Die Einführung von Android Enterprise mit Android 5.0 (Lollipop) im Jahr 2014 ermöglichte es Unternehmen und Konzernen, Android in verschiedenen Einsatzszenarien einzusetzen, zu sichern und zu verwalten. Dazu gehören Bring-Your-Own-Device (BYOD) und Corporate-Owned, Personal-Enabled (COPE) sowie Corporate-Owned, Business-Only (COBO) Geräte.
Entwicklung der Android-Geräteverwaltung
Bisher haben Unified Endpoint Management (UEM)-Anbieter ihre eigene, benutzerdefinierte Device Policy Controller (DPC)-Anwendung entwickelt, um die Google Play UEM-API zu nutzen. Sie fungieren als Vermittler und erleichtern die Umsetzung von Richtlinien, indem sie mit den Google-APIs interagieren und so Profile wie das Arbeitsprofil oder den Gerätebesitzer erstellen können.
Was ist Android Management API?
Android Management API (AMAPI) ist eine Google Cloud API, die Teil der 2017 eingeführten Android Enterprise Plattform ist und Entwicklern und IT-Administratoren einen programmatischen Weg zur Verwaltung von Android-Geräten in einem Unternehmens- oder Organisationskontext bietet. Sie unterstützt nicht nur die verschiedenen bestehenden Bereitstellungsarten, die mit der Play EMM API verfügbar sind, einschließlich der Verwaltungstypen Arbeitsprofil (BYOD), Vollständig verwaltetes Gerät (COPE/COBO) und Dediziertes Gerät (COSU), sondern bietet auch neue Funktionen wie den neuen Lost Mode für COPE-Geräte.
Als eigenständige API erfordert AMAPI nicht die Verwendung eines benutzerdefinierten DPC-Clients, der auf dem Gerät für die Registrierung und Verwaltung installiert werden muss, sondern verlässt sich stattdessen auf Googles eigenen geräteeigenen Android Device Policy (ADP) Client für Aufgaben wie die Geräteanmeldung und -verwaltung sowie die Bereitstellung von Richtlinien, Profilen und Anwendungen. Google nimmt derzeit keine neuen Anmeldungen für benutzerdefinierte DPC mit Android Enterprise mehr an und fordert alle UEM-Anbieter auf, stattdessen die Android Management API zu verwenden, die einen eigenen nativen DPC-Client enthält. Obwohl Google sich verpflichtet hat, diese Methode bis auf Weiteres zu unterstützen, gibt es noch keinen offiziellen Termin, wann die bisherige Methode veraltet sein wird und nicht mehr verwendet werden kann.
Derzeit übernehmen die meisten Anbieter von UEM-Lösungen AMAPI, aber einige verlassen sich immer noch auf ihren benutzerdefinierten DPC-Client für andere spezifische Aufgaben wie Zertifikate und die Verteilung interner (firmeneigener) Anwendungen sowie die Integration mit anderen Diensten und Software Development Kits (SDK), z. B. BlackBerry mit seiner containerisierten Dynamics-Lösung.
Beschränkungen und Schwachstellen
In Bezug auf die Verwaltung ist der Arbeitsablauf zwischen der UEM-Lösung, der Google Cloud API und dem Android-Gerät etwas anders. Immer wenn eine Verwaltungsmaßnahme durchgeführt wird (z. B. Zuweisung eines neuen Profils oder einer neuen Richtlinie für ein Gerät), überträgt der UEM-Server den gewünschten Status an die Google Cloud API, d. h. die Liste der öffentlichen Apps, die aus dem Google Play Store installiert werden sollen, und die anzuwendenden Verwaltungsrichtlinien (z. B. Passcode-Anforderungen, Zertifikate, App-Berechtigungen). AMAPI überträgt dann die entsprechenden Richtlinien und Apps an den ADP-Client, der sie auf dem Gerät anwendet.
Jedes Android-Gerät, auf dem Android 6.0 (Pie) oder höher läuft, unterstützt von Haus aus Android Management.
