Mengamankan akses perusahaan di perangkat pribadi

Masalah bisnis

Perusahaan ditantang untuk menyediakan akses yang aman di perangkat pribadi.

Pertumbuhan perangkat seluler telah mengubah cara orang bekerja. Karyawan ingin mengakses aplikasi bisnis dari mana pun mereka berada, baik di tempat kerja tradisional atau dalam perjalanan menuju bandara.

Meskipun perusahaan menyediakan perangkat seluler milik perusahaan, banyak karyawan lebih memilih menggunakan perangkat yang nyaman bagi mereka untuk aktivitas pribadi dan kerja. Biasanya ini adalah perangkat pribadi mereka.

Perusahaan menghadapi tantangan dalam menyediakan lingkungan kerja seluler yang mengakomodasi persyaratan yang tampaknya bertentangan:

Lingkungan yang nyaman dan produktif untuk karyawan
Akses yang aman ke aplikasi bisnis dan data perusahaan

Perusahaan Anda meluncurkan kebijakan baru untuk mengizinkan akses perusahaan di perangkat seluler pribadi. Karyawan hanya dapat mengakses informasi perusahaan melalui aplikasi yang diseleksi dan disetujui.

Solusi

Dengan menggunakan pengelolaan perangkat seluler lanjutan, ada beberapa cara untuk menyediakan aplikasi bisnis yang dibutuhkan karyawan di perangkat pribadi mereka sekaligus menerapkan kebijakan yang menjaga keamanan data perusahaan.

Membuat daftar aplikasi yang diizinkan

Daftar yang diizinkan berisi aplikasi yang diseleksi dan disetujui.

Tujuan pemberian izin aplikasi adalah untuk melindungi resource perusahaan dari aplikasi yang berpotensi membahayakan. Daftar aplikasi yang diizinkan berisi aplikasi yang diseleksi oleh departemen IT dan disetujui untuk penggunaan bisnis.

Dengan menggunakan daftar yang diizinkan untuk aplikasi kerja, Anda dapat mengelola aplikasi kerja di perangkat seluler pribadi dan membiarkan aplikasi pribadi berada di bawah kontrol pengguna. Anda mendistribusikan aplikasi ke pengguna di organisasi atau grup tertentu di Google Grup.

Pilih aplikasi dari Google Play Store terkelola untuk perangkat Android dan Apple App Storeuntuk perangkat iOS, lalu tambahkan aplikasi tersebut ke daftar yang diizinkan. Pengguna akan melihat katalog aplikasi yang diizinkan di perangkat mereka. Jika pengguna menginstal aplikasi yang diizinkan, aplikasi tersebut akan dikelola oleh organisasi Anda. Jika perangkat hilang atau dicuri, Anda dapat menghapus aplikasi yang dikelola dengan menghapus total perangkat dari jarak jauh.

Menerapkan profil kerja di perangkat Android

Profil kerja di perangkat Android memisahkan data kerja dari data pribadi.

Profil kerja di perangkat Android 5.0 atau versi yang lebih tinggi memisahkan pekerjaan dari aplikasi, akun, dan data pribadi. Perusahaan mengelola aplikasi dan data bisnis. Pengguna mengontrol hal lainnya di perangkat. Aplikasi terkelola—aplikasi bisnis yang disetujui di daftar aplikasi Android yang diizinkan—berasal dari Google Play Store terkelola.

Jika pengelolaan aplikasi Android diaktifkan di perangkat Android perusahaan, Anda dapat mengizinkan karyawan untuk ikut serta atau mewajibkan karyawan untuk menggunakan profil kerja. Jika Anda mewajibkan profil kerja dan pengguna mencoba mengakses resource perusahaan dari perangkat tanpa profil kerja, pengguna akan diminta untuk membuatnya.

Wajibkan aplikasi yang dikelola di perangkat iOS

Aplikasi terkelola di perangkat iOS mencegah berbagi file antara aplikasi terkelola dan tidak terkelola.

