Les fonctions de gestion intégrées d'Android permettent aux administrateurs de gérer entièrement les terminaux utilisés exclusivement pour le travail.

Android propose plusieurs modes en fonction de la propriété du terminal en cours d'utilisation au sein de votre organisation :

  • Le Profil professionnel : permet de créer un espace dédié sur le terminal pour les applications et les données professionnelles. Il s'agit du déploiement idéal pour les applications BYOD (Bring Your Own Device).
  • Terminaux gérés pour le travail : permet à Workspace ONE UEM et aux administrateurs informatiques de contrôler totalement le terminal et d'appliquer un large éventail de contrôles de la stratégie non disponibles pour les profils professionnels, mais limite l'utilisation du terminal à un usage professionnel.
    • Terminaux professionnels et personnels : fait référence aux terminaux professionnels. À l'instar des terminaux gérés pour le travail, ils sont provisionnés avec un profil professionnel qui a recours à l'utilisation personnelle et professionnelle.
    • Terminaux gérés pour le travail sans Google Play Services : si vous utilisez Workspace ONE UEM sur des terminaux AOSP (Android Open Source Project) ou sur des terminaux non-GMS, ou que vous utilisez des réseaux fermés au sein de votre entreprise, vous pouvez enrôler vos terminaux Android à l'aide du flux d'enrôlement de terminaux gérés pour le travail sans Google Play Services.

Fonctionnalité du mode Profil professionnel

Les applications dans le mode Profil professionnel se différencient par une icône de porte-documents rouge. Appelées applications badgées, elles s'affichent dans un seul et même lanceur avec les applications personnelles de l'utilisateur. Par exemple, votre terminal affiche une icône personnelle pour Google Chrome et une icône distincte pour Work Chrome marquée avec le badge. L'utilisateur final peut penser qu'il s'agit de deux applications différentes. En fait, l'application n'est installée qu'une seule fois, mais les données professionnelles sont stockées séparément des données personnelles.

Workspace ONE Intelligent Hub est badgé et n'existe que dans l'espace de données Profil professionnel. Il n'existe aucun contrôle sur les applications personnelles, et Workspace ONE Intelligent Hub n'a pas accès aux informations personnelles.

Quelques applications système sont incluses par défaut dans le profil professionnel : Work Chrome, Google Play, Google Settings, Contacts et Camera, par exemple. Ces applications peuvent être masquées à l'aide d'un profil de restrictions.

Certains paramètres indiquent la séparation entre les configurations personnelles et professionnelles. Des configurations différentes s'affichent pour les paramètres suivants :

  • Identifiants – Affiche les certificats d'entreprise pour l'authentification des utilisateurs sur les terminaux gérés.
  • Comptes – Affiche le compte Google géré lié au profil professionnel.
  • Applications – Répertorie toutes les applications installées sur le terminal.
  • Sécurité – Affiche le statut de chiffrement du terminal.

Fonctionnement du mode Terminaux gérés pour le travail

Lorsque les terminaux sont enrôlés en mode Terminaux gérés pour le travail, un mode de propriété professionnelle réel est créé. Workspace ONE UEM contrôle l'intégralité du terminal, et il n'existe aucune séparation entre les données personnelles et professionnelles.

Les choses importantes à prendre en compte pour le mode Terminaux gérés pour le travail sont :

  • L'écran d'accueil n'affiche pas les applications badgées comme dans le mode Profil professionnel.
  • Les utilisateurs ont accès à différentes applications préchargées lorsque le terminal est activé. Les applications supplémentaires peuvent uniquement être approuvées et ajoutées via Workspace ONE UEM Console.
  • Workspace ONE Intelligent Hub est défini comme administrateur du terminal dans les paramètres de sécurité. Il ne peut pas être désactivé.
  • Le désenrôlement du terminal du mode Terminaux gérés pour le travail demande une réinitialisation du terminal aux paramètres d'usine.

Terminal géré pour le travail sans Google Play Services

Si vous utilisez Workspace ONE UEM sur des terminaux AOSP (Android Open Source Project) ou sur des terminaux non-GMS ou que vous utilisez des réseaux fermés au sein de votre entreprise, vous pouvez enrôler vos terminaux Android à l'aide du flux d'enrôlement de terminaux gérés pour le travail sans Google Play Services. Vous pouvez héberger des applications sur l'intranet de votre entreprise et utiliser des méthodes d'enrôlement spécifiques OEM pour le déploiement.

Vous devrez spécifier dans UEM Console que vous utilisez un réseau AOSP/fermé lors de l'enregistrement EMM Android. Pour plus d'informations, reportez-vous à Inscription EMM pour Android avec un compte Google Play géré.

