Profil do Pracy Android - Android Work Profile to natywne rozwiązanie Google, które umożliwia tworzenie profili biznesowych dla urządzeń osobistych i usprawnia zarządzanie oraz funkcjonowanie zabezpieczeń dla tych urządzeń. Daje to możliwość bezpiecznego oddzielenia danych biznesowych od prywatnych na urządzeniach pracowników.

Wymagania

Aby skonfigurować funkcję zarządzanych kont Google Play w FAMOC, należy utworzyć:

  • Konto Google, które nie jest przypisane do żadnej domeny Google (np. TestAccount@gmail.com)

  • Organizację w FAMOC wraz z uprawnieniami administratora

Proces rejestracji

  1. Zaloguj się do FAMOC,

  2. Przejdź do zakładki Ustawienia => Zaawansowane => Ustawienia Android Enterprise.

  3. Kliknij przycisk “Autoryzuj Google”. Zostaniesz przekierowany do strony rejestracji w Google Play for Work.

  4. Po zalogowaniu się na wybrane konto Google kliknij przycisk "ROZPOCZNIJ"

  5. Wpisz wybraną nazwę firmy, kliknij "Dalej", w razie potrzeby wypełnij pozostałe pola i zaznacz pole akceptacji warunków Zarządzanego sklepu Google Play i potwierdź podane dane.

  6. Zakończ rejestrację, klikając odpowiedni przycisk.



Nastąpi przekierowanie z powrotem do konsoli FAMOC. Zobaczysz tu podstawowe dane swojej organizacji.

Konfiguracja ustawień Profilu do Pracy

Po udanej rejestracji możesz aktywować profil do pracy Android na karcie Polityki w FAMOC. Korzystając z tej funkcji administrator może ustawić ograniczenia profilu oraz skonfigurować i ustawić uprawnienia dla aplikacji.

Aby aktywować profil do pracy:

  1. Przejdź do zakładki Ustawienia => Polityki.

  2. Kliknij ikonę “Dodaj szablon polityki”. lub edytuj istniejący szablon.

  3. Wybierz zakładkę Profil do pracy, a następnie kliknij Aktywuj profil do pracy w bieżącej polityce.


Podstawowe ustawienia profilu do pracy

Aby wykorzystać API KNOX w profilu do pracy zaznacz pole wyboru obok opcji Włącz Samsung KNOX API w profilu do pracy.

Po zaznaczeniu tej opcji wyświetlą się dodatkowe elementy:

Atrybut

Opis

Ustawienia profilu do pracy

Licencja KNOX 

W celu aktywowania polityki KNOX należy podać odpowiedni klucz licencyjny KNOX. Licencja KNOX może być dodana/zmieniona/usunięta przy użyciu ikon plus/minus obok pola klucza licencyjnego.

Włącz atestację

Jeśli zostanie ustawiony, dodatkowa operacja dla atestacji Samsung KNOX zostanie dodana do kolejki i sprawdzi integralność oprogramowania urządzenia przed utworzeniem kontenera KNOX.


W kolejnej zakładce można skonfigurować Elementy polityki. Dostępne elementy to Aplikacje i Konfiguracje.

UWAGA: Możesz wybrać jedynie te aplikacje, które zostały wcześniej dodane do FAMOC-a. Proces dodawania aplikacji został opisany tutaj.

Możesz zdecydować, które aplikacje zostaną zainstalowane na urządzeniu wraz z polityką klikając Wybierz aplikację.


Wybierz aplikacje, klikając pole wyboru znajdujące się przy jej nazwie. Aby potwierdzić swój wybór kliknij przycisk Wybierz, znajdujący się w prawym dolnym rogu okienka.

Wybrane aplikacje zostaną zainstalowane w kontenerze Profilu służbowego w momencie zastosowania polityki na urządzeniu i zostaną oznaczone ikoną aktówki.

 

Po zmianie polityki przypisanej do urządzenia, zostanie ona zaktualizowana na urządzeniu i zainstalowane zostaną nowe aplikacje. Podczas wyboru aplikacji można wskazać liczbę powtórzeń instalacji (w przypadku gdy instalacja zostanie anulowana przez użytkownika, FAMOC ponowi operację). Możliwe opcje to:

  • Instalacja obowiązkowa (domyślna opcja) - jeśli instalacja zostanie przerwana, zostanie ponowiona następnego dnia;

  • Jedna próba instalacji - jeśli instalacja zostanie przerwana, nie będzie ponowiona;

  • Kilka prób instalacji - instalacja będzie ponowiona określoną liczbę razy.

