Jamf Concepts
Guides

Guides

Profil pracy dla urządzeń firmowych do użytku mieszanego

~4 min read

Profil pracy dla urządzeń firmowych do użytku mieszanego, wcześniej znany jako Corporate-owned Personally Enabled (COPE), jest rozszerzeniem Profili pracy dla BYOD.

Podobnie jak w przypadku profili pracy, istnieje wyraźne oddzielenie danych pracowniczych i osobistych oraz aplikacji na urządzeniu. Organizacja zarządzająca nie jest w stanie "widzieć" danych w ruchu lub w spoczynku w kontenerze osobistym.

Jednak główną różnicą jest to, że IT ma dodatkową możliwość zastosowania ustawień na poziomie urządzenia, takich jak konfiguracje WiFi, uniemożliwienie instalacji aplikacji w partycji pracy i osobistej, zapobieganie transferom plików USB i inne.

image.png

Ta strategia zarządzania ma na celu zachowanie prywatności użytkownika końcowego, jednocześnie umożliwiając IT lepsze „blokowanie" fizycznego zasobu, który ostatecznie posiadają.

Wdrażanie profilu pracy dla urządzenia firmowego do użytku mieszanego

Tak jak w iOS/iPadOS, Google udostępnia możliwość Zero-touch Enrollment do rejestracji urządzenia Android zakupionego przez firmę do MDM od razu z pudełka.

{{snippet.Manager for Android Config}}

Korzystanie z trzeciego dostawcy Android UEM

Chociaż dokumentacja profilu pracy dla urządzeń firmowych do użytku mieszanego wykracza poza zakres tego dokumentu dla innych UEM, możesz odwołać się do dokumentacji Microsoft Endpoint Manager jako punkt wyjścia:

Wdrażanie Jamf Trust

Aplikacja Jamf Trust jest wymagana do włączenia różnych usług bezpieczeństwa na urządzeniach Android, w tym Jamf ZTNA.

Info: Uwaga dotycząca wdrażania Manager for Android

Większość tych kroków jest wykonywana automatycznie podczas wykonywania powyższych kroków w Deploying Using Manager for Android.

Jednak warto przejrzeć poniższe pojęcia, ponieważ dotyczą one również wdrażania Manager for Android.

ZTNA jest używany w rozwiązaniu Jamf Trusted Access w celu umożliwienia dostępu do zasobów firmy dla partycji profilu pracy na prawidłowo zarejestrowanym urządzeniu firmowym do użytku mieszanego. Aktywna obrona przed zagrożeniami jest również włączona dla aplikacji i ruchu sieciowego w zarządzanej przez organizację partycji profilu pracy.

Warning: Ograniczenia prywatności

Podczas wdrażania Jamf Trust do profilu pracy dla urządzenia firmowego do użytku mieszanego, usługa jest w stanie tylko "widzieć" i "chronić" w partycji profilu pracy. Jest to zamierzona cecha prywatna z założenia tego modelu wdrażania.

Odradzamy próbowanie wdrażania obrony przed zagrożeniami do partycji "osobistej" urządzenia. Bez automatycznego wdrażania i ze względu na implikacje prywatności użytkownika końcowego, wskaźniki aktywacji będą słabe.

Zamiast tego celem Trusted Access jest wzmocnienie modelu dostępu do sieci, aby dane firmy były dostępne tylko za pośrednictwem profilu pracy i nie można było uzyskać dostępu za pośrednictwem profilu osobistego (mimo że jest to ten sam bezzagrody użytkownik!).

Jeśli wymagana jest widoczność i kontrola wszystkich połączeń sieciowych i danych urządzenia, należy rozważyć użycie Fully Managed rejestracji.

Poniższe kroki opisują kroki wysokiego poziomu wymagane do usprawnienia wdrażania aplikacji Jamf Trust za pośrednictwem zgodnego z Android Enterprise MDM:

  1. Wykonaj kroki opisane w Enabling Access for Trusted Devices aby skonfigurować Private Access w RADAR.
  2. Configure the Jamf Trust app via Managed Google Play.
    • Podczas konfiguracji Ustawień konfiguracji aplikacji użyj wartości przedstawionych w sekcji Zarządzana konfiguracja profilu aktywacyjnego utworzonego w poprzednim kroku.
    • Aplikacja Jamf Trust będzie zainstalowana w partycji profilu pracy na urządzeniu, a nie w profilu osobistym.

Info: Per-App VPN w profilu pracy dla urządzeń firmowych do użytku mieszanego

Chociaż możesz użyć Per-App VPN dla aplikacji w profilu pracy, zalecamy użycie domyślnej konfiguracji, aby Private Access i Threat Defense były dostępne dla wszystkich aplikacji i ruchu sieciowego w profilu pracy.

  1. Zdefiniuj nowy profil konfiguracji Android w swoim MDM, który Enables Zero Touch Activation of Jamf Trust i przypisz ten profil do docelowych urządzeń.
    • Tylko możliwości obrony przed zagrożeniami będą włączone za pośrednictwem zero touch. Użytkownik będzie musiał otworzyć aplikację Jamf Trust i uwierzytelnić się przy użyciu swoich poświadczeń dostawcy tożsamości, aby aktywować Private Access.
  2. Automatycznie wdróż aplikację Jamf Trust i utworzony profil konfiguracji na urządzenia, które rejestrują się za pośrednictwem profilu pracy, aby zapewnić dostępność bezpiecznej sieci dla ich aplikacji w profilu pracy.

Wskazówki dotyczące wdrażania

  • Profil pracy został wprowadzony w systemie Android 11. Wcześniej byłby znany jako "Corporate-owned, personally enabled", który został zmieniony ze względu na silniejsze wymagania dotyczące prywatności.
    • Jeśli wdrażasz do starszej wersji systemu operacyjnego Android, warto sprawdzić, jakie opcje mogą być dostępne.
  • Generalnie istnieją znaczne różnice w zachowaniu i kompatybilności Android Enterprise w różnych wersjach systemu operacyjnego Android i producentach urządzeń OEM. Przetestuj dokładnie!
  • Istniejące urządzenie będzie musiało zostać zresetowane do ustawień fabrycznych i ponownie zarejestrowane, aby wejść w ten tryb rejestracji.
  • Profil pracy może być wstrzymywany przez użytkowników, co wyłącza profil i wszystkie aplikacje w nim zawarte. W tym stanie aplikacje pracownicze zostaną wznowione lub zakończone, a ich powiadomienia będą również wyłączone.
  • Aplikacje w profilu pracy będą oznaczone inaczej niż aplikacje osobiste.