Geräte mit Android 5.0 oder höher unterstützen Modi für die Geräteverwaltung. So können IT-Administratoren von Unternehmen Geräterichtlinien auf registrierten verwalteten Geräten festlegen. Welche Geräterichtlinien für eine App zur Geräteverwaltung verfügbar sind, hängt vom für die Registrierung verwendeten Verwaltungsmodus ab. Einige APIs zur Geräteverwaltung (eine vollständige Liste der API-Elemente finden Sie unter DevicePolicyManager) können auch außerhalb von Unternehmen eingesetzt werden. Die meisten sind jedoch für die Verwendung in Unternehmensumgebungen konzipiert und werden mit Android Enterprise-Lösungen bereitgestellt.
So funktioniert Android Enterprise
In Android Enterprise werden Richtlinien für die Geräteverwaltung mithilfe der Device Policy Controller App (DPC) erzwungen. Ein EMM-Anbieter (Enterprise Mobility Management) bietet Kunden Lösungen zur Geräteverwaltung an, die in der Regel eine On-Device-App für Geräterichtlinien (Device Policy Controller App, DPC-App) und eine cloudbasierte EMM-Konsole umfassen. Enterprise-Kunden können Geräte registrieren und Verwaltungsrichtlinien auf die Geräte anwenden, die sie über die EMM-Konsole registriert haben.
Eine DPC-App kann auf privaten und unternehmenseigenen Geräten im Profilinhabermodus oder auf unternehmenseigenen Geräten im Modus „Geräteinhaber“ ausgeführt werden.
Modi für die Geräteverwaltung mit Android Enterprise
Android Enterprise verwendet die folgenden Modi zur Geräteverwaltung:
Vollständig verwaltetes Gerät (auch Modus „Geräteinhaber“ genannt): Eine DPC-App wird während der Einrichtung als Geräteeigentümer festgelegt und verwaltet ein gesamtes Gerät. Diese Art der Geräteverwaltung kann nur auf unternehmenseigenen (unternehmenseigenen) Geräten verwendet werden, die beruflich genutzt werden.
Arbeitsprofil (auch Modus mit verwaltetem Profil genannt): Eine DPC-App wird als Profilinhaber festgelegt und verwaltet nur das Arbeitsprofil auf einem Gerät, das auch ein privates Profil haben kann. Diese Art der Geräteverwaltung kann auf einem privaten Gerät oder einem unternehmenseigenen Gerät verwendet werden.
Bereitstellung für vollständig verwaltete Geräte (Bereitstellung durch Geräteeigentümer)
Android bietet eine breite Palette von Verwaltungsfunktionen, mit denen Organisationen Geräte für alles konfigurieren können, von der Nutzung durch Unternehmensmitarbeiter über Fabrik- und Industrieumgebungen bis hin zu kundenseitigen Beschilderungen und Kiosksystemen. Mit der Bereitstellung durch den Geräteeigentümer (vollständig verwaltete Geräte) können Unternehmen die gesamte Palette der Android-Verwaltungsrichtlinien erzwingen, einschließlich Richtlinien auf Geräteebene,die für Arbeitsprofile nicht verfügbar sind.
Ein vollständig verwaltetes Gerät:
- Enthält nur geschäftliche Apps und Daten.
- Es ist für die Organisation sichtbar.
- Wird von der Organisation verwaltet.
Die Bereitstellung für Geräteeigentümer kann nur während der Ersteinrichtung (oder auf einem auf die Werkseinstellungen zurückgesetzten Gerät) erfolgen und sollte nur auf Geräten erfolgen, die einem Unternehmen gehören. Dies geschieht in der Regel durch die Überprüfung eindeutiger Geräte-IDs (z. B. IMEI oder Seriennummer) oder durch die Verwendung einer speziellen Gruppe von Unternehmenskonten, die für die Geräteregistrierung autorisiert sind. Nach Abschluss der Geräteeigentümer-Bereitstellung wird die DPC-App als Geräteeigentümer-App festgelegt.
Vollständig verwaltete Geräte eignen sich besonders gut für Anwendungsfälle mit speziellen Geräten, bei denen ein Gerät in der Regel auf eine einzelne App oder eine Reihe von Apps beschränkt ist, z. B. Check-in-Kiosken oder digitale Beschilderung. Android unterstützt mehrere Registrierungsmethoden für Geräteeigentümer, z. B. die QR-Code-basierte Registrierung, die NFC-basierte Registrierung, Unternehmenskonten oder die cloudbasierte Registrierung. Entwickler von EMM-Lösungen finden unter Unterschiede bei der Schlüsselbereitstellung zwischen Android-Versionen weitere Informationen.
Arbeitsprofil (Bereitstellung des Profilinhabers)
Die Bereitstellung des Profilinhabers ermöglicht es dem Nutzer, auf einem Gerät sowohl ein Arbeitsprofil (verwaltetes Profil) als auch ein privates Profil zu haben. Diese Art der Geräteverwaltung kann auf einem unternehmenseigenen Gerät oder einem privaten Gerät verwendet werden. Die Bereitstellung des Profilinhabers kann während der Ersteinrichtung (für unternehmenseigene Geräte) oder nach der Ersteinrichtung auf einem Gerät mit einem primären Profil (BYOD-Registrierung) erfolgen, je nach Art des Geräts und der von der Organisation unterstützten Registrierungsmethode. Auf Geräten mit einem Arbeitsprofil hat der DPC nur die Kontrolle über das Arbeitsprofil (geschäftliche Apps und Daten) und nicht über das private Profil. Geräterichtlinien werden mit einigen Ausnahmen nur für das Arbeitsprofil erzwungen, z. B. die Sperre des Sperrbildschirms, die sich auf das gesamte Gerät erstreckt.
Während der Bereitstellung des Profilinhabers kopiert das Framework die DPC-App in das verwaltete Profil und ruft den ADMIN_POLICY_COMPLIANCE-Intent-Handler für den Nutzer des Arbeitsprofils auf. Sobald die Bereitstellung des Arbeitsprofils abgeschlossen ist, werden App-Symbole mit dem Arbeitsprofil-Logo im Launcher angezeigt. Nachdem die Bereitstellung des Profilinhabers erfolgreich abgeschlossen wurde, wird die DPC-App als App des Profilinhabers festgelegt. Android unterstützt verschiedene Registrierungsmethoden für Arbeitsprofil, z. B. die Registrierung mit QR-Code, die NFC-basierte Registrierung, Konten oder die cloudbasierte Registrierung. Entwickler von EMM-Lösungen finden unter Unterschiede bei der Schlüsselbereitstellung zwischen Android-Versionen weitere Informationen.