Android Device Policy: Sikkerhed for Virksomhedsdata

16/01/2023

★★★★★Rating: 4.18 (5626 votes)

I en verden, hvor mobiltelefoner er blevet uundværlige værktøjer i forretningslivet, er det afgørende at beskytte følsomme virksomhedsdata. Google Workspace-kunder står over for den udfordring at sikre, at medarbejdernes Android-enheder overholder organisationens sikkerhedspolitikker. Det er præcis her, Android Device Policy træder ind som en central løsning. Denne omfattende guide vil dykke ned i, hvad Android Device Policy er, hvordan den fungerer, og hvordan den hjælper med at opretholde en høj standard for mobilsikkerhed i din virksomhed. Uanset om du er administrator eller en slutbruger, vil du finde værdifuld information om at beskytte dine data og strømline enhedsadministrationen.

What does the Android Device Policy do? — The Android Device Policy, when installed on your device, can access it to: check your device's location for aligning with security policies and offering a new network when needed, and report your device ID to your administrator via the phone.

Android Device Policy er en applikation, der er designet til at håndhæve din organisations sikkerhedspolitikker på Android-enheder. Formålet er at beskytte virksomhedsdata og gøre enhederne mere sikre mod potentielle trusler. Dette er især relevant for virksomheder, der benytter Google Workspace, da appen integreres problemfrit med Googles økosystem for at give en robust administrationsplatform. Ved at installere Android Device Policy på en medarbejders enhed får administratorer mulighed for at implementere en række kontroller, der sikrer, at enheden lever op til virksomhedens standarder for databeskyttelse og adgangskontrol. Det handler ikke kun om at begrænse adgangen, men også om at skabe et sikkert miljø, hvor medarbejderne kan arbejde effektivt og trygt.

Indholdsfortegnelse

Hvad er Android Device Policy?
Krav og Nødvendig Adgang
- Systemkrav
- Adgang og Tilladelser
Administratorernes Beføjelser
Hvor Finder Du Appen?
Fejlfinding af Almindelige Problemer
- Min enhed synkroniserer ikke arbejdsdata
- Hvordan skifter jeg til Android Device Policy fra Google Device Policy-appen?
Dybdegående: Enheds-provisionering med Android Device Policy
Ofte Stillede Spørgsmål (FAQ)

Hvad er Android Device Policy?

Android Device Policy er Googles løsning til enhedsadministration for Android-enheder, specifikt rettet mod Google Workspace-kunder. Dens primære funktion er at implementere og opretholde organisationens sikkerhedspolitikker på mobile enheder, der bruges til arbejdsrelaterede formål. Dette inkluderer alt fra adgangskodekrav og kryptering til applikationskontrol og fjernsletning af data. Appen fungerer som en bro mellem din virksomheds IT-administratorer og medarbejdernes Android-enheder, hvilket sikrer, at alle enheder, der har adgang til virksomhedsdata, overholder de fastsatte retningslinjer. Dette er afgørende for at forhindre uautoriseret adgang og databrud, især i en tid med stigende mobilarbejde.

Krav og Nødvendig Adgang

For at Android Device Policy kan fungere korrekt, skal visse krav opfyldes, og appen skal have specifikke tilladelser på enheden. Det er vigtigt at forstå disse for at sikre en problemfri implementering og drift.

Systemkrav

Android 6.0 Marshmallow eller nyere: Enheden skal køre Android 6.0 (Marshmallow) eller en nyere version af operativsystemet.
Understøttelse af arbejdsprofil: Enheden skal understøtte en arbejdsprofil. En arbejdsprofil skaber en adskilt og sikker beholder på enheden til arbejdsrelaterede apps og data, så de er adskilt fra personlige data. Enheder uden denne understøttelse kan ikke administreres af Android Device Policy.
Google Workspace-konto: Du skal være logget ind på en Google Workspace-konto på den enhed, der skal administreres.