Éléments à prendre en compte lors de l'utilisation d'un terminal géré pour le travail sans Google Play Services sur des déploiements de réseaux AOSP/fermés :
  • Si vous avez déjà configuré Android dans un groupe organisationnel parent et que vous souhaitez déployer un réseau AOSP/fermé dans un groupe organisationnel enfant spécifique, l'administrateur UEM Console dispose d'une option pour spécifier que les enrôlements Out-Of-Box sur le groupe organisationnel enfant ne disposeront pas d'un compte Google géré. Pour plus d'informations, reportez-vous à Paramètres d'enrôlement dans l'enregistrement EMM Android.
  • Si vous déployez des terminaux à l'aide de Workspace ONE UEM 1907 et version antérieure, aucune configuration d'UEM console n'est requise.
  • Si vous déployez des terminaux à l'aide de Workspace ONE UEM 1908 et versions ultérieures, vous devez configurer les paramètres sur la page Enregistrement Android EMM.
  • Les méthodes d'enrôlement prises en charge sont les suivantes :
    • Code QR
    • StageNow pour les terminaux Zebra
    • Honeywell Enterprise Provisioner pour les terminaux Honeywell
  • L'enrôlement via l'identifiant VMware Workspace ONE Intelligent Hub n'est pas pris en charge sur les terminaux AOSP.
  • Le profil de mise à jour automatique publique n'est pas pris en charge. Ce profil est spécifiquement destiné aux applications publiques et ne fonctionne pas sur les terminaux qui se trouvent sur des réseaux AOSP ou fermés.
  • Le profil de protection contre la réinitialisation aux paramètres d'usine n'est pas pris en charge.
  • Les applications internes (hébergées dans Workspace ONE UEM Console) se déploient de manière silencieuse sur les terminaux sur réseaux AOSP/fermés.
  • Les terminaux gérés pour le travail enrôlés sans compte Google géré ne doivent pas être attribués à des applications publiques et ne doivent pas être pris en compte dans les calculs de terminaux attribués à des applications publiques.
  • Version du système d'exploitation et exigences OEM pour les terminaux gérés pour le travail sans Google Play Services :
    • AOSP (non-GMS)
      • Zebra et Honeywell : ils doivent se trouver sur une version de système d'exploitation qui prend en charge l'enrôlement de StageNow ou Honeywell Enterprise Provisioner.
      • Autres OEM : non pris en charge sauf si OEM développe sa prise en charge via un client tel que StageNow ou en autorisant les utilisateurs à accéder à l'enrôlement par code QR.
    • Réseau fermé
      • Zebra et Honeywell : Android 7.0 et versions ultérieures ou ils doivent se trouver sur une version de système d'exploitation qui prend en charge StageNow (version 7 0 ou version ultérieure) ou sur l'enrôlement de Honeywell Enterprise Provisioner.
      • Autres OEM : Android 7.0 ou versions ultérieures, car l'enrôlement par code QR est la seule méthode prise en charge.

Mode Terminaux professionnels et personnels (COPE)

Lorsque les terminaux sont enrôlés à l'aide du mode COPE, vous contrôlez toujours l'intégralité du terminal. Le mode COPE vous procure une capacité unique : il vous permet d'appliquer deux ensembles distincts de politiques, telles que les restrictions, pour le terminal et au sein d'un profil de travail.

Le mode COPE est uniquement disponible sur les terminaux Android 8.0 et versions ultérieures. Si vous enrôlez des terminaux Android sous Android 8.0, le terminal s'enrôle automatiquement en tant que terminal entièrement géré.

Certaines mises en garde doivent être prises en compte concernant l'enrôlement des terminaux en mode COPE :

  • Le chiffrement basé sur le code PIN et l'authentification unique Workspace ONE UEM à l'aide du SDK ne sont pas pris en charge pour les terminaux professionnels et personnels. Un code d'accès professionnel peut être appliqué pour s'assurer que l'utilisation d'applications professionnelles nécessite l'utilisation d'un code d'accès.
  • Le préenrôlement d'un utilisateur unique et le préenrôlement de plusieurs utilisateurs ne sont pas pris en charge pour les enrôlements COPE.
  • Les applications internes (hébergées dans Workspace ONE UEM) et les applications publiques déployées sur les terminaux COPE sont affichées dans l'application Catalog du profil professionnel.
  • Comme pour les enrôlements en mode Profil professionnel uniquement, les terminaux professionnels et personnels permettent aux utilisateurs de désactiver le profil professionnel (par exemple, si l'utilisateur est en congé). Lorsque le profil professionnel est désactivé, les applications professionnelles n'affichent plus de notifications et ne peuvent pas être lancées. L'état (activé ou désactivé) du profil professionnel est présenté à l'administrateur sur la page Détails du terminal. Lorsque le profil professionnel est désactivé, les informations les plus récentes sur les applications et le profil ne peuvent pas être extraites du profil professionnel.
  • Workspace ONE Intelligent Hub existe dans les sections Entièrement géré et Profil professionnel du terminal professionnel et personnel. Puisqu'elles existent à la fois au sein du profil professionnel et en dehors de celui-ci, les politiques de gestion peuvent être appliquées au sein du profil professionnel et à tout le terminal. Toutefois, Workspace ONE Intelligent Hub n'est visible que dans le profil professionnel.
  • Lorsque des notifications Push sont envoyées au terminal, Workspace ONE Intelligent Hub en dehors du profil professionnel est temporairement disponible pour permettre à l'utilisateur d'afficher les messages, garantissant ainsi qu'il reçoit les messages critiques, même si le profil professionnel est temporairement désactivé.
  • Les profils attribués peuvent être affichés par le biais de Workspace ONE Intelligent Hub, dans le profil professionnel.
  • Les politiques de conformité pour la gestion d'applications (telles que Bloquer/Supprimer des applications) sont uniquement prises en charge pour les applications dans le profil professionnel. Les applications peuvent être mises sur liste noire sur le terminal (en dehors du profil professionnel) en utilisant les profils de contrôle des applications.
  • Un effacement des données professionnelles réinitialisera les terminaux professionnels et personnels aux paramètres d'usine.
  • Le provisionnement de produit n'est pas pris en charge sur les inscriptions COPE.
  • Modifications propres à Android 11 :
    • Les applications internes (hébergées par Workspace ONE UEM) ne peuvent plus être transférées vers le côté personnel du terminal. Les applications internes (en tant qu'applications privées) et les applications publiques doivent être déployées uniquement avec le profil professionnel.
      • Les autres fonctionnalités, par exemple les règles de conformité reposant sur des applications internes, ne sont plus prises en charge.
    • La méthode d'enrôlement afw#hub n'est plus prise en charge.
      • Il est préférable d'utiliser l'enrôlement par code QR ou sans contact.