Τι είναι το Android Enterprise; Ο απόλυτος οδηγός για τη διαχείριση του Android στον χώρο εργασίας

Ο σύγχρονος χώρος εργασίας δεν περιορίζεται πλέον σε ένα φυσικό γραφείο. Με την ταχεία επέκταση της εξ αποστάσεως εργασίας, των υπηρεσιών πεδίου και των λειτουργιών πρώτης γραμμής, οι κινητές συσκευές έχουν γίνει η κύρια πλατφόρμα υπολογιστών για ένα τεράστιο τμήμα του παγκόσμιου εργατικού δυναμικού. Καθώς οι οργανισμοί αναπτύσσουν στόλους smartphone, tablet και ανθεκτικών σαρωτών, προκύπτει μια κρίσιμη πρόκληση: πώς διασφαλίζετε τα εταιρικά δεδομένα, σέβεστε το απόρρητο των χρηστών και απλοποιείτε την ανάπτυξη συσκευών σε κλίμακα;

Η απάντηση είναι το Android Enterprise.

Είτε εξοπλίζετε ένα νοσοκομείο με tablet για τη φροντίδα ασθενών, είτε εξοπλίζετε έναν στόλο logistics με ανθεκτικούς σαρωτές γραμμωτού κώδικα, είτε επιτρέπετε στους υπαλλήλους γραφείου να έχουν πρόσβαση σε εταιρικά email στα προσωπικά τους smartphone, το Android Enterprise παρέχει το θεμελιώδες πλαίσιο που απαιτείται για να γίνει αυτό με ασφάλεια και αποτελεσματικότητα. Ως επίσημος συνεργάτης του Android Enterprise, το Nomid MDM εξειδικεύεται στην αξιοποίηση αυτού του ισχυρού πλαισίου για την παροχή ταχύτατης ανάπτυξης συσκευών και ισχυρής ασφάλειας σε διάφορους κλάδους.

Αυτός ο ολοκληρωμένος οδηγός θα σας προσφέρει μια βαθιά βουτιά στο Android Enterprise. Θα εξερευνήσουμε την εξέλιξή του, θα αναλύσουμε τις βασικές λειτουργίες διαχείρισης, θα εξετάσουμε την πολυεπίπεδη αρχιτεκτονική ασφαλείας του και θα παρέχουμε πρακτικά βήματα για την εφαρμογή του στον οργανισμό σας.

Η Εξέλιξη: Από το Device Admin στο Android Enterprise

Για να κατανοήσετε πραγματικά την αξία του Android Enterprise, είναι απαραίτητο να καταλάβετε τι προηγήθηκε αυτού. Στις πρώτες μέρες της κινητικότητας των επιχειρήσεων, η διαχείριση των συσκευών Android ήταν μια κατακερματισμένη και συχνά απογοητευτική εμπειρία για τους διαχειριστές πληροφορικής.

Η Εποχή του Device Admin (DA)

Ορισμός: Device Admin (DA) Παρουσιάστηκε στο Android 2.2, το Device Administration API ήταν η αρχική μέθοδος που χρησιμοποιήθηκε από τις λύσεις Διαχείρισης Κινητών Συσκευών (MDM) για τον έλεγχο των συσκευών Android. Επέτρεπε στις εφαρμογές να ζητούν δικαιώματα σε επίπεδο συστήματος για την επιβολή βασικών πολιτικών, όπως απαιτήσεις κωδικού πρόσβασης ή δυνατότητες απομακρυσμένης διαγραφής.

Ενώ το Device Admin εξυπηρέτησε τον σκοπό του στις αρχές της δεκαετίας του 2010, υπέφερε από σοβαρούς περιορισμούς καθώς το τοπίο της κινητής τηλεφωνίας ωρίμαζε:

• Άδειες Όλα-ή-Τίποτα: Το Device Admin παραχωρούσε ευρείες, σαρωτικές άδειες στις εφαρμογές MDM. Οι διαχειριστές πληροφορικής είχαν ορατότητα σχεδόν σε όλα τα στοιχεία της συσκευής, γεγονός που δημιουργούσε σημαντικές ανησυχίες για το απόρρητο των εργαζομένων που χρησιμοποιούσαν προσωπικές συσκευές για εργασία (BYOD).
• Ασυνεπείς Εφαρμογές: Επειδή το οικοσύστημα Android αποτελείται από χιλιάδες μοντέλα συσκευών από δεκάδες κατασκευαστές (OEM), τα API του Device Admin δεν εφαρμόζονταν ομοιόμορφα. Μια πολιτική MDM που λειτουργούσε τέλεια σε μια συσκευή Samsung θα μπορούσε να αποτύχει εντελώς σε μια συσκευή Motorola ή LG.
• Κενά Ασφαλείας: Οι ευρείες άδειες που παραχωρούνταν από το DA το καθιστούσαν κύριο στόχο για κακόβουλες εφαρμογές. Εάν ένας χρήστης παραπλανηθεί ώστε να παραχωρήσει δικαιώματα DA σε κακόβουλο λογισμικό, η κακόβουλη εφαρμογή αποκτούσε σχεδόν πλήρη έλεγχο της συσκευής.

Η Μετάβαση στη Σύγχρονη Διαχείριση

Αναγνωρίζοντας αυτά τα μοιραία ελαττώματα, η Google εισήγαγε το Android for Work (αργότερα μετονομάστηκε σε Android Enterprise) στο Android 5.0 (Lollipop). Το Android Enterprise σχεδιάστηκε από την αρχή για να λύσει τα προβλήματα κατακερματισμού, ασφάλειας και απορρήτου της εποχής του Device Admin.

