Vor einigen Wochen im September 2020 hat Google Android 11 veröffentlicht. Während große Betriebssystem-Updates dieser Art in den letzten Jahren immer einen gewissen Einfluss auf Enterprise-Kunden hatten, ist der Sprung auf Android 11 in bestimmten Anwendungsfällen sehr groß. Weniger von Anwender-Seite, eher in Bezug auf die Art und Weise, wie die Geräte verwaltet werden und im positiven Sinne die Privatsphäre der Nutzer. Im folgenden Eintrag werde ich die einige Themen anschneiden, ein Rundum-Update würde an dieser Stelle zu viel Platz in Anspruch nehmen und deutlich mehr Zeit erfordern:
- Android 11 – Fokus auf Privatsphäre
- Android Enterprise COPE – ein neuer Ansatz
- Android Device Admin – Einstellung des Modus
- Android 10 und Device Admin – Achtung!
- Weiter führende Informationen
1. Android 11 – Fokus auf Privatsphäre
Google fährt seit Jahren einen sehr klaren Weg auf Android um die Privatsphäre der Anwender stetig zu verbessern. Häufig sind dies Änderungen, die primär einen Einfluss auf Privatnutzer haben, bspw. neue Einschränkungen in Android 11 im Bereich Lokations-Tracking. In Bezug auf Android Enterprise gibt es jedoch bei neusten Google Release auch eine große Änderung. Der Android Enterprise COPE (Corporate Owned, Personally Enabled) Modus, der mit Android 8 eingeführt wurde und auch für Android 8 – Android 10 bestehen bleiben wird, verschwindet in der Form wie er bekannt ist und wird durch das Enhanced Work Profile ersetzt.
Was bedeutet dies im Detail? In der oben aufgeführten Grafik ist auf der linken Seite aufgezeigt, wie Google den Android Enterprise Ansatz bisher gelebt hat, rechts ist der neue Ansatz. Im ersten Fall ist zu sehen, dass die Device Ownership das Entscheidungskriterium ist, welchen Management-Modus ein Gerät erhält. Im zweiten Fall ist zu sehen, dass diese Entscheidung nun unter Berücksichtigung der Frage gefällt wird, ob für den Anwender Privatsphäre im Fokus steht oder nicht. Das hat in der Praxis zur Folge, dass der klassische COPE Modus durch den neuen Modus Enhanced Work Profile auf Android 11 ersetzt wird.
Für den Anwender verläuft die Migration transparent, aktualisiert ein Gerät von Android 10 auf Android 11 sind erst einmal keine wesentlichen Änderungen in Bezug auf die Enterprise-Nutzung sichtbar. Unter der Haube wurde jedoch dem Agent Workspace ONE Intelligent Hub das Recht entzogen, auf der privaten (= Work Managed) Seite viele Schnittstellen ansteuern zu können. Eine vollständige Liste kann in der VMware Knowledge Base im Eintrag 79915 eingesehen werden. Unternehmen, denen die Möglichkeiten im Enhanced Work Profile zur Kontrolle des Geräts nicht weit genug gehen, müssen in den Work Managed (Device Owner) Modus wechseln. Ein direkter Migrationspfad ist hier mit Workspace ONE nicht möglich, das Gerät muss zurückgesetzt und neu enrolled werden.
Eine Alternative bzw. ergänzende Lösung ist bei einzelnen Android OEMs in Planung, um auch in Zukunft eine Art App Separation, wie vom klassischen COPE gewohnt, zu ermöglichen.
2. Android Enterprise COPE – ein neuer Ansatz
Auf Workspace ONE Seite sind diverse, teils sehr komplexe Vorbereitungen getroffen worden, um den neuen Modus zu unterstützen. Folgende Rahmenbedingungen müssen vor (!) eines Updates des Geräts zu Android 11 vorhanden sein – ist dies nicht der Fall, kann das Gerät nicht mehr sauber verwaltet werden und muss sich ebenfalls neu enrollen:
- Workspace ONE UEM 20.5.0.23 oder Workspace ONE UEM 20.08 im Backend
- Workspace ONE Intelligent Hub 20.08 oder neuer
- COPE 1.5 Modus über Custom XML aktiviert (mehr Infos im KB 79915)
Der COPE 1.5 Modus bedarf etwas Erklärung: Um die Migration von Android 10 COPE auf Android 11 Enhanced Work Profile zu unterstützen, muss der COPE Modus praktisch ein Upgrade erhalten. Folgendes gilt:
- Hierbei sind Geräte mit Hub 20.08 (ohne Custom XML) im COPE 1.0 Modus.
