Datentrennung
Android – Corporate Owned Devices
Ab Android 9: Android Enterprise Enrollment (vollständige Geräteverwaltung)
Spätestens seit Relution 5 ist bei der Verwaltung von Android-Geräten in Relution verstärkt die Android Enterprise Einschreibung als vollständig verwaltetes Gerät (Device Owner) gebräuchlich. Die MDM-Funktionen sind dabei im Betriebssystem integriert und standardisiert. Dies ermöglicht eine weitgehend herstellerunabhängige, einheitliche MDM-Funktionalität auf der Android-Plattform. Die Android Enterprise Funktionen stehen ausschließlich für zertifizierte Geräte zur Verfügung. Samsung-Geräte können mittels der KNOX-Funktionen noch umfangreicher administriert und abgesichert werden. Die Relution Client App wird bei der Android Enterprise Einschreibung nicht mehr zwingend benötigt. Zusätzlich steht weiterhin die klassische Einschreibung als „Device Administrator“ zur Verfügung. Dabei erhält die Relution Client App besondere Rechte auf dem Gerät, damit sie die MDM-Funktionen ausführen darf. Bei dieser Art der Einschreibung sind die Möglichkeiten des MDM-Eingriffs jedoch stark vom verwendeten Android-Gerät abhängig. Bei der Verwaltung von Android-Geräten stehen vielfältige Konfigurationen und Funktionen zur Verfügung:
- Installation und Konfiguration von Apps (bspw. Exchange-Client)
- Managed Google Play Store
- WLAN- und VPN-Konfiguration
- Vollautomatische Einschreibung der Geräte (KNOX Mobile Enrollment).
„Arbeitsprofil“ Einschreibung
Android Enterprise bietet zusätzlich das sogenannte „Arbeitsprofil“ an, das für private Geräte gedacht ist und einen Container („Arbeit“) auf dem Gerät einrichtet, der von Relution verwaltet werden kann. In diesem Container findet sich ein „Managed Play Store“, der lediglich freigegebene Apps zur Installation bereitstellt. Die Installation der Apps aus dem „Managed Google Play Store“ ist ohne einen lokalen Google-Account möglich. Zusätzlich können die Apps über Relution konfiguriert werden, sofern eine „Managed App Configruation“ von der jeweiligen App unterstützt wird (z.B. eine E-Mail-App mit vorgegebener Server-Adresse und Benutzerkennung). Der Container kann auch ein eigenes Adressbuch zur Trennung von geschäftlichen und privaten Kontakten enthalten.
Alles außerhalb des Containers („Persönlich“) kann Relution nicht beeinflussen, es kann also beispielsweise das Gerät nicht zurückgesetzt oder gesperrt werden. Der Container lässt sich aber über Relution entfernen, womit dann alle darin vorhandenen Daten gelöscht werden.
Relution unterstützt das Arbeitsprofil in einer Organisation parallel zur vollständigen Geräteverwaltung von Android Enterprise und der klassischen Einschreibung als System Administrator. In Relution ist somit ein Mischbetrieb mit unterschiedlichen Geräten möglich.
Funktions-Einschränkungen
Ferner können im Container “Arbeit” folgende Funktionen per Restriktion ebenfalls abgeschaltet werden:
- App Block-/Allow-Listing
- Neue Benutzer und Profile anlegen
- Konten hinzuzufügen und entfernen
- Apps installieren
- Apps deinstallieren
- Kamera verwenden
- Bildschirmfotos machen
- Bluetooth konfigurieren und verwenden
- Kontakte über Bluetooth teilen
- Mobiles Netzwerk konfigurieren
- VPN konfigurieren
- Vorgegebene Wi-Fi Netzwerke anpassen
- Android Beam (NFC) zum Teilen von App-Daten verwenden
- Externe physikalische Medien einbinden
- Dateien über USB übertragen.