Gestão de Aplicações Móveis e perfis de trabalho pessoais em dispositivos Android Enterprise no Intune
Em muitas organizações, os administradores são desafiados a proteger recursos e dados em diferentes dispositivos. Um dos desafios é proteger recursos para utilizadores com dispositivos Android Enterprise pessoais, também conhecidos como BYOD (Bring Your Own Device). Microsoft Intune suporta dois cenários de implementação do Android para BYOD (Bring Your Own Device):
Os cenários de implementação de perfis de trabalho pessoais MAM e Android Enterprise incluem as seguintes funcionalidades principais importantes para ambientes BYOD:
Proteção e segregação de dados geridos pela organização: ambas as soluções protegem os dados da organização ao impor controlos de prevenção de perda de dados (DLP) em dados geridos pela organização. Estas proteções impedem fugas acidentais de dados protegidos, como um utilizador final que os partilha acidentalmente numa aplicação ou conta pessoal. Também servem para garantir que um dispositivo que acede aos dados está em bom estado de funcionamento e não está comprometido.
Privacidade do utilizador final: a MAM separa o conteúdo do utilizador final e da organização em aplicações geridas e os perfis de trabalho pessoais do Android Enterprise separam os conteúdos dos utilizadores finais no dispositivo e os dados geridos pelo administrador de gestão de dispositivos móveis (MDM). Em ambos os cenários, os administradores de TI impõem políticas, como a autenticação apenas de PIN em aplicações ou identidades geridas pela organização. Os administradores de TI não conseguem ler, aceder ou apagar dados pertencentes ou controlados pelos utilizadores finais.
Se escolher perfis de trabalho pessoais MAM ou Android Enterprise para a sua implementação BYOD depende dos seus requisitos e necessidades empresariais. O objetivo deste artigo é fornecer orientações para o ajudar a decidir. Para obter mais informações relacionadas com dispositivos Android geridos, consulte Gerir dispositivos de perfil de trabalho pessoais/pertencentes à empresa do Android com Intune.
Acerca Intune políticas de proteção de aplicações
Intune políticas de proteção de aplicações (APP) são políticas de proteção de dados direcionadas para os utilizadores. As políticas aplicam a proteção contra perda de dados ao nível da aplicação. Intune APP requer que os programadores de aplicações ativem as funcionalidades da APLICAÇÃO nas aplicações que criam.
As aplicações Android individuais estão ativadas para a APLICAÇÃO de algumas formas:
Integrado de forma nativa em aplicações originais da Microsoft: as aplicações microsoft 365 (Office) para Android e uma seleção de outras aplicações microsoft, vêm com Intune APP incorporada. Estas aplicações do Office, como Word, OneDrive, Outlook, etc., não precisam de mais personalização para aplicar políticas. Estas aplicações podem ser instaladas por utilizadores finais diretamente a partir da Google Play Store.
Integrado em compilações de aplicações por programadores que utilizam o SDK Intune: os programadores de aplicações podem integrar o SDK de Intune no respetivo código fonte e recompilar as respetivas aplicações para suportar Intune funcionalidades de política de APLICAÇÃO.
Encapsulado com a ferramenta de encapsulamento de aplicações Intune: alguns clientes compilam aplicações Android (. Ficheiro APK) sem acesso ao código fonte. Sem o código fonte, o programador não pode integrar com o SDK Intune. Sem o SDK, não podem ativar a aplicação para políticas de APLICAÇÕES. O programador tem de modificar ou recodificar a aplicação para suportar políticas de APLICAÇÃO.
Para ajudar, Intune inclui a ferramenta App Wrapping Tool para aplicações Android (APKs) existentes e cria uma aplicação que reconhece políticas de APLICAÇÕES.
Para obter mais informações sobre esta ferramenta, veja Preparar aplicações de linha de negócio para políticas de proteção de aplicações.
Para ver uma lista de aplicações ativadas com a APLICAÇÃO, veja Aplicações geridas com um conjunto avançado de políticas de proteção de aplicações móveis.
Cenários de implantação
Esta secção descreve as características importantes dos cenários de implementação de perfis de trabalho pessoais MAM e Android Enterprise.
MAM
Uma implementação de MAM define políticas em aplicações e não em dispositivos. Para BYOD, a MAM é frequentemente utilizada em dispositivos não inscritos. Para proteger aplicações e aceder a dados organizacionais, os administradores utilizam aplicações geríveis por APLICAÇÕES e aplicam políticas de proteção de dados a estas aplicações.
Esse recurso aplica-se a:
- Android 4.4 e versão mais recente
Dica
Para obter mais informações, veja O que são políticas de proteção de aplicações?.
Perfis de trabalho pessoais do Android Enterprise
Os perfis de trabalho pessoais do Android Enterprise são o principal cenário de implementação do Android Enterprise. O perfil de trabalho pessoal do Android Enterprise é uma partição separada criada ao nível do SO Android que pode ser gerida por Intune.
Um perfil de trabalho pessoal do Android Enterprise inclui as seguintes funcionalidades:
Funcionalidade mdm tradicional: as principais capacidades de MDM, como a gestão do ciclo de vida de aplicações com o Google Play gerido, estão disponíveis em qualquer cenário android Enterprise. O Managed Google Play proporciona uma experiência robusta para instalar e atualizar aplicações sem qualquer intervenção do utilizador. As TI também podem emitir definições de configuração de aplicações para aplicações organizacionais. Também não requer que os utilizadores finais permitam instalações de origens desconhecidas. Outras atividades mdm comuns, como a implementação de certificados, a configuração de Wi-Fi/VPNs e a definição de códigos de acesso de dispositivos, estão disponíveis com perfis de trabalho pessoais do Android Enterprise.
