确保在个人设备上登录公司账号的安全性

业务问题

公司面临着为个人设备提供安全访问的挑战。

移动设备的普及改变了人们的工作方式。无论是在传统的工作场所,还是在去机场的路上,员工们都想随时随地访问业务应用。

即使公司提供企业自有的移动设备,很多员工也喜欢在个人和工作活动中使用他们觉得舒适的设备。这通常是他们的个人设备。

公司面临的挑战是提供一个移动工作环境,以适应似乎相互冲突的要求:

  • 让员工感到舒适且能高效工作的环境
  • 安全地访问业务应用和公司数据

贵公司推出新的政策,允许在个人移动设备上进行企业访问。员工只能通过精选和已批准的应用访问公司信息。

解决方案

借助高级移动设备管理功能,您有多种方式可以在员工的个人设备上提供他们所需的业务应用,同时实施适当的政策来确保公司数据安全无虞。

创建已批准应用的白名单

白名单包含精选和已批准的应用。

应用白名单旨在保护企业资源免受潜在有害应用的危害。应用白名单包含由 IT 部门挑选并获准用于业务用途的应用。

使用工作应用白名单,可以在个人移动设备上管理工作应用,并将个人应用留给用户自己掌控。您通过 Google 群组为特定组织或群组中的用户分发应用。

从 Google Play 企业版商店(Android 设备)和 Apple App Store(iOS 设备)中选择应用,然后将它们添加到白名单中。用户在自己的设备上可以看到已列入白名单的应用的目录。用户安装白名单中的应用后,相应应用将由您的单位管理。如果设备丢失或被盗,您可以通过远程擦除设备来移除受管理应用。

在 Android 设备上强制执行工作配置文件

Android 设备上的工作配置文件可以分隔工作和个人数据。

运行 Android 5.0 或更高版本的个人设备上的工作配置文件会将工作与个人应用、账号和数据分隔。企业管理业务应用和数据。用户控制设备上的所有其他内容。托管应用(Android 应用白名单中受批准的业务员应用)来自 Google Play 企业版商店。

您在公司的 Android 设备上启用 Android 应用管理功能后,可以让员工选择使用工作配置文件,也可以要求员工使用工作配置文件。当您要求使用工作配置文件,而用户尝试通过没有工作配置文件的设备访问公司资源时,系统会提示其创建工作配置文件。

要求在 iOS 设备上安装受管理的应用

iOS 设备上上的受管理应用会阻止受管理应用与非受管应用之间的文件共享。

将应用添加到 iOS 应用白名单后,您可以将其设为受管理应用。将应用指定为“受管理”后,企业就能在个人 iOS 设备上更好地控制受管理应用及其数据。例如,如果用户拥有个人 Gmail 账号,而您将 Gmail 指定为受管理应用,则用户只能通过受管理的 Gmail 版本访问其企业电子邮件。

用户不得在受管理的应用和非受管应用之间共享文件。例如,用户无法将受管理企业应用中的数据备份到 iCloud 或 iTunes 等外部实体。用户在受管理企业应用中创建的 PDF 文件也无法在非受管个人应用中打开。

如果用户的设备上已有受管理的企业应用,系统会向用户发送一个通知,询问是否允许组织管理该应用。如果他们不接受,则仍然可以使用其非受管个人应用,但会失去对公司账号以及该设备中所有受管理应用的访问权限。

在 Android 设备上设置托管配置

您可以将某些 Android 应用的设置保存为托管配置。您可以通过托管配置为您的用户预配置应用。此外,您可以为同一应用创建多个托管配置,并向不同群组或组织应用不同的配置。

管理员可以轻松部署具有复杂设置的应用,例如 VPN 应用。员工不必配置应用。这样可以避免因配置错误导致的问题而求助帮助台。

自动将已批准的应用推送到 Android 设备

设置白名单时,可以选择在 Android 设备上自动安装核心业务应用,并将适当的应用分配给特定组织。这样,用户就有了所需的应用,而无需从 Google Play 手动下载。

建议

高级移动设备管理功能提供了诸多强大选项,可确保从个人移动设备进行企业访问的安全。您需要注册 Cloud Identity 专业版,才能获得高级移动设备管理功能。

我们建议为获批准的业务应用创建白名单,同时在 Android 设备上强制执行工作配置文件,并要求在 iOS 设备上安装受管理应用。

如果应用支持,设置托管配置并向 Android 设备自动推送已批准的应用,这对管理员和用户而言都能节省大量时间。这些是可选项,但建议执行。

第三方提供方

第三方 EMM 提供商

要将高级移动设备管理功能用于 Cloud Identity,Google 需要成为您的企业移动管理 (EMM) 提供商。

第三方 IdP

如果您有第三方身份提供商 (IdP),则仍可使用高级移动设备管理功能。在这种情况下,大多数用户身份验证都发生在第三方 IdP 那里(设备注册除外)。用户使用自己的第三方 IdP 凭据或 Cloud Identity 账号密码登录。

