Verwaltung mobiler Anwendungen und persönliche Arbeitsprofile auf Android Enterprise-Geräten in Intune

In vielen Organisationen sind Administratoren aufgefordert, Ressourcen und Daten auf verschiedenen Geräten zu schützen. Eine Herausforderung ist der Schutz von Ressourcen für Benutzer mit persönlichen Android Enterprise-Geräten, auch bekannt als Bring-Your-Own-Device (BYOD). Microsoft Intune unterstützt zwei Android-Bereitstellungsszenarien für Bring-Your-Own-Device (BYOD):

Die Mam- und Die persönlichen Android Enterprise-Arbeitsprofilbereitstellungsszenarien enthalten die folgenden wichtigen Features, die für BYOD-Umgebungen wichtig sind:

  • Schutz und Trennung von organization verwalteten Daten: Beide Lösungen schützen organization Daten, indem sie DLP-Steuerelemente (Data Loss Prevention, Verhinderung von Datenverlust) für organization verwaltete Daten erzwingen. Diese Schutzmaßnahmen verhindern versehentliche Datenlecks, z. B. dass ein Endbenutzer diese versehentlich an eine persönliche App oder ein Konto weitergibt. Sie dienen auch dazu, sicherzustellen, dass ein Gerät, das auf die Daten zugreift, fehlerfrei und nicht kompromittiert ist.

  • Datenschutz für Endbenutzer: MAM trennt Endbenutzer- und organization-Inhalte in verwalteten Anwendungen und persönliche Android Enterprise-Arbeitsprofile trennen Endbenutzerinhalte auf dem Gerät und Daten, die vom MDM-Administrator (Mobile Device Management) verwaltet werden. In beiden Szenarien erzwingen IT-Administratoren Richtlinien wie die reine PIN-Authentifizierung für organization verwaltete Apps oder Identitäten. IT-Administratoren können keine Daten lesen, darauf zugreifen oder löschen, die sich im Besitz von Endbenutzern befinden oder von diesen kontrolliert werden.

Ob Sie sich für mam- oder android enterprise personally-owned work profile für Ihre BYOD-Bereitstellung entscheiden, hängt von Ihren Anforderungen und Geschäftlichen Anforderungen ab. Das Ziel dieses Artikels besteht darin, Anleitungen bereitzustellen, die Ihnen bei der Entscheidung helfen. Weitere Informationen zu verwalteten Android-Geräten finden Sie unter Verwalten von persönlichen/unternehmenseigenen Android-Arbeitsprofilgeräten mit Intune.

Informationen zu Intune App-Schutzrichtlinien

Intune App-Schutzrichtlinien (APP) sind Datenschutzrichtlinien für Benutzer. Die Richtlinien wenden den Schutz vor Datenverlust auf Anwendungsebene an. Intune APP erfordert, dass App-Entwickler APP-Features für die von ihnen erstellten Apps aktivieren.

Einzelne Android-Apps können auf verschiedene Arten für APP aktiviert werden:

  1. Nativ in Microsoft-Erstanbieter-Apps integriert: Microsoft 365 (Office)-Apps für Android und eine Auswahl anderer Microsoft-Apps sind mit Intune APP integriert. Diese Office-Apps wie Word, OneDrive, Outlook usw. benötigen keine weitere Anpassung, um Richtlinien anzuwenden. Diese Apps können von Endbenutzern direkt aus dem Google Play Store installiert werden.

  2. Integriert in App-Builds durch Entwickler mit dem Intune SDK: App-Entwickler können das Intune SDK in ihren Quellcode integrieren und ihre Apps neu kompilieren, um Intune APP-Richtlinienfeatures zu unterstützen.

  3. Mit dem Intune App Wrapping Tool umschlossen: Einige Kunden kompilieren Android-Apps (. APK-Datei) ohne Zugriff auf Quellcode. Ohne den Quellcode kann der Entwickler keine Integration in das Intune SDK durchführen. Ohne das SDK können sie ihre App nicht für APP-Richtlinien aktivieren. Der Entwickler muss die App ändern oder neu codieren, um APP-Richtlinien zu unterstützen.

    Zur Unterstützung enthält Intune das App Wrapping Tool Tool für vorhandene Android-Apps (APKs) und erstellt eine App, die APP-Richtlinien erkennt.

    Weitere Informationen zu diesem Tool finden Sie unter Vorbereiten branchenspezifischer Apps für App-Schutzrichtlinien.

Eine Liste der Apps, die mit APP aktiviert sind, finden Sie unter Verwaltete Apps mit einem umfangreichen Satz von Schutzrichtlinien für mobile Anwendungen.

