Android Professioneel Gebruiken Praktische Gids
Dit document is toegespitst op een praktische implementatie van Android toestellen in een bedrijfsomgeving.
Juni 2014 Ulrik Van Schepdael – Mobco bvba
www.mobco.be
Voorwoord Het Android platform is het meest populaire operating system voor zowel smartphones als tablets. Terwijl de verkoopvolumes blijven stijgen in de consumentenmarkt, is er ook toenemende belangstelling vanuit de bedrijfsmarkt om deze kostefficiënte toestellen in te zetten voor mobiele techniekers, transport, interventies, … We halen in dit document kort een paar aandachtspunten aan rond beheer en beveiliging binnen een professionele omgeving – maar ook meteen de oplossingen die nu voorhanden zijn en dewelke de Android toestellen omtoveren tot perfecte mobiele tools! Of het nu gaat om een gebruik voor administratieve medewerkers of een volledig afgesloten toestel met enkel één of enkele bedrijfsapplicaties, u kan in dit document nuttige informatie vinden en enkele belangrijke vragen die u zich moet stellen bij uw mobiel project. Aarzel niet om ons te contacteren voor meer informatie, demonstratie of evaluatie van de voorgestelde oplossingen!
Mobco BVBA is BeLux Marktleider in het aanbieden van professionele mobiliteitsoplossingen en partner van Mobileiron, Samsung, Apple, Acronis. Wij maken het u mogelijk om alle mobiele toestellen te configureren, beveiligen en beheren vanop afstand – dat is onze focus ! Het team van specialisten staat paraat voor het uittekenen van uw strategie, architectuur, implementatie en ondersteuning van uw mobiel project.
2
www.mobco.be
Inhoudsopgave Voorwoord
2
Inhoudsopgave
3
Fragmentatie
4
Open platform
4
Plan van aanpak Enterprise Container Kiosk Mode Samsung KNOX
5 6 7 8
Concreet
9
3
www.mobco.be
Fragmentatie De Android toestellen hebben een onwaarschijnlijk groot volume marktaandeel, vooral in de consumentenmarkt, van meer dan 80%. We vinden vandaag toestellen van minder dan 100 Euro tot boven de 1000 Euro, en vrijwel elke denkbare leverancier van hardware heeft een Android toestel in zijn gamma. We moeten echter ook een andere realiteit zien, er zijn heel veel verschillende toestellen op de markt met elk een eigen ‘versie’ van het Android operating system. Het is namelijk zo dat elke leverancier, en voor elk type toestel, een eigen versie van het operating system moet gaan bouwen. En deze opportuniteit om het Android platform te gaan ‘aanpassen’ is meteen ook de oorzaak van de fragmentatie – de hardware leveranciers zijn niet altijd in staat om voor elk type toestel dat ze ooit geleverd hebben een ‘upgrade’ ter beschikking te stellen. Het toestel mag dan wel geleverd worden met de op dat moment laatst beschikbare versie, maar als er binnen de levensduur van het toestel nieuwe Android versies verschijnen… We zien dit vooral in het onderste segment van de Android toestellen, en zelfs in het middensegment als we verder kijken dan 12 maanden na lancering. Het gevolg is dat we heel veel verschillende toestel/versie combinatie zien verschijnen; in een laatste telling op een operator zijn 3G netwerk waren er dat meer dan 15.000! Om een toestel goed te gaan beheren hebben we API’s nodig, Application Programming Interfaces – de ‘haken’ die ons toelaten om een toestel onder controle te krijgen en te houden. Deze API’s en de mogelijkheden worden telkens uitgebreider met nieuwe versies die verschijnen – de laatste Android versie 4.x is duidelijk de meest beveiligde en meest geschikte voor de ondernemingen.
Open platform Android is een open platform. In de laatste versies wordt er steeds meer aandacht aan geschonken, maar als gebruiker blijf je de mogelijkheid hebben om zelf snel een applicatie te gaan installeren van om het even welke app winkel. Als we naar deze ‘winkels’ gaan kijken vinden we weinig controle terug, en het blijft nog altijd perfect om een app er op andere manieren op te gaan installeren. Is een Android platform dan minder veilig omdat het open is ? In principe niet, als de eigenaar van het toestel perfect weet wat hij doet is Android zeker veilig. Maar als de eigenaar zomaar wat gaat downloaden en installeren, dan komen we eigenlijk in het zelfde sukkelstraatje als met de PC’s: virusscanners, anti-malware, … En dat is een oorlog die je op termijn nooit kan winnen, tenzij je de regels van het spel gaat aanpassen.
