Android Enterprise
Jetzt ist es Zeit für die Migration auf Android Enterprise! Lassen Sie uns gemeinsam Android Enterprise Wirklichkeit werden!
Der Anteil an Android Geräten in Firmen hat in den letzten Jahren stark zugenommen. Dies ist nicht zuletzt auf die grosse Auswahl an Herstellern, Vielfalt, Flexibilität, Anwendungen und auch Kosten zurückzuführen. Hersteller mit dem Android Betriebssystem bieten oft budgetfreundlichere Geräte als iOS.
Google bietet mit Android Enterprise eine umfassende und innovative Geräteverwaltungslösung für Unternehmens- und Mitarbeitergeräte. Um mit verwalteten Geräten zu kommunizieren und zu steuern, nutzen heutige EMM (Enterprise Mobility Management) bzw. UEM (Unified Endpoint Management) Lösungen APIs. Dabei können mit den APIs die Einhaltung von Richtlinien durchgesetzt werden, so zum Beispiel wird der Zugriff auf Systemeinstellungen verhindert, Bluetooth oder die Kamera werden ausgeschaltet. Ein zentraler Punkt ist die Erstellung von Arbeitsprofilen, bei der zwischen persönlichen und Unternehmensdaten unterschieden wird.
Heute haben einige Unternehmen immer noch eine Geräteadministration über Device Administration von Android implementiert. Google unterstützt dies weiterhin noch bis und mit Android Version 9 und kündigte bereits 2017 an, dass Sie ab Android 10 nur noch mit Android Enterprise fortfahren und die Device Administration API nicht mehr unterstützen.
Android 11 führt eine verbesserte Unterstützung für Arbeitsprofile auf firmeneigenen Geräten ein. Wenn ein Arbeitsprofil vom Einrichtungsassistenten mit Hilfe der in Android 10 hinzugefügten Bereitstellungstools hinzugefügt wird, wird das Gerät als firmeneigen erkannt und dem Device Policy Controller (DPC) eine breitere Palette an Asset-Management- und Gerätesicherheitsrichtlinien zur Verfügung gestellt. Diese Funktionen ermöglichen eine einfachere Verwaltung sowohl der Arbeit als auch der persönlichen Nutzung auf firmeneigenen Geräten, wobei der Datenschutz des Arbeitsprofils gewahrt bleibt.
Wenn ein Arbeitsprofil mit einer anderen Methode zu einem Gerät hinzugefügt wird, erkennt Android 11 dass das Gerät sich in persönlichem Besitz befindet. Der Funktionsumfang und das Verhalten für diese Geräte bleiben wie bisher.
Android Enterprise (AE) hat einiges zu bieten:
- Eine zuverlässige EMM-Expertise, da alle AE-Geräte wissen, wann eine Konfiguration gepusht wird und die entsprechenden Anfragen unterstützen und ausführen
- Eine in Containern zusammengefasste Arbeits- / Privatlebenstrennung, die in erster Linie auf BYOD abzielt
- Unauffällige Anwendungsinstallation ohne die Notwendigkeit eines vom Benutzer bereitgestellten Google-Kontos auf dem Gerät
- Verwaltete Konfigurationen, eine Möglichkeit zur Bereitstellung von Unternehmenseinstellungen für verwaltete Anwendungen
- Sofort einsatzbereit: Zero-Touch-Registrierung für Android 8.0 und höher (oder 7.0 für Pixel)
Hier finden Sie eine Aufschlüsselung der Verwaltungsszenarien, die Android Enterprise unterstützt:

Wie man sehen kann, gibt es eine Menge Flexibilität für die Unterstützung der meisten Geschäftsanforderungen, die direkt integriert sind. Es wird hier das am weitesten verbreiteten Verwaltungsszenario dargestellt, bei dem die Organisation das Gerät besitzt, aber eine gewisse persönliche Nutzung (COPE) erlaubt, verfügbar ab Android 8.0.
Weitere Informationen finden Sie im Android Enterprise Datenblatt von Google.
Mit der Einführung von Android 5.0 machte Google Benutzerprofile zusätzlich zu den Tablets, die diese bereits nutzen, auch für Handys verfügbar. Mit der gleichen Funktionalität ist Android Enterprise in der Lage, ein verwaltetes Nutzerprofil zu erstellen, welches obwohl es vollständig getrennt verschlüsselt auf der Festplatte liegt (und ab Android 7.0 völlig andere Verschlüsselungen für berufliche /private Zwecke verwendet), direkt mit dem aktuellen Nutzer auf dem Gerät integriert wird. So können private wie auch berufliche Apps in dem selben App-Schublade bereitgestellt werden, wobei die beruflichen Apps durch eine Aktentasche angezeigt wird:

Quelle: bayton.org, Foto: Android Enterprise Arbeitsprofil, das ändert sich im Andoid Pie
Die Mischung aus Arbeits- und persönlichen Anwendungen zusammen auf dem oben genannten BYOD-Gerät zeigt den Grad der Integration. Als Endbenutzer fühlt es sich an, als wären nur ein paar weitere Apps installiert, obwohl die darunter liegenden Profilkonfigurationen zur Trennung und Sicherung der Unternehmensdaten funktionieren. DLP-Richtlinien können die Übertragung von Unternehmensinformationen ausserhalb des Arbeitsprofils oder umgekehrt verhindern. Sollte es zu einem Unternehmens-Wipe kommen, wird einfach das Arbeitsprofil entfernt und alle Benutzerdaten bleiben unangetastet.
