Einstellung des Geräteadministrators

Zusammenfassung

Android hat die Verwaltung von Mobilgeräten ursprünglich in Android 2.2 unterstützt. Seitdem haben sich die Anforderungen von Unternehmen entwickelt. Geräte greifen zunehmend auf mehr vertrauliche Ressourcen zu und werden in einer Vielzahl von Anwendungsfällen verwendet, als die ursprüngliche Device Admin API von Android entwickelt wurde. Einige dieser Anwendungsfälle sind:

  • Trennung von Arbeitsdaten von privaten Daten bei gemischten oder BYOD-Bereitstellungen.
  • Bereitstellung von Geschäftsanwendungen und Verwaltung ihrer Daten über Google Play und Verwaltung der dafür erforderlichen Google-Konten.
  • Sperren von Geräten an einem Kiosk, um sie an bestimmte Anwendungszwecke anzupassen.
  • Zertifikatsverwaltung für den Zugriff auf mit PKI gesicherte Ressourcen.
  • Einrichtung von VPNs pro App und pro Profil, um Remote-Unternehmensanwendungen zu unterstützen und gleichzeitig die Privatsphäre zu schützen.

Gleichzeitig wünschen sich Unternehmen eine höhere Vertrauensstellung, als dies vom Geräteadministrator unterstützt werden sollte. Da ein Geräteadministrator von jeder Anwendung aktiviert werden kann, die der Nutzer autorisiert, unterstützt er verschiedene Anwendungsfälle für Unternehmen nicht. Dazu gehören:

  • Einstellung des Schutzes für zurückgesetzte Geräte (FRP), damit Geräte verwaltet bleiben und wiederhergestellt werden können, wenn Mitarbeiter das Unternehmen verlassen.
  • Gerätepasswörter auf verschlüsselten Geräten zurücksetzen.
  • Verhindern, dass der Geräteadministrator entfernt wird (aus Sicherheitsgründen in Nougat entfernt).
  • Einrichtung von vom Administrator festgelegten Sicherheitscodes zum Sperren des Nutzers auf einem Gerät (in Android 7.0 Nougat aus Sicherheitsgründen entfernt).

Der Geräteadministrator gilt als Legacy-Verwaltungsansatz, seit die Modi für verwaltete Android-Geräte (Geräteinhaber) und Arbeitsprofile (Profilinhaber) in Android 5.0 eingeführt wurden. Da die Geräteverwaltung für die heutigen Unternehmensanforderungen nicht geeignet ist, empfehlen wir Kunden und Partnern, ihre Geräte von nun an mit den Modi für verwaltete Geräte und Arbeitsprofile zu verwalten. Um diese Umstellung zu unterstützen und unsere Ressourcen auf die aktuellen Verwaltungsfunktionen von Android zu konzentrieren, haben wir die Geräteverwaltung für Unternehmen in Android 9.0 eingestellt und diese Funktionen in Android 10.0 entfernt.

Eingestellte Richtlinien

Mit dem Release von Android 9.0 werden die folgenden Richtlinien beim Aufrufen durch einen Geräteadministrator als verworfen markiert. Die APIs funktionieren ansonsten jedoch weiterhin.

Ab Android 10.0 lösen die oben genannten Richtlinien ein SecurityException aus, wenn sie von einem Geräteadministrator für Apps aufgerufen werden, die auf API-Level 29 ausgerichtet sind.

Mit dem Release von Android 11.0 wird der USES_POLICY_RESET_PASSWORD als verworfen markiert, wenn er von einem Geräteadministrator aufgerufen wird, und funktioniert nicht mehr. Bei Apps, die auf API-Level 24 oder höher ausgerichtet sind, wird ein SecurityException ausgegeben.

Einige Anwendungen verwenden den Geräteadministrator für die Verwaltung von Verbrauchergeräten, z.B. um ein verlorenes Gerät zu sperren und auf die Werkseinstellungen zurückzusetzen. Die folgenden Richtlinien sind weiterhin verfügbar, um dies zu ermöglichen:

Implementierung aktualisieren

Als Ersatz für die Keyguard- und Passwortrichtlinien, die im obigen Abschnitt als verworfen markiert wurden, sollten Anwendungen – einschließlich derer, die Exchange ActiveSync-Bereitstellungen verwalten – die unter Qualitätsprüfung für Displaysperren beschriebene Methode verwenden.

