Maak jij met jouw organisatie gebruik van de Intune-functionaliteit, om Android apparaten vanuit je organisatie te beheren? Let dan op! Er staan namelijk begin 2019 een aantal grote wijziging gepland. Om je hierbij te ondersteunen, bespreken we in dit blog de impact van deze wijzigingen op jou, maar kijken we ook hoe we je verder kunnen helpen. Zo kun je op de juiste manier omgaan met de aankomende veranderingen.
Wat wordt er gewijzigd?
Op dit moment zijn er meerdere manieren om Android-apparaten te beheren vanuit verschillende management-suites, zoals ook Intune. De meest traditionele methode voor beheer, echter nog wel meest gebruikte, is via Device Admin. Google heeft aangekondigd om de ondersteuning voor deze manier van beheren van Android-toestellen, te gaan beëindigen. Hier kun je meer terugvinden over deze aankonding. Op dit moment is de laatste beschikbare versie Android 9, genaamd “Pie”. In de volgende versie van Android, die Google in 2019 zal introduceren, zullen zij de Device Admin beheermethodiek niet meer ondersteunen.
Wat betekent dit voor mij?
Wanneer op een apparaat dat nu door Intune beheerd wordt, de 2019 Android versie geïnstalleerd is, zijn bepaalde beheertoepassingen niet meer mogelijk. Denk hierbij bijvoorbeeld aan het afdwingen van een PIN-code, of de encryptie van het apparaat. Hierdoor kunnen beleidsinstellingen mogelijk niet meer geforceerd en/of geverifieerd worden. Zo kan het apparaat niet meer aan het (beveilings)beleid voldoen en/of kunnen instellingen niet meer (op de juiste manier) worden doorgevoerd op het apparaat. Denk bijvoorbeeld aan een WiFi-netwerk, certificaat of VPN instelling. Tijd voor actie dus!
Wat zijn de alternatieven?
Zoals aangegeven is de “Device Admin” methodiek de oudst bekende, maar niet de enige. Intune biedt ondersteuning voor het beheren van Android-apparaten via een tweetal alternatieve methodes:
- Complementair beheer kan via Samsung Knox: het voor- en door Samsung geïmplementeerde beheerplatform. Zoals de naam al aangeeft is deze manier van beheren enkel mogelijk via de ondersteunde Samsung apparaten
- Het in 2017 geïntroduceerde Android Enterprise. Hierbij kan een scheiding aangebracht worden tussen apps & data die gerelateerd zijn aan persoonlijk gebruik, of apps & data die werk-gerelateerd zijn (geclassificeerd via een “work profile”)
Samsung KNOX
Zoals de naam al aangeeft, ondersteunt Knox enkel specifieke Samsung-apparaten. Maakt jouw organisatie gebruik van deze ondersteunde apparaten, dan kan beheer via de Samsung Knox methodiek een alternatief zijn voor de “Device Admin” beheermethode. Hoewel Samsung Knox ook deels gebaseerd is op de “Device Admin” API, heeft Samsung aangegeven alle functionaliteit te blijven aanbieden en ondersteunen.
Android Enterprise
Android Enterprise is het antwoord van Google op de vraag die in de markt leefde, om een Enterprise-ready beheeroplossing voor Android aan te bieden. Wanneer Android Enterprise in gebruik genomen wordt, zal via een “corporate” Google-account de Intune-omgeving gekoppeld worden. Dit is gelijksoortig aan de insteek bij het beheer van Apple-apparaten.
Er zijn twee verschillende mogelijkheden voor het beheer van apparaten middels Android Enterprise. Deze mogelijkheden zijn hieronder verder uitgewerkt:
Modern Management van “Bring Your Own” apparaten
Dit eerste scenario is gebaseerd op het BYOD-concept (bring your own device). Medewerkers hebben hierbij de mogelijkheid een eigen apparaat te gebruiken voor werkdoeleinden, of de organisatie laat de medewerkers vrij om een eigen (Android) apparaat aan te schaffen voor gebruik binnen de werkomgeving. De apparaten zijn dus potentieel niet altijd officieel eigendom van de werkgever.
Dit scenario heeft de volgende eigenschappen:
- Er wordt gebruik gemaakt van beheer via een zogeheten Work Profile. Dit gebeurt wanneer de medewerker het toestel registreert binnen Intune, om de organisatie-instellingen naar het toestel uit te rollen.
- Via Intune App Protection policies (in het kort “APP”), worden policies op het apparaat gepusht. Dit is mogelijk wanneer als het Android apparaat “enrolled” is in Intune, maar ook wanneer het apparaat niet enrolled is.
- Applicaties kunnen beschikbaar zijn en gebruikt worden in beide “contexten”. Dit kan dus door de organisatie worden aangeboden, of door de gebruiker zelf geïnitieerd. Data kan niet gedeeld worden tussen de beide contexten.
Modern Management van “Corporate-owned” apparaten
Het tweede scenario is gebaseerd op het concept dat de organisatie zelf de (Android) apparaten voor de medewerkers inkoopt en aanbiedt. De apparaten zijn dus officieel eigendom van de werkgever. Dit is gelijksoortig aan het beheer van iOS-apparaten via Intune. Dit scenario heeft de volgende eigenschappen:
- Het apparaat is altijd enrolled in- en wordt beheerd door de organisatie
- Afhankelijk van het type (sub-)implementatie, kan de organisatie ervoor kiezen het apparaat een bepaalde type functionaliteit te geven, namelijk:
- Single use (COSU): Een Kiosk-modus waarin het apparaat (aanzienlijk) gelimiteerde functionaliteit heeft.
- Business Only (COBO): Het apparaat en haar functionaliteit is volledig op de organisatie gericht, niet op persoonlijk gebruik.
- Personal Enabled (COPE): Het apparaat is gericht op het bieden van zowel organisatie gericht- als persoonlijk gebruik. Middels policies worden specifiek werkprofiel instellingen naar het apparaat gepusht. Op dit moment wordt dit scenario (COPE) door Intune nog niet officieel ondersteund. Deze ondersteuning is op dit moment door Microsoft in ontwikkeling. Er is eerder door Microsoft gesteld dat dit scenario voor einde 2018 nog ondersteund zal worden.
Let op! Wanneer je één van de “Corporate-owned” scenario’s kiest, moet je er rekening mee houden dat alle Android toestellen een “reset” nodig hebben om hiervan gebruik te kunnen maken. Dit in verband met de mogelijke operationele en logistieke impact hiervan.
*Op dit moment wordt het Android Enterprise ‘Fully Managed’ model nog niet ondersteund. Microsoft heeft echter aangekondigd dit begin 2019 te gaan introduceren.
Conclusie
Om ervoor te zorgen dat jouw organisatie geen negatieve impact ondervindt van deze wijziging, raden we je aan nu te beginnen met oriënteren op de alternatieven. Op die manier kun jij je samen met de organisatie tijdig voorbereiden op een juiste beheerrichting. Wij helpen je graag bij het maken van een beslissing die past bij jouw organisatie. Kom je er niet uit met de hulpmiddelen die wij en Microsoft beschikbaar stellen? Neem dan contact op met ons. Dan kunnen we je helpen met het maken van de juiste keuze.