profils professionnels pour les appareils personnels des employés, mais offre aux équipes informatiques des contrôles à l'échelle de l'appareil supplémentaires.

Si une gestion complète de l'appareil est requise sans cette séparation logique des données, vous devriez envisager d'utiliser Appareils Android entièrement gérés à la place.

Il n'est pas recommandé de tenter de gérer complètement un appareil personnel : une telle stratégie d'inscription n'est pas prise en charge par Android, compromet considérablement la confidentialité des utilisateurs et est généralement mal adoptée par les utilisateurs finaux.

Déploiement du profil professionnel pour appareils personnels des employés

La configuration d'un profil professionnel sur un appareil personnel d'employé nécessite un service offrant une gestion des appareils mobiles compatible avec Android Enterprise.

Jamf fournit Manager for Android dans le cadre de son offre commerciale Jamf for Mobile, bien que la réalisation de résultats Trusted Access soit possible en utilisant tout fournisseur UEM tiers compatible.

{{snippet.Manager for Android Config}}

Utilisation d'une UEM Android tierce

Bien que la documentation pour le déploiement du profil professionnel pour les appareils personnels des employés d'Android à l'aide d'UEM tierces dépasse le cadre de ce document, vous pouvez vous référer à la documentation de votre UEM ou de Microsoft Endpoint Manager pour commencer :

• Guide de configuration Android Enterprise de bout en bout
• Inscriptions de profil professionnel pour les appareils personnels
• Avisez les utilisateurs de créer un profil professionnel sur leur appareil.

Une fois qu'un profil professionnel est configuré, les administrateurs informatiques peuvent déployer les applications Managed Google Play.

Déploiement de Jamf Trust

L'application Jamf Trust est requise pour activer divers services de sécurité sur les appareils Android, notamment Jamf Private Access.

Info : Remarque pour les déploiements Android Manager

La plupart de ces étapes sont automatiquement complétées lors du suivi des étapes ci-dessus dans Déploiement à l'aide de Manager for Android.

Cependant, il est utile de revoir les concepts ci-dessous car ils s'appliquent également aux déploiements Manager for Android.

Private Access est utilisé dans la solution Jamf Trusted Access pour permettre l'accès aux ressources de l'entreprise pour la partition du profil professionnel sur un appareil BYO correctement inscrit. La défense active contre les menaces est également activée pour les applications et le trafic réseau au sein du profil professionnel géré par l'organisation.

Avertissement : Limitation de confidentialité

Lors du déploiement de Jamf Trust sur un profil professionnel sur un appareil BYO, le service n'est capable que de « voir » et de « protéger » au sein de la partition du profil professionnel. Il s'agit d'un attribut intentionnel de confidentialité par conception de ce modèle de déploiement.

Nous déconseillons de tenter de déployer la défense contre les menaces sur la partition « personnelle » de l'appareil. Sans déploiement automatisé et en raison des implications en matière de confidentialité de l'utilisateur final, les taux d'activation seront faibles.

Au lieu de cela, l'objectif de Trusted Access est de renforcer votre modèle d'accès réseau de sorte que les données de l'entreprise ne soient accessibles que via le profil professionnel et ne puissent pas être consultées via le profil personnel (même s'il s'agit du même appareil et du même utilisateur !).

Les étapes suivantes décrivent les étapes de haut niveau requises pour rationaliser le déploiement de l'application Jamf Trust via votre MDM compatible Android Enterprise :

1. Suivez les étapes de Activation de l'accès pour les appareils de confiance pour configurer Private Access dans RADAR.
2. Configurez l'application Jamf Trust via Managed Google Play.
   • Lors de la configuration des Paramètres de configuration de l'application, utilisez les valeurs présentées dans la section Configuration gérée du profil d'activation créé à l'étape précédente.
   • L'application Jamf Trust sera installée dans la partition du profil professionnel sur l'appareil, et non dans le profil personnel.

Info : VPN par application sur le profil professionnel pour les appareils personnels des employés

Bien que vous puissiez utiliser le VPN par application pour les applications au sein du profil professionnel, nous recommandons d'utiliser la configuration par défaut pour rendre Private Access et la défense contre les menaces disponibles pour toutes les applications et le trafic réseau au sein du profil professionnel.

3. Définissez un nouveau profil de configuration Android dans votre MDM qui active l'activation sans contact de Jamf Trust et attribuez ce profil à vos appareils cibles.
   • Seules les capacités de défense contre les menaces seront activées via une activation sans contact. L'utilisateur devra ouvrir l'application Jamf Trust et s'authentifier avec les identifiants de son fournisseur d'identité pour activer Private Access.
4. Déployez automatiquement l'application Jamf Trust et le profil de configuration créé sur les appareils qui s'inscrivent via le profil professionnel pour assurer que la mise en réseau sécurisée est disponible pour leurs applications au sein du profil professionnel.

Conseils sur le profil professionnel

• Le profil professionnel a été introduit dans Android 11.
  • Si vous déployez vers une version plus ancienne du système d'exploitation Android, il vaut la peine de vérifier les options qui pourraient être disponibles.
• Il existe généralement des différences significatives dans le comportement et la compatibilité d'Android Enterprise sur les versions du système d'exploitation Android et les fabricants d'équipement d'origine (OEM). Testez en détail !
• Les appareils seront en mesure d'ajouter et de supprimer librement le profil professionnel sans avoir à effectuer une réinitialisation d'usine de l'appareil.
• Le profil professionnel peut être mis en pause par les utilisateurs, ce qui désactive le profil et toutes les applications qu'il contient. Dans cet état, les applications professionnelles seront suspendues ou terminées et leurs notifications désactivées.
• Les applications au sein du profil professionnel seront marquées différemment que les applications personnelles.
• Veuillez noter qu'il existe des restrictions sur les paramètres qui peuvent être appliqués selon que l'appareil est personnel ou la propriété de l'entreprise.