Proteger o acesso corporativo em dispositivos pessoais

Apresentação do problema empresarial

As empresas são desafiadas a oferecer acesso seguro a dispositivos pessoais.

A proliferação de dispositivos móveis mudou a forma como as pessoas trabalham. Os funcionários querem acessar apps empresariais em qualquer lugar, seja em um ambiente de trabalho tradicional ou a caminho do aeroporto.

Mesmo quando as empresas oferecem dispositivos móveis de propriedade da empresa, muitos funcionários preferem usar o dispositivo com o qual estão acostumados nas atividades pessoais e de trabalho. Geralmente, esse é o dispositivo pessoal.

As empresas enfrentam um desafio ao fornecer um ambiente de trabalho móvel que atenda a estes requisitos aparentemente conflitantes:

  • Um ambiente confortável e produtivo para os funcionários
  • Acesso seguro a apps e dados corporativos

Sua empresa está implementando uma nova política para permitir o acesso corporativo em dispositivos móveis pessoais. Os funcionários só podem acessar informações corporativas por meio de apps selecionados e aprovados.

Soluções

Com o gerenciamento avançado de dispositivos móveis, há várias formas de oferecer os apps de negócios que os funcionários precisam nos dispositivos pessoais e implementar políticas que mantêm os dados corporativos seguros.

Criar uma lista de apps autorizados

Uma lista de permissões com apps selecionados e aprovados.

O objetivo da lista de apps permitidos é proteger os recursos corporativos contra apps potencialmente nocivos. Essa lista contém apps selecionados por um departamento de TI e aprovados para uso comercial.

Com listas de apps de trabalho permitidos, você pode gerenciar apps de trabalho em dispositivos móveis pessoais e deixar os apps pessoais sob o controle do usuário. Você distribui apps para os usuários de uma organização ou grupo específico no Grupos do Google.

Selecione apps da Google Play Store gerenciada para dispositivos Android e da Apple App Store para dispositivos iOS e adicione-os a uma lista de permissões. Os usuários verão um catálogo de apps permitidos nos dispositivos. Quando um usuário instala um app autorizado, ele é gerenciado pela organização. Se um dispositivo for perdido ou roubado, você poderá remover permanentemente os apps gerenciados apagando remotamente o dispositivo.

Aplicar perfis de trabalho em dispositivos Android

Perfis de trabalho em dispositivos Android separam dados de trabalho dos dados pessoais.

Perfis de trabalho em dispositivos com o Android 5.0 ou superior separam dados profissionais de dados pessoais, de apps e de contas. A empresa gerencia os apps e os dados profissionais. Os usuários controlam todo o restante do dispositivo. Os apps gerenciados (os apps empresariais da lista de permissões de apps para Android) são provenientes da Google Play Store gerenciada.

Ao ativar o gerenciamento de apps para Android nos dispositivos Android da empresa, você pode permitir que o funcionário aceite ou exigir que os funcionários usem perfis de trabalho. Quando você exige perfis de trabalho e um usuário tenta acessar recursos corporativos em um dispositivo sem um perfil de trabalho, o usuário recebe uma solicitação para criar um.

Exigir apps gerenciados em dispositivos iOS

Os apps gerenciados em dispositivos iOS impedem o compartilhamento de arquivos entre apps gerenciados e não gerenciados.

Quando você adiciona um app à lista de apps permitidos para iOS, é possível torná-lo um app gerenciado. A especificação de um app como "gerenciado" oferece à empresa mais controle sobre esse app e os dados dele em dispositivos iOS pessoais. Por exemplo, se os usuários tiverem uma conta pessoal do Gmail e você especificar o Gmail como um app gerenciado, os usuários só poderão acessar o e-mail corporativo usando a versão gerenciada do Gmail.

Não é permitido compartilhar arquivos entre apps gerenciados e não gerenciados. Por exemplo, os usuários não podem fazer backup de dados de um app de negócios gerenciado para uma entidade externa, como o iCloud ou o iTunes. Se um usuário criar um PDF em um app empresarial gerenciado, ele não poderá abri-lo em um app pessoal não gerenciado.

