Met de aflopende support van Android device administrator is het van groot belang om te zoeken naar een passend alternatief. Vanuit Microsoft Endpoint Manager/Intune zijn er verschillende mogelijkheden waarmee Android beheerd kan worden.
Android device administrator
Een veel gebruikte configuratie is via de Device Administration API. Dit is een verouderde methode welke is toegepast als legacy methode voor het beheer van Android-apparaten, en is al sinds Android 2.2 aanwezig. Vanaf Android 10 is de Device Administration API niet meer aanwezig en zal deze uitgefaseerd worden. Android 9.0 is de laatste versie waarin de API is te gebruiken. Vooral lastig is als je beschikt over Android 10.0, omdat hierin de methode van beheren niet meer mogelijk is. Vanuit Microsoft Endpoint Manager en Google zijn er verschillende alternatieven welke het mogelijk maken om een moderne manier de apparaten te beheren. Denk hierbij aan Android Enterprise en MAM ( Mobile Application Management).
In dit blog een toelichting over de Android Enterprise functionaliteit gericht op zakelijk gebruik als een fully managed toestel. In vervolg blogs zal er een toelichting te vinden zijn over Brind Your Own Device en onder andere Android Enterprise Work Profiles.
Android Enterprise
Android Enterprise heeft in de laatste jaren een aantal flinke verbeteringen doorgemaakt waarmee het vanuit Microsoft Endpoint Manager goed te beheren is. Sinds september 2019 is er officieel ondersteuning vanuit Microsoft.
Met Android Enterprise beheer je het apparaat onder andere als ‘zakelijke device owner’. Hiermee is het beheer mogelijk vanuit Mobile Endpoint Manager de smartphone configuratie te configureren. De persoonlijke touch is mogelijk via bepaalde settings in Intune, zoals het toevoegen van persoonlijke accounts voor het downloaden van apps van de Google Play Store.
Microsoft maakt gebruik van de Android Management API en Android Device Policy. Hiermee is het voor Microsoft mogelijk om snel nieuwe functionaliteiten te configureren, zodra ze in de API zijn te vinden.
In dit blog een uitleg over de inrichting van een device enrollment profiel, koppelen van Google Play apps en de configuratie van bepaalde settings en restricties.
Minimale eisen voor inrichting
Omgeving
- Azure Tenant met Microsoft Intune/ Microsoft Endpoint Manager
- Google account gelinkt aan Intune
Gebruiker
- Android Entrerprise fully managed vereist minimaal Android 6.0 of later.
- Uiteraard moet de gebruiker beschikken over een geldige Intune licentie voor de enrollment.
Stap 1: Android Enterprise Corporate-owned device enrollment profile
De eerste stap is het aanmaken van een Corporate-owned dedicated device enrollment profile voor Android. Open hiervoor de Microsoft Endpoint Manager portal.
Ga naar: Microsoft Endpoint Manager > Devices(1) > Android enrollment(2) en klik op Corporate-owned fully managed user devices (3)
Maak nu een nieuw profiel aan met geldige token.
De token heeft een max van 90 dagen vanwege een Google policy.
Deze token heb je nodig om de Android smartphones te enrollen.
Stap 2: Groep of dynamische groep
Voor Android Enterprise zijn er een aantal apps, settings en configuraties benodigd. Hiervoor kan je de gebruikte user groups gebruiken waarin de overige Windows 10-settings ook zijn te vinden, wanneer aanwezig. Ook is het een optie om in AzureAD een dynamische groep aan te maken welke is gebaseerd op de profielnaam welke in stap 1 is aangemaakt.