Adgang og Tilladelser

Når Android Device Policy er installeret på din enhed, kan den få adgang til visse dele af enheden for at kunne håndhæve sikkerhedspolitikkerne effektivt:

Placering: Bruges til at kontrollere tilgængelige Wi-Fi-netværk for at sikre overholdelse af sikkerhedspolitikker og eventuelt tilbyde nye netværk, når det er nødvendigt. Dette hjælper med at sikre, at enheden kun opretter forbindelse til sikre netværk i henhold til virksomhedens regler.
Telefon: Bruges til enhedsregistrering og til at rapportere enheds-ID'er til din administrator. Dette er afgørende for, at administratoren kan identificere og spore de administrerede enheder.
Kamera (valgfrit): Bruges til at scanne QR-koder, hvis din administrator registrerer enheden til administration ved hjælp af denne metode. QR-koder forenkler registreringsprocessen betydeligt.

Disse tilladelser er nødvendige for, at Android Device Policy kan udføre sine sikkerhedsfunktioner. Det er vigtigt at bemærke, at adgangen er målrettet mod at beskytte virksomhedsdata og opretholde sikkerhed, ikke til at overvåge personlige data unødigt.

Administratorernes Beføjelser

Med Android Device Policy får IT-administratorer en række kraftfulde værktøjer til at administrere og sikre virksomhedens mobile enheder. Disse funktioner er designet til at give detaljeret kontrol over enhedens sikkerhedsindstillinger og dataadgang.

Sikkerhedspolitikker

Administratorer kan indstille og håndhæve en bred vifte af sikkerhedspolitikker, herunder:

Adgangskodestyrke og længde: Krævelse af komplekse adgangskoder med specifikke længdekrav for at forhindre uautoriseret adgang.
Antal ugyldige adgangskoder før enhedssletning: Indstilling af et maksimum antal forsøg med forkerte adgangskoder, før enheden automatisk slettes for at beskytte data.
Blokering af nyligt udløbne adgangskoder: Forhindrer brugere i at genbruge nyligt anvendte adgangskoder.
Dage før en adgangskode udløber: Indstilling af en periode, hvorefter brugere skal ændre deres adgangskode for at opretholde sikkerheden.
Inaktive minutter før en enhed automatisk låses: Automatisk låsning af enheden efter en bestemt periode med inaktivitet for at forhindre uautoriseret adgang, hvis enheden efterlades uden opsyn.
Dage en enhed ikke har synkroniseret før sletning: Sletning af data fra enheder, der har været offline for længe, for at beskytte mod tabte eller stjålne enheder.
Applikationsrevision: Mulighed for at gennemgå og kontrollere, hvilke applikationer der er installeret på enheden.
Enhedskryptering: Krævelse af, at enheden er krypteret for at beskytte data i tilfælde af tyveri eller tab.
Fjernsletning af en virksomhedsejet enhed: Mulighed for at fjernslette alle data på en virksomhedsejet enhed i tilfælde af tab, tyveri eller når en medarbejder forlader virksomheden.
Blokering af sikkerhedskompromitterede enheder: Identifikation og blokering af enheder, der er blevet kompromitteret (f.eks. rootede enheder), for at forhindre dem i at få adgang til virksomhedsdata.

Netværkskontrol

Administratorer kan også:

Konfigurere Wi-Fi-netværk og administrere netværksadgangscertifikater: De kan opsætte specifikke Wi-Fi-netværk, som enhederne automatisk skal oprette forbindelse til, og administrere de nødvendige certifikater for sikker adgang.
Skjule netværksdetaljer: Administratorer kan vælge at skjule et netværks detaljer, så kun brugere, der kender netværksnavnet og adgangskoden, kan oprette forbindelse.

Adgang til Google Apps

Administratorer kan blokere adgang til Google-apps fra din arbejdsrelaterede konto baseret på enhedens land eller region, netværk, sikkerhedsindstillinger eller operativsystem. Dette giver en finmasket kontrol over, hvor og hvordan virksomhedsdata tilgås.

Hvor Finder Du Appen?

Hvis du har brug for at få adgang til Android Device Policy-appen på din enhed, kan du typisk finde den i enhedens indstillinger. Stien er normalt: Indstillinger > Google > Work > Enhedspolitik. Dette giver dig mulighed for at kontrollere enhedens synkroniseringsstatus og andre grundlæggende oplysninger relateret til virksomhedens politikker.

