Samsung KNOX – auch mit BlackBerry UEM

Samsung hat sein KNOX Portfolio erweitert und rundet das eigene MDM Portfolio ab. So haben Administratoren nun neben KNOX auf mobiler Hardware mehrere Services mit folgenden Hauptpunkten zur Auswahl: Configure, Enroll, Manage und Maintain.

Samsung hat mittlerweile über 3.000 APIs innerhalb der KNOX Lösungen entwickelt. BlackBerry UEM Nutzer können nicht auf alle zugreifen, doch das ändert sich mit den neuen Produkten von Samsung. Denn laut Hersteller ist ein Mischbetrieb des hauseigenen MDM Systems mit anderen Herstellern möglich.

Die einzelnen Komponenten im Detail:

Lizenzen

Für die folgenden Punkte werden Lizenzen vorausgesetzt. Preise bzw Angebote holt ihr euch bitte bei Samsung oder euren Partnern.

Samsung Geräte der Enterprise Edition, derzeit das S8(+) und Note8, haben neben anderen Vorteilen (werden im folgenden detailiert aufgezeigt) Lizenzen inkludiert.

KNOX Workspace

Samsung bietet einen eigenen Container ähnlich wie Android Enterprise an mit dem Unterschied, dass hauseigene APIs und die folgend erwähnten Hardwarekomponenten zur Absicherung genutzt werden. Dadurch sind berufliche Daten/Dienste strikt von persönlichen Daten/Diensten getrennt.

BlackBerry UEM Nutzer können KNOX Workspace Aktivierung dank einer Partnerschaft zwischen Samsung und BlackBerry ohne Mehrkosten nutzen. So wird eine z.B. eine Collaboration Edition Lizenz gleichgesetzt mit einer KNOX Lizenz. Bei einer KNOX Aktivierung wird automatisch ein Lizenzabgleich durchgeführt. Vorsicht: Die Edition Lizenzen sind Nutzerlizenzen, sprich ein Nutzer kann mit einer Lizenz bis zu 5 Geräte aktivieren. Aber nur eines der Geräte darf ein KNOX Gerät sein. Bei weiteren KNOX Aktivierungen wird jeweils eine weitere Lizenz verbraucht.

https://youtu.be/W-CkK3PdaDQ

Ähnlich wie BlackBerry bietet KNOX mehrere Sicherheitslayer auf mobilen Endgeräten an. So ist schon in der Hardware eine Root-of-Trust implementiert, welche sich in der Software fortsetzt: Secure Boot und Device Root Key, Secure Boot, Trusted Boot, TrustZone. SE for Android, Integritätsüberwachung und Warranty-Bit. Somit ist ab Gerätestart eine sichere Plattform gewährleistet. Ab KNOX 2.9 werden Nutzer auch auf Aktivitäten von speziellen Apps hingewiesen, wenn diese im Hintergrund auf sensible Berechtigungen zugreifen wollen.

KNOX Mobile Enrollment (KME) – Enroll

Kauft man sich bei zertifizierten Händlern Samsung Geräte, können diese ähnlich wie im Apple DEP in ein Dashboard geladen werden und ein Enrollment für größere Gruppen durchgeführt werden.
Die Geräte müssen von zertifizierten Händlern stammen, da eine eindeutige Zugehörigkeit zum richtigen KNOX-(Firmen-)-Konto sichergestellt werden soll.

Die Geräte sind nach Eintrag im KME Dashboard fest an das Unternehmen gebunden. Sollte ein Gerät mal verloren gehen bzw. gestohlen werden, wird auch ein Zurücksetzen auf Werkseinstellungen diese Verbindung nicht aufheben.

Im KME Dashboard wird auch das eventuell vorhandene MDM System eingetragen. Somit wird bei einer Neueinrichtung des Gerätes der passende MDM Client automatisch und ohne Google Account heruntergeladen, installiert, geöffnet und mit den Nutzerdaten betankt. BlackBerry UEM unterstützt dies und eine Anleitung zur Verbindung der Systeme findet ihr im Forum.