Αντί να βασίζεται σε ένα μοντέλο αδειών όλα-ή-τίποτα, το Android Enterprise εισήγαγε την περιορισμένη απομόνωση (containerization) και τη διαχείριση συσκευών βάσει ρόλων. Τυποποίησε τα API διαχείρισης σε ολόκληρο το οικοσύστημα Android, διασφαλίζοντας ότι μια λύση MDM όπως το Nomid MDM θα μπορούσε να προωθήσει αξιόπιστα πολιτικές σε οποιαδήποτε πιστοποιημένη συσκευή Android, ανεξάρτητα από τον κατασκευαστή.

Οι 4 Βασικές Λειτουργίες Διαχείρισης του Android Enterprise

Ένα από τα μεγαλύτερα πλεονεκτήματα του Android Enterprise είναι η ευελιξία του. Οι οργανισμοί δεν έχουν μια ενιαία προσέγγιση για την κινητικότητα. Ένας υπάλληλος λιανικής που χρησιμοποιεί ένα tablet σημείου πώλησης έχει πολύ διαφορετικές ανάγκες από ένα στέλεχος που ελέγχει το email στο προσωπικό του τηλέφωνο.

Για να καλύψει αυτές τις διαφορετικές περιπτώσεις χρήσης, το Android Enterprise προσφέρει τέσσερα διακριτά σενάρια ανάπτυξης, που συχνά αναφέρονται ως "λειτουργίες διαχείρισης".

1. Προφίλ Εργασίας (BYOD - Φέρτε τη Δική σας Συσκευή)

Ορισμός: BYOD (Bring Your Own Device) Μια εταιρική πολιτική που επιτρέπει στους εργαζόμενους να χρησιμοποιούν τα προσωπικά τους smartphone ή tablet για να έχουν πρόσβαση σε εταιρικά δεδομένα και εφαρμογές.

Η λειτουργία Προφίλ Εργασίας (Work Profile) είναι η απόλυτη λύση για περιβάλλοντα BYOD. Χρησιμοποιεί containerization σε επίπεδο λειτουργικού συστήματος για να δημιουργήσει ένα αυστηρό, αδιαπέραστο όριο μεταξύ των προσωπικών δεδομένων ενός υπαλλήλου και των εταιρικών δεδομένων στην ίδια ακριβώς συσκευή.

Πώς λειτουργεί: Όταν ένας χρήστης εγγράφει την προσωπική του συσκευή στο Nomid MDM, δημιουργείται ένα ασφαλές "Προφίλ Εργασίας". Οι εφαρμογές σε αυτό το προφίλ επισημαίνονται με ένα μικρό μπλε εικονίδιο χαρτοφύλακα. Το τμήμα πληροφορικής έχει πλήρη έλεγχο του Προφίλ Εργασίας--μπορεί να επιβάλει κωδικούς πρόσβασης, να περιορίσει την αντιγραφή/επικόλληση μεταξύ εφαρμογών εργασίας και προσωπικών εφαρμογών και να διαγράψει εξ αποστάσεως το περιεχόμενο εργασίας εάν ο υπάλληλος αποχωρήσει από την εταιρεία.

Το Πλεονέκτημα του Απορρήτου: Είναι κρίσιμο ότι το τμήμα πληροφορικής έχει μηδενική ορατότητα ή έλεγχο στην προσωπική πλευρά της συσκευής. Δεν μπορούν να δουν προσωπικές εφαρμογές, να διαβάσουν προσωπικά μηνύματα κειμένου, να έχουν πρόσβαση σε προσωπικές φωτογραφίες ή να παρακολουθήσουν την τοποθεσία της συσκευής εκτός των ωρών εργασίας. Αυτός ο κρυπτογραφικός διαχωρισμός διασφαλίζει την ασφάλεια των εταιρικών δεδομένων, ενώ εγγυάται το απόρρητο των εργαζομένων, αυξάνοντας δραματικά την υιοθέτηση των προγραμμάτων BYOD από τους χρήστες.

2. Πλήρως Διαχειριζόμενη (COBO - Εταιρική Ιδιοκτησία, Μόνο για Επιχειρηματική Χρήση)

Ορισμός: COBO (Corporate-Owned, Business-Only) Ένα μοντέλο ανάπτυξης όπου ο οργανισμός αγοράζει τη συσκευή, την παραδίδει σε έναν συγκεκριμένο υπάλληλο και περιορίζει τη χρήση της αποκλειστικά για επιχειρηματικούς σκοπούς.

Για οργανισμούς που απαιτούν αυστηρό έλεγχο στα κινητά τους τερματικά, η λειτουργία Πλήρως Διαχειριζόμενη (συχνά αναφέρεται ως λειτουργία Device Owner) είναι η κατάλληλη επιλογή. Αυτή η λειτουργία χρησιμοποιείται συνήθως για εργαζόμενους γνώσης, τεχνικούς υπηρεσιών πεδίου ή στελέχη στα οποία παρέχεται εταιρικό τηλέφωνο.

Πώς λειτουργεί: Κατά την αρχική ρύθμιση της συσκευής (πριν προστεθούν λογαριασμοί χρηστών), η συσκευή εγγράφεται στην πλατφόρμα MDM. Η εφαρμογή MDM γίνεται ο "Ιδιοκτήτης Συσκευής" (Device Owner), παρέχοντας στο τμήμα πληροφορικής ολοκληρωμένο έλεγχο σε ολόκληρη τη συσκευή.

