Proteggere l'accesso aziendale sui dispositivi personali

Problema aziendale

Le aziende sono tenute a fornire l'accesso sicuro ai dispositivi personali.

La proliferazione dei dispositivi mobili ha cambiato il modo di lavorare delle persone. I dipendenti vogliono accedere alle app aziendali ovunque si trovino, in un luogo di lavoro tradizionale o verso l'aeroporto.

Anche quando le aziende forniscono dispositivi mobili di proprietà aziendale, molti dipendenti preferiscono utilizzare il dispositivo con cui possono lavorare sia per le attività personali che per quelle di lavoro. Di solito si tratta di un dispositivo personale.

Le aziende devono affrontare un problema nel fornire un ambiente di lavoro mobile che soddisfi i requisiti apparentemente in conflitto:

  • Un ambiente confortevole e produttivo per i dipendenti
  • Proteggi l'accesso alle app e ai dati aziendali

La tua società sta implementando nuove norme per consentire l'accesso alle aziende sui dispositivi mobili personali. I dipendenti possono accedere alle informazioni aziendali solo attraverso app curate e approvate.

Soluzioni

Utilizzando la gestione avanzata dei dispositivi mobili, sono disponibili diversi modi per fornire le app di cui i dipendenti hanno bisogno sui propri dispositivi personali, implementando al contempo norme per la sicurezza dei dati aziendali.

Creare una lista consentita di app approvate

Una lista consentita contiene app curate e approvate.

L'obiettivo dell'autorizzazione delle app è proteggere le risorse aziendali da app potenzialmente dannose. Una lista consentita di app contiene app curate da un reparto IT e approvate per l'uso aziendale.

Tramite la lista consentita per le app di lavoro, puoi gestire le app di lavoro sui dispositivi mobili personali e lasciare il controllo alle app personali. Puoi distribuire le app agli utenti di un'organizzazione o un gruppo specifici in Google Gruppi.

Selezionare le app dalla versione gestita di Google Play Store per i dispositivi Android e l'Apple App Store per i dispositivi iOS, quindi aggiungile a una lista consentita. Gli utenti vedono un catalogo di app autorizzate sui propri dispositivi. Quando un utente installa un'app autorizzata, questa è gestita dalla tua organizzazione. In caso di smarrimento o furto del dispositivo, puoi rimuovere le app gestite cancellandone da remoto i dati.

Applicare i profili di lavoro sui dispositivi Android

I profili di lavoro sui dispositivi Android separano i dati di lavoro da quelli personali.

I profili di lavoro sui dispositivi Android 5.0 o versioni successive separano i file di lavoro da app, account e dati personali. L'azienda gestisce le app e i dati aziendali. Gli utenti controllano tutto il resto sul dispositivo. Le app gestite, incluse le app aziendali approvate nella whitelist delle app Android, provengono dalla versione gestita di Google Play Store.

Quando attivi la gestione delle app Android sui dispositivi Android della tua azienda, puoi consentire al dipendente di attivarla o puoi richiedere che utilizzi i profili di lavoro. Quando richiedi i profili di lavoro e un utente tenta di accedere alle risorse aziendali da un dispositivo senza un profilo di lavoro, gli verrà chiesto di crearne uno.

Richiedi app gestite su dispositivi iOS

Le app gestite sui dispositivi iOS impediscono la condivisione file tra app gestite e non gestite.

Quando aggiungi un'app alla tua lista consentita di app per iOS, puoi configurarla come app gestita. Se specifichi un'app come "gestita", l'azienda potrà controllare meglio l'app e i relativi dati sui dispositivi iOS personali. Ad esempio, se gli utenti hanno un account Gmail personale e lo specifichi come app gestita, gli utenti possono accedere alle loro email aziendali solo mediante la versione gestita di Gmail.

La condivisione di file tra app gestite e non gestite non è consentita. Ad esempio, gli utenti non possono eseguire il backup dei dati di un'app aziendale gestita su un'entità esterna come iCloud o iTunes. Se un utente crea un PDF in un'app aziendale gestita, non può aprirlo in un'app personale non gestita.