- Wird das Custom XML zugewiesen, wird das Gerät auf COPE 1.5 aktualisiert. Alternativ ist geplant, den COPE 1.5 Modus im Hub 20.10 per Default zu aktivieren
und in den kommenden Wochen für Geräte mit Hub 20.09 über eine Firebase Remote Config den Modus autmatisch aus der Ferne zu aktivieren.[Update: COPE 1.5 wird vorerst nicht über eine Firebase Remote Config automatisch aktiviert. Updates zur weiteren Planung folgen.] Achtung, es kann hierbei zu einer Benachrichtigung auf dem Gerät kommen – siehe KB 80582 - Wie in KB 79915 erwähnt, soll das Custom XML im Moment nur zu Testzwecken genutzt werden.
- Das Custom XML hat zum Zweck bestehende Devices auf COPE 1.5 zu aktualisieren. Ein Auto Assignment ist nicht empfohlen, insbesondere in Bezug auf neue Enrollments.
- Wird das Gerät auf Android 11 unter Berücksichtigung der Voraussetzungen aktualisiert, ist es im COPE 2.0 Modus.
In der Workspace ONE Konsole kann der COPE Status in den Device Details > Custom Attributes ausgelesen werden.
Alle Android Geräte im COPE Management Modus werden auf COPE 1.5 migriert, auch Geräte, die nie Android 11 als Systemupdate erhalten werden, damit ein konsistenter Management-Ansatz gegeben ist. Bei Fragen empfiehlt es sich, einen Support Request zu eröffnen oder falls vorhanden mit dem TAM/CSM/SAM/SE auf VMware Seite in Kontakt zu treten.
3. Android Device Admin – Einstellung des Modus
Eine weitere Änderung, die mit den Änderungen rund um Android 11 im Zusammenhang steht aber technisch keine direkte Abhängigkeit hat, ist die Einstellung des Android Device Admin Management Ansatz. Dies wird zum 31. März 2022 seitens VMware umgesetzt – siehe dazu auch KB 80791. Dieser Schritt wird erforderlich, da Google ein höheres API Level im Workspace ONE Intelligent Hub erfordert. Mit dem Intelligent Hub 20.09 im Device Admin Modus ist das API Level 29 erstmalig umgesetzt, was zur Folge hat, dass unter Android 10 folgende APIs nichts mehr angesteuert werden können:
- USES_POLICY_DISABLE_CAMERA
- USES_POLICY_DISABLE_KEYGUARD_FEATURES
- USES_POLICY_EXPIRE_PASSWORD
- USES_POLICY_LIMIT_PASSWORD
Google hat diese Änderungen vor mehr als einem Jahr im Kontext der Android 10 Updates angekündigt, daher sollte dieser Schritt nicht zu überraschend erfolgen.
4. Android 10 und Device Admin – Achtung!
Eine weitere Änderung umfasst den Punkt, dass Enrollments mit dem Hub 20.10 unter Android 10 nicht mehr möglich sein werden – da eben ein sauberes Management auf Grund der fehlenden Schnittstellen nicht weiter möglich ist, werden neue Enrollments geblockt werden. Geräte niedriger als das Release Android 10 sind hiervon nicht betroffen und können weiter wie gewohnt bis zum 31. März 2022 gemanaged werden. Workspace ONE UEM wird in neu provisionierten SaaS Umgebungen den Android Legacy Modus später in 2020 als Teil eines neuen Release nicht mehr unterstützen. Kunden sind dazu angehalten, ausschließlich Android Enterprise zu nutzen.
Für Bestandsgeräte ist folglich kein Einfluss vorhanden, neue Device Admin Enrollments weiter wie gewohnt bis zum 31. März 2022 gemanaged werden, sofern sie den aufgeführten Rahmenparametern enrolled wurden.
5. Weiter führende Informationen
Android 11 hat weitere, wichtige Änderungen an Bord. Entwickler sollten sich bspw. mit dem Thema Scoped Storage umgehend anfreunden, wenn noch nicht geschehen. Allerdings gibt es auch im Bereich Notifications, Screen Recording, Gestensteuerung, Smart Home oder eben der Privatsphärensteurung wichtige Änderungen.
VMware bereitet Kunden mit den folgenden KB-Einträgen auf die anstehenden Neurungen vor:
Getting Ready for Android 11 (78104)
https://kb.vmware.com/s/article/78104?lang=en_US
[URGENT] Changes to Corporate Owned Personally Enabled (COPE) in Android 11 (79915)
https://kb.vmware.com/s/article/79915?lang=en_US
Announcing end of support for device administrator (Android Legacy) in Workspace ONE UEM (80971)
https://kb.vmware.com/s/article/80971?lang=en_US
Users of Corporate-Owned Personally Enabled (COPE) devices may be prompted to remove Internal Apps after upgrading Intelligent Hub to 20.08+ (80582)
https://kb.vmware.com/s/article/80582?lang=en_US
Allgemein gilt, im Zweifel bitte mit dem jeweiligen VMware Kontakt in Verbindung treten.
Julius Lienemann 