Özet
Android, ilk olarak Android 2.2'de mobil cihazların yönetimi desteğini kullanıma sunmuştur. O günden beri şirketlerin ihtiyaçları değişti. Cihazlar giderek daha fazla gizli kaynağa erişiyor ve Android'in orijinal cihaz yöneticisi API'sinin tasarlandığından daha çeşitli kullanım alanlarında kullanılıyor. Bu kullanım alanlarından bazıları şunlardır:
- Karma kullanım veya KCG dağıtımlarında iş verilerinin kişisel verilerden ayrılması.
- Google Play üzerinden iş uygulamalarının dağıtımı, verilerinin yönetilmesi ve bunun için gereken Google Hesaplarının yönetilmesi.
- Cihazları belirli uygulama kullanımlarına göre uyarlamak için bir kiosk'a kilitleme.
- PKI ile korunan kaynaklara erişim sağlayan sertifika yönetimi.
- Hem gizliliği korumak hem de uzaktan kurumsal uygulamaları desteklemek için uygulamaya ve profile VPN'ler oluşturma.
Buna paralel olarak kuruluşlar, cihaz yöneticisinin desteklemek için tasarlandığından daha yüksek bir güven ilişkisi talep ediyor. Cihaz yöneticisi, kullanıcının yetkilendirdiği herhangi bir uygulama tarafından etkinleştirilebildiği için aşağıdakiler gibi çeşitli kurumsal kullanım alanlarını desteklemez:
- Cihazların yönetilen bir şekilde kalmasını ve çalışanlar ayrıldığında kurtarılabilmesini sağlamak için fabrika ayarlarına sıfırlama koruması (FRP) ayarlama.
- Şifrelenmiş cihazlardaki cihaz şifrelerinin güvenli bir şekilde sıfırlanması.
- Cihaz yöneticisinin kaldırılmasını engelleme (güvenlik nedeniyle Nougat'tan kaldırılmıştır).
- Kullanıcının cihazından kilitlenmesi için yönetici tanımlı şifre kodlarının oluşturulması (güvenlik nedeniyle Android 7.0 Nougat'ta kaldırılmıştır).
Android'in yönetilen cihaz (cihaz sahibi) ve iş profili (profil sahibi) modları Android 5.0'da kullanıma sunulduğundan beri cihaz yönetimi eski bir yönetim yaklaşımı olarak kabul edilmiştir. Cihaz yöneticisi günümüzün kurumsal gereksinimlerini desteklemeye uygun olmadığından, müşterilerin ve iş ortaklarının bundan böyle cihazlarını yönetmek için yönetilen cihaz ve iş profili modlarını benimsemelerini öneririz. Bu geçişi desteklemek ve kaynaklarımızı Android'in mevcut yönetim özelliklerine odaklamak amacıyla Android 9.0 sürümünde kurumsal kullanım için cihaz yöneticisi özelliğini kullanımdan kaldırdık ve Android 10.0 sürümünde bu işlevleri kaldıracağız.
Desteği sonlandırılan politikalar
Android 9.0 sürümünde, bir cihaz yöneticisi tarafından çağrıldığında aşağıdaki politikalar "kullanımdan kaldırıldı" olarak işaretlenmiş olsa da API'ler çalışmaya devam ediyor.
USES_POLICY_DISABLE_CAMERA
USES_POLICY_DISABLE_KEYGUARD_FEATURES
USES_POLICY_EXPIRE_PASSWORD
USES_POLICY_LIMIT_PASSWORD
Android 10.0 sürümünden itibaren, yukarıda bahsedilen politikalar, API düzeyi 29'u hedefleyen uygulamalarda bir cihaz yöneticisi tarafından çağrıldığında bir SecurityException
bildirimi verir.
Android 11.0 sürümünde, bir cihaz yöneticisi tarafından çağrıldığında USES_POLICY_RESET_PASSWORD
kullanımdan kaldırılmış olarak işaretlenir ve çalışmayı durdurur.
API düzeyi 24 ve sonraki sürümleri hedefleyen uygulamalara bir SecurityException
iletisi gönderilir.
Bazı uygulamalar, tüketicinin cihaz yönetimi (ör. kayıp bir cihazı kilitleme ve silme) için cihaz yöneticisini kullanır. Bunu mümkün kılmak için aşağıdaki politikalar kullanılmaya devam edecektir:
Uygulamanızı güncelleme
Yukarıdaki bölümde kullanımdan kaldırılmış olarak işaretlenen tuş koruyucu ve şifre politikalarının değiştirilmesi için Exchange ActiveSync dağıtımlarını yönetenler de dahil olmak üzere uygulamalar Ekran kilidi kalite kontrolü bölümünde açıklanan yöntemi kullanmalıdır.
