Mobiele apparaten op afstand beheren, zo werkt dat
Om mobiele apparaten op afstand te kunnen beheren is het nodig dat deze bekend worden gemaakt in het ‘EMM beheersysteem’. Een beheersysteem waar vanuit één centrale plek alle mobiele devices kunnen worden beheerd, bestuurd en eventueel kunnen worden uitgeschakeld. Om dit mogelijk te maken moeten al deze mobiele devices worden voorzien van een speciale app, geleverd door de EMM-leverancier.
Hoe gaat dit in zijn werk?
Zowel Apple als Google hebben grote stappen gezet in het aanbieden van robuuste en ‘enterprise grade’ beheermogelijkheden waarbij de strikte scheiding van privé- en zakelijk gegevens een belangrijk rol speelt. Bijgevolg heeft er ook een grote ontwikkeling in de wijze van ‘enrollen’ plaatsgevonden. Dit gebeurt aan de hand van een aantal vastgestelde-, en door de platformbouwers geadopteerde-, ‘use-cases’ die een typisch gebruikersgedrag/scenario beschrijven. De use-cases worden aan de hand van ‘persona’s’ beschreven om zodoende inzicht te geven in de praktijksituaties waar deze use-case op van toepassing (kunnen) zijn.
Deze use-cases worden door de platform leveranciers vertaald naar management sets die op de software worden ingericht.
In het geval van een privés smartphone/tablet (BYOD) zijn er de volgende mogelijkheden:
Installeren van een App uit de betreffende stores van Apple of Google en deze vervolgens op het device configureren. Men moet dan een app downloaden van de betreffende fabrikant en deze voorzien van een unieke tekststring, unieke URL of men kan aanmelden met het bedrijfsaccount. De beheerorganisatie stelt deze informatie beschikbaar aan de betreffende gebruiker. Vervolgens wordt een procedure doorlopen waarmee een bedrijfswerkprofiel (‘container-app’ met apps van de organisatie) wordt ingericht.
Installeren van de App op basis van sideloading (direct van een server geïnstalleerd op het mobiele apparaat). De app wordt niet uit de Appstores gehaald maar direct van een externe server op de smartphone geïnstalleerd. Een gebruiker moet dan extra handelingen verrichten omdat de MDM applicatie niet van een vertrouwde locatie wordt geïnstalleerd.
In geval van een zakelijke smartphone/tablet kan COPE, COSU, Managed device met Work Profile, user- device- en company enrollment op de volgende wijze plaatsvinden:
Door één toestel als bron voor de inrichtingsgegevens te hanteren kan een ander toestel automatisch van enrollment gegevens voorzien worden. Dit gebeurt door middel van een NFC bump tussen beide toestellen. Op deze manier kunnen veel toestellen snel handmatig ingericht worden. Meer informatie over NFC vind je in dit blog.
De Bar/QR code methode doet hetzelfde als de NFC methode, maar dan met barcodes die de instellingen voor de enrollment bevatten. Ook hier wordt een leverancierseigen staging app geïnstalleerd die de barcodes/QR-codes van de instellingen genereert en die op het betreffende device kunnen worden ingescand. De barcodes kunnen ook worden uitgeprint en op die manier worden gebruikt.
De MDM App van de UEM beheersoftware wordt op het toestel geïnstalleerd. Enrollment gebeurt met een URL die bijv. per email is verschaft. Ook kan de IT afdeling en simpeler enrollment string verstrekken (volgens het bitly of TinyURL principe) waarmee het device op de server kan worden ingeschreven.
Met name voor Android devices van toepassing. Na een factory reset wordt het toestel van niet van een Google account voorzien maar van een speciale code zoals AFW#Mobicontrol. Hierdoor wordt de app van de EMM leverancier automatisch opgehaald en geïnstalleerd op het toestel. Het toestel is dan onder controle van de IT beheer organisatie.
Een softwaretoken is een speciale karakterset die typisch voor een UEM leverancier is. Bij Google bestaat een bekende relatie tussen deze speciale karakterset en de UEM leverancier. Als een Android device als managed device (een vastgestelde manier van resetten en opstarten) wordt opgestart dan zal door ingave van dit token (als Android ID) de App client van de betreffende UEM leverancier automatisch worden gedownload. Vervolgens kan het apparaat met een connectiestring ‘enrollen’ in de UEM Server. Het grote voordeel van deze manier van werken is dat veel gebruikersinteractie voor het initiële inrichten van het device kan worden voorkomen. Dit betaalt zich terug in een verbeterde gebruikerservaring en -gemak. Supervised (Apple only).
Apple biedt meerdere beheermodi waaronder de Supervised mode. Deze mode biedt de mogelijkheid om een Apple iOS device geheel onder controle te brengen van de IT Afdeling. Hiervoor moet met het Apple iOS device fysiek koppelen aan een Apple Mac die dus op de locatie van de IT afdeling staat opgesteld. Hier wordt via de Apple configurator het iOS apparaat in Supervised mode gezet. Dit kan alleen op deze manier plaatsvinden. Het nadeel van deze methode is dat het iOS apparaat fysiek in dezelfde ruimte aanwezig moet zijn waar de Apple Mac staat opgesteld.
Als er een grote hoeveelheid apparatuur ‘uit de verpakking’ direct in beheer en onder controle moet worden gekregen dan kan dat met de z.g. bulk enrollment variant. Apple devices kunnen op deze manier op afstand in Supervisie mode worden geplaatst en zijn daarmee onder controle van de IT beheer organisatie.