Se um usuário já tiver uma versão não gerenciada de um app empresarial gerenciado no dispositivo, ele receberá uma notificação pedindo permissão para que sua organização gerencie o app. Se ele não aceitar, ainda poderá usar o app pessoal não gerenciado, mas perderá o acesso à conta corporativa e a todos os apps gerenciados no dispositivo.

Definir configurações gerenciadas nos dispositivos Android

Alguns apps para Android têm configurações que você pode salvar como gerenciadas. Usando as configurações gerenciadas, é possível pré-configurar apps para seus usuários. Além disso, é possível criar várias configurações gerenciadas do mesmo app e aplicar diferentes configurações a grupos ou organizações distintos.

Os administradores podem implantar facilmente apps com configurações complexas, como apps de VPN. Os funcionários não precisam configurar os apps. Isso evita chamadas na central de atendimento para problemas causados por configuração incorreta.

Enviar automaticamente apps aprovados para dispositivos Android

Ao configurar uma lista de permissões, é possível optar por instalar automaticamente os principais apps empresariais em dispositivos Android e atribuir os apps apropriados a organizações específicas. Os usuários têm os apps de que precisam sem fazer o download manual no Google Play.

Recomendações

O gerenciamento avançado de dispositivos móveis oferece opções avançadas para proteger o acesso corporativo em dispositivos pessoais. Você precisará se inscrever no Cloud Identity Premium para acessar o gerenciamento avançado de dispositivos móveis.

Recomendamos a criação de listas de permissões de apps empresariais aprovados, a aplicação de perfis de trabalho em dispositivos Android e exigir apps gerenciados em dispositivos iOS.

Quando um app é compatível, definir configurações gerenciadas e enviar automaticamente apps aprovados para dispositivos Android economiza bastante tempo para administradores e usuários. São opcionais, mas recomendados.

Provedores de terceiros

Provedores de EMM de terceiros

Para usar os recursos do gerenciamento avançado de dispositivos móveis com o Cloud Identity, o Google precisa ser seu provedor de gerenciamento de mobilidade empresarial (EMM).

Provedores de identidade de terceiros

Se você tiver um provedor de identidade de terceiros (IdP, na sigla em inglês), ainda poderá usar o gerenciamento avançado de dispositivos móveis. Nesse caso, a maior parte da autenticação do usuário ocorre no IdP de terceiros (a exceção é a inscrição do dispositivo). Os usuários fazem login com as credenciais do IdP de terceiros ou usam uma senha nas contas do Cloud Identity.

Para gerenciar o acesso aos apps de trabalho em dispositivos móveis com o gerenciamento avançado de dispositivos móveis:

  • Criar contas do Cloud Identity para seus usuários.
  • Quando os usuários inscrevem os dispositivos no gerenciamento, eles precisam digitar as credenciais do Cloud Identity, não as do IdP de terceiros.

Exemplo

As empresas podem usar o gerenciamento avançado de dispositivos móveis para proteger dados corporativos em dispositivos pessoais.

A Empresa A estima que pelo menos 40% dos funcionários usa dispositivos móveis para acessar recursos corporativos. Eles decidem não exigir que os funcionários usem dispositivos de propriedade da empresa e controlados. É caro, e os funcionários preferem usar dispositivos pessoais para atividades pessoais e profissionais.

Para promover um ambiente de trabalho fácil de usar, a Empresa A decide permitir que os funcionários usem dispositivos móveis pessoais para fins comerciais. Eles não querem sacrificar a segurança corporativa. Ao usar o gerenciamento avançado de dispositivos móveis, a Empresa A pretende implementar uma política de dispositivos móveis que mantém os dados pessoais e corporativos seguros.

Veja como a Empresa A configura o ambiente móvel.

Inscrever-se no Cloud Identity Premium

Como os recursos avançados do gerenciamento de dispositivos móveis do Google móveis só estão disponíveis na edição premium do Cloud Identity, a Empresa A se inscreve no Cloud Identity Premium.

