Startseite
Insight15.11.2021

Android Enterprise Einschreibung

Was ist Android Enterprise und wird es durch Relution unterstützt?

Neben der bekannten Verwaltung von Android Geräten über die Funktion des Geräte Administrators, auch “Klassik-Modus” genannt, bei dem für die Geräteeinschreibung und die weiteren MDM-Funktionen zwingend der Relution Client als Geräte Administrator erforderlich ist, unterstützt Relution auch das Android Enterprise Enrollment. Hierbei gibt es die Ausprägungen Arbeitsprofil (BYOD), verwaltetes Gerät (COD) und persönliches Profil (COPE).

Bei Android Enterprise kommuniziert Relution mit dem Device Management Server von Google und nicht mehr direkt mit dem Gerät. Die Einschreibung sowie alle MDM-Funktionen können daher ohne den Relution Client ausgeführt werden. Dabei werden keine private Google IDs benötigt, um Apps aus dem Managed Google Play Store auf den Geräten zu installieren.

Wie wird Android Enterprise in Relution eingerichtet?

Um Android Enterprise mit dem Mobile Device Management Relution nutzen zu können, muss die entsprechende Relution Organisation mit einer Google Organisation verknüpft sein. Eine Anleitung für die Verknüpfung ist im Insight Android Enterprise einrichten in Relution beschrieben.

Lassen sich Apps auf Android Enterprise Geräten über Relution installieren?

Im Gegensatz zu dem Android “Klassik-Modus”, bei dem ausschließlich native Apps als .apk-Dateien verteilt werden können, werden bei Android Enterprise Apps aus dem Managed Play Store installiert. Für die Installation von Apps wird keine Google ID benötigt, da im Hintergrund automatisch die eindeutige technische ID verwendet wird. Dadurch werden auch automatisch App Updates über den Managed Play Store auf die Geräte verteilt. Die manuelle Aktualisierung der App über neue Versionen einer .apk-Datei entfällt dadurch.

Android Enterprise Arbeitsprofil (BYOD)

Kann man Android Enterprise Arbeitsprofil mit Relution nutzen?

Ist die Relution Organisation mit einem Google Konto verknüpft, lässt sich anschließend bei der Einschreibung zusätzlich zur Plattform „Android Enterprise“ auch der Typ „Arbeitsprofil“ auswählen:

insight-android_enterprise_geraet_profil-01-de.png

Was sind die Vorteile von Android Enterprise Arbeitsprofil?

Das Android Arbeitsprofil gestattet es Unternehmen, Verwaltungen oder Schulen, auf privaten Geräten der Angestellten, sogenannte Bring Your Own Devices (BYOD), einen Container einzurichten, der ausschließlich dienstliche Apps, Inhalte und Funktionen beinhaltet. Die geschäftlichen und privaten Daten auf dem Gerät sind so strikt getrennt. Dies kann zum Beispiel die Trennung von privaten und geschäftlichen E-Mails sein. Diese können über das Android Enterprise Arbeitsprofil unabhängig voneinander genutzt werden, ohne dass sich private und geschäftliche Inhalte beim Empfangen und Versenden von E-Mails auf dem Gerät vermischen. Das geschäftliche E-Mail-Konto hat dabei nur Zugriff auf geschäftliche Kontakte wohingegen das private E-Mail-Konto nur Zugriff auf die privaten Kontakte hat. Erzeugte Daten auf dem Gerät oder in verwendeten Apps können durch Relution grundsätzlich nicht ausgelesen werden.

Android Enterprise verwaltetes Gerät (COD)

Kann man Android Enterprise verwaltetes Gerät mit Relution nutzen?

Ist die Relution Organisation mit einem Google Konto verknüpft, lässt sich anschließend bei der Einschreibung zusätzlich zur Plattform „Android Enterprise“ auch der Typ „Verwaltetes Gerät“ auswählen:

insight-android_enterprise_geraet_profil-02-de.png

Was sind die Vorteile von verwalteten Geräten?

Im Gegensatz zum Arbeitsprofil sind verwaltete Geräte für Corporate Owned Devices (COD) gedacht. Das Unternehmen, die Verwaltung oder Schule hat damit die vollständige Kontrolle über das Gerät und kann neben der App-Installation alle Funktionen des Gerätes steuern. So ist es bspw. möglich, WLAN-Verbindungen einzurichten und Apps zu installieren oder den Zugriff auf die Einstellungen zu verbieten. Erzeugte Daten auf dem Gerät oder in verwendeten Apps können durch Relution grundsätzlich nicht ausgelesen werden. Es können lediglich die Gerätedetails ausgelesen werden und, welche Apps auf dem Gerät installiert sind.

