Android for Work wordt volwassen

Android for Work wordt volwassen

Android for WorkGeschiedenis
Google biedt sinds enkele jaren Android for Work voor het op een veilige manier zakelijk gebruiken van Android toestellen. Android for Work wordt op mobiele apparaten geconfigureerd met behulp van een MDM oplossing. MobileIron ondersteunt al sinds het beschikbaar komen van Android for Work deze functionaliteit. Aan het gebruik van Android for Work waren echter wel een paar nadelen verbonden. Zo moest iedere gebruiker die Android for Work wilde gebruiken een Google account hebben in een Google domein. Een beheerder kon deze accounts handmatig aanmaken binnen het Google domein of er kon worden gekozen om met de tool Google AD Sync (een gedeelte van) de ActiveDirectory van het bedrijf te synchroniseren met het Google domein. Veel organisaties hadden hier erg veel moeite mee.

Daarnaast werd met Android for Work het device opgedeeld in 2 profielen, te weten:

  • Een privé profiel waar de gebruiker zelf applicaties kon installeren en profielen kon aanmaken
  • Een zakelijk profiel dat werd beheerd door middel van MDM. De organisatie bepaalde hier onder andere welke applicaties een gebruiker kan installeren en welke profielen er worden geïnstalleerd.

Er was geen verkeer mogelijk tussen de zakelijke en de privé applicaties. Super veilig natuurlijk maar dit betekende onder andere dat de gebruiker in de privé applicaties niet kon beschikken over contactpersonen die via ActiveSync naar het zakelijke profiel synchroniseerden. Dit betekende bijvoorbeeld dat in een carkit geen zakelijke contacten zichtbaar waren.

Fast forward naar Android for Work 2.0
In de meest recente versie van Android for Work zijn een flink aantal verbeteringen aangebracht die inmiddels ook door MobileIron worden ondersteund. Zo is het in de nieuwste versie niet langer nodig om voor gebruikers een Google account aan te maken. Synchroniseren van ActiveDirectory is dus ook niet meer nodig.

Daarnaast zijn er nu 2 verschillende varianten van Android for Work beschikbaar: Work Profile en Work Device.

Work Profile
Work Profile is bedoeld voor privé toestellen (BYOD). Hiermee wordt, net als in de eerdere versies van Android for Work, het toestel opgesplitst in een privé en een zakelijk profiel. De gebruiker heeft alle rechten in het privé profiel en vanuit MDM wordt het zakelijke profiel onderhouden. Beheerders hebben totaal geen toegang tot het privé profiel. Een device wipe die vanuit MobileIron wordt gestuurd verwijderd bijvoorbeeld ook uitsluitend het zakelijke profiel, het privé profiel blijft onaangetast.
Helaas bestaat op dit moment nog wel het eerder beschreven probleem met het niet kunnen gebruiken van de zakelijke contacten in het privé profiel. (Google heeft overigens aangekondigd dat er wel aan een oplossing voor dit probleem wordt gewerkt.)

picture1Work Managed Device Profile
Work Managed Device Profile is bedoeld voor zakelijke toestellen (COD of CYOD) waarbij de organisatie de devices volledig wil beheren. Er is in dit geval slechts 1 profiel op het toestel aanwezig, volledig beheerd vanuit de MobileIron. Het toestel wordt volledig encrypt en de gebruiker kan uitsluitend applicaties installeren die via MobileIron worden aangeboden. Daarnaast biedt een Android for Work in deze vorm extra mogelijkheden om functionaliteit aan/uit te zetten.

Het activeren van Android for Work Work Managed Device wordt gedaan door middel van NFC bump. Op een willekeurig Android device met NFC (Near Field Communication) installeert een beheerder de MobileIron Provisioning applicaties. In de applicatie wordt geconfigureerd welke MobileIron applicaties er moet worden geïnstalleerd voor het activeren van MobileIron, welk WiFi netwerk er kan worden gebruikt voor het activeren van MobileIron en welke tijdszone en taal er gebruikt moet worden op de Android for Work toestellen. Nieuwe, of toestellen waarop een factory reset is uitgevoerd, kunnen direct na het opstarten door middel van NFC bump worden voorzien van de benodigde gegevens voor het activeren van het device en het installeren en configureren van MobileIron. Door de MobileIron beheerder aangeboden applicaties kunnen ‘silent’ worden geïnstalleerd.
Gebruikers hoeven ook geen Google ID te hebben voor het installeren van de applicaties.

Omdat het toestel uit 1 profiel bestaan er bij deze vorm van Android for Work ook geen problemen met het gebruik van de zakelijke contacten.

MobileIron Tunnel
Beide verschijningsvormen van Android for Work 2.0 bieden de mogelijkheid om gebruik te maken van MobileIron Tunnel. MobileIron Tunnel maakt het ontsluiten van interne resources (websites, bestanden, etc.) mogelijk.

Conclusie
Het gebruik van Android for Work Work Profile biedt goede beveiligings mogelijkheden van de zakelijk data maar levert voor eindgebruikers nog wel de beperkingen op bij het gebruik van de zakelijk contacten. Het gebruik van Work Profile moet dus een wel overwogen keuze zijn waarbij de organisatie zich bewust is van de beperkingen die het gebruik van Work Profile met zich meebrengt.

Het gebruik van Android for Work Work Managed Device Profile is uitermate geschikt voor bedrijven die Android devices willen uitleveren die volledig gemanaged worden vanuit MobileIron en waar de gebruikers geen eigen applicaties kan installeren. Daarnaast is het configureren van mobiele toestellen met behulp van NFC bump en zonder Google ID’s een stuk sneller en eenvoudiger dan een ‘normale’ activatie van een Android toestel.

Mocht je vragen hebben over het gebruik van Android for Work in combinatie met MobileIron of een demo willen zien? U weet ons te vinden!