Οι διαχειριστές πληροφορικής μπορούν:

• Να αποκλείσουν την εγκατάσταση μη εγκεκριμένων εφαρμογών.
• Να απενεργοποιήσουν λειτουργίες υλικού όπως η κάμερα, το μικρόφωνο ή το Bluetooth.
• Να επιβάλουν σύνθετες πολιτικές ασφαλείας σε ολόκληρη τη συσκευή.
• Να εγκαθιστούν, να ενημερώνουν και να αφαιρούν αθόρυβα εταιρικές εφαρμογές.
• Να παρακολουθούν τη γεωγραφική θέση της συσκευής για ανάκτηση περιουσιακών στοιχείων.

3. Αποκλειστική Συσκευή (COSU - Εταιρική Ιδιοκτησία, Μίας Χρήσης)

Ορισμός: COSU (Corporate-Owned, Single-Use) Συσκευές που αναπτύσσονται για έναν συγκεκριμένο, περιορισμένο σκοπό, συχνά αλληλεπιδρώντας με το κοινό ή τους εργαζόμενους πρώτης γραμμής, αντί να ανατίθενται σε έναν μόνο εργαζόμενο γνώσης.

Η λειτουργία Αποκλειστικής Συσκευής μετατρέπει μια τυπική συσκευή Android σε μια συσκευή ειδικού σκοπού. Αυτό είναι κοινώς γνωστό ως Λειτουργία Περιπτέρου (Kiosk Mode). Το Nomid MDM εξειδικεύεται στην ανάπτυξη Αποκλειστικών Συσκευών σε διάφορες λύσεις ειδικά για κάθε κλάδο:

• Υγεία: Tablet κλειδωμένα σε μία μόνο εφαρμογή εισαγωγής ασθενών, εμποδίζοντας τους ασθενείς να έχουν πρόσβαση σε άλλες εφαρμογές ή ρυθμίσεις συσκευής.
• Λιανική: Διαδραστική ψηφιακή σήμανση, περίπτερα επιβράβευσης πελατών ή τερματικά κινητών σημείων πώλησης (mPOS) που χρησιμοποιούνται από τους υπαλλήλους των καταστημάτων.
• Logistics & Αποθήκευση: Ανθεκτικοί σαρωτές Android κλειδωμένοι σε μια εφαρμογή διαχείρισης αποθέματος, διασφαλίζοντας ότι οι εργαζόμενοι στην αποθήκη δεν αποσπώνται από την περιήγηση στο διαδίκτυο ή τα μέσα κοινωνικής δικτύωσης.

Στη λειτουργία Αποκλειστικής Συσκευής, η διεπαφή χρήστη είναι σε μεγάλο βαθμό περιορισμένη. Η τυπική αρχική οθόνη αντικαθίσταται από έναν προσαρμοσμένο εκκινητή (που παρέχεται από το MDM) που εμφανίζει μόνο τις εγκεκριμένες εφαρμογές. Τα κουμπιά υλικού (όπως τα κουμπιά έντασης ή λειτουργίας) μπορούν να απενεργοποιηθούν και η συσκευή μπορεί να ρυθμιστεί ώστε να επανεκκινεί αυτόματα μια εφαρμογή εάν αυτή καταρρεύσει.

4. Πλήρως Διαχειριζόμενη με Προφίλ Εργασίας (COPE - Εταιρική Ιδιοκτησία, Προσωπική Χρήση)

Ορισμός: COPE (Corporate-Owned, Personally-Enabled) Ένα μοντέλο όπου η εταιρεία κατέχει και εκδίδει τη συσκευή, αλλά επιτρέπει στον υπάλληλο να τη χρησιμοποιεί για προσωπικές εργασίες παράλληλα με τα καθήκοντα της εργασίας του.

Το COPE είναι η υβριδική προσέγγιση. Οι οργανισμοί θέλουν την υψηλού επιπέδου ασφάλεια μιας εταιρικής συσκευής, αλλά θέλουν να προσφέρουν τη συσκευή ως "προνόμιο" στους υπαλλήλους, επιτρέποντάς τους να κατεβάζουν προσωπικές εφαρμογές και να τη χρησιμοποιούν ως την καθημερινή τους συσκευή.

Στις σύγχρονες εκδόσεις Android (Android 11 και άνω), αυτό γίνεται μέσω του Προφίλ Εργασίας σε Συσκευές Εταιρικής Ιδιοκτησίας (WPCOD). Η συσκευή εγγράφεται ως πλήρως διαχειριζόμενη, αλλά δημιουργείται ένα ξεχωριστό Προφίλ Εργασίας. Το τμήμα πληροφορικής διατηρεί τον έλεγχο της βασικής ασφάλειας της συσκευής (όπως η επιβολή ισχυρού κωδικού πρόσβασης οθόνης κλειδώματος και η προώθηση πιστοποιητικών Wi-Fi), αλλά περιορίζεται από το να βλέπει τα δεδομένα μέσα στο προσωπικό προφίλ του χρήστη, διατηρώντας μια ισορροπία μεταξύ εταιρικής ασφάλειας και προσωπικού απορρήτου.

Το Πλαίσιο Ασφαλείας του Android Enterprise

Η ασφάλεια είναι το θεμέλιο του Android Enterprise. Η Google έχει σχεδιάσει το Android ως ένα πολυεπίπεδο φρούριο ασφαλείας, ενσωματώνοντας προστασίες σε επίπεδο υλικού με sandboxing σε επίπεδο λειτουργικού συστήματος και πληροφορίες απειλών που βασίζονται στο cloud. Ως διαχειριστής πληροφορικής, η κατανόηση της προοδευτικής πολυπλοκότητας αυτών των επιπέδων είναι ζωτικής σημασίας.

Επίπεδο 1: Ασφάλεια Υποστηριζόμενη από Υλικό

Η πραγματική ασφάλεια της συσκευής ξεκινά από το επίπεδο του πυριτίου. Το Android Enterprise αξιοποιεί χαρακτηριστικά υλικού για να διασφαλίσει την ακεραιότητα της συσκευής πριν καν φορτωθεί το λειτουργικό σύστημα.

