Android Aktivierungen: Was sich mit Version P und Q ändert – Auch für KNOX

Google wird Android umfassenden Änderungen unterwerfen und es wird sich einiges ändern. Diese neuen Funktionen und Änderungen hatte ich bereits verschriftet, werde aber in diesem Artikel nochmals detailliert auf Android P / Q / Dynamics / KNOX Aktivierungen an einem MDM eingehen.

MDM – Steuerelemente (MDM-C) Aktivierungen für z.B. Dynamics

Wenn man nur Apps auf den Geräten verteilen will oder AppContainer wie BlackBerry Dynamics auf Android nutzt, konnte man entweder per MAM (Mobile Application Management) only, also BYOD (Bring Your Own Device), oder per MDM-C (Mobile Device Management Controlled), COPE (Corporate Owned Personal Enabled), aktivieren. Bei der letzteren Option hat man als Administrator gewisse Berechtigungen auf dem Gerät und kann so bestimmte IT-Richtlinien durchsetzen. Doch genau in diesem Fall wird sich etwas ändern: der Geräteadministrator fällt weg und wird durch den DPC (Device Policy Controller) ersetzt.

Wenn man MDM-C aktiviert, wird nach Eingabe der Aktivierungsdaten der UEM Client als Geräteadministrator eingerichtet bzw. der Nutzer wird für eine erfolgreiche Aktivierung genau nach dieser Berechtigung für den Client gefragt. Damit kann dann der Client die IT-Richtlinien durchsetzen. Ab Android P ist der Funktionsumfang schon eingeschränkt.

Android Version Erscheinungsjahr Auswirkungen
P (9) 2018 Gerätekennwörter können nicht mehr gesetzt werden.
Bereits bestehende Aktivierungen bleiben bestehen.
Q (10) 2019 Es kann keine Aktivierung mehr durchgeführt werden, da die Berechtigung „Geräteadministrator“ nicht mehr vorhanden ist.
Aktivierungen bleiben nicht bestehen.

 

Vorgehen:

Alle MDM-C Aktivierungen müssen nun mit einer Android Enterprise Aktivierung durchgeführt werden. Sprich, man richtet ein Work Profile für die Dynamics Umgebung ein.

Im Falle von Dynamics muss man folgende Punkte durchführen:

  • Aktivierung mit Android Enterprise Work & Personal oder Workspace only
  • Im Enterprise Connectivity Profil BlackBerry Secure Connect Plus deaktivieren bzw eine Non-Premium Aktivierung durchführen
  • Bei einer Premium Aktivierung, also mit Connectivity als globalen VPN in Android Enterprise, in Dynamics Direct Connect konfigurieren oder im Enterprise Connectivity alle Dynamics Apps als Ausnahme hinzufügen

Hintergrund:

Nur mit Android Enterprise Nutzung kann man ab Android P und Q noch den vollen Umfang eines MDM Systems nutzen.
Da die Dynamics Apps eine eigene verschlüsselte Verbindung zum NOC aufbauen, muss man zur Vermeidung einer Datenschleife bei BSCP Nutzung diese entweder direkt mit der eigenen Infrastruktur kommunizieren lassen oder die Dynamics Apps als Ausnahme für die Nutzung des IP Tunnels konfigurieren.
Würde man das nicht tun, wäre der Kommunikationsweg wie folgt: Android Enterprise Work Perimeter -> BSCP Tunnel -> NOC -> (optional Proxy ->) UEM Server -> NOC -> UEM Server.
Die letzte Schleife über das NOC ist unnötig.

KNOX zu Unification

Bis Android Nougat (7) konnte man entweder KNOX Workspace oder aber Android Enterprise aktivieren. Bei Nutzung von KNOX wurden spezielle IT-Richtlinien und Hardwareverschlüsselung für den Workspace auf Samsung Geräten bereitgestellt. Ab Android Oreo (8) sind diese aber zusammengeführt: Unification.

Dies bedeutet, dass man ab Android Oreo eine Android Enterprise Aktivierung durchführen kann, aber die KNOX Richtlinien und die Hardwarefunktionen trotzdem genutzt werden. KNOX Workspace wird kurzfristig als eigenständige Lösung wegfallen, denn auch hier wird der Geräteadministrator genutzt. In Android Oreo wird noch COPE (Work and Personal – Full Controll, bei Samsung CL/B2B Modus) und COBO (KNOX Workspace only, bei Samsung COM) als eigenständige KNOX Lösung/Aktivierung unterstützt.

Samsung unterscheidet KNOX for Enterprise, der neue Name, in zwei unterschiedlichen Stufen, was aber UEM Nutzer nicht interessiert. Denn die KNOX Lizenzen sind bei BlackBerry in den eigenen Lizenzen eingepreist. Somit können UEM Administratoren alle Funktionen ohne Mehrkosten nutzen.

Ein Problem besteht aber: Was passiert mit Geräten, welche ohne ein Google Konto aktiviert wurden?!

Bisher brauchte man für KNOX Geräte kein Google Konto, der UEM Client übernahm die Aktivierung und die App(Config)Verteilung. Mit Android Enterprise braucht man aber ein verwaltetes Google Konto im Work Perimeter. Seit kurzem findet man hier Abhilfe im UEM, in dem man bei Aktivierung automatisch ein Google Konto aus der Android Enterprise Verbindung in KNOX pusht.

Vorgehen:

Man hat 2 Optionen:

  • Falls nicht vorhanden im UEM eine Android Enterprise Verbindung herstellen
  • Im Aktivierungsprofil ganz unten den Haken für das Pushen des Google Kontos aktivieren

Oder:

  • Falls nicht vorhanden im UEM eine Android Enterprise Verbindung herstellen
  • Android Enterprise Aktivierung durchführen

KNOX COPE und COBO sind auf Android Oreo Samsung Geräten noch als eigenständige Lösung vorhanden. Aber auch diese Lösungen werden EOL gehen und eine Unification Aktivierung nach sich ziehen.

Bisher ist es nicht bekannt, ob eine Migration von KNOX aktivierten Geräten ohne Google Konto hin zu Unification Aktivierungen sprich mit Android Enterprise Konto geben wird. Denn die Android Enterprise Konten können bisher bei einem BlackBerry UEM nur bei Aktivierungen gepusht werden. Generell würde ich bisher nicht mit einer Migration rechnen, eher mit einer Neuaktivierung.

Bisher unterstützt der UEM noch keine Work and Personal – Full Control Aktivierung. Für diese Aktivierung gibt es aber einen FER und es sollte bald in die Entwicklung gehen.

bb10qnx