Las características de administración integradas de Android permiten a los administradores de TI administrar los dispositivos que se utilizan exclusivamente para trabajo.

Android ofrece varios modos según el tipo de propiedad del dispositivo que se utilice dentro de su organización:

  • Perfil de trabajo: crea un espacio dedicado en el dispositivo únicamente para aplicaciones y datos de trabajo. Se trata de la implementación ideal para aplicaciones del "programa de uso de dispositivos personales" (BYOD).
  • Dispositivo administrado de trabajo: permite a Workspace ONE UEM y a los administradores de TI controlar todo el dispositivo y aplicar un amplio rango de controles de directivas no disponibles para los perfiles de trabajo, pero restringe el dispositivo a un uso corporativo únicamente
    • Dispositivo corporativo habilitado personalmente: hace referencia a los dispositivos que son propiedad de la empresa. Se trata de algo similar al dispositivo administrado de trabajo, pero se aprovisiona con un perfil de trabajo para uso personal y corporativo.
    • Dispositivo administrado de trabajo sin servicios de Google Play: si utiliza Workspace ONE UEM en dispositivos del proyecto de código abierto de Android (Android Open Source Project, AOSP), dispositivos que no sean de GMS o con redes cerradas dentro de su organización, puede inscribir sus dispositivos Android mediante el flujo de inscripción de dispositivos administrados de trabajo sin servicios de Google Play

Funcionalidad del modo Perfil de trabajo

Las aplicaciones del Perfil de trabajo diferenciadas por un icono de maletín rojo se denominan aplicaciones distintivas, y se muestran en un iniciador unificado con las aplicaciones personales del usuario. Por ejemplo, el dispositivo muestra un icono personal para Google Chrome y un icono independiente para Chrome de trabajo, que se indican con el distintivo. Desde la perspectiva del usuario final, parece que son dos aplicaciones diferentes, pero la aplicación solo se instala una vez con los datos empresariales almacenados independientemente de los datos personales.

Workspace ONE Intelligent Hub es distintivo y existe solo dentro del espacio de los datos de Perfil de trabajo. No hay ningún control sobre las aplicaciones personales y Workspace ONE Intelligent Hub no tiene acceso a la información personal.

Hay una serie de aplicaciones del sistema que se incluyen con el Perfil de trabajo de forma predeterminada como Chrome de trabajo, Google Play, ajustes de Google, Contactos y Cámara, que se pueden ocultar utilizando un perfil de restricciones.

Ciertos ajustes muestran la separación entre las configuraciones personal y de trabajo. Los usuarios ven configuraciones independientes para los siguientes ajustes:

  • Credenciales: ver certificados corporativos para la autenticación del usuario en los dispositivos administrados.
  • Cuentas: ver la cuenta de Google administrada unida al Perfil de trabajo.
  • Aplicaciones: enumera todas las aplicaciones instaladas en el dispositivo.
  • Seguridad: muestra el estado de cifrado del dispositivo.

Funcionalidad del modo Dispositivo administrado de trabajo

Cuando se inscriben los dispositivos en el modo Dispositivo administrado de trabajo, se crea un modo integral de propiedad corporativa. Workspace ONE UEM controla todo el dispositivo y no hay separación de datos personales y de trabajo.

Hay ciertos factores importantes que cabe tener en cuenta para el modo administrado de trabajo:

  • La pantalla principal no muestra aplicaciones distintivas como el modo Perfil de trabajo.
  • Los usuarios tienen acceso a diferentes aplicaciones previamente cargadas al realizar la activación del dispositivo. Las aplicaciones adicionales solo se pueden aprobar y agregar a través de Workspace ONE UEM console.
  • Workspace ONE Intelligent Hub está establecido como el administrador del dispositivo en la configuración de seguridad y no se puede inhabilitar.
  • Si se cancela la inscripción del dispositivo desde el modo de tareas administradas de trabajo, se iniciará el restablecimiento de fábrica del dispositivo.

Dispositivo administrado de trabajo sin servicios de Google Play

Si utiliza Workspace ONE UEM en dispositivos del proyecto de código abierto de Android (Android Open Source Project, AOSP), dispositivos que no sean de GMS o con redes cerradas dentro de su organización, puede inscribir sus dispositivos con Android mediante el flujo de inscripción de dispositivos administrados de trabajo sin servicios de Google Play. Puede alojar aplicaciones en la intranet de su organización y utilizar métodos de inscripción específicos de OEM para la implementación.

Deberá especificar en la consola de UEM que está utilizando AOSP/Red cerrada durante el registro de EMM para Android. Para obtener más información, consulte RCómo registrar EMM de Android con la cuenta de Google Play gestionada.