Ορισμός: Αξιόπιστο Περιβάλλον Εκτέλεσης (TEE) Μια ασφαλής περιοχή του κύριου επεξεργαστή που είναι απομονωμένη από το κύριο λειτουργικό σύστημα. Εγγυάται ότι ο κώδικας και τα δεδομένα που φορτώνονται μέσα σε αυτό προστατεύονται ως προς την εμπιστευτικότητα και την ακεραιότητα.

• Επαληθευμένη Εκκίνηση (Verified Boot): Όταν μια συσκευή Android ενεργοποιείται, η Επαληθευμένη Εκκίνηση διασφαλίζει ότι όλος ο εκτελούμενος κώδικας προέρχεται από μια αξιόπιστη πηγή (τον OEM ή την Google) και δεν έχει παραποιηθεί από κακόβουλο λογισμικό ή rootkits. Εάν ο bootloader ανιχνεύσει μη εξουσιοδοτημένες τροποποιήσεις, η συσκευή θα αρνηθεί να εκκινήσει, προστατεύοντας τα εταιρικά δεδομένα από παραβιασμένο υλικολογισμικό.
• Hardware-Backed Keystore: Τα κρυπτογραφικά κλειδιά που χρησιμοποιούνται για VPN, εταιρικό Wi-Fi και κρυπτογράφηση δεδομένων αποθηκεύονται μέσα στο TEE. Ακόμα κι αν το λειτουργικό σύστημα Android παραβιαστεί πλήρως, ένας εισβολέας δεν μπορεί να εξαγάγει αυτά τα κλειδιά από το υλικό.

Πλαίσιο Nomid MDM: Για οργανισμούς που απαιτούν ασφάλεια στρατιωτικού επιπέδου, το Nomid MDM ενσωματώνεται βαθιά με το Samsung Knox. Το Knox επεκτείνει την τυπική ασφάλεια του Android Enterprise προσφέροντας προστασία πυρήνα σε πραγματικό χρόνο και βαθύτερη κρυπτογράφηση σε επίπεδο υλικού, ειδικά σχεδιασμένη για συσκευές Samsung Galaxy, καθιστώντας το μια προτιμώμενη επιλογή για κυβερνητικά και αυστηρά ρυθμιζόμενα περιβάλλοντα υγειονομικής περίθαλψης.

Επίπεδο 2: Προστασίες σε Επίπεδο Λειτουργικού Συστήματος

Μόλις η συσκευή εκκινήσει με ασφάλεια, το λειτουργικό σύστημα Android χρησιμοποιεί διάφορους μηχανισμούς για να διατηρεί τα δεδομένα ασφαλή κατά την καθημερινή χρήση.

• Application Sandboxing: Το Android είναι χτισμένο πάνω σε έναν πυρήνα Linux. Χρησιμοποιεί τυπική προστασία βάσει χρήστη Linux για την απομόνωση των πόρων των εφαρμογών. Σε κάθε εφαρμογή εκχωρείται ένα μοναδικό αναγνωριστικό χρήστη (UID) και εκτελείται στη δική της απομονωμένη διαδικασία (ένα "sandbox"). Η εφαρμογή Α δεν μπορεί να διαβάσει τα δεδομένα της εφαρμογής Β εκτός εάν επιτραπεί ρητά από τον χρήστη και το λειτουργικό σύστημα. Αυτό σημαίνει ότι μια κακόβουλη εφαρμογή φακού δεν μπορεί να υποκλέψει δεδομένα από την εταιρική σας εφαρμογή email.
• Κρυπτογράφηση βάσει Αρχείων (FBE): Οι σύγχρονες συσκευές Android χρησιμοποιούν FBE, που σημαίνει ότι διαφορετικά αρχεία κρυπτογραφούνται με διαφορετικά κλειδιά που μπορούν να ξεκλειδωθούν ανεξάρτητα. Αυτό επιτρέπει στο Προφίλ Εργασίας να έχει ένα εντελώς ξεχωριστό κλειδί κρυπτογράφησης από το προσωπικό προφίλ. Όταν ο χρήστης απενεργοποιεί το Προφίλ Εργασίας του για το Σαββατοκύριακο, τα κρυπτογραφικά κλειδιά αποβάλλονται από τη μνήμη, καθιστώντας τα εταιρικά δεδομένα εντελώς απρόσιτα μέχρι ο χρήστης να ταυτοποιηθεί ξανά το πρωί της Δευτέρας.

Επίπεδο 3: Google Play Protect και Πληροφορίες Cloud

Ορισμός: Google Play Protect Η ενσωματωμένη προστασία της Google από κακόβουλο λογισμικό για το Android. Χρησιμοποιεί προηγμένους αλγόριθμους μηχανικής μάθησης για τη σάρωση δισεκατομμυρίων εφαρμογών καθημερινά, εντοπίζοντας και εξουδετερώνοντας δυνητικά επιβλαβείς εφαρμογές (PHAs).

Το Google Play Protect λειτουργεί ως ένας πάντα ενεργός σαρωτής προστασίας από ιούς. Δεν σαρώνει μόνο τις εφαρμογές πριν ληφθούν από το Google Play Store, αλλά σαρώνει συνεχώς και τις εφαρμογές που είναι ήδη εγκατεστημένες στη συσκευή, συμπεριλαμβανομένων των εφαρμογών που έχουν εγκατασταθεί από άλλες πηγές. Εάν εντοπιστεί απειλή, το Play Protect μπορεί να απενεργοποιήσει ή να αφαιρέσει αυτόματα την κακόβουλη εφαρμογή και να ειδοποιήσει τον διαχειριστή MDM.