De dynamische regel bevat:
Simple Rule
Add devices where: enrollmentProfileName
Match
Naam van het profiel: Android Enterprise Test
De configuratie ziet er zo uit;
Hiermee worden de devices vanuit het enrollmentprofiel automatisch lid van de groep. Een andere oplossing is om de settings te richten op de algemene groepen welke je ook gebruikt voor de overige settings en security instellingen, deze laatste optie heeft persoonlijk mijn voorkeur – omdat je hiermee altijd de settings richt op de doelgroep en niet op het specifieke apparaat/device. Ook zeker met de komst van de work profiles en BYOD situaties, is dit aanzienlijk eenvoudiger te beheren.
Stap 3: Aanmaken Restriction Profile
Deze stap is optioneel aangezien het gaat om een Corporate-owned device. Mocht het vereist zijn is het mogelijk om bepaalde restricties te configureren zoals het blokkeren van een fabrieksreset of configureren van automatische updates voor de apps.
Om de settings te configureren ga naar;
- Devices > Configuration profiles
- Klik op nieuw profile/ create profile
- Vul een naam in met een beschrijving
- Selecteer Android Enterprise als platform
- Selecteer je Device restrictions als Profile type onder Device Owner in het menu.
Om de settings te configureren open het profiel en ga vervolgens naar properties – Configuration settings:
Hierin zijn de settings te configureren. Onder general zijn de standaard settings te vinden. Voor de fabrieksreset zetten we de waarde op block. Ook opties zoals Tethering/ mobile hotspots en de camera zijn hierin te blokkeren.
Persoonlijk Google account toevoegen
Standaard is een Corporate-owned device behoorlijk dicht en is het voornaamste doel om ook alleen apps van de zakelijke omgeving te gebruiken welke zijn vrijgegeven, hierbij is een extra (privé) Google-account vaak niet wensenlijk. Vanuit de settings is het mogelijk om de Play Store te configureren op het toevoegen van een extra Google-account welke door de gebruikers is toe te voegen. (setting 1 in onderstaande afbeelding). Met Setting 2 is het mogelijk om toegang toe te staan tot alle zakelijke apps vanuit het zakelijke Google profiel. Beide zijn in de meeste gevallen qua security niet wensenlijk voor een zakelijk apparaat maar bestaan wel als configuratie.
Koppel het profiel nu aan een bestaande security groep of de dynamische groep welke in stap 2 is toegevoegd.
Stap 4: Goedkeuren en configureren van Android apps
Voor een zakelijk apparaat is het vaak wensenlijk om een standaard-set aan Android apps te installeren op het device tijdens de enrollement. Om een app goed te keuren zijn de volgende stappen vereist
- Client apps – Apps
- Klik op Add
- Selecteer Managed Google Play als app Type
- Klik op Managed Google Play
- Zoek de app en klik op goedkeuren
- Tijdens het goedkeuren is er er de optie om de app goedgekeurd te laten bij nieuwe machtigingen of deze in te trekken wanneer er nieuwe machtigingen worden toegevoegd.
- Om de apps te syncen naar Intune, klik op Sync. In onderstaande afbeelding aangegeven met 1
Na enkele seconde is de app te vinden in Microsoft Endpoint Manager en is het mogelijk om de app te deployen naar de groep.
- Ga naar Microsoft Endpoint Manager
- Klik op devices (1)
- Open apps – Android (2)
Open nu de goedgekeurde app. Maak vervolgens een required deployment aan naar de eerder aangemaakt security group, of generieke security groep.
Stap 5: Device enrollment
Na bovenstaande stappen is er een profiel aangemaakt, met een app. Om de Device enrollment uit te voeren op de Android smartphones is er minimaal Android 6.0 of hoger vereist. Afhankelijk van de Android-versie en de interface is het mogelijk dat deze procedure afwijkt op devices.
Na het opstarten van de nieuwe smartphone tab minimaal 7 keer achter elkaar op de wit ruimte op het scherm. Hiermee heb je de mogelijkheid om de QR-code te scannen. Naast QR code’s zijn er meer mogelijkheden zoals de NFC, Zero- touch en Token entry opties. Voor Samsung smartphones is het ook mogelijk om Samsung Knox enrollment te gebruiken om het process makkelijker te maken. In dit geval gaan we uit van een QR code.