Zaman çizelgeleri
Android 9.0: Cihaz yöneticisi, dokümanlarda yapılan güncellemelerle kurumsal kullanım için desteği sonlandırılmıştır. Mevcut işlev, API düzeyi 28'i hedefleyen uygulamalar için çalışmaya devam etmektedir, ancak kullanılması önerilmez. Tüm iş ortakları ve müşteriler, Android 10.0 sürümünden önce iş profillerine veya tümüyle yönetilen cihazlara geçiş yapmalıdır.
Android 10.0: Yukarıdaki politikalar, API düzeyi 29'u hedefleyen DPC'ler tarafından artık kullanılamayacaktır.
Bu durum BT yöneticileri için ne anlama geliyor?
İş ortaklarının ve müşterilerin bu değişikliğe hemen hazırlanmaya başlamasını öneririz. Cihazınızın yönetimi etkinleştirilirken cihaz yöneticisi kullanımı bir ekranla tanımlanabilir (örnek için Şekil 1'e bakın):
Cihazlarınızı yönetmek için şu anda cihaz yöneticisini kullanıyorsanız Android'in mevcut yönetim API'lerine geçiş yapmak için iki stratejiden yararlanabilirsiniz. Bir cihazı yönetime kaydetmek için Android'in iş profili (profil sahibi) veya yönetilen cihaz (cihaz sahibi) modunu destekleyen bir Kurumsal Mobilite Yönetimi (EMM) sağlayıcısına ihtiyacınız vardır. Müşteriler, dağıtımlarına en uygun yönetim modunu seçmelidir. Bazı durumlarda her iki strateji de aynı anda kullanılabilir.
Uyumlu tekliflerin listesini burada bulabilirsiniz. EMM yazılım sağlayıcınız, ürün teklifleri hakkında özel rehberlik sağlayabilir.
Kişisel cihazları yönetme
Kişisel cihazlar, Android'in iş profili moduyla desteklenir. İş profili, kullanıcının iş uygulamaları ile kişisel uygulamaları ile cihazlarındaki veriler arasında ayrım sağlayan bir işletim sistemi düzeyinde kapsayıcı sağlamak için EMM tarafından dağıtılır. Kuruluşlar, Managed Google Play'i kullanarak uygulama dağıtabilme avantajının yanı sıra verilerin yanlışlıkla veya yetkisiz uygulamalarla kasıtlı olarak paylaşılmadığından emin olabiliyorlar. Ayrıca BT yöneticileri, kuruluştan ayrılmaları halinde kurumsal verileri kullanıcının kendi dosyalarından bağımsız olarak seçerek de silebilir.
Şirkete ait cihazları yönetme
Şirkete ait Android cihazlar, cihazların yönetilen cihaz modunda dağıtılmasıyla desteklenir. Yönetilen cihaz, Android cihaz ve verileri üzerinde tam yaşam döngüsü yönetimi sağlayabilen bir EMM kullanılarak kaydedilir. Buna donanım özelliklerinin tam korunması, fabrika ayarlarına sıfırlama ve kaydın kaldırılmasına karşı koruma, cihazın yönetim tarafından uzaktan silinmesi ve sıfırlanması ve kiosk ya da tek uygulama dağıtımı desteği de dahil olmak üzere uygulamaların uyarlanması dahildir. Genel olarak, yönetilen cihaz modunu kullanan kuruluşlar üç dağıtım türünden en az birini yönetir ancak bunlar kuruluşun filosu genelinde gereksinimlerine bağlı olarak karıştırılıp eşleştirilebilir:
- Yalnızca iş: Yalnızca iş amaçlı dağıtımlar genellikle bir cihazı çeşitli uygulamalar için kullanan çalışanları hedefler. Bu yöntemle kişisel kullanım desteklenmez.
- Kişisel olarak etkinleştirilen: Kişisel olarak etkinleştirilmiş dağıtımlar genellikle, işverenleri tarafından kendilerine sağlanmış bir cihazı olan çalışanları hedefler. Ancak, bu cihazda kişisel uygulamaları da kullanma esnekliğine sahip olmak isterler. Bir iş profilinin yönetilen bir cihaza dağıtılması, çalışanın kurumsal verilerden ödün vermeden kişisel uygulamalarla birlikte iş uygulamaları çalıştırmasına olanak tanır.