Διαχείριση Εφαρμογών μέσω του Managed Google Play

Η ανάπτυξη συσκευών είναι μόνο η μισή μάχη. Η παροχή των σωστών εφαρμογών στους σωστούς χρήστες είναι εξίσου κρίσιμη. Στον κόσμο των καταναλωτών, οι χρήστες περιηγούνται στο Google Play Store για να βρουν εφαρμογές. Στον κόσμο των επιχειρήσεων, το τμήμα πληροφορικής χρειάζεται πλήρη έλεγχο στη διανομή εφαρμογών. Αυτό επιτυγχάνεται μέσω του Managed Google Play.

Το Managed Google Play είναι η επιχειρηματική έκδοση του τυπικού Play Store. Λειτουργεί ως ένα επιμελημένο, ιδιωτικό κατάστημα εφαρμογών για τον οργανισμό σας, άμεσα ενσωματωμένο στην κονσόλα MDM σας.

Αθόρυβη Διανομή Εφαρμογών

Όταν μια συσκευή εγγράφεται στο Android Enterprise μέσω της λειτουργίας Πλήρως Διαχειριζόμενη ή Αποκλειστική Συσκευή, το Nomid MDM μπορεί να αξιοποιήσει το Managed Google Play για να εγκαταστήσει εφαρμογές αθόρυβα στο παρασκήνιο. Ο χρήστης δεν χρειάζεται να αποδεχτεί καμία προτροπή, να εισαγάγει ένα Google ID ή να αλληλεπιδράσει με τη διαδικασία εγκατάστασης. Οι εφαρμογές απλώς εμφανίζονται στη συσκευή, έτοιμες για χρήση. Αυτό είναι απαραίτητο για αναπτύξεις zero-touch και την προετοιμασία συσκευών περιπτέρου (kiosk).

Λευκή και Μαύρη Λίστα Εφαρμογών

Οι διαχειριστές πληροφορικής μπορούν να επιλέξουν ακριβώς ποιες δημόσιες εφαρμογές θα είναι ορατές στους υπαλλήλους. Αντί να βλέπει εκατομμύρια καταναλωτικές εφαρμογές, ένας υπάλληλος που ανοίγει το Play Store μέσα στο Προφίλ Εργασίας του θα βλέπει μόνο τις συγκεκριμένες εφαρμογές CRM, επικοινωνίας και παραγωγικότητας που έχουν εγκριθεί από το τμήμα πληροφορικής.

Διαχειριζόμενες Ρυθμίσεις (App Feedback)

Ορισμός: Διαχειριζόμενες Ρυθμίσεις (Managed Configurations) Ένα τυποποιημένο API που επιτρέπει στους διαχειριστές πληροφορικής να προωθούν εξ αποστάσεως ρυθμίσεις και παραμέτρους απευθείας σε μια εφαρμογή, παρακάμπτοντας την ανάγκη του χρήστη να ρυθμίσει την εφαρμογή χειροκίνητα.

Οι Διαχειριζόμενες Ρυθμίσεις αντιπροσωπεύουν ένα τεράστιο άλμα στην εμπειρία του χρήστη. Για παράδειγμα, η ανάπτυξη μιας εταιρικής εφαρμογής email απαιτούσε παραδοσιακά από τον χρήστη να πληκτρολογήσει χειροκίνητα τη διεύθυνση του διακομιστή exchange, τους αριθμούς θυρών και το όνομα χρήστη του.

Με τις Διαχειριζόμενες Ρυθμίσεις, ο διαχειριστής πληροφορικής διαμορφώνει αυτές τις παραμέτρους μέσα στην κονσόλα του Nomid MDM. Όταν η εφαρμογή προωθείται στη συσκευή, φτάνει προ-ρυθμισμένη. Ο χρήστης απλώς ανοίγει την εφαρμογή και συνδέεται αμέσως στον εταιρικό διακομιστή. Αυτό μειώνει δραματικά τα αιτήματα υποστήριξης που σχετίζονται με τη ρύθμιση εφαρμογών.

Φιλοξενία Ιδιωτικών Εταιρικών Εφαρμογών

Πολλοί οργανισμοί αναπτύσσουν προσαρμοσμένες, ιδιόκτητες εφαρμογές (π.χ. μια προσαρμοσμένη εφαρμογή παρακολούθησης αποθέματος για logistics ή μια εσωτερική πύλη HR). Το Managed Google Play επιτρέπει στους οργανισμούς να ανεβάζουν αυτές τις Ιδιωτικές Εφαρμογές. Αυτές οι εφαρμογές φιλοξενούνται με ασφάλεια στην υποδομή της Google, αλλά είναι εντελώς αόρατες στο κοινό. Μπορούν να ληφθούν μόνο από συσκευές που είναι εγγεγραμμένες στο περιβάλλον MDM του συγκεκριμένου οργανισμού σας.

Απλοποιημένη Ανάπτυξη: Προετοιμασία Συσκευών Android

Ιστορικά, η ανάπτυξη εταιρικών συσκευών ήταν μια χειροκίνητη, κουραστική διαδικασία. Η ομάδα πληροφορικής έπρεπε να ξεπακετάρει κάθε τηλέφωνο, να το φορτίσει, να το συνδέσει στο Wi-Fi, να κατεβάσει χειροκίνητα τον παράγοντα MDM, να πληκτρολογήσει τα διαπιστευτήρια εγγραφής, να διαμορφώσει τις ρυθμίσεις και στη συνέχεια να επανασυσκευάσει τη συσκευή για να την στείλει στον υπάλληλο. Αυτή η διαδικασία μπορούσε να διαρκέσει 30 έως 60 λεπτά ανά συσκευή.

