混合使用公司自有裝置的工作設定檔(前稱為公司擁有個人啟用 (COPE))是 BYOD 工作設定檔 的延伸。
就像工作設定檔一樣,在裝置上工作和個人資料及應用程式之間有明確的隔離。管理組織無法「查看」個人容器中傳輸中或靜止的資料。
但是,主要差異在於 IT 部門具有套用裝置層級設定的額外能力,例如 WiFi 設定、防止應用程式在工作和個人分割區上安裝、防止 USB 檔案傳輸等。
此管理策略旨在保護終端使用者資料隱私,同時使 IT 部門能夠更好地「鎖定」他們最終擁有的實體資產。
部署混合使用公司自有裝置的工作設定檔
就像在 iOS/iPadOS 上一樣,Google 提供 Zero-touch Enrollment 功能,可以在開箱即用時將公司購買的 Android 裝置註冊到 MDM。
{{snippet.Manager for Android Config}}
使用第三方 Android UEM
雖然混合使用公司自有裝置的工作設定檔文件超出本文件對其他 UEM 的範圍,但您可以參考 Microsoft Endpoint Manager 的文件作為起點:
部署 Jamf Trust
Jamf Trust 應用程式必須在 Android 裝置上啟用各種安全服務,包括 Jamf ZTNA。
資訊:Manager for Android 部署注意事項
遵循上面 使用 Manager for Android 部署 中的步驟時,大多數這些步驟會自動完成。
不過,審查以下概念很有用,因為它們也適用於 Manager for Android 部署。
ZTNA 在 Jamf Trusted Access 解決方案中使用,以在正確註冊的混合使用公司自有裝置的工作設定檔上啟用對工作設定檔分割區的公司資源存取。主動威脅防禦也針對組織管理的工作設定檔中的應用程式和網路流量啟用。
警告:隱私限制
將 Jamf Trust 部署到混合使用公司自有裝置的工作設定檔時,它只能在工作設定檔分割區內「查看」和「保護」。這是此部署模型的有意隱私設計屬性。
我們不建議嘗試將威脅防禦部署到裝置的「個人」分割區。由於沒有自動部署且基於終端使用者隱私的考量,啟用率會很低。
相反,Trusted Access 的目標是強化您的網路存取模型,使公司資料只能透過工作設定檔存取,無法透過個人設定檔存取(即使它是同一裝置和使用者!)。
如果您需要對裝置的所有資料和網路連線的能見度和控制,請改用 完全受管裝置 註冊。
以下步驟概述透過與 Android Enterprise 相容的 MDM 簡化 Jamf Trust 應用程式部署所需的高階步驟:
- 遵循 啟用信任裝置存取 中的步驟在 RADAR 中設定 Private Access。
- 透過 Managed Google Play 設定 Jamf Trust 應用程式。
- 設定應用程式的受管設定時,請使用在上一步中建立的啟用設定檔受管設定部分中呈現的值。
- Jamf Trust 應用程式將安裝在裝置的工作設定檔分割區上,而不是個人設定檔。
資訊:混合使用公司自有裝置工作設定檔上的個別應用程式 VPN
雖然您可能對工作設定檔內的應用程式使用個別應用程式 VPN,但我們建議使用預設設定,以使 Private Access 和威脅防禦可用於工作設定檔內的所有應用程式和網路流量。
- 在您的 MDM 中定義新的 Android 設定檔,啟用 Jamf Trust 的零接觸啟用,並將此設定檔指派給目標裝置。
- 只有威脅防禦功能會透過零接觸啟用。使用者需要開啟 Jamf Trust 應用程式並使用其身份提供者認證進行驗證,才能啟用 Private Access。
- 自動將 Jamf Trust 應用程式和建立的設定檔部署到透過工作設定檔註冊的裝置,以確保安全網路連線可用於工作設定檔內的應用程式。
部署提示
- 工作設定檔在 Android 11 中推出。以前這被稱為「公司擁有、個人啟用」,由於隱私要求更強而被更改。
- 如果您部署到較舊的 Android OS 版本,值得檢查可能有哪些選項。
- 通常在 Android OS 版本和裝置製造商 OEM 之間,Android Enterprise 行為和相容性有明顯差異。請徹底測試!
- 現有裝置需要恢復出廠設定並重新註冊才能進入此註冊模式。
- 工作設定檔可由使用者暫停,這會停用設定檔及其內的所有應用程式。在此狀態下,工作應用程式將被暫停或終止,其通知也會被停用。
- 工作設定檔內的應用程式將與個人應用程式標記方式不同。