Unterschiede aus Sicht der Endnutzer
Aus Sicht des Endnutzers besteht der Hauptunterschied in der Bereitstellung von Arbeitsprofilen (BYOD), bei der der Endnutzer nicht mehr zuerst den benutzerdefinierten DPC-Client (z. B. BlackBerry UEM-Client) aus dem Google Play Store auf sein persönliches Gerät herunterladen muss, um es später mit den bereitgestellten Anmeldeinformationen oder einem QR-Code beim UEM-Server zu registrieren. Stattdessen genügt es, einen QR-Code mit der Kamera des Geräts zu scannen oder auf einen Link zu klicken, um die Registrierung des Geräts automatisch auszulösen.
Beispiel: Persönliches Gerät, das mit BlackBerry UEM über die Android Management API angemeldet wurde.
Maßnahmen für die Administratoren
Aus Sicht eines UEM-Administrators besteht der nächste Schritt darin, bei deinem Lösungsanbieter nachzufragen, ob AMAPI bereits unterstützt wird, und wenn ja, die Anweisungen zu befolgen, um es zu aktivieren.
Teste die Lösung zunächst mit mehreren Android-Geräten, um alle verschiedenen Managementtypen (BYOD, COPE, COBO) zu validieren und zu dokumentieren und die bestehenden Unterschiede (neue Funktionen, fehlende Funktionen) zu erkennen.
Irgendwann, wenn die UEM-Lösung mit AMAPI ausgereift genug ist, kannst du die Übergangsphase einleiten, indem du dich entscheidest, die AMAPI für alle neuen Anmeldungen zu verwenden und damit die benutzerdefinierte DPC zu ersetzen. Während dieser Zeit werden beide Management-Frameworks parallel existieren, und es kann zu Doppelarbeit kommen, z. B. bei der Synchronisierung von Richtlinien und Profilen, wenn eine Funktion aktiviert/deaktiviert oder eine bestehende Konfiguration geändert wird.
Wenn du so weit bist, kannst du damit beginnen, alle Android-Geräte, die auf die benutzerdefinierte DPC angewiesen sind, auf die AMAPI zu migrieren, damit am Ende alle Geräte das neue Framework nutzen.
Welche UEM-Plattform unterstützt es schon?
Während Android Management bereits von einigen Anbietern, darunter Microsoft mit Intune, für die Verwaltung von Android-Geräten genutzt wird, ist dies bei den meisten von ihnen nicht der Fall, da sie es vorziehen, den benutzerdefinierten DPC-Ansatz zu verwenden, der ihnen mehr Kontrolle und Flexibilität bietet und es ihnen ermöglicht, neue Funktionen und Funktionalitäten zu implementieren, ohne auf die Roadmap von Google warten oder sich darauf verlassen zu müssen.
BlackBerry hat gerade Android Management in BlackBerry UEM, Version 12.19, integriert, während Ivanti MobileIron es seit Core Cloud Version 89 unterstützt. VMware bietet eine Beta-Preview an, die aber vorerst nur auf Work Profile (BYOD) Einsätze beschränkt ist.
Wie ISEC7 dir bei deinem ZTA-Einsatz helfen kann
Bis auf Weiteres werden beide Management-Frameworks (Play EMM API und AMAPI) nebeneinander existieren, so dass UEM-Anbieter ihre Lösungen entsprechend anpassen können, um ihren Kunden volle Unterstützung und Funktionsgleichheit zu bieten.
In der Zwischenzeit ermutigen wir Unternehmen, diesen neuen Verwaltungsmodus zu aktivieren und zu testen und sich sowohl aus Sicht der Administratoren als auch der Endnutzer mit ihm vertraut zu machen, um ihn schließlich als DIE Verwaltungsmethode für Android-Geräte einzuführen. Die Roadmap der meisten UEM-Anbieter sieht außerdem vor, dass verwaltete Android-Geräte von benutzerdefinierten DPC zu AMAPI migriert werden können, ohne dass die Geräte manuell neu registriert werden müssen, und zwar für alle Bereitstellungsarten (BYOD, COPE, COBO).
Das Team von ISEC7 hilft dir bei der Integration von AMAPI in dein bestehendes Unternehmen und bei der Navigation durch die anderen Optionen, die dir zur Verfügung stehen. ISEC7 ist deine erste Anlaufstelle für alle deine Mobilitäts- und Sicherheitsbedürfnisse, um deine digitale Landschaft noch effizienter zu gestalten und zu verbessern. Bei Fragen kannst du dich gerne an uns wenden, wir helfen dir gerne weiter.
Kontakt
Erfahren Sie mehr über die Dienstleistungen und Lösungen von ISEC7.
