Gestion des applications mobiles et profils professionnels appartenant à l’utilisateur sur les appareils Android Entreprise dans Intune

Dans de nombreuses organisations, les administrateurs doivent protéger les ressources et les données sur différents appareils. L’un des défis consiste à protéger les ressources pour les utilisateurs disposant d’appareils Android Entreprise personnels, également appelés BYOD (bring-your-own-device). Microsoft Intune prend en charge deux scénarios de déploiement Android pour byOD (bring-your-own-device) :

Les scénarios de déploiement de profils professionnels Android Enterprise appartenant à l’utilisateur incluent les fonctionnalités clés suivantes importantes pour les environnements BYOD :

  • Protection et séparation des données gérées par organization : les deux solutions protègent les données organization en appliquant des contrôles de protection contre la perte de données (DLP) sur les données gérées par organization. Ces protections empêchent les fuites accidentelles de données protégées, telles qu’un utilisateur final les partageant accidentellement avec une application ou un compte personnel. Ils permettent également de s’assurer qu’un appareil accédant aux données est sain et non compromis.

  • Confidentialité des utilisateurs finaux : la gestion des applications mobiles sépare le contenu des utilisateurs finaux et des organization dans les applications managées et les profils professionnels Android Enterprise appartenant à l’utilisateur séparent le contenu des utilisateurs finaux sur l’appareil et les données gérées par l’administrateur de gestion des appareils mobiles (GPM). Dans les deux scénarios, les administrateurs informatiques appliquent des stratégies, telles que l’authentification par code confidentiel uniquement sur les identités ou applications gérées par organization. Les administrateurs informatiques ne peuvent pas lire, accéder ou effacer les données détenues ou contrôlées par les utilisateurs finaux.

Que vous choisissiez des profils professionnels MAM ou Android Enterprise appartenant à l’utilisateur pour votre déploiement BYOD dépend de vos besoins et de vos besoins professionnels. L’objectif de cet article est de fournir des conseils pour vous aider à décider. Pour plus d’informations sur les appareils Android gérés, consultez Gérer les appareils Android appartenant à l’utilisateur/appartenant à l’entreprise avec Intune.

À propos des stratégies de protection des applications Intune

Intune stratégies de protection des applications (APP) sont des stratégies de protection des données destinées aux utilisateurs. Les stratégies appliquent la protection contre la perte de données au niveau de l’application. Intune APP nécessite que les développeurs d’applications activent les fonctionnalités d’application sur les applications qu’ils créent.

Les applications Android individuelles sont activées pour l’application de plusieurs façons :

  1. Intégré en mode natif aux applications internes Microsoft : les applications Microsoft 365 (Office) pour Android et une sélection d’autres applications Microsoft sont fournies avec Intune’application intégrée. Ces applications Office, telles que Word, OneDrive, Outlook, etc., n’ont plus besoin de personnalisation pour appliquer des stratégies. Ces applications peuvent être installées par les utilisateurs finaux directement à partir de Google Play Store.

  2. Intégré aux builds d’applications par les développeurs à l’aide du SDK Intune : les développeurs d’applications peuvent intégrer le SDK Intune dans leur code source et recompiler leurs applications pour prendre en charge Intune fonctionnalités de stratégie d’application.

  3. Encapsulé à l’aide de l’outil de création de package de restrictions d’application Intune : certains clients compilent des applications Android (. Fichier APK) sans accès au code source. Sans le code source, le développeur ne peut pas s’intégrer au Kit de développement logiciel (SDK) Intune. Sans le SDK, ils ne peuvent pas activer leur application pour les stratégies d’application. Le développeur doit modifier ou recoder l’application pour prendre en charge les stratégies d’application.

    Pour vous aider, Intune inclut l’outil App Wrapping Tool pour les applications Android existantes et crée une application qui reconnaît les stratégies d’application.

    Pour plus d’informations sur cet outil, consultez Préparer des applications métier pour les stratégies de protection des applications.

Pour afficher la liste des applications activées avec APP, consultez Applications gérées avec un ensemble complet de stratégies de protection des applications mobiles.

