Proteggere l'accesso aziendale sui dispositivi personali

Problema aziendale

Le aziende sono chiamate a garantire un accesso sicuro sui dispositivi personali.

La proliferazione dei dispositivi mobili ha cambiato il modo di lavorare delle persone. I dipendenti vogliono accedere alle app aziendali ovunque si trovino, nel luogo di lavoro tradizionale o mentre vanno in aeroporto.

Anche quando le aziende forniscono dispositivi mobili di proprietà dell'azienda, molti dipendenti preferiscono utilizzare il dispositivo con cui hanno dimestichezza sia per le attività personali che per quelle di lavoro. Di solito si tratta del suo dispositivo personale.

Le aziende devono affrontare una sfida nel fornire un ambiente di lavoro mobile che soddisfi requisiti apparentemente contrastanti:

  • Un ambiente confortevole e produttivo per i dipendenti
  • Accesso sicuro alle app e ai dati aziendali

La tua azienda sta implementando un nuovo criterio per consentire l'accesso aziendale sui dispositivi mobili personali. I dipendenti possono accedere alle informazioni aziendali solo tramite app selezionate e approvate.

Soluzioni

Utilizzando la gestione avanzata dei dispositivi mobili, esistono diversi modi per fornire le app aziendali di cui i dipendenti hanno bisogno sui loro dispositivi personali e allo stesso tempo implementare criteri che mantengono al sicuro i dati aziendali.

Creare una lista consentita di app approvate

Una lista consentita contiene app selezionate e approvate.

L'obiettivo dell'inserimento in una lista consentita delle app è proteggere le risorse aziendali da app potenzialmente dannose. Una lista consentita di app contiene app selezionate da un reparto IT e approvate per l'uso aziendale.

Con le liste consentite per le app di lavoro, puoi gestire le app di lavoro sui dispositivi mobili personali e lasciare che le app personali siano sotto il controllo degli utenti. Puoi distribuire app agli utenti di un'organizzazione o un gruppo specifico di Google Gruppi.

Seleziona le app dalla versione gestita di Google Play Store per dispositivi Android e dall'Apple App Store per i dispositivi iOS e aggiungile a una lista consentita. Gli utenti vedono un catalogo di app autorizzate sui propri dispositivi. Quando un utente installa un'app autorizzata, l'app viene gestita dalla tua organizzazione. In caso di smarrimento o furto del dispositivo, puoi rimuovere le app gestite cancellando in remoto i dati del dispositivo.

Applicare i profili di lavoro sui dispositivi Android

I profili di lavoro sui dispositivi Android separano i dati di lavoro da quelli personali.

I profili di lavoro sui dispositivi personali Android 5.0 o versioni successive separano il lavoro da app, account e dati personali. L'azienda gestisce le app e i dati aziendali. Gli utenti controllano tutto il resto sul dispositivo. Le app gestite, ovvero le app aziendali approvate nella lista consentita delle app Android, provengono dalla versione gestita del Google Play Store.

Se attivi la gestione delle app Android sui dispositivi Android della tua azienda, puoi consentire al dipendente di attivare la funzionalità oppure puoi richiedere che i dipendenti utilizzino i profili di lavoro. Quando richiedi profili di lavoro e un utente tenta di accedere alle risorse aziendali da un dispositivo privo di profilo di lavoro, riceve una richiesta di creazione di un profilo.

Richiedi app gestite su dispositivi iOS

Le app gestite sui dispositivi iOS impediscono la condivisione di file tra app gestite e non gestite.

Quando aggiungi un'app alla lista consentita delle app per iOS, puoi impostarla come app gestita. Specificare un'app come "gestita" offre all'azienda un maggiore controllo sull'app gestita e sui suoi dati sui dispositivi iOS personali. Ad esempio, se gli utenti hanno un account Gmail personale e specifichi Gmail come app gestita, gli utenti possono accedere alla propria email aziendale solo attraverso la versione gestita di Gmail.

La condivisione di file tra app gestite e non gestite non è consentita. Ad esempio, gli utenti non possono eseguire il backup dei dati di un'app aziendale gestita su un'entità esterna come iCloud o iTunes. Se un utente crea un PDF in un'app aziendale gestita, non può aprirlo in un'app personale non gestita.