Bereitstellungsszenarien

In diesem Abschnitt werden die wichtigen Merkmale der Bereitstellungsszenarien für persönliche Mam- und Android Enterprise-Arbeitsprofile beschrieben.

MAM

Eine MAM-Bereitstellung definiert Richtlinien für Apps, nicht für Geräte. Für BYOD wird MAM häufig auf nicht registrierten Geräten verwendet. Um Apps und den Zugriff auf Organisationsdaten zu schützen, verwenden Administratoren app-verwaltbare Apps und wenden Datenschutzrichtlinien auf diese Apps an.

Diese Funktion gilt für:

  • Android 4.4 oder höher

Tipp

Weitere Informationen finden Sie unter Was sind App-Schutzrichtlinien?.

Persönliche Android Enterprise-Arbeitsprofile

Persönliche Android Enterprise-Arbeitsprofile sind das kernige Android Enterprise-Bereitstellungsszenario. Das persönliche Android Enterprise-Arbeitsprofil ist eine separate Partition, die auf Android-Betriebssystemebene erstellt wurde und von Intune verwaltet werden kann.

Ein persönliches Android Enterprise-Arbeitsprofil umfasst die folgenden Features:

  • Herkömmliche MDM-Funktionalität: Wichtige MDM-Funktionen, z. B. die Verwaltung des App-Lebenszyklus mit verwaltetem Google Play, sind in jedem Android Enterprise-Szenario verfügbar. Managed Google Play bietet eine stabile Oberfläche zum Installieren und Aktualisieren von Apps ohne Benutzereingriff. Die IT kann auch App-Konfigurationseinstellungen per Push an Organisations-Apps übertragen. Es ist auch nicht erforderlich, dass Endbenutzer Installationen aus unbekannten Quellen zulassen. Andere gängige MDM-Aktivitäten wie das Bereitstellen von Zertifikaten, das Konfigurieren von WLAN/VPNs und das Festlegen von Gerätekennungen sind für persönliche Android Enterprise-Arbeitsprofile verfügbar.

  • DLP auf der Grenze des persönlichen Android Enterprise-Arbeitsprofils: Bei einem persönlichen Android Enterprise-Arbeitsprofil werden DLP-Richtlinien auf Arbeitsprofilebene und nicht auf App-Ebene erzwungen. Beispielsweise wird der Kopier-/Einfügeschutz durch die APP-Einstellungen erzwungen, die auf eine App angewendet werden, oder durch das Arbeitsprofil erzwungen. Wenn die App in einem Arbeitsprofil bereitgestellt wird, können Administratoren den Kopier-/Einfügeschutz in das Arbeitsprofil anhalten, indem sie diese Richtlinie auf APP-Ebene deaktivieren.

Tipps zum Optimieren des Arbeitsprofils

Wenn Sie mit persönlichen Android Enterprise-Arbeitsprofilen arbeiten, sollten Sie überlegen, wie Sie APP und Mehrere Identitäten verwenden.

Verwendung von APP in persönlichen Android Enterprise-Arbeitsprofilen

Intune persönliche Arbeitsprofile von APP und Android Enterprise sind komplementäre Technologien, die zusammen oder separat verwendet werden können. Architekturell erzwingen beide Lösungen Richtlinien auf verschiedenen Ebenen – APP auf der einzelnen App-Ebene und Arbeitsprofil auf der Profilebene. Das Bereitstellen von Apps, die mit einer APP-Richtlinie für eine App in einem Arbeitsprofil verwaltet werden, ist ein gültiges und unterstütztes Szenario. Die Verwendung von APP, Arbeitsprofilen oder einer Kombination hängt von Ihren DLP-Anforderungen ab.

Persönliche Android Enterprise-Arbeitsprofile und APP ergänzen die Einstellungen des jeweils anderen, indem sie zusätzliche Abdeckung bieten, wenn ein Profil die Datenschutzanforderungen Ihrer organization nicht erfüllt. Beispielsweise stellen Arbeitsprofile keine nativen Steuerelemente bereit, mit denen verhindert wird, dass eine App an einem nicht vertrauenswürdigen Cloudspeicherort gespeichert wird. App enthält dieses Feature. Sie können entscheiden, dass dlp, die ausschließlich durch das Arbeitsprofil bereitgestellt wird, ausreichend ist, und sich dafür entscheiden, APP nicht zu verwenden. Oder Sie können den Schutz von einer Kombination aus beidem verlangen.