Elementy polityki mogą zostać uszeregowane w kolejności instalacji przy pomocy strzałek w kolumnie Kolejność. Domyślnie każdy element instalowany jest w określonej sekwencji (instalacja kolejnego elementu rozpoczyna się po zainstalowaniu poprzedniego). Istnieje możliwość oznaczenia elementu w kolumnie Niezależny, co oznacza, że instalacja rozpocznie się niezależnie od poprzedniej, nie czekając na potwierdzenie wykonania poprzedniej.

Zaznacz Ignoruj błąd, aby wykonać kolejną akcję, nawet jeśli poprzednia się nie powiedzie.

Aby dodać konfigurację do polityki, kliknij przycisk Wybierz konfigurację. Pojawi się okno z listą konfiguracji.

Konfiguracja może być ustawiona dla:

  • Szczytu – konfiguracja zostanie zastosowana w okresie szczytu

  • Poza szczytem – konfiguracja zostanie zastosowana poza okresem szczytu

  • Zawsze – konfiguracja będzie zawsze stosowana


W sekcji Ograniczenia profilu służbowego administrator może skonfigurować:

  • Włącz tryb debugowania USB - umożliwia lub blokuje możliwość instalowania aplikacji za pośrednictwem ADB do profilu służbowego. Jeśli opcja zostanie wyłączona, aplikacja zostanie zainstalowana tylko w prywatnej części urządzenia.

  • Włączenie instalacji z nieznanych źródeł – umożliwia lub blokuje możliwość instalowania aplikacji za pośrednictwem plików .apk na profilu służbowym. Zasady nie będą aktywne na urządzeniach z Androidem 5.0 (instalacja .apk jest zablokowana).

  • Blokada przechwytywanie obrazu - działa w profilu służbowym, aby zapobiec udostępnianiu danych za pomocą tej metody.

  • Wyłącz możliwość modyfikowania kont - blokuje możliwość dodawania, edytowania lub usuwania konta.

  • Blokada aparatu

  • Wyłącz możliwość kopiowania-wklejania w profilu

  • Wyłącz możliwość kontrolowania aplikacji

  • Wyłącz możliwość użycia tej samej blokady dla urządzenia oraz profilu służbowego

  • Zezwalaj na przenoszenie aplikacji do profilu do pracy


Włączone aplikacje


W tej sekcji Administrator może udostępnić aplikacje systemowe Google w profilu służbowym, aby były automatycznie dostępne dla użytkowników po aktywacji profilu. Udostępnione aplikacje na urządzeniu mogą się różnić, ponieważ niektóre wersje Androida (szczególnie wersje markowe) mogą nie obejmować wszystkich wymienionych aplikacji systemowych. Administrator może zmienić listę włączonych aplikacji i ukryć je zgodnie z potrzebami. Domyślne aplikacje, które są zawsze widoczne po aktywacji profilu, to FAMOC Base Agent i zarządzany sklep Google.


Uprawnienia aplikacji


W tej zakładce możesz ustawić globalną politykę uprawnień i ustawić wyjątki dla określonych aplikacji.


Globalny dostęp aplikacji – ustawienie odpowiedzialne za zachowanie aplikacji, które proszą o konkretne uprawnienia podczas pracy. Możesz ustawić trzy wartości:

  • Zarządzane przez użytkownika - wartość domyślna, użytkownik zostanie poproszony o przyznanie aplikacji dostępu do funkcji, które wymagają specjalnego pozwolenia. Użytkownik będzie również mógł zmieniać uprawnienia dla aplikacji.

  • Zezwalaj - aplikacje, które proszą o uprawnienia, będą je automatycznie otrzymywać, a użytkownik nie będzie mógł ich zmienić.

  • Odmów – aplikacje, które proszą o uprawnienia, będą automatycznie odrzucane, a użytkownik nie będzie mógł ich zmienić.


Kod blokady profilu służbowego

Każdy użytkownik profilu służbowego i urządzenia z systemem Android w wersji 7.0 lub nowszej musi mieć ustawione hasło do profilu, które będzie wymagane do otwierania aplikacji profilu służbowego. Reguły wymagane do ustawienia hasła można ustawić za pomocą konfiguracji kodu blokady profilu służbowego Android. Podczas procesu rejestracji użytkownik zostanie poproszony o podanie zgodnego hasła, do tego czasu nie będzie upoważniony do używania aplikacji profilu służbowego na swoim urządzeniu. W przypadku łączenia trybów Device Owner + Android for Work możliwe jest ustawienie hasła w kontenerze profilu służbowego na urządzeniu z systemem Android 8.0 lub nowszym.