Se un utente ha già una versione non gestita di un'app aziendale gestita sul proprio dispositivo, riceverà una notifica che chiede di consentire alla tua organizzazione di gestirla. Se non accetta, potrà comunque utilizzare l'app personale non gestita, ma non potrà più accedere al proprio account aziendale e a tutte le app gestite da quel dispositivo.

Impostare le configurazioni gestite sui dispositivi Android

Le impostazioni di alcune app Android possono essere salvate come configurazioni gestite. Utilizzando le configurazioni gestite, puoi preconfigurare le app per gli utenti. Inoltre, puoi creare più configurazioni gestite per la stessa app e applicare configurazioni diverse a gruppi o organizzazioni diversi.

Gli amministratori possono eseguire facilmente il deployment delle app con impostazioni complesse, ad esempio le app VPN. I dipendenti non devono configurare le app. Questo evita chiamate all'help desk per problemi causati da una configurazione errata.

Trasferire automaticamente le app approvate ai dispositivi Android

Quando imposti una lista consentita, puoi scegliere di installare automaticamente le app aziendali principali sui dispositivi Android e assegnare le app appropriate a organizzazioni specifiche. Gli utenti hanno le app di cui hanno bisogno senza scaricarli manualmente da Google Play.

Consigli

La gestione avanzata dei dispositivi mobili offre opzioni potenti per proteggere l'accesso aziendale sui dispositivi mobili personali. Dovrai registrarti a Cloud Identity Premium per ricevere la gestione avanzata dei dispositivi mobili.

Consigliamo di creare liste consentite di app aziendali approvate, applicare profili di lavoro sui dispositivi Android e richiedere app gestite sui dispositivi iOS.

Se la funzionalità è supportata da un'app, l'impostazione delle configurazioni gestite e il push automatico delle app approvate sui dispositivi Android consentono agli amministratori e agli utenti di risparmiare tempo. Sono facoltativi, ma consigliati.

Provider di terze parti

Fornitori EMM di terze parti

Per utilizzare le funzionalità di gestione avanzata dei dispositivi mobili con Cloud Identity, Google deve essere il tuo provider di gestione della mobilità aziendale (EMM, Enterprise Mobility Management).

IdP di terze parti

Se hai un provider di identità di terze parti (IdP), puoi comunque utilizzare la gestione avanzata dei dispositivi mobili. In questo caso, la maggior parte dell'autenticazione utente avviene nell'IdP di terze parti (ad eccezione della registrazione dei dispositivi). Gli utenti accedono con le proprie credenziali IdP di terze parti o utilizzando una password nei propri account Cloud Identity.

Per gestire l'accesso alle app di lavoro sui dispositivi mobili utilizzando la Gestione dispositivi mobili avanzata:

  • Crea account Cloud Identity per i tuoi utenti.
  • Quando gli utenti registrano i propri dispositivi per la gestione, devono inserire le proprie credenziali di Cloud Identity e non le credenziali IdP di terze parti.

Esempio

Le aziende possono utilizzare la gestione avanzata dei dispositivi mobili per proteggere i dati aziendali sui dispositivi personali.

L'azienda A stima che almeno il 40% della sua forza lavoro utilizza i dispositivi mobili per accedere alle risorse aziendali. Decide di impedire ai dipendenti di utilizzare dispositivi di proprietà aziendale (e controllati). È costoso, e i dipendenti preferiscono utilizzare i propri dispositivi personali per attività personali e di lavoro.

Per promuovere un ambiente di lavoro facile da usare, l'azienda A decide di consentire ai dipendenti di utilizzare i dispositivi mobili per motivi di lavoro. Non vogliono sacrificare la sicurezza aziendale. Utilizzando la gestione avanzata dei dispositivi mobili, l'azienda A prevede di implementare dei criteri che garantiscono la sicurezza dei dati personali e aziendali.

Ecco come l'azienda A configura il suo ambiente mobile.

Registrarsi a Cloud Identity Premium

Poiché le funzionalità di gestione avanzata dei dispositivi mobili di Gestione dispositivi mobili Google sono disponibili solo nella versione premium di Cloud Identity, l'azienda A si registra a Cloud Identity Premium.

