Im laufenden Jahrzehnt wurde die Arbeit mobiler als je zuvor, wobei die Arbeitsplätze immer mehr mobile Geräte und die Arbeit aus der Ferne erlebten.
Aus Mangel an Flexibilität begannen Mitarbeiter, ihre privaten Geräte für den Zugriff auf Unternehmensdaten für Arbeitszwecke zu verwenden, was zu den BYOD-Konzepten an den Arbeitsplätzen und in Organisationen führte.
Auch Unternehmen folgten dem Trend und begannen mit der Einführung digitaler Arbeitsplatzstrategien und beschafften immer mehr mobile Geräte, damit Mitarbeiter von überall aus arbeiten können.
Vor Android Lollipop behauptete sich die Unternehmensverwaltung von Android nur auf die Geräteverwaltungs-APIs, die ernsthaft ihre Funktionen und Fähigkeiten beraubt wurden, und sich als äußerst ineffektiv erwiesen, was die geringe Akzeptanz von Androids für die Verwendung in Unternehmen widerspiegelt.
Google war sich der Mängel im Verwaltungsmodus von Device Admin (DA) bewusst und hat gehandelt, um die Dinge zu verbessern.
Die Veröffentlichung von Android Lollipop war das Debüt von Android Enterprise , Googles neuem modernen Geräteverwaltungs-Framework für Androids.
Android For Work , wie es beim Debüt hieß, führte zwei neue Verwaltungsmodi ein
- Profile Owner – Containerisierte Lösung, die ein Arbeitsprofil bereitstellt, um BYOD zu erleichtern.
- Gerätebesitzer – Vollständige Geräteverwaltung zur Erleichterung von COD.
Seitdem hat Google mit jeder nachfolgenden Version von Android weitere Verbesserungen an Android Enterprise vorgenommen und neue Funktionen und Verwaltungsmodi hinzugefügt, was zur Entstehung anderer AE-Verwaltungslösungen im Verwaltungsmodus des Gerätebesitzers führte , wie Dedicated Device (COSU) und Corporate -owned Persönlich aktiviert (COPE) .
Wie ich bereits sagte, konzentrieren wir uns heute jedoch auf die Verwaltung von Android Enterprise-Arbeitsprofilen, bei der es sich im Zeichen um den Verwaltungsmodus für Profilinhaber handelt.
Die Verwaltung von Android von der Organisation durchgesetzt werden, gelten nur für den Arbeitscontainer und nicht für das persönliche Profil des Benutzers, sodass es nicht gewährt wird.
Die Unternehmens-IT hat die volle Kontrolle über das auf Enterprise-Arbeitsprofilen ist eine containerisierte Lösung , die einen separaten Container auf dem Gerät erstellt , um geschäftliche Apps und Arbeitsdaten sicher und getrennt vom persönlichen Benutzerprofil auf dem Gerät aufzubewahren.
Richtlinien und Einschränkungen, diem Gerät erstellte Arbeitsprofil, jedoch nicht auf dem gesamten Gerät.
Dadurch eignet sich die Android Enterprise Work Profile Management-Lösung perfekt für das BYOD – Szenario, in dem die Geräte den Endbenutzern gehören (nicht vom Unternehmen bereitgestellt) und sie daher zögern, ihre Geräte für die vollständige Geräteverwaltung zu registrieren und IT-Administratoren zu vergeben volle Kontrolle über das gesamte Gerät haben.
Mit der Version von Intune 2011 wurde die Verwaltung von Android Enterprise-Arbeitsprofilen im MEM Admin Center in Persönliche Arbeitsprofilverwaltung umbenannt , um Verwirrung zu vermeiden und sie von einer anderen Android Enterprise-Verwaltungslösung zu unterscheiden können hier – unternehmenseigene Geräte mit Arbeitsprofil verwaltet werden.
AE-Arbeitsprofilverwaltung im Vergleich zu den anderen AE-Gerätebesitzer-Modi
Ich habe versucht, den Unterschied zwischen der Verwaltung eines Arbeitsprofils durch Intune auf einem privaten Gerät und der vollständigen Geräteverwaltung wie in unternehmenseigenen Szenarien in einer vereinfachten Ansicht wie unten dargestellt darzustellen.
Lassen Sie uns das jetzt aufschlüsseln, um es im Detail zu verstehen.