Saat menambahkan aplikasi ke daftar aplikasi iOS yang diizinkan, Anda dapat menjadikannya sebagai aplikasi terkelola. Menentukan aplikasi sebagai "terkelola" akan memberi perusahaan kontrol lebih besar atas aplikasi terkelola dan datanya di perangkat iOS pribadi. Misalnya, jika pengguna memiliki akun Gmail pribadi dan Anda menetapkan Gmail sebagai aplikasi terkelola, pengguna hanya dapat mengakses email perusahaan mereka melalui versi Gmail terkelola.

Berbagi file antara aplikasi yang dikelola dan tidak dikelola tidak diizinkan. Misalnya, pengguna tidak dapat mencadangkan data dari aplikasi bisnis terkelola ke entitas eksternal seperti iCloud atau iTunes. Jika pengguna membuat PDF di aplikasi bisnis terkelola, mereka tidak dapat membukanya di aplikasi pribadi yang tidak terkelola.

Jika pengguna sudah memiliki versi aplikasi bisnis terkelola yang tidak dikelola di perangkatnya, dia akan mendapatkan notifikasi yang meminta untuk mengizinkan organisasi Anda mengelola aplikasi. Jika tidak menyetujuinya, dia tetap dapat menggunakan aplikasi pribadi yang tidak dikelola, tetapi dia akan kehilangan akses ke akun perusahaan dan ke semua aplikasi terkelola dari perangkat tersebut.

Menyiapkan konfigurasi terkelola di perangkat Android

Sebagian aplikasi Android memiliki setelan yang dapat disimpan sebagai konfigurasi terkelola. Dengan menggunakan konfigurasi terkelola, Anda dapat melakukan prakonfigurasi aplikasi untuk pengguna Anda. Selain itu, Anda dapat membuat beberapa konfigurasi terkelola untuk aplikasi yang sama dan menerapkan konfigurasi yang berbeda ke grup atau organisasi yang berbeda.

Admin dapat dengan mudah men-deploy aplikasi dengan setelan yang rumit, seperti aplikasi VPN. Karyawan tidak perlu mengonfigurasi aplikasi. Tindakan ini akan menghindari panggilan layanan bantuan terkait masalah yang disebabkan oleh kesalahan konfigurasi.

Kirim aplikasi yang disetujui ke perangkat Android secara otomatis

Saat menyiapkan daftar yang diizinkan, Anda dapat memilih untuk menginstal aplikasi bisnis inti secara otomatis di perangkat Android dan menetapkan aplikasi yang sesuai untuk organisasi tertentu. Pengguna dapat mengakses aplikasi yang mereka perlukan tanpa mendownloadnya secara manual dari Google Play.

Rekomendasi

Pengelolaan perangkat seluler lanjutan menawarkan opsi canggih untuk mengamankan akses perusahaan di perangkat seluler pribadi. Anda harus mendaftar ke Cloud Identity Premium untuk mendapatkan pengelolaan perangkat seluler lanjutan.

Sebaiknya buat daftar aplikasi bisnis yang disetujui, terapkan profil kerja di perangkat Android, dan wajibkan aplikasi terkelola di perangkat iOS.

Saat didukung oleh aplikasi, menyiapkan konfigurasi terkelola dan otomatis mengirim aplikasi yang disetujui ke perangkat Android akan sangat menghemat waktu bagi admin dan pengguna. Atribut ini bersifat opsional, tetapi direkomendasikan.

Penyedia pihak ketiga

Penyedia EMM pihak ketiga

Untuk menggunakan fitur pengelolaan perangkat seluler lanjutan dengan Cloud Identity, Google harus menjadi penyedia pengelolaan mobilitas perusahaan (EMM) Anda.

IdP pihak ketiga

Jika memiliki penyedia identitas (IdP) pihak ketiga, Anda tetap dapat menggunakan pengelolaan perangkat seluler lanjutan. Dalam hal ini, sebagian besar autentikasi pengguna terjadi di IdP pihak ketiga (dengan pengecualian pendaftaran perangkat). Pengguna login dengan kredensial IdP pihak ketiga atau menggunakan sandi di akun Cloud Identity miliknya.

