Android Enterprise mit EMM-Token-Registrierung einrichten

Wie funktioniert die EMM-Token-Registrierung für Android Enterprise?

Mit der EMM-Token-Registrierung können Administratoren ein eindeutiges Token von ihrem EMM-Anbieter bereitstellen, das die Benutzer bei der Einrichtung des Geräts eingeben. Der Prozess ähnelt dem der verwalteten Google-Kontoregistrierung, bietet aber mehr Flexibilität.

Der Android Device Policy Controller (DPC) spielt bei der Token-basierten Registrierung eine entscheidende Rolle. Die DPC-Anwendung setzt die Richtlinien zur Geräteverwaltung durch, die Administratoren in ihrer EMM-Plattform definiert haben. Während des EMM-Token-Registrierungsprozesses wird der DPC automatisch auf dem Gerät installiert.

Nach dem ersten Einschalten eines neuen oder auf Werkseinstellung zurückgesetzten Geräts gibt der Benutzer das EMM-Token ein. Dadurch wird die Installation des DPC ausgelöst, der dann mit dem EMM-Server kommuniziert, um die erforderlichen Konfigurationen und Richtlinien herunterzuladen und anzuwenden.

Um sicherzustellen, dass der Prozess für die IT-Abteilung und die Endanwender sicher und effizient ist, können Administratoren einige Best Practices befolgen. Setzen Sie die folgenden Methoden ein, um eine reibungslose Einrichtung zu gewährleisten:

• Geben Sie den Benutzern klare Anweisungen und Schulungen zur Verwendung von Token für die Geräteregistrierung. Dies kann in Form von Dokumentation und Just-in-Time-Schulungen erfolgen.
• Verteilen Sie EMM-Tokens sicher per verschlüsselter E-Mail oder SMS an autorisierte Benutzer, um das Risiko des Abfangens zu minimieren.
• Implementieren Sie ein Token-Verfallsdatum, um sicherzustellen, dass die Token nur für eine begrenzte Zeit gültig sind. Dadurch wird das Risiko eines Missbrauchs im Falle eines Abfangens verringert.
• Pflegen Sie ein System zur Verfolgung der Token-Ausgabe und -Nutzung. Führen Sie mithilfe dieses Systems regelmäßige Token-Audits durch, um ungenutzte oder gefährdete Token zu identifizieren und zu widerrufen.

Vor- und Nachteile der EMM-Token-Registrierung für Android Enterprise

Es gibt einige Gründe, warum die EMM-Token-Registrierung weniger verbreitet ist als andere Android-Registrierungsmethoden. Der Prozess der manuellen Eingabe eines langen, komplexen Tokens während der Einrichtung des Mobilgeräts ist im Vergleich zu anderen Methoden fehleranfällig. Das Generieren, Verteilen und Verwalten von Token kann auch einen höheren Verwaltungsaufwand für IT-Abteilungen bedeuten.

Bei Geräten mit Arbeitsprofil ermöglicht die EMM-Token-Registrierung der IT-Abteilung, Einstellungen vorzunehmen und arbeitsbezogene Anwendungen und Daten zu kontrollieren, ohne in die Daten des Benutzers einzugreifen.

Das macht sie auch für die Entwicklung in großem Maßstab weniger effizient. Das Zero-Touch-Enrollment zum Beispiel automatisiert einen Großteil des Einrichtungsprozesses und eignet sich daher besser für große Implementierungen in entfernten und hybriden Umgebungen.

Die Token-basierte Registrierung ist in einigen Anwendungsfällen von Vorteil, etwa wenn die Sicherheit oberste Priorität hat. Sie ermöglicht es IT-Administratoren, Richtlinien zum Beispiel für App-Berechtigungen, Geräteeinstellungen und Datennutzungsbeschränkungen durchzusetzen. So wird sichergestellt, dass die Geräte von dem Moment an, in dem die Benutzer sie aktivieren, den Unternehmens- und gesetzlichen Anforderungen entsprechen. Daher eignet sich die Lösung auch ideal für die Verwaltung spezieller Geräte, wie beispielsweise Kioske und Kassensysteme. Bei Geräten mit Arbeitsprofil ermöglicht die EMM-Token-Registrierung der IT-Abteilung, Einstellungen vorzunehmen und arbeitsbezogene Anwendungen und Daten zu kontrollieren, ohne in die Daten des Benutzers einzugreifen.

Die EMM-Token-Registrierung ist jedoch nicht für Arbeitsprofile auf Geräten im Privatbesitz verfügbar. Stattdessen unterstützt sie die vollständige Geräteverwaltung, die dedizierte Geräteverwaltung und Arbeitsprofile auf unternehmenseigenen Geräten mit Android 8.0 oder höher. Im Allgemeinen ist die EMM-Token-Registrierung nicht für Geräte mit Android 5.1.1 oder früher oder für Geräte mit Custom Builds verfügbar.

7 Schritte zur Registrierung eines Geräts in Android Enterprise mit EMM-Token-Registrierung

Google stellt zwar eine Liste der zugelassenen EMM-Plattformen für Android Enterprise zur Verfügung, aber beachten Sie, dass es kleine Unterschiede zwischen diesen Plattformen gibt und wie sie Token unterstützen.

Ein IT-Administrator oder Endanwender kann die EMM-Token-Registrierung verwenden, um ein Gerät in Android Enterprise zu registrieren. In jedem Fall erwartet den Benutzer, der das Gerät einrichtet, der folgende Prozess:

1. Stellen Sie vor der Token-Registrierung sicher, dass das Benutzergerät die erforderlichen Voraussetzungen erfüllt und entweder neu ist oder auf die Werkseinstellungen zurückgesetzt wurde. Der Einrichtungsprozess muss bei Null beginnen, um Konflikte mit bestehenden Konfigurationen zu vermeiden.
2. Schalten Sie das Gerät ein und folgen Sie dem Einrichtungsassistenten.
3. Verbinden Sie das Gerät mit einem WLAN.
4. Das Gerät (jetzt online) erhält das eindeutige EMM-Token von der EMM-Plattform. Die Plattform generiert das Token über die EMM-API von Google Play. Anschließend wird das Token sicher über eine verschlüsselte E-Mail oder SMS an den Nutzer verteilt, der das Gerät einrichtet.
5. Wenn er aufgefordert wird, sich anzumelden, gibt er das EMM-Token anstelle eines Gmail-Kontos ein. Das Gerät holt sich dann seine Konfiguration aus dem EMM-System, das mit dem Token verknüpft ist.
6. Das Gerät kommuniziert mit dem EMM-Server unter Verwendung des Tokens, um sich zu authentifizieren und die erforderlichen Konfigurationsprofile und Verwaltungseinstellungen herunterzuladen.
7. Befolgen Sie alle zusätzlichen Aufforderungen, um die Einrichtung abzuschließen. Dazu kann die Konfiguration von Sicherheitsrichtlinien oder die Installation von Unternehmensanwendungen gehören.