Fejlfinding af Almindelige Problemer

Selvom Android Device Policy er designet til at være robust, kan der opstå situationer, hvor enheder ikke synkroniserer korrekt, eller hvor du skal skifte fra en ældre administrationsapp. Her er nogle almindelige fejlfindingsløsninger:

Min enhed synkroniserer ikke arbejdsdata

Hvis din enhed er virksomhedsejet eller kun er opsat til arbejde:

Genstart enheden: Prøv at genstarte enheden og se, om synkroniseringen starter. En simpel genstart kan ofte løse midlertidige problemer.
Manuel synkronisering: Hvis genstart ikke virker, gå til Indstillinger > Google > Work og tryk på Enhedspolitik Synkroniser for manuelt at synkronisere data.
Nulstilling til fabriksindstillinger: Hvis ingen af ovenstående trin virker, kan en nulstilling til fabriksindstillinger være nødvendig. Dette sletter alle data fra enheden, så sørg for at sikkerhedskopiere vigtige data først. For detaljer, se din enheds vejledning til nulstilling til fabriksindstillinger.

Hvis din enhed er til både arbejds- og personlig brug:

Genregistrer din enhed ved at fjerne din arbejdsprofil og derefter tilføje din Google Workspace-konto og arbejdsprofil igen.

Åbn enhedens indstillinger.
Tryk på Konti > Fjern arbejdsprofil.
Tryk på Slet for at bekræfte.
Gå til instruktionerne for at tilføje din Google Workspace-konto og arbejdsprofil igen (typisk under indstillinger for at tilføje en ny konto eller arbejdsprofil).

Hvordan skifter jeg til Android Device Policy fra Google Device Policy-appen?

Hvis din enhed er til arbejds- og personlig brug og har en arbejdsprofil:

Fjern arbejdsprofilen (se trinene ovenfor under fejlfinding for ikke-synkronisering).
Åbn Indstillinger-appen og tryk på Konti.
Tilføj arbejdskontoen igen og opsæt Android Device Policy. En arbejdsprofil er påkrævet for Android Device Policy.

Hvis din enhed er til arbejds- og personlig brug og ikke har en arbejdsprofil:

Åbn Google Apps Device Policy-appen.
Tryk på Afregistrer. Arbejdskontoen fjernes fra enheden.
Åbn Indstillinger-appen og tryk på Konti.
Tilføj arbejdskontoen igen og opsæt Android Device Policy. Under registreringen skal du opsætte en arbejdsprofil, da den er påkrævet for Android Device Policy.

Hvis din enhed er virksomhedsejet eller kun er opsat til arbejde:

En administrator skal nulstille enheden, eller hvis tilladt, kan du selv nulstille den. Derefter tilføjer du din arbejdskonto igen og opsætter Android Device Policy. Dette sikrer en ren start og korrekt integration med den nye politik.

Dybdegående: Enheds-provisionering med Android Device Policy

Provisionering er processen med at konfigurere en enhed, så den kan administreres af en virksomhed i henhold til dens politikker. Under denne proces installeres Android Device Policy på enheden, som derefter bruges til at modtage og anvende politikker. Succesfuld provisionering resulterer i, at Android Management API opretter et enhedsobjekt og knytter enheden til en virksomhed. Det er vigtigt at bemærke, at hvis en enhed forbliver offline i 270 dage i træk, skal den genprovisioneres.

Android Management API bruger registreringstokens (enrollment tokens) til at aktivere provisioneringsprocessen. Registreringstokenet og den anvendte provisioneringsmetode definerer enhedens ejerskab (personlig eller virksomhedsejet) og administrationstilstand (arbejdsprofil eller fuldt administreret enhed).

Registreringstokens

Du skal bruge et registreringstoken for hver enhed, du ønsker at registrere (det samme token kan dog bruges til flere enheder). Registreringstokens udløber som standard efter en time, men du kan angive en brugerdefineret udløbstid (duration) på op til ca. 10.000 år. En succesfuld anmodning returnerer et enrollmentToken-objekt, der indeholder et enrollmentTokenId og en qrcode, som IT-administratorer og slutbrugere kan bruge til at provisionere enheder.

