Firmy, które posiadają urządzenia mobilne z systemem Android, mają wiele opcji zarządzania nimi oraz ich zabezpieczania. Jeszcze do niedawna, najczęstszą metodą dodawania tych urządzeń do systemu EMM było rozwiązanie Administrator urządzenia (Device Admin). Obecnie to podejście jest już uważane za przestarzałe i nie do końca bezpieczne. Jak w takim razie powinniśmy zarządzać naszymi urządzeniami? Na ratunek przychodzi Android Enterprise.

Zacznijmy jednak od początku – czym dokładnie jest Administrator urządzenia i czemu powinniśmy z niego zrezygnować?

Czym jest tryb “Administrator urządzenia”? 

Android Device Admin (Administrator urządzenia) to interfejs API, który oferuje ograniczone możliwości, aby wypełnić lukę w aplikacjach wymagających wyższych uprawnień administracyjnych do wykonywania określonych zadań. Za pomocą Administratora urządzenia można pisać aplikacje do administrowania urządzeniami, które użytkownicy instalują na swoich urządzeniach. Używane jest to np. do klientów poczty e-mail, aplikacji zabezpieczających, które wykonują zdalne czyszczenie urządzenia oraz do usług i aplikacji do zarządzania urządzeniami.

Czemu odchodzi się od podejścia “Administrator urządzenia”? 

Administrator urządzenia to tryb dostępny od Androida w wersji 2.2, a więc już sporo czasu. Odkąd Administrator urządzenia “zadebiutował” w 2010 roku, Android przeszedł bardzo długą drogę. W rezultacie Administrator urządzenia nie jest już odpowiednio dopasowany do tego, aby wspierać dzisiejsze potrzeby firm. Organizacje potrzebują silnych zabezpieczeń, jako że urządzenia firmowe coraz częściej mają dostęp do poufnych danych, a także są używane na dużo więcej sposobów, niż przewidywał to Administrator urządzenia.

Przeczytaj więcej o deprecjacji Administratora urządzenia na stronie Google.

Jak w takim razie zarządzać urządzeniami Android? 

A więc skoro Administrator urządzenia jest zdeprecjonowany, to czym powinniśmy go zastąpić? Google sugeruje migrację na rozwiązanie Android Enterprise, które zapewnia większe bezpieczeństwo, prywatność oraz nowoczesne podejście do zarządzania. Istnieją 4 sposoby na zarządzanie urządzeniem z systemem Android w firmie – COBO, COPE, COSU oraz BYOD. Te podejścia były zaprojektowane specjalnie po to, aby zastąpić interfejs Administratora urządzenia.

W pełni zarządzane urządzenie (COBO – corporate owned, business only) 

To podstawowy sposób zarządzania dla firm, które dostarczają pracownikom urządzenia mobilne służące jedynie do spraw biznesowych. To rozwiązanie posiada tryb Device Owner, dzięki czemu firma w pełni zarządza urządzeniem za pomocą aplikacji kontrolera polityk urządzenia (DPC), a także może wprowadzać cały szereg polityk zarządzania.

W pełni zarządzane urządzenie z profilem do pracy (COPE – corporate owned, privately enabled)

Ten tryb to w pełni zarządzane urządzenie, ale posiadające oddzielne kontenery do pracy oraz do spraw prywatnych. Dane oddzielone są dzięki profilowi do pracy, w którym trzymane są wszystkie służbowe aplikacje oraz dane. Użytkownik może swobodnie korzystać z części prywatnej urządzenia, ale należy pamiętać, że firma wciąż sprawuje kontrolę nad całym urządzeniem. W nadchodzącej wersji systemu Android 11, tryb COPE zostanie wyposażony w “ulepszony” profil do pracy, który nie pozwoli na naruszenie danych prywatnych pracowników. Przeczytaj więcej o nadchodzącej zmianie tutaj.

Profil do pracy (BYOD – bring your own device)

Tryb BYOD oznacza, że pracownik “przynosi” do pracy swoje własne urządzenie mobilne, ale używa go także w celach służbowych. W tym wypadku najlepszą opcją jest stworzenie profilu do pracy na urządzeniu prywatnym, gdzie system EMM skonfiguruje i doda wszystkie aplikacje i polityki potrzebne do pracy. Firma nie będzie miała możliwości zarządzania częścią prywatną urządzenia, a użytkownik może usunąć profil do pracy w dowolnym momencie. 

