Juni 2014

Android
Professioneel
Gebruiken
Praktische Gids
Dit document is toegespitst op een praktische implementatie van
Android toestellen in een bedrijfsomgeving.
Juni 2014
Ulrik Van Schepdael – Mobco bvba
www.mobco.be
Voorwoord
Het Android platform is het meest populaire operating system voor zowel smartphones als
tablets. Terwijl de verkoopvolumes blijven stijgen in de consumentenmarkt, is er ook
toenemende belangstelling vanuit de bedrijfsmarkt om deze kostefficiënte toestellen in te
zetten voor mobiele techniekers, transport, interventies, …
We halen in dit document kort een paar aandachtspunten aan rond beheer en beveiliging
binnen een professionele omgeving – maar ook meteen de oplossingen die nu voorhanden
zijn en dewelke de Android toestellen omtoveren tot perfecte mobiele tools!
Of het nu gaat om een gebruik voor administratieve medewerkers of een volledig
afgesloten toestel met enkel één of enkele bedrijfsapplicaties, u kan in dit document nuttige
informatie vinden en enkele belangrijke vragen die u zich moet stellen bij uw mobiel project.
Aarzel niet om ons te contacteren voor meer informatie, demonstratie of evaluatie van de
voorgestelde oplossingen!
Mobco BVBA is BeLux Marktleider in het aanbieden van professionele mobiliteitsoplossingen
en partner van Mobileiron, Samsung, Apple, Acronis.
Wij maken het u mogelijk om alle mobiele toestellen te configureren, beveiligen en beheren
vanop afstand – dat is onze focus !
Het team van specialisten staat paraat voor het uittekenen van uw strategie, architectuur,
implementatie en ondersteuning van uw mobiel project.
2
www.mobco.be
Inhoudsopgave
Voorwoord
2
Inhoudsopgave
3
Fragmentatie
4
Open platform
4
Plan van aanpak
Enterprise Container
Kiosk Mode
Samsung KNOX
5
6
7
8
Concreet
9
3
www.mobco.be
Fragmentatie
De Android toestellen hebben een onwaarschijnlijk groot volume marktaandeel, vooral in
de consumentenmarkt, van meer dan 80%. We vinden vandaag toestellen van minder dan
100 Euro tot boven de 1000 Euro, en vrijwel elke denkbare leverancier van hardware heeft
een Android toestel in zijn gamma.
We moeten echter ook een andere realiteit zien, er zijn heel veel verschillende toestellen op
de markt met elk een eigen ‘versie’ van het Android operating system. Het is namelijk zo dat
elke leverancier, en voor elk type toestel, een eigen versie van het operating system moet
gaan bouwen. En deze opportuniteit om het Android platform te gaan ‘aanpassen’ is
meteen ook de oorzaak van de fragmentatie – de hardware leveranciers zijn niet altijd in
staat om voor elk type toestel dat ze ooit geleverd hebben een ‘upgrade’ ter beschikking te
stellen. Het toestel mag dan wel geleverd worden met de op dat moment laatst
beschikbare versie, maar als er binnen de levensduur van het toestel nieuwe Android versies
verschijnen…
We zien dit vooral in het onderste segment van de Android toestellen, en zelfs in het
middensegment als we verder kijken dan 12 maanden na lancering.
Het gevolg is dat we heel veel verschillende toestel/versie combinatie zien verschijnen; in
een laatste telling op een operator zijn 3G netwerk waren er dat meer dan 15.000!
Om een toestel goed te gaan beheren hebben we API’s nodig, Application Programming
Interfaces – de ‘haken’ die ons toelaten om een toestel onder controle te krijgen en te
houden. Deze API’s en de mogelijkheden worden telkens uitgebreider met nieuwe versies
die verschijnen – de laatste Android versie 4.x is duidelijk de meest beveiligde en meest
geschikte voor de ondernemingen.
Open platform
Android is een open platform. In de laatste versies wordt er steeds meer aandacht aan
geschonken, maar als gebruiker blijf je de mogelijkheid hebben om zelf snel een applicatie
te gaan installeren van om het even welke app winkel.
Als we naar deze ‘winkels’ gaan kijken vinden we weinig controle terug, en het blijft nog
altijd perfect om een app er op andere manieren op te gaan installeren.
Is een Android platform dan minder veilig omdat het open is ?
In principe niet, als de eigenaar van het toestel perfect weet wat hij doet is Android zeker
veilig. Maar als de eigenaar zomaar wat gaat downloaden en installeren, dan komen we
eigenlijk in het zelfde sukkelstraatje als met de PC’s: virusscanners, anti-malware, …
En dat is een oorlog die je op termijn nooit kan winnen, tenzij je de regels van het spel gaat
aanpassen.
4
www.mobco.be
Plan van aanpak
Om het probleem aan te pakken zijn er in feite 2 mogelijkheden die we vandaag kunnen
aanbieden: Enterprise Container en Kiosk Mode.
