Protege el acceso corporativo en dispositivos personales

Problema empresarial

Las empresas deben enfrentarse al desafío de brindar acceso seguro en dispositivos personales.

El modo en que trabajan las personas cambió con la proliferación de los dispositivos móviles. Los empleados quieren acceder a las apps empresariales desde donde sea que estén, ya sea un lugar de trabajo tradicional o un aeropuerto.

Incluso cuando las empresas proporcionan dispositivos móviles propios, muchos empleados prefieren usar el dispositivo con el que se sienten cómodos en las actividades personales y laborales. Este suele ser su dispositivo personal.

Las empresas se enfrentan a un desafío cuando tienen que proporcionar un entorno de trabajo móvil que se adapte a requisitos que parecen ser contradictorios:

  • Un entorno cómodo y productivo para los empleados
  • Acceso seguro a las apps empresariales y los datos corporativos

Tu empresa deberá lanzar una nueva política para permitir el acceso corporativo en dispositivos móviles personales. Los empleados pueden acceder a información corporativa solo a través de apps seleccionadas y aprobadas.

Soluciones

Gracias a la administración avanzada de dispositivos móviles, existen varias formas de proporcionar las apps empresariales que los empleados necesitan en sus dispositivos personales y, a la vez, implementar políticas que protejan los datos empresariales.

Crea una lista blanca de apps aprobadas

Una lista blanca contiene apps seleccionadas y aprobadas.

El objetivo de la inclusión de apps en la lista blanca es proteger los recursos corporativos de las aplicaciones potencialmente dañinas. Una lista blanca de apps contiene apps seleccionadas por un departamento de TI que están aprobadas para el uso empresarial.

Si usas las listas blancas para las apps de trabajo, puedes administrar las apps de trabajo en los dispositivos móviles personales y dejar las apps personales bajo el control de los usuarios. Debes distribuir apps a usuarios de una organización o grupo específico en Grupos de Google.

Selecciona apps de Google Play administrado para dispositivos Android y Apple App Store para dispositivos iOS. Luego, agrégalas a una lista blanca. Los usuarios ven un catálogo de apps incluidas en la lista blanca en sus dispositivos. Cuando un usuario instala una app incluida en la lista blanca, la administra tu organización. Si pierdes un dispositivo o te lo roban, puedes quitar las apps administradas si las limpias de manera remota.

Aplica perfiles de trabajo en dispositivos Android

Los perfiles de trabajo en los dispositivos Android separan los datos personales de los laborales.

Los perfiles de trabajo en dispositivos personales Android 5.0 o versiones posteriores separan las cuentas, los datos y las apps personales del trabajo. La empresa administra los datos y las apps empresariales. Los usuarios controlan todo lo demás en el dispositivo. Las apps administradas (las apps comerciales aprobadas en la lista blanca de apps para Android) provienen de la tienda de Google Play administrado.

Cuando habilitas la administración de apps para Android en los dispositivos Android de tu empresa, puedes permitir que los empleados participen o puedes solicitarles que usen perfiles de trabajo. Cuando solicitas perfiles de trabajo y un usuario intenta acceder a recursos corporativos desde un dispositivo sin un perfil de trabajo, recibe un mensaje para crear uno.

Exige apps administradas en dispositivos iOS

Las apps administradas en los dispositivos iOS evitan que se compartan archivos entre apps administradas y no administradas.

Cuando agregas una app a la lista blanca de apps para iOS, puedes convertirla en una app administrada. Si especificas una app como “administrada”, permites que la empresa tenga más control sobre ella y sus datos en los dispositivos iOS personales. Por ejemplo, si los usuarios tienen una cuenta de Gmail personal y especificas Gmail como una app administrada, los usuarios solo podrán acceder a sus correos electrónicos corporativos mediante la versión administrada de Gmail.

No se permiten archivos compartidos entre apps administradas y no administradas. Por ejemplo, los usuarios no pueden crear una copia de seguridad de datos de una app empresarial administrada en una entidad externa, como iCloud o iTunes. Si un usuario crea un PDF en una app empresarial administrada, no podrá abrirlo en una app personal no administrada.

