Google-Funktionen für die Android-Geräteverwaltung
Google hat diverse APIs und Service für das Android-Management in Unternehmen entwickelt. Wir erklären die Funktionen, mit denen die Geräteverwaltung zum Kinderspiel wird.
Google erweitert das Android-Betriebssystem ständig um neue Funktionen für die Verwaltung von Geräten in Unternehmen; aber es ist nicht immer klar, wie sich die Tools und Technologien voneinander unterscheiden oder wie die IT-Abteilung Android-Geräte und -Anwendungen damit effektiv verwalten kann.
Dieser Überblicksartikel erläutert die größten Unterschiede zwischen den unternehmensspezifischen Android-Funktionen und hilft Administratoren dabei, ihre Optionen beim Management von Android-Geräten besser zu verstehen.
APIs und Services für das Management von Android-Geräten
Device Management API: Google hat diese API in Android 2.2 eingeführt, um Entwicklern Funktionen für die Geräteverwaltung auf Systemebene zur Verfügung zu stellen.
Sie wird heute als Altlastenoption betrachtet, da sie nicht mehr umfassend genug ist, um den jetzigen Sicherheits- und Managementanforderungen gerecht zu werden. So kann die API beispielsweise Gerätepasswörter auf verschlüsselten Geräten nicht sicher zurücksetzen. Zudem ist es Administratoren nicht möglich, definierte Passcodes einrichten, um einen Benutzer von einem Gerät auszuschließen.
Stattdessen sollte die IT bei der Anbindung an das Android-Betriebssystem auf neuere Android-Technologien wie Android Enterprise umsteigen. Mit der Veröffentlichung von Android Q (10) im September 2019 verabschiedete Google Richtlinien zur Geräteverwaltung, die es der IT-Abteilung ermöglichten, unter anderem Bildschirmfunktionen und Kameras zu sperren.
Android Enterprise: Google änderte den Namen von Android for Work in Android Enterprise und erweiterte die Plattform um umfassendere Unternehmensfunktionen. Android Enterprise ist ein Überbegriff, der die breite Palette an Sicherheits- und Verwaltungsfunktionen abdeckt, die in den neuesten Versionen des Android-Betriebssystems verfügbar sind. Android Enterprise kann mit den EMM-Plattformen (Enterprise Mobility Management) vieler Anbieter integriert werden, um verschiedene BYOD-Szenarien und diverse Methoden zur Bereitstellung von Android-Geräten in einer Organisation zu unterstützen.
Moderne Management-APIs: Android bietet mehrere APIs für die Arbeit mit den Ökosystemen Android und Google Play. Eine der wichtigsten ist die Android Management API. Anbieter können sie in ihre EMM-Plattformen integrieren, um Kunden Tools für die Bereitstellung, Sicherung und Verwaltung von Android-Geräten und -Anwendungen zur Verfügung zu stellen. Die Android Management API ist in Android Enterprise integriert. Für ein starkes Android-Gerätemanagement in Unternehmen sollten IT-Teams nach EMM-Produkten Ausschau halten, die die Vorteile dieser APIs voll ausschöpfen, wie VMware AirWatch von Workspace One, MobileIron, IBM MaaS360 oder andere Produkte.
Android Things API: Android Enterprise unterstützt auch die Verwaltung von IoT-Geräten über das Android-Things-Programm. Zunächst müssen Administratoren eine spezialisierte Version des Android-Betriebssystems bereitstellen, die über das Android SDK und die Android Things API auf IoT-Geräten funktioniert. Dann muss die IT-Abteilung einen Geräterichtlinien-Controller für die Schnittstelle mit einer vorhandenen EMM-Plattform und dem benutzerdefinierten Betriebssystem bereitstellen.
Google Cloud Identity: Administratoren können die Identity-Management-as-a-Service-Plattform von Google verwenden, um Android-Geräte zu verwalten, zu sichern und zu überwachen. Google Cloud Identity ist in allen Editionen der G Suite und allen Produkten der Google Cloud Platform enthalten; 2018 hat Google es auch als eigenständiges Produkt veröffentlicht. Es unterstützt neben Android auch Apple iOS, Windows 10 und MacOS.
Android Enterprise Recommended: Google hat das Recommended-Programm eingeführt, um sicherzustellen, dass Android-Geräte und damit verbundene Dienste den festgelegten Anforderungen und bewährten Verfahren für die Verwaltung von Android-Unternehmensgeräten entsprechen. Das Programm definiert einen erhöhten Satz von Spezifikationen für die Validierung von EMM-Produkten, Mobilfunkdiensten und Android-Geräten. Google stellt auf seiner Android-Enterprise-Website eine Liste der validierten Produkte und Services zur Verfügung.
Enterprise Provisioning: Google unterstützt verschiedene Bereitstellungs- und Registrierungsoptionen für Android-Geräte, wie die Verwendung von QR-Codes oder Anwendungen zur Bereitstellung von Nahfeldkommunikation. Seit Android 8.0 Oreo können Administratoren auch firmeneigene Geräte für die Zero-Touch-Registrierung konfigurieren, wodurch sich ein Gerät beim ersten Einschalten automatisch im EMM registriert. Android Enterprise bietet noch mehr Registrierungsoptionen, beispielsweise die Verwendung eines EMM-Tokens oder eines Google-Unternehmenskontos mit der G Suite.
