Was ist Android Enterprise und wird es durch Relution unterstützt?


Neben der bekannten Verwaltung von Android Geräten über die Funktion des Geräte Administrators, auch “Klassik-Modus” genannt, bei dem für die Geräteeinschreibung und die weiteren MDM Funktionen zwingend der Relution Client als Geräte Administrator erforderlich ist, unterstützt Relution auch das Android Enterprise Enrollment. Hierbei gibt es die Ausprägungen Arbeitsprofil (Work Profile) und verwaltetes Gerät (Fully Managed Device).

Bei Android Enterprise kommuniziert Relution mit dem Device Management Server von Google und nicht mehr direkt mit dem Gerät. Die Einschreibung sowie alle MDM Funktionen können daher ohne den Relution Client ausgeführt werden. Dabei werden keine private Google IDs benötigt, um Apps aus dem Managed Google Play Store auf den Geräten zu installieren.

Wie wird Android Enterprise in Relution eingerichtet?


Um Android Enterprise mit dem Mobile Device Management Relution nutzen zu können muss die entsprechende Relution Organisation mit einer Google Organisation verknüpft sein. Unter Einstellungen -> Geräteverwaltung -> Android Enterprise wird hierfür ein entsprechendes Google Konto hinterlegt:


Mit Klick auf „Jetzt registrieren“ wird man zu Google Play weitergeleitet:


Für die Verknüpfung mit dem Google Managed Play Store sind ausschließlich nicht-verwaltete Google Konten nutzbar. Managed Accounts von Firmen für Mitarbeiter sind nicht möglich. Es ist zu beachten, dass ein Google Konto immer nur mit einem MDM-System verknüpft sein kann.


Nach Angabe des Unternehmens, Datenschutzbeauftragten und Zustimmung zu den Vereinbarungen für die Nutzung des Managed Play Stores wird man nach Bestätigung der Registrierung automatisch zu Relution zurückgeleitet:


Jedes Gerät, das über Android Enterprise eingeschrieben wird, bekommt automatisch eine technische ID innerhalb der verknüpften Google Organisation. Es handelt sich dabei um ein technisches Konto ohne Bezug zu einem echten Benutzer.

Lassen sich Apps auf Android Enterprise Geräten über Relution installieren?


Im Gegensatz zu dem Android “Klassik-Modus”, bei dem ausschließlich native Apps als .apk-Dateien verteilt werden können, werden bei Android Enterprise Apps aus dem Managed Play Store installiert. Für die Installation von Apps wird keine Google ID benötigt, da im Hintergrund automatisch die eindeutige technische ID verwendet wird. Dadurch werden auch automatisch App Updates über den Managed Play Store auf die Geräte verteilt. Die manuelle Aktualisierung der App über neue Versionen einer .apk-Datei entfällt dadurch.

Android Enterprise Arbeitsprofil (Work Profile)

Kann man Android Enterprise Work Profile mit Relution nutzen?



Ist die Relution Organisation mit einem Google Konto verknüpft lässt sich anschließend bei der Einschreibung zusätzlich zur Plattform „Android“ auch der Typ „Arbeitsprofil“ auswählen:


Was sind die Vorteile von Android Enterprise Arbeitsprofil?


Das Android Arbeitsprofil gestattet es Unternehmen, Verwaltungen oder Schulen auf privaten Geräten der Angestellten, sogenannte Bring Your Own Devices (BYOD), einen Container einzurichten, der ausschließlich dienstliche Apps, Inhalte und Funktionen beinhaltet. Die geschäftlichen und privaten Daten auf dem Gerät sind so strikt getrennt. Dies kann zum Beispiel die Trennung von privaten und geschäftlichen E-Mails sein. Diese können über das Android Enterprise Arbeitsprofil unabhängig voneinander genutzt werden, ohne dass sich private und geschäftliche Inhalte beim Empfangen und Versenden von E-Mails auf dem Gerät vermischen. Das geschäftliche E-Mail-Konto hat dabei nur Zugriff auf geschäftliche Kontakte wohingegen das private E-Mail-Konto nur Zugriff auf die privaten Kontakte hat.

Android Enterprise Verwaltetes Gerät (Fully Managed Device)

Kann man Android Enterprise Fully Managed Device mit Relution nutzen?



Ist die Relution Organisation mit einem Google Konto verknüpft lässt sich anschließend bei der Einschreibung zusätzlich zur Plattform „Android“ auch der Typ „Verwaltetes Gerät“ auswählen:


Was sind die Vorteile von verwalteten Geräten?

Im Gegensatz zum Arbeitsprofil sind verwaltete Geräte für Corporate Owned Devices (COD) gedacht. Das Unternehmen, die Verwaltung oder Schule hat damit die vollständige Kontrolle über das Gerät und kann neben der App Installation alle Funktionen des Gerätes steuern. So ist es bspw. möglich, WLAN-Verbindungen einzurichten und Apps zu installieren oder den Zugriff auf die Einstellungen zu verbieten.