Creare account utente e assegnare app alle organizzazioni

Quando aggiunge l'utente a Cloud Identity, l'IT specifica anche ogni utente come membro di un'organizzazione specifica. Il team IT assegna le app appropriate a organizzazioni specifiche, ad esempio:

  • App di messaggistica, RU e collaborazione per l'organizzazione di primo livello, in modo che tutti le ricevano
  • Gestione dei rapporti con i clienti (CRM) all'organizzazione di vendita
  • L'app di assistenza clienti all'Assistenza

Assegna app appropriate a UO specifiche.

Configurare la gestione avanzata dei dispositivi mobili

Il team IT attiva la gestione avanzata: attiva la gestione delle app Android per gli utenti Android e configura un certificato per le notifiche push per iOS per gli utenti iOS.

La configurazione delle approvazioni dei dispositivi è facoltativa, ma l'Azienda A decide di implementarla. Gli utenti hanno segnalato problemi con le applicazioni aziendali quando i loro dispositivi mobili non utilizzano una versione recente del sistema operativo. L'IT vuole assicurarsi che tutti i dispositivi mobili siano aggiornati.

L'IT utilizza le approvazioni dei dispositivi per controllare le caratteristiche del dispositivo, ad esempio il modello o il sistema operativo, per definire i dispositivi che un dipendente può utilizzare. Possono controllare le caratteristiche manualmente, in modo programmatico con un'API o utilizzando le regole. Le regole non offrono un controllo più granulare dell'API, ma sono più facili da implementare. Il team IT utilizza le regole per approvare solo i dispositivi che eseguono versioni recenti dei sistemi operativi. Gli utenti devono mantenere i propri dispositivi conformi per accedere alle risorse aziendali.

Applica in modo forzato le app di lavoro autorizzate

L'IT crea liste consentite di app aziendali che l'azienda A vuole che i suoi dipendenti utilizzino, ad esempio le app di messaggistica, collaborazione e conferenze. Seleziona le app dal Google Play Store e dall'App Store e le aggiunge alla lista consentita (una per Android e una per i dispositivi iOS).

L'azienda A non si limita a consigliare le app aziendali ai propri utenti, ma richiede che i dipendenti utilizzino solo app aziendali approvate quando accedono alle risorse aziendali. Il team IT attiva l'applicazione forzata dei profili di lavoro sui dispositivi Android. Gli utenti non possono sincronizzare i dati aziendali se non accettano il profilo di lavoro e non possono disattivarlo. Se un dispositivo Android senza un profilo di lavoro è già registrato per la gestione, all'utente viene richiesto di creare il profilo.

L'IT richiede anche app gestite sui dispositivi iOS. La gestione avanzata dei dispositivi mobili rileva la presenza di una versione non gestita di un'app su un dispositivo mobile. Per accedere alle risorse aziendali, l'utente deve attivare la gestione dell'applicazione.

Preconfigurare le app complesse per i dispositivi Android

Per evitare le chiamate di assistenza generate dalla configurazione VPN, l'azienda A decide di passare a un'app VPN che supporti la configurazione gestita sui dispositivi Android. Il team IT ha intenzione di collaborare con i fornitori di app in modo che le altre app includano impostazioni che gli amministratori possono salvare come configurazioni gestite.

Trasferire le app approvate ai dispositivi Android

Per comodità, gli utenti IT possono inviare le app aziendali approvate per ogni organizzazione agli utenti dell'organizzazione. In questo modo, puoi risparmiare tempo poiché evita potenziali chiamate di assistenza quando gli utenti trovano e scaricano le app.

Notifica utenti

L'IT informa i dipendenti che i loro dispositivi mobili sono gestiti e loro riceveranno le richieste di registrazione dei loro dispositivi alla gestione avanzata utilizzando le loro credenziali Cloud Identity.

Per registrarsi, gli utenti che hanno dispositivi Android installano l'app Google Apps Device Policy e un profilo di lavoro. Gli utenti con dispositivi iOS installano l'app Google Device Policy e un profilo Device Policy. L'app e il profilo verificano che il dispositivo sia conforme ai criteri impostati dall'IT. Solo i dispositivi registrati possono sincronizzare i dati aziendali.