Am 31. Mai gab es im Bereich Device Management für Android eine große Änderung. Android Enterprise wird zur Pflicht für die Verwaltung von Geräten ab der Android Version 10. Manche „Legacy Device Admin“ APIs verlieren ab Android 10 ihre Funktion.
Android Enterprise wurde mit Version 5.0 als optionale Komponente in das Android Betriebssystem integriert. Hersteller konnten selbst entscheiden, welche Schnittstellen sie nutzen. Mit Version Android 6.0 Marshmallow wurde Android Enterprise für GMS Zertifizierte Geräte Pflicht.
Das große Problem mit den „Legacy Device Admin“ Schnittstellen war, dass jeder Hersteller seine Mobile Verwaltung zum Teil selbst gestalten konnte. Schnittstellen wurden teilweise spät oder gar nicht im Betriebssystem gepflegt.
Samsung konnte mit KNOX seine eigene Management Schnittstelle etablieren und wurde in großen Teilen als einziges Android Smartphone gesehen, dass vernünftig zu verwalten war. Mit KNOX wurde das Enrollment von Android Geräten für alle Samsung Modelle vereinheitlicht und durch die KNOX Schnittstelle abgesichert. So konnte ähnlich wie beim Apple DEP Programm, Samsung vorher konfigurieren, welche Geräte automatisch registriert werden. Zusätzlich wurden mit KNOX über den herkömmlichen Schnittstellen zusätzliche Sicherheitsmechanismen, wie der Hardware-Sicherung eingefügt, die anderen Hersteller nicht anbieten konnten. Nähere Infos sind in den Knox Whitepapers zu finden.
Mit Android Enterprise sollen die Unterschiede ab Version 10 Geschichte sein. Google vereinheitlicht mit den neuen Enrollment Profilen und den Management Schnittstellen die Verwaltung und Handhabung von Android Geräten.
Für die Administration von Android Enterprise ändert sich einiges. Bevor ein Gerät am MDM System registriert werden kann, wird zunächst ein Android Enterprise Account benötigt. Anleitungen dazu werden von jeweiligen Herstellern sowie von Google bereitgestellt.
Android Enterprise kann in verschiedenen Betriebsmodellen genutzt werden:
Bring your own device (BYOD):
Im BYOD Enrollment können vom Benutzer Applikationen aus dem jeweiligen EMM System installiert werden. Diese werden auf dem Android Gerät in einem separaten Container installiert. Somit wird gewährleistet, dass ein Zugriff auf Unternehmensdaten nicht von privaten Apps aus möglich ist. Kontakte und Anhänge aus Unternehmensmails sind dann z. B. nur mit anderen Applikationen vom Unternehmen nutzbar.
Dieser ist auch vergleichbar mit einem MAM Enrollment. Der Unterschied zum Legacy Device Administration ist, dass Anwendungen in einem separaten Profil installiert werden. In diesem Profil befindet sich ein eigener App Store sowie ein eigenes Telefonbuch. So wird eine Trennung zwischen Unternehmensdaten und restlichem Smartphone gewährleistet.
Corporate Owned, Personally Enabled (COPE):
Der neue COPE Mode ist von der Bedienung für den Nutzer gleich wie der BYOD Modus. Apps erscheinen in einem separaten Profil. Das Smartphone kann weiterhin auch für Private Apps genutzt werden.
Das Unternehmen hat im Vergleich zum BYOD Mode jedoch Zugriff auf die gesamten Smartphone Konfigurationen. Somit können alle Sicherheitsrelevanten Einstellungen administriert werden, der Nutzer hat aber auch seinen „privaten“ Bereich, der vom Unternehmen nicht eingesehen werden kann. Hierzu zählen alle Apps und auch Inhalte außerhalb des „Arbeitsprofils“.
Company Owned/Business Only (COBO):
Der COBO Mode unterscheidet sich am stärksten zu den bisherigen Möglichkeiten. In diesem Modus ist eine private Nutzung des Smartphones nicht mehr möglich. Der Administrator muss jede App berechtigen, die im Play Store zur Verfügung steht. Es gibt keinen separaten Bereich für Unternehmens Applikationen.
Zusätzlich bietet diese Enrollment Methode die Möglichkeit, den Kiosk Mode zu nutzen. Hier kann z.B. eine Applikation ausgewählt werden, die am Smartphone nutzbar ist. Alle anderen Zugriffe werden beschränkt.
Was müssen Administratoren zu den Neuerungen wissen?
Vorweg, Android 10 Geräte sind weiterhin nutzbar. Unternehmen mit Corporate Phones sollten jedoch beachten, dass nicht mehr alle Funktionen zur Verfügung stehen. Eine Liste ist hier zu finden.
Um Android Enterprise nutzen zu können, ist ein Account notwendig. Dieser Account wird mit dem jeweiligen EMM Produkt verbunden. Nun steht ein bisschen Arbeit an. Administratoren müssen alle Geräterichtlinien und Apps für Android Enterprise neu zur Verfügung stellen. Da sich die API-Schnittstellen geändert haben, ist eine Nutzung der „Legacy Device Administration“ Richtlinien und Apps nicht möglich.
Nach der Vorbereitung der Richtlinien und Apps wird entschieden, welche Enrollment Methode für das Unternehmen genutzt wird. Benutzer haben im laufenden Betrieb keine Einschränkungen, alte Einstellungen und Apps sollten bis zur abgeschlossenen Migration erhalten bleiben.
Was bedeutet die Neuerung für die Anwender?
Um Geräte von „Legacy Device Administration“ auf Android Enteprise zu bekommen ist ein Re-Enrollment oder sogar ein zurücksetzen des Geräts notwendig.
Für die Enrollment Methoden BYOD und COPE reicht es aus, das Gerät aus der aktuellen EMM zu löschen und neu zu registrieren. Sobald der Administrator Android Enterprise im EMM System aktiviert, ist kein Enrollment mit „Legacy Device Administration“ mehr möglich.
Für die Enrollment Methode COBO ist es notwendig, das Gerät auf Werksteinstellungen zurückzusetzen. Da hier die private Nutzung komplett untersagt wird, wird das Gerät mit Android Enterprise verschlüsselt und abgesichert.
Wie unterstützen wir unsere Kunden in diesen Szenarien?
Das ReEnrollment der Geräte ist immer noch ein manueller Prozess, dafür gibt es drei mögliche Szenarien: entweder sammelt man also die Geräte ein und führt das ReEnrollment in der IT durch oder man bittet die Mitarbeiter an einen Service Point und führt die notwendigen Schritte zusammen mit dem Mitarbeiter durch oder aber man bietet dem Mitarbeiter einen Self-Service.
Aus diesem Grund haben wir das Provectus User Self-Re/Enrollment Portal entwickelt, um die IT und vor allem den Field Service und den IT Helpdesk zu entlasten. Das Portal bietet eine Schritt-für-Schritt Anleitung für alle notwendigen Maßnahmen, um das Gerät aus dem aktuellen Enrollment zu entfernen und in das zukünftige auszurollen.
Das Portal bietet dabei nicht nur eine Anleitung, sondern durch die Anbindung des jeweiligen EMM mittels der vorhandenen API auch die Möglichkeit zur Steuerung und Überwachung des Prozesses. So können dediziert Abteilungen oder Benutzergruppen zum ReEnrollment aufgefordert, der Prozess überwacht und nach erfolgreichem Abschluss die nächste Gruppe benachrichtigt werden. Darüber hinaus besteht die Möglichkeit weitere Abhängigkeiten durch andere Projekte mit einzubeziehen.
von Ertan
Bilder: kitzcorner, ProStockStudio | shutterstock.com