Wie lassen sich Android Enterprise Geräte in Relution konfigurieren?


Eingeschriebene Android Enterprise Geräte können über Richtlinien spezifische Einstellungen erhalten, die auf kompatible Geräte angewendet werden können. Dabei werden Android Enterprise Konfigurationen in „Arbeitsprofil“ und „Verwaltetes Gerät“ unterschieden:


Folgende Konfigurationen sind für beide Typen identisch, beziehen sich aber jeweils auf den bestimmten Anwendungsbereich:

» Arbeits-Apps verwalten
» Arbeitsprofil-Passwort
» Laufzeitberechtigungen verwalten
» Passwort
» Restriktionen

Bei „Arbeitsprofil“ wirken sich die Einstellungen immer nur auf das Arbeitsprofil aus, da keine Hoheit über das gesamte Gerät besteht. Restriktionen, die sich auf das Gerät beziehen, haben bei Arbeitsprofil dementsprechend keine Auswirkungen. Bei „Verwaltetes Gerät“ beziehen sich die Einstellungen immer auf das gesamte Gerät.

Wie werden Public Apps auf Android Enterprise Geräten installiert?


Über die Konfiguration Arbeits-Apps verwalten lassen sich Apps aus dem Managed Play Store auf die Geräte laden:


Auf der jeweiligen App Detailseite lässt sich über den „Auswählen“ Button die App zur Konfiguration hinzufügen:



Sind Voreinstellungen für die Installation von Apps auf Android Enterprise Geräten möglich?


Für jede hinzugefügte App können folgende übergeordnete Einstellungen vorgenommen werden:



» Vorinstalliert bedeutet, dass die App auf dem Gerät installiert wird, aber vom Benutzer entfernt werden darf, sofern dies nicht in den Restriktionen global unterbunden wird.
» Installation erzwungen bedeutet, dass die App auf dem Gerät installiert wird und vom Benutzer nicht entfernt werden kann.
» Blockiert bedeutet, dass die App nicht installiert werden kann oder, falls bereits installiert, nicht verwendet werden kann. Die App wird gegebenenfalls ausgeblendet.
» Verfügbar bedeutet, dass die App für den Benutzer im Managed Play Store auf dem Gerät verfügbar ist und von diesem bei Bedarf installiert werden kann.
» Deaktiviert (Checkbox) bedeutet, dass die App, falls installiert, nicht verwendet werden darf. Die App wird im Gegensatz zu blockiert nicht deinstalliert.
» Minimal erforderliche Versionscode legt fest, welche Version der App mindestens installiert werden muss.

Für jede App können weitere spezifische Einstellungen vorgenommen werden

Laufzeitberechtigungen verwalten


Wenn eine App zur Laufzeit nach Berechtigungen fragt, z.B. Zugriff auf Kamera oder GPS, muss in der Regel der Benutzer entscheiden, ob Zugriff gewährt wird oder nicht. Über diese Einstellung kann der Administrator vorgeben, wie die Anfrage der App beantwortet wird. Der Benutzer wird in diesem Falle nicht mehr um Zustimmung gebeten.


Folgende Einstellungen sind möglich:


» Globalen Standard verwenden bedeutet, dass für alle Apps dieselbe Einstellung gilt, was separat über die Konfiguration “Laufzeitberechtigungen verwalten” gesteuert wird.
» Den Anwender fragen bedeutet das Gerät verhält sich wie normal und der Anwender wird um Berechtigung gefragt.
» Berechtigungen geben bedeutet, dass die App die Berechtigung erhält, ohne dass der Anwender gefragt wird.
» Berechtigungen verweigern bedeutet, dass die App keine Berechtigung erhält, ohne dass der Anwender gefragt wird.



Standard Android-Berechtigungen


Die Standard Antwort bei Laufzeitberechtigungen gilt für alle Berechtigungen einer App. Im Gegensatz dazu kann bei den Standard Android-Berechtigungen pro Berechtigung separat festgelegt werden, welche Antwort verwendet werden soll. Hier besteht für den Administrator die Möglichkeit festzulegen, welche Antwort für eine bestimmte Berechtigung gegeben werden soll, um differenzierter vorzugehen. Für die jeweilige Berechtigung dieser App wird damit die globale Einstellung überschieben. Damit lassen Supportaufwände reduzieren, da Berechtigungen nicht mehr fehlerhaft gesetzt werden können. Zudem kann der Datenschutz gewährleistet und bspw. der Zugriff auf GPS-Positionsdaten zentral unterbunden werden.


Benutzerdefinierte Berechtigungen


Falls eine App zusätzliche App-spezifische App Berechtigungen verwendet, die Zustimmung benötigen, so kann diese hier konfiguriert werden.


Verwaltete Konfiguration


Wenn eine App die verwaltete Konfiguration unterstützt, so besteht die Möglichkeit diese von Google abzufragen und zu pflegen. Die Oberfläche kommt von Google und kann durch Relution nicht beeinflusst werden. Die Einstellungsmöglichkeiten, die hier zur Verfügung stehen sind durch den Entwickler der jeweiligen App definiert. Falls eine App keine verwaltete Konfiguration anbietet sind hier entsprechend keine Optionen verfügbar.


