混合使用公司所有设备的工作资料,以前称为企业所有个人启用 (COPE),是 BYOD 工作资料 的扩展。
与工作资料一样,设备上的工作数据和应用与个人数据和应用有明确的分隔。管理组织无法"查看"个人容器中移动中或静止的数据。
但是,主要区别在于 IT 具有应用设备范围设置的额外能力,例如 WiFi 配置、防止应用安装在工作和个人分区、防止 USB 文件传输等。
该管理策略旨在保护最终用户数据隐私,同时使 IT 能够更好地"锁定"他们最终拥有的物理资产。
部署混合使用公司所有设备的工作资料
就像在 iOS/iPadOS 上一样,Google 提供 Zero-touch Enrollment 功能,可将公司购买的 Android 设备在开箱即用时注册到 MDM。
{{snippet.Manager for Android Config}}
使用第三方 Android UEM
虽然混合使用公司所有设备工作资料的文档超出了本文档对其他 UEM 的范围,但您可以参考 Microsoft Endpoint Manager 的文档作为起点:
部署 Jamf Trust
需要 Jamf Trust 应用来在 Android 设备上启用各种安全服务,包括 Jamf ZTNA。
信息:Manager for Android 部署说明
在按照上面 使用 Manager for Android 部署 中的步骤操作时,这些步骤中的大多数会自动完成。
但是,查看以下概念会很有用,因为它们也适用于 Manager for Android 部署。
ZTNA 在 Jamf Trusted Access 解决方案中用于启用对公司资源工作资料分区的访问权限,前提是正确注册的混合使用公司所有设备工作资料。组织管理的工作资料中的应用和网络流量也启用了主动威胁防御。
警告:隐私限制
将 Jamf Trust 部署到混合使用公司所有设备的工作资料时,它只能"查看"和"保护"工作资料分区内的内容。这是此部署模型有意设计的隐私优先属性。
我们不建议尝试将威胁防御部署到设备的"个人"分区。在没有自动部署的情况下,由于最终用户隐私影响,激活率会很低。
相反,Trusted Access 的目标是加强您的网络访问模型,使公司数据只能通过工作资料访问,而无法通过个人资料访问(即使它是同一设备和用户!)。
如果您需要对所有设备数据和网络连接的可见性和控制,请改用 完全管理 注册。
以下步骤概述了通过您的 Android Enterprise 兼容 MDM 简化 Jamf Trust 应用部署所需的高级步骤:
- 按照 启用受信任设备访问权限 中的步骤在 RADAR 中配置私密访问。
- 通过托管 Google Play 配置 Jamf Trust 应用。
- 配置应用的配置设置时,使用上一步中创建的激活资料的托管配置部分中显示的值。
- Jamf Trust 应用将安装在设备的工作资料分区中,而不是个人资料中。
信息:混合使用公司设备工作资料中的按应用 VPN
虽然您可以对工作资料中的应用使用按应用 VPN,但我们建议使用默认配置,使私密访问和威胁防御可用于工作资料中的所有应用和网络流量。
- 在您的 MDM 中定义新的 Android 配置资料,启用 Jamf Trust 的零接触激活并将此资料分配给目标设备。
- 仅通过零接触启用威胁防御功能。用户需要打开 Jamf Trust 应用并使用其身份提供商凭据进行身份验证以激活私密访问。
- 自动将 Jamf Trust 应用和创建的配置资料部署到通过工作资料注册的设备,以确保安全网络可用于工作资料中的应用。
部署提示
- 工作资料在 Android 11 中引入。之前这被称为"企业所有个人启用",由于更强的隐私要求而改变了。
- 如果您要部署到较旧的 Android OS 版本,值得检查可能有哪些选项可用。
- 通常在不同 Android OS 版本和设备制造商 OEM 中,Android Enterprise 行为和兼容性存在重大差异。彻底测试!
- 现有设备需要进行恢复出厂设置并重新注册才能进入此注册模式。
- 用户可以暂停工作资料,这会禁用该资料及其中的所有应用。在此状态下,工作应用将被挂起或终止,其通知也会被禁用。
- 工作资料中的应用将被标记为与个人应用不同。