Unterdrücken der APP-Richtlinie für persönliche Android Enterprise-Arbeitsprofile

Möglicherweise müssen Sie einzelne Benutzer mit mehreren Geräten unterstützen– nicht registrierte Geräte mit MAM-verwalteten Anwendungen und verwaltete Geräte mit persönlichen Android Enterprise-Arbeitsprofilen.

Beispielsweise müssen Endbenutzer beim Öffnen einer Arbeits-App eine PIN eingeben. Je nach Gerät werden die PIN-Features von DER APP oder vom Arbeitsprofil verarbeitet. Bei verwalteten MAM-Anwendungen werden Zugriffssteuerungen, einschließlich des PIN-to-Launch-Verhaltens, von APP erzwungen. Bei registrierten Geräten kann die APP-PIN deaktiviert werden, um zu vermeiden, dass sowohl eine Geräte-PIN als auch eine APP-PIN erforderlich sind. (APP-PIN-Einstellung für Android. Für Arbeitsprofilgeräte können Sie eine Geräte- oder Arbeitsprofil-PIN verwenden, die vom Betriebssystem erzwungen wird. Um dieses Szenario zu erreichen, konfigurieren Sie APP-Einstellungen so, dass sie nicht angewendet werden , wenn eine App in einem Arbeitsprofil bereitgestellt wird. Wenn Sie dies nicht auf diese Weise konfigurieren, wird der Endbenutzer vom Gerät und erneut auf der APP-Ebene zur Eingabe einer PIN aufgefordert.

Steuern des Verhaltens mit mehreren Identitäten in persönlichen Android Enterprise-Arbeitsprofilen

Office-Anwendungen wie Outlook und OneDrive weisen ein Verhalten mit mehreren Identitäten auf. Innerhalb einer instance der Anwendung kann der Endbenutzer Verbindungen zu mehreren unterschiedlichen Konten oder Cloudspeicherorten hinzufügen. Innerhalb der Anwendung können die von diesen Speicherorten abgerufenen Daten getrennt oder zusammengeführt werden. Außerdem kann der Benutzer zwischen persönlichen Identitäten (user@outlook.com) und organization Identitäten (user@contoso.com) kontextieren.

Wenn Sie persönliche Android Enterprise-Arbeitsprofile verwenden, sollten Sie dieses Verhalten mit mehreren Identitäten deaktivieren. Wenn Sie sie deaktivieren, können badged-Instanzen der App im Arbeitsprofil nur mit einer organization-Identität konfiguriert werden. Verwenden Sie die App-Konfigurationseinstellung Zulässige Konten, um Office Android-Apps zu unterstützen.

Weitere Informationen finden Sie unter Bereitstellen von Konfigurationseinstellungen für Outlook für iOS/iPadOS und Android.For more information, see deploy Outlook for iOS/iPadOS and Android app configuration settings.

Wann sollte Intune APP verwendet werden?

Es gibt mehrere Enterprise Mobility-Szenarien, in denen die Verwendung Intune APP die beste Empfehlung ist.

Kein MDM, keine Registrierung, Google-Dienste sind nicht verfügbar

Einige Kunden möchten aus unterschiedlichen Gründen keine Geräteverwaltung, einschließlich der persönlichen Android Enterprise-Arbeitsprofilverwaltung:

  • Rechtliche und Haftungsgründe
  • Für die Konsistenz der Benutzererfahrung
  • Die Android-Geräteumgebung ist sehr heterogen
  • Es besteht keine Verbindung mit Google-Diensten, die für die Verwaltung von Arbeitsprofilen erforderlich ist.

Beispielsweise können Kunden in Oder Benutzer in China die Android-Geräteverwaltung nicht verwenden, da Google-Dienste blockiert sind. Verwenden Sie in diesem Fall Intune APP für DLP.

Zusammenfassung

Mit Intune sind sowohl MAM- als auch persönliche Android Enterprise-Arbeitsprofile für Ihr Android BYOD-Programm verfügbar. Abhängig von Ihren Geschäfts- und Nutzungsanforderungen können Sie MAM- und/oder Arbeitsprofile verwenden. Zusammenfassend können Sie persönliche Android Enterprise-Arbeitsprofile verwenden, wenn Sie MDM-Aktivitäten auf verwalteten Geräten benötigen, z. B. Zertifikatbereitstellung, App-Push usw. Verwenden Sie MAM, wenn Sie Organisationsdaten in Anwendungen schützen möchten.

Nächste Schritte

Beginnen Sie mit der Verwendung von App-Schutzrichtlinien, oder registrieren Sie Ihre Geräte.