Mit Android Enterprise Recommended (AER) gibt Google ein Zertifizierungsprogramm vor, welches ein Mindestmaß an Unterstützung von Android Enterprise gewährleisten soll. Bei den Geräteherstellern fehlt Samsung. Warum das aber egal ist zeige ich in diesem Artikel auf.

Hersteller müssen nach dem AER Programm folgende Punkte mindestens liefern:

• Unterstützung von Sicherheitsupdates
  Sicherheitsupdates müssen innerhalb von 90 Tagen zur Verfügung stehen.
• Versionsunterstützung für wichtige Updates
  Unterstützung der aktuellen Versandversion + ein Upgrade auf die nächste Version.
• Verfügbarkeit entsperrter Geräte
  Entsperrte Geräte müssen für Unternehmenskunden wie folgt verfügbar sein:
  Über Drittanbieter oder direkt vom Hersteller

Schauen wir uns die einzelnen Punkte einmal an.

Sicherheitsupdates
Samsung bietet für die High-End sowie Enterprise Edition Geräte monatliche Sicherheitsupdates. Nach drei Jahren bekommen einige der High-End und alle Enterprise Edition Geräte für ein Jahr quartalsweise Sicherheitsupdates, so wie viele Midrange und Tablet Geräte. Die einzelnen Geräte sind auf der "Samsung Android Security Update Seite" gelistet. Damit erbringt Samsung die AER Anforderung vollumfänglich.

MR Updates
Samsung hat bekanntgegeben, dass bestimmte Galaxy Geräte drei Major Release (MR) Updates erhalten werden, rückwirkend zum nächsten Jahr. So wird das Galaxy S10 auch das Update auf Android 12 erhalten. In diesem Punkt wird die AER Anforderung deutlich übertroffen.

Verfügbarkeit
Samsung ist sehr breit auf dem Markt verfügbar. So gibt es neben den Mobilfunkanbieter auch weitere Distributionspartner, welche neben den regulären auch die Enterprise Edition Geräte anbieten.

Samsung kann also alle drei Punkte bedienen, bietet darüber hinaus aber auch zusätzliche Dienste an.
Was bei Google Zero Touch ist, nennt Samsung Knox Mobile Enrollment (KME). Mit diesem Cloud Dienst können Geräte fest an eine Unternehmung gebunden werden und installieren und starten bei der Einrichtung automatisch den hinterlegten Device Policy Controller sobald eine Internetverbindung besteht. Somit kommt man nicht um eine Aktivierung gegen das MDM (Mobile Device Management) System herum. COBO oder COPE, also ohne oder mit privaten Perimeter, ist dabei nicht von Relevanz.
Damit man nicht auf Updates seitens des MDM Hersteller warten muss, kann man über die App "Knox Service Plugin" Policies auf den Geräten durchsetzen. Somit ist ein ZeroDay Support für neue Policies gegeben.
Samsung kann in Bezug auf Softwareupdates die AER Vorgaben erfüllen, setzt jedoch mit E-FOTA einen weiteren Dienst ein. Mit "Enterprise Firmware Over The Air" können Administratoren feingranular Updates steuern. So bekommen zum Beispiel Tester / Administratoren Updates sofort bei Verfügbarkeit auf die Geräte installiert, um Tests durchführen zu können. Erst nach dessen Freigabe erhalten alle anderen Nutzer das Update, auf Wunsch auch ohne jegliche Nutzerinteraktion zu einem festen Zeitpunkt.

Doch was nützt einem das schönste Haus aus Diensten, wenn der Keller undicht ist?! Samsung fängt genau dort an und setzt auf den eigenen Geräten dedizierte Hardware zur Absicherung ein, das Prinzip nennt sich bei Google StrongBox. Schon beim Gerätestart wird mit einem abgesicherten und verifzierten Boot eine Root-of-Trust aufgebaut.
Technisch ist eine Aktivierung eines Samsung Gerätes eine Android Enterprise. Hat man jedoch eine Knox Platform for Enterprise Lizenz, kann man auf Wunsch den Sicherheitsgewinn in Form von dedizierter Hardware und weiteren feingranulareren Policies einsetzen.

Es ist daher egal, dass Samsung nicht als AER gelistet ist. Sie bieten weitaus mehr für den unternehmerischen Einsatz.