2019
Jun
26
BYOD, COBO, COPE - Wie bitte?!
Im folgenden Text werden zunächst die Aktivierungen im Android Umfeld beleuchtet. Es folgen die Namensgebungen von Android und Samsung, wobei ich die Samsung Knox 2 Aktivierungen auslasse, da sie in Zukunft nicht mehr relevant sein werden. Den Grund habe ich in einem separaten Blogbeitrag verschriftet. Auch auf PC/MacOS werde ich in diesem Beitrag nicht gesondert eingehen.
BYOD - Bring Your Own Device
Private Geräte werden in die unternehmenseigene Umgebung eingebunden. Dabei haben Administratoren keinen Zugriff auf die privaten Daten.
Android Enterprise: Work Profile
Samsung KNOX 3: Profile Owner
COBO - Corporate Owned Business Only
Unternehmenseigene Geräte werden eingebunden und stellen dem Nutzer lediglich den geschäftlichen Bereich zur Verfügung. Administratoren dürfen globale IT-Richtlinien auf dem Gerät umsetzen.
Android Enteprise: Work managed device
Samsung KNOX3: Device Owner
COPE - Corporate Owned Personally Enabled
Unternehmenseigene Geräte werden eingebunden und Nutzer dürfen diese privat nutzen. Im Gegensatz zu BYOD dürfen Administratoren aber globale Geräterichtlinien umsetzen.
Android Enterprise: Work Profile on fully managed device
Samsung KNOX3: COMP (Corporate Owned Managed Profile)
COSU - Corporate Owned Single Use
Unternehmenseigene Geräte, welche nur eine bestimmte Umgebung / App anzeigen dürfen.
Private Geräte werden in die unternehmenseigene Umgebung eingebunden. Dabei haben Administratoren keinen Zugriff auf die privaten Daten.
Android Enterprise: Work Profile
Samsung KNOX 3: Profile Owner
COBO - Corporate Owned Business Only
Unternehmenseigene Geräte werden eingebunden und stellen dem Nutzer lediglich den geschäftlichen Bereich zur Verfügung. Administratoren dürfen globale IT-Richtlinien auf dem Gerät umsetzen.
Android Enteprise: Work managed device
Samsung KNOX3: Device Owner
COPE - Corporate Owned Personally Enabled
Unternehmenseigene Geräte werden eingebunden und Nutzer dürfen diese privat nutzen. Im Gegensatz zu BYOD dürfen Administratoren aber globale Geräterichtlinien umsetzen.
Android Enterprise: Work Profile on fully managed device
Samsung KNOX3: COMP (Corporate Owned Managed Profile)
COSU - Corporate Owned Single Use
Unternehmenseigene Geräte, welche nur eine bestimmte Umgebung / App anzeigen dürfen.
Auf iOS Geräten gibt es bis Herbst 2019 nur 2 Aktivierungsszenarien:
MAM-only
Mobile Application Management. Im Falle von BlackBerry werden auf privaten Geräten nur Dynamics Apps auf das Gerät per EMM installiert, aktiviert und verwaltet. Es können keine zentralen Daten wie WLAN oder IT-Richtlinien auf die Geräte gebracht werden. Dies war das bisherige BYOD Szenario von Apple.
MDM
Mobile Device Management. Geräte erhalten ein zentrales MDM Profil, welches vom EMM Server verwaltet wird. Mit diesem Profil können auch zentrale Daten an die Geräte weitergegeben werden. Diese Aktivierung ist für COBO und COPE nutzbar, sind aber bei Administratoren auch für BYOD Aktivierungen beliebt.
Ab iOS11.3 unterscheidet auch Apple zwischen verwalteten und nicht verwalteten Quellen. Alles was vom EMM System auf die Geräte verteilt wird, ist getrennt von den unverwalteten. Je nach EMM System kann man auch per Richtlinie einstellen, dass verwaltete Apps auf Daten von unverwalteten Apps und auch umgekehrt zugreifen dürfen. Diese Lösung ist aber kein globaler Container wie zum Beispiel das Work Profile von Android.
