• Auteur: Almar Diehl
• Datum: 31 jul 2020
• 3 min

|

Toen Google begin dit jaar de eerste aankondiging over Android 11 deed was er voor ons EMM mensen een erg opvallende uitspraak: met Android 11 verdwijnt Android Enterprise COPE!
Veel van de vragen die dit opriep, ook van BLAUD, waren: hoe kan dit nou? Wat komt er dan voor in de plaats? Hoe gaan we toestellen migreren? Etc. Nu, enkele maanden later, blijkt een en ander gelukkig een stuk genuanceerder te liggen. In dit artikel leggen wij je uit hoe het daadwerkelijk zit. Time for some serious myth busting!

History

Android Enterprise kent een aantal verschijningsvormen, te weten:

– Work-profile, hierbij wordt er op een toestel, meestal BYOD, een zakelijk profiel aangemaakt dat wordt beheerd door middel van een MDM-oplossing. Beheerders van de MDM-oplossing hebben geen zicht op wat gebruikers buiten het Work-profile doen.

– COBO, een zogenaamd Company Owned Business Only toestel. Oftewel, een toestel waarvan het eigendom bij de organisatie ligt en dat volledig wordt beheerd door de organisatie. De eindgebruikers hebben niet/nauwelijks rechten om zelf instellingen te wijzigen en geen rechten om apps te installeren die niet door de organisatie worden aangeboden.

– COSU, Company Owned Single Use, de zogenaamde Kiosk mode gebaseerd op COBO. Op deze toestellen zijn 1 of enkele applicaties beschikbaar en is heeft de gebruiker niet/nauwelijks toegang tot de instellingen van het toestel.

– COPE, een zogenaamd Company Owned Personally Enabled toestel. Hierbij is het toestel eigendom van de organisatie. Het toestel heeft twee profielen, een zakelijk en een privé profiel. In het privé profiel mag de gebruiker zelf apps installeren uit de algemene PlayStore, profielen aanmaken voor b.v. privé mail, etc. De organisatie beheert echter het volledige toestel en kan b.v. ook zien welke privé apps er zijn geïnstalleerd.
Een betere benaming, maar is zo lang, voor deze vorm van COPE is Work Profile on Fully Managed Device (WPoFMD).

Android 11

Google hecht veel waarde aan de privacy van gebruikers. Daarom is er besloten om de huidige WPoFMD, waarbij de organisatie ook kan zien wat een gebruiker in het privé profiel doet, in Android 11 te verwijderen. Hiervoor in de plaats komt, zoals Google het noemt, het Enhanced Work Profile. Dit is nog steeds COPE maar dan Work Profile on Company Owned Device (WPoCOD).
Op een WPoCOD toestel kan een gebruiker dus nog steeds zelf (tot op zekere hoogte) bepalen welke apps er worden geïnstalleerd en heeft de organisatie geen zicht op wat er buiten het Work-Profile gebeurt.

Welke functionaliteit verdwijnt er?

Met WPoCOD verdwijnt voor organisaties de volgende functionaliteit:

– Het opnieuw instellen van het toestel wachtwoord;
– Het voorkomen dat een gebruiker het toestel terugzet naar fabrieksinstellingen;
– Het (indien gewenst) voorkomen dat een gebruiker eigen accounts toevoegt;
– Zien welke apps er in het privé profiel zijn geïnstalleerd;
– Bug reports opvragen van een toestel;
– Instellen van de Proxyserver voor het volledige toestel;
– Beheren van VPN-profielen in het privé profiel;
– Bekijken, installeren en verwijderen van Certificate Authorities in het privé profiel;

Hoe verloopt de migratie?

Voordat bestaande toestellen die gebruik maken van COPE (WPoFMD) worden geüpgraded naar Android 11 dient de organisatie een besluit te nemen naar welke verschijningsvorm de toestellen moet worden gemigreerd. De keuzes zijn:

– Migreren naar COBO, oftewel een volledig beheerd toestel waar geen zakelijk profiel op aanwezig is. Hiervoor zal, zoals het er nu uitziet, het toestel naar fabrieksinstellingen moeten worden teruggezet;

– Migreren naar COPE (WPoCOD). Hierbij worden de al aanwezige profielen aangepast naar het Enhanced Work Profile.

– Migratie naar COPE (WPoCOD) lijkt de meest voordehand liggende optie. Maar migreren naar COBO kan voor organisaties die de zakelijke toestellen volledig willen beheren ook een optie zijn.

MobileIron heeft al aangeven dat zij toestellen bij een upgrade naar Android 11 automatisch zullen omzetten van WPoFMD naar WPoCOD.

Conclusie

Gelukkig ligt de uitspraak dat COPE gaat verdwijnen met Android 11 een stuk genuanceerder. Ja, Work-Profile on Fully Managed Device verdwijnt maar daarvoor in de plaats komt Work-Profile on Company Owned Device. Qua beheer van de toestellen heeft het zeker invloed maar mijn verwachting is dat de meeste organisaties die nu gebruik maken van COPE ook na de upgrade naar Android 11 nog steeds gebruik zullen blijven maken van COPE.

Documentatie

MobileIron heeft op de supportwebsite enkele documenten gepost over Android 11. Deze documenten zullen uiteraard de komende maanden nog worden bijgewerkt. Ik adviseer je om deze pagina’s regelmatig te controleren op nieuwe informatie. Daarnaast adviseer ik je als organisatie vast na te gaan denken over de upgrade naar Android 11 en welke impact dit heeft op bestaande en nieuwe toestellen.

FAQ on Android 11 (Work profile on company owned devices)

Device Details for Android Enterprise COPE / EPO Enrollments in MobileIron Core and Cloud

MobileIron Cloud: Android 11 configuration changes in COPE mode

|