Si un usuario ya tiene una versión no administrada de una app empresarial administrada en su dispositivo, recibirá una notificación en la que se le pedirá que permita que tu organización administre la app. Si no la acepta, podrá seguir usando su app personal no administrada, pero perderá el acceso a su cuenta corporativa y a todas las apps administradas de ese dispositivo.

Establece opciones de configuración administradas en dispositivos Android

Algunas apps para Android tienen parámetros que puedes guardar como opciones de configuración administradas. Con las opciones de configuración administradas, puedes preconfigurar las apps para los usuarios. Además, puedes crear varias opciones de configuración administradas para la misma app y aplicar diferentes opciones de configuración a diferentes organizaciones o grupos.

Los administradores pueden implementar de manera sencilla apps con opciones de configuración complejas, como apps de VPN. Los empleados no tienen que configurar las apps. Esto evita las llamadas al centro de asistencia por problemas a causa de una configuración incorrecta.

Envía de manera automática las apps aprobadas a dispositivos Android

Cuando configures una lista blanca, puedes optar por instalar de manera automática las apps empresariales principales en los dispositivos Android y asignar las apps adecuadas a organizaciones específicas. Los usuarios tienen las apps que necesitan sin tener que descargarlas de forma manual desde Google Play.

Recomendaciones

La administración avanzada de dispositivos móviles ofrece opciones potentes para proteger el acceso corporativo en los dispositivos móviles personales. Deberás registrarte en Cloud Identity Premium para obtener la administración avanzada de dispositivos móviles.

Recomendamos crear listas blancas de apps empresariales aprobadas, aplicar perfiles de trabajo en dispositivos Android y solicitar apps administradas en dispositivos iOS.

Si una app lo admite, configurar opciones administradas y enviar de forma automática las apps aprobadas a dispositivos Android permite ahorrar mucho tiempo a los administradores y usuarios. Esto es opcional, pero es lo que se recomienda.

Proveedores de terceros

Proveedores de EMM de terceros

Para usar las funciones de administración avanzada de dispositivos móviles con Cloud Identity, Google debe ser tu proveedor de administración de movilidad empresarial (EMM).

IdPs de terceros

Si tienes un proveedor de identidad (IdP) de terceros, también puedes usar la administración avanzada de dispositivos móviles. En este caso, la mayor parte de la autenticación de usuarios se produce en el IdP de terceros (a excepción de la inscripción de dispositivos). Los usuarios acceden con sus credenciales de IdP de terceros o mediante una contraseña en sus cuentas de Cloud Identity.

Para administrar el acceso a las apps de trabajo en dispositivos móviles mediante la administración avanzada de dispositivos móviles, sigue estos pasos:

  • Crea cuentas de Cloud Identity para tus usuarios.
  • Cuando los usuarios inscriben sus dispositivos para la administración, deben ingresar sus credenciales de Cloud Identity, no sus credenciales de IdP de terceros.

Ejemplo

Las empresas pueden usar la administración avanzada de dispositivos móviles para proteger los datos corporativos en sus dispositivos personales.

La empresa A estima que no menos del 40% de su personal usa dispositivos móviles para acceder a recursos corporativos. Deciden no exigir que los empleados usen dispositivos empresariales (y controlados). Es costoso y los empleados prefieren usar sus dispositivos personales, con los que están familiarizados, para realizar actividades personales y de trabajo.

A fin de promover un entorno de trabajo que sea fácil de usar, la empresa A decide permitir que los empleados usen dispositivos móviles personales para fines laborales. No quieren sacrificar la seguridad corporativa. Mediante la administración avanzada de dispositivos móviles, la empresa A planea implementar una política móvil que proteja los datos personales y empresariales.

A continuación, se muestra cómo la empresa A configura su entorno móvil.

Registro en Cloud Identity Premium

Debido a que las funciones de administración avanzada de dispositivos móviles de la Administración de dispositivos móviles de Google solo están disponibles en la edición premium de Cloud Identity, la empresa A se registra en Cloud Identity Premium.