KNOX Configure – Configure

Mit diesem Service können Administratoren die Geräte aus dem KME mit mindestens KNOX 2.7.1 einer Massenkonfiguration und -bereitstellung unterziehen, was man auch als Staging kennt.

Möglichkeiten:

  • Automatisierte Bereitstellung:
    Identifikation über IMEI, Einstellungen bleiben auch nach Werksrücksetzung erhalten, direkter Start nach dem Wizard
  • An Endverbraucher gerichteten Einrichtungswizard überspringen
  • Ändern der Standardeinstellungen
  • Bloatware entfernen
  • Anpassen an ein Corporate Design/eine Corporate Identity
    Anpassbarer Start- und Ausschaltbildschirm/-ton, Wallpaper, App Verknüpfungen, App Installationen und Autostart, Lesezeichen
  • Kioskmodus
  • Deaktivierung der Hardwaretasten
  • Erweiterte Gerätekonfiguration wie Verbindungseinstellungen, Dynamische Updates, einschränkbare Gerätefunktionen, gemeinsame Gerätenutzung und White-/Blacklisting

Eine Besonderheit sind hier zwei unterschiedliche Editionen: Setup Edition und Dynamic Edition. Die Setup Variante erlaubt nur eine einmalige Vorabkonfiguration und Rebranding, die Dynamic Variante eine dynamische. Außerdem enthält die Dynamic Variante praktische Features wie den verkürzten Setup Wizard, den Kiosk Modus oder erweiterte Einstellungen für Hardwarekomponenten (wie z.B. die Kamera).

Diese Lösung kann man auch mit MDM Lösungen kombinieren. Die Policies werden dabei restriktiv gesetzt, d.h. sollte in einem System eine Funktion freigegeben sein und im anderen System nicht, zieht die Einstellung, welche die Funktion verbietet. Samsung rät aber dazu, dass man die Systeme identisch konfiguriert.
KC ermöglicht viel tiefgreifendere Änderungen / Anpassungen. Das MDM ist für Benutzer(gruppen)spezifische Einstellungen und Compliance-Checks und Aktionen zuständig.

KNOX Manage – Manage

KNOX Manage ist ein neuer Service und ist ein cloudbasiertes MDM von Samsung und unterstützt Android, iOS, Windows 10 und Tizen Wearable. Die Cloud ist in Irland lokalisiert und die Verbindung zur internen Infrastruktur wird mittels eines Cloud Connectors realisiert.
Da bei der Verwendung dieses Systems keine personenbezogenen Daten verarbeitet werden, sollte dies kein Problem mit der GDPR darstellen.

Manage bietet alles bekannte eines MDM Systems:

  • Verwaltung des Containers
  • Firmwareverwaltung
  • Administration der Schnittstellen
  • Zertifikatsverteilung
  • Appverteilung
  • IT-Policies (auch Event-basierend)

Dazu gibt es noch eine Remote Support Lösung: Per PC Software kann sich ein Admin nach Code Verifizierung auf ein Gerät remote aufschalten und so Support leisten.

E-FOTA – Maintain

E-FOTA (Enterprise Firmware over the air) bietet die Möglichkeit, OS Updates gezielt zu steuern. Somit kann ein neues Update erst mit einer Testgruppe gründlich getestet werden und danach gezielt verteilt werden. Es kann auch eine Nutzerinteraktion konfiguriert werden. Auch dieser Service kann mit unterschiedlichen MDM Systemen genutzt werden, sobald diese per Update die Funktion implementiert haben.

BlackBerry wird diese Funktion in einem späteren UEM Update einführen.

Samsung Enterprise Edition

Wie bereits erwähnt und im Blog vorgestellt, bietet Samsung einige Geräte in einer Enterprise Edition an. Diese bieten:

  • 3 Jahre KNOX Configure Dynamic Edition
  • 3 Jahre E-FOTA
  • 3 Jahre Herstellergarantie
  • 3 Jahre monatliche Sicherheitsupdates
  • 2 Jahre garantierte Marktverfügbarkeit

Forumsdiskussion

Dieser Beitrag hat einen Kommentar

Schreibe einen Kommentar