Jamf Concepts
Handleidingen

Handleidingen

Werkprofiel voor Gemengd Gebruik op Bedrijfseigen Apparaten

~4 min read

Werkprofiel voor gemengd gebruik op bedrijfseigen apparaten, voorheen bekend als Corporate-owned Personally Enabled (COPE), is een uitbreiding van Werkprofielen voor BYOD.

Net als bij Werkprofielen is er een duidelijke scheiding van werk- en persoonlijke gegevens en apps op het apparaat. De beherende organisatie kan geen gegevens "zien" die in beweging zijn of in rust zijn in de persoonlijke container.

Het grote verschil is echter dat IT de extra mogelijkheid heeft om apparaatbrede instellingen toe te passen, zoals WiFi-configuraties, het voorkomen dat apps worden geïnstalleerd op de werk- en persoonlijke partitie, USB-bestandsoverdrachten voorkomen, en meer.

image.png

Deze beheerstrategie is ontworpen om de privacy van eindgebruikersgegevens te behouden, terwijl IT beter in staat is om het fysieke apparaat dat zij uiteindelijk bezitten te "vergrendelen".

Implementatie van Werkprofiel voor Gemengd Gebruik op Bedrijfseigen Apparaat

Net als bij iOS/iPadOS biedt Google een Zero-touch Enrollment-mogelijkheid om een door het bedrijf aangeschaft Android-apparaat direct uit de doos in MDM in te schrijven.

{{snippet.Manager for Android Config}}

Gebruik van een Android UEM van Derden

Hoewel documentatie voor Werkprofiel voor Gemengd Gebruik op Bedrijfseigen Apparaten voor andere UEM's buiten het bereik van dit document valt, kunt u de documentatie voor Microsoft Endpoint Manager raadplegen als startpunt:

Implementatie van Jamf Trust

De Jamf Trust-app is vereist om verschillende beveiligingsdiensten op Android-apparaten in te schakelen, waaronder Jamf ZTNA.

Info: Opmerking voor Manager for Android-implementaties

De meeste van deze stappen worden automatisch voltooid wanneer u de bovenstaande stappen volgt in Implementatie met Manager for Android.

Het is echter nuttig om de onderstaande concepten te bekijken, aangezien deze ook van toepassing zijn op Manager for Android-implementaties.

ZTNA wordt gebruikt in de Jamf Trusted Access-oplossing om toegang tot bedrijfsbronnen mogelijk te maken voor de Werkprofielpartitie op een correct ingeschreven Werkprofiel voor Gemengd Gebruik op Bedrijfseigen Apparaat. Actieve dreigingsbeveiliging wordt ook ingeschakeld voor apps en netwerkverkeer binnen het door de organisatie beheerde Werkprofiel.

Waarschuwing: Privacybeperkingen

Bij het implementeren van Jamf Trust op een Werkprofiel voor Gemengd Gebruik op Bedrijfseigen Apparaat, kan het alleen "zien" en "beschermen" binnen de Werkprofielpartitie. Dit is een opzettelijk privacy-by-design-attribuut van dit implementatiemodel.

Wij raden af om dreigingsbeveiliging te proberen te implementeren op de "persoonlijke" partitie van het apparaat. Zonder geautomatiseerde implementatie en vanwege de privacy-implicaties voor eindgebruikers zullen activeringspercentages laag zijn.

In plaats daarvan is het doel van Trusted Access om uw netwerktoegangsmodel te versterken, zodat bedrijfsgegevens alleen bereikbaar zijn via het Werkprofiel en niet toegankelijk zijn via het Persoonlijke Profiel (zelfs al is het hetzelfde apparaat en dezelfde gebruiker!).

Als u zichtbaarheid en controle nodig hebt over alle gegevens en netwerkverbindingen van het apparaat, gebruik dan in plaats daarvan Volledig Beheerde inschrijvingen.

De volgende stappen beschrijven de stappen op hoog niveau die nodig zijn om de implementatie van de Jamf Trust-app via uw Android Enterprise-compatibele MDM te stroomlijnen:

  1. Volg de stappen in Toegang Inschakelen voor Vertrouwde Apparaten om Private Access in RADAR te configureren.
  2. Configureer de Jamf Trust-app via Managed Google Play.
    • Bij het configureren van de Configuratie-instellingen van de app, gebruik de waarden die worden gepresenteerd in het Beheerde Configuratie-gedeelte van het Activatieprofiel dat in de vorige stap is gemaakt.
    • De Jamf Trust-app wordt geïnstalleerd in de Werkprofielpartitie op het apparaat, niet het Persoonlijke Profiel.

Info: Per-App VPN op Werkprofiel voor Gemengd Gebruik op Bedrijfseigen Apparaten

Hoewel u Per-App VPN kunt gebruiken voor apps binnen het Werkprofiel, raden wij aan de standaardconfiguratie te gebruiken om Private Access en Dreigingsbeveiliging beschikbaar te maken voor alle apps en netwerkverkeer binnen het Werkprofiel.

  1. Definieer een nieuw Android-configuratieprofiel in uw MDM dat Zero Touch-activering van Jamf Trust inschakelt en wijs dit profiel toe aan uw doelapparaten.
    • Alleen dreigingsbeveiligingsmogelijkheden worden ingeschakeld via zero touch. De gebruiker moet de Jamf Trust-app openen en authenticeren met zijn identiteitsprovider-inloggegevens om Private Access te activeren.
  2. Implementeer automatisch de Jamf Trust-app en het gemaakte configuratieprofiel op apparaten die zich inschrijven via Werkprofiel om ervoor te zorgen dat veilige netwerken beschikbaar zijn voor hun applicaties binnen het Werkprofiel.

Implementatietips

  • Het werkprofiel werd geïntroduceerd in Android 11. Voorheen stond dit bekend als "Corporate-owned, personally enabled", wat werd gewijzigd vanwege strengere privacyvereisten.
    • Als u implementeert op een oudere Android OS-versie, is het de moeite waard om te controleren welke opties beschikbaar kunnen zijn.
  • Er zijn over het algemeen significante verschillen in Android Enterprise-gedrag en compatibiliteit tussen Android OS-versies en OEM's van apparaatfabrikanten. Test grondig!
  • Een bestaand apparaat moet worden teruggezet naar fabrieksinstellingen en opnieuw worden ingeschreven om in deze inschrijvingsmodus te komen.
  • Het Werkprofiel kan door gebruikers worden gepauzeerd, waardoor het profiel en alle apps daarin worden uitgeschakeld. In deze staat worden Werk-apps opgeschort of beëindigd en worden hun meldingen ook uitgeschakeld.
  • Apps binnen het Werkprofiel worden anders gemarkeerd dan Persoonlijke apps.