Werkprofiel voor apparaten in eigendom van werknemers, ook bekend als Bring Your Own Device (BYOD), biedt volledige scheiding van werk- en persoonlijke gegevens en apps op het apparaat. Aangezien het apparaat eigendom is van de werknemer, kan beleid alleen worden toegepast op het Werkprofiel/partitie en kan niet worden toegepast op het persoonlijke profiel/partitie of apparaatbreed.
Het privacy- en beveiligingsmodel van Werkprofiel voor Werknemersapparaten is conceptueel identiek aan Apple's BYOD User Enrollment-implementatiemodel. Het opvallende verschil zit in het gebruikersinterfaceontwerp: Apple "mengt" werk- en persoonlijke apps visueel, terwijl Android een expliciete visuele scheiding biedt tussen de twee typen. In beide gevallen is gegevensopslag logisch gescheiden en worden datatransfer (DLP)-controles aangeboden aan IT-teams om te beheren.
Info: Is het apparaat bedrijfseigendom?
Zo ja, dan geeft u mogelijk de voorkeur aan de Werkprofiel voor Gemengd Gebruik op Bedrijfseigen Apparaten inschrijvingsmethode. Deze methode behoudt dezelfde sterke scheiding van werk- en persoonlijke gegevens en privacycontroles van Werkprofielen voor Apparaten in Eigendom van Werknemers, maar biedt IT een paar meer apparaatbrede controles.
Als volledig apparaatbeheer vereist is zonder deze logische gegevensscheiding, overweeg dan om Android Volledig Beheerde Apparaten te gebruiken.
Het wordt niet aanbevolen om te proberen een apparaat in persoonlijk eigendom volledig te beheren: een dergelijke inschrijvingsstrategie wordt niet ondersteund door Android, compromitteert de privacy van de gebruiker aanzienlijk en wordt meestal slecht geadopteerd door eindgebruikers.
Implementatie van Werkprofiel voor Apparaat in Eigendom van Werknemer
Het configureren van een Werkprofiel op een Apparaat in Eigendom van een Werknemer vereist een dienst die Android Enterprise-compatibel mobiel apparaatbeheer biedt.
Jamf biedt Manager for Android als onderdeel van zijn commerciële Jamf for Mobile-aanbod, hoewel het realiseren van Trusted Access-resultaten mogelijk is met elke compatibele UEM-leverancier van derden.
{{snippet.Manager for Android Config}}
Gebruik van een Android UEM van Derden
Hoewel documentatie voor het implementeren van Android Werkprofiel voor Apparaten in Eigendom van Werknemers met UEM's van derden buiten het bereik van dit document valt, kunt u documentatie raadplegen van uw UEM of van Microsoft Endpoint Manager als startpunt:
- End-to-End Android Enterprise Setup Guide
- Werkprofiel voor Werknemersapparaten Inschrijvingen
- Informeer gebruikers om een Werkprofiel aan te maken op hun apparaat.
Zodra een Werkprofiel is geconfigureerd, kunnen IT-beheerders Managed Google Play-apps implementeren
Implementatie van Jamf Trust
De Jamf Trust-app is vereist om verschillende beveiligingsdiensten op Android-apparaten in te schakelen, waaronder Jamf Private Access.
Info: Opmerking voor Manager for Android-implementaties
De meeste van deze stappen worden automatisch voltooid wanneer u de bovenstaande stappen volgt in Implementatie met Manager for Android.
Het is echter nuttig om de onderstaande concepten te bekijken, aangezien deze ook van toepassing zijn op Manager for Android-implementaties.
Private Access wordt gebruikt in de Jamf Trusted Access-oplossing om toegang tot bedrijfsbronnen mogelijk te maken voor de Werkprofielpartitie op een correct ingeschreven BYO-apparaat. Actieve dreigingsbeveiliging wordt ook ingeschakeld voor apps en netwerkverkeer binnen het door de organisatie beheerde Werkprofiel.
Waarschuwing: Privacybeperking
Bij het implementeren van Jamf Trust op een Werkprofiel op een BYO-apparaat, kan de dienst alleen "zien" en "beschermen" binnen de Werkprofielpartitie. Dit is een opzettelijk privacy-by-design-attribuut van dit implementatiemodel.
Wij raden af om dreigingsbeveiliging te proberen te implementeren op de "persoonlijke" partitie van het apparaat. Zonder geautomatiseerde implementatie en vanwege de privacy-implicaties voor eindgebruikers zullen activeringspercentages laag zijn.
In plaats daarvan is het doel van Trusted Access om uw netwerktoegangsmodel te versterken, zodat bedrijfsgegevens alleen bereikbaar zijn via het Werkprofiel en niet toegankelijk zijn via het Persoonlijke Profiel (zelfs al is het hetzelfde apparaat en dezelfde gebruiker!).
De volgende stappen beschrijven de stappen op hoog niveau die nodig zijn om de implementatie van de Jamf Trust-app via uw Android Enterprise-compatibele MDM te stroomlijnen:
- Volg de stappen in Toegang Inschakelen voor Vertrouwde Apparaten om Private Access in RADAR te configureren.
- Configureer de Jamf Trust-app via Managed Google Play.
- Bij het configureren van de Configuratie-instellingen van de app, gebruik de waarden die worden gepresenteerd in het Beheerde Configuratie-gedeelte van het Activatieprofiel dat in de vorige stap is gemaakt.
- De Jamf Trust-app wordt geïnstalleerd in de Werkprofielpartitie op het apparaat, niet het Persoonlijke Profiel.
Info: Per-App VPN op Werkprofiel voor Apparaten in Eigendom van Werknemers
Hoewel u Per-App VPN kunt gebruiken voor apps binnen het Werkprofiel, raden wij aan de standaardconfiguratie te gebruiken om Private Access en Dreigingsbeveiliging beschikbaar te maken voor alle apps en netwerkverkeer binnen het Werkprofiel.
- Definieer een nieuw Android-configuratieprofiel in uw MDM dat Zero Touch-activering van Jamf Trust inschakelt en wijs dit profiel toe aan uw doelapparaten.
- Alleen dreigingsbeveiligingsmogelijkheden worden ingeschakeld via zero touch. De gebruiker moet de Jamf Trust-app openen en authenticeren met zijn identiteitsprovider-inloggegevens om Private Access te activeren.
- Implementeer automatisch de Jamf Trust-app en het gemaakte configuratieprofiel op apparaten die zich inschrijven via Werkprofiel om ervoor te zorgen dat veilige netwerken beschikbaar zijn voor hun applicaties binnen het Werkprofiel.
Werkprofieltips
- Het werkprofiel werd geïntroduceerd in Android 11.
- Als u implementeert op een oudere Android OS-versie, is het de moeite waard om te controleren welke opties beschikbaar kunnen zijn.
- Er zijn over het algemeen significante verschillen in Android Enterprise-gedrag en compatibiliteit tussen Android OS-versies en OEM's van apparaatfabrikanten. Test grondig!
- Apparaten kunnen het Werkprofiel vrij toevoegen en verwijderen zonder een fabrieksreset van het apparaat te hoeven uitvoeren.
- Het Werkprofiel kan door gebruikers worden gepauzeerd, waardoor het profiel en alle apps daarin worden uitgeschakeld. In deze staat worden Werk-apps opgeschort of beëindigd en worden hun meldingen ook uitgeschakeld.
- Apps binnen het Werkprofiel worden anders gemarkeerd dan Persoonlijke apps.
- Houd er rekening mee dat er beperkingen zijn aan welke instellingen kunnen worden toegepast, afhankelijk van of het apparaat persoonlijk of bedrijfseigendom is.