Το Android Enterprise φέρνει επανάσταση σε αυτή τη διαδικασία μέσω αυτοματοποιημένων μεθόδων προετοιμασίας, με την πιο ισχυρή να είναι η Εγγραφή Zero-Touch.

Εγγραφή Zero-Touch (ZTE)

Ορισμός: Εγγραφή Zero-Touch (ZTE) Μια απρόσκοπτη μέθοδος ανάπτυξης που επιτρέπει στις συσκευές Android να διαμορφώνονται αυτόματα και να εγγράφονται σε μια πλατφόρμα MDM απευθείας από το κουτί, χωρίς καμία χειροκίνητη παρέμβαση του τμήματος πληροφορικής.

Ως ειδικός στην ταχύτατη ανάπτυξη συσκευών, το Nomid MDM χρησιμοποιεί εκτενώς το ZTE για να εξοικονομήσει στους οργανισμούς χιλιάδες ώρες εργασίας πληροφορικής. Δείτε ακριβώς πώς λειτουργεί η προοδευτική πολυπλοκότητα της ροής ZTE:

1. Προμήθεια: Ο οργανισμός αγοράζει συσκευές Android Enterprise Recommended από έναν εξουσιοδοτημένο μεταπωλητή zero-touch.
2. Ανάθεση: Ο μεταπωλητής ανεβάζει αυτόματα τα αναγνωριστικά υλικού της συσκευής (IMEI ή Σειριακό Αριθμό) στην πύλη Google Zero-Touch και τα αναθέτει στον οργανισμό.
3. Διαμόρφωση: Μέσα στην πύλη, ο διαχειριστής πληροφορικής συνδέει αυτές τις συσκευές με τον διακομιστή Nomid MDM.
4. Απευθείας Αποστολή: Οι συσκευές αποστέλλονται απευθείας από τον μεταπωλητή στο σπίτι του τελικού χρήστη ή στο γραφείο πεδίου στην αρχική, σφραγισμένη συσκευασία τους. Το τμήμα πληροφορικής δεν αγγίζει ποτέ το υλικό.
5. Η Μαγική Στιγμή: Ο υπάλληλος ξεπακετάρει τη συσκευή και την ενεργοποιεί. Κατά τη διάρκεια του τυπικού οδηγού εγκατάστασης Android, η συσκευή συνδέεται στο διαδίκτυο (μέσω Wi-Fi ή κινητής τηλεφωνίας). Επικοινωνεί αμέσως με τους διακομιστές της Google, αναγνωρίζει ότι ανήκει στον οργανισμό σας και κλειδώνει στη διαχείριση. Κατεβάζει αυτόματα τον παράγοντα Nomid MDM, εφαρμόζει εταιρικές πολιτικές και εγκαθιστά τις απαιτούμενες εφαρμογές.

Επειδή η ανάθεση ZTE είναι συνδεδεμένη με το αναγνωριστικό υλικού σε επίπεδο διακομιστή, η διαχείριση είναι μόνιμη. Ακόμα κι αν ένας κακόβουλος χρήστης επαναφέρει τη συσκευή στις εργοστασιακές ρυθμίσεις, κατά την επανεκκίνηση, αυτή θα εγγραφεί αμέσως ξανά στο Nomid MDM, καθιστώντας τη συσκευή άχρηστη σε περίπτωση κλοπής.

Samsung Knox Mobile Enrollment (KME)

Για οργανισμούς που αναπτύσσουν στόλους συσκευών Samsung Galaxy, το Nomid MDM ενσωματώνεται με το Samsung Knox Mobile Enrollment (KME). Το KME λειτουργεί παρόμοια με το ZTE της Google, αλλά είναι προσαρμοσμένο ειδικά για το υλικό της Samsung, προσφέροντας ακόμα βαθύτερη ενσωματώση με τα χαρακτηριστικά ασφαλείας του Knox και επιτρέποντας μαζική εγγραφή μέσω Bluetooth ή NFC για συσκευές που βρίσκονται ήδη στο πεδίο.

Εναλλακτικές Μέθοδοι Προετοιμασίας

Ενώ το ZTE είναι το χρυσό πρότυπο για συσκευές εταιρικής ιδιοκτησίας, το Android Enterprise παρέχει εναλλακτικές μεθόδους για συσκευές που δεν έχουν αγοραστεί μέσω εξουσιοδοτημένου μεταπωλητή:

• EMM Token (afw#setup): Κατά την αρχική ρύθμιση της συσκευής, όταν ζητηθεί λογαριασμός Google, ο διαχειριστής πληκτρολογεί "afw#setup". Αυτό προκαλεί τη λήψη του ελεγκτή πολιτικής συσκευής Android Enterprise. Στη συνέχεια, ο διαχειριστής σαρώνει έναν κωδικό QR που δημιουργήθηκε από το Nomid MDM για να ολοκληρώσει την εγγραφή.
• Προετοιμασία μέσω Κωδικού QR: Ο διαχειριστής πατάει την οθόνη καλωσορίσματος μιας συσκευής που έχει επανέλθει στις εργοστασιακές ρυθμίσεις έξι φορές. Αυτό ανοίγει έναν κρυφό αναγνώστη κωδικών QR. Η σάρωση ενός κωδικού QR διαμόρφωσης συνδέει τη συσκευή στο Wi-Fi, κατεβάζει την εφαρμογή MDM και εγγράφει τη συσκευή σε δευτερόλεπτα.
• NFC Bumping: Χρησιμοποιώντας μια προ-ρυθμισμένη συσκευή "master", ένας διαχειριστής μπορεί να την ακουμπήσει φυσικά σε μια συσκευή που έχει επανέλθει στις εργοστασιακές ρυθμίσεις για να μεταφέρει τα δεδομένα εγγραφής μέσω Near Field Communication.