如需使用高级移动设备管理功能管理移动设备上工作应用的访问权限,请执行以下操作:

  • 为用户创建 Cloud Identity 账号。
  • 当用户注册设备以便管理时,他们必须输入自己的 Cloud Identity 凭据,而非第三方 IdP 凭据。

示例

公司可以使用高级移动设备管理功能来保护个人设备上的公司数据。

A 公司估计,至少有 40% 的员工使用移动设备访问公司资源。他们决定不要求员工使用公司自有(和控制)的设备。这成本很高,且员工都倾向于使用熟悉的个人设备进行个人和工作活动。

为了促进用户友好的工作环境,公司 A 决定让员工使用个人移动设备来处理工作。他们不想牺牲公司的安全性。公司 A 计划利用高级移动设备管理功能来实施一项移动政策,以确保个人数据和公司数据安全无虞。

公司 A 设置移动环境的方法如下:

注册 Cloud Identity 专业版

由于 Google 移动设备管理中的高级移动设备管理功能仅在 Cloud Identity 专业版中提供,因此公司 A 注册了 Cloud Identity 专业版。

创建用户账号,并将应用分配给组织

当 IT 部门将用户添加到 Cloud Identity 时,还会将每位用户指定为特定组织的成员。IT 部门将适当的应用分配给特定组织,例如:

  • 将消息传递应用、人力资源应用和协作应用分配给高层组织(以便每个人都可以访问这些应用)
  • 将客户关系管理 (CRM) 分配给销售组织
  • 将客户支持应用分配给客服组织

为特定单位部门分配适当的应用。

设置高级移动设备管理

IT 部门启用高级管理功能:为 Android 用户启用 Android 应用管理功能,为 iOS 用户设置 iOS 推送证书。

设置设备审批是可选操作,但公司 A 决定实施它。用户报告称,当他们的移动设备没有运行最新的操作系统版本时,业务应用会出现问题。IT 公司想要确保所有移动设备都处于最新状态。

IT 部门使用设备审批来检查设备特性,例如型号或操作系统,从而定义员工可以使用哪些设备。他们检查特性的方式可以是手动、通过 API 以编程方式或使用规则。规则控制的精细度不如 API,但部署起来更容易。IT 部门使用规则来仅批准运行最新版本操作系统的设备。用户必须保持设备的合规性才能访问企业资源。

强制执行工作应用白名单

IT 部门创建了公司 A 希望其员工使用的业务应用的白名单,例如消息传送、协作和会议应用。他们从 Google Play 商店和 App Store 中选择应用,然后将它们添加到白名单(Android 和 iOS 设备各一个)中。

公司 A 不仅仅希望向用户推荐业务应用;他们还想要求员工在访问公司资源时只能使用已获批准的业务应用。IT 部门选择在 Android 设备上强制执行工作配置文件。用户接受工作配置文件后才能同步企业数据,且他们不能选择取消。如果没有工作配置文件的 Android 设备已经注册管理服务,系统会提示用户创建工作配置文件。

IT 部门还要求在 iOS 设备上安装受管理的应用。当移动设备中存在非受管版本的应用时,高级移动设备管理功能可以检测得到。要访问企业资源,用户必须对启用应用管理功能。

为 Android 设备预配置复杂的应用

为了避免 VPN 配置带来的求助电话,公司 A 决定迁移到支持 Android 设备上托管配置的 VPN 应用。IT 部门计划与其应用供应商合作,以便其他应用也有可供管理员保存为托管配置的设置。

将受批准的应用推送到 Android 设备

为方便用户,IT 部门将各组织已获批准的业务应用推送给了该组织的用户。这避免了用户查找和下载应用时需要求助的情况,从而为 IT 部门节省了时间。

通知用户

IT 部门让员工知道其移动设备处于受管理状态,他们会看到系统提示,要求他们在高级管理中使用 Cloud Identity 凭据为其设备注册。

要注册,使用 Android 设备的用户需要安装 Google Apps Device Policy 应用和工作配置文件。使用 iOS 设备的用户需要安装 Google Device Policy 应用和 Device Policy 配置文件。应用和个人资料会验证设备是否符合 IT 部门设置的政策。只有已注册的设备才能同步企业数据。