従業員所有デバイス向けWork Profile(Bring Your Own Device(BYOD)としても知られています)は、デバイス上の仕事用と個人用のデータとアプリの完全な分離を提供します。デバイスは従業員が所有しているため、ポリシーはWork profile/パーティションにのみ適用でき、個人用profile/パーティションやデバイス全体には適用できません。
従業員所有デバイス向けWork Profileのプライバシーとセキュリティモデルは、概念的にはAppleのBYODユーザー登録デプロイメントモデルと同じです。主な違いはユーザーインターフェースの設計にあります。Appleは仕事用と個人用のアプリを視覚的に「混在」させますが、Androidは2つのタイプ間で明確な視覚的区別を提供します。どちらの場合も、データストレージは論理的に分離され、データ転送(DLP)コントロールがITチームに提供されます。
情報:デバイスは企業所有ですか?
その場合は、代わりに混合用途企業所有デバイス向けWork Profile登録方法の使用を検討してください。この方法は、従業員所有デバイス向けWork Profileと同じ強固な仕事用と個人用のデータ分離およびプライバシーコントロールを保持していますが、ITに追加のデバイス全体のコントロールをいくつか提供します。
この論理的なデータ分離がない完全なデバイス管理が必要な場合は、代わりにAndroid Fully Managed Devicesの使用を検討してください。
個人所有デバイスの完全管理を試みることは推奨されません。このような登録戦略はAndroidでサポートされていないため、ユーザープライバシーが著しく侵害され、通常はエンドユーザーによる採用率が低いです。
従業員所有デバイス向けWork Profileのデプロイ
従業員所有デバイスにWork Profileを構成するには、Android Enterpriseに対応したモバイルデバイス管理を提供するサービスが必要です。
Jamfは商用のJamf for Mobileオファリングの一部としてManager for Androidを提供していますが、互換性のあるサードパーティUEMベンダーを使用することでTrusted Accessの成果を実現することが可能です。
{{snippet.Manager for Android Config}}
サードパーティAndroid UEMの使用
サードパーティUEMを使用してAndroid従業員所有デバイス向けWork Profileをデプロイするドキュメントはこのドキュメントの範囲外ですが、出発点としてUEMのドキュメントまたはMicrosoft Endpoint Managerのドキュメントを参照できます:
- End-to-End Android Enterprise Setup Guide
- Work Profile for Employee Devices Enrollments
- ユーザーにデバイスにWork Profileを作成するよう通知します。
Work Profileが構成されたら、IT管理者はManaged Google Playアプリをデプロイできます
Jamf Trustのデプロイ
Jamf Trustアプリは、Jamf Private Accessを含むAndroidデバイスの様々なセキュリティサービスを有効にするために必要です。
情報:Android Manager デプロイメント用の注記
これらのステップの大部分は、上記のManager for Androidを使用したデプロイのステップに従うときに自動的に完了します。
ただし、以下の概念を確認すると、Manager for Androidデプロイメントにも同様に適用されるため有用です。
Private Accessは、Jamf Trusted Access ソリューションで使用され、適切に登録されたBYOデバイス上のWork Profileパーティション用に会社リソースへのアクセスを有効にします。アクティブな脅威防御も、組織が管理するWork Profile内のアプリとネットワークトラフィック向けに有効になります。
警告:プライバシーの制限
BYOデバイスのWork ProfileにJamf Trustをデプロイする場合、サービスはWork Profileパーティション内でのみ「確認」および「保護」することができます。これはこのデプロイメントモデルの意図的なプライバシー重視設計属性です。
デバイスの「個人用」パーティションに脅威防御をデプロイしようとすることはお勧めしません。自動化されたデプロイメントがなく、エンドユーザーのプライバシーへの影響があるため、アクティブ化率は低くなります。
代わりに、Trusted Accessの目標は、ネットワークアクセスモデルを強化することで、会社データがWork Profile経由でのみアクセス可能であり、個人用プロファイル経由ではアクセスできないようにすること(同じデバイスと同じユーザーであっても!)です。
以下の手順は、Android Enterprise対応MDM経由でJamf Trustアプリのデプロイメントを合理化するために必要な高レベルのステップを概説しています:
- Trusted Devicesのアクセス有効化のステップに従い、RADARでPrivate Accessを構成します。
- Managed Google Playを経由してJamf Trustアプリを構成します。
- アプリのConfiguration Settingsを構成するときは、前のステップで作成されたActivation ProfileのManaged Configurationセクションに表示される値を使用します。
- Jamf Trustアプリはデバイスの個人用プロファイルではなくWork Profileパーティションにインストールされます。
情報:従業員所有デバイス向けWork ProfileのPer-App VPN
Work Profile内のアプリにPer-App VPNを使用できますが、Private AccessとThreat DefenseをすべてのアプリとWork Profile内のネットワークトラフィックで利用可能にするデフォルト設定を使用することをお勧めします。
- MDMで新しいAndroid構成プロファイルを定義し、Jamf TrustのZero Touch Activation を有効化し、このプロファイルをターゲットデバイスに割り当てます。
- Zero Touchを経由して脅威防御機能のみが有効になります。ユーザーはJamf Trustアプリを開き、ID プロバイダー認証情報を使用して認証し、Private Accessをアクティブ化する必要があります。
- Work Profile経由で登録されるデバイスにJamf Trustアプリと作成された構成プロファイルを自動的にデプロイし、Work Profile内のアプリケーションでセキュアなネットワーキングが利用可能であることを確認します。
Work Profile のTips
- Work Profileはandroid 11で導入されました。
- より古いAndroid OSバージョンにデプロイしている場合は、どのようなオプションが利用可能かを確認する価値があります。
- Android OS バージョンとデバイスメーカーOEM全体でのAndroid Enterpriseの動作と互換性には一般的に大きな違いがあります。十分にテストしてください!
- デバイスはデバイスの工場出荷時リセットを実施せずにWork Profileを自由に追加および削除できます。
- Work Profileはユーザーによって一時停止でき、プロファイルとその内のすべてのアプリを無効にします。この状態では、仕事用アプリは中断または終了され、通知も無効になります。
- Work Profile内のアプリは個人用アプリと異なるようにマークされます。
- デバイスが個人所有か企業所有かに関わらず、どのような設定を適用できるかについて制限があることに注意してください。