Przygotuj się na zmiany w trybie COPE w systemie Android 11! Drukuj

Zmodyfikowano dnia: pt, 28 Sie, 2020 o 11:41 RANO



Google od wielu lat wspiera korzystanie z urządzeń mobilnych w firmach, wprowadzając i rozwijając coraz to nowsze rozwiązania dedykowane biznesowi. Przedsiębiorstwa różnią się jednak swoim podejściem do urządzeń mobilnych i ich zarządzania, dlatego też Google opracował 4 różne strategie mobilności, które wszyscy znamy jako  BYOD (Bring Your Own Device), COPE (Corporate Owned, Personally Enabled), COBO (Corporate Owned, Business Only) oraz COSU (Corporate Owned, Single Use). (Możesz dowiedzieć się więcej o tych strategiach z artykułu). Teraz nadszedł czas, aby Google ponownie rozważyło podejście COPE i wprowadziło do tej strategii niezbędne zmiany, aby dostosować się do potrzeb użytkowników i w pełni zapewnić im prywatność oraz bezpieczeństwo. 

Czemu Google chce wprowadzić zmiany?

W ostatnim badaniu przeprowadzonym przez ESG research, aż 71% pracowników przyznało, że oczekuje, iż wszystkie prywatne dane na urządzeniu firmowym pozostaną prywatne i nienaruszone. Ta niechęć wobec pełnego zarządzania urządzeniami stwarza wiele wyzwań dla działów IT. W rzeczywistości obawa pracowników o ich prywatność jest głównym powodem, dla którego firmy nadal nie zarządzają urządzeniami mobilnymi:

Wiele użytkowników urządzeń mobilnych należących do przedsiębiorstwa ma obawy dotyczące prywatności – związane m.in. z użyciem aplikacji czy monitorowaniem całej aktywności na urządzeniu” – mówi Phil Hochmuth, VP ds. mobilności przedsiębiorstw. “Ze względu na tę obawę, 38% urządzeń firmowych używanych przez pracowników jest wciąż niezarządzana.”.

Co dokładnie się zmieni?

Aby zapewnić pełną prywatność pracownikom nie rezygnując jednak z zarządzania urządzeniem firmowym, Google wraz z nadejściem systemu Android 11 wprowadzi nowe rozwiązanie niejako bazujące jednocześnie na trybach COPE i BYOD. Nowe rozwiązanie będzie polegało na wdrożeniu profilu praca na urządzeniach służbowych – firma może więc wdrożyć ten profil na urządzeniu niezależnie od tego, czy jest ono własnością pracownika, czy pracodawcy. Do tej pory profil praca był dostępny w trybie BYOD, czyli kiedy urządzenie było własnością pracownika. Zmiana zdecydowanie pomoże w ochronie prywatności użytkowników poprzez zablokowanie niektórych ustawień, które mogą ją naruszać. 

Warto również wspomnieć, że ten, kto jest właścicielem urządzenia, decyduje, jak te urządzenie może zostać użyte. Jeśli jest to urządzenie pracownika (tryb BYOD), firma może wprowadzić jedynie podstawowe zasady bezpieczeństwa (np. uniemożliwienie użytkownikowi instalacji aplikacji z nieznanych źródeł) – tak było do tej pory i w tym zakresie nic się nie zmieniło. Jeżeli jednak to firma jest właścicielem urządzenia, może ona zabezpieczyć je w całości (również część prywatną), ale zarządzać jedynie częścią służbową. Innymi słowy, profil do pracy dostosowuje swoje możliwości zarządzania do tego, kto posiada urządzenie, oferując jednocześnie taką samą ochronę prywatności w obu przypadkach. 