Android Enterprise verwaltetes Gerät mit persönlichem Profil (COPE)

Kann man Android Enterprise verwaltetes Gerät mit einem persönlichen Profil mit Relution nutzen?

Ist die Relution Organisation mit einem Google Konto verknüpft, lässt sich anschließend bei der Einschreibung zusätzlich zur Plattform „Android Enterprise“ auch der Typ „Verwaltetes Gerät mit persönlichem Profil“ auswählen:

insight-android_enterprise_geraet_profil-03-de.png

Was sind die Vorteile von verwalteten Geräten mit persönlichem Profil (COPE)?

Verwaltete Geräte mit einem persönlichen Profil stehen ebenfalls unter der vollständigen Kontrolle des MDMs eines Unternehmens, der Verwaltung oder Schule. Jedoch gibt es auf dem Gerät neben einem Bereich “Arbeit” automatisch einen weiteren Bereich „Persönlich“. So kann ein Arbeitsgerät auch privat genutzt werden. Die geschäftlichen und privaten Daten auf dem Gerät sind wie beim Arbeitsprofil ebenfalls strikt getrennt. Im Gegensatz zu einem privaten Gerät mit Arbeitsprofil kann der Benutzer bei einem Arbeitsgerät mit persönlichem Profil das Arbeitsprofil nicht löschen.

Wie lassen sich Android Enterprise Geräte in Relution konfigurieren?

Eingeschriebene Android Enterprise Geräte können über Richtlinien spezifische Einstellungen erhalten, die auf kompatible Geräte angewendet werden können. Dabei werden Android Enterprise Konfigurationen in „Arbeitsprofil“ und „Verwaltetes Gerät“ unterschieden:

insight-android_enterprise_geraet_profil-04-de.png

Folgende Konfigurationen sind für beide Typen identisch, beziehen sich aber jeweils auf den bestimmten Anwendungsbereich:

  • Apps verwalten
  • Laufzeitberechtigungen verwalten
  • Passwort
  • Restriktionen.

Bei „Arbeitsprofil“ wirken sich die Einstellungen immer nur auf das Arbeitsprofil aus, da keine Hoheit über das gesamte Gerät besteht. Restriktionen, die sich auf das Gerät beziehen, haben bei Arbeitsprofil dementsprechend keine Auswirkungen. Bei „Verwaltetes Gerät“ beziehen sich die Einstellungen immer auf das gesamte Gerät.

Des weiteren gibt es zusätzliche Konfigurationen, die nur für „Verwaltetes Gerät“ verfügbar sind:

  • Erweiterte Keyguard-Verwaltung
  • Erweiterte Standortfreigabe-Einstellungen
  • Systemfunkverwaltung
  • WLAN.

Wie werden Public Apps auf Android Enterprise Geräten installiert?

Über die Konfiguration Arbeits-Apps verwalten lassen sich Apps aus dem Managed Play Store auf die Geräte laden:

insight-android_enterprise_geraet_profil-05-de.png

Auf der jeweiligen App-Detailseite lässt sich über den „Auswählen“ Button die App zur Konfiguration hinzufügen:

insight-android_enterprise_geraet_profil-06-de.png
insight-android_enterprise_geraet_profil-07-de.png

Sind Voreinstellungen für die Installation von Apps auf Android Enterprise Geräten möglich?

Für jede hinzugefügte App können folgende übergeordnete Einstellungen vorgenommen werden:

insight-android_enterprise_geraet_profil-08-de.png
insight-android_enterprise_geraet_profil-09-de.png
  • Vorinstalliert bedeutet, dass die App auf dem Gerät installiert wird, aber vom Benutzer entfernt werden darf, sofern dies nicht in den Restriktionen global unterbunden wird.
  • Installation erzwungen bedeutet, dass die App auf dem Gerät installiert wird und vom Benutzer nicht entfernt werden kann.
  • Blockiert bedeutet, dass die App nicht installiert werden kann oder, falls bereits installiert, nicht verwendet werden kann. Die App wird gegebenenfalls ausgeblendet.
  • Verfügbar bedeutet, dass die App für den Benutzer im Managed Play Store auf dem Gerät verfügbar ist und von diesem bei Bedarf installiert werden kann.
  • Deaktiviert (Checkbox) bedeutet, dass die App, falls installiert, nicht verwendet werden darf. Die App wird im Gegensatz zu blockiert nicht deinstalliert.
  • Minimal erforderliche Versionscode legt fest, welche Version der App mindestens installiert werden muss.