In beide gevallen nemen we resoluut controle over dat stuk van het toestel waar we inhoud
van het bedrijf kunnen vinden. In het geval van de Enterprise Container is dat een
afgeschermd gedeelte van het toestel, bij Kiosk Mode is het volledige toestel onder controle
van het bedrijf en worden er geen privé applicaties toegelaten.
We kunnen beide functies aanbieden door gebruik te maken van een Mobile Device
Management platform, een beheerssysteem dat mobiele toestellen en laptops (Mac OS en
Windows 8.1) kan configureren, beveiligen en controleren.
In sommige gevallen wordt dit platform vanuit de cloud aangeboden, het gaat hier om een
lichte integratie met bestaande IT infrastructuur, maar in de meeste gevallen is dit een
implementatie op de site van het bedrijf.
In dit laatste geval wordt niet alleen naar de mobiele toestellen gekeken, maar ook hoe we
de toegang naar het bedrijfsnetwerk (VPN) kunnen gaan optimaliseren door betere en
automatische (certificaten) beveiligingsmechanismes op te zetten.
Een integratie met de Active Directory of LDAP maakt het plaatje compleet en zorgt voor
een automatische configuratie op basis van de hoedanigheid van de gebruiker binnen het
bedrijf; zou deze dan morgen een andere taak opnemen of verhuizen binnen het bedrijf,
dan zal ook dat mobiel toestel zich automatisch gaan aanpassen.
In deze context zal het toestel dus eerst onder controle geplaatst worden van het MDM
systeem, om dan zo de Enterprise Container of Kiosk Mode aan te sturen.
5
www.mobco.be
Enterprise Container
Gezien we onmogelijk elke mogelijke achterdeur in het Android systeem kunnen
dichttimmeren wanneer we een gedeelde verantwoordelijkheid aanvaarden over het
toestel (we laten de gebruiker immers toe om zelf applicaties te gaan installeren, foto’s,
muziek, …) moeten we de regels van het spel wijzigen:
- we nemen een ‘lichte’ controle over het toestel om bv WIFI aan te sturen zodat deze
toestellen op het bedrijfsnetwerk kunnen
- we plaatsen al de bedrijfsdocumenten en applicaties in een afgeschermd gedeelte
dat enkel toegankelijk is na identificatie
We bereiken dit door een “gevirtualiseerde SD kaart” op het toestel te plaatsen waarop
onze bedrijfsinformatie geplaatst wordt.
Alles wat op deze geëncrypteerde kaart staat is perfect onder controle van het centrale
MDM systeem, wordt afgeschermd van de rest van het toestel en is enkel te gebruiken na
het ontgrendelen van de “container” door middel van een PIN of paswoord.
Bedrijfsapplicaties zoals email, documenten apps of eigen ontwikkelde applicaties draaien
dus in deze omgeving – zonder enige impact of beperking voor de rest van het toestel of
privé gebruik, dit laatste blijft zonder beperkingen.
Het is dus aan de gebruiker vrij om te installeren wat hij of zij wenst, de privé apps hebben
toch geen mogelijkheid om de inhoud van de “container” te lezen of aan te passen.
Qua functionaliteit is deze “Enterprise Container” volledig onder beheer van de MDM server
en hebben we ook geen impact van de Android versie.
Deze “container” biedt een antwoord op:
- fragmentatie van de Android markt door uniforme aanpak voor elk type toestel
- beveiliging door encryptie van de container, zonder noodzakelijke encryptie van het
toestel (wat soms wel en meestal niet voorhanden is of werkt)
- gedeelde verantwoordelijkheid waarbij de gebruiker geen impact ziet op het
privégebruik van het toestel
- toestel pincode of paswoord is niet langer vereist, alle gegevens zitten veilig in de
container dewelke op zijn beurt met een PIN of paswoord is vergrendeld
- enkel beveiligde apps worden toegelaten binnen de container
Moet ik dan nieuwe apps ontwikkelen om deze in deze container te laten werken ?
Nee, dat hoeft helemaal niet.
De eigen apps moeten enkel een extra beveiliging krijgen zodat ze worden toegelaten in
de container. Dat is een kosteloze actie die enkel door de verantwoordelijke van het bedrijf
(beheerder van de MDM) kan gebeuren.
Let op: publieke of commerciële apps zijn niet altijd beschikbaar in beveiligde vorm,
contacteer ons om een volledige lijst te ontvangen van beschikbare applicaties. Voor eigen
applicaties is dit geen probleem.
6
www.mobco.be
Kiosk Mode
Indien we een stap verder gaan in de beveiliging en controle, dan stappen we af van het
principe van ‘gedeelde verantwoordelijkheid’ over het toestel door bedrijf en gebruiker. We
gaan er in deze situatie van uit dat het volledige toestel onder het beheer valt van het
bedrijf.
Moeten we dan dezelfde principes toepassen als voor
de “container” ?
Eigenlijk niet, want als er geen gedeelde
verantwoordelijkheid is, dan wordt de “container” het
toestel.
Het enige wat zich op het toestel kan en zal bevinden
is dat wat het bedrijf binnen de “container” – in dit
geval het toestel – zal plaatsen en toelaten.