Criar contas de usuário e atribuir apps a organizações

Quando o departamento de TI adiciona usuários ao Cloud Identity, ele também especifica cada usuário como membro de uma organização específica. O TI atribui os apps apropriados a organizações específicas, como:

  • apps de mensagens, RH e colaborativos para a organização de nível superior (para que todos os recebam);
  • Gestão de relacionamento com o cliente (CRM, na sigla em inglês) para a organização de vendas;
  • aplicativo de suporte ao cliente para o respectivo departamento.

Atribuir apps apropriados a unidades organizacionais específicas.

Configurar o gerenciamento avançado de dispositivos móveis

A equipe de TI ativa o gerenciamento avançado: ativa o gerenciamento de apps para usuários desse sistema e configura um certificado push para esses usuários.

A configuração de aprovações de dispositivos é opcional, mas a Empresa A decide implementá-la. Os usuários relataram problemas com apps empresariais quando os dispositivos móveis não estão executando uma versão recente do sistema operacional. O TI quer garantir que todos os dispositivos móveis estejam atualizados.

Portanto, eles usam aprovações de dispositivos para verificar características de dispositivos, como modelo ou sistema operacional, a fim de definir quais dispositivos um funcionário pode usar. Elas podem verificar características manualmente, programaticamente com uma API ou usando regras. As regras não fornecem tantos controles granulares quanto a API, mas elas são mais fáceis de implantar. Então, o departamento de TI usa regras para aprovar somente os dispositivos que executam versões recentes de sistemas operacionais. Os usuários precisam manter os dispositivos em conformidade com os recursos corporativos.

Exigir apps de trabalho autorizados

O departamento de TI cria listas de permissões de apps empresariais que a Empresa A quer que os funcionários usem, como apps de mensagens, colaboração e videoconferência. Eles selecionam apps da Google Play Store e da App Store e os adicionam a uma lista de permissões (uma para Android e uma para dispositivos iOS).

A Empresa A quer fazer mais do que recomendar apps de negócios para os usuários. Eles querem exigir que os funcionários usem apenas apps empresariais aprovados ao acessar recursos corporativos. O TI opta por exigir perfis de trabalho em dispositivos Android. Os usuários só podem sincronizar dados corporativos se aceitarem o perfil de trabalho e não poderão desativá-lo. Se um dispositivo Android sem um perfil de trabalho já estiver registrado ser gerenciado, o usuário será solicitado a criar o perfil.

O TI também exige apps gerenciados em dispositivos iOS. O gerenciamento avançado de dispositivos móveis detecta quando há uma versão não gerenciada de um app nesse dispositivo. Para acessar os recursos corporativos, o usuário precisa ativar o gerenciamento do app.

Pré-configurar apps complexos para dispositivos Android

Para evitar as chamadas de suporte geradas pela configuração de VPN, a Empresa A decide migrar para um app de VPN compatível com a configuração gerenciada nos dispositivos Android. O departamento de TI planeja trabalhar com os fornecedores de apps para que os outros apps tenham configurações que os administradores possam salvar como configurações gerenciadas.

Enviar apps aprovados para dispositivos Android

Para facilitar a vida dos usuários, o departamento de TI envia os apps empresariais aprovados de cada organização para os usuários dela. Isso também economiza tempo do TI ao evitar possíveis chamadas de suporte, à medida que os usuários encontram e fazem o download de apps.

Notificar usuários

A equipe de TI informa aos funcionários que os dispositivos móveis são gerenciados e recebe solicitações para registrar os dispositivos no gerenciamento avançado usando as credenciais do Cloud Identity.

Para inscrever-se, os usuários com dispositivos Android instalam o app Google Apps Device Policy e um perfil de trabalho. Os usuários com dispositivos iOS instalam o app Google Device Policy e um perfil do Device Policy. O app e o perfil verificam se o dispositivo está em conformidade com as políticas definidas pelo TI. Somente dispositivos inscritos podem sincronizar dados corporativos.