Für jede App können weitere spezifische Einstellungen vorgenommen werden.

Laufzeitberechtigungen verwalten

Wenn eine App zur Laufzeit nach Berechtigungen fragt, z.B. Zugriff auf Kamera oder GPS, muss in der Regel der Benutzer entscheiden, ob Zugriff gewährt wird oder nicht.

Über diese Einstellung kann der Administrator vorgeben, wie die Anfrage der App beantwortet wird. Der Benutzer wird in diesem Falle nicht mehr um Zustimmung gebeten.

insight-android_enterprise_geraet_profil-10-de.png

Folgende Einstellungen sind möglich:

insight-android_enterprise_geraet_profil-11-de.png
  • Globalen Standard verwenden bedeutet, dass für alle Apps dieselbe Einstellung gilt, was separat über die Konfiguration “Laufzeitberechtigungen verwalten” gesteuert wird.
  • Den Anwender fragen bedeutet, das Gerät verhält sich wie normal und der Anwender wird um Berechtigung gefragt.
  • Berechtigungen geben bedeutet, dass die App die Berechtigung erhält, ohne dass der Anwender gefragt wird.
  • Berechtigungen verweigern bedeutet, dass die App keine Berechtigung erhält, ohne dass der Anwender gefragt wird.

Standard Android-Berechtigungen

Die Standardantwort bei Laufzeitberechtigungen gilt für alle Berechtigungen einer App. Im Gegensatz dazu kann bei den Standard Android-Berechtigungen pro Berechtigung separat festgelegt werden, welche Antwort verwendet werden soll.

Hier besteht für den Administrator die Möglichkeit festzulegen, welche Antwort für eine bestimmte Berechtigung gegeben werden soll, um differenzierter vorzugehen. Für die jeweilige Berechtigung dieser App wird damit die globale Einstellung überschieben.

Damit lassen Supportaufwände reduzieren, da Berechtigungen nicht mehr fehlerhaft gesetzt werden können. Zudem kann der Datenschutz gewährleistet und bspw. der Zugriff auf GPS-Positionsdaten zentral unterbunden werden.

insight-android_enterprise_geraet_profil-12-de.png

Benutzerdefinierte Berechtigungen

Falls eine App zusätzliche App-spezifische App-Berechtigungen verwendet, die Zustimmung benötigen, so kann diese hier konfiguriert werden.

insight-android_enterprise_geraet_profil-13-de.png

Verwaltete Konfiguration

Wenn eine App die verwaltete Konfiguration unterstützt, so besteht die Möglichkeit, diese von Google abzufragen und zu pflegen. Die Oberfläche kommt von Google und kann durch Relution nicht beeinflusst werden. Die Einstellungsmöglichkeiten, die hier zur Verfügung stehen, sind durch den Entwickler der jeweiligen App definiert. Falls eine App keine verwaltete Konfiguration anbietet, sind hier entsprechend keine Optionen verfügbar.

insight-android_enterprise_geraet_profil-14-de.png

Welche weiteren Apps lassen sich auf Android Enterprise Geräten installieren?

Neben Public Apps können auch Private Apps und Web-Apps hinzugefügt und installiert werden:

insight-android_enterprise_geraet_profil-15-de.png

Private Apps sind Apps, die vom Unternehmen in den Play Store hochgeladen wurden, aber nicht für die Öffentlichkeit zur Verfügung stehen. Der für eine private App verwendete Package-Name darf nicht von einer im Play Store veröffentlichen App genutzt werden.

Lassen sich Web-Links mit Android Enterprise auf Geräten bereitstellen?

Im Managed Play Store können über den Menüpunkt Web-Apps zusätzlich zu Apps auch Links auf beliebige Webinhalte verfügbar gemacht werden. Hierbei können stehen unterschiedliche Optionen gewählt werden:

insight-android_enterprise_geraet_profil-16-de.png

Was sind Laufzeitberechtigungen und welche Einstellungen sind möglich?

Zusätzlich zur Konfiguration von Berechtigungen auf App-Ebene, können über diese Konfiguration globale Einstellungen vorgenommen werden. Diese beziehen sich entsprechend auf alle Apps, für die keine speziellen Einstellungen gelten. Damit lassen Supportaufwände reduzieren, da Berechtigungen nicht mehr fehlerhaft gesetzt werden können. Zudem kann der Datenschutz gewährleistet und bspw. der Zugriff auf GPS-Positionsdaten zentral unterbunden werden.

insight-android_enterprise_geraet_profil-17-de.png

Können Passwörter für Android Enterprise Geräte vorkonfiguriert werden?