Project Mainline: Mit der Veröffentlichung von Android Q stellte Google Project Mainline vor, eine Initiative zur Verbesserung und Standardisierung von Sicherheitsupdates für Android-Geräte in Unternehmen. Vor Project Mainline gab Google Sicherheitsaktualisierungen über die Originalhersteller (OEM) der Geräte heraus. Ziel von Project Mainline ist es, dass Google Sicherheitsaktualisierungen über den Google Play Store sendet, ohne OEMs einzuschalten. Dies ermöglicht es der IT-Abteilung, Sicherheitsupdates automatisch oder manuell auf Geräte mit Android Q und späteren Versionen zu verteilen, sobald diese veröffentlicht werden.
OEMConfig: Google hat das Programm OEMConfig veröffentlicht, um die Verwaltung von Android-Geräten für Unternehmen zu standardisieren. Aufgrund des Open-Source-Charakters von Android hatten OEMs die Möglichkeit, Änderungen am Betriebssystem vorzunehmen. Das führte zu einem fragmentierten Android-Ökosystem und Komplikationen, da die EMM-Anbieter Mühe hatten, mit diesen Änderungen Schritt zu halten. Mit OEMConfig erstellen OEMs eine OEMConfig-Datei und laden diese in den Google Play Store hoch, sobald sie ein neues Gerät oder Software-Update veröffentlichen. Anschließend können IT-Administratoren auf die Datei zugreifen und sie zu einer EMM-Plattform hinzufügen, die OEMConfig unterstützt.
Gerätebereitstellung
Work Managed: Bereitstellungen im Modus Work Managed gelten für firmeneigene Geräte, die Mitarbeiter ausschließlich geschäftlich nutzen. Administratoren kontrollieren hier das gesamte Gerät inklusive Daten und Anwendungen und können festlegen, dass das Gerät nur für genehmigte, auf die Arbeit bezogene Vorgänge benutzt werden darf. Nutzer sollten daher keine Geräte in diesem Modus für private Zwecke verwenden.
Work Profile: Administratoren können mit dem Modus Work Profile BYOD-Szenarien unterstützen. Ein Work Profile ist ein eigenständiger, vollständig verschlüsselter Arbeitsbereich, der auf dem Gerät des Benutzers installiert ist. Das Work Profile beschränkt die administrative Kontrolle auf den geschäftlichen Arbeitsbereich und nicht auf das gesamte Gerät. Es enthält auch Unternehmens-Anwendungen, -Daten und –Richtlinieneinstellungen. Diese sind innerhalb des Profils von privaten Informationen und Aktivitäten getrennt.
Corporate Owned, Singel Use (COSU): Der COSU-Ansatz zielt auf unternehmenseigene Geräte, die für einzelne, spezifische Anwendungsfälle eingesetzt werden, beispielsweise Kioske, Paketdienste oder Warenwirtschaftssysteme. Bei diesem Modell können Administratoren ein Android-Gerät für eine begrenzte Anzahl von Anwendungen und Funktionen freischalten und gleichzeitig verhindern, dass Benutzer bestimmte Funktionen aktivieren oder andere Aktionen ausführen.
Verwaltete Geräte mit Work Profiles: Seit Android 8.0 ist es möglich, Work Profiles in Verbindung mit Work-Managed-Geräten zu verwenden, um Unternehmensdaten und Anwendungen von privaten Anwendungen zu trennen. Im Rahmen dieses Modells kontrollieren Administratoren das gesamte Gerät. Damit können sie die Ressourcen des Unternehmens schützen und gleichzeitig den Benutzern einen weniger restriktiven Arbeitsbereich für den persönlichen Gebrauch zur Verfügung zu stellen.
Management von Android-Anwendungen
Managed Google Play: Die verwaltete Version von Google Play kombiniert grundlegende App-Store-Funktionalität mit Verwaltungsfunktionen, um der IT-Abteilung eine unternehmensweite App-Store-Option zu bieten. Administratoren können Apps bereitstellen und genehmigen, App-Lizenzen erwerben, Berechtigungen verwalten und andere Verwaltungsaufgaben ausführen. Endnutzer können Apps durchsuchen, App-Details anzeigen, Apps auf ihren Geräten installieren und andere Aktionen durchführen, ähnlich wie bei der Nutzung des öffentlichen Google Play-Stores.
Google Play EMM API: Wenn die Google Play-API in ein EMM-Produkt integriert ist, können Administratoren festlegen, welche Apps Benutzer herunterladen dürfen, App-Installationen kontrollieren, Massenlizenzen verwalten und eine Vielzahl anderer Aufgaben ausführen. Die API arbeitet mit Managed Google Play zusammen und unterstützt so den gesamten Lebenszyklus des App-Managements.
EMM-Anwendungsmanagement: Die Android-Management API beinhaltet eine Reihe von Funktionen, die speziell für das App-Management entwickelt wurden. Eine EMM-Plattform, die diese API enthält, ermöglicht es Administratoren, Work Profiles bereitzustellen, Verwaltungsrichtlinien auf App-Ebene anzuwenden, Anwendungen und Daten zu sichern oder Anwendungen automatisch zu installieren. Zudem können sie verhindern, dass Anwendungen deinstalliert werden, öffentliche und private Anwendungen verteilen und andere administrative Aufgaben ausführen.
EMM Device Policy Controller: Ein Device Policy Controller ist auf einem Android-Gerät installiert. Damit können Administratoren den Zugriff auf Unternehmens-Anwendungen und -Daten verwalten. Der Controller arbeitet mit EMM zusammen, um Work Profiles auf privaten Geräten bereitzustellen und die Sicherheitsrichtlinien eines Unternehmens durchzusetzen.