API Management og automatisk konfiguration af Android-enheder

Du er her

API Management og automatisk konfiguration af Android-enheder

Af Peter Mohr, Senior Mobility Evangelist, Conscia
Mr. Mobility, Peter Mohr, har arbejdet med Mobile Device Management, MDM siden 2002.

Han er blandt Danmarks førende eksperter inden for MDM og Mobile Security og kombinerer dette med en bred datalogisk baggrund, et stærkt kendskab til serverteknologier og systemoperationer samt softwareudvikling.

Peter Mohr har blandt andet en Graduate Diploma in Business Administration, Majoring in Information Science and Management Accounting samt en bachelor i datalogi.

Siden de første Android-enheder så dagens lys, har vi hjulpet virksomheder med at bruge dem til at arbejde mobilt.

I begyndelsen var opgaven svær, men omkring 2013 introducerede Samsungs en række management API-er, der gjorde automatisk konfiguration, app-distribution og sikkerhed væsentligt lettere. Dette gav Samsung et forspring på det professionelle marked, og efterlod de fleste andre Android-leverandører ude i mørket.

Men nu har Google også introduceret en række funktioner, der gør det muligt at automatisere opsætning og drift af stort set alle Android-enheder.

Det betyder blandt andet, at apps distribueres, uden at brugeren skal have et Google-login op af lommen. Det kræver bare en god MDM-løsning og enheder med Android 6 eller nyere.
Resultatet er gladere brugere, mindre support og højere sikkerhed – på samme tid!

Men inden du går i gang, skal du beslutte dig for, hvordan enheden skal bruges. Er den personlig? Deles den af medarbejderne i produktionen? Eller er det en informationstavle ved mødelokalet?

Afhængig af behovet kan enheden dermed sættes op på forskellige måder, som skitseret i dette skema.

Efter Android 9 er konfiguration og support af standardprofilen via EMM ikke længere muligt, hvorfor denne ikke er medtaget i skemaet.

I det følgende vil vi gennemgå mulighederne og diskuterer fordele og ulemper ved hver metode. Du kan også finde en komplet oversigt over mulighederne her.
Men som nævnt starter det hele med brugeren. Hvem skal bruge enheden – og til hvad?

En personlig enhed - både privat og arbejde
De fleste virksomheder tillader, at en mobil enhed bliver benyttet både på arbejde og privat.

Medarbejderen skal naturligvis holde de private data adskilt fra virksomhedens data, da enheden i fritiden kan blive benyttet af hele familien – særligt hvis det er en tablet. Derfor vil virksomheden gerne beskytte deres data på enheden med en særlig PIN-kode.

Dette behov kan opfyldes, hvis enheden bliver konfigureret med Work Profile.

Konfigurationen sikrer en fuldstændig adskillelse af arbejde og privatliv. Alle arbejdsrelaterede apps er markeret med et lille ikon, så de er lette at genkende, og det er fx ikke muligt at flytte data på tværs af arbejds- og privatapps.

Brugeren kan derfor ikke flytte en vedhæftet fil fra en arbejdsmail til sin egen Dropbox.

En personlig enhed - primært til arbejde
Hvis enheden kun skal benyttes til arbejdsopgaver, anbefaler vi at konfigurere enheden som et Work Managed Device. Denne konfiguration er lidt mere enkel at administrere end Work Profile og tilbyder samtidig flere og bedre administrationsmuligheder.

Det er muligt at tillade, at brugeren selv kan installere flere apps. Alle apps behandles dog som arbejdsrelaterede apps af EMM-løsningen.

En fælles enhed med mange brugere – til arbejde
Mobile enheder er designet til at være personlige. Derfor har de ikke brugerprofiler, som vi kender det fra PC-verden, og enhederne er ikke knyttet til virksomhedens AD-domæne.

Flere af de førende EMM-leverandører har dog lavet løsninger, der gør det muligt at lade flere brugere dele en enhed uden at de får adgang til hinandens data.

Brugeren skal logge på via en særlig app, og derefter aktiverer og distribuerer EMM-løsningen de nødvendige apps, indstillinger og rettigheder til enheden. Samtidig bliver brugeren bedt om at angive en Pass Code.

Når brugeren ikke længere skal benytte enheden fx ved fyraften, bliver alle data og indstillinger fjernet igen. Enheden er herefter klar til næste bruger.

