Google julkisti alkuvuodesta 2019 uuden Android Enterprise Recommended -nimellä kutsutun, virallisesti suositeltujen toimijoiden listan. Näillä yhteistyökumppaneilla on parhaat edellytykset Android-mobiililaitteiden käyttöönottoon, hallintaan ja tietoturvaan modernin laitehallinnan osalta. Yksi näistä suosituksen saaneista toimijoista on Microsoft, jonka Intune-hallintaratkaisun avulla Android-laitteet saa optimoitua ketterästi yrityksen tarpeisiin. Käyn tässä artikkelissa esimerkkien avulla läpi, millaisia tapoja Android-laitteiden hallintaan Intunessa löytyy ja miten niiden käyttöönotto voidaan toteuttaa.
Hallintamallit ja käyttöönotto
Tällä hetkellä Android-laitteiden hallinnan toteuttamiseen Intunessa on neljä tapaa:
- Perinteinen malli (Android devices)
- Android for Work
- Knox Mobile Enrollment (KME)
- Dedicated Devices (kioskilaitteet)
Perinteisten Android-laitteiden sekä Android for Work –mallin Intune-käyttöönotto vaatii loppukäyttäjältä enemmän toimenpiteitä. Työntekijällä on esimerkiksi henkilökohtaisessa käytössä oleva laite, johon hän itse lataa sovelluskaupasta yritysportaalin ja liittää laitteen Intuneen yritystunnuksellaan. Loppukäyttäjältä vaaditaan käytännössä aina Google-tunnus, jotta uusi laite saadaan käyttöön, eikä Intuneen tehtävää liitosta voida pakottaa käyttöönoton yhteydessä.
Liittämällä perinteinen Android-laite yritysportaalin avulla, saadaan sille etähallintaoikeus myös Intunen kautta. IT-järjestelmänvalvoja voi esimerkiksi asettaa laitteelle salasanavaatimuksia ja resetoida laitteen tehdasasetuksiin, kunhan laite on ominaisuuksiltaan tuettu sellaiseen.
Android for Work -mallissa yritysportaali määrittää laitteelle erillisen työprofiilin, jolloin yhteystiedot, työsovellukset ja muu yrityksen data on erillinen henkilökohtaisesta datasta. Mikäli käyttäjä esimerkiksi irtisanoutuu, voidaan laitteelle kohdistaa Intunen hallinnassa tehtävä poisto, jolloin yritysdata saadaan ketterästi laitteelta pois koskematta henkilökohtaisiin tietoihin ja sovelluksiin. Jotta tämä käyttöönottomalli voidaan aktivoida Intunen puolella, vaaditaan yritykseltä hallittu Google Play –tili ja sen linkittäminen Intune-portaaliin.
Knox Mobile Enrollment (KME) on Samsungin kehittämä tekniikka liittää iso joukko laitteita yrityksen hallintaan ja käyttövalmiuteen ilman loppukäyttäjiltä vaadittavia toimenpiteitä. Laitteiden liittämiseen vaadittavat esitiedot saadaan Knox Deployment Program -hyväksytyiltä jälleenmyyjiltä ja niiden avulla mahdollistetaan automaattinen pakotettu käyttöönotto heti kun laitteet ensimmäisen kerran saavat yhteyden verkkoon. Tämä tekniikka vaatii kuitenkin erillisen Knox-portaalin, johon Intune-hallinta liitetään, sekä Knox-tuetun laitteen (Samsung Galaxy). KME-tekniikkaa voidaan hyödyntää sekä perinteisen Android- että Android for Work –hallintamallin kanssa.
Laitteet yrityksen omistuksessa
Tarkemmin kontrolloidut mallit soveltuvat puolestaan hyvin tilanteisiin, joissa käytetyt laitteet ovat lähtökohtaisesti yrityksen omistamia ja niille halutaan tiukempia turva- ja käyttövaatimuksia. Niin sanotut dedikoidut- eli kioskilaitteet ovat yrityksen hallinnoimia laitteita, joita ei ole kohdistettu käyttäjätasolle. Tällöin laitteen käyttöönotto ei myöskään vaadi käyttäjätietoja vaan se voidaan tehdä esimerkiksi IT-osaston toimesta.