Se un utente ha già una versione non gestita di un'app aziendale gestita sul proprio dispositivo, riceve una notifica che chiede di consentire alla tua organizzazione di gestire l'app. Se non accetta, può comunque utilizzare la sua app personale non gestita, ma perderà l'accesso al proprio account aziendale e a tutte le app gestite da quel dispositivo.

Impostare le configurazioni gestite sui dispositivi Android

Le impostazioni di alcune app Android possono essere salvate come configurazioni gestite. Tramite le configurazioni gestite puoi preconfigurare le app per gli utenti. Inoltre, puoi creare più configurazioni gestite per la stessa app e applicare configurazioni diverse a organizzazioni o gruppi diversi.

Gli amministratori possono eseguire facilmente il deployment delle app con impostazioni complesse, ad esempio le app VPN. I dipendenti non devono configurare le app. In questo modo si evitano chiamate all'help desk per problemi causati da una configurazione errata.

Inviare automaticamente le app approvate ai dispositivi Android

Quando imposti una lista consentita, puoi scegliere di installare automaticamente le app aziendali principali sui dispositivi Android e assegnare le app appropriate a organizzazioni specifiche. Gli utenti hanno a disposizione le app di cui hanno bisogno senza scaricarle manualmente da Google Play.

Suggerimenti

La gestione avanzata dei dispositivi mobili offre opzioni efficaci per proteggere l'accesso aziendale sui dispositivi mobili personali. Per usufruire della gestione avanzata dei dispositivi mobili, devi registrarti a Cloud Identity Premium.

Ti consigliamo di creare whitelist di app aziendali approvate, applicare profili di lavoro sui dispositivi Android e richiedere app gestite sui dispositivi iOS.

Se supportata da un'app, la configurazione di configurazioni gestite e il push automatico delle app approvate ai dispositivi Android fanno risparmiare molto tempo sia agli amministratori sia agli utenti. Sono facoltativi, ma consigliati.

Provider di terze parti

Provider EMM di terze parti

Per utilizzare le funzionalità di gestione avanzata dei dispositivi mobili con Cloud Identity, Google deve essere il tuo provider per la gestione della mobilità aziendale (EMM).

IdP di terze parti

Se hai un provider di identità (IdP) di terze parti, puoi comunque utilizzare la gestione avanzata dei dispositivi mobili. In questo caso, la maggior parte dell'autenticazione degli utenti avviene nell'IdP di terze parti (l'eccezione è la registrazione del dispositivo). Gli utenti accedono con le credenziali dell'IdP di terze parti o utilizzando una password nei propri account Cloud Identity.

Per gestire l'accesso alle app di lavoro sui dispositivi mobili utilizzando la gestione dei dispositivi mobili avanzata:

  • Crea gli account Cloud Identity per gli utenti.
  • Quando gli utenti registrano i propri dispositivi per la gestione, devono inserire le credenziali di Cloud Identity, non le credenziali dell'IdP di terze parti.

Esempio

Le aziende possono utilizzare la gestione avanzata dei dispositivi mobili per proteggere i dati aziendali sui dispositivi personali.

L'Azienda A stima che almeno il 40% della sua forza lavoro utilizzi dispositivi mobili per accedere alle risorse aziendali. L'azienda decide di non richiedere ai dipendenti di utilizzare dispositivi di proprietà dell'azienda (e controllati). È costoso e i dipendenti preferiscono utilizzare i loro dispositivi personali familiari sia per le attività personali che per quelle lavorative.

Per promuovere un ambiente di lavoro facile da usare, l'Azienda A decide di consentire ai dipendenti di utilizzare dispositivi mobili personali per scopi di lavoro. Non vogliono sacrificare la sicurezza aziendale. Utilizzando la gestione avanzata dei dispositivi mobili, l'Azienda A prevede di implementare una norma relativa ai dispositivi mobili che mantenga i dati personali e aziendali al sicuro.

Ecco come Azienda A configura il suo ambiente mobile.

Registrarsi a Cloud Identity Premium

Poiché le funzionalità avanzate di gestione dei dispositivi mobili di Gestione dispositivi mobili Google sono disponibili solo nella versione premium di Cloud Identity, l'Azienda A si registra a Cloud Identity Premium.

Creare account utente e assegnare app alle organizzazioni

Quando il reparto IT aggiunge utenti a Cloud Identity, specifica anche ciascun utente come membro di un'organizzazione specifica. Il reparto IT assegna le app appropriate a organizzazioni specifiche, ad esempio:

  • App di messaggistica, RU e collaborazione all'organizzazione di primo livello (in modo che siano accessibili a tutti)
  • Gestione dei rapporti con i clienti (CRM) all'organizzazione di vendita
  • L'app di assistenza clienti all'Assistenza

Assegna le app appropriate a UO specifiche.

Configurare la gestione avanzata dei dispositivi mobili

Il reparto IT attiva la gestione avanzata: attiva la gestione delle app Android per gli utenti Android e configura un certificato per le notifiche push per iOS per gli utenti iOS.

L'impostazione delle approvazioni dei dispositivi è facoltativa, ma l'Azienda A decide di implementarla. Gli utenti hanno segnalato problemi con le app aziendali quando sui loro dispositivi mobili non è installata una versione recente del sistema operativo. L'IT vuole assicurarsi che tutti i dispositivi mobili siano aggiornati.

Il reparto IT usa le approvazioni dei dispositivi per verificarne le caratteristiche, come il modello o il sistema operativo, per stabilire quali dispositivi possono essere utilizzati da un dipendente. Possono controllare le caratteristiche manualmente, in modo programmatico con un'API o utilizzando le regole. Le regole non offrono un controllo granulare quanto l'API, ma sono più facili da implementare. Il reparto IT utilizza le regole per approvare solo i dispositivi che eseguono versioni recenti dei sistemi operativi. Per poter accedere alle risorse aziendali, gli utenti devono mantenere i propri dispositivi conformi.

Applicare le app di lavoro autorizzate

Il reparto IT crea liste consentite di app aziendali che l'azienda A vuole che i propri dipendenti utilizzino, ad esempio app di messaggistica, collaborazione e conferenza. selezionano le app dal Google Play Store e dall'App Store e le aggiungono a una lista consentita (una per Android e un'altra per i dispositivi iOS).

L'azienda A vuole fare di più che consigliare app aziendali ai propri utenti: vuole richiedere ai dipendenti di utilizzare solo app aziendali approvate quando accedono alle risorse aziendali. Il reparto IT attiva l'applicazione forzata dei profili di lavoro sui dispositivi Android. Gli utenti non possono sincronizzare i dati aziendali a meno che non accettino il profilo di lavoro e non possano disattivare la sincronizzazione. Se un dispositivo Android senza profilo di lavoro è già registrato per la gestione, all'utente verrà chiesto di crearlo.

Il reparto IT richiede anche le app gestite sui dispositivi iOS. La gestione avanzata dei dispositivi mobili rileva quando è presente una versione non gestita di un'app su un dispositivo mobile. Per accedere alle risorse aziendali, l'utente deve abilitare la gestione dell'app.

Preconfigura le app complesse per i dispositivi Android

Per evitare le chiamate di assistenza generate dalla configurazione VPN, l'Azienda A decide di passare a un'app VPN che supporta la configurazione gestita sui dispositivi Android. L'IT ha in programma di collaborare con i fornitori di app in modo che le altre app abbiano impostazioni che gli amministratori possono salvare come configurazioni gestite.

Inviare app approvate ai dispositivi Android

Per praticità degli utenti, il reparto IT esegue il push delle app aziendali approvate per ogni organizzazione. Ciò consente anche al personale IT di risparmiare tempo evitando potenziali chiamate di assistenza man mano che gli utenti trovano e scaricano app.

Notifica utenti

L'IT informa i dipendenti che i loro dispositivi mobili sono gestiti e riceveranno delle richieste per registrare i dispositivi alla gestione avanzata utilizzando le loro credenziali Cloud Identity.

Per la registrazione, gli utenti che hanno dispositivi Android installano l'app Google Apps Device Policy e un profilo di lavoro. Gli utenti con dispositivi iOS installano l'app Google Device Policy e un profilo Device Policy. L'app e il profilo verificano che il dispositivo rispetti le norme stabilite dal reparto IT. Solo i dispositivi registrati possono sincronizzare i dati aziendali.