Grundlæggende introduktion til disse enrollment værktøjer: For at gøre den initielle indrulning af mobile enheder i en organisation let for slutbrugerne, så bruger flere og flere IT-afdelinger værktøjerne:
- ADE (fra Apple, tidl. DEP),
- ZTE (fra Android og Chrome),
- KME (fra Samsung) og
- AutoPilot (fra Microsoft).
Men der er også en del forvirring omkring disse løsninger, så jeg tænker at jeg vil uddybe disse værktøjer i dette indlæg.
Hvorfor benytte disse værktøjer?
Der er flere grunde til dette.
Den primære grund er, at det letter den initielle indrulning af en masse fx. smartphones i en organisation betragteligt. I stedet for at slutbrugerne skal igennem en længere og omstændig proces med at downloade apps, gå igennem Next, Next og Godkend dit og dat og igen Next, Next, så kan slutbrugeren nu – med blot ganske få klik – få enheden indrullet i organisationens EMM løsning og dennes konti sat op.
Ved at bruge disse værktøjer, så kan man sende en ny enhed direkte ud til slutbrugeren. Den skal altså ikke forbi IT-afdelingen og sættes op. Dette gavner især store virksomheder med medarbejder spredt geografisk.
I dag kan man indrulle stort set alle typer af enheder ved hjælp af disse løsninger: Apple: iPhones, iPads, Macs, Apple-TV, iWatch, Android smartphones og tablets fra alle android leverandører (Samsung, Sony, Nokia, osv.), Chromebooks fra alle leverandører og endelig Windows PC’er, “Surfaces”, osv.
Hvad kræver det?
Grundstenen i det hele er en device management løsning (MDM-/EMM eller UEM-løsning), der understøtter disse værktøjer.
Det er EMM-løsningen, der opsætter enhederne, ruller apps, politiker og sikkerhed ud på enhederne. Det sker altså IKKE med disse enrollment værktøjer.
I ovenstående illustration har jeg markeret dette med bogstavet C. Bemærk at en organisation godt kan have flere forskellige device management løsninger!
Vil man benytte disse værktøjer i indrulningsfasen, så skal man have oprettet en konto på hver af disse portaler, i illustrationen markeret med bogstavet A. Dette er ganske gratis for alle portaler. Vejledninger kan findes på Apples, Android/Chrome’s og Microsofts hjemmeside. Bemærk at kun en certificeret partner, som COMM2IG, kan udføre den sidste del af oprettelsen.
Endelig SKAL organisationens enheder være indkøbt igennem en autoriseret forhandler, bogstavet B. Når en organisationen indkøber en masse enheder eller blot en enkelt iPhone igennem deres forhandlers webportal, så kan (kun) denne forhandler uploade enhedens unikke nummer til organisationens konto på de forskellige portaler.
Organisationen kan altså ikke selv uploade enheder købt i Den Blå Avis, udlandet eller hos en ikke autoriseret forhandler.
Device management løsningen
Som sagt, så er EMM-løsningen grundstenen. Organisationen skal have designet politiker, valgt apps, der skal udrulles, afklaret sikkerhedsregler og meget mere (3) inden man benytte enrollment værktøjerne.
En organisation kan godt have flere EMM-løsninger (bogstav C). For eksempel benytte Microsoft MEM (Intune) til administrationen, Samsung Knox Manage til enhederne i hjemmeplejen og Lightspeed og ChromeAdmin til skoleeleverne.
Ved at sende alle enhederne igennem ét værktøj, fx. én ZTE-konto, så kan organisationen, senere let flytte en enhed fra en EMM-løsning til en anden.
Har man ikke en EMM-løsning, så kan man stadigvæk tilmelde enhederne til disse værktøjer. De ligger så i “dvale” her indtil der