Android Enterprise kann so ziemlich jedes Aktivierungsszenario abbilden. Doch wie aktiviert man die Geräte?
Solltet ihr im Vorfeld noch andere Informationen benötigen, schaut bitte in unser Android Enterprise Kompendium:
Anbindung
Zunächst braucht man ein Unified Endpoint Management (UEM) System, dieses wird dann bei Google registriert:
- “Alte” Methode: Domainverifizierung per GSuite.
Für Bestandskunden kostenlos, für Neukunden nicht.
Nutzerkonten werden automatisch vom UEM angelegt oder manuell, man bildet also seine Infrastruktur komplett bei Google ab, nur zu empfehlen für erweiterte Google Dienste Kunden z.B. GMail oder Office. - “Neue” Methode: Generisches Google Konto.
Ein GMail Account übernimmt die Aufgaben der GSuite und erstellt bei einer neuen Android Enterprise Aktivierung ein generisches Nutzerkonto.
FRP
Factory Reset Protection
Das zuerst auf dem Gerät eingerichtete GMail Konto hat die FRP inne. Sollte das Gerät durch einen Untrust Wipe auf Werkseinstellungen zurückgesetzt werden, wird im Einrichtungsassistent nach einem Neustart dieses Konto erneut abgefragt.
Trusted Wipe: Das Konto wird durch den Nutzer zuerst manuell gelöscht und erst danach wird das Gerät auf Werkseinstellungen gesetzt.
UEM: Manche Systeme bieten an, die FRP zu reseten. Eine Löschung per UEM ist als Trusted anzusehen. Nutzeraktionen können per Policy unterbunden werden.
Aktivierungen:
BYOD
Bring Your Own Device
Das Gerät gehört dem Nutzer und es darf in die interne Infrastruktur aufgenommen werden.
Da das Gerät zuerst privat eingerichtet wurde, liegt die FRP auf dem privaten Konto.
- Gerät ist bereits mit einer GMail Adresse eingerichtet.
- Der passende UEM Client wird aus dem privaten Google Play Store heraus installiert.
- Nutzer öffnet UEM Client.
- Berechtigungen müssen vergeben werden (Speicher, Internet, Kamera)
- Nutzer gibt UEM Aktivierungsdaten ein oder scannt QR Code.
- Es wird ein Work Profile erstellt, welches alle beruflichen Daten enthält.
- Verwaltet wird das Work Profile via UEM Client durch das generisch zugeteilte Android Enterprise GMail oder GSuite Konto.
COBO
Corpoarte Owned Business Only
Das Gerät gehört der Unternehmung und es wird nur eine rein berufliche Nutzung erlaubt.
Da das Gerät nur beruflich genutzt wird, liegt die FRP auf dem generischen Google Account.
- Gerät muss auf Werkseinstellungen gesetzt sein.
- Internetkonnektivität per WiFi oder SIM per Wizard herstellen.
- Als Nutzer folgendes eingeben:
Alte Anbindung: GMail User aus der GSuite.
Neue Anbindung:”afw#<EMM Token> eingeben, wobei EMM Token immer passend zum UEM sein muss:
BlackBerry UEM -> afw#blackberry
MobileIron -> afw#mobileiron.core oder afw#mobileiron.cloud
Airwatch -> afw#airwatch - UEM Client wird heruntergeladen, installiert und ausgeführt. Die App ist im Kioskmodus, daher kann der Nutzer die Aktivierung nicht umgehen.
- Weiter wie Schritt 4 BYOD
COPE
Corporate Owned Personally Enabled
Das Gerät gehört der Unternehmung und darf vom Nutzer auch privat eingesetzt werden.
- Wie COBO.
- Nach Aktivierung kann der Nutzer seinen privaten GMail Account hinzufügen. Dazu einfach den privaten Play Store öffnen.
Zero-Touch und KME
COBO und COPE können auch mit Zero-Touch und Samsung Geräte mit KME aktiviert werden. Die Geräte werden so dauerhaft an die Organisation gebunden.
Egal ob COBO oder COPE:
- Gerät auf Werkszustand.
- Internetkonnektivität herstellen via WiFi oder SIM.
- Zero-Touch oder KME Profil wird geladen.
- Weiter wie Schritt 4. COBO.