Untuk mengelola akses ke aplikasi kerja di perangkat seluler menggunakan pengelolaan perangkat seluler lanjutan:

Membuat akun Cloud Identity untuk pengguna Anda.
Saat mendaftarkan perangkat untuk pengelolaan, pengguna harus memasukkan kredensial Cloud Identity, bukan kredensial IdP pihak ketiga.

Contoh

Perusahaan dapat menggunakan pengelolaan perangkat seluler lanjutan untuk mengamankan data perusahaan di perangkat pribadi.

Perusahaan A memperkirakan bahwa setidaknya 40% dari tenaga kerjanya menggunakan perangkat seluler untuk mengakses sumber daya perusahaan. Mereka memutuskan untuk tidak mewajibkan karyawan menggunakan perangkat yang dimiliki (dan dikontrol) perusahaan. Biayanya mahal, dan karyawan lebih suka menggunakan perangkat pribadi yang biasa mereka gunakan untuk aktivitas pribadi dan kerja.

Untuk mempromosikan lingkungan kerja yang mudah digunakan, Perusahaan A memutuskan untuk mengizinkan karyawan menggunakan perangkat seluler pribadi untuk tujuan kerja. Mereka tidak ingin mengorbankan keamanan perusahaan. Dengan menggunakan pengelolaan perangkat seluler lanjutan, Perusahaan A berencana menerapkan kebijakan seluler yang menjaga keamanan data pribadi dan perusahaan.

Berikut cara Perusahaan A menyiapkan lingkungan selulernya.

Mendaftar ke Cloud Identity Premium

Karena fitur pengelolaan perangkat seluler lanjutan di Pengelolaan Google Seluler hanya tersedia dalam edisi premium Cloud Identity, Perusahaan A mendaftar ke Cloud Identity Premium.

Membuat akun pengguna dan menetapkan aplikasi ke organisasi

Saat IT menambahkan pengguna ke Cloud Identity, mereka juga menentukan setiap pengguna sebagai anggota organisasi tertentu. IT menetapkan aplikasi yang sesuai ke organisasi tertentu, seperti:

Aplikasi pesan, HR, dan kolaborasi untuk organisasi tingkat teratas (agar semua orang mendapatkannya)
Pengelolaan hubungan pelanggan (CRM) dengan organisasi penjualan
Aplikasi dukungan pelanggan ke Dukungan

Tetapkan aplikasi yang sesuai untuk OU tertentu.

Menyiapkan pengelolaan perangkat seluler lanjutan

Tim IT mengaktifkan pengelolaan lanjutan: mereka mengaktifkan pengelolaan aplikasi Android bagi pengguna Android dan menyiapkan push certificate iOS untuk pengguna iOS.

Menyiapkan persetujuan perangkat bersifat opsional, tetapi Perusahaan A memutuskan untuk menerapkannya. Pengguna telah melaporkan masalah pada aplikasi bisnis saat perangkat seluler mereka tidak menjalankan versi sistem operasi terbaru. IT ingin memastikan semua perangkat seluler telah diupdate.

Tim IT menggunakan persetujuan perangkat untuk memeriksa karakteristik perangkat, seperti model atau sistem operasi, guna menentukan perangkat yang dapat digunakan karyawan. Pengujian ini dapat memeriksa karakteristik secara manual, secara terprogram dengan API, atau menggunakan aturan. Aturan tidak memberikan kontrol terperinci seperti API, tetapi lebih mudah di-deploy. IT menggunakan aturan untuk hanya menyetujui perangkat yang menjalankan versi sistem operasi terbaru. Pengguna harus menjaga kepatuhan perangkat mereka untuk mengakses resource perusahaan.