Für den Verwaltungsmodus des persönlichen Arbeitsprofils (Profileigentümer) verwendet Intune seinen eigenen Device Policy Controller (DPC) in Form der Unternehmensportal-App , um das Arbeitsprofil auf dem Endgerät mithilfe der Play EMM-APIs bereitzustellen und zu verwalten .
Die Unternehmensportal-App nutzt die DPC-Supportbibliothek für EMMs, die wichtige Funktionen wie:
- Bereitstellungsunterstützung für ein verwaltetes Google Play-Konto
- Unterstützung für verwaltete Konfigurationen
Auf einem mit einem persönlichen Arbeitsprofil (Profilbesitzer) verwalteten Gerät fungiert die Unternehmensportal-App (DPC) als Brücke zwischen Intune (dem MDM-Dienst) und dem Gerät .
Was ist mit den übrigen Methoden (Fully Managed – Unternehmenswaltungslösungen für Android Enterprise-Gerätebesitzer)?
- Unternehmenseigenes (FBO)
- Unternehmenseigenes Personally Enabled with Work Profile (COPE)
- Unternehmenseigenes dediziertes Gerät (COSU)
Für alle oben aufgeführten Android Enterprise-Verwaltungslösungen verwendet Intune die Android Management API.
Dadurch entfällt für Entwickler die Notwendigkeit, ihren eigenen benutzerdefinierten DPC zu erstellen, zu aktualisieren und zu warten.
Das begleitende DPC auf dem Gerät, der Android Device Policy wird, unabhängig vom Verwaltungsmodus, Profile Owner oder Device Owner unterstützt.
Intune verwendet die verwaltete Google Play-Verwaltung (unter Verwendung der Play EMM-API) , um verwaltete Google Play-Konten zu erstellen, mit denen das Gerät im Falle des Gerätebesitzermodus (verwaltetes Gerät) oder das Arbeitsprofil im Falle des Profilbesitzermodus mit bereitgestellt wird .
Dadurch kann Intune über Managed Google Play einen stillen App-Push auf das verwaltete Gerät (oder Arbeitsprofil) durchführen , ohne dass sich der Endbenutzer tatsächlich mit seinem persönlichen Gmail-Konto bei den Play-Diensten anmelden muss, wodurch der Schutz vor dem Zurücksetzen auf die Werkseinstellungen umgangen wird.
Ich hoffe, die obigen Informationen helfen Ihnen dabei, besser zu verstehen, wie Intune als EMM-Lösung funktioniert und ein persönliches Arbeitsprofilgerät von Android Enterprise verwaltet .
Sehen wir uns nun alle wichtigen Konfigurationspunkte an, die erforderlich sind, um das Onboarding persönlicher, mit Arbeitsprofilen verwalteter Geräte in MEM Intune zu ermöglichen .
Bereiten Sie Intune darauf vor, die Verwaltung von persönlichen Arbeitsprofilen in Android Enterprise zu unterstützen
Es gibt zwei Aufgaben, die Administrator im MEM Admin Center ausführen muss, um das Onboarding und die Verwaltung von Android Enterprise-Geräten zu unterstützen.
Verwaltete Google Play-Bindung mit Intune
Bestätigen Sie, dass sich Ihr MEM Intune-Mandant, der mit Managed Google Play verknüpft und aktiv ist.
Die verwaltete Google Play-Bindung mit MEM Intune ist die Hauptvoraussetzung für das Onboarding von Android Enterprise-Geräten.
Dies liegt daran, dass die verwaltete Google Play-Bindung es MEM Intune ermöglicht, verwaltete Google Play-Konten (verwaltete Konten) zu erstellen, die verwendet werden, um das Arbeitsprofil auf dem Endgerät bereitzustellen.
Registrierungseinschränkung, um die Registrierung des persönlichen Android Enterprise-Arbeitsprofils zu ermöglichen
Unabhängig davon, ob Sie benutzerdefinierte Registrierungsbeschränkungen erstellen oder die standardmäßige Registrierungsbeschränkung verwenden, stellen Sie sicher, dass Android Enterprise (Arbeitsprofil) als Plattform auf Zugelassen festgelegt ist.