Funkcjonalności, które NIE będą dostępne poprzez profil praca na urządzeniach firmowych: 

Zarządzanie urządzeniem: 

/ zablokowanie użytkownikowi możliwości przywrócenia ustawień fabrycznych,

/ wyłączenie blokady klawiatury,

/ reset hasła urządzenia, 

/ włącz/wyłącz usługę tworzenia kopii zapasowych,

/ nie zezwalaj użytkownikowi na konfigurację poświadczeń użytkownika,

Zarządzanie aplikacjami:

/ zarządzanie instalacją aplikacji w części prywatnej,

/ kontrola uprawnień w części prywatnej,

/ zablokowanie czyszczenia prywatnych danych aplikacji i pamięci podręcznych,

/ możliwość ustawienia domyślnej aktywności obsługującej intent,

/ możliwość ingerowania w aplikacje w części prywatnej,

/ restrykcje aplikacji dot. aplikacji prywatnych,

/ nadanie uprzywilejowanego dostępu do aplikacji w części prywatnej (zakres delegowany),

Zarówno wewnętrzne (prywatne) aplikacje jak i publiczne muszą być wdrożone jedynie w profilu do pracy.

Sieć: 

/ konfiguracja VPN dla części prywatnej, 

/ ustawienie VPN jako “zawsze włączonego” w prywatnej części,

/ ustawienie konfiguracji DNS dla całego urządzenia,

/ ustawienie globalnego proxy,

/ dodanie nadpisanego APN,

/ możliwość zablokowania użytkownikowi możliwości resetu sieci,

Logowanie:

/ prośba o raport o błędzie,

/ logowanie sieciowe.

Funkcjonalności, które NIE będą dostępne poprzez profil praca na urządzeniach firmowych w części prywatnej: 

/ podgląd listy zainstalowanych certyfikatów CA,

/ zainstalowanie CA użytkownika w części prywatnej,

/ zainstalowanie łańcucha certyfikatów i odpowiedniego klucza prywatnego,

/ wygenerowanie nowego publicznego / prywatnego klucza,

/ połączenie certyfikatów z kluczami.

Przykładowe funkcje, które będą dostępne poprzez profil praca na urządzeniu służbowym:

/ wyczyszczenie pamięci urządzenia,

/ ustawienie złożoności hasła,

/ kontrola polityki aktualizacji systemu,

/ wyłączenie możliwości zrzutu ekranu,

/ blokada pamięci zewnętrznej, 

/ blokada tetheringu,

/ blokada kamery,

/ blokada udostępniania danych pomiędzy kontenerami,

/ kontrola roamingu danych,

/ blokada użycia wiadomości SMS,

/ blokada kontroli Bluetooth,

/ blokada konfiguracji Wi-Fi,

/ ustawienie białej / czarnej listy aplikacji,

/ zawieszenie aplikacji.

Jak te zmiany zostaną zaimplementowane na urządzeniach?

Przedsiębiorstwa, które mają urządzenia ustawione w trybie COPE, będą miały dwie opcje: zmiana trybu na COBO, który nie zezwala na prywatne użycie urządzenia lub zaakceptowanie nowego trybu: profilu praca dla urządzeń służbowych.

Kiedy urządzenie zostanie zaktualizowane do systemu Android 11, profil automatycznie zmieni się na rozszerzony profil do pracy. Istniejące polityki, które wpływają na ustawienia prywatności, zostaną automatycznie usunięte. Aby został zainstalowany profil do pracy, nowe urządzenia muszą zostać dodane za pomocą zero-touch lub kodu QR. 

Czy FAMOC manage jest gotowy na zmiany w systemie Android 11?

Famoc pracuje nad koniecznymi zmianami w systemie FAMOC manage, aby zapewnić płynne przejście w nowy profil do pracy na urządzeniu firmowym. Od FAMOC manage w wersji 5.8 (wydanej w maju 2020 roku), wspieramy dodawanie urządzeń za pomocą zero-touch oraz kodu QR dla profilu do pracy. Dzięki temu każde urządzenie dodane w ten sposób, będzie gotowe na nadchodzące zmiany. Obecnie jesteśmy w trakcie wdrażania kolejnych zmian, o których będziemy informować na bieżąco na naszej roadmapie oraz za pomocą newsletterów.

Dowiedz się więcej o nadchodzących zmianach z wpisu na stronie Google oraz ze strony dla developerów


Czy ta odpowiedź była pomocna? Tak Nie

Wyślij opinię
Przykro nam, że nie byliśmy w stanie pomóc. Pomóż ulepszyć ten artykuł i prześlij swoją opinię.