DLP no limite do perfil de trabalho pessoal do Android Enterprise: com um perfil de trabalho pessoal do Android Enterprise, as políticas DLP são impostas ao nível do perfil de trabalho e não ao nível da aplicação. Por exemplo, a proteção de copiar/colar é imposta pelas definições da APLICAÇÃO aplicadas a uma aplicação ou impostas pelo perfil de trabalho. Quando a aplicação é implementada num perfil de trabalho, os administradores podem colocar a proteção de cópia/colagem em pausa no perfil de trabalho ao desativar esta política ao nível da APLICAÇÃO.
Sugestões para otimizar a experiência do perfil de trabalho
Deve considerar como utilizar a APP e várias identidades ao trabalhar com perfis de trabalho pessoais do Android Enterprise.
Quando utilizar a APP nos perfis de trabalho pessoais do Android Enterprise
Intune perfis de trabalho pessoais da APP e do Android Enterprise são tecnologias complementares que podem ser utilizadas em conjunto ou separadamente. Em termos arquitetónicos, ambas as soluções impõem políticas em camadas diferentes – APP na camada de aplicação individual e perfil de trabalho na camada de perfil. A implementação de aplicações geridas com uma política de APLICAÇÃO numa aplicação num perfil de trabalho é um cenário válido e suportado. Utilizar a APLICAÇÃO, perfis de trabalho ou uma combinação depende dos seus requisitos de DLP.
Os perfis de Trabalho pessoais do Android Enterprise e a APP complementam as definições uns dos outros, fornecendo cobertura adicional se um perfil não cumprir os requisitos de proteção de dados da sua organização. Por exemplo, os perfis de trabalho não fornecem nativamente controlos para impedir que uma aplicação guarde numa localização de armazenamento na cloud não fidedigno. A APLICAÇÃO inclui esta funcionalidade. Pode decidir que o DLP fornecido apenas pelo perfil de trabalho é suficiente e optar por não utilizar a APLICAÇÃO. Em alternativa, pode exigir as proteções de uma combinação dos dois.
Suprimir a política app para perfis de trabalho pessoais do Android Enterprise
Poderá ter de suportar utilizadores individuais que tenham vários dispositivos – dispositivos não inscritos com aplicações geridas de MAM e dispositivos geridos com perfis de trabalho pessoais do Android Enterprise.
Por exemplo, é necessário que os utilizadores finais introduzam um PIN ao abrir uma aplicação de trabalho. Consoante o dispositivo, as funcionalidades do PIN são processadas pela APLICAÇÃO ou pelo perfil de trabalho. Para aplicações geridas por MAM, os controlos de acesso, incluindo o comportamento de PIN-to-launch, são impostos pela APLICAÇÃO. Para dispositivos inscritos, o PIN da Aplicação pode ser desativado para evitar a necessidade de um PIN do dispositivo e de um PIN da APLICAÇÃO. (Definição de PIN da APLICAÇÃO para Android. Para dispositivos de perfil de trabalho, pode utilizar um PIN de perfil de trabalho ou dispositivo imposto pelo SO. Para realizar este cenário, configure as definições da APLICAÇÃO para que não se apliquem quando uma aplicação é implementada num perfil de trabalho. Se não o configurar desta forma, é pedido ao utilizador final um PIN pelo dispositivo e novamente na camada APP.
Controlar o comportamento de várias identidades nos perfis de trabalho pessoais do Android Enterprise
As aplicações do Office, como o Outlook e o OneDrive, têm um comportamento de "várias identidades". Numa instância da aplicação, o utilizador final pode adicionar ligações a várias contas distintas ou localizações de armazenamento na cloud. Na aplicação, os dados obtidos a partir destas localizações podem ser separados ou intercalados. Além disso, o utilizador é capaz de alternar de contexto entre identidades pessoais (user@outlook.com) e identidades organizacionais (user@contoso.com).
Ao utilizar perfis de trabalho pessoais do Android Enterprise, poderá querer desativar este comportamento de várias identidades. Quando a desativa, as instâncias com destaque da aplicação no perfil de trabalho só podem ser configuradas com uma identidade da organização. Utilize a definição de configuração da aplicação Contas Permitidas para suportar aplicações do Office Android.
Para obter mais informações, veja Implementar as definições de configuração da aplicação Outlook para iOS/iPadOS e Android.
Quando utilizar Intune APP
Existem vários cenários de mobilidade empresarial em que utilizar Intune APP é a melhor recomendação.
Sem MDM, sem inscrição, serviços Google indisponíveis
Alguns clientes não querem qualquer forma de gestão de dispositivos, incluindo a gestão de perfis de trabalho pessoais do Android Enterprise, por diferentes razões:
- Motivos legais e de responsabilidade
- Para consistência da experiência do utilizador
- O ambiente do dispositivo Android é altamente heterogéneo
- Não existe qualquer conectividade com os serviços Google, o que é necessário para a gestão de perfis de trabalho.
Por exemplo, os clientes na China não podem utilizar a gestão de dispositivos Android, uma vez que os serviços Google estão bloqueados. Neste caso, utilize Intune APP para DLP.
Resumo
Ao utilizar Intune, os perfis de trabalho pessoais MAM e Android Enterprise estão disponíveis para o programa BYOD do Android. Pode optar por utilizar perfis de MAM e/ou de trabalho consoante os seus requisitos de utilização e negócios. Em resumo, utilize perfis de trabalho pessoais do Android Enterprise se precisar de atividades de MDM em dispositivos geridos, como a implementação de certificados, push de aplicações, entre outros. Utilize a MAM se quiser proteger os dados da organização nas aplicações.
Próximas etapas
Comece a utilizar políticas de proteção de aplicações ou inscreva os seus dispositivos.