Über die Passwort-Konfiguration lässt sich vorgeben, dass auf dem Gerät ein Passwort durch den Benutzer verwendet werden muss. Zusätzlich kann der Administrator vorgeben, dass keine Unternehmens-Apps verwendet werden können, solange kein Passwort entsprechender Stärke vergeben wurde.

insight-android_enterprise_geraet_profil-18-de.png

Lassen sich Android Enterprise Geräte einschränken?

Über die Konfiguration Restriktionen lassen sich einzelne Funktionen des Gerätes ein- oder ausschalten. Einstellungen für die folgenden Kategorien stehen hierfür zur Verfügung:

  • Vorgegebene Restriktionen
  • Benutzerkontorestriktionen
  • App-Restriktionen
  • Restriktionen für Anpassungen
  • Geräterestriktionen
  • Multimediarestriktionen
  • Netzwerkrestriktionen
  • Restriktionen für Speicher
  • Restriktionen für Telefonie.
insight-android_enterprise_geraet_profil-19-de.png

Können Funktionen auf dem Sperrbildschirm eines verwalteten Gerätes eingeschränkt werden (Keyguard)?

Über die Konfiguration „Erweiterte Keyguard-Verwaltung“ lassen sich Funktionen verwalten, die verfügbar sind, solange das Gerät gesperrt ist. Dazu gehören Funktionen, die das Gerät entsperren sowie die Kamera.

insight-android_enterprise_geraet_profil-20-de.png

Ist es möglich, die Ortungsdienste auf einem verwalteten Gerät zu konfigurieren?

Über die Konfiguration „Erweiterte Standortfreigabe-Einstellungen“ lassen sich Ortungsdienste grundsätzlich deaktivieren oder einschränken. So kann z.B. die Ortung über GPS deaktiviert werden (Batterieschonend).

insight-android_enterprise_geraet_profil-21-de.png

Welche Einstellungen lassen sich unter der Konfiguration Systemfunk-Verwaltung für verwaltete Geräte vornehmen?

Über die Konfiguration Systemfunk-Verwaltung lassen sich Funktionen des Gerätes ein- oder ausschalten, die mit drahtlosen Netzwerktechnologien in Verbindung stehen (Bluetooth, WLAN, Mobilfunk).

insight-android_enterprise_geraet_profil-22-de.png

Können WLAN-Netzwerke für verwaltete Geräte vorkonfiguriert werden?

Mit der Konfiguration „WLAN“ werden Netzwerke vordefiniert und dem Android Enterprise „Verwaltetes Gerät“ verfügbar gemacht:

insight-android_enterprise_geraet_profil-23-de.png

Was sind die Vorteile von Android Enterprise?

Zusammenfassend lässt sich sagen, dass Android Enterprise weitreichende Einstellungen bietet und fortlaufend durch Google/Alphabet erweitert und optimiert wird. Durch die zunehmende Standardisierung wird es ermöglicht, Geräte verschiedener Hersteller einzusetzen.

Das einheitliche Verfahren gewährleistet, dass alle Konfigurationen unabhängig vom Gerätehersteller funktionieren. Die Vorteile im Überblick:

  • Direkte Kommunikation mit dem Device Management Server von Google.
  • Apps müssen nicht mehr umständlich nativ als .apk Datei bereitgestellt werden, sondern werden direkt aus dem Managed Play Store installiert.
  • Es wird keine Google ID und somit keine Nutzerinteraktion bei der App Installation auf dem Gerät benötigt.
  • Über das Arbeitsprofil besteht die Möglichkeit, einen eigenständigen Work Container für Apps, Mails und Daten mit strikter Datentrennung bereitzustellen.
  • Verwaltete Geräte lassen sich vollständig kontrollieren und alle Funktionen der Geräte können analog zum Apple Supervised Mode gesteuert werden.
  • Ein verwalteter Google Play Store ermöglicht die Bereitstellung ausschließlich erlaubter Apps.
  • Es lassen sich verwaltete Konfigurationen definieren, ähnlich zu Apple iOS Managed App Configurations
  • Erzwungene Geräteverschlüsselung.

Dennoch bietet Samsung mit seinem Knox Programm weiterhin eine Vielzahl an zusätzlichen Konfigurationen, die aktuell noch den größten Umfang an Möglichkeiten bieten.