- Maak connectie met een WiFi-netwerk
- Smartphone checkt voor updates en download de QR reader
- Scan de QR code ( zie enrollment pagina in Intune voor de QR code.
- Accepteer de voorwaarden.
- ( mogelijk komt er een End User License Agreement, dit is afhankelijk van de Android-versie en de fabrikant
- De smartphone zal zich nu configureren als een Android Enterprise – Corporate owner device.
Om te controleren of de settings werken controller of je een fabrieksreset kan uitvoeren op het toestel. Als het goed is – kan je deze optie niet uitvoeren.
Onderstaand een aantal screenshots tijdens de setup.
Stap 6: Standaard apps
Met Android Enterprise verdwijnen een aantal apps welke vanuit de fabrikant standaard worden meegeleverd, denk hierbij aan een rekenmachine, camera-app en bijvoorbeeld fotobibliotheek-app. Het is mogelijk om deze apps vrij te geven vanuit een profiel.
Om een device app vrij te geven ga je naar:
- Apps/All Apps
- Klik op add
- App Type: Android Enterprise System App
Vervolgens maak je de app aan en gebruik je een naam, en package name. De package name moet overeenkomen met de oorspronkelijke naam op het toestel. Er zijn verschillende apps om de package name te achterhalen. In de URL van de Google Play Store is de package name ook te achterhalen;
Voor de systemapps zijn er verschillende viewers in omloop welke de geinstalleerde packages kunnen achterhalen. Een simpele zoekopdracht op Google geeft voldoende mogelijkheden.
Deploy de app vervolgens naar de groep. In geval van Samsung zijn de volgende apps bijvoorbeeld geblokkeerd;
Rekenmachine: com.sec.android.app.popupcalculator
Standaard tijdapp: com.sec.android.app.clockpackage
Android galerij: com.sec.android.gallery3d
Stap 7: Android device administrator enrollement blokkeren
Om te zorgen dat nieuwe enrollements via Android Enterprise plaats vinden is het mogelijk om op basis van een restriction de Android device administrator enrollment te blokkeren. Hierbij worden de actieve apparaten niet geraakt met wel nieuwe enrollements welke plaatsvinden. Dit is mogelijk onder devices/enrollment restrictions:
Stap 8: Migratie van device administrator naar Android enterprise
In het begin begonnen we dit artikel met een toelichting waarom Android enterprise belangrijk is. Google stopt namelijk met de ondersteuning van de Android Device Administrator methode. Wanneer er apparaten in de organisatie zijn, wil je deze zo snel als mogelijk omzetten naar een ondersteunende manier. Al helemaal als Android 10.0 op deze smartphone terecht zal komen.
Met een compliance policy is het mogelijk om gebruikers een signaal te geven om te migreren naar de nieuwe methode. Recent heeft Microsoft een functie beschikbaar gemaakt om Android Device Admin devices te markeren als not-compliant. Wanneer de gebruiker de status zal krijgen van not-compliant is het mogelijk om verdere details mee te geven en acties te koppelen. Ook is het mogelijk om gebruikers te migreren naar een werkprofiel.
Gezien het aantal stappen voor bovenstaande komt er een toelichting in een nieuw blog voor de uitgebreide beschrijving van de migratie opties.
Bekijk ook de interessante toelichting vanuit Microsoft over de verandering en aflopende ondersteuning met Android 10 en het Android device administrator profiel.
Stap 9: Meer configuraties
Met deze methode van beheer zoals bovenstaande staat de basis, echter is er nog meer te gebruiken zoals app configuration policies, compliance policies en het afdwingen van settings zoals de automatische contact synchronisatie. In de volgende blogs worden deze onderwerpen uitgebreid beschreven.
Bronnen:
Microsoft: Decreasing support for Android device administrator
Google/Android: Info Android enterprise
Microsoft: Manage work profile devices with Intune