Jamf Concepts
指南

指南

员工自有设备的工作资料

~1 min read

员工自有设备的工作资料,也称为自带设备 (BYOD),可在设备上完全隔离工作和个人数据及应用。由于设备由员工拥有,策略只能应用于工作资料/分区,不能应用于个人资料/分区或设备级别。

Android Enterprise 员工设备的工作资料

员工自有设备工作资料的隐私和安全模型在概念上与 Apple 的 BYOD 用户注册部署模型相同。值得注意的区别在于用户界面设计:Apple 在视觉上"融合"了工作和个人应用,而 Android 在这两种类型之间提供了明确的视觉区分。在这两种情况下,数据存储在逻辑上是分离的,并向 IT 团队提供数据传输 (DLP) 控制来进行管理。

信息:设备是公司所有吗?

如果是,您可能更倾向于改用混合用途公司自有设备的工作资料注册方法。该方法保持了员工自有设备工作资料的相同强大的工作和个人数据隔离及隐私控制,但为 IT 提供了更多设备级别的控制。

如果需要完整的设备管理而无需这种逻辑数据隔离,您应该考虑改用 Android 完全托管设备

不建议尝试完全管理个人拥有的设备:Android 不支持此类注册策略,会严重危害用户隐私,通常会被最终用户所反对。

部署员工自有设备的工作资料

在员工自有设备上配置工作资料需要提供与 Android Enterprise 兼容的移动设备管理服务。

Jamf 在其 Jamf for Mobile 商业产品中提供 Manager for Android,尽管使用任何兼容的第三方 UEM 供应商也可以实现受信访问结果。

{{snippet.Manager for Android Config}}

使用第三方 Android UEM

虽然使用第三方 UEM 部署员工自有设备的 Android 工作资料的文档超出了本文档的范围,但您可以参考您的 UEM 或 Microsoft Endpoint Manager 的文档作为起点:

配置工作资料后,IT 管理员可以部署托管 Google Play 应用

部署 Jamf Trust

Jamf Trust 应用是在 Android 设备上启用各种安全服务所必需的,包括 Jamf Private Access。

信息:Android Manager 部署的注意事项

在按照上面使用 Manager for Android 部署中的步骤操作时,大多数这些步骤会自动完成。

但是,查看下面的概念很有用,因为它们也适用于 Manager for Android 部署。

Private Access 在 Jamf 受信访问解决方案中使用,以便在正确注册的 BYO 设备上为工作资料分区启用对公司资源的访问。对于组织托管工作资料内的应用和网络流量,也会启用主动威胁防御。

警告:隐私限制

将 Jamf Trust 部署到 BYO 设备上的工作资料时,该服务只能在工作资料分区内"查看"和"保护"。这是此部署模型的一个有意的隐私设计属性。

我们不建议尝试将威胁防御部署到设备的"个人"分区。由于没有自动化部署且涉及最终用户隐私,激活率将很低。

相反,受信访问的目标是加强您的网络访问模型,使公司数据只能通过工作资料访问,不能通过个人资料访问(即使它是同一设备和用户!)。

以下步骤概述了通过 Android Enterprise 兼容 MDM 简化 Jamf Trust 应用部署所需的高级步骤:

  1. 按照为受信设备启用访问中的步骤在 RADAR 中配置 Private Access。
  2. 通过托管 Google Play 配置 Jamf Trust 应用
    • 配置应用的配置设置时,使用在上一步创建的激活配置文件的托管配置部分中显示的值。
    • Jamf Trust 应用将安装在设备的工作资料分区中,而不是个人资料中。

信息:员工自有设备的工作资料上的按应用 VPN

虽然您可能对工作资料内的应用使用按应用 VPN,但我们建议使用默认配置,以使 Private Access 和威胁防御可用于工作资料内的所有应用和网络流量。

  1. 在您的 MDM 中定义一个新的 Android 配置资料,启用 Jamf Trust 的零接触激活,并将此资料分配给您的目标设备。
    • 仅通过零接触启用威胁防御功能。用户需要打开 Jamf Trust 应用并使用其身份提供商凭据进行身份验证以激活 Private Access。
  2. 自动将 Jamf Trust 应用和创建的配置资料部署到通过工作资料注册的设备,以确保工作资料内的应用可以使用安全网络。

工作资料提示

  • 工作资料在 Android 11 中引入。
    • 如果您部署到较旧的 Android OS 版本,值得检查可能可用的选项。
  • 通常,Android Enterprise 行为和兼容性在不同 Android OS 版本和设备制造商 OEM 之间存在显著差异。请彻底测试!
  • 设备将能够自由地添加和删除工作资料,而无需进行设备出厂重置。
  • 用户可以暂停工作资料,这会禁用该资料及其中的所有应用。在此状态下,工作应用将被暂停或终止,其通知也将被禁用。
  • 工作资料中的应用将与个人应用的标记方式不同。
  • 请注意,根据设备是个人所有还是公司所有,对可以应用的设置有限制。