Zeitplan

Android 9.0: Der Geräteadministrator wurde für die Verwendung in Unternehmen durch Aktualisierungen der Dokumentation als eingestellt gekennzeichnet. Die vorhandenen Funktionen funktionieren weiterhin für Anwendungen, die auf API-Level 28 ausgerichtet sind, aber von einer Verwendung wird abgeraten. Alle Partner und Kunden sollten vor der Veröffentlichung von Android 10.0 zu Arbeitsprofilen oder vollständig verwalteten Geräten migrieren.

Android 10.0: Die oben genannten Richtlinien sind nicht mehr für DPCs verfügbar, die auf API-Level 29 ausgerichtet sind.

Was bedeutet das für IT-Administratoren?

Wir empfehlen Partnern und Kunden, sich schon jetzt auf diese Änderung vorzubereiten. Wenn Sie die Verwaltung Ihres Geräts aktivieren, wird die Nutzung der Geräteverwaltung anhand eines Bildschirms angezeigt (siehe Abbildung 1):

Beispiel für die Aktivierung der Geräteverwaltung
Abbildung 1. Eine solche Aktivität wird vom System angezeigt, wenn der Geräteadministrator aktiviert wird.

Wenn Sie Ihre Geräte derzeit über die Geräteverwaltung verwalten, stehen Ihnen zwei Strategien für den Wechsel zu den aktuellen Verwaltungs-APIs von Android zur Verfügung. Wenn Sie ein Gerät für die Verwaltung registrieren möchten, benötigen Sie einen EMM-Anbieter (Enterprise Mobility Management), der entweder den Android-Modus „Arbeitsprofil“ (Profilinhaber) oder den Modus „Verwaltetes Gerät“ (Geräteinhaber) unterstützt. Kunden sollten den Verwaltungsmodus auswählen, der am besten zu ihrer Bereitstellung passt. In einigen Fällen können beide Strategien gleichzeitig angewendet werden.

Eine Liste kompatibler Angebote finden Sie hier. Der Anbieter Ihrer EMM-Software kann Ihnen eine spezifische Anleitung zu seinen Produktangeboten geben.

Eigene Geräte verwalten

Private Geräte werden mit dem Arbeitsprofilmodus von Android unterstützt. Ein Arbeitsprofil wird von einem EMM-Anbieter bereitgestellt, um einen Container auf Betriebssystemebene bereitzustellen, der eine Trennung zwischen den geschäftlichen und privaten Anwendungen und Daten eines Nutzers auf seinen Geräten ermöglicht. Organisationen profitieren von der Möglichkeit, Anwendungen über Managed Google Play bereitzustellen, und haben die Gewissheit, dass Daten nicht versehentlich oder absichtlich an nicht autorisierte Anwendungen weitergegeben werden. IT-Administratoren können Unternehmensdaten auch unabhängig von den eigenen Dateien des Nutzers selektiv löschen, wenn diese die Organisation verlassen.

Unternehmenseigene Geräte verwalten

Unternehmenseigene Android-Geräte werden durch die Bereitstellung von Geräten im Modus für verwaltete Geräte unterstützt. Ein verwaltetes Gerät wird über einen EMM-Anbieter registriert, der den gesamten Lebenszyklus des Android-Geräts und seiner Daten verwalten kann. Dazu gehören die Sperrung von Hardwarefunktionen, der Schutz vor dem Zurücksetzen und Abmelden auf die Werkseinstellungen, die administrative Remote-Löschung und das Zurücksetzen des gesamten Geräts sowie die Anpassung von Anwendungen, einschließlich der Unterstützung für Bereitstellungen von Kiosken oder einzelnen Anwendungen. In der Regel verwalten Organisationen, die den Modus für verwaltete Geräte verwenden, mindestens einen von drei Bereitstellungstypen. Diese können je nach Anforderungen in der gesamten Flotte einer Organisation gemischt werden:

  • Nur Arbeit: Reine Arbeitsbereitstellungen sind im Allgemeinen auf Mitarbeiter ausgerichtet, die ein Gerät für eine Vielzahl von Anwendungen verwenden. Der persönliche Gebrauch wird von dieser Methode nicht unterstützt.
  • Persönlich aktiviert: Privat aktivierte Bereitstellungen richten sich in der Regel an Worker, die ein Gerät von ihrem Arbeitgeber bereitgestellt haben, aber auch die Flexibilität haben möchten, private Anwendungen auf dem Gerät zu nutzen. Die Bereitstellung eines Arbeitsprofils auf einem verwalteten Gerät ermöglicht es dem Mitarbeiter, geschäftliche Anwendungen neben privaten Anwendungen auszuführen, ohne die Unternehmensdaten zu gefährden.
  • Dedizierte Geräte:Die Bereitstellung zweckbestimmter Geräte umfasst im Allgemeinen verwaltete Geräte, die manchmal auch als „unternehmenseigen, Einmalnutzung“ oder „COSU“ bezeichnet werden und mit denen Hardware und Anwendungen gesperrt werden, um das Gerät an die spezifischen Arbeitsfunktionen anzupassen, die ein Mitarbeiter ausführen muss.

