Android for Work wurde von Kunden und IT-Consultants bisher sehr stiefmütterlich bei der Umsetzung von EMM-Projekten behandelt. Dafür gab es eine Reihe von Gründen, unter anderem der komplexe Setup Prozess (Stichwort ‘Google Managed Domain’ Einbindung), bis man mal endlich erste Praxistests durchführen konnte. Google hat mit sehr viel Engagement dieses Thema weiterentwickelt, und auch die EMM-Anbieter weiter erfolgreich mit ins Boot geholt. In diesem Hands-on werden die neuen Setup-Möglichkeiten in Verbindung mit Firmengeräten (Corporate Owned Devices) getestet, die Googles Android Enterprise Recommended Spezifikationen entsprechen.
Zusammenfassung / Ergebnisse
- Schnelles Admin Setup in 5 Minuten
- Gute und zuverlässige Tests erfolgreich bei preiswerten Geräten mit Android 7.0
- Nutzung des Gerätes ohne Google Account
- Keine Teilnahme an herstellerspezifischen Programmen für App-Verteilung notwendig
- Erweiterte Kontrolle für Firmengeräte und Ihre Daten
- Geeignet für den ‘normalen Mitarbeiter’-Use Case
- Ideal für Kiosk oder ‘Single Application Mode’-Use Cases
Endgerät und Android Enterprise Recommended Programm
Diese Woche habe ich nach längerer Zeit Tests im Umfeld von Android for Work (Android Enterprise) durchgeführt. Ich hatte Zugang zu einem marktführenden EMM-System und nutzte dafür mein neues Huawei P10 Lite Smartphone mit Android 7.0. Dieses Gerät habe ich deswegen ausgewählt, weil es zum Zeitpunkt mit einem Straßenpreis von €239,- das günstigste Endgerät ist, dass Teil von Googles Android Enterprise Recommended Programmes ist. Nochmals günstiger kann man es auf E-Bay Kleinanzeigen bekommen, da es derzeit ein beliebtes Vertragsverlängerungsgeschenk auch ohne Simlock ist, das viele nicht haben wollen. Als Apple Jünger war ich angenehm überrascht über die Haptik und Geschwindigkeit des Gerätes.
Mit Googles Programm geht eine Spezifikation an Mindestanforderungen einher, welche die Geräte einhalten müssen. Neben diversen Hardwareanforderungen und Standard MDM/EMM-APIs sind die Anbieter verpflichtet
- Security Updates mindestens im 90 Tage Rhythmus zu liefern
- mindestens ein ‘major’ OS Update zu liefern
- Unterstützung für ‘Work Managed Profiles’ und ‘Work Managed Device’ Mode
- Unterstützung QR-Enrollment für Device Owner Mode (Work Managed Device)
- Unterstützung Zero-touch Enrollment mit Android 8.0
- Deverse UI- und App-Auflagen gegen das ‘Wildwuchs Customizing’ des Android Launchers
Admin Experience – Android for Work Account
Ein Meilenstein für jeden Tester ist die unkomplizierte Einrichtung und Nutzung des eines ‘Android for Work’ Accounts als Alternative zu den ‘Google Managed Domains’. Der Prozess ist in 1 Minute abgeschlossen, und schon kann das Enrollment von Usern losgehen – so muss es sein.
Hierbei wird ein ganz normales Google Konto mit der EMM-Lösung verknüpft. Hierbei empfiehlt sich die Nutzung von einem ‘nicht-personenbehafteten’ Namen für diesen Account, ähnlich wie man das für die Apple-ID zur Erstellung des APNS-Zertifikates macht. Jeder Google Account – der im Hintergrund bei Google als Service Account angelegt wird – kann für eine EMM-Instanz / Tenant benutzt werden. Somit gilt für EMM-Tester: Am besten gleich mehrere Google Test Accounts anlegen.
Work Managed Device mit EMM-Identifier Registrierung
Sobald der Schritt erledigt ist, kann man wie gewohnt die Geräte entweder im ‘Work Managed Profile‘ Modus (früher ‘Personal Owner’ oder auch ‘Bagded Icons’ Modus genannt), oder als ‘Work Managed Device‘ (‘Device Owner) Modus in der EMM-Lösung registrieren. Getestet habe ich zum ersten Mal die Option ‘Work Managed Device” mit der Registrierungsvariante “EMM-Identifier”, die es seit Android M/6.0 gibt.
