Android 11 steht zur Verfügung – große Veränderungen für COPE

Google hat Android in Version 11 freigegeben und Pixel Smartphones können es schon OTA (over the air) herunterladen und installieren. Die Änderungen sind minimal, aber gerade für geschäftliche COPE (Corporate Owned Personally Enabled) Aktivierung ändert sich viel.

Zunächst ein Video mit den allgemeinen Neuerungen, darunter der Android Enterprise Bereich.

In Android 11 wird der Datenschutz der persönlichen Daten in einer COPE Aktivierung gestärkt. Im Grunde ist eine COPE Aktivierung auf Android 11 wie eine BYOD (Bring Your Own Device) Aktivierung und ist demnach ein Enhanced Work Profile. Es wird jedoch zwischen zwei Geräte Flags unterschieden: Personal- und Company-Owned.

Geräte, welche per QR Code oder Zero Touch gegen ein UEM System aktiviert wurden, werden als Company-Owned gekennzeichnet und erlauben erweiterte Rechte für Administratoren. Alle anderen Aktivierungswege werden als Personal-Owned gekennzeichnet. Dies zählt auch für Geräte, welche schon mit Android 10 aktiviert wurden und das Upgrade installieren.

Was man erwarten kann:

  • UI zeigt im Share Menu detailiert in eigenen Tabs personal <-> work an.
  • Systemeinstellungen für Ortung, Speicher, Konten und App Infos werden auch per Tab getrennt.
  • Common Criteria Mode für COPE und COBO sowie individuelle Attestationszertifikate mit StrongBox Geräten.
  • OTA Verwaltung.
  • Benachrichtigung, wenn ein Admin die Ortung auf Company-Owned Geräten aktiviert.
  • User kann per Benachrichtigung eine App Berechtigung erteilen, wenn ein Admin die Ortung auf Personal-Owned Geräten aktiviert.
  • Pre-Grant Cert Access für Apps auf individuelle Keychains.
    (Private Apps können daher keine CA Certs selbständig installieren!)

Da die Rechte auf der persönlichen Seite stark eingeschränkt sind werden sich daraus auch einige Probleme ergeben. Die Wichtigsten:

  • Es gibt keinen globalen Proxy.
  • Roaming Status kann nicht ausgelesen und verhindert werden.
  • Factory Reset Protection Policy nur bei Company-Owned Geräten.
  • Gerätepasswort kann nicht zurückgesetzt oder gelöscht werden per Policy.
  • Work Profile Passwort Reset nur bei Pausierung.
  • Bluetooth Einstellungen können nicht verhindert werden, aber ein kompletter Shutdown ist möglich.
  • Private Apps können nicht inventarisiert werden, Blacklisting ist aber möglich.

Für einige dieser Punkte gibt es aber Abhilfe: OEMConfig, bzw. bei Samsung KSP. Über eine AppConfig können somit bestimmte Gerätepolicies durchgesetzt werden, auch auf Android 11. Samsung arbeitet hier aber noch an einer weiteren Möglichkeit, welche aber noch nicht angekündigt ist.

Schreibe einen Kommentar