ガイド

混合用途企業所有デバイス向けWork Profileは、以前はCorporate-owned Personally Enabled (COPE)として知られており、BYOD向けWork Profilesの拡張です。

Work Profileと同様に、デバイス上の仕事用と個人用のデータおよびアプリが明確に分離されています。管理組織は個人用コンテナ内のデータの移動中および保存中の「表示」はできません。

ただし、主な違いは、IT部門がデバイス全体の設定（WiFi構成、仕事用および個人用パーティションへのアプリインストール防止、USB ファイル転送防止など）を適用する追加機能を持つことです。

この管理戦略は、エンドユーザーのデータプライバシーを保護しながら、IT部門が最終的に所有する物理資産をより効果的に「ロック」できるようにするために設計されています。

混合用途企業所有デバイス向けWork Profileのデプロイ

iOS/iPadOSと同様に、GoogleはZero-touch Enrollment機能を提供して、企業が購入したAndroidデバイスをBox内から直接MDMに登録できます。

{{snippet.Manager for Android Config}}

サードパーティのAndroid UEMの使用

混合用途企業所有デバイス向けWork Profileのドキュメントは、他のUEMについてはこのドキュメントの範囲外ですが、Microsoft Endpoint Managerのドキュメントを参考にすることができます。

• End-to-End Android Enterprise Setup Guide
• Work Profile for Mixed Use Company Owned Devices Enrollments

Jamf Trustのデプロイ

Jamf Trustアプリは、Jamf ZTNAを含む、Androidデバイス上の様々なセキュリティサービスを有効にするために必要です。

Info: Manager for Androidデプロイのための注釈

これらのステップのほとんどは、上記のManager for Androidを使用したデプロイのステップに従う場合、自動的に完了します。

ただし、以下の概念をレビューしておくと、Manager for Androidデプロイにも適用されるため有用です。

ZTNAは、Jamf Trusted Access解決策で使用され、適切に登録された混合用途企業所有デバイス向けWork ProfileのWork Profileパーティションに対する企業リソースへのアクセスを有効にします。アクティブな脅威防御も、組織が管理するWork Profile内のアプリおよびネットワークトラフィックに対して有効化されます。

Warning: プライバシー制限

混合用途企業所有デバイス向けJamf Trustをデプロイする場合、Work Profileパーティション内のみの「表示」と「保護」が可能です。これはこのデプロイメントモデルの意図的なプライバシー優先設計属性です。

デバイスの「個人用」パーティションへの脅威防御のデプロイを試みることをお勧めしません。自動デプロイメントの欠如およびエンドユーザーのプライバシー上の影響により、有効化率が低くなります。

代わりに、Trusted Accessの目標は、企業データがWork Profileを通じてのみアクセス可能で、個人用プロファイルからはアクセス不可（同じデバイスとユーザーであっても）となるようにネットワークアクセスモデルを強化することです。

デバイスのすべてのデータおよびネットワーク接続の可視性と制御が必要な場合は、代わりに完全管理登録を使用してください。

以下のステップは、Android Enterprise互換のMDM経由でJamf Trustアプリのデプロイメントを合理化するために必要な高レベルのステップの概要を示しています。

1. 信頼されたデバイスへのアクセスの有効化のステップに従って、RADARでPrivate Accessを構成します。
2. Managed Google Play経由でJamf Trustアプリを構成します。
   • アプリのConfiguration Settingsを構成する場合、前のステップで作成されたActivation ProfileのManaged Configurationセクションに示されている値を使用します。
   • Jamf Trustアプリは、デバイスのWork Profileパーティションにインストールされ、個人用プロファイルにはインストールされません。

Info: 混合用途企業所有デバイス向けWork ProfileのPer-App VPN

Work Profile内のアプリに対してPer-App VPNを使用することはできますが、デフォルト構成を使用して、Private AccessおよびThreat DefenseをWork Profile内のすべてのアプリおよびネットワークトラフィックで利用可能にすることをお勧めします。

3. MDMで新しいAndroid構成プロファイルを定義し、Jamf Trustのゼロタッチアクティベーションを有効化して、このプロファイルをターゲットデバイスに割り当てます。
   • ゼロタッチ経由で有効化されるのは脅威防御機能のみです。ユーザーはJamf Trustアプリを開いてIDプロバイダー認証情報を使用して認証し、Private Accessをアクティベートする必要があります。
4. Jamf Trustアプリと作成された構成プロファイルを、Work Profile経由で登録するデバイスに自動的にデプロイして、Work Profile内のアプリケーションでセキュアなネットワークが利用可能であることを確認します。

デプロイのヒント

• Work Profileはandroid 11で導入されました。以前は、より強力なプライバシー要件のため変更された「企業所有、個人的に有効」として知られていたでしょう。
  • 古いAndroid OSバージョンにデプロイしている場合、利用可能なオプションが何かを確認する価値があります。
  • 一般的に、Android OSバージョンとデバイスメーカーのOEM間でAndroid Enterpriseの動作と互換性に大きな違いがあります。十分にテストしてください！
• 既存デバイスは、このエンロールメントモードに入るためにファクトリーリセットして再登録する必要があります。
• Work Profileはユーザーによって一時停止でき、プロファイルとその内のすべてのアプリが無効になります。この状態では、仕事用アプリは中断または終了し、それらの通知も無効になります。
• Work Profile内のアプリは個人用アプリとは異なるようにマークされます。