4
www.mobco.be
Plan van aanpak Om het probleem aan te pakken zijn er in feite 2 mogelijkheden die we vandaag kunnen aanbieden: Enterprise Container en Kiosk Mode. In beide gevallen nemen we resoluut controle over dat stuk van het toestel waar we inhoud van het bedrijf kunnen vinden. In het geval van de Enterprise Container is dat een afgeschermd gedeelte van het toestel, bij Kiosk Mode is het volledige toestel onder controle van het bedrijf en worden er geen privé applicaties toegelaten. We kunnen beide functies aanbieden door gebruik te maken van een Mobile Device Management platform, een beheerssysteem dat mobiele toestellen en laptops (Mac OS en Windows 8.1) kan configureren, beveiligen en controleren. In sommige gevallen wordt dit platform vanuit de cloud aangeboden, het gaat hier om een lichte integratie met bestaande IT infrastructuur, maar in de meeste gevallen is dit een implementatie op de site van het bedrijf. In dit laatste geval wordt niet alleen naar de mobiele toestellen gekeken, maar ook hoe we de toegang naar het bedrijfsnetwerk (VPN) kunnen gaan optimaliseren door betere en automatische (certificaten) beveiligingsmechanismes op te zetten. Een integratie met de Active Directory of LDAP maakt het plaatje compleet en zorgt voor een automatische configuratie op basis van de hoedanigheid van de gebruiker binnen het bedrijf; zou deze dan morgen een andere taak opnemen of verhuizen binnen het bedrijf, dan zal ook dat mobiel toestel zich automatisch gaan aanpassen. In deze context zal het toestel dus eerst onder controle geplaatst worden van het MDM systeem, om dan zo de Enterprise Container of Kiosk Mode aan te sturen.
5
www.mobco.be
Enterprise Container Gezien we onmogelijk elke mogelijke achterdeur in het Android systeem kunnen dichttimmeren wanneer we een gedeelde verantwoordelijkheid aanvaarden over het toestel (we laten de gebruiker immers toe om zelf applicaties te gaan installeren, foto’s, muziek, …) moeten we de regels van het spel wijzigen: - we nemen een ‘lichte’ controle over het toestel om bv WIFI aan te sturen zodat deze toestellen op het bedrijfsnetwerk kunnen - we plaatsen al de bedrijfsdocumenten en applicaties in een afgeschermd gedeelte dat enkel toegankelijk is na identificatie We bereiken dit door een “gevirtualiseerde SD kaart” op het toestel te plaatsen waarop onze bedrijfsinformatie geplaatst wordt. Alles wat op deze geëncrypteerde kaart staat is perfect onder controle van het centrale MDM systeem, wordt afgeschermd van de rest van het toestel en is enkel te gebruiken na het ontgrendelen van de “container” door middel van een PIN of paswoord. Bedrijfsapplicaties zoals email, documenten apps of eigen ontwikkelde applicaties draaien dus in deze omgeving – zonder enige impact of beperking voor de rest van het toestel of privé gebruik, dit laatste blijft zonder beperkingen. Het is dus aan de gebruiker vrij om te installeren wat hij of zij wenst, de privé apps hebben toch geen mogelijkheid om de inhoud van de “container” te lezen of aan te passen. Qua functionaliteit is deze “Enterprise Container” volledig onder beheer van de MDM server en hebben we ook geen impact van de Android versie. Deze “container” biedt een antwoord op: - fragmentatie van de Android markt door uniforme aanpak voor elk type toestel - beveiliging door encryptie van de container, zonder noodzakelijke encryptie van het toestel (wat soms wel en meestal niet voorhanden is of werkt) - gedeelde verantwoordelijkheid waarbij de gebruiker geen impact ziet op het privégebruik van het toestel - toestel pincode of paswoord is niet langer vereist, alle gegevens zitten veilig in de container dewelke op zijn beurt met een PIN of paswoord is vergrendeld - enkel beveiligde apps worden toegelaten binnen de container Moet ik dan nieuwe apps ontwikkelen om deze in deze container te laten werken ? Nee, dat hoeft helemaal niet. De eigen apps moeten enkel een extra beveiliging krijgen zodat ze worden toegelaten in de container. Dat is een kosteloze actie die enkel door de verantwoordelijke van het bedrijf (beheerder van de MDM) kan gebeuren. Let op: publieke of commerciële apps zijn niet altijd beschikbaar in beveiligde vorm, contacteer ons om een volledige lijst te ontvangen van beschikbare applicaties. Voor eigen applicaties is dit geen probleem.