Scénarios de déploiement

Cette section décrit les caractéristiques importantes des scénarios de déploiement de profils professionnels mobiles et Android Enterprise appartenant à l’utilisateur.

Gestion des applications mobiles

Un déploiement GAM définit des stratégies sur les applications, et non sur les appareils. Pour BYOD, la gestion des applications mobiles est souvent utilisée sur les appareils non inscrits. Pour protéger les applications et l’accès aux données de l’organisation, les administrateurs utilisent des applications gérables par les applications et appliquent des stratégies de protection des données à ces applications.

Cette fonctionnalité s’applique à :

  • Android 4.4 et versions ultérieures

Conseil

Pour plus d’informations, consultez Que sont les stratégies de protection des applications ?.

Profils professionnels Android Enterprise appartenant à l’utilisateur

Les profils professionnels Android Enterprise appartenant à l’utilisateur sont le scénario principal de déploiement Android Enterprise. Le profil professionnel Android Enterprise appartenant à l’utilisateur est une partition distincte créée au niveau du système d’exploitation Android qui peut être gérée par Intune.

Un profil professionnel Android Enterprise appartenant à l’utilisateur inclut les fonctionnalités suivantes :

  • Fonctionnalités GPM traditionnelles : les fonctionnalités GPM clés, telles que la gestion du cycle de vie des applications à l’aide de Google Play managé, sont disponibles dans n’importe quel scénario Android Entreprise. Google Play géré offre une expérience robuste pour installer et mettre à jour des applications sans intervention de l’utilisateur. Le service informatique peut également envoyer (push) les paramètres de configuration d’application aux applications de l’organisation. Il n’exige pas non plus que les utilisateurs finaux autorisent les installations à partir de sources inconnues. D’autres activités GPM courantes, telles que le déploiement de certificats, la configuration wi-fi/VPN et la définition de codes secrets d’appareil, sont disponibles avec les profils professionnels Android Enterprise appartenant à l’utilisateur.

  • DLP sur la limite du profil professionnel Android Enterprise appartenant à l’utilisateur : avec un profil professionnel Android Enterprise appartenant à l’utilisateur, les stratégies DLP sont appliquées au niveau du profil professionnel, et non au niveau de l’application. Par exemple, la protection contre le copier/coller est appliquée par les paramètres d’application appliqués à une application ou par le profil professionnel. Lorsque l’application est déployée dans un profil professionnel, les administrateurs peuvent suspendre la protection contre le copier/coller dans le profil professionnel en désactivant cette stratégie au niveau de l’APPLICATION.

Conseils pour optimiser l’expérience de profil professionnel

Vous devez réfléchir à l’utilisation des applications et des identités multiples lorsque vous utilisez des profils professionnels Android Enterprise appartenant à l’utilisateur.

Quand utiliser l’APPLICATION dans les profils professionnels Android Entreprise appartenant à l’utilisateur

les profils professionnels Intune APP et Android Enterprise appartenant à l’utilisateur sont des technologies complémentaires qui peuvent être utilisées ensemble ou séparément. Sur le plan architectural, les deux solutions appliquent des stratégies à différentes couches : APP au niveau de la couche d’application individuelle et profil de travail au niveau de la couche de profil. Le déploiement d’applications gérées avec une stratégie d’application sur une application dans un profil professionnel est un scénario valide et pris en charge. L’utilisation d’une application, de profils professionnels ou d’une combinaison dépend de vos exigences DLP.

Les profils professionnels et l’application Android Enterprise appartenant à l’utilisateur complètent les paramètres des autres en fournissant une couverture supplémentaire si un profil ne répond pas aux exigences de protection des données de votre organization. Par exemple, les profils professionnels ne fournissent pas de contrôles en mode natif pour empêcher une application d’enregistrer dans un emplacement de stockage cloud non approuvé. APP inclut cette fonctionnalité. Vous pouvez décider que la DLP fournie uniquement par le profil professionnel est suffisante et choisir de ne pas utiliser APP. Vous pouvez également exiger les protections d’une combinaison des deux.

