2019
Jun
20
Was ist Android Enterprise eigentlich genau und wie kam es dazu?!
Android ist streng genommen eine Ansammlung von Open Source Software und wurde von Andy Rubin im Jahre 2003 erdacht. Zunächst war die Software als Betriebssystem für Kameras gedacht, doch als zwei Jahre später Google das Unternehmen käuflich erstand, hatte es andere Pläne. 2008 kam das erste Smartphone mit dem Betriebssystem auf den Markt und so wurde das E-Mail Konto auch auf einem Smartphone mobil.
Microsoft Exchange hatte mit ActiveSync ein MDM light implementiert. Die Kunden nutzten dies gerne für die Verwaltung ihrer Flotten an mobilen Geräten. Schließlich war der Exchange vorhanden, warum also dann nicht die kostenlose Funktion auch einsetzen?! So konnte man Geräterichtlinien voraussetzen wie zum Beispiel ein Gerätekennwort, ob Speicherkarten zulässig sind oder ob der der Anwender die Kamera benutzen darf.
Microsoft Exchange hatte mit ActiveSync ein MDM light implementiert. Die Kunden nutzten dies gerne für die Verwaltung ihrer Flotten an mobilen Geräten. Schließlich war der Exchange vorhanden, warum also dann nicht die kostenlose Funktion auch einsetzen?! So konnte man Geräterichtlinien voraussetzen wie zum Beispiel ein Gerätekennwort, ob Speicherkarten zulässig sind oder ob der der Anwender die Kamera benutzen darf.
Um diese Richtlinien umsetzen zu können, wurde in Android 2.2 Froyo der Geräteadministrator eingeführt. Diese Funktion erlaubt einer Anwendung beziehungsweise des dazugehörigen Kontos diese Richtlinien einzufordern und umzusetzen.
Der Geräteadministrator und ActiveSync haben jedoch einen Nachteil:
Es fehlen komplexere Funktionen wie Anwendungs-Container und -Wrapping zum Schutz und zur Isolation von Anwendungen auf den Geräten. Besonders kritisch ist dies, wenn Mitarbeiter ihre Privatgeräte nutzen.
Des Weiteren kann der ActiveSync Server keinen Mechanismus zur Überprüfung der Geräte an sich, denn es wird im Protokoll davon ausgegangen, dass der Client vertrauenswürdig ist.
Auch EMM Systeme haben die Berechtigung des Geräteadministrators genutzt, um darüber MDM Richtlinien auf dem Gerät durchzusetzen. Ach Samsung Knox Workspace wurde mit dieser Berechtigung eingerichtet. Doch die Möglichkeiten waren sehr limitiert und es gab keine strikte Trennung von Daten im BYOD (Bring Your Own Device) oder COPE (Corporate Device Personally Enabled) Einsatz.
Mit Android 5 Lollipop kommt Android for Work.
Google reagierte und führte mit Android 5.1 Lollipop Android Enteprise, damals noch unter dem Namen Android for Work, ein. Die Funktion war für Gerätehersteller optional, mit Android 6 Marshmallow wurde die Implementierung der Lösung verpflichtend.
Android konnte schon relativ früh mehrere Benutzer und dessen Konten einbinden. Genau diese Fähigkeit wurde nun für die geschäftliche Anbindung genutzt. Die Administratorrolle hing ab da an dem geschäftlichen Nutzer und dessen geschäftlichen Google Konto. Somit kann auf Android Geräten sauber getrennt werden: Bei einer BYOD Aktivierung zum Beispiel haben der private und der berufliche Nutzer ihre komplett eigene Umgebung, dies gilt auch für Google Play Store und alle Apps. Des Weiteren kann dieselbe App einmal privat und simultan auch beruflich genutzt werden.
Ist der geschäftliche Nutzer alleine eingerichtet, spricht man von einer COBO Aktivierung (Corporate Owned Business Only). Voraussetzung war, dass das Gerät im Werkszustand aktiviert wurde. Ausgenommen ist hier noch der Samsung Knox Workspace bis zur Version 2.
Ab Android 7 Nougat wird Android Enterprise weiter ausgebaut.
Google arbeitet(e) immer weiter an möglichen Einsatzszenarien. So wird mit Android 7 Nougat der Kiosk-Modus COSU (Corporate Owned Single Use) eingeführt. Diese Aktivierung erlaubt es zum Beispiel Android Geräte auszustellen, welche dann aber nur eine vorher definierte App anzeigen. In Android 9 Pie wird die Aktivierung noch um einen Multi-User Support erweitert.
Mit Android 8 Oreo wurde eine von Unternehmen lang erwartete Aktivierung für Android Enterprise seitens Google eingeführt: COPE. Unternehmen können so Geräte bestellen und diese direkt an die Endanwender versenden lassen. Der Administrator hinterlegt im EMM System eine COPE Aktivierung und der Anwender geht zunächst vor wie bei einer COBO Aktivierung wenn er das Gerät erhält. Doch in dieser Aktivierung darf er dann seine persönlichen Konto auf dem Gerät hinzufügen.
Mit Android 9 Pie und Q hat Google aber noch mehr im System geändert. So wird nun nur noch eine einzige API angesprochen: AMAPI (Android Management API). Dies erleichtert die Verwaltung und auch die Anwender wird es freuen: alle geschäftlichen Funktionen werden nativ in Android eingebunden und sind somit leichter auffindbar.
OEMConfig gibt Geräteherstellern die Möglichkeit, spezifische Geräterichtlinien per AppConfig auf die Geräte zu verteilen. Somit muss nicht auf die EMM Hersteller gewartet werden, bis diese die Richtlinien implementiert haben.