Welche weiteren Apps lassen sich auf Android Enterprise Geräten installieren?


Neben Public Apps können auch Private Apps und Web-Apps hinzugefügt und installiert werden:


Private Apps sind Apps, die vom Unternehmen in den Play Store hochgeladen wurden, aber nicht für die Öffentlichkeit zur Verfügung stehen. Der für eine private App verwendete Package-Name darf nicht von einer im Play Store veröffentlichen App genutzt werden.



Im Managed Play Store können über den Menüpunkt Web-Apps zusätzlich zu Apps auch Links auf beliebige Webinhalte verfügbar gemacht werden. Hierbei können stehen unterschiedliche Optionen gewählt werden:


Können Passwörter für Android Enterprise Geräte vorkonfiguriert werden?


Über die Passwort-Konfiguration lässt sich vorgeben, dass auf dem Gerät ein Passwort durch den Benutzer verwendet werden muss. Zusätzlich kann der Administrator vorgeben, dass keine Unternehmens-Apps verwendet werden können, solange kein Passwort entsprechender Stärke vergeben wurde.


Was sind Laufzeitberechtigungen und welche Einstellungen sind möglich?


Zusätzlich zur Konfiguration von Berechtigungen auf App-Ebene, können über diese Konfiguration globale Einstellungen vorgenommen werden. Diese beziehen sich entsprechend auf alle Apps, für die keine speziellen Einstellungen gelten. Damit lassen Supportaufwände reduzieren, da Berechtigungen nicht mehr fehlerhaft gesetzt werden können. Zudem kann der Datenschutz gewährleistet und bspw. der Zugriff auf GPS-Positionsdaten zentral unterbunden werden.


Was sind Laufzeitberechtigungen und welche Einstellungen sind möglich?


Zusätzlich zur Konfiguration von Berechtigungen auf App-Ebene, können über diese Konfiguration globale Einstellungen vorgenommen werden. Diese beziehen sich entsprechend auf alle Apps, für die keine speziellen Einstellungen gelten. Damit lassen Supportaufwände reduzieren, da Berechtigungen nicht mehr fehlerhaft gesetzt werden können. Zudem kann der Datenschutz gewährleistet und bspw. der Zugriff auf GPS-Positionsdaten zentral unterbunden werden.

» Vorgegebene Restriktionen
» Benutzerkontorestriktionen
» App-Restriktionen
» Restriktionen für Anpassungen
» Geräterestriktionen
» Multimediarestriktionen
» Netzwerkrestriktionen
» Restriktionen für Speicher
» Restriktionen für Telefonie



Welche Einstellungen lassen sich unter der Konfiguration Systemfunk-Verwaltung vornehmen?


Über die Konfiguration Systemfunk-Verwaltung lassen sich Funktionen des Gerätes ein- oder ausschalten, die mit drahtlosen Netzwerktechnologien in Verbindung stehen (Bluetooth, WLAN, Mobilfunk).


Was sind die Vorteile von Android Enterprise?


Zusammenfassend lässt sich sagen, dass Android Enterprise weitreichende Einstellungen bietet und fortlaufend durch Google/Alphabet erweitert und optimiert wird. Durch die zunehmende Standardisierung wird es ermöglicht Geräte verschiedener Hersteller einzusetzen. Das einheitliche Verfahren gewährleistet, dass alle Konfigurationen unabhängig vom Gerätehersteller funktionieren. Die Vorteile im Überblick:

» Direkte Kommunikation mit dem Device Management Server von Google
» Apps müssen nicht mehr umständlich nativ als .apk Datei bereitgestellt werden, sondern werden direkt aus dem Managed Play Store installiert
» Es wird keine Google ID und somit keine Nutzerinteraktion bei der App Installation auf dem Gerät benötigt
» Über das Arbeitsprofil (Workprofile) besteht die Möglichkeit einen eigenständigen Work Container für Apps, Mails und Daten mit strikter Datentrennung bereitzustellen
» Verwaltete Geräte (Fully Managed Device) lassen sich vollständig kontrollieren und alle Funktionen der Geräte können analog zum Apple Supervised Mode gesteuert werden
» Ein verwalteter Google Play Store ermöglicht die Bereitstellung ausschließlich erlaubter Apps
» Es lassen sich verwaltete Konfigurationen definieren, ähnlich zu Apple iOS Managed App Configurations
» Erzwungene Geräteverschlüsselung

Dennoch bietet Samsung mit seinem Knox Programm weiterhin eine Vielzahl an zusätzlichen Konfigurationen, die aktuell noch den größten Umfang an Möglichkeiten bieten.

Mobile Device & App Management mit Relution

Kostenlos und zeitlich unbegrenzt für bis zu 5 Geräte & 5 Apps. Keine Zahlungsinformationen notwendig.