Bij het ontgrendelen van het toestel, ontgrendelen we
ook meteen de “container”, en krijgen we toegang
tot deze applicaties die door MDM zijn aangeduid.
Verschillende leverancier spelen op deze trend in,
maar er is hier wel een meer uitgebreide controle op
toestelniveau noodzakelijk.
Concreet zien we deze vandaag het best
geïmplementeerd in de Samsung Galaxy range
waarbij SAFE (Samsung Approved For Enterprise) API’s
beschikbaar zijn.
Als bijkomend voordeel van deze kiosk mode is dat via
MDM de volledige gebruikerservaring in beheer is,
inclusief de branding van de oplossing. De tablet of
smartphone wordt dan een echte bedrijfstablet of
smartphone.
De “Kiosk Mode” biedt een antwoord op:
- volledige controle van het toestel door het bedrijf zonder privé gebruik
- beveiliging door encryptie van het toestel
- automatische installatie en configuratie van applicaties en toestel
- eender welke applicatie kan door de beheerder aangeduid worden
- toestel pincode of paswoord beschermt toestel en bedrijfsinformatie
Kan ik eender welke applicatie in Kiosk Mode laten draaien ?
Inderdaad, dat kan. Gezien de beveiliging hier op niveau van het toestel zit kunnen we
applicaties ‘native’ laten draaien binnen de Kiosk. De beheerder kan dus eender welke
applicatie – zonder aanpassing – naar de Kiosk van de gebruikers ‘pushen’.
Het is uiteraard aan de beheerder om de veiligheid van de apps zelf te gaan garanderen!
7
www.mobco.be
Samsung KNOX
De evolutie staat niet stil en sinds april 2014 beschikken we reeds over KNOX 2.0 van
Samsung, wat door velen gezien wordt als een evolutie van de SAFE API’s.
Daar waar de “Enterprise Container” gebonden is aan een software encryptie en
ondersteuning, gaat KNOX een stap verder en geeft hier effectieve hardware
ondersteuning aan het Enterprise gedeelte.
We kunnen KNOX het best voorstellen als 2 toestellen in 1:
- een privé toestel waarbij de gebruiker alle
mogelijkheden heeft
- een bedrijfstoestel op niveau van Kiosk Mode
Beide modi draaien op 1 toestel maar nooit tegelijkertijd
EN deze kunnen ook onderling niet met elkaar gaan
communiceren – op uitzondering van de
telefooncontacten na, als toegelaten.
8
www.mobco.be
Concreet
We pakken een Android project aan door eerst duidelijk te maken of we een gedeelde
verantwoordelijkheid over het toestel aanvaarden of niet ?
- JA. Voor typisch gebruik van smartphone en tablets binnen adminstratieve of
verkoopsfuncties.
- NEE. Voor purpose-build oplossingen, zoals workflow applicaties of
bij gebruik op beurzen.
Beslis over het type toestel !
- Kies vandaag voor Samsung als de uitgebreide API’s van SAFE of
KNOX een toegevoegde waarde kunnen betekenen (meer
controle op niveau van toestel).
- Kies zeker voor Samsung Galaxy range indien KIOSK mode
noodzakelijk is.
- Wordt of kan er geen keuze gemaakt worden, weet dat de
“Enterprise Container” een oplossing kan bieden om uniforme en
veilige oplossing aan te bieden.
Bekijk welke applicaties nodig zijn en of hier de rechten beschikbaar zijn ?
- Geen rechten over de applicatie, dan is enkel Kiosk mode noodzakelijk om deze in
een beveiligde omgeving te laten draaien.
- Wel rechten, een eigen app of de rechten aangekocht, dan kan zowel de Container
als Kiosk mode.
Let op: de MDM leverancier stelt ook een hele reeks applicaties ter beschikking om
binnen de Container te laten draaien:
- Nitrodesk Touchdown (email, calendar, contacts, tasks)
- Divide (email, calendar, contacts, tasks)
- eMail+ (email, contacts)
- SharePoint, CIFS, webDAV client
- Polaris Office document editor
- PDF, ZIP viewer, …
Ik wil 4 applicaties op een Android Tablet, volledig beveiligd. Dat is bellen/SMS, email,
routeplanner en werkbonnen. Hoeveel kost dat ?
- De mobiele applicaties zijn allemaal beschikbaar – of eventuele licentiekosten
worden hier niet in rekening gebracht voor de routeplanner en werkbonnen.
- Een maandelijkse kost van 4 euro per toestel (zowel mobiele stuk als servers)
- Een set-up tussen 2000 en 5000 Euro, afhankelijk van de complexiteit van het netwerk
en vereisten.
- Bijkomend is de ondersteuningskost, als gevraagd.
Deze prijzen zijn onder voorbehoud en dienen louter ter indicatie voor volumes van 50
toestellen.
9
www.mobco.be
Contact
Wilt u meer informatie of hebt u vragen rond dit document, Android, MDM of mobiele
applicaties ? Aarzel niet ons te contacteren !
Tel:
Email:
Website:
+32 2 66 99 500
[email protected]
www.mobco.be
Op onze site kan u nog tal van andere whitepapers downloaden rond Enterprise Mobility !
10