Du kan også angive et policyName i anmodningen for at anvende en politik samtidig med, at en enhed registreres. Dette strømliner opsætningsprocessen og sikrer øjeblikkelig overholdelse.

Typer af Enhedsejerskab

Android Device Policy understøtter forskellige scenarier for enhedsejerskab, hver med sine egne administrationsmuligheder og politikker.

Does Google workspace support agentless Endpoint Management? — Google Workspace simplifies endpoint management in your organization by allowing you to enforce passcodes and wipe specific accounts without installing software on a user's Android and iOS device (agentless endpoint management). This feature is on by default. Manage and secure Windows 10 devices through the Admin console.

Personlige Enheder (Android 5.1 og nyere)

Enheder, der ejes af medarbejdere, kan opsættes med en arbejdsprofil. En arbejdsprofil giver et adskilt rum til arbejdsapps og -data, adskilt fra personlige apps og data. De fleste administrationspolitikker for apps, data og andet gælder kun for arbejdsprofilen, mens medarbejderens personlige apps og data forbliver private. Dette er den ideelle løsning for BYOD (Bring Your Own Device) scenarier.

Virksomhedsejede Enheder til Personlig og Arbejdsbrug (Android 8 og nyere)

Hvis du opsætter en virksomhedsejet enhed med en arbejdsprofil, muliggøres den til både personlig og arbejdsbrug (også kaldet COPE - Corporate-Owned, Personally Enabled). På virksomhedsejede enheder med arbejdsprofiler gælder de fleste administrationspolitikker kun for arbejdsprofilen, og medarbejderens personlige profil forbliver privat. Virksomheder kan dog anvende visse politikker på tværs af hele enheden og politikker for personlig brug. For eksempel kan virksomheder bruge blockScope til at anvende overholdelseshandlinger på hele enheden eller kun på dens arbejdsprofil. Kommandoer som devices.delete gælder for hele enheden.

Virksomhedsejede Enheder kun til Arbejdsbrug (Android 5.1 og nyere)

Fuld enhedsadministration er velegnet til virksomhedsejede enheder, der udelukkende bruges til arbejde. Virksomheder kan administrere alle apps på enheden og anvende hele spektret af politikker og kommandoer fra Android Management API. Det er også muligt at låse en enhed (via en politik) til en enkelt app eller et lille sæt apps for at opfylde et specifikt formål eller brugsscenarie. Dette underudvalg af fuldt administrerede enheder kaldes dedikerede enheder. Registreringstokens for disse enheder skal have allowPersonalUsage indstillet til PERSONAL_USAGE_DISALLOWED_USERLESS.

Her er en sammenlignende tabel over de forskellige enhedsejerskabstyper:

Enhedstype	Ejerskab	Arbejdsprofil	Personlig Brug Tilladt	Administrationsomfang	Typisk Anvendelse
Personlig enhed (BYOD)	Medarbejder	Ja	Ja	Kun arbejdsprofil	Medarbejderens private telefon, adgang til arbejdsdata
Virksomhedsejet (COPE)	Virksomhed	Ja	Ja	Primært arbejdsprofil, visse politikker på hele enheden	Virksomhedstelefon med mulighed for privat brug
Virksomhedsejet (Work-Only)	Virksomhed	Nej (fuld administration)	Nej	Hele enheden	Virksomhedstelefon, dedikerede enheder (kiosker, scannere)

Provisioneringsmetoder

Der er flere metoder til at provisionere en Android-enhed, hver især velegnet til forskellige scenarier:

Tilføjelse af arbejdsprofil fra Indstillinger (Android 5.1+): Brugeren kan gå til Indstillinger > Google > Opsæt og nulstil > Opsæt din arbejdsprofil. Dette starter en opsætningsguide, der downloader Android Device Policy, hvorefter brugeren scannner en QR-kode eller indtaster et registreringstoken.
Download Android Device Policy fra Google Play Store (Android 5.1+): Brugeren downloader Android Device Policy direkte fra Play Butik. Efter installationen anmodes brugeren om at bruge en QR-kode eller indtaste et registreringstoken for at fuldføre opsætningen af arbejdsprofilen.
Registreringstoken-link (Android 5.1+): Generer en URL med formatet https://enterprise.google.com/android/enroll?et=<enrollmentToken>. Når en slutbruger åbner dette link på sin enhed, guides de gennem opsætningen af arbejdsprofilen.
Login-URL: Med denne metode dirigeres brugere til en side for at indtaste yderligere information, der er nødvendig for at fuldføre provisioneringen. Baseret på brugerens input kan den passende politik beregnes, før enhedens provisionering fortsætter.
QR-kode metode (Android 7.0+): For at provisionere en virksomhedsejet enhed kan du generere en QR-kode og vise den i EMM-konsollen. På en ny eller fabriksindstillet enhed trykker brugeren seks gange på samme sted på skærmen, hvilket aktiverer enheden til at bede om en QR-kode. Brugeren scanner koden for at registrere og provisionere enheden.
NFC-metode (Android 6.0+): Kræver, at du opretter en NFC-programmeringsapp, der indeholder registreringstoken, indledende politikker, Wi-Fi-indstillinger og andre provisioneringsdetaljer. Når appen installeres på en Android-enhed, bliver den til programmeringsenheden. NFC-metoden understøtter kun fuld enhedsadministration.
DPC-identifikator metode: Hvis Android Device Policy ikke kan tilføjes med en QR-kode eller NFC, kan en bruger eller IT-administrator følge disse trin: Under opsætningsguiden på en ny eller fabriksindstillet enhed indtastes Wi-Fi-detaljer. Når du bliver bedt om at logge ind, indtast afw#setup, hvilket downloader Android Device Policy. Derefter scannes en QR-kode eller indtastes et registreringstoken manuelt.
Zero-touch registrering (Android 8.0+): Enheder købt fra en autoriseret forhandler med zero-touch registrering kan automatisk forkonfigureres til at provisioneres ved første opstart. Organisationer kan oprette konfigurationer via zero-touch portalen eller EMM-konsollen. Ved første opstart tjekker enheden automatisk, om der er tildelt en konfiguration. Hvis ja, downloader enheden Android Device Policy, som derefter fuldfører enhedens opsætning med de angivne provisioneringsekstraer.

Start en App Under Opsætningen

I dine politikker kan du angive en app, som Android Device Policy skal starte under enheds- eller arbejdsprofilopsætningen. For eksempel kan du starte en VPN-app, så brugere kan konfigurere VPN som en del af opsætningsprocessen. Appen skal returnere RESULT_OK for at indikere, at processen er fuldført, og tillade Android Device Policy at fuldføre provisioneringen. For at starte en app under opsætningen, skal appens installType være REQUIRED_FOR_SETUP, og appens pakkenavn skal tilføjes til setupActions.

Annullering af Registrering Under Opsætning

Appen, der startes som en SetupAction, kan annullere registreringen og returnere RESULT_FIRST_USER. Hvis registreringen annulleres, vil en virksomhedsejet enhed blive nulstillet til fabriksindstillinger, eller arbejdsprofilen på en personlig enhed vil blive slettet. Dette er en kraftfuld funktion, der giver mulighed for at håndtere scenarier, hvor opsætningen ikke kan fuldføres korrekt.

Anvendelse af Politikker på Nye Enheder

Måden, du anvender politikker på nyregistrerede enheder, afhænger af dine og dine kunders krav. Anbefalede tilgange inkluderer:

Angivelse af politiknavn i registreringstoken: Når du opretter et registreringstoken, kan du angive navnet på den politik (policyName), der oprindeligt skal knyttes til enheden. Politikken anvendes automatisk ved registrering.
Standardpolitik for virksomheden: Hvis der ikke er angivet et politiknavn i registreringstokenet, og der findes en politik med navnet enterprises/<enterprise_id>/policies/default, knyttes hver ny enhed automatisk til standardpolitikken ved registrering.
Abonnement på Cloud Pub/Sub emne: Abonnér på et Cloud Pub/Sub-emne for at modtage meddelelser om nyregistrerede enheder. Som svar på en ENROLLMENT-meddelelse kalder du enterprises.devices.patch for at knytte enheden til en politik.

Enheder i Karantæne

Hvis en enhed registreres uden en gyldig politik, placeres den i karantæne. Enheder i karantæne kan ikke bruge nogen funktioner, før de er knyttet til en politik. Hvis en enhed ikke knyttes til en politik inden for fem minutter, mislykkes registreringen, og enheden nulstilles til fabriksindstillinger. Status som enhed i karantæne giver mulighed for at implementere licenskontrol eller andre valideringsprocesser som en del af din løsning, før fuld adgang gives.

Ofte Stillede Spørgsmål (FAQ)

Hvad er en arbejdsprofil?

En arbejdsprofil er en adskilt og sikker del af din Android-enhed, der holder dine arbejdsapps og data adskilt fra dine personlige apps og data. Dette sikrer, at din virksomhed kun administrerer arbejdsrelaterede oplysninger, mens dine personlige data forbliver private. Det er især nyttigt for BYOD (Bring Your Own Device) scenarier, hvor medarbejdere bruger deres egne enheder til arbejde.

Kan min administrator se mine personlige data med Android Device Policy?

Nej, Android Device Policy er designet til at beskytte din privatliv. Hvis du bruger en arbejdsprofil på din personlige enhed, kan din administrator kun administrere data og apps inden for arbejdsprofilen. De kan ikke se dine personlige fotos, meddelelser eller browsinghistorik. På virksomhedsejede enheder, der er fuldt administrerede (kun til arbejdsbrug), har administratoren dog fuld kontrol over hele enheden, da den udelukkende er til virksomhedsbrug.

Hvad sker der, hvis jeg fjerner Android Device Policy fra min enhed?

Hvis du fjerner Android Device Policy fra en enhed, der er registreret til administration, vil enheden miste adgangen til virksomhedsdata og -apps. Hvis det er en virksomhedsejet enhed, kan den blive slettet til fabriksindstillinger for at beskytte virksomhedsdata. Hvis det er en personlig enhed med en arbejdsprofil, vil arbejdsprofilen blive slettet, og alle arbejdsdata vil blive fjernet.

Hvorfor har Android Device Policy brug for adgang til min placering og telefon?

Adgang til placering bruges til at kontrollere Wi-Fi-netværk for at sikre, at enheden overholder sikkerhedspolitikkerne, f.eks. ved at oprette forbindelse til sikre virksomhedsnetværk. Adgang til telefon er nødvendig for enhedsregistrering og for at rapportere enheds-ID'er til din administrator, hvilket er afgørende for identifikation og administration af enheden i virksomhedens system.

Min enhed synkroniserer ikke arbejdsdata. Hvad skal jeg gøre?

Først, prøv at genstarte din enhed. Hvis det ikke virker, kan du manuelt tvinge en synkronisering ved at gå til Indstillinger > Google > Work > Enhedspolitik Synkroniser. Hvis problemet fortsætter, og din enhed er til både arbejds- og personlig brug, kan du prøve at fjerne og genoprette din arbejdsprofil. For virksomhedsejede enheder kan en fabriksnulstilling være nødvendig, men husk at sikkerhedskopiere dine data først.

Hvad er zero-touch registrering?

Zero-touch registrering er en strømlinet metode til at provisionere virksomhedsejede Android-enheder. Når enheder købes fra en autoriseret forhandler, kan de forkonfigureres, så de automatisk provisioneres med virksomhedens politikker og indstillinger, så snart de tændes og opretter forbindelse til internettet, uden at brugeren behøver at gøre noget manuelt. Dette forenkler udrulningen af mange enheder markant.

Hvad betyder det, at en enhed er i 'karantæne'?

En enhed placeres i karantæne, hvis den registreres uden at have en gyldig politik tilknyttet med det samme. I karantænestatus kan enheden ikke få adgang til virksomhedsdata eller -apps. Hvis en politik ikke tildeles inden for fem minutter, vil enheden automatisk nulstilles til fabriksindstillinger. Dette fungerer som en sikkerhedsforanstaltning for at sikre, at kun korrekt konfigurerede og politik-kompatible enheder får adgang til følsomme data.

Hvis du vil læse andre artikler, der ligner Android Device Policy: Sikkerhed for Virksomhedsdata, kan du besøge kategorien Teknologi.