Aspectos que se deben tener en cuenta al utilizar un dispositivo administrado de trabajo sin servicios de Google Play en implementaciones de AOSP/Red cerrada:
  • Si ya configuró Android en un grupo organizativo superior y desea implementar AOSP/Red cerrada solo en un grupo organizativo secundario específico, el administrador de la consola de UEM tiene una opción para especificar que las inscripciones listas para usar en el grupo organizativo secundario no tengan una cuenta gestionada de Google. Para obtener más información, consulte Configuración de inscripción en el registro de EMM para Android.
  • Si va a implementar dispositivos mediante Workspace ONE UEM 1907 y versiones anteriores, no es necesario llevar a cabo la configuración de UEM Console.
  • Si va a implementar dispositivos mediante Workspace ONE UEM 1908 y versiones posteriores, debe configurar los ajustes en la página Registro de EMM de Android.
  • Los métodos de inscripción admitidos son los siguientes:
    • Código QR
    • StageNow para dispositivos Zebra
    • Honeywell Enterprise Provisioner para dispositivos Honeywell
  • La inscripción a través del identificador de Workspace ONE Intelligent Hub no es compatible con los dispositivos del AOSP.
  • No se admite el perfil de actualización automática pública. Este perfil se aplica específicamente a las aplicaciones públicas y no funciona en los dispositivos del AOSP o redes cerradas.
  • No se admite el perfil de protección de restablecimiento de fábrica.
  • Las aplicaciones internas (alojadas en Workspace ONE UEM Console) se implementarán silenciosamente en los dispositivos del AOSP/Red cerrada.
  • Los dispositivos administrados para el trabajo inscritos sin una cuenta gestionada de Google no deben asignarse a ninguna aplicación pública y no deben tenerse en cuenta en el recuento de dispositivos de asignación de aplicaciones públicas.
  • Versión de SO y requisitos de OEM para el Dispositivo administrado de trabajo sin servicios de Google Play:
    • AOSP (no GMS)
      • Zebra y Honeywell: debe ser una versión de SO que admita la inscripción de StageNow o de Honeywell Enterprise Provisioner.
      • Otros OEM: no son compatibles a menos que el OEM desarrolle compatibilidad para el mismo a través de un cliente como StageNow o permitiendo que los usuarios accedan a la inscripción del código QR.
    • Red cerrada
      • Zebra y Honeywell: Android 7.0 y versiones posteriores, o deben ejecutarse en una versión de sistema operativo que admita la inscripción de StageNow (también 7.0 o posterior) o Honeywell Enterprise Provisioner.
      • Otros OEM: Android 7.0 o versiones posteriores, ya que la inscripción del código QR es el único método admitido.

Modo Dispositivo corporativo habilitado de forma personal (COPE)

Cuando los dispositivos se inscriben utilizando el modo COPE el usuario sigue teniendo control sobre todo el dispositivo. La capacidad única del modo COPE es que permite aplicar dos conjuntos de directivas distintos, como las restricciones, para el dispositivo y dentro de un perfil de trabajo.

El modo COPE solo está disponible en dispositivos Android 8.0 +. Si inscribe dispositivos Android de una versión anterior a Android 8.0, el dispositivo se inscribe automáticamente como Dispositivo completamente administrado.

Existen algunas advertencias a tener en cuenta al inscribir los dispositivos en modo COPE:

  • El cifrado con PIN y el inicio de sesión único de Workspace ONE UEM mediante SDK no son compatibles con los dispositivos corporativos habilitados de forma personal. Se puede aplicar un código de acceso de trabajo para garantizar que el uso de aplicaciones de trabajo requiere el uso de un código de acceso.
  • La inscripción preparada para dispositivos de un usuario único y la inscripción preparada para dispositivos de múltiples usuarios no se admiten para las inscripciones COPE.
  • Las aplicaciones internas (alojadas en Workspace ONE UEM) y las aplicaciones públicas implementadas en los dispositivos COPE se muestran en el catálogo de la aplicación en el perfil de trabajo.
  • De forma similar a las inscripciones que son solo de perfil de trabajo, los dispositivos corporativos habilitados de forma personal proporcionan a los usuarios la opción para inhabilitar el perfil de trabajo (por ejemplo, si el usuario está de vacaciones). Cuando se inhabilita el perfil de trabajo, las aplicaciones de trabajo ya no presentan notificaciones y no se pueden iniciar. El estado (habilitado o inhabilitado) del perfil de trabajo se presenta al administrador en la página de detalles del dispositivo. Cuando el perfil de trabajo está inhabilitado, la información más reciente de la aplicación y del perfil no puede recuperarse desde el perfil de trabajo.
  • El Workspace ONE Intelligent Hub ya existe en las secciones del perfil administrado de trabajo y del perfil de trabajo del dispositivo corporativo habilitado de forma personal. Al existir tanto dentro como fuera del perfil de trabajo, las políticas de administración se pueden aplicar al perfil de trabajo y a todo el dispositivo. Sin embargo, el Workspace ONE Intelligent Hub solo es visible en el perfil de trabajo.
  • Cuando se envían notificaciones push al dispositivo, el Workspace ONE Intelligent Hub que está fuera del perfil de trabajo está disponible temporalmente para que el usuario vea los mensajes, garantizando que los mensajes importantes lleguen al usuario, incluso si el perfil de trabajo está inhabilitado temporalmente.
  • Los perfiles asignados pueden verse a través del Workspace ONE Intelligent Hub en el perfil de trabajo.
  • Las políticas de conformidad para la administración de aplicaciones (como bloquear/eliminar aplicaciones) solo se admiten para las aplicaciones que están dentro del perfil de trabajo. Las aplicaciones pueden estar en la lista negra en el dispositivo (fuera del perfil de trabajo) utilizando perfiles de control de aplicaciones.
  • Una eliminación empresarial realizará un restablecimiento de fábrica a los dispositivos corporativos habilitados de forma personal.
  • No se admite el aprovisionamiento de productos en las inscripciones COPE.
  • Cambios específicos en Android 11:
    • Las aplicaciones internas (alojadas en Workspace ONE UEM) ya no se pueden insertar en la parte personal del dispositivo. Las aplicaciones internas (tales como aplicaciones privadas) y las aplicaciones públicas deben implementarse solo en el perfil de trabajo.
      • Cualquier otra funcionalidad, como las reglas de conformidad que dependen de las aplicaciones internas, también dejará de ser compatible.
    • Ya no se admite el método de inscripción afw#hub.
      • Considere la posibilidad de usar el código QR o la inscripción automatizada en su lugar.