Terapkan aplikasi kerja yang diizinkan

IT membuat daftar aplikasi bisnis yang diizinkan oleh Perusahaan A untuk digunakan karyawannya, seperti aplikasi pesan, kolaborasi, dan konferensi. Dia memilih aplikasi dari Google Play Store dan App Store, lalu menambahkannya ke daftar yang diizinkan (satu untuk Android dan satu untuk perangkat iOS).

Perusahaan A ingin melakukan lebih dari sekadar merekomendasikan aplikasi bisnis kepada penggunanya; mereka ingin mewajibkan karyawan untuk hanya menggunakan aplikasi bisnis yang disetujui saat mengakses sumber daya perusahaan. IT memilih untuk menerapkan profil kerja di perangkat Android. Pengguna tidak dapat menyinkronkan data perusahaan kecuali jika menyetujui profil kerja dan tidak dapat memilih untuk tidak ikut. Jika perangkat Android tanpa profil kerja sudah terdaftar untuk pengelolaan, penggunanya akan diminta untuk membuat profil.

IT juga memerlukan aplikasi terkelola di perangkat iOS. Pengelolaan perangkat seluler lanjutan akan mendeteksi saat ada versi aplikasi yang tidak dikelola di perangkat seluler. Untuk mengakses resource perusahaan, pengguna harus mengaktifkan pengelolaan untuk aplikasi.

Melakukan prakonfigurasi aplikasi yang kompleks untuk perangkat Android

Untuk menghindari panggilan dukungan yang dihasilkan konfigurasi VPN, Perusahaan A memutuskan untuk beralih ke aplikasi VPN yang mendukung konfigurasi terkelola di perangkat Android. IT berencana bekerja sama dengan vendor aplikasinya agar aplikasi lainnya memiliki setelan yang dapat disimpan admin sebagai konfigurasi terkelola.

Menerapkan aplikasi yang disetujui ke perangkat Android

Untuk memudahkan pengguna, IT mengirimkan aplikasi bisnis yang disetujui untuk setiap organisasi kepada pengguna di organisasi tersebut. Hal ini juga menghemat waktu IT dengan menghindari kemungkinan panggilan dukungan saat pengguna menemukan dan mendownload aplikasi.

Beri tahu pengguna

Tim IT memberi tahu karyawan bahwa perangkat seluler mereka telah dikelola, dan mereka akan diminta untuk mendaftarkan perangkat mereka di pengelolaan lanjutan menggunakan kredensial Cloud Identity.

Untuk mendaftar, pengguna yang memiliki perangkat Android menginstal aplikasi Google Apps Device Policy dan profil kerja. Pengguna yang memiliki perangkat iOS menginstal aplikasi Google Device Policy dan profil kebijakan perangkat. Aplikasi dan profil akan memverifikasi bahwa perangkat mematuhi kebijakan yang ditetapkan IT. Hanya perangkat terdaftar yang dapat menyinkronkan data perusahaan.

Informasi terkait

Daftar ke Cloud Identity Premium: Langkah penyiapan untuk Cloud Identity Premium
Membuat akun Cloud Identity: Membuat akun pengguna Cloud Identity
Menentukan aplikasi untuk organisasi: Menyiapkan aplikasi SAML kustom
Mengonfigurasi pengelolaan perangkat seluler lanjutan: Menyiapkan pengelolaan perangkat seluler lanjutan
Siapkan persetujuan perangkat:
- Secara manual: Langkah 2: Siapkan persetujuan perangkat (opsional)
- Secara terprogram: Mobiledevices API
- Menggunakan aturan: Mengotomatiskan tugas pengelolaan seluler dengan aturan
Membuat daftar yang diizinkan:
- Mengelola aplikasi di perangkat iOS
- Mengelola aplikasi di perangkat Android
Menerapkan profil kerja di perangkat Android: Menerapkan setelan untuk perangkat seluler Android
Mewajibkan aplikasi terkelola di perangkat iOS: Mengelola aplikasi di perangkat iOS
Melakukan prakonfigurasi aplikasi Android: Mengelola aplikasi di perangkat Android
Mengirim aplikasi secara otomatis ke perangkat Android: Mengelola aplikasi di perangkat Android