Zusätzlich hat Google für das Arbeitsprofil die Authentifizierung des Arbeitsprofils hinzugefügt. Dabei handelt es sich im Wesentlichen um eine sekundäre Passwort-Anforderung, um auf die Unternehmensdaten innerhalb des Profils zuzugreifen. BlackBerry Good, MobileIron Apps@Work oder AirWatch Container unterstützen diese Funktion seit vielen Jahren.
Darüber kann das Arbeitsprofil für Abende, Wochenenden oder Feiertage pausiert werden (vorübergehend abschalten), was ein grosser Gewinn für die Mitarbeiter ist. Es kann so dazu beitragen, eine gesunde Work-Life-Balance zu fördern. Dies hat sich mit Android 11 nochmals massiv verbessert, wo das Android Enterprise-Team eng mit Digital Wellbeing zusammenarbeitete, um eine automatische Planung des Arbeitsprofil zu ermöglichen. Dank APIs können die Administratoren sicherstellen, dass das Arbeitsprofil nicht unbegrenzt ausgeschaltet werden kann.
Die grösste Einschränkung des gesamten BYOD-Ansatzes aus der Sicht eines Administrators ist, wie man vermuten könnte, die eingeschränkte Kontrolle und Sichtbarkeit über das Gerät selbst. Organisationen „sehen“ nichts ausserhalb des Arbeitsprofils und können dadurch nur sehr grundlegende geräteweite Richtlinien wie den Passcode durchsetzen.
Bei vollständig verwalteten Geräten wird in der Regel keine Nutzungsbereitstellung für Anwender vorgesehen. Da die beabsichtigte Verwendung für vollständig firmeneigene Geräte vorgesehen ist, entfallen bei diesen Geräten alle typischen BYOD- oder COPE-Szenarien und das Gerät wird streng auf die vom EMM-Administrator festgelegte Umgebung beschränkt. Ab Android 8.0 wurde das COPE-Szenario jedoch mit Unterstützung für Arbeitsprofile auf vollständig verwalteten Geräten eingeführt.
Bei der Bereitstellung eines vollständig verwalteten Geräts werden standardmässig fast alle nicht-kritischen Systemanwendungen, sofern sie nicht auf der Whitelist stehen, entfernt. Stattdessen nur Zugriff auf autorisierte Anwendungen über das verwaltete Google Play gewährt.
Das heisst, sollte eine App beispielsweise die Funktion der Kamera erfordern, müsste auch eine Kamera-App für die Nutzung durch das Unternehmen autorisiert oder auf der Whitelist geführt werden. Es gibt Unterstützung für die Aktivierung von Systemanwendungen, allerdings umfasst diese Unterstützung alle OEM-/Träger-Anwendungen, die die meisten entfernt sehen möchten. Es erfordert daher, dass bestimmte Anwendungen deaktiviert und nicht wie oben beschrieben aktiviert werden müssen.
Die vollständig verwaltete Bereitstellung wird derzeit beim ersten Systemstart eines neuen Geräts – oder eines Geräts, das frisch vom Werk zurückgesetzt wurde – eingeleitet:
- Eine Provisioning -App auf einem dedizierten Provisioning-Gerät (konfiguriert mit EMM-Server-Details) und einem NFC-Bump oder einem NFC-Tag, mit dem Geräte gebootet werden können
- Eine DPC-Kennung auf dem Bildschirm zur Einrichtung eines Google-Kontos
- Ein QR-Code (ideal für Geräte ohne NFC)
- Zero-Touch-Enrolment
In Android 10 ist die NFC-Bump-Bereitstellung veraltet, und stattdessen werden NFC-Tags für die NFC-Bereitstellung empfohlen.
- Viel angereichertes Know-how:
- Verschiedene Migrationsprozesse
- Entfernung potenzieller Blocker
- Lösung typischer Supportfälle
- Produktive Android Enterprise Integrationen seit 2015
- Migration mehreren Kunden von Android Device Admin auf Android Enterprise
- Migration von Inhouse-Apps (von MAM auf Managed Google Play)
- Enge Zusammenarbeit mit App Entwicklern
- Sichere SSO-Lösung für Android Enterprise mit Hypergate
- Frühzeitige Vorbereitung / Einführung eines ’neuen‘ Android-Managements. Unterstützung neuer Geräte mit Android 9.x
- Erhöhte Sicherheit durch klare Trennung der Daten
- Reibungsloser Übergang: Verwenden Sie Android Enterprise für Neuregistrierungen, wickeln Sie die Migration bereits registrierter Geräte im Batch-Modus ab
- Pünktliche Migration Ihrer Inhouse-Applikationen
- Keine Fragmentierung – Android Enterprise verhält sich auf allen Geräten gleich
- Planung und Entwicklung des optimalen Rollout-/Migrationsprozesses
- Android Enterprise in Ihrer EMM-Lösung konfigurieren
- App Management für verwaltetes Google Play
- Unterstützung beim Rollout bis hin zur Übernahme des gesamten Staging-Prozesses (inkl. Zero-Touch-Enrolment)
- Workshops „Lernen Sie Android Enterprise kennen“
- Endanwender-Schulungen
- Klare visuelle Trennung zwischen Unternehmens- und Personendaten
- Verwenden Sie eine beliebige Anwendung aus dem Managed Google Play im Android Enterprise Container
- Profitieren Sie von den neuen Funktionen von Android Enterprise (z.B. Kiosk-Modus, COPE-Modus, Zero-Touch-Anmeldung)
- Verbesserung der Sicherheit der Android-Geräteflotte
- Fragmentierung minimieren
um mehr über Android Enterprise zu erfahren.