In september heeft Microsoft aangekondigd dat volledig beheerde Android Enterprise-apparaten officieel ondersteund worden door Microsoft Intune. Waarom is dit goed nieuws en wanneer is het verstandig om te overwegen deze techniek ook te gebruiken? Je ontdekt het in dit blog.
Ondersteuning voor Device Administration API uitgefaseerd
Veel bedrijven en organisaties gebruiken nu nog de Device Administration API als “traditionele” methode van beheer van Android-apparaten. Deze bestaat al sinds Android 2.2 (mei 2010) en wordt nu voor meer scenario’s gebruikt dan deze oorspronkelijk bedoeld was. Daarom wordt deze functionaliteit nu uitgefaseerd. Android 9.0 is de laatste versie van Android waarin de API nog gebruikt kan worden, echter is Android 10.0 (die deze manier van beheren niet meer ondersteund), in september uitgebracht. Gelukkig is er nu een goed alternatief.
Impact
Als bedrijven nu nog gebruik maken het beheren van Android apparaten op deze manier, dan kunnen deze apparaten niet meer volledig beheerd worden zodra een medewerker zijn apparaat upgrade naar Android 10. Hierdoor kunnen beleidsinstellingen mogelijk niet meer geforceerd en/of geverifieerd worden, waardoor het apparaat potentieel niet meer aan het (beveilings)beleid kan voldoen en/of instellingen niet meer (op de juiste manier) worden doorgevoerd op het apparaat (zoals encryptie-instellingen, een Wifi-netwerk, certificaat of VPN instelling).
Alternatieven voor Device Administration API
Er zijn alternatieven beschikbaar om toch het apparaat en/of de apps op het apparaat te beheren.
- Intune App Protection policies (APP policies), ook bekend als Mobile Application Management(MAM)
- Android Enterprise, ook bekend als Mobile Device Management(MDM)
De mogelijkheden van deze laatste optie zijn nu flink uitgebreid. De mogelijkheden staan hieronder verder beschreven.
Intune App Protection policies (APP policies)
Met App Protection Policies van Microsoft Intune kun je jouw bedrijfsgegevens beveiligen en voorkomen dat gegevens verloren gaan. Zo kun je bijvoorbeeld gegevensverplaatsing beperken naar andere apps die niet beveiligd zijn. Hiermee voorkom je dat documenten op lokale opslag of naar privé cloudoplossingen opgeslagen worden en is knippen, kopiëren en plakken naar onbeveiligde apps niet toegestaan.
In bovenstaande afbeelding is dit inzichtelijk. Bedrijfsgegevens kunnen wel uitgewisseld worden tussen applicaties die bescherm zijn door App Protection Policies zoals Word, Excel, Powerpoint en OneDrive. Wat niet mogelijk is om deze gegevens uit te wisselen met andere applicaties zoals Twitter en Facebook.
- Beperkingen
Als apparaten niet ingeschreven zijn in een MDM-oplossing als Intune dan zijn de volgende zaken niet mogelijk om automatisch naar gebruikers uit te rollen:
- Applicaties (kunnen wel handmatig uit een store worden gedownload door een gebruiker)
- Certificaatprofielen
- Wifi profielen
- VPN profielen
Als je één van bovenstaande zaken wel wenst of meer controle wil over de apparaten dan is Android Enterprise een goede oplossing.
Android Enterprise
Android Enterprise kan in 3 categorieën onderverdeeld worden;
- Bring Your Own Device (BYOD)
- Corporate Owned (CO)
- OEMConfig
| Management methode | Toelichting |
| Bring Your Own Device (BYOD) |
Het BYOD-concept: Medewerkers hebben de mogelijkheid een “eigen” apparaat te gebruiken voor werk doeleinden of de organisatie laat de medewerkers vrij om een eigen (Android) apparaat aan te schaffen voor gebruik binnen de werkomgeving. De apparaten zijn dus niet altijd officieel eigendom van de werkgever. |
| Corporate Owned (CO) |
Het Corporate Owned concept: De organisatie koopt zelf de (Android) apparaten voor de medewerkers in. De apparaten zijn dus officieel eigendom van de werkgever. |
|
OEMConfig
|
Met OEMConfig Extensions is het mogelijk om instellingen van een specifiek merk in te stellen die niet ingebouwd zijn in Intune. Het bekendste voorbeeld is Samsung Knox. |
BYOD
Het beheer in het BYOD scenario vindt plaats door middel van een werkprofiel. Voor dit profiel kunnen diverse veiligheidsinstellingen worden ingesteld. Ook kan hier worden aangegeven of informatie gedeeld mag worden buiten het werkprofiel. Daarnaast is het mogelijk om de volgende zaken automatisch uit te rollen:
- Applicaties
- Email instellingen (Gmail of Nine Work)
- Certificaatprofielen
- Wifi profielen
- VPN profielen
Corporate Owned
In dit scenario worden Android apparaten volledig beheerd door Intune met Android Enterprise (Device Owner). Hierdoor worden bepaalde zaken mogelijk waaronder:
- Alleen app-installatie toestaan vanaf beheerde Google Play.
- Verwijdering van beheerde apps blokkeren.
- Voorkomen dat gebruikers fabrieksinstellingen van apparaten terugzetten.
Hier kunnen we 3 scenario’s onderscheiden; Kiosk (COSU), Work Only (COBO) en Personal Enabled (COPE).
- Kiosk (COSU)
Deze mode (Corporate Owned Single Use) wordt meestal gebruik voor apparaten waarmee één taak wordt gedaan zoals het afdrukken van tickets of voorraadbeheer. - Work Only (COBO)
Als een apparaat alleen zakelijk gebruikt mag worden dan is deze mode geschikt (Corporate Owned Business Only). Hierin kunnen dan alle instellingen en toestemmingen specifiek gezet worden. - Personal Enabled (COPE)
In deze mode (Corporate Owned Personal Enabled) mogen gebruikers ook zelf apps installeren en persoonlijke accounts en data gebruiken. - Migratie naar Android Enterprise
Iets om rekening mee te houden is dat voordat een apparaat geregistreerd kan worden het apparaat moet worden gereset naar de fabriek instellingen. Daarna is registratie met de volgende methodes mogelijk:
- QR code
- NFC tag
- Token
- Knox Mobile Enrollment (KME)
Als toestellen rechtstreeks bij bepaalde leveranciers afgenomen worden dan is ook het Zero-Touch scenario mogelijk.
OEMConfig Extensions
Met OEMConfig Extensions kunnen specifieke apparaten van bepaalde merken worden beheerd. Naast de gebruikelijke instellingen kunnen hiermee zaken ingesteld worden die niet standaard zijn ingebouwd in Intune. OEMConfig is een standaard die gedefinieerd is door Google. Hierdoor kunnen OEMs (original equipment manufacturers) op een standaard manier hun specifieke instellingen aanbieden aan Enterprise Mobility Management oplossing als Intune. Om deze oplossing te gebruiken moet een apparaat geregistreerd zijn als een Android Enterprise apparaat. Daarnaast moet ook de OEMConfig app die gemaakt is de OEM geüpload zijn naar de Google Play store. Op dit moment zijn de volgende 4 OEMConfig apps beschikbaar:
- Samsung Knox Service Plugin
- Zebra OEMConfig
- Datalogic OEMConfig
- Honeywell OEMConfig
Vergelijking
Hieronder staat een vergelijking van de mogelijkheden van de diverse oplossingen. De oplossingen kunnen ook naast elkaar gebruikt worden.
| App Protection Policies | Android Enterprise BYOD | Android Enterprise Corporate Owned | |
| Bescherming bedrijfsgegevens | Ja | Ja | Ja |
| Automatische uitrol applicaties | Nee | Ja | Ja |
| Certificaten/Wifi/VPN profielen | Nee | Ja | Ja |
| Wipe device | Nee | Nee | Ja |
| Controle geïnstalleerde applicaties | Nee | Nee | Ja |
Conclusie
Bedrijven die nog gebruik maken van de Device Administration API dienen in actie te komen om hun apparaten te kunnen blijven beheren. Met de nieuwe oplossing om Android apparaten volledig te beheren met Android Enterprise en Intune is het sowieso een goed moment te oriënteren op een beheermethode die goed past bij de organisatie.