- Özel cihaz dağıtımları: Özel cihaz dağıtımları genellikle, cihazı bir çalışanın gerçekleştirmesi gereken belirli iş işlevlerine göre özelleştirmek için donanımı ve uygulamaları kilitleyen, bazen "şirkete ait, tek kullanımlık" veya "COSU" olarak da adlandırılan yönetilen cihazları kapsar.
Tam cihaz silme ve fabrika ayarlarına sıfırlama koruma politikaları dahil olmak üzere cihaz yaşam döngüsünün tamamının yönetilmesine olanak tanıdığından, şirkete ait cihazların yönetilen cihaz olarak dağıtılmasını öneririz.
Müşteriler için taşıma rehberi
KCG: İş profilinin dağıtımlarına cihaz yöneticisi
İş profillerinin kişiye ait tüm cihazlarda kullanılmasını öneririz. Eski cihaz yöneticisinden iş profiline taşıma işlemi minimum düzeyde kesintiyle gerçekleştirilebilir. Bu, kişisel cihazları bir iş profili yüklemeye iterek veya mevcut cihazlar aşamalı olarak kullanımdan kalktıkça yeni cihazların bir iş profiline kaydolmasını sağlayarak gerçekleştirilebilir.
Şirkete ait cihazlar: Cihaz yöneticisinden yönetilen cihaza
Şirkete ait cihazların tümüyle yönetilen cihazlar olarak ayarlanmasını öneririz. Bir cihazın cihaz yöneticisinden yönetilen cihaza taşınması için fabrika ayarlarına sıfırlama işlemi gerekir. Bu durum kullanıcılar açısından daha rahatsız edici olduğundan, yeni cihazların tümüyle yönetilen cihazlar olarak kaydettirildiği ancak mevcut cihazların cihaz yöneticisinde kaldığı aşamalı bir geçiş süreci kullanılmasını öneririz.
Taşıma türleri
Bazı genel taşıma stratejileri kısaca şu şekilde tanımlanır:
Büyük patlama: Mevcut kullanıcılardan oluşan büyük kitlelerin, bir veya daha fazla büyük yükseltme dalgasında yönetilen cihaz ya da iş profiline yükseltmeleri istenmektedir.
Aşamalı benimseme: Yeni kullanıcılar ve yeni cihazlar, kaydettirilirken yeni yönetim modlarıyla yapılandırılır. Eski cihaz yönetim cihazları, doğal aşınma yoluyla filodan kaldırılır.
SSS
Peki ya eski cihazlar?
Android 10.0 kullanıma sunulduğunda, sürümü çalıştıran tüm cihazların yönetilen cihaz veya iş profili modlarını desteklemesini bekliyoruz. Eski cihazlar, daha önce açıklandığı şekilde taşınabilir veya değiştirilene kadar cihaz yöneticisi kullanılarak yönetilebilir.
EMM tarafından sağlanmayan ve cihaz yöneticisi kullanan uygulamalarım varsa ne olur?
Bazen e-posta uygulaması gibi uygulamalar, e-posta sunucularında zorunlu kılınan kurumsal politikalara yanıt olarak cihaz yöneticisi olabilir. Bu uygulamalar Android 10.0 sürümünden itibaren geçerli kısıtlamalara tabi olacak: Cihaz yöneticisi olabilirler ancak şifre politikaları veya donanım kısıtlamaları uygulamaları yapamazlar. Kullanım alanına bağlı olarak bu uygulamalar:
- İş profilini kendiniz şişirmek (DPC haline gelmek).
- Kullanıcıdan uygulamayı başka bir EMM'de kurmasını isteyin (gerekirse başka bir DPC'nin kontrolü altında).
- Kendi (uygulama içi) şifre kısıtlamalarını uygulamayı seçebilirler.
Bu uygulamaların, cihazın bir EMM tarafından yönetilip yönetilmediğini algılayacak ve yönetim için EMM sağlayıcısına güvenecekleri bir mekanizmaya sahip olmasını öneririz. Bu tespit, Mobil Yapılandırma Yönetimi (ÇMY) aracılığıyla jeton değişimi yoluyla yapılabilir.
Android 10.0 yayınlandığında ne olur?
Kullanımdan kaldırılan davranışlar çalışmayı durdurur ve Android 10.0 çalıştıran ve bu API düzeyini hedefleyen uygulamalar için bir güvenlik istisnası döndürür.