Die integrierten Management-Funktionen des Android ermöglichen IT-Administratoren eine vollständige Verwaltung von Geräten, die ausschließlich für die Arbeit verwendet werden.

Android bietet verschiedene Modi, je nach Zuständigkeit für das in Ihrer Organisation verwendete Gerät:

  • Work-Profil: Erstellt einen dedizierten Speicherplatz auf dem Gerät nur für Anwendungen und Daten. Dies ist die ideale Bereitstellungsart für private Geräte bzw. BYOD-Anwendungen (Bring Your Own Device).
  • Vom Unternehmen verwaltetes Gerät: Ermöglicht Workspace ONE UEM- und IT-Administratoren, das gesamte Gerät zu steuern und umfassende Richtlinien durchzusetzen, die in Arbeitsprofilen nicht zur Verfügung stehen, und die ausschließlich eine geschäftliche Nutzung des Geräts erlauben.
    • Unternehmenseigenes Gerät mit privater Nutzung: Eignet sich für unternehmenseigene Geräte. Dieser Modus ist dem Modus „Vom Unternehmen verwaltetes Gerät“ ähnlich, wird aber mit einem Arbeitsprofil bereitgestellt. So wird eine private und geschäftliche Nutzung ermöglicht.
    • Vom Unternehmen verwaltetes Gerät ohne Google Play-Dienste: Wenn Sie Workspace ONE UEM auf AOSP-Geräten (Android Open Source Project) oder Nicht-GMS-Geräten verwenden oder in Ihrer Organisation geschlossene Netzwerke nutzen, können Sie Ihre Android-Geräte mithilfe des Registrierungsworkflows für vom Unternehmen verwaltete Geräte ohne Google Play-Dienste registrieren.

Work-Profil-Modus – Funktionalität

Anwendungen im Work-Profil werden durch ein rotes Aktenkoffer-Symbol kenntlich gemacht und als Anwendungen mit Badge bezeichnet. Sie werden in einem einheitlichen Launcher mit den persönlichen Anwendungen des Benutzers angezeigt. Beispielsweise zeigt Ihr Gerät ein persönliches Symbol für Google Chrome und ein separates, durch das Badge gekennzeichnete, Symbol für Work Chrome an. Für den Endbenutzer sieht es so aus, als hätte er zwei verschiedene Anwendungen. Die Anwendung ist jedoch nur einmal installiert, wobei die Geschäftsdaten von den persönlichen Daten getrennt gespeichert werden.

Der Workspace ONE Intelligent Hub ist mit einem Badge gekennzeichnet und existiert ausschließlich im Datenspeicher des Work-Profils. Es besteht keine Kontrolle über persönliche Anwendungen, und der Workspace ONE Intelligent Hub hat keinen Zugriff auf persönliche Daten.

Einige Systemanwendungen sind standardmäßig im Work-Profil enthalten, wie z. B. Work Chrome, Google Play, Google-Einstellungen, Kontakte und Kamera. Diese können bei Nutzung eines Restriktionsprofils ausgeblendet werden.

Bestimmte Einstellungen zeigen die Trennung zwischen persönlicher und geschäftlicher Konfiguration. Für die folgenden Einstellungen sehen Benutzer getrennte Konfigurationen:

  • Anmeldedaten: Unternehmenszertifikate zur Benutzerauthentifizierung für verwaltete Geräte ansehen.
  • Konten: Das mit dem Work-Profil verbundene verwaltete Google-Konto ansehen.
  • Anwendungen: Listet alle Anwendungen, die auf dem Gerät installiert sind.
  • Sicherheit: Zeigt den Status der Geräteverschlüsselung an.

Modus „Vom Unternehmen verwaltetes Gerät“ – Funktionalität

Wenn ein Gerät im Modus „Vom Unternehmen verwaltetes Gerät“ registriert ist, wird ein echter Firmeneigentum-Modus erstellt. Workspace ONE UEM steuert das gesamte Gerät, und es erfolgt keine Trennung von geschäftlichen und persönlichen Daten.