Sie können andere Einschränkungen gemäß Ihren Anforderungen hinzufügen, z. B. die vorgabe einer Mindestversion des Betriebssystems für die Registrierung oder das Deaktivieren der Registrierung persönlicher Geräte oder das Zulassen, dass Geräte von ausgewählten OEMs nur für Ihren Mandanten registriert werden.
Wenn Sie sowohl Android Enterprise (Arbeitsprofil) innerhalb als auch den Android-Geräteadministrator des gültigen Registrierungsbeschränkungsprofils aktiviert lassen, werden Android Enterprise-fähige Geräte im Arbeitsprofil-Verwaltungsmodus und nicht im DA-Verwaltungsmodus registriert, da Android Enterprise Vorrang vor dem Geräteadministrator hat.
Intune verfügt über eine separate Kategorie von Konfigurationselementen für die Verwaltung persönlicher Android Enterprise-Arbeitsprofile
Um Gerätekonfigurationsprofile zu erstellen, die auf Ihrem Android Enterprise -Gerät mit Arbeitsprofil in Privatbesitz abzielen, stellen Sie sicher, dass Sie den erforderlichen Profiltyp in der Kategorie Arbeitsprofil in Privatbesitz erstellen.
Um die Compliance-Richtlinie zu erstellen , wählen Sie Android Enterprise als Plattform aus, wobei der Richtlinientyp auf Persönlich mit Arbeitsprofil festgelegt ist
- Bildnachweis Samsung
Wenn Sie ein App-Konfigurationsprofil für ein verwaltetes Gerät erstellen , wählen Sie Android Enterprise aus.
Für den Profiltyp stehen Ihnen drei Optionen zur Auswahl
- Alle Profiltypen
- Nur vollständig verwaltetes, dediziertes und unternehmenseigenes Arbeitsprofil
- Nur persönliches Arbeitsprofil
Ziemlich selbsterklärend, dass die erste Option die beste ist, wenn Sie Android-Geräte mit verschiedenen AE-Verwaltungsmodi registriert haben und Sie möchten, dass dieses Profil auf allen funktioniert. Wenn Sie jedoch möchten, dass die App-Konfigurationsrichtlinie auf Geräten angewendet wird, die mit einem bestimmten Verwaltungsmodus verwaltet werden, können Sie eine der beiden anderen Optionen verwenden.
Es ist wirklich wichtig, Profile/Richtlinien zu erstellen, die der jeweiligen Android Enterprise-Verwaltungslösung entsprechen.
Wenn Sie eine Richtlinie erstellen, die den Gerätebesitzerverwaltungsszenarien entspricht, und sie Benutzern (oder Geräten) zuweisen, deren Geräte im Profilbesitzerverwaltungsmodus verwaltet werden, funktioniert sie aufgrund des gleichen grundlegenden Unterschieds wie bei der Funktionsweise von Intune mit beiden nicht Verwaltungsmodi von Android Enterprise.
Sollten Sie die Verwaltung persönlicher Arbeitsprofile als COD-Lösung verwenden?
Ich habe Unternehmne gesehen, in denen nur von der Unternehmen bereitgestellte Geräte registriert werden sollen, und als solche private Geräte blockieren, um Mitarbeiter daran zu hindern, ihre eigenen persönlichen Geräte als Android Enterprise Work Profile-Geräte zu registrieren.
Viele dieser Organisationen beabsichtigen jedoch nicht immer, das gesamte Gerät zu verwalten. Stattdessen weist der Endbenutzerregistrierungsleitfaden die Endbenutzer an, das Gerät als BYOD-Gerät mit Arbeitsprofil einzurichten, mit einem separaten persönlichen Profil (nicht verwaltet) und einem Arbeitsprofil (verwaltet) auf dem Gerät.
Organisationen, die kein BYOD zulassen und auch kein vollständiges Gerätemanagement wünschen, nutzen mit obigem Ansatz den Android Enterprise Work Profile-Modus effektiv als COD-Szenario.
Dies funktioniert zwar, ist aber letztendlich nicht der eigentliche Anwendungsfall für den Verwaltungsmodus für persönliche Arbeitsprofile, der für BYOD gedacht war .
Wenn Sie vorübergehend in ein solches Szenario geraten, würde ich stattdessen vorschlagen, den Verwaltungsmodus Corporate Owned Personally Enabled in Betracht zu ziehen, der genau für diesen Anwendungsfall entwickelt wurde.