Um das Gerät erfolgreich in den ‘Work Managed Device’ Modus zu enrollen, müssen beim Endgerät die folgenden Dinge beachtet werden, vor allem wenn das Gerät bis dato mit einem Google Account und Android 5.1+ genutzt worden ist:
- Das Gerät muss ‘Factory resetted’ sein, nach dem Booten des Gerätes muss der Standard Setup Prozess beginnen. Es darf kein Google Account und kein Device Lock aktiviert sein.
- Die Android Device Protection (gibt es seit Android L/5.1 ‘always on’) muss vor dem ‘Factory Reset’ ausgeschaltet worden sein. Eine der zahlreichen Anleitungen und schmerzhaften Erfahrungen dazu hier oder hier.
Wenn erledigt startet man das Gerät, geht durch das Setup bis zur Eingabe des Google Accounts, und genau dort gibt man anstelle des Google Accounts den EMM-Hersteller Identifier an, der üblicherweise so aussieht: afw#<emm-herstellername>. Anschließend wird der EMM-Hersteller Agent automatisch runtergeladen und gestartet, verbunden mit der EMM-Hersteller Benutzerauthentifizierung. Am Ende des Registrierungsprozesses ist derjenige, der bisher nur ‘Work Managed Profiles’ kennt kurz irritiert, weil einem die ‘Bagded Icons’ fehlen. Diese Icons fehlen, weil in diesem Modus das Gerät im Standard ausschließlich als Firmengerät aufgesetzt ist.
Work Managed Device – Bye Bye Google Account
Ein weiterer wichtiger Vorteil ist, dass man auf dem Gerät komplett ohne Google Account auskommt. Das ist ein wichtiger Punkt bei vielen EMM-Projekten, um den Aufwand (i) für den User beim Enrollment-Prozess, und (ii) für die Administratoren gegenüber Mitarbeitern und Betriebsrat zu deutlich zu reduzieren.
Im Unterschied zu iOS ist die Verteilung von Android Apps ohne einen persönlichen Hersteller-Account des Benutzers deutlich einfacher. Bei Android for Work muss das Unternehmen nicht an einem speziellen Herstellerprogramm teilnehmen (iOS => VPP Programm).
Work Managed Device – Weitere Registrierungsverfahren
Zur Info: Es gibt für den Work Managed Device Mode zwei weitere Enrollment Verfahren, die ich noch nicht getestet habe:
- ‘NFC Bump’: Hierbei wird das Zielgerät per NFC-Sticker oder einem preparierten Android Mastergerät mit vorkonfigurierten Enrollmentdaten über einen ‘NFC-Bump’-Prozess gefüttert.
- ‘QR Code’: Gibt es seit Android M/7. Hier wird über eine User Aktion im Setup Prozess der OS integrierte QR Code Scanner aufgerufen. Der QR Code selbst kann schon eine Vielzahl von vorkonfigurierten Enrollmentdaten enthalten
Beide Verfahren eignen sich auch und vor allem für Projekte, bei denen IT-Administratoren ein Staging und Pre-enrollment der Devices vornehmen, bevor die Geräte an den Anwender übergeben werden.
Work Managed Device – Admin Einstellungen
Für diesen Modus hat der Administrator zusätzliche, zahlreiche Einstellungen mehr gegenüber dem Work Managed Profile, ähnlich wie bei iOS normal vs supervised Geräten. Zu den Einstellungen gehören unter anderem:
– Allow Firmware update
– Allow screen capture (auch Work Profile)
– Add (Google) Accounts (auch Work Profile)
– Allow removing AfWork Account
– Allow outgoing phone calls
– Allow SMS
– Allow Keyguard features (fingersensor, camera, ..)
– Allow credentials changes
– Forced screen on USB/AC/Wireless Charger (6.0)
– Allow USB debugging
– Allow Bluetooth, Tethering, VPN, mobile network, NFC
Neben dem ‘normalen Mitarbeiter’-Use Case eignet sich das Work Managed Device mit den oben genannten Einstellungsoptionen vor allem auch für Kiosk- bzw. ‘Single Application Mode’-Use Cases. Alle von mir durchgeführten Einstellungstests verliefen auf dem Gerät sehr stabil und zuverlässig.
Feedback per E-Mail klicke hier
Folge mir auf Twitter unter mobile_oliver, um neue Beiträge zu erkennen und zu kommentieren.
Informationen zu meiner Person – klicke hier