Wichtige Punkte, die Sie beim Modus „Vom Unternehmen verwaltetes Gerät“ beachten sollten:

  • Auf der Startseite werden keine Anwendungen mit Badge angezeigt, wie im Work-Profil-Modus der Fall.
  • Benutzer haben nach der Aktivierung des Geräts Zugriff auf verschiedenen vorinstallierte Anwendungen. Weitere Anwendungen können nur über die Workspace ONE UEM-Konsole genehmigt und hinzugefügt werden.
  • In den Sicherheitseinstellungen ist der Workspace ONE Intelligent Hub als Geräteadministrator festgelegt, und diese Einstellung kann nicht deaktiviert werden.
  • Das Abmelden des Geräts vom Modus „Vom Unternehmen verwaltetes Gerät“ löst ein Zurücksetzen des Geräts auf die Werkseinstellungen aus.

Vom Unternehmen verwaltetes Gerät ohne Google Play-Dienste

Wenn Sie Workspace ONE UEM auf AOSP-Geräten (Android Open Source Project) oder Nicht-GMS-Geräten verwenden oder in Ihrer Organisation geschlossene Netzwerke nutzen, können Sie Ihre Android-Geräte mithilfe des Workflows „Vom Unternehmen verwaltete Geräte“ ohne Google Play-Dienste registrieren. Sie können Apps im Intranet Ihrer Organisation hosten und OEM-spezifische Registrierungsmethoden für die Bereitstellung verwenden.

Sie müssen während der Android-EMM-Registrierung in der UEM console angeben, dass Sie AOSP/geschlossene Netzwerke verwenden. Weitere Informationen finden Sie unter Registrieren von Android EMM mit verwaltetem Google Play-Konto.

Überlegungen bei der Verwendung von „Vom Unternehmen verwaltetes Gerät ohne Google Play-Dienste“ bei Bereitstellungen mit AOSP/geschlossenem Netzwerk:
  • Wenn Sie Android bereits in einer Organisationsgruppe der obersten Ebene eingerichtet haben und AOSP/ein geschlossenes Netzwerk nur in einer bestimmten untergeordneten Organisationsgruppe bereitstellen möchten, verfügt der UEM console-Admin über eine Option, mit der angegeben wird, dass OOBE-Registrierungen in der untergeordneten Organisationsgruppe nicht über ein verwaltetes Google-Konto verfügen. Weitere Informationen finden Sie unter Registrierungseinstellungen in der Android-EMM-Registrierung.
  • Wenn Sie Geräte mit Workspace ONE UEM 1907 und niedriger bereitstellen, ist keine Konfiguration der UEM-Konsole erforderlich.
  • Wenn Sie Geräte mit Workspace ONE UEM 1908 und höher bereitstellen, müssen Sie die Einstellungen auf der Seite Android EMM-Registrierung konfigurieren.
  • Die unterstützten Registrierungsmethoden sind:
    • QR-Code
    • StageNow für Zebra-Geräte
    • Honeywell Enterprise Provisioner für Honeywell-Geräte
  • Die Registrierung über den VMware Workspace ONE Intelligent Hub-Bezeichner wird auf AOSP-Geräten nicht unterstützt.
  • Das öffentliche Profil „Automatische Aktualisierung“ wird nicht unterstützt. Dieses Profil ist speziell für öffentliche Apps vorgesehen und funktioniert nicht auf Geräten mit AOSP oder in geschlossenen Netzwerken.
  • Das Profil „Factory Reset Protection“ wird nicht unterstützt.
  • Interne Anwendungen (die in Workspace ONE UEM console gehostet werden) werden im Hintergrund auf den Geräten mit AOSP/geschlossenem Netzwerk bereitgestellt.
  • Vom Unternehmen verwalteten Geräten, die ohne ein verwaltetes Google-Konto registriert wurden, sollten keine öffentlichen Apps zugewiesen werden, und sie sollten nicht in der Anzahl der Geräte mit öffentlicher App-Zuweisung berücksichtigt werden.
  • Betriebssystemversion und OEM-Anforderungen für „Vom Unternehmen verwaltetes Gerät ohne Google Play-Dienste“:
    • AOSP (Nicht-GMS)
      • Zebra und Honeywell: Müssen sich auf einer Betriebssystemversion befinden, die die Registrierung über StageNow oder Honeywell Enterprise Provisioner unterstützt.
      • Andere OEMs: Werden nicht unterstützt, es sei denn, OEM unterstützt sie über einen Client wie StageNow oder indem Benutzer auf die QR-Code-Registrierung zugreifen können.
    • Geschlossenes Netzwerk
      • Zebra und Honeywell: Android 7.0 und höher oder müssen sich auf einer Betriebssystemversion befinden, die Registrierung über StageNow (auch 7.0 oder höher) oder Honeywell Enterprise Provisioner unterstützt.
      • Andere OEMs: Android 7.0 oder höher, da die QR-Code-Registrierung die einzige unterstützte Methode ist.

