Android Enterprise – что это такое?

Вместе с Android 2.0 Google показали способ управления устройствами через MDM решения, при котором управление происходило через предоставление приложению прав управления устройством (Device Admin).

Таким образом при изначальном добавлении устройства пользователю предлагалось «передать» управление приложению Intune Company Portal.

Это работало, но всегда настройка Android устройств была сложнее таковой для iOS устройств. Плюс ко всему, это создавало определенную дыру в безопасности, так как любое приложение могло получить такие права и получить полный доступ к приложению.

Для того, чтобы решить эти проблемы был создан режим Android for Work или как он сейчас называется – Android Enterprise.

На текущий момент, Android Enterprise это некоторая совокупность методов и решений для управления устройством, когда устройство управляется через API предоставляемые самим Google. То есть когда вы производите какое то действие, Intune связываться с серверами Google, для того чтобы вызвать нужное устройство.

Сейчас Intune поддерживает следующие способы использования Android Enterprise:

  • Work Profile
  • Kiosk или COSU устройства
  • Device Owner

Как понятно по перечислению опций, управление устройствами на Android Enterprise строится вокруг владельца устройства и рабочем/личном профиле.

Work Profile

Это сценарий должен работать для личных устройств, которые вы хотите добавить в Intune.

При добавлении устройства в Intune вам будет предложено создать новый рабочий профиль и все что Intune будет добавлять на устройство будет добавляться на уровень профиля, а не всего устройства. Это тянет за собой определенные плюсы или минусы.

Плюсы:

– Пользователь может быть полностью спокоен за свои персональные данные. Админ сможет видеть только содержимое рабочего профиля.

– Админ может контролировать перемещение данных между профилями. Можно сделать рабочий профиль полностью изолированным или разрешить обмен данными в какую то из сторон.

– При добавлении чего то в рабочий профиль, это будет происходить без необходимых действий со стороны пользователя. Например, меня всегда раздражала работа с сертификатами в Android. Потому что, сначала вы должны разрешить установить сертификат, потом руками разрешить его использовать, например VPN клиенту. У меня возникали ситуации, когда пользователь нажимал не туда и что то не работало. Теперь все прилетает само внутрь профиля.

Минусы(или особенности):

– Приложения рабочего и личного профиля ничего не знают друг о друге. То есть вы можете поставить 2 приложения в разные профили. При этом пользователю нужно будет понимать разницу в них по маленькой иконке.

– Внутренние приложения теперь должны исходить не от Intune, а из Managed Google Play Store. То есть сначала их туда нужно опубликовать. Это усложняет жизнь админам, но решает проблему с установкой приложений через .apk файлы.

– Общие особенности наличия разных профилей. Пользователю нужно объяснить как с ними работать, так как это может быть не всегда очевидно.

Через рабочий профиль вы можете теперь доставлять все тоже, что могли и раньше через Device Admin режим.

Kiosk или COSU

Это режим, при котором владельцем устройства ставится компания, а не пользователь. При этом не создаётся никаких профилей, так как все устройство как бы внутри профиля.

Подразумевается, что в этом случае вы можете настраивать устройства с ограниченным функционалом под одну или несколько задач. Например, планшет для складской системы или телефон для полевого сотрудника с ограниченным набором функций.

Так же тут начинает работает некоторая магия изначальной настройки устройств, так как вы можете производить изначальную настройку просто наведя камеру на определенный QR код. После этого все установится и настроится само.

Тут есть некоторый набор ограничений того, что вы можете делать. Например, невозможна проверка compliance статуса. Или невозможно доставить сертификаты.

Device Owner

Как и в предыдущем случае, тут не создаётся профиль. Вместо этого ваша организация назначается владельцем устройства. Но в отличие от случая с созданием киоска, это способ для полноценной конфигурации устройства, так как на выходе вы получаете устройство полностью функционирующее устройство. Такой способ подходит для использования с корпоративными устройствами. Недавно эту функцию перевели из режим “Preview”  в “General Available” и теперь в этом режиме работает и доставка сертификатов и compliance политики.

Почему это вообще важно?

Казалось бы, в чем проблема, давайте просто продолжать работать, как работали и все будет просто. Но просто больше не будет.

Goggle убирает некоторые важные функции из метода управления устройством через Device Admin, а Android 11 (которую выпустят в 2020) вообще будет поддерживать только Android Enterprise.

Таким образом, если у вас в организации есть Android устройства в управлении и вы собираетесь их обновлять или покупать новые, вам необходимо начать планирование работ по переходу на Android Enterprise.

В рамках этого планирования, вам придётся понять как вы будете обучать пользователей новому способу работы. Ну и вам самим нужно будет спланировать необходимые изменения в способах работы, конфигурациях и использовании внутренних приложений.

Intune очень неплохо развивается в направлении поддержки Android Enterprise, так что всегда следите за новостями. Ну и мне лично кажется, что на Ignite что то будет по теме.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: