Panoramica della gestione dei profili di lavoro Android Enterprise

Microsoft Intune supporta la gestione dei profili di lavoro, un'opzione di gestione Android Enterprise che consente la separazione a livello di piattaforma delle app di lavoro e dei dati nei dispositivi registrati. Quando un dipendente o uno studente registra il dispositivo in Intune, abilita la creazione di un profilo di lavoro. Il profilo di lavoro crea una partizione separata nel dispositivo per l'account aziendale dell'utente, in modo che l'utente possa passare dalle app personali alle app di lavoro in modo semplice e sicuro. Quando lasciano il profilo di lavoro, tornano sul lato personale del dispositivo, dove le app e i dati personali non sono interessati dai criteri di Intune.

Gli utenti dei dispositivi che registrano i dispositivi personali devono registrarsi tramite l'app Portale aziendale di Intune, mentre gli utenti nei dispositivi di proprietà dell'azienda devono registrarsi tramite l'app Microsoft Intune.

Questo articolo offre una panoramica delle opzioni di gestione dei profili di lavoro Android Enterprise supportate da Microsoft Intune, tra cui:

  • Profili di lavoro per i dispositivi di proprietà dell'azienda.
  • Profili di lavoro per dispositivi personali.

È necessario sapere

Android Enterprise non è disponibile ovunque. Prima di creare un profilo di registrazione nell'interfaccia di amministrazione di Microsoft Intune, assicurarsi che Android Enterprise sia disponibile nell'area. Per altre informazioni sulla disponibilità e i requisiti per Android Enterprise, vedere Requisiti di Android Enterprise (apre la Guida di Android Enterprise).

Nelle posizioni in cui Android Enterprise non è supportato, sono disponibili altre opzioni di gestione Android supportate da Intune tra cui scegliere, tra cui:

  • Gestione della piattaforma open source Android (AOSP)
  • Gestione dell'amministratore di dispositivi Android
  • Gestione di applicazioni mobili

Account Google Play gestito

Per abilitare la gestione di dispositivi e app per dispositivi Android Enterprise in Intune, è necessario connettere il tenant di Microsoft Intune a un account Google Play gestito.

Gestione del profilo di lavoro

I criteri e le impostazioni di Microsoft Intune si applicano solo al profilo di lavoro. Gli amministratori di Intune possono gestire le parti di lavoro del dispositivo registrato.

  • Tutte le app distribuite in Intune vengono installate nel profilo di lavoro. Gli amministratori possono gestire e monitorare le app e le azioni con ambito al profilo di lavoro.
  • Tutte le app e i dati Android al di fuori del profilo di lavoro rimangono personali e sotto il controllo dell'utente del dispositivo. Gli utenti possono installare qualsiasi app scelta sul lato personale del dispositivo.

Nel profilo di lavoro sono presenti icone di app univoche che consentono agli utenti di distinguere tra le app aziendali e le app personali nel dispositivo.

Le impostazioni disponibili in Intune, che vanno dalla registrazione alla configurazione del dispositivo alla conformità, consentono di personalizzare il livello di protezione in base alle esigenze dell'organizzazione. Per altre informazioni sulle impostazioni applicabili, vedere:

Pubblicazione e distribuzione di app

Google Play gestito è parte integrante della distribuzione e della gestione delle app Android Enterprise. Tutte le app distribuite nel profilo di lavoro nei dispositivi personali e di proprietà dell'azienda provengono dal servizio Google Play gestito.

Per gestire e distribuire le app nel Play Store, accedere al sito Web di Google Play con le credenziali di amministratore per la gestione di Google. Da qui è possibile approvare le app per la distribuzione. Le app approvate vengono sincronizzate con Microsoft Intune e vengono visualizzate nell'interfaccia di amministrazione in cui è possibile distribuirle e gestirle. Le app line-of-business (LOB) sviluppate dall'organizzazione devono essere pubblicate in Google Play gestito tramite la console di pubblicazione gestita di Google Play.

Le app possono essere installate senza l'interazione dell'utente e senza richiedere all'utente di consentire installazioni di app da origini sconosciute. Per esplorare e installare app facoltative o disponibili, l'utente può esplorare Google Play Store gestito nel proprio dispositivo. Per altre informazioni, vedere Assegnare app ai dispositivi del profilo di lavoro Android Enterprise con Intune.