Modus „Unternehmenseigenes Gerät mit privater Nutzung“ (COPE)

Wenn ein Gerät im COPE-Modus registriert wird, können Sie nach wie vor das gesamte Gerät steuern. Die Besonderheit im COPE-Modus ist, dass Sie zwei separate Richtlinien, wie z. B. Restriktionen sowohl auf das Gerät als auch auf ein Work-Profil anwenden können.

Der COPE-Modus ist nur auf Geräten mit Android 8.0 und höher verfügbar. Wenn Sie Geräte mit einer älteren Version als Android 8.0 registrieren, wird das Gerät automatisch als vollständig verwaltetes Gerät registriert.

Es gibt einige Einschränkungen zu beachten bei der Registrierung von Geräten in COPE-Modus:

  • Die Pin-basierte Verschlüsselung und Single Sign-On in Workspace ONE UEM mithilfe von SDK werden für Geräte, die im COPE-Modus registriert sind, nicht unterstützt. Eine Work-Kennung kann erzwungen werden, um sicherzustellen, dass die Verwendung von geschäftlichen Anwendungen eine Kennung erfordert.
  • Single-user- und Multi-user-Staging werden für COPE-Registrierungen nicht unterstützt.
  • Interne (in Workspace ONE UEM gehostete) und öffentliche Anwendungen, die für COPE-Geräte bereitgestellt werden, erscheinen im Anwendungskatalog des Work-Profils.
  • Ähnlich wie bei Registrierungen des Work-Profils können Benutzer im COPE-Modus das Work-Profil deaktivieren (z. B., wenn der Benutzer im Urlaub ist). Wenn das Work-Profil deaktiviert ist, erhält der Benutzer keine Benachrichtigungen zu geschäftlichen Anwendungen, und die Anwendungen können auch nicht gestartet werden. Der Status (aktiviert oder deaktiviert) des Work-Profils kann der Administrator auf der Seite "Gerätedetails" einsehen. Wenn das Work-Profil deaktiviert ist, können keine aktuellen Informationen zur Anwendung bzw. zum Profil aus dem Work-Profil abgerufen werden.
  • Workspace ONE Intelligent Hub ist in beiden Abschnitten „Vollständig verwaltet“ und „Work-Profil“ des COPE-Geräts vorhanden. Management-Richtlinien existieren innerhalb und außerhalb des Work-Profils und können auf das Work-Profil oder auch auf das gesamte Gerät angewendet werden. Workspace ONE Intelligent Hub ist jedoch nur innerhalb des Work-Profils sichtbar.
  • Wenn Push-Benachrichtigungen an das Gerät gesendet werden, ist der Workspace ONE Intelligent Hub außerhalb des Work-Profils für den Benutzer vorübergehend zum Anzeigen der Nachrichten verfügbar. So wird sichergestellt, dass wichtige Nachrichten den Benutzer erreichen, selbst wenn das Work-Profil vorübergehend deaktiviert ist.
  • Zugewiesene Profile können im Work-Profil über den Workspace ONE Intelligent Hub angezeigt werden.
  • Konformitätsrichtlinien zum Anwendungsmanagement (z. B. Blockieren/Entfernen von Anwendungen) werden nur für Anwendungen im Work-Profil unterstützt. Anwendungen können über Anwendungssteuerungsprofile auf dem Gerät (außerhalb des Work-Profils) auf die Blacklist gesetzt werden.
  • Eine Enterprise-Löschung setzt ein COPE-Gerät auf die Werkseinstellungen zurück.
  • Für COPE-Registrierungen wird kein Produkt-Provisioning unterstützt.
  • Spezifische Änderungen für Android 11:
    • Interne Anwendungen, die von Workspace One UEM gehostet werden, können nicht mehr in den persönlichen Bereich des Geräts gepusht werden. Sowohl interne Apps (als private Apps) als auch öffentliche Apps können nur für das Arbeitsprofil bereitgestellt werden.
      • Alle anderen Funktionen wie Konformitätsregeln, die auf interne Anwendungen angewiesen sind, werden ebenfalls nicht mehr unterstützt.
    • Die Registrierungsmethode afw#hub wird nicht mehr unterstützt.
      • Verwenden Sie stattdessen einen QR-Code oder Zero Touch-Anmeldung.