Android Enterprise: Zukunft ab Android P

Derzeit ist die Google I/O und Android Enterprise Partner Summit 2018 und es gibt viel zu berichten. Es hat und wird sich einiges ändern und um es vorwegzunehmen: iOS hat im Enterprise Bereich keinen signifikanten Vorsprung mehr.

Zunächst ein paar Daten:

  • Android Enterprise Aktivierungen sind im letzten Jahr um den Faktor 10 gestiegen
  • 380 Millionen verkaufte Geräte im Jahr 2017
  • Dieses Jahr wird ein Invest von 783 Milliarden US-Dollar von Unternehmen in mobile Geräte erwartet
  • Android wird um einige Geräte erweitert: IoT, Rugged, Single-Use
  • Device Admin wird ab Android Q eingestellt, Android P unterstützt es noch mit einem Hinweis

Die Zukunft im EMM

Was Apple mit DEP (Device Enrollment Programm) vorgemacht hat, hat Android seit einiger Zeit auch im eigenen Haus: Zero-Touch Enrollment. (Anleitung)

Android Enterprise wird in Zukunft auf die Android Management API setzen. Diese API ist nativ in Android enthalten und wird alle 6 Wochen aktualisiert. Dadurch kann Google Day-0 Support für neue Funktionen bieten. Da es nur eine einzige API für alle Funktionen sein wird, müssen auch OEMs und EMM Anbieter nicht mehr an dem eigenen Code arbeiten.

Google gräbt hier ein wenig bei den Partnern ab. So hat Samsung nun die Konsequenz gezogen und Unification eingeführt: Es wird in Zukunft nur noch Android Enterprise Aktivierung mit einem Ansprechen von Samsung eigenen KNOX APIs geben. Details im Beitrag “Samsung KNOX und Android Enterprise Unification“.

Andererseits kommt auch Project Treble hier zum Tragen: Updates müssen zwingend auf AOSP (Android Open Source Project, reines Android ohne Google Services) laufen. Damit nimmt man den OEMs die Ausrede, dass die Anpassungen an die eigenen Geräte und Services so lange dauern.

Android wird in Version P eine vereinfachte Möglichkeit geben, einen Kioskmodus anzubieten. Und nicht nur das, man kann über den Adminaccount in Zukunft noch einfacher eigene Apps und WepClipApps zur Verfügung stellen. Dies wird einfach über den Google Play for Work realisiert, welchen man sich für seine eigene Organisation selbst zusammenstellen kann.

Sicherheit

Google scannt per Play Protect 50 Milliarden Apps täglich auf mögliche Bedrohungen. Manachmal schafft es eine App sich sehr gut zu tarnen, doch hier kommen neben dem zentral durch Google gesteuerten Löschen einer solchen App auf den Geräten die zukünftigen Systemänderungen zum Tragen.

Android O hat schon das Sandboxing per LinuxSE für jede App eingeführt. Im Work Profile (Android Enterprise Bereich) sind die Apps und Daten in einer weiteren Sandbox. Auch die Treiber werden jeweils einzeln in einer Sandbox betrieben und angesprochen in einer HAL, dabei kann man nicht von einer HAL in eine andere zugreifen. Ab Android Q wird es keinen Geräteadministrator mehr geben. Somit kann auch keine App mehr diese Berechtigung einforden und unbedarfte User laufen nicht Gefahr, diese zu erteilen.
In diesem Punkt müssen die EMM Anbieter tätig werden, denn eine MDM Aktivierung mit als Geräteadministrator gesetzten EMM-Client wird es dann nicht mehr geben.

Es gab “große Sicherheitslücken” in letzter Zeit, wie zum Beispiel Stagefright. Laut Google wurde keine einzige dieser Lücken aktiv ausgenutzt, auch nicht nach Veröffentlichung.

Auch dem Thema Root wurde einiges an Aufmerksamkeit geschenkt: So ist ein Rollback der Software nicht mehr möglich und der Bootvorgang setzt auf eine Vertrauenskette. Um einen persistenten Root auf Android zu bekommen, musste man das OS ändern. Eine Änderung am OS wird aber beim Systemstart erkannt und der Bootvorgang wird abgebrochen.

Fazit

Android hat stark aufgeholt und ist für mich die führende Lösung im Enterprise Bereich.
Warum?

  • Mit Zero-Touch ein Tool für Mass-Enrollment.
  • Globaler Container (Work Profile) in verschiedenen Modi: COBO, COPE, BYOD. Somit ist ein globaler VPN für alle Work Apps möglich und man braucht keine App Container.
  • Management API nativ im System
  • Android an sich ein freies anpassbares System.
  • Große Gerätevielfalt, zB. bietet Nokia vom 50 Dollar Einstiegsgerät bis einschließlich zum Flaggschiff alles Geräteklassen mit einem reinen Android an.
  • Android wird auch in Zukunft für Rugged Devices, Single Use und IoT eingesetzt und kann direkt per API einheitlich angesprochen werden.
  • OEMs werden demnächst verpflichtet, regelmäßige Sicherheitsupdates zu liefern. Und das nicht nur für Android Recommended Geräte.

Dieser Beitrag hat 3 Kommentare

Schreibe einen Kommentar