Supprimer la stratégie d’application pour les profils professionnels Android Enterprise appartenant à l’utilisateur

Vous devrez peut-être prendre en charge des utilisateurs individuels qui ont plusieurs appareils : des appareils non inscrits avec des applications managées GAM et des appareils gérés avec des profils professionnels Android Enterprise appartenant à l’utilisateur.

Par exemple, vous demandez aux utilisateurs finaux d’entrer un code confidentiel lors de l’ouverture d’une application professionnelle. Selon l’appareil, les fonctionnalités de code confidentiel sont gérées par l’APPLICATION ou par le profil professionnel. Pour les applications gérées par gam, les contrôles d’accès, y compris le comportement du code confidentiel au lancement, sont appliqués par APP. Pour les appareils inscrits, le code pin de l’application peut être désactivé pour éviter d’avoir besoin à la fois d’un code confidentiel d’appareil et d’un code confidentiel d’application. (Paramètre de code confidentiel d’application pour Android. Pour les appareils avec profil professionnel, vous pouvez utiliser un code confidentiel d’appareil ou de profil professionnel appliqué par le système d’exploitation. Pour ce scénario, configurez les paramètres d’application de sorte qu’ils ne s’appliquent pas lorsqu’une application est déployée dans un profil professionnel. Si vous ne le configurez pas de cette façon, l’utilisateur final est invité à entrer un code confidentiel par l’appareil, puis à nouveau au niveau de la couche APPLICATION.

Contrôler le comportement multi-identité dans les profils professionnels Android Enterprise appartenant à l’utilisateur

Les applications Office, telles qu’Outlook et OneDrive, ont un comportement « multi-identité ». Au sein d’une instance de l’application, l’utilisateur final peut ajouter des connexions à plusieurs comptes distincts ou emplacements de stockage cloud. Dans l’application, les données récupérées à partir de ces emplacements peuvent être séparées ou fusionnées. De plus, l’utilisateur peut basculer entre les identités personnelles (user@outlook.com) et les identités organization (user@contoso.com).

Lorsque vous utilisez des profils professionnels Android Entreprise appartenant à l’utilisateur, vous souhaiterez peut-être désactiver ce comportement à identités multiples. Lorsque vous le désactivez, les instances avec badge de l’application dans le profil professionnel ne peuvent être configurées qu’avec une identité organization. Utilisez le paramètre de configuration de l’application Comptes autorisés pour prendre en charge les applications Office Android.

Pour plus d’informations, consultez Déployer outlook pour les paramètres de configuration des applications iOS/iPadOS et Android.

Quand utiliser Intune APP

Il existe plusieurs scénarios de mobilité d’entreprise où l’utilisation de Intune APP est la meilleure recommandation.

Aucun GPM, aucune inscription, les services Google ne sont pas disponibles

Certains clients ne souhaitent aucune forme de gestion des appareils, y compris la gestion des profils professionnels Android Enterprise appartenant à l’utilisateur, pour différentes raisons :

  • Raisons juridiques et de responsabilité
  • Pour la cohérence de l’expérience utilisateur
  • L’environnement de l’appareil Android est très hétérogène
  • Il n’existe aucune connectivité aux services Google, ce qui est nécessaire pour la gestion des profils professionnels.

Par exemple, les clients dans ou ont des utilisateurs en Chine ne peuvent pas utiliser la gestion des appareils Android, car les services Google sont bloqués. Dans ce cas, utilisez Intune APP pour DLP.

Résumé

À l’aide de Intune, les profils professionnels MAM et Android Enterprise appartenant à l’utilisateur sont disponibles pour votre programme Android BYOD. Vous pouvez choisir d’utiliser des profils GAM et/ou professionnels en fonction de vos besoins métier et d’utilisation. En résumé, utilisez des profils professionnels Android Enterprise appartenant à l’utilisateur si vous avez besoin d’activités MDM sur des appareils gérés, telles que le déploiement de certificats, l’envoi d’applications, etc. Utilisez mam si vous souhaitez protéger les données d’organisation au sein des applications.

Étapes suivantes

Commencez à utiliser des stratégies de protection desapplications ou inscrivez vos appareils.