Guides

Profil pracy dla urządzeń należących do pracowników, znany również jako Bring Your Own Device (BYOD), zapewnia kompletne oddzielenie danych pracowniczych i osobistych oraz aplikacji na urządzeniu. Ponieważ urządzenie należy do pracownika, zasady mogą być zastosowane tylko do profilu pracy/partycji i nie mogą być zastosowane do profilu osobistego/partycji ani na całym urządzeniu.

Model prywatności i bezpieczeństwa profilu pracy dla urządzeń pracownika jest koncepcyjnie identyczny z modelem wdrażania User Enrollment BYOD Apple. Zauważalną różnicą jest projektowanie interfejsu użytkownika: Apple "mieszają" aplikacje pracownicze i osobiste wizualnie, podczas gdy Android zapewnia wyraźne odróżnienie wizualne między tymi dwoma typami. W obu przypadkach przechowywanie danych jest logicznie oddzielone, a mechanizmy kontroli transferu danych (DLP) są dostarczane zespołom IT do zarządzania.

Info: Czy urządzenie jest firmowe?

Jeśli tak, możesz wolać użyć metody rejestracji Profil pracy dla urządzeń firmowych do użytku mieszanego. Ta metoda zachowuje to samo silne oddzielenie danych pracownika i osoby w zakresie ochrony prywatności profili pracy dla urządzeń należących do pracownika, ale zapewnia IT kilka dodatkowych kontroli na poziomie urządzenia.

Jeśli wymagane jest pełne zarządzanie urządzeniem bez tego logicznego oddzielenia danych, należy rozważyć użycie Android Fully Managed Devices .

Nie zaleca się próby pełnego zarządzania urządzeniem osobistym: taka strategia rejestracji nie jest obsługiwana przez Android, znacznie kompromituje prywatność użytkownika i zwykle słabo jest przyjmowana przez użytkowników końcowych.

Wdrażanie profilu pracy dla urządzenia należącego do pracownika

Konfiguracja profilu pracy na urządzeniu należącym do pracownika wymaga usługi, która zapewnia zarządzanie urządzeniami mobilnymi zgodne z Android Enterprise.

Jamf udostępnia Manager for Android w ramach swojej komercyjnej oferty Jamf for Mobile, chociaż osiągnięcie wyników Trusted Access jest możliwe przy użyciu dowolnego zgodnego dostawcy UEM innej firmy.

{{snippet.Manager for Android Config}}

Korzystanie z trzeciego dostawcy Android UEM

Chociaż dokumentacja wdrażania profilu pracy Android dla urządzeń należących do pracowników przy użyciu UEM stron trzecich wykracza poza zakres tego dokumentu, możesz odwołać się do dokumentacji dostawcy UEM lub Microsoft Endpoint Manager jako punkt wyjścia:

• End-to-End Android Enterprise Setup Guide
• Work Profile for Employee Devices Enrollments
• Powiadom użytkowników o create a Work Profile on their device.

Po skonfigurowaniu profilu pracy administratorzy IT mogą wdrażać aplikacje Managed Google Play

Wdrażanie Jamf Trust

Aplikacja Jamf Trust jest wymagana do włączenia różnych usług bezpieczeństwa na urządzeniach Android, w tym Jamf Private Access.

Info: Uwaga dotycząca wdrażania Manager for Android

Większość tych kroków jest wykonywana automatycznie podczas wykonywania powyższych kroków w Deploying Using Manager for Android.

Jednak warto przejrzeć poniższe pojęcia, ponieważ dotyczą one również wdrażania Manager for Android.

Private Access jest używany w rozwiązaniu Jamf Trusted Access w celu umożliwienia dostępu do zasobów firmy dla partycji profilu pracy na prawidłowo zarejestrowanym urządzeniu BYO. Aktywna obrona przed zagrożeniami jest również włączona dla aplikacji i ruchu sieciowego w zarządzanej przez organizację partycji profilu pracy.

