Android Enterprise Work Profiles: Modern Desktop to Go

July 18, 2019 / by Steffen Schwerdtfeger


Mobiles und flexibles Arbeiten – dieses Ziel verfolgen wir mit unserem 100% Cloud-basierten Modern Desktop. Warum nicht auch die Verwaltung der Mobilgeräte revolutionieren? Google bringt durch die Abkündigung der klassischen MDM-Verwaltung neues Leben in das Management von Android-Geräten. Wie genau sieht die Zukunft aus, und was hat es mit Android Enterprise auf sich? Wie unterstützt Microsoft Intune die Verwaltung von Android?

Schaut man in die Vergangenheit der Verwaltung von Android-Geräten, fallen einige wichtige Meilensteine auf: Bereits seit Android 2.2 (aus dem Jahre 2010) besteht die klassische Device Administration API, auf die MDM-Systeme zugreifen können. Doch die Nutzungsgewohnheiten und Anforderungen der Unternehmen haben sich geändert. Als Beispiel ist hier die Notwendigkeit zur Separierung von Privat- und Unternehmensdaten zu nennen, da Geräte im Sinne von BYOD oft sowohl geschäftlich als auch privat verwendet werden dürfen. Google hat dies erkannt und bezeichnet den Verwaltungsansatz “Device Admin” mittlerweile als “legacy”. Aus diesem Grund ist die neue Richtung klar: Android Enterprise löst die alte Welt ab. Seit Android 5.0 (2014) existieren neue Verwaltungsmöglichkeiten. Darunter fallen die sogenannten “Work Profiles” sowie “Managed Devices”. Was einst unter dem alten Namen “Android for Work” eingeführt wurde, zählt nun zu “Android Enterprise”. Wer in dieser Welt unterwegs ist, wird zudem mit großer Wahrscheinlichkeit auf das fast gleichlautende Android Enterprise Recommended-Programm stoßen. Dieses Validierungsprogramm hilft Unternehmen bei der Auswahl von Geräten, die von Google auf definierte Anforderungen getestet wurden. Google setzt der “legacy” Welt mittlerweile ein konkretes Ende: Seit Android 9.0 gilt “Device Admin” als “depreacted”. Im Zuge der geplanten Veröffentlichung von Android 10.0 wird die API schließlich komplett entfernt.

Somit ist Handeln angesagt, denn Mobilgeräte bzw. MDM-Systeme müssen auf die “neue” Android-Verwaltung vorbereitet werden. Dabei stellt sich zunächst die Frage, welche Verwaltungsoption gewählt werden sollte. Microsoft Intune unterstützt drei Arten:

Spannend ist dabei vor allem der erste Ansatz, der die Trennung von privaten und geschäftlichen Daten zulässt. Im Zuge von BYOD suchen Unternehmen genau nach solchen Lösungen, um Geschäftsdaten auf Privatgeräten weiterhin unter Kontrolle zu behalten. Aber auch für firmeneigene Geräte ist dieser Ansatz denkbar. Ist es nicht ein Benefit, dem Mitarbeiter die persönliche Verwendung seines Firmengeräts zu erlauben?

Listen mit Apps

Wie sehen Work Profiles nun konkret in der Praxis aus? Startpunkt stellt, wie auch beim klassischen MDM, das “Enrollment” dar. Im Falle von Intune lädt der Nutzer das Unternehmensportal auf sein Gerät und meldet sich per Azure AD an. Mittels eines Assistenten wird er im Anschluss durch die Einrichtung und Aktivierung des Work Profiles geführt. Im Hintergrund legt Android die neue Partition an, welche auf Wunsch mit einem Zugang geschützt wird. Applikationen werden über den “managed Google Play” (abgekoppelt vom normalen Google Play) bereitgestellt. Das Unternehmen hat dabei die volle Kontrolle über verfügbare bzw. automatisch installierte Applikationen. Je nach Launcher sieht der Anwender nach erfolgreicher Einrichtung eine Liste mit privaten und eine weitere Liste mit geschäftlichen Apps. Apps können dabei sogar doppelt installiert werden, wobei jeweils eine davon über ein Symbol als geschäftlich gekennzeichnet wird und im Container untergebracht ist. Eine besondere Lösung hat Android zudem für Kontakte parat: Geschäftskontakte sind zwar über die normale Telefon-App auffindbar und anwählbar, jedoch vom Zugriff durch private Apps geschützt. Des Weiteren stehen die klassischen MDM-Funktionen wie zum Beispiel WLAN-, Zertifikatprofile und diverse vordefinierte Einstellungen bereit. Die Konformität eines Work Profile Devices kann, wie bei Windows 10 Geräten, anhand von Richtlinien ausgewertet und beispielsweise für Conditional Access zur gezielten Zugriffsteuerung verwendet werden.

Zusammengefasst findet das Management eines Mobilgeräts mit Work Profile auf Profil-Ebene statt. Unternehmen verwalten somit den Container und nicht mehr das gesamte Gerät. Im Falle einer Fernlöschung wird nur die Arbeitspartition gelöscht – private Daten und Apps bleiben erhalten. Android Enterprise ermöglicht völlig neue Wege der Geräteverwaltung. Work Profiles bieten somit einen effektiven Schutz von Unternehmensdaten, während die private Nutzung uneingeschränkt möglich bleibt. Und wie es sich für Glück & Kanja gehört – 100% Cloud verwaltet via Intune und somit eine Art Modern Desktop to go.

Last but not least:

Sind App Protection Policies (MAM) durch Work Profiles obsolet?

Definitiv nicht, denn sie können sogar in Kombination mit Work Profiles verwendet werden. So bleiben Microsoft 365 Daten sicher in den zugehörigen Apps aufbewahrt, während im Work Profile auch diverse andere Apps zur Verfügung gestellt werden können.

Gibt es bei iOS auch Work Profiles?

Da dieser Begriff von Google stammt, wird es ein gleichnamiges Feature mit hoher Wahrscheinlichkeit nicht geben. Doch mit der Ankündigung von iOS 13 geht Apple in dieselbe Richtung – wir bleiben gespannt, was im September kommt.

Referenzen