직원 소유 장치용 Work Profile은 BYOD(Bring Your Own Device)라고도 불리며 장치의 업무 및 개인 데이터와 앱을 완전히 분리합니다. 장치가 직원 소유이므로 정책은 업무 프로필/파티션에만 적용될 수 있으며 개인 프로필/파티션이나 장치 전체에는 적용될 수 없습니다.
직원 소유 장치용 Work Profile의 개인 정보 보호 및 보안 모델은 개념적으로 Apple의 BYOD User Enrollment 배포 모델과 동일합니다. 주목할 만한 차이점은 사용자 인터페이스 설계입니다: Apple은 업무와 개인 앱을 시각적으로 "혼합"하는 반면 Android는 두 가지 유형 간에 명확한 시각적 구분을 제공합니다. 두 경우 모두 데이터 저장소는 논리적으로 분리되어 있으며 데이터 전송(DLP) 제어가 IT 팀에 제공됩니다.
Info: 장치가 회사 소유인가요?
그렇다면 대신 혼합 용도 회사 소유 장치용 Work Profile 등록 방법을 사용하는 것을 선호할 수 있습니다. 이 방법은 직원 소유 장치용 Work Profile의 동일한 강력한 업무 및 개인 데이터 분리 및 개인 정보 보호 제어를 보존하지만 IT에 몇 가지 추가 장치 전체 제어를 제공합니다.
이 논리적 데이터 분리 없이 완전한 장치 관리가 필요한 경우 Android 완전 관리 장치를 대신 사용하는 것을 고려해야 합니다.
개인 소유 장치를 완전히 관리하려고 하는 것은 권장되지 않습니다: 이러한 등록 전략은 Android에서 지원하지 않으며 사용자 개인 정보 보호를 크게 손상시키며 일반적으로 최종 사용자가 채택하는 데 효과가 낮습니다.
직원 소유 장치의 Work Profile 배포
직원 소유 장치의 Work Profile 구성에는 Android Enterprise 호환 모바일 장치 관리를 제공하는 서비스가 필요합니다.
Jamf는 Jamf for Mobile 상용 제공의 일부로 Android용 Manager를 제공하지만 신뢰할 수 있는 액세스 결과를 실현하는 것은 호환 제3 UEM 공급업체를 사용하여 가능합니다.
{{snippet.Manager for Android Config}}
제3 Android UEM 사용
제3 UEM을 사용한 Employee Owned Devices용 Android Work Profile 배포를 위한 설명서는 이 문서의 범위를 벗어나지만 UEM의 설명서 또는 Microsoft Endpoint Manager를 시작점으로 참조할 수 있습니다:
Work Profile이 구성되면 IT 관리자는 Managed Google Play 앱을 배포할 수 있습니다.
Jamf Trust 배포
Jamf Trust 앱은 Jamf Private Access를 포함한 Android 장치의 다양한 보안 서비스를 활성화하는 데 필요합니다.
Info: Android for Manager 배포에 대한 참고
이러한 대부분의 단계는 위의 Manager for Android를 사용한 배포의 단계를 따를 때 자동으로 완료됩니다.
하지만 아래의 개념을 검토하는 것이 유용하므로 Manager for Android 배포에도 적용됩니다.
Private Access는 Jamf Trusted Access 솔루션에서 적절하게 등록된 BYO 장치의 Work Profile 파티션에 대한 회사 리소스에 대한 액세스를 활성화하는 데 사용됩니다. 활성 위협 방어도 조직 관리 Work Profile 내의 앱 및 네트워크 트래픽에 대해 활성화됩니다.
Warning: Privacy Limitation
Work Profile을 BYO 장치에 배포할 때 Jamf Trust를 배포하면 서비스는 Work Profile 파티션 내에서만 "볼" 수 있고 "보호"할 수 있습니다. 이것은 이 배포 모델의 의도적인 개인 정보 보호 설계 속성입니다.
장치의 "개인" 파티션에 위협 방어를 배포하려고 시도하는 것을 권장하지 않습니다. 자동화된 배포 없이 최종 사용자 개인 정보 보호 의미로 인해 활성화 비율이 낮을 것입니다.
대신 신뢰할 수 있는 액세스의 목표는 회사 데이터가 Work Profile을 통해서만 액세스 가능하고 개인 프로필(동일한 장치 및 사용자임에도 불구하고)을 통해 액세스할 수 없도록 네트워크 액세스 모델을 강화하는 것입니다.
다음 단계는 Android Enterprise 호환 MDM을 통한 Jamf Trust 앱의 배포를 간소화하는 데 필요한 높은 수준의 단계를 개략적으로 설명합니다:
- 신뢰할 수 있는 장치를 위한 액세스 활성화의 단계를 따라 RADAR에서 Private Access를 구성합니다.
- Managed Google Play를 통해 Jamf Trust 앱 구성.
- 앱의 Configuration Settings를 구성할 때 이전 단계에서 만든 활성화 프로필의 Managed Configuration 섹션에 표시된 값을 사용합니다.
- Jamf Trust 앱은 개인 프로필이 아닌 Work Profile 파티션에 설치됩니다.
Info: 직원 소유 장치용 Work Profile의 Per-App VPN
Work Profile 내의 앱에 Per-App VPN을 사용할 수 있지만 Private Access 및 위협 방어를 Work Profile 내의 모든 앱 및 네트워크 트래픽에서 사용할 수 있도록 기본 구성을 사용하는 것을 권장합니다.
- Jamf Trust의 Zero Touch 활성화 활성화하는 새 Android 구성 프로필을 정의하고 이 프로필을 대상 장치에 할당합니다.
- Zero Touch를 통해 위협 방어 기능만 활성화됩니다. 사용자는 Jamf Trust 앱을 열고 ID 제공자 자격 증명으로 인증해야 Private Access를 활성화합니다.
- Work Profile을 통해 등록하는 장치에 Jamf Trust 앱과 생성된 구성 프로필을 자동으로 배포하여 Work Profile 내의 애플리케이션에 안전한 네트워킹을 사용할 수 있도록 합니다.
Work Profile 팁
- Work Profile은 Android 11에서 도입되었습니다.
- 이전 Android OS 버전에 배포하는 경우 사용 가능한 옵션을 확인할 가치가 있습니다.
- Android OS 버전 및 장치 제조업체 OEM 전체에서 Android Enterprise 행동과 호환성에 일반적으로 상당한 차이가 있습니다. 철저히 테스트하십시오!
- 장치는 장치 공장 초기화를 수행할 필요 없이 Work Profile을 자유롭게 추가 및 제거할 수 있습니다.
- Work Profile은 사용자가 일시 중지할 수 있으며, 이는 프로필 및 그 안의 모든 앱을 비활성화합니다. 이 상태에서 Work 앱은 일시 중단되거나 종료되며 해당 알림도 비활성화됩니다.
- Work Profile 내의 앱은 개인 앱과 다르게 표시됩니다.
- 개인 또는 회사 소유 여부에 관계없이 장치에 어떤 설정을 적용할 수 있는지에 제한이 있음을 염두에 두십시오.