Aby utworzyć i przypisać kod do konfiguracji polityk, administrator musi::

  1. Przejdź do zakładki Centrum konfiguracji -> Konfiguracje.

  2. Kliknij przycisk Dodaj konfigurację.

  3. Wybierz z listy konfigurację o nazwie kod blokady profilu służbowego Android (z sekcji Bezpieczeństwo -> Zabezpieczenia urządzenia).

  4. W widoku konfiguracji wybierz wybraną regułę haseł z możliwych opcji:

  • Złożoność blokady profilu,

  • Minimalna długość kodu blokady profilu,

  • Maksymalne nieudane próby, po których profil służbowy zostanie usunięty z urządzenia.


Zapisz konfigurację i wybierz ją jako składnik polityk profilu służbowego.



Podczas rejestracji urządzenia z systemem Android w wersji 7.0 lub nowszej użytkownik zostanie poproszony o podanie zgodnego hasła, do tego czasu aplikacje do profilów roboczych nie będą dostępne (ikony będą wyszarzone).

Rejestracja urządzenia

Aby móc skonfigurować zarządzany profil konta Google Play, urządzenie musi spełniać następujące wymagania systemowe:

  • System operacyjny Android w wersji 5.0 lub nowszej

  • Obsługa funkcji profili służbowych

  • Urządzenie musi być zaszyfrowane - hasło musi być ustawione na urządzeniu przed uruchomieniem Androida

  • Urządzenie musi mieć ustawiony kod blokady


UWAGA: W przypadku urządzeń z systemem operacyjnym Android w wersji starszej niż 6.0 funkcje profili służbowych Androida są ograniczone, ponieważ nie jest to wymagane przez Google w tych wersjach systemu, a producenci urządzeń mogli usunąć wsparcie Android dla profilu służbowego w swoim oprogramowaniu brandowanym.

Jeśli urządzenie spełnia wszystkie wymagania, profil do pracy zostanie utworzony automatycznie, jeśli aktywujesz go w polityce. Jeśli zarejestrujesz urządzenie po raz pierwszy, profil zostanie aktywowany podczas procesu rejestracji. Jeśli urządzenie jest już zarejestrowane w FAMOC, będziesz musiał odświeżyć politykę na urządzeniu po aktywacji profilu do pracy.

Aby skonfigurować profil praca Android na urządzeniu:

Kliknij powiadomienia, gdy tylko się pojawią.

Następnie postępuj zgodnie z instrukcjami na ekranie.

 

Agent podstawowy FAMOC zostanie ponownie zainstalowany na profilu służbowym.

Ikony aplikacji w profilu do pracy będą widoczne na urządzeniu.



Po zakończeniu procesu otworzy się Sklep Google Play for Work. Należy w tym miejscu zaakceptować Warunki korzystania z usługi.


Udane operacje można wyświetlić w zakładce Log w FAMOC.

 

Bezpieczeństwo danych biznesowych

Administrator może blokować użytkownikom dostęp do aplikacji korporacyjnych i danych na dwa sposoby:

  • Wyłącz profil do pracy - po tej operacji wszystkie aplikacje w profilu będą ukryte (z wyjątkiem agenta podstawowego FAMOC), a użytkownik nie będzie mógł z niego korzystać, dopóki profil nie zostanie włączony.

C:\Users\rafal.nawrocki\AppData\Local\Microsoft\Windows\INetCache\Content.Word\Screenshot_20160704-141128.png

  • Czyszczenie danych korporacyjnych – po tej operacji profil służbowy z przypisanym kontem Google zostanie usunięty z urządzenia. Wszystkie dane pracownicze zostaną wyczyszczone, a aby włączyć profil służbowy, wymagana jest nowa rejestracja.

C:\Users\rafal.nawrocki\AppData\Local\Microsoft\Windows\INetCache\Content.Word\Screenshot_20160704-141146.png

Aby zablokować użytkownikowi dostęp do danych przedsiębiorstwa:

  1. Przejdź do strony Szczegóły urządzenia.

  2. Przejdź do zakładki "Bezpieczeństwo".

  3. Zobaczysz tam dwie zakładki, które są odpowiedzialne za wyłączenie profilu i wyczyszczenie danych.