Denne type enhed skal konfigureres som et Work-managed device.

En fælles enhed med mange brugere - til en specifik opgave
Der findes enheder, der er knyttet til et lokale eller en specifik funktion, der ikke kræver særskilt beskyttelse af enheden men derimod et højere sikkerhedsniveau på de enkelte apps.

Denne type enheder kaldes COSU (Corporate-Owned, Single-Use) og bliver konfigureret som et Work-managed device og kan fx benyttes i en ambulance, hvor der er løbende udskiftning af medarbejderne.
Her bliver sikkerheden varetaget af enhedens app, hvor hver enkelt skal give sig til kende med eget id for at benytte denne.

Opsætning af enheder

Enheden kan meldes ind i MDM og blive konfigureret på mange forskellige måder.

Men som det fremgår af skemaet ovenfor, er det forskelligt, hvilke metoder der kan benyttes. Vær særligt opmærksom på, at de eneste to metoder, der kan bruges til at konfigurere eksisterende enheder, uden at de skal nulstilles, er App fra Play Store og Web-registrering. Alle de øvrige metoder fungerer kun med nye enheder – eller enheder der er nulstillet.

App fra Play Store

  1. Brugeren henter en EMM-app fra Play Store
  2. Brugeren logger ind med AD-oplysninger (eller 2-faktor)
  3. Enheden registreres og konfigureres af EMM-løsningen

Web-registrering

  1. Brugeren går til en EMM-webside
  2. Brugeren logger ind med AD-oplysninger (eller 2-faktor)
  3. Enheden registreres og konfigureres af EMM-løsningen. Som en del af konfigurationen distribueres EMM-appen fra Play Store

Denne løsninger betragter vores kunder som den mest fleksible, når eksisterende enheder skal registreres. Den fungerer nogenlunde ligesom App fra Play Store, men forudsætter ikke, at brugeren har en Google Account knyttet til enheden.

Samsung KME
I 2015 introducerede Apple deres Device Enrollment Program, DEP, der gjorde det muligt at automatisere konfigurationen af nye enheder. Når en ny enhed bliver tændt første gang, melder den sig (næsten) automatisk ind i virksomhedens EMM-løsning. Det eneste der skal til, er at leverandøren registrerer købet hos Apple.
I 2017 lancerede Samsung et lignende program for deres enheder. Det hedder Knox Mobile Enrollment, KME og har gjort opsætningen af Android-enheder meget lettere.
På Samsung-enheder med Android 7 skal brugeren aflevere 7-8 klik samt brugernavn og kodeord for at sætte en ny enhed op.

Zero-touch enrollment
Samsung har stået bag mange af de initiativer, der har gjort Android egnet til virksomhedsbrug. Det er også tilfældet med Googles alternativ til KME, Zero-touch enrollment.
Som en forholdsvis ny teknologi her i begyndelsen af 2018, og da Zero-touch enrollment skal understøttes af både leverandør og producent, har teknologien endnu ikke nået det danske marked, og vi kan ikke forudsige, hvornår det sker.
Udviklingen for hvornår dette kan ske, følger vi her.

Android Token
Nye enheder kan registreres ved at indtaste:

  1. en registreringskode (”AfW#”)
  2. en mail-konto
  3. AD-brugernavn og kodeord

Herefter bliver enheden tilmeldt EMM-løsningen.

QR-kode
I nogle tilfælde kan det give mening at erstatte Android Token med en QR-kode. Når enheden tages i brug, scanner brugeren en QR-kode, hvorefter enheden bliver tilmeldt EMM-løsningen.
QR-koderne kan tilpasses den enkelt bruger og kan blandt andet indeholde brugernavn.

NFC-bump
Enheder kan også blive konfigureret ved at overføre information via NFC. Et NFC-bump kan indeholde oplysninger om EMM-serveren, Wi-Fi-konfiguration og regionale indstillinger.
Nogle enheder har måske ikke NFC-understøttelse.

Vigtigt skridt på vejen

Android har længe været betragtet som en usikker platform, der tilmed var svær at administrere.

De mange Android-versioner kombineret med hardware-producenternes manglende interesse i at levere software-opdateringer gjorde Android til et mindre attraktivt alternativ.

Dette er dog så småt ved at ændre sig, og de mange nye muligheder for at automatisere processen er et vigtigt skridt på vejen.