Aktiviert wurden die Geräte entweder manuell vom Nutzer (Device Enrollment) oder per Massenenrollment Tool DEP (Device Enrollment Program) zentral durch die IT (Automated Device Enrollment).
Mit iOS13 wird ein drittes Aktivierungsszenario hinzugefügt: User Enrollment..
Mit diesem Aktivierungsszenario setzt Apple BYOD um. Dazu richtet sich ein Unternehmen seine Domain im Apple Business Manager (ABM) ein und verbindet dies dann mit dem eingesetzten EMM System. Durch ABM schafft man eine Voraussetzung für das User Enrollment: eine verwaltete AppleID.
Apps und Daten werden bei der iOS Nutzung vom eingebundenen AppleID Konto verwaltet. Beim User Enrollment wird eine zweite AppleId auf das Gerät übertragen, welche per EMM über ABM erstellt, verwaltet und verteilt wird. Somit hängen auch alle verwalteten Apps und Daten an der verwalteten AppleID und werden in einem eigens gesicherten Bereich im Speicher abgelegt. Ausgenommen sind Apps, welche selbst auf native Konten zugreifen wie Mail, Notizen und weitere.
Zentrale Daten wie WLAN, VPN und dergleichen können in dieser Aktivierung per Profil auf die Geräte übertragen werden, sind aber teilweise im Funktionsumfang eingeschränkt im Vergleich zu den Device Enrollments.
MAM-only
Mobile Application Management. Im Falle von BlackBerry werden auf privaten Geräten nur Dynamics Apps auf das Gerät per EMM installiert, aktiviert und verwaltet. Es können keine zentralen Daten wie WLAN oder IT-Richtlinien auf die Geräte gebracht werden. Dies war das bisherige BYOD Szenario von Apple.
MDM
Mobile Device Management. Geräte erhalten ein zentrales MDM Profil, welches vom EMM Server verwaltet wird. Mit diesem Profil können auch zentrale Daten an die Geräte weitergegeben werden. Diese Aktivierung ist für COBO und COPE nutzbar, sind aber bei Administratoren auch für BYOD Aktivierungen beliebt.
Ab iOS11.3 unterscheidet auch Apple zwischen verwalteten und nicht verwalteten Quellen. Alles was vom EMM System auf die Geräte verteilt wird, ist getrennt von den unverwalteten. Je nach EMM System kann man auch per Richtlinie einstellen, dass verwaltete Apps auf Daten von unverwalteten Apps und auch umgekehrt zugreifen dürfen. Diese Lösung ist aber kein globaler Container wie zum Beispiel das Work Profile von Android.
Aktiviert wurden die Geräte entweder manuell vom Nutzer (Device Enrollment) oder per Massenenrollment Tool DEP (Device Enrollment Program) zentral durch die IT (Automated Device Enrollment).
Mit iOS13 wird ein drittes Aktivierungsszenario hinzugefügt: User Enrollment..
Mit diesem Aktivierungsszenario setzt Apple BYOD um. Dazu richtet sich ein Unternehmen seine Domain im Apple Business Manager (ABM) ein und verbindet dies dann mit dem eingesetzten EMM System. Durch ABM schafft man eine Voraussetzung für das User Enrollment: eine verwaltete AppleID.
Apps und Daten werden bei der iOS Nutzung vom eingebundenen AppleID Konto verwaltet. Beim User Enrollment wird eine zweite AppleId auf das Gerät übertragen, welche per EMM über ABM erstellt, verwaltet und verteilt wird. Somit hängen auch alle verwalteten Apps und Daten an der verwalteten AppleID und werden in einem eigens gesicherten Bereich im Speicher abgelegt. Ausgenommen sind Apps, welche selbst auf native Konten zugreifen wie Mail, Notizen und weitere.
Zentrale Daten wie WLAN, VPN und dergleichen können in dieser Aktivierung per Profil auf die Geräte übertragen werden, sind aber teilweise im Funktionsumfang eingeschränkt im Vergleich zu den Device Enrollments.
Ben Witt
