Android for Work und UEM: Alte und neue Anbindung

Seit dem Release der neuen BlackBerry MDM Software BES12.6 UEM (Unified Endpoint Manager) gibt es zwei Verbindungsarten zwischen Android for Work (AfW) und MDM System.

Alte Anbindung – Domainverifizierung

Für die bisher genutzte Anbindung haben die Domainverantwortliche selbige bei Google verifziert per Google Suite Konto.

Die Google Suite stellt an sich eine eigene Office Suite mit Verwaltungsfunktionen dar. Bisher konnten Kunden eine kostenlose G Suite erstellen und innerhalb dieser per Token BES12 mit der Suite verknüpfen.

Doch hier gab es Änderungen:

  • Konnte man zu Anfang mehrere Domains hinterlegen, sind zur Zeit nur Sudomains in der kostenlosen Variante möglich
  • Es gibt keine Möglichkeit zur kostenlose Neuanmeldung, die Tarife starten mit 4€/Nutzer (Gmail Adresse)/Monat

Vorteile

  • Eigene Verwaltungskonsole zur Verwaltung von AfW Konten zur dedizierten Ansicht dieser
  • Android Protection kann vom Administrator umgangen werden, in dem er sich ein neues Passwort vom Nutzerkonto schicken lässt

Nachteile

  • Unbedarfte Administratoren bilden die interne Strukturen komplett in Google ab
  • Unter Umständen muss der Administrator in zwei Konsolen arbeiten: BES und AfW Konsole
  • Neuanmeldungen nicht mehr kostenlos
  • Weitere Domains nur in der kostenpfllichtigen G Suite möglich

Neue Anbindung – Generisches Google Konto

Die neue Anbindung macht alles stark vereinfacht. Es wird lediglich ein „normales“ Gmail Konto erstellt und zur Verwaltung in UEM verwendet. Dieses generiert bei einer AfW Aktivierung ein neues Google Konto, welches auf dem Smartphone für den geschäftlichen Bereich genutzt wird, zum Beispiel im Google Play Store for Work.

Die Verwaltung über Apps und Lizenzen wird über https://play.google.com/work vorgenommen.

Vorteile

  • Nur eine Verwaltungskonsole
  • Mehrere Domains über ein generisches Konto möglich
  • Einfache Provisionierung von Apps
  • Kostenlos

Nachteile

  • Keine Handlungsmöglichkeit bei Android Protect / Device Manager unterhalb von Android Oreo

Android Protect

Android hat ein Sicherheitssystem hinterlegt. Dieses sorgt dafür, dass nur trusted wipes möglich sind: Factory Reset Protection (FRP).

Wenn der Nutzer ein Google Konto einrichtet, wird das Gerät fest mit diesem Konto verknüpft. Sollte das Gerät aus der Ferne gelöscht werden, kann es erst wieder mit den Login Daten des zuvor verknüpften Google Kontos genutzt werden. Geht es verloren, muss der „Finder“ die Displaysperre, welche hoffentlich gesetzt ist, bewältigen, um ein neues Konto zu hinterlegen. Aber auch zum Löschen des originalen Google Kontos bedarf der Login Daten. Nutzer können auch, wenn die Google Dienste aktiviert und eventuell der Device Manager installiert ist, das eigene Gerät orten und oder sperren.

Ab Android Oreo hat sich dies mit “Work Profile” für COPE Aktivierungen erledigt: Das Gerät wird wie bei Workspace only zuerst mit dem beruflichen Konto aktiviert. Der Nutzer darf dann ein persönliches hinzufügen. (Weitere Informationen)

Fazit

Man muss hier nach technischen und unternehmerischen Aspekten unterscheiden.

Technisch

Ist man auf Sicherheit bedacht, bietet die alte Anbindung klar Vorteile. Voraussetzung: Man erstellt händisch die AfW Konten und bildet nicht die interne Struktur in der AfW Konsole ab.

Nehmen wir mal an, dass ein Unternehmen nur COPE nutzt. Dabei gehören die Geräte dem Unternehmen und werden an die Mitarbeiter ausgegeben. Die MA dürfen die Geräte auch privat nutzen. Die Geräte werden also zuerst mit dem persönlichen Google Konto eingerichtet.

Besteht ein geschädigtes Vertrauensverhältnis zwischen MA und Unternehmen und der MA soll/will das Unternehmen verlassen. Wird der geschäftliche Bereich durch das MDM gelöscht, registriert das Android Smartphone dies als „untrusted wipe“. Das Gerät kann nur mit den Credentials des MAs wie oben beschrieben weiter genutzt werden. Bei der alten Anbindung kann man diese umgehen, indem man sich selbst ein neues Passwort zuschickt. Für die neue Anbindung kann man dies nur ab Android Oreo wie oben beschrieben umgehen.

Doch die neue Anbindung ist wesentlich einfacher zu verwalten. Bei Nutzung eines UEMs, arbeitet man nur noch in dessen Konsole und muss nur für einen Erwerb von App Lizenzen in den Google Play Store for Work. Die AfW Konsole der G Suite entfällt komplett. Und die Domainanzahl interessiert diese Anbindung gar nicht.

Unternehmerisch

Hat man noch eine kostenlose Anbindung mit nur einer Domain, sollte man diese behalten. Denn es gibt keine Migration von alter zu neuer Anbindung. Man kann zwar einen schon mit alter Anbindung eingerichteten UEM auf die neue Anbindung bringen, die Endgeräte müssen jedoch neu aktiviert werden.

Hat man noch keine Anbindung, sollten die Kosten durchgerechnet werden. Es stehen 4€/Nutzer/Monat  gegen evtl unbrauchbare Geräte durch Android Protection.

Generell zu beachten:

  • Nutzt man schon AfW und hat eine bestehende Anbindung?
  • Welches Rechtemodell will man einsetzen?
  • Welche Android Version wird verwendet?
  • Wieviele Geräte / Nutzerkonten sind im Einsatz?
  • Wieviele Domains / Subdomains sind im Einsatz?

Forumsdiskussion

Tagged on: , , , , , ,

bb10qnx