Urządzenie dedykowane (COSU – corporate owned, single use)

Urządzenie dedykowane to takie urządzenie, które ma na celu spełnienie jednego zadania, a opcje niepotrzebne do jego wykonania zostają zablokowane. Przykładowo jeśli urządzenie ma być wykorzystywane do zbierania e-podpisów, jedynie aplikacja służąca do tego celu będzie na stałe wyświetlana na urządzeniu. 

Dowiedz się więcej o rozwiązaniach Android Enterprise z naszego artykułu lub ze strony Android Enterprise

Dlaczego Android Enterprise? 

Proces rejestracji urządzenia do EMM

Firmy mają teraz bardzo złożone przykłady wykorzystania urządzeń mobilnych, a także potrzebują wyższego poziomu bezpieczeństwa. Wiele się zmieniło od czasów Androida 2.2 – firmy chcą rozlokować urządzenia wśród pracowników szybciej i łatwiej, a także używając różnych scenariuszów (profil do pracy, urządzenie jedynie do pracy itp.). Android Enterprise proponuje nowe metody dodawania urządzeń – za pomocą NFC, kodu QR, identyfikatorów DPC i co najważniejsze – zero-touch. W ten sposób urządzenia są dodawane do systemu EMM od razu po wyjęciu z pudełka. 

Bezpieczeństwo 

Uprawnienia administratora urządzenia mogą być nadane przez użytkownika wielu aplikacjom zainstalowanym na urządzeniu i każda z nich może np. zmienić hasło. To prowadzi do sytuacji, w której złośliwe aplikacje pytają o zgodę na zarządzanie urządzeniem pracownika. Jeśli użytkownik zaakceptuje taką prośbę, atakujący zyskuje kontrolę nad urządzeniem. Może wtedy np. zmienić hasło do urządzenia i zażądać okupu za podanie nowego hasła. 

Uprawnienie Device Owner z kolei może mieć tylko jedna aplikacja. Device Owner może zostać nadany przy pierwszym uruchomieniu urządzenia lub po przywróceniu ustawień fabrycznych, a jeśli użytkownik chce mieć na nim wyłącznie profil do pracy, wtedy zarządzany jest sam kontener służbowy, co uniemożliwia pozyskanie prywatnych danych. Jest to znacznie bezpieczniejsze rozwiązanie.

Zarządzanie aplikacjami 

W Administratorze urządzenia nie było prostego sposobu na zarządzanie firmowymi aplikacjami, które firma chciała dodać na urządzenia. Administrator musiał pobrać APK z zewnętrznej strony, aby móc dodać aplikację na urządzenie. Administrator urządzenia nie miał także opcji cichej instalacji aplikacji. Android Enterprise umożliwił nie tylko sprawną instalację aplikacji ze sklepu Google Play, ale również instalację właśnie aplikacji z APK w trybie cichym (co jest szczególnie istotne przy wdrożeniach z prywatnym APN – brak dostępu do serwerów Google). Administrator może także wybrać, które aplikacje są obowiązkowe, a następnie zostają one zainstalowane “po cichu” na urządzeniu. Aplikacje wspierające zarządzane konfiguracje mogą być natychmiastowo skonfigurowane tuż po instalacji. 

OEMs 

Niektórzy producenci urządzeń z systemem Android (jak np. Samsung), chcąc “wyróżnić się z tłumu”, implementują swoje własne API. Android Enterprise na szczęście posługuje się OEMConfig, który pozwala zapanować nad różnymi API. Dzięki temu rozwiązaniu po prostu instalujesz odpowiednią aplikację OEMConfig, a następnie lokalizujesz sekcję OEMConfig lub zarządzania urządzeniem, aby ustawić i zastosować niestandardowe polityki producenta. I gotowe!

A więc wiemy już, że Android Enterprise jest rekomendowany przez Google oraz Famoc, ponieważ jest bezpieczniejszym i elastyczniejszym podejściem. Ale jak przenieść swoje urządzenia z trybu Administrator urządzenia do Android Enterprise?

Jak przenieść urządzenia z Device Admin do Android Enterprise?

Migracja z Administratora urządzenia do Android Enterprise powinna składać się z 4 etapów:

/ Analiza – określenie obecnej sytuacji i koniecznych działań

/ Mapowanie wymagań – określenie funkcjonalności, które muszą zostać wdrożone

/ Proof of Concept – przetestowanie funkcjonalności 

/ Wdrożenie – czas na migrację! 

Te etapy są opisane krok po kroku w tutorialu migracji przygotowanym przez Google. Jeśli chcesz prawidłowo przenieść swoje urządzenia z trybu Administratora urządzenia do Android Enterprise, zapoznaj się z tutorialem Google.