Data sikkerhed,  Device Management,  Mobility,  Smartphone

Hvorfor er “Android Enterprise Work Profile” et MUST for danske virksomheder?

Repost af ældre indslag: Flere og flere organisationer ønsker at være compliant med lovgivningen, der bla. kræver at en organisation har fuld kontrol over adgange til organisationens data, og kan kontrollere fx. en nedlukning. Men også til sikre at organisationen ikke har indblik i den ansattes private data på den smartphone og/eller tablet, som både indeholder private- og organisationens data.
Androids Googles Work Profile er i dag “default” for de fleste device management løsninger, når enhederne også skal benyttes privat. Og derfor tænkte jeg at jeg vil re-poste dette ældre indlæg.


Ganske enkelt: løsningen til at håndtere hybrid og BYOD enheder i en virksomhed, som adskiller virksomhedens data fra de private data på samme enhed!

Som jeg har været inde på tidligere, så har Google for længst indset, at vi slutbrugere ikke orker at gå rundt med 2 smartphones, altså en privat enhed og en firma enhed. Google har haft fokus på at overholde hensigten med Persondataforordningen (GDPR), altså igen adskillelsen af private data fra virksomheds data.

Samsung har længe haft Knox containeren og Google havde tidligere selv Android for Work. For Google var problemet blot, at sikkerheden var ikke i top på de gamle versioner af OS’et.

Android Enterprise erstatter Android

I forbindelse med at gøre Android operativ systemet til det sikreste operativ system, så har Google erstattet de gamle API’er med helt nye: Android Enterprise.

Sammen med nye hardware krav til producenterne, så leverer Google nu denne opdeling af den fysiske enhed i to dele: den ene del er forbeholdt dine private apps og den anden del er krypteret separat og skal indeholde din virksomheds data. Altså samler to telefoner i én enhed!

For at kunne benytte denne funktion, så kræver det at virksomheden har en EMM løsning, der understøtter dette, samt at enheden er Android Enterprise Ready (mere om dette senere).

Nedenfor ser du min enhed, som er administreret med Microsoft UE løsning: Endpoint Manager (til sagligt ofte kaldt “Intune”), og hvor enheden er opdelt i en privat del og en arbejds del.

Når du swiper op for at komme til alle dine forskellige apps, så er der nu 2 faner (nederst på skærmen). Den personlige fane og arbejds fanen.

I den private del ligger alle mine mange private apps (samlet i mapper) og i arbejds delen ser du de apps, som min virksomheds IT-afdeling har rullet ud på min enhed.

Din virksomhed har, med deres EMM løsning, udrullet de forskellige apps, som de mener at du skal benytte i forbindelse med dit arbejde. Bemærk at disse apps har en lille lås i nederste højre hjørne.

Og for at gøre det endnu smartere, så kan du nu trække dine apps ud på dit “skrivebord”, hvor de vil ligge blandet sammen med dine private apps. Du har nu fx. 2 versioner af Microsoft Word eller Twitter.

Når du åbner en app med en hængelås, så kan din virksomhed have sat et password, som du lige skal indtaste for at komme til at benytte denne app. Ved at bruge den teknologi, som kaldes Single-Sign-On, så behøver du ikke taste dit password ind, hver gang du skal ind i en anden virksomheds app.

Din EMM administrator kan sætte nogle regler, der bla. forhindrer dig i at kopiere data fra virksomheds delen og over i dine private del.

Virksomheden har – afhængig af EMM løsning – ingen adgang til dine private data. De kan ikke se hvilke apps, som du har installeret. Og såfremt der ikke er lagt en VPN på datatrafikken, så kan de fx. heller ikke overvåge hvad du søger på.

Nogle enheder giver mulighed for DUAL-SIM, hvor det ene simkort måske er dit private og det andet er virksomhedens. Hvert simkort knyttes til henholdsvis den private- og arbejds delen.

Alle data og al trafik til arbejds delen vil være krypteret, og Google har gjort det således, at skulle man forsøge at komme ind på arbejds delen, så sikrer enhedens hardware mod dette.

Hvis du forlader virksomheden, så er det kun arbejds delen, som virksomheden kan/vil slette.

Konklusionen:

Den er – i mine øjne – og også Googles – ganske enkel: Ønsker en virksomhed at give deres medarbejdere adgang til virksomhedens data samt at kunne styre denne adgang, og samtidig lade medarbejderen benytte enheden privat, så er det smarteste løsning for begge parter: Android Enterprise Work Profile.

Dette gælder også for BYOD-enheder, altså medarbejdernes egne private enheder, som de gerne vil benytte. Det kunne være deres egen tablet. Jamen hvis blot medarbejderen vil tillade at virksomheden låner en lille del af enhedens hukommelse til Work Profile, så er dette også klaret.

Det er slut med to enheder. Nu kan virksomhederne give deres medarbejdere topmodellerne indenfor de forskellige Android smartphone producenter. Og mon ikke medarbejderne så lige checker en mail eller to, selvom de reelt har fri….

Android Enterprise Recommended

Bemærk dog, at for at kunne benytte denne funktion “Work Profile” så kræver det at din Android enhed er klar til dette. Dette har Google også råd for: de kalder enhederne “Android Enterprise Recommended”, forkortet AER, og vil have dette lille logo. Mere om dette i et kommende indlæg.