Ab Android 11 wird der Datenschutz für persönliche Daten auf COPE Geräten gestärkt und Admins haben nicht mehr weitreichende Berechtigungen. Auch wird zwischen den Aktivierungswegen unterschieden, ob ein Gerät persönlich oder geschäftlich gekennzeichnet wird.
Und der Geräteadministrator?
Dieser ist abgekündigt. Ab Android 9 Pie kann kein Gerätepasswort mehr gesetzt werden und ab Android Q wird es ab Anfang 2020 nicht mehr möglich sein, die alte Schnittstelle zu nutzen. Die Zukunft heißt dann nur noch Android Enterprise.
Der Geräteadministrator und ActiveSync haben jedoch einen Nachteil:
Es fehlen komplexere Funktionen wie Anwendungs-Container und -Wrapping zum Schutz und zur Isolation von Anwendungen auf den Geräten. Besonders kritisch ist dies, wenn Mitarbeiter ihre Privatgeräte nutzen.
Des Weiteren kann der ActiveSync Server keinen Mechanismus zur Überprüfung der Geräte an sich, denn es wird im Protokoll davon ausgegangen, dass der Client vertrauenswürdig ist.
Auch EMM Systeme haben die Berechtigung des Geräteadministrators genutzt, um darüber MDM Richtlinien auf dem Gerät durchzusetzen. Ach Samsung Knox Workspace wurde mit dieser Berechtigung eingerichtet. Doch die Möglichkeiten waren sehr limitiert und es gab keine strikte Trennung von Daten im BYOD (Bring Your Own Device) oder COPE (Corporate Device Personally Enabled) Einsatz.
Mit Android 5 Lollipop kommt Android for Work.
Google reagierte und führte mit Android 5.1 Lollipop Android Enteprise, damals noch unter dem Namen Android for Work, ein. Die Funktion war für Gerätehersteller optional, mit Android 6 Marshmallow wurde die Implementierung der Lösung verpflichtend.
Android konnte schon relativ früh mehrere Benutzer und dessen Konten einbinden. Genau diese Fähigkeit wurde nun für die geschäftliche Anbindung genutzt. Die Administratorrolle hing ab da an dem geschäftlichen Nutzer und dessen geschäftlichen Google Konto. Somit kann auf Android Geräten sauber getrennt werden: Bei einer BYOD Aktivierung zum Beispiel haben der private und der berufliche Nutzer ihre komplett eigene Umgebung, dies gilt auch für Google Play Store und alle Apps. Des Weiteren kann dieselbe App einmal privat und simultan auch beruflich genutzt werden.
Ist der geschäftliche Nutzer alleine eingerichtet, spricht man von einer COBO Aktivierung (Corporate Owned Business Only). Voraussetzung war, dass das Gerät im Werkszustand aktiviert wurde. Ausgenommen ist hier noch der Samsung Knox Workspace bis zur Version 2.
Ab Android 7 Nougat wird Android Enterprise weiter ausgebaut.
Google arbeitet(e) immer weiter an möglichen Einsatzszenarien. So wird mit Android 7 Nougat der Kiosk-Modus COSU (Corporate Owned Single Use) eingeführt. Diese Aktivierung erlaubt es zum Beispiel Android Geräte auszustellen, welche dann aber nur eine vorher definierte App anzeigen. In Android 9 Pie wird die Aktivierung noch um einen Multi-User Support erweitert.
Mit Android 8 Oreo wurde eine von Unternehmen lang erwartete Aktivierung für Android Enterprise seitens Google eingeführt: COPE. Unternehmen können so Geräte bestellen und diese direkt an die Endanwender versenden lassen. Der Administrator hinterlegt im EMM System eine COPE Aktivierung und der Anwender geht zunächst vor wie bei einer COBO Aktivierung wenn er das Gerät erhält. Doch in dieser Aktivierung darf er dann seine persönlichen Konto auf dem Gerät hinzufügen.
Mit Android 9 Pie und Q hat Google aber noch mehr im System geändert. So wird nun nur noch eine einzige API angesprochen: AMAPI (Android Management API). Dies erleichtert die Verwaltung und auch die Anwender wird es freuen: alle geschäftlichen Funktionen werden nativ in Android eingebunden und sind somit leichter auffindbar.
OEMConfig gibt Geräteherstellern die Möglichkeit, spezifische Geräterichtlinien per AppConfig auf die Geräte zu verteilen. Somit muss nicht auf die EMM Hersteller gewartet werden, bis diese die Richtlinien implementiert haben.
Ab Android 11 wird der Datenschutz für persönliche Daten auf COPE Geräten gestärkt und Admins haben nicht mehr weitreichende Berechtigungen. Auch wird zwischen den Aktivierungswegen unterschieden, ob ein Gerät persönlich oder geschäftlich gekennzeichnet wird.
Und der Geräteadministrator?
Dieser ist abgekündigt. Ab Android 9 Pie kann kein Gerätepasswort mehr gesetzt werden und ab Android Q wird es ab Anfang 2020 nicht mehr möglich sein, die alte Schnittstelle zu nutzen. Die Zukunft heißt dann nur noch Android Enterprise.
Aktivierungen in Android Enteprise
Google hat klare Begriffe für die möglichen Aktivierungsszenarien eingeführt:
Google hat klare Begriffe für die möglichen Aktivierungsszenarien eingeführt:
- BYOD - Work Profile
- COBO - Fully Managed
- COPE - Fully Managed Device with Work Profile
- COSU - Dedicated
Ben Witt