Configurazione delle app

Android Enterprise offre un'infrastruttura per la distribuzione dei valori di configurazione delle app nelle app che le supportano. Specificando i valori per le app di lavoro, assicurati che siano configurati correttamente quando gli utenti avviano l'app per la prima volta. Il supporto per la configurazione delle app richiede che gli sviluppatori di app creino app Android in modo specifico per supportare i valori di configurazione gestiti. In tal caso, è possibile usare Intune per specificare e applicare queste impostazioni di configurazione. Per altre informazioni, vedere Aggiungere criteri di configurazione delle app per i dispositivi Android gestiti.

Configurazione della posta elettronica

Android Enterprise non fornisce un'app di posta elettronica predefinita o un oggetto profilo di posta elettronica nativo come quelli forniti da iOS/iPadOS. È invece possibile configurare le impostazioni di posta elettronica per le app di posta elettronica supportate tramite le impostazioni di configurazione delle app di Intune.

Gmail e Nine Work sono due app client Exchange ActiveSync (EAS) nel Play Store che supportano la configurazione delle app Android Enterprise. Intune fornisce modelli di configurazione per le app Gmail e Nine Work in modo da poterle gestire come app di lavoro. È possibile configurare altre app di posta elettronica che supportano i profili di configurazione dell'app in un criterio di configurazione dell'app.

Se si usa l'accesso condizionale di Exchange ActiveSync per un dispositivo personale o aziendale, è consigliabile usare l'app di posta elettronica Gmail o Nine Work. È supportata anche l'app Microsoft Outlook per Android e qualsiasi altra app di posta elettronica che usa l'autenticazione moderna tramite MSAL. Per altre informazioni, vedere Come configurare le impostazioni di posta elettronica in Microsoft Intune.

Consiglio

Azure AD Authentication Library (ADAL) è stato deprecato, pertanto è consigliabile aggiornare le app che attualmente usano ADAL in MSAL. Per altre informazioni, vedere Aggiornare le applicazioni per usare Microsoft Authentication Library (MSAL) e l'API Microsoft Graph.

Criteri di protezione delle app

Microsoft Intune supporta i criteri di protezione delle app applicati alle app nel profilo di lavoro e sul lato personale dei dispositivi. È possibile pubblicare app line-of-business nella console di pubblicazione di Google Play e rendere le app private per l'organizzazione.

Per altre informazioni sui criteri di protezione delle app per il profilo di lavoro, vedere gli articoli seguenti:

Profili VPN

Il supporto VPN è simile ai profili VPN Android. Gli stessi provider VPN e le stesse opzioni di configurazione di base sono disponibili per la gestione di Android Enterprise, con due differenze:

  • VPN con ambito profilo di lavoro : le connessioni VPN sono limitate alle app distribuite al profilo di lavoro nei dispositivi personali e di proprietà dell'azienda, quindi solo le app gestite possono usare la connessione VPN. Le app personali nel dispositivo non possono usare una connessione VPN gestita. Per altre informazioni, vedere Impostazioni VPN Android Enterprise.

  • VPN specifica dell'app: è possibile configurare una VPN specifica dell'app in Intune se il provider VPN supporta:

    • Configurazione di una VPN specifica dell'app.

    • Funzionalità per configurare la VPN per app tramite il profilo di configurazione dell'app Android Enterprise.

    Per altre informazioni, vedere Usare un profilo personalizzato di Microsoft Intune per creare un profilo VPN per app per dispositivi Android.

Profili certificato

Le stesse configurazioni del profilo certificato disponibili per la gestione android sono disponibili per il profilo di lavoro nei dispositivi personali e di proprietà dell'azienda. Android Enterprise offre API avanzate per la gestione dei certificati.

Gestione avanzata dei certificati:

  • Garantisce che la distribuzione dei certificati sia invisibile all'utente e non venga eseguita senza problemi.

  • Garantisce che i certificati distribuiti vengano rimossi quando un dispositivo si ritira da Intune e il profilo di lavoro viene rimosso.

  • Informa gli utenti del dispositivo che il certificato è stato distribuito e configurato dal personale di supporto IT tramite Microsoft Intune.

Per altre informazioni, vedere Configurare un profilo certificato per i dispositivi in Microsoft Intune.

Profili Wi-Fi

Wi-Fi profili vengono rimossi quando il dispositivo si ritira da Intune e il profilo di lavoro viene eliminato. Per altre informazioni, vedere Come configurare le impostazioni di Wi-Fi in Microsoft Intune.

Passaggi successivi