Om het probleem te ondervangen van de noodzaak van het lokaal fysiek ‘Supervisen’ heeft Apple de DEP optie geïntroduceerd. DEP Staat voor Device Enrollment Program. Tegenwoordig is DEP ondergebracht in het Apple Business Manager programma (ABM) tezamen met het Volume Purchase Program (VPP) en heet nu Automated Device Enrollment. Met DEP kan een Apple iOS device op afstand in Supervised mode worden gezet! Hiervoor moet het apparaat in de Apple Cloud geregistreerd staan en dient er een relatie te bestaan tussen de eigen UEM server en de Apple Cloud. Hier is dus werk aan de winkel voor de IT afdeling. Het grote voordeel van deze manier van werken is dat een iOS apparaat direct uit de verpakking zonder (of minimale) menselijke tussenkomst helemaal op maat voor een gebruiker kan worden ingericht en onder supervisie kan worden gesteld. En dat ongeacht de locatie waar dat gebeurt.
Google heeft haar manier van bulk enrollment de ‘zero-touch’ enrollment genoemd. In feite gebeurt hetzelfde als bij de Apple bulk enrollment. Het toestel zal bij opstarten onmiddellijk onder controle van de IT beheerorganisatie komen.
Naar analogie van Apple heeft Google ook een bulk enrollment methode uitgebracht genaamd ‘zero-touch enrollment for IT Admins’. Zoals de naam aangeeft is dit voor IT afdelingen bedoeld die een grote hoeveelheid devices willen uitrollen en van de juiste inrichting willen voorzien. Dit kan op een willekeurige locatie en tijdstip direct uit de verpakking gebeuren. Bij de eerste opstart (bootstrap) van het Android device wordt er in de Google Cloud gekeken of deze aan een z.g. enterprise configuratie is gekoppeld. Hiervoor moet er een relatie bestaan tussen de UEM server van het bedrijf en de Google Cloud. Ook moeten de devices in de Google Cloud staan geregistreerd en aan het bedrijf zijn toegekend. Dus ook hier is er werk aan de winkel voor de IT afdeling. De beloning is dat een gebruiker geheel zelfstandig het device kan laten abonneren zonder verdere menselijke interventie en dat hij/zij gelijk aan de slag kan met de mobiele bedrijfsomgeving.
Duidelijk moge zijn dat er tegenwoordig een ruime keuze is voor het onder controle brengen van mobiele devices. Om de juiste keuzen of combinatie van mogelijkheden te kunnen maken is het verstandig om de verschillende use-cases van de organisaties zelf goed op het netvlies te krijgen en te houden. Deze keuzes hangen af van de mogelijkheden die aan de eindgebruikers worden geboden, de gegevens die moeten worden benaderd en zaken als privacy en databescherming die moeten worden ingeregeld. Klinkt ingewikkeld, het goede nieuws is dat door de juiste keuzen te maken en met de juiste professionele begeleiding er heel veel werk bij de ondersteunende afdelingen van een organisatie kan worden weggehouden en dat de gebruikers een optimale mobiele ervaring kan worden aangeboden!
Deployment is goed Nederlands voor Distributie. Dus de deployment van mobiele apps is het distribueren van de mobiele apps op de mobiele devices (toestellen/tablets) en zorgt ervoor dat de mobiele apps voor gebruik beschikbaar komen. Dit kan handmatig en automatisch gedaan worden waarbij de apps al dan niet geheel ‘ingericht’ (dus klaar voor direct gebruik) worden aangeboden.
Apps, met name de apps die het bedrijf beschikbaar wilt stellen, worden uit zogenaamde App stores aangeboden. Dit kan een publieke appstore zijn, zoals Google Play of de Appstore van Apple, maar dit kan ook een Enterprise store zijn waarin alleen de Apps zijn opgenomen die door het bedrijf beschikbaar worden gesteld. Dit kunnen private (in eigen beheer gemaakte-) apps zijn en publieke apps voor bedrijfsgebruik. In het laatste geval kunnen de apps dan ook ingericht worden om direct door de gebruiker te worden toegepast (App config). De gebruiker hoeft dan zelf geen ingewikkelde inrichtingshandelingen te doen, dat is allemaal voor hem/haar voorbereid door de IT afdeling!
Hoe bedrijfsapps goed op het toestel van de gebruikers te krijgen vereist nogal wat voorbereiding en inrichting. Maar als dat eenmaal is gedaan dan heeft de eindgebruiker daar in ieder geval geen omkijken meer naar. En daar gaat het toch om, het gemak voor de eindgebruiker!
Cloud Seven is gespecialiseerd in Enterprise Mobility Management. Wij hebben jarenlange ervaring met alle mogelijke manieren van het opnemen en beheren van mobiele apparatuur in een EMM omgeving. Wij helpen u ook graag om grip te krijgen op uw mobiele vloot. Dat begint met het vaststellen van de juiste enrollment- en app distributie methodiek. Wij doen dat met plezier samen met u!
Lees hier verder voor meer informatie over Enterprise Mobility Management Improvement.
Cloud Seven
Bleiswijkseweg 37 F
2712 BP Zoetermeer
Nederland
Deze site maakt gebruik van cookies, zodat wij onze bezoekers ook beter kunnen leren kennen, zoals u ons beter leert kennen. Dit gebeurt volledig anoniem, wij vinden uw privacy en anonimiteit belangrijk. Zouden wij uw geanonimiseerde data middels cookies mogen verzamelen om te analyseren? Lees ons privacy-statement.