Wir empfehlen, unternehmenseigene Geräte als verwaltete Geräte bereitzustellen, da sie die Verwaltung des gesamten Gerätelebenszyklus ermöglichen, einschließlich Richtlinien zum Löschen vollständiger Gerätedaten und zum Zurücksetzen auf die Werkseinstellungen.

Migrationsanleitung für Kunden

BYOD: Geräteadministrator für die Bereitstellung eines Arbeitsprofils

Wir empfehlen, für alle privaten Geräte Arbeitsprofile zu verwenden. Die Migration vom alten Geräteadministrator zu einem Arbeitsprofil kann mit minimalen Unterbrechungen gehandhabt werden. Dies kann entweder über private Geräte zur Installation eines Arbeitsprofils oder durch die Registrierung neuer Geräte mit einem Arbeitsprofil erfolgen, wenn vorhandene Geräte aus dem Bestand verschwinden.

Unternehmenseigene Geräte: Administrator von verwalteten Geräten

Wir empfehlen, unternehmenseigene Geräte als vollständig verwaltete Geräte einzurichten. Wenn Sie ein Gerät vom Geräteadministrator zu einem verwalteten Gerät migrieren möchten, muss es auf die Werkseinstellungen zurückgesetzt werden. Da dies für Nutzer störender ist, empfehlen wir eine stufenweise Einführung, bei der neue Geräte als vollständig verwaltete Geräte registriert werden, vorhandene Geräte jedoch weiterhin der Geräteverwaltung verbleiben.

Migrationstypen

Einige allgemeine Migrationsstrategien werden kurz definiert als:

  • Big Bang: Große Gruppen bestehender Nutzer werden gebeten, in einer oder mehreren großen Upgradewellen entweder auf ein verwaltetes Gerät oder ein Arbeitsprofil ein Upgrade auszuführen.

  • Schrittweise Einführung:Neue Nutzer und neue Geräte werden mit den neuen Verwaltungsmodi konfiguriert, sobald sie registriert sind. Ältere Geräte zur Geräteverwaltung werden aufgrund des natürlichen Verschleißes aus dem Gerätepool ausgedient.

Häufig gestellte Fragen

Was ist mit älteren Geräten?

Wenn Android 10.0 veröffentlicht wird, gehen wir davon aus, dass alle Geräte, auf denen es ausgeführt wird, den Modus für verwaltete Geräte oder Arbeitsprofile unterstützen. Ältere Geräte können wie oben beschrieben migriert oder über die Geräteverwaltung verwaltet werden, bis sie ersetzt werden.

Was ist, wenn ich nicht über EMM bereitgestellte Apps habe, die den Geräteadministrator verwenden?

Manchmal können Anwendungen wie eine E-Mail-Anwendung als Reaktion auf Unternehmensrichtlinien, die auf E-Mail-Servern erzwungen werden, zum Geräteadministrator werden. Diese Anwendungen unterliegen den gleichen Einschränkungen seit der Veröffentlichung von Android 10.0: Sie können zwar zu Geräteadministratoren werden, können aber keine Passwortrichtlinien oder Hardwareeinschränkungen erzwingen. Je nach Anwendungsfall können diese Anwendungen:

  • Arbeitsprofile selbst aufblähen (DPC werden).
  • Fordern Sie den Nutzer auf, die Anwendung in einem anderen EMM (bei Bedarf unter der Kontrolle eines anderen DPC) einzurichten.
  • Sie können eigene (in der App) Passwortbeschränkungen implementieren.

Wir empfehlen, einen Mechanismus für diese Apps zu haben, mit dem erkannt wird, ob ein Gerät von einem EMM-Anbieter verwaltet wird, und die Verwaltung dem EMM-Anbieter überlassen. Dies kann über einen Tokenaustausch im Mobile Configuration Management (Publisher-Verwaltungstool) erreicht werden.

Was passiert, wenn Android 10.0 veröffentlicht wird?

Die eingestellten Verhaltensweisen funktionieren dann nicht mehr und geben eine Sicherheitsausnahme für Apps mit Android 10.0 und dieser API-Ebene zurück.