Liittämisen yhteydessä laite hakee sille kohdistetut määritykset Intunesta laitetasolla. Näihin sisältyvät sovellukset, turvamääritykset, käyttörajoitukset sekä muut konfiguraatiot. Koska laitteet eivät ole käyttäjäsidonnaisia, voi niitä hyödyntää esimerkiksi yleisiin tiloihin tai osastoihin soveltuvissa työympäristöissä.
Preview-vaiheessa olevan, fully managed-user-devices eli “FMUD”-mallin idea on kioskilaitteiden ohella toimia yrityksen hallinnoimana laitteena, mutta kohdistettuna käyttäjätasolla. Tällöin laite otetaan käyttöön Intunessa määritetyn yleisen QR-koodin avulla joko IT-henkilön tai loppukäyttäjän toimesta, jonka jälkeen sovellukset ja muut määritykset pusketaan laitteelle. FMUD-malli on vielä toiminnallisuuksiltaan rajoitettu, eikä sen virallinen julkistuspäivä ole tiedossa, mutta arvioitu ajankohta on syksyllä 2019. Testausmielessä sen käyttöönotto voidaan jo toteuttaa Intunen puolella ja kohdistaa se halutuille laitteille.
Mallista on toistaiseksi julkaistu Preview 1 & Preview 2 –versiot, joista ensimmäinen tämän vuoden tammikuussa ja jälkimmäinen huhtikuussa. Preview 2 –version yhteydessä julkaistiin muun muassa Knox Mobile Enrollment –tuki, sekä loppukäyttäjille suunnattu Microsoft Intune App, jolla saadaan yritysportaalin tarjoamat ominaisuudet “FMUD” –hallittujen laitteiden piiriin. Tuloillaan olevan virallisen julkaisun yhteydessä on tulossa myös esimerkiksi sertifikaattien hallintaan ja sovellusten suojaamiseen liittyviä ominaisuuksia.
Rajattomat määritysmahdollisuudet
Moderniin laitehallintaan voidaan määrittää lukemattomia konfiguraatioita Intunen puolella. Tietoturvan näkökulmasta laitteisiin voidaan asettaa esimerkiksi monimutkaisia salasanavaatimuksia, estää tiettyjen sovellusten asennukset, sekä asettaa käyttöjärjestelmille päivitysvaatimuksia, jotta laitteen käyttö vastaa yrityksen tietoturvastandardeja. Käyttäjälle voidaan antaa oikeus palauttaa laitteensa tehdasasetuksiin etähallinnan avulla, tai kyseinen toiminto voidaan rajata vain IT-järjestelmänhallinnon piiriin.
Työsovellukset voidaan ajaa laitteisiin käyttöönoton yhteydessä pakotettuna hiljaisesti ilman loppukäyttäjältä vaadittavia toimia. Intuneen voidaan luoda myös uusia määrityksiä tai sovellusmuutoksia, jotka pusketaan uusille ja olemassa oleville laitteille heti kun ne yhdistyvät verkkoon seuraavan kerran.
Intune on nopeasti päivittyvä ja uusiutuva hallintaratkaisu. Sen piiriin ilmestyy jatkuvasti uusia toiminnallisuuksia ja ominaisuuksia, mutta jo nyt sen avulla tehtävä moderni laitehallinta on tehokas tapa säästää aikaa ja IT-henkilöstön resursseja, tietoturvasta tinkimättä. Sopii odottaa, että myöhemmin julkaistavan FMUD-hallintamallin yhteydessä julkaistaan myös uusia toimintoja, joita Android-laitteissa voidaan hyödyntää.
Kuuntele aiheesta lisää webinaaritallenteesta