Το Πρόγραμμα Android Enterprise Recommended (AER)

Με χιλιάδες συσκευές Android στην αγορά, που κυμαίνονται από οικονομικά τηλέφωνα των 50€ έως ανθεκτικά tablet των 2.000€, πώς γνωρίζει μια επιχείρηση ποιο υλικό είναι αρκετά αξιόπιστο για επαγγελματική χρήση; Για να το λύσει αυτό, η Google δημιούργησε το πρόγραμμα Android Enterprise Recommended (AER).

Ορισμός: Android Enterprise Recommended (AER) Ένα πρόγραμμα υπό την καθοδήγηση της Google που επικυρώνει συγκεκριμένες συσκευές, λύσεις Διαχείρισης Κινητικότητας Επιχειρήσεων (EMM) και Παρόχους Διαχειριζόμενων Υπηρεσιών (MSPs) που πληρούν αυστηρές, υψηλές απαιτήσεις για επιχειρήσεις.

AER για Συσκευές

Για να κερδίσει ένα smartphone ή tablet το σήμα AER, ο κατασκευαστής πρέπει να εγγυηθεί συγκεκριμένα πρότυπα. Αυτό διασφαλίζει ότι τα τμήματα πληροφορικής επενδύουν σε υλικό που θα αντέξει στη δοκιμασία του χρόνου. Οι απαιτήσεις AER περιλαμβάνουν:

• Προδιαγραφές Υλικού: Οι συσκευές πρέπει να πληρούν ελάχιστα όρια για τη μνήμη RAM, τον αποθηκευτικό χώρο και την ταχύτητα του επεξεργαστή για να διασφαλίζεται η ομαλή λειτουργία των εταιρικών εφαρμογών.
• Αναβαθμίσεις Λειτουργικού Συστήματος: Ο κατασκευαστής πρέπει να εγγυηθεί υποστήριξη για τουλάχιστον μία σημαντική αναβάθμιση του λειτουργικού συστήματος Android.
• Ενημερώσεις Ασφαλείας: Αυτή είναι η πιο κρίσιμη απαίτηση. Οι κατασκευαστές πρέπει να παρέχουν ενημερώσεις ασφαλείας Android εντός 90 ημερών από την κυκλοφορία τους από την Google, για τουλάχιστον τρία χρόνια (πέντε χρόνια για ανθεκτικές συσκευές).
• Υποστήριξη Zero-Touch: Κάθε συσκευή AER πρέπει να υποστηρίζει εγγενώς την Εγγραφή Zero-Touch.

AER για EMMs και Συνεργάτες

Το πρόγραμμα AER δεν αφορά μόνο το υλικό. Επικυρώνει επίσης τις πλατφόρμες διαχείρισης. Ως επίσημος συνεργάτης του Android Enterprise, το Nomid MDM ευθυγραμμίζεται με αυτά τα αυστηρά πρότυπα. Για να επιτύχει και να διατηρήσει την κατάσταση συνεργάτη, ένα MDM πρέπει να αποδείξει προηγμένη ενσωμάτωση με τα API του Android Enterprise, να επιδείξει επάρκεια στην ανάπτυξη σύνθετων λειτουργιών όπως το Managed Google Play και το Zero-Touch, και να διαθέτει πιστοποιημένο προσωπικό που κατανοεί βαθιά την αρχιτεκτονική του Android.

Πώς να Εφαρμόσετε το Android Enterprise (Βήμα προς Βήμα)

Η μετάβαση στο Android Enterprise ή η έναρξη μιας νέας πρωτοβουλίας κινητικότητας μπορεί να φαίνεται τρομακτική. Ωστόσο, ακολουθώντας μια δομημένη μεθοδολογία, οι οργανισμοί μπορούν να εκτελέσουν μια άψογη ανάπτυξη. Ακολουθεί ένας οδηγός βήμα προς βήμα για την εφαρμογή του Android Enterprise.

Βήμα 1: Διεξαγωγή Αξιολόγησης Αναγκών και Ορισμός Περιπτώσεων Χρήσης

Πριν αγοράσετε υλικό ή λογισμικό, ορίστε με σαφήνεια πώς θα χρησιμοποιηθούν οι κινητές συσκευές στον οργανισμό σας. Χαρτογραφήστε τα προφίλ των χρηστών σας:

• Χρειάζονται οι εργαζόμενοι πρώτης γραμμής ανθεκτικές συσκευές κλειδωμένες σε μία μόνο εφαρμογή αποθέματος; (Επιλέξτε Αποκλειστική Συσκευή / COSU).
• Θα έχουν οι υπάλληλοι γραφείου πρόσβαση στο εταιρικό email από τα προσωπικά τους τηλέφωνα; (Επιλέξτε Προφίλ Εργασίας / BYOD).
• Χρειάζονται οι εκπρόσωποι πωλήσεων πεδίου εταιρικά τηλέφωνα τόσο για εργασιακή όσο και για προσωπική χρήση; (Επιλέξτε COPE).

Βήμα 2: Επιλογή ενός Επίσημου Συνεργάτη MDM του Android Enterprise

Η πλατφόρμα MDM είναι το κέντρο ελέγχου για ολόκληρη τη στρατηγική κινητικότητάς σας. Επιλέξτε μια λύση που ενσωματώνεται βαθιά με τα API του Android. Το Nomid MDM παρέχει μια διαισθητική κονσόλα, ισχυρή επιβολή πολιτικών και εξειδικευμένα πρότυπα κλάδου (για την Υγεία, τη Λιανική, την Εκπαίδευση και τα Logistics) που καθιστούν τη διαμόρφωση σύνθετων πολιτικών Android Enterprise απλή διαδικασία.