Warning: Ograniczenie prywatności

Podczas wdrażania Jamf Trust do profilu pracy na urządzeniu BYO usługa jest w stanie tylko "widzieć" i "chronić" w partycji profilu pracy. Jest to zamierzona cecha prywatna z założenia tego modelu wdrażania.

Odradzamy próbowanie wdrażania obrony przed zagrożeniami do partycji "osobistej" urządzenia. Bez automatycznego wdrażania i ze względu na implikacje prywatności użytkownika końcowego, wskaźniki aktywacji będą słabe.

Zamiast tego celem Trusted Access jest wzmocnienie modelu dostępu do sieci, aby dane firmy były dostępne tylko za pośrednictwem profilu pracy i nie można było uzyskać dostępu za pośrednictwem profilu osobistego (mimo że jest to ten sam bezużyteczny urządzenie i użytkownik!).

Poniższe kroki opisują kroki wysokiego poziomu wymagane do usprawnienia wdrażania aplikacji Jamf Trust za pośrednictwem zgodnego z Android Enterprise MDM:

1. Wykonaj kroki opisane w Enabling Access for Trusted Devices aby skonfigurować Private Access w RADAR.
2. Configure the Jamf Trust app via Managed Google Play.
   • Podczas konfiguracji Ustawień konfiguracji aplikacji użyj wartości przedstawionych w sekcji Zarządzana konfiguracja profilu aktywacyjnego utworzonego w poprzednim kroku.
   • Aplikacja Jamf Trust będzie zainstalowana w partycji profilu pracy na urządzeniu, a nie w profilu osobistym.

Info: Per-App VPN w profilu pracy dla urządzeń należących do pracownika

Chociaż możesz użyć Per-App VPN dla aplikacji w profilu pracy, zalecamy użycie domyślnej konfiguracji, aby Private Access i Threat Defense były dostępne dla wszystkich aplikacji i ruchu sieciowego w profilu pracy.

3. Zdefiniuj nowy profil konfiguracji Android w swoim MDM, który Enables Zero Touch Activation of Jamf Trust i przypisz ten profil do docelowych urządzeń.
   • Tylko możliwości obrony przed zagrożeniami będą włączone za pośrednictwem zero touch. Użytkownik będzie musiał otworzyć aplikację Jamf Trust i uwierzytelnić się przy użyciu swoich poświadczeń dostawcy tożsamości, aby aktywować Private Access.
4. Automatycznie wdróż aplikację Jamf Trust i utworzony profil konfiguracji na urządzenia, które rejestrują się za pośrednictwem profilu pracy, aby zapewnić dostępność bezpiecznej sieci dla ich aplikacji w profilu pracy.

Wskazówki dotyczące profilu pracy

• Profil pracy został wprowadzony w systemie Android 11.
  • Jeśli wdrażasz do starszej wersji systemu operacyjnego Android, warto sprawdzić, jakie opcje mogą być dostępne.
• Generalnie istnieją znaczne różnice w zachowaniu i kompatybilności Android Enterprise w różnych wersjach systemu operacyjnego Android i producentach urządzeń OEM. Przetestuj dokładnie!
• Urządzenia będą mogły swobodnie dodawać i usuwać profil pracy bez konieczności przeprowadzania resetowania urządzenia do ustawień fabrycznych.
• Profil pracy może być wstrzymywany przez użytkowników, co wyłącza profil i wszystkie aplikacje w nim zawarte. W tym stanie aplikacje pracownicze zostaną wznowione lub zakończone, a ich powiadomienia będą również wyłączone.
• Aplikacje w profilu pracy będą oznaczone inaczej niż aplikacje osobiste.
• Należy pamiętać, że istnieją ograniczenia dotyczące tego, jakie ustawienia można zastosować niezależnie od tego, czy urządzenie jest osobiste, czy należące do firmy.