Jamf Concepts
指南

指南

員工自有裝置的工作設定檔

~2 min read

員工自有裝置的工作設定檔,也稱為自攜裝置 (BYOD),在裝置上提供工作和個人資料與應用程式的完整隔離。由於裝置由員工擁有,政策僅能套用於工作設定檔/分割區,無法套用於個人設定檔/分割區或整個裝置。

Android Enterprise 員工自有裝置的工作設定檔

員工自有裝置工作設定檔的隱私和安全模式在概念上與 Apple 的 BYOD 使用者註冊部署模型相同。值得注意的差異在於使用者介面設計:Apple 在視覺上「混合」工作和個人應用程式,而 Android 則在兩種類型之間提供明確的視覺區分。在兩種情況下,資料儲存在邏輯上是分開的,IT 團隊可透過資料外洩防護 (DLP) 控制項來管理資料傳輸。

資訊:裝置是公司自有的嗎?

如果是,您可能希望改用混合使用公司自有裝置的工作設定檔註冊方法。此方法保留了員工自有裝置工作設定檔的相同強力工作和個人資料隔離以及隱私控制,但為 IT 提供更多裝置層級的控制。

如果需要完整裝置管理而不需要這種邏輯資料隔離,應考慮改用 Android 完全受管裝置

不建議嘗試完全管理個人擁有的裝置:Android 不支援此類註冊方法,會顯著危害使用者隱私,且通常不會被終端使用者採用。

部署員工自有裝置的工作設定檔

在員工自有裝置上設定工作設定檔需要提供與 Android Enterprise 相容的行動裝置管理服務。

Jamf 作為其 Jamf for Mobile 商業提供方案的一部分提供 Manager for Android,雖然使用任何相容的第三方 UEM 廠商也可以實現 Trusted Access 結果。

{{snippet.Manager for Android Config}}

使用第三方 Android UEM

雖然使用第三方 UEM 部署員工自有裝置 Android 工作設定檔的文件超出本文件的範圍,您可以參考 UEM 文件或 Microsoft Endpoint Manager 作為起點:

設定工作設定檔後,IT 管理員可部署 Managed Google Play 應用程式

部署 Jamf Trust

Jamf Trust 應用程式必須在 Android 裝置上啟用各種安全服務,包括 Jamf Private Access。

資訊:Manager for Android 部署的注意事項

遵循上面使用 Manager for Android 部署中的步驟時,大多數這些步驟會自動完成。

不過,審查以下概念很有用,因為它們也適用於 Manager for Android 部署。

Private Access 在 Jamf Trusted Access 解決方案中用於啟用對公司資源的存取適用於正確註冊的 BYOD 裝置上的工作設定檔分割區。主動威脅防禦也針對組織管理的工作設定檔內的應用程式和網路流量啟用。

警告:隱私限制

在 BYOD 裝置上將 Jamf Trust 部署到工作設定檔時,該服務只能在工作設定檔分割區內「查看」和「保護」。這是此部署模型的有意設計隱私屬性。

我們不建議嘗試將威脅防禦部署到裝置的「個人」分割區。沒有自動部署且基於終端使用者隱私的考量,啟用率會很低。

相反,Trusted Access 的目標是強化您的網路存取模型,使公司資料只能透過工作設定檔存取,無法透過個人設定檔存取(即使它是同一裝置和使用者!)。

以下步驟概述透過與 Android Enterprise 相容的 MDM 簡化 Jamf Trust 應用程式部署所需的高階步驟:

  1. 遵循啟用信任裝置存取中的步驟,在 RADAR 中設定 Private Access。
  2. 透過 Managed Google Play 設定 Jamf Trust 應用程式
    • 設定應用程式的受管設定時,使用前一步驟中建立的啟用設定檔受管設定部分中呈現的值。
    • Jamf Trust 應用程式將安裝在裝置上的工作設定檔分割區中,而不是個人設定檔。

資訊:員工自有裝置工作設定檔上的個別應用程式 VPN

雖然您可能會針對工作設定檔內的應用程式使用個別應用程式 VPN,我們建議使用預設設定,使 Private Access 和威脅防禦可供工作設定檔內的所有應用程式和網路流量使用。

  1. 在 MDM 中定義新的 Android 設定檔,啟用 Jamf Trust 的零接觸啟用,並將此設定檔指派給目標裝置。
    • 只有威脅防禦功能會透過零接觸啟用。使用者需要開啟 Jamf Trust 應用程式並使用其身份提供者認證進行驗證,才能啟用 Private Access。
  2. 自動部署 Jamf Trust 應用程式和建立的設定檔到透過工作設定檔註冊的裝置,以確保安全網路連線可用於其工作設定檔內的應用程式。

工作設定檔提示

  • 工作設定檔在 Android 11 中推出。
    • 如果您要部署到較舊的 Android OS 版本,值得檢查可能有哪些選項。
  • 通常在 Android OS 版本和裝置製造商 OEM 之間,Android Enterprise 行為和相容性有明顯差異。請徹底測試!
  • 裝置將能夠自由新增和移除工作設定檔,無需進行裝置恢復出廠設定。
  • 工作設定檔可由使用者暫停,這會停用設定檔及其內的所有應用程式。在此狀態下,工作應用程式將被暫停或終止,其通知也會被停用。
  • 工作設定檔內的應用程式將與個人應用程式標記方式不同。
  • 請記住,無論裝置是個人擁有還是公司自有,可以套用的設定都有限制。