Βήμα 3: Προμήθεια Υλικού AER μέσω Εξουσιοδοτημένου Μεταπωλητή

Για να αξιοποιήσετε την Εγγραφή Zero-Touch, πρέπει να αγοράσετε τις συσκευές σας μέσω ενός εξουσιοδοτημένου από την Google μεταπωλητή zero-touch. Διευκρινίστε ότι αγοράζετε για εταιρική ανάπτυξη, ώστε ο μεταπωλητής να μπορεί να ανεβάσει τα IMEI των συσκευών στην πύλη zero-touch σας. Αναζητάτε πάντα το σήμα Android Enterprise Recommended για να διασφαλίσετε μακροπρόθεσμη υποστήριξη ασφαλείας.

Βήμα 4: Διαμόρφωση του Managed Google Play και των Πολιτικών Ασφαλείας

Μέσα στην κονσόλα του Nomid MDM, συνδέστε τον οργανισμό σας με το Managed Google Play. Ξεκινήστε να επιμελείστε το εταιρικό σας κατάστημα εφαρμογών.

• Εγκρίνετε δημόσιες εφαρμογές όπως το Microsoft Teams, το Slack ή το Salesforce.
• Ανεβάστε τυχόν προσαρμοσμένες Ιδιωτικές Εφαρμογές.
• Ρυθμίστε τις Διαχειριζόμενες Ρυθμίσεις για να προ-διαμορφώσετε τις ρυθμίσεις των εφαρμογών.
• Δημιουργήστε τα προφίλ ασφαλείας σας: επιβάλετε ισχυρούς κωδικούς πρόσβασης, διαμορφώστε πιστοποιητικά εταιρικού Wi-Fi και VPN και ορίστε κανόνες συμμόρφωσης (π.χ. "Εάν μια συσκευή είναι rooted, διαγράψτε αμέσως τα εταιρικά δεδομένα").

Βήμα 5: Εκτέλεση Πιλοτικής Ανάπτυξης

Ποτέ μην κάνετε ανάπτυξη σε ολόκληρη την εταιρεία ταυτόχρονα. Επιλέξτε μια μικρή ομάδα χρηστών με τεχνικές γνώσεις από διαφορετικά τμήματα για να συμμετάσχουν σε έναν πιλότο. Στείλτε τους τις συσκευές χρησιμοποιώντας την Εγγραφή Zero-Touch. Συλλέξτε σχόλια σχετικά με την εμπειρία "από το κουτί", την απόδοση των εφαρμογών και τυχόν σημεία τριβής στη ρύθμιση του Προφίλ Εργασίας.

Βήμα 6: Πλήρης Ανάπτυξη και Συνεχής Διαχείριση Κύκλου Ζωής

Μόλις ο πιλότος στεφθεί με επιτυχία, προχωρήστε στην πλήρη ανάπτυξη. Χρησιμοποιήστε τους πίνακες αναφορών του Nomid MDM για να παρακολουθείτε την κατάσταση των συσκευών, τις εκδόσεις του λειτουργικού συστήματος και να διασφαλίζετε ότι όλες οι συσκευές ελέγχονται και λαμβάνουν τις τελευταίες ενημερώσεις ασφαλείας. Καθώς οι εργαζόμενοι αποχωρούν από την εταιρεία, χρησιμοποιήστε το MDM για να διαγράψετε εξ αποστάσεως τα εταιρικά δεδομένα και να προετοιμάσετε τη συσκευή για τον επόμενο χρήστη.

Συμπέρασμα

Το Android Enterprise δεν είναι απλώς μια λειτουργία ή μια μεμονωμένη εφαρμογή. Είναι ένα ολοκληρωμένο, πολυεπίπεδο πλαίσιο που επαναπροσδιορίζει τον τρόπο με τον οποίο οι οργανισμοί αλληλεπιδρούν με την τεχνολογία κινητής τηλεφωνίας. Εγκαταλείποντας το ξεπερασμένο μοντέλο Device Admin και υιοθετώντας το σύγχρονο containerization, την ασφάλεια που υποστηρίζεται από υλικό και τη διαχείριση μέσω API, το Android Enterprise παρέχει την τέλεια ισορροπία μεταξύ εταιρικής ασφάλειας και απορρήτου των χρηστών.

Είτε διαχειρίζεστε ένα πρόγραμμα BYOD για εκατό απομακρυσμένους εργαζόμενους είτε αναπτύσσετε χιλιάδες αποκλειστικά περίπτερα σε καταστήματα λιανικής, η κατανόηση των τεσσάρων βασικών λειτουργιών διαχείρισης, η χρήση του Managed Google Play και η αξιοποίηση της Εγγραφής Zero-Touch είναι τα κλειδιά για μια επιτυχημένη στρατηγική κινητικότητας.

Ωστόσο, το πλαίσιο είναι τόσο ισχυρό όσο και τα εργαλεία που χρησιμοποιούνται για τη διαχείρισή του. Ως επίσημος συνεργάτης του Android Enterprise, το Nomid MDM δίνει τη δυνατότητα στους οργανισμούς να ξεκλειδώσουν πλήρως τις δυνατότητες των στόλων Android τους. Από τις ταχύτατες αναπτύξεις Zero-Touch και τη βαθιά ενσωμάτωση του Samsung Knox έως τις εξατομικευμένες λύσεις για την Υγεία, τα Logistics και την Εκπαίδευση, το Nomid MDM απλοποιεί την πολυπλοκότητα της εταιρικής κινητικότητας, επιτρέποντας στην ομάδα πληροφορικής σας να επικεντρωθεί στην καινοτομία αντί για τη διαχείριση.