Creación de cuentas de usuario y asignación de apps a las organizaciones

Cuando los equipos de TI agregan usuarios a Cloud Identity, también especifican a cada usuario como miembro de una organización específica. El equipo de TI asigna las apps adecuadas a organizaciones específicas, como las siguientes:

  • Apps de mensajería, RR.HH. y colaboración a la organización de nivel superior (para que todos las tengan)
  • Administración de relaciones con clientes (CRM) a la organización de ventas
  • App de asistencia al cliente a Asistencia

Asigna las apps adecuadas a UO específicas.

Configuración de la administración avanzada de dispositivos móviles

El equipo de TI activa la administración avanzada: activan la administración de apps para Android para los usuarios de Android y configuran un certificado push de iOS para los usuarios de iOS.

Configurar aprobaciones de dispositivos es opcional, pero la empresa A decide implementarlo. Los usuarios han informado problemas relacionados con las apps empresariales cuando sus dispositivos móviles no ejecutan una versión reciente del sistema operativo. El equipo de TI quiere asegurarse de que todos los dispositivos móviles estén actualizados.

El equipo de TI usa aprobaciones de dispositivos para comprobar las características de los dispositivos, como el modelo o el sistema operativo, a fin de definir qué dispositivos puede usar un empleado. Pueden comprobar características de forma manual, de manera programática con una API o mediante reglas. Las reglas no proporcionan un control tan detallado como la API, pero son más fáciles de implementar. El equipo de TI usa reglas para aprobar solo los dispositivos que ejecutan versiones recientes de los sistemas operativos. Los usuarios deben cumplir los requisitos para acceder a recursos corporativos.

Aplicación de apps de trabajo de la lista blanca

El equipo de TI crea una lista blanca de las apps empresariales que la empresa A quiere que sus empleados usen, como las apps de mensajería, colaboración y reunión. Seleccionan apps de Google Play Store y App Store y las agregan a una lista blanca (una para Android y otra para dispositivos iOS).

La empresa A no solo quiere recomendar apps empresariales a sus usuarios, también quiere que los empleados solo usen apps empresariales aprobadas cuando accedan a los recursos corporativos. El equipo de TI habilita la aplicación de perfiles de trabajo en dispositivos Android. Los usuarios no pueden sincronizar datos corporativos si no aceptan el perfil de trabajo y no pueden rechazar esta función. Si un dispositivo Android sin perfil de trabajo ya está registrado para su administración, se le pedirá que cree el perfil.

El equipo de TI también requiere apps administradas en dispositivos iOS. La administración avanzada de dispositivos móviles detecta cuando hay una versión no administrada de una app en un dispositivo móvil. El usuario debe habilitar la administración para la app a fin de acceder a los recursos corporativos.

Preconfiguración de apps complejas para dispositivos Android

Para evitar las llamadas de asistencia que genera la configuración de VPN, la empresa A decide cambiar a una app de VPN que admita la configuración administrada en dispositivos Android. El equipo de TI planea trabajar con sus proveedores de apps para que las demás apps tengan ajustes que los administradores puedan guardar como opciones de configuración administradas.

Envío de apps aprobadas a dispositivos Android

Para conveniencia de los usuarios, el equipo de TI envía las apps empresariales aprobadas para cada organización a los usuarios de esa organización. Esto también ahorra tiempo de TI, ya que evita las posibles llamadas de asistencia porque los usuarios encuentran y descargan apps.

Notificación a los usuarios

El departamento de TI les informa a los empleados que sus dispositivos móviles están administrados y que verán mensajes para inscribir sus dispositivos en la administración avanzada con sus credenciales de Cloud Identity.

Para inscribirse, los usuarios que tengan dispositivos Android deben instalar la app de Google Apps Device Policy y un perfil de trabajo. Los usuarios con dispositivos iOS deben instalar la app de Google Device Policy y un perfil de política de dispositivo. La app y el perfil verifican que el dispositivo cumpla con las políticas que establece el equipo de TI. Solo los dispositivos inscritos pueden sincronizar datos corporativos.