6
www.mobco.be
Kiosk Mode Indien we een stap verder gaan in de beveiliging en controle, dan stappen we af van het principe van ‘gedeelde verantwoordelijkheid’ over het toestel door bedrijf en gebruiker. We gaan er in deze situatie van uit dat het volledige toestel onder het beheer valt van het bedrijf. Moeten we dan dezelfde principes toepassen als voor de “container” ? Eigenlijk niet, want als er geen gedeelde verantwoordelijkheid is, dan wordt de “container” het toestel. Het enige wat zich op het toestel kan en zal bevinden is dat wat het bedrijf binnen de “container” – in dit geval het toestel – zal plaatsen en toelaten. Bij het ontgrendelen van het toestel, ontgrendelen we ook meteen de “container”, en krijgen we toegang tot deze applicaties die door MDM zijn aangeduid. Verschillende leverancier spelen op deze trend in, maar er is hier wel een meer uitgebreide controle op toestelniveau noodzakelijk. Concreet zien we deze vandaag het best geïmplementeerd in de Samsung Galaxy range waarbij SAFE (Samsung Approved For Enterprise) API’s beschikbaar zijn. Als bijkomend voordeel van deze kiosk mode is dat via MDM de volledige gebruikerservaring in beheer is, inclusief de branding van de oplossing. De tablet of smartphone wordt dan een echte bedrijfstablet of smartphone. De “Kiosk Mode” biedt een antwoord op: - volledige controle van het toestel door het bedrijf zonder privé gebruik - beveiliging door encryptie van het toestel - automatische installatie en configuratie van applicaties en toestel - eender welke applicatie kan door de beheerder aangeduid worden - toestel pincode of paswoord beschermt toestel en bedrijfsinformatie Kan ik eender welke applicatie in Kiosk Mode laten draaien ? Inderdaad, dat kan. Gezien de beveiliging hier op niveau van het toestel zit kunnen we applicaties ‘native’ laten draaien binnen de Kiosk. De beheerder kan dus eender welke applicatie – zonder aanpassing – naar de Kiosk van de gebruikers ‘pushen’. Het is uiteraard aan de beheerder om de veiligheid van de apps zelf te gaan garanderen!
7
www.mobco.be
Samsung KNOX De evolutie staat niet stil en sinds april 2014 beschikken we reeds over KNOX 2.0 van Samsung, wat door velen gezien wordt als een evolutie van de SAFE API’s. Daar waar de “Enterprise Container” gebonden is aan een software encryptie en ondersteuning, gaat KNOX een stap verder en geeft hier effectieve hardware ondersteuning aan het Enterprise gedeelte.
We kunnen KNOX het best voorstellen als 2 toestellen in 1: - een privé toestel waarbij de gebruiker alle mogelijkheden heeft - een bedrijfstoestel op niveau van Kiosk Mode Beide modi draaien op 1 toestel maar nooit tegelijkertijd EN deze kunnen ook onderling niet met elkaar gaan communiceren – op uitzondering van de telefooncontacten na, als toegelaten.
8
www.mobco.be
Concreet We pakken een Android project aan door eerst duidelijk te maken of we een gedeelde verantwoordelijkheid over het toestel aanvaarden of niet ? - JA. Voor typisch gebruik van smartphone en tablets binnen adminstratieve of verkoopsfuncties. - NEE. Voor purpose-build oplossingen, zoals workflow applicaties of bij gebruik op beurzen. Beslis over het type toestel ! - Kies vandaag voor Samsung als de uitgebreide API’s van SAFE of KNOX een toegevoegde waarde kunnen betekenen (meer controle op niveau van toestel). - Kies zeker voor Samsung Galaxy range indien KIOSK mode noodzakelijk is. - Wordt of kan er geen keuze gemaakt worden, weet dat de “Enterprise Container” een oplossing kan bieden om uniforme en veilige oplossing aan te bieden. Bekijk welke applicaties nodig zijn en of hier de rechten beschikbaar zijn ? - Geen rechten over de applicatie, dan is enkel Kiosk mode noodzakelijk om deze in een beveiligde omgeving te laten draaien. - Wel rechten, een eigen app of de rechten aangekocht, dan kan zowel de Container als Kiosk mode. Let op: de MDM leverancier stelt ook een hele reeks applicaties ter beschikking om binnen de Container te laten draaien: - Nitrodesk Touchdown (email, calendar, contacts, tasks) - Divide (email, calendar, contacts, tasks) - eMail+ (email, contacts) - SharePoint, CIFS, webDAV client - Polaris Office document editor - PDF, ZIP viewer, … Ik wil 4 applicaties op een Android Tablet, volledig beveiligd. Dat is bellen/SMS, email, routeplanner en werkbonnen. Hoeveel kost dat ? - De mobiele applicaties zijn allemaal beschikbaar – of eventuele licentiekosten worden hier niet in rekening gebracht voor de routeplanner en werkbonnen. - Een maandelijkse kost van 4 euro per toestel (zowel mobiele stuk als servers) - Een set-up tussen 2000 en 5000 Euro, afhankelijk van de complexiteit van het netwerk en vereisten. - Bijkomend is de ondersteuningskost, als gevraagd. Deze prijzen zijn onder voorbehoud en dienen louter ter indicatie voor volumes van 50 toestellen.
9
www.mobco.be
Contact Wilt u meer informatie of hebt u vragen rond dit document, Android, MDM of mobiele applicaties ? Aarzel niet ons te contacteren ! Tel: Email: Website:
+32 2 66 99 500
[email protected] www.mobco.be
Op onze site kan u nog tal van andere whitepapers downloaden rond Enterprise Mobility !
10
