ANDROID ZERO-TOUCH Enrollment

Die Bereitstellung von Firmengeräten kann mit einem hohen Aufwand für die IT-Abteilung und einer beträchtlichen Fehlerquote verbunden sein, wenn hunderte von Smartphones händisch registriert werden. Technologie sollte jedoch kein Hindernis darstellen, sondern uns befähigen, begeistern und bei unserer täglichen Arbeit unterstützen. Wie sich dies auf Mitarbeiter‘innen, speziell an deren ersten Tag im Unternehmen, auswirken kann, haben wir bereits in unserem Artikel „Onboarding 2020 – modernes Arbeiten von Anfang an“ beschrieben.

In diesem Beitrag betrachten wir die technischen Details der automatischen Bereitstellung und kontaktlosen Konfiguration von Android Geräten.

Um die kontaktlose Registrierung von Android Geräten zu verwenden, müssen diese bei einem autorisierten Reseller erworben und im Zero-Touch Enrollment Portal mit einer Konfiguration verknüpft werden. Das Hinzufügen von Bestandsgeräten ist nicht möglich. Daher ist es von großer Bedeutung, im Unternehmen frühzeitig eine Strategie für mobile Endgeräte zu erarbeiten.

FUNKTIONSWEISE
Beim Starten eines neuen Android Geräts wird nach der Auswahl der Sprache eine Netzwerkverbindung über WLAN oder das Mobilfunknetz aufgebaut. Diese Verbindung wird dazu genutzt, um nach Updates zu suchen. Im gleichen Schritt wird über Google abgefragt, ob eine Konfiguration vorliegt. Dazu wird die IMEI des Geräts übertragen.

Die händische Zuweisung eines Registrierungsprofils im Zero-Touch Enrollment Portal kann für jedes Gerät individuell oder gesammelt über eine CSV-Datei erfolgen. Empfehlenswert ist es jedoch, die automatische Zuweisung über die “Default EMM” Konfiguration zu steuern. Somit wird sichergestellt, dass jedes Gerät vom EMM- (Enterprise Mobility Management) bzw. vom Unified Endpoint Management- (UEM) System erfasst wird.

Eine Meldung auf dem Gerät informiert in jedem Fall den Benutzer darüber, dass es sich bei dem vorliegenden Smartphone um ein Unternehmensgerät handelt. Nach der Bestätigung dieser Information, erhält das Gerät ein Provisionierungsprofil vom UEM. Somit wird das Gerät über den Einrichtungsassistenten direkt im Unternehmen registriert.

Google bietet zwei verschiedene Modi zur Verwaltung von Firmengeräten an. Unternehmenseigene Geräte, die privat verwendet werden dürfen (Corporated Owned Personally Enabled – COPE) und solche, die ausschließlich für den geschäftlichen Gebrauch zu nutzen sind (Corporated Owned Business Only – COBO). Im Videobeispiel ist die Registrierung eines COBO Gerätes zu sehen.

Zu Beginn erscheint die Information, dass die IT-Administration volle Kontrolle über das Gerät ausüben kann. Im Gegensatz zu COPE werden hier keine zwei Bereiche (Geschäftlich & Privat) auf dem Gerät geschaffen. Die Kontrolle hat allerdings auch auf einem COBO Gerät seine Grenzen, so dass die Privatsphäre gewahrt werden kann. So können beispielsweise keine Inhalte aus Applikationen ausgelesen werden.

Nach dem Abschluss der initialen Konfiguration können Unternehmensapps aus dem Enterprise App Store (z.B.: Play Store for Business) heruntergeladen werden. Dies kann wie im Video zu sehen, beispielsweise über eine App geschehen, die automatisch jedem registrierten Gerät zur Verfügung steht. Nach der Anmeldung werden alle benutzerspezifischen Einstellungen gesetzt und vordefinierte Applikationen installiert.