安卓

Android 是由谷歌开发和发布的移动操作系统，用于各种手持设备，如智能手机、平板电脑和可穿戴设备。

虽然本指南可能与 一系列不同的 Android 版本相关，但它最后在运行 Android 10 的设备上进行了测试，并在工作管理模式下进行了配置。

一般建议

• 决定您的组织将使用哪些 Android 设备。Android 设备通常会在首次发布后最多 3 年接收软件更新。一旦设备不再受支持并被视为过时，它将不再接收安全更新。此时，您应该购买较新的设备。请注意，更新时间表取决于设备制造商 - Google 提供了Pixel 和 Nexus 设备的支持终止日期列表。其他非 Google 设备需要与每个制造商核实。

• 设备应由您的组织管理，以便您可以最大程度地控制在您的设备上实施哪些策略

• 管理后，应使用移动设备管理服务控制 Android 设备，以实施技术控制

• 根据您在 IT资产中配置的设备，您应该使用支持OEMConfig的企业移动管理 (EMM) 。此标准由 Google 引入，旨在使原始设备制造商 (OEM) 能够开发可提供额外设备特定配置的应用程序。这些应用程序发布在 Google Play 商店中，使 IT 管理员能够通过他们的 EMM 控制台访问这些策略。

• 配置MDM的日志记录和监控功能

• 使用我们推荐的网络架构之一，以实现对企业服务的远程访问

• 如果需要虚拟专用网络 (VPN)，则应使用第三方应用

• 应将用于工作的第三方应用程序（“托管应用程序”）集中批准到企业应用程序目录中。在设置过程中自动安装它们，或者在托管的 Google Play 商店中提供它们

• 考虑您在用户设备上启用企业拥有的 Google 帐户的方法，使用设备上的策略来管理特定的 Google 功能

• 不建议使用杀毒软件和其他安全软件。

工作申请

大多数组织都希望为其用户提供一系列生产力和业务应用程序，以便他们可以远程使用、创建和协作。我们建议尽可能使用内置应用程序或集成到您的公司服务中的应用程序，因为它们提供了更高的可信度和安全性，因为您通常可以在其供应链和可以应用的技术控制方面获得更大的保证。

如果您将第三方应用程序用于工作，则应使用通过 MDM 交付的、用户可以随意选择安装的已批准应用程序的企业应用程序目录。以这种方式部署的应用程序将是“托管”应用程序，并且可以访问工作数据。批准高权限应用程序到您的企业目录时应谨慎，例如第三方键盘应用程序和网络扩展，因为这些类型的应用程序可能能够访问大量工作数据，因此会给您的组织带来更高的风险.

如果将 Android 设备配置为单独的工作设备，则组织的私有 Google App Store 将仅提供允许安装列表中的应用程序。但是，在 Work-Personal 配置中，通过公共 Google Play 商店安装的应用程序将是“不受管理的”，并且无法访问相同的数据。有关此方法和上述风险的更多信息，请参阅我们的第三方应用程序指南。

设备配置

一旦您选择了您的 MDM 服务、架构和应用程序方法，您就应该开发一个设备配置，您可以应用该配置来实施您的技术控制。

特别是，您应该包括管理以下各项的策略：

• 外部接口，包括有线和无线外围设备（例如，在设备锁定时禁用 USB 附件）

• 在使用生物识别技术，以及通关密码和认证策略

• 您要允许的Google Cloud 服务

• 设备操作系统和应用程序更新，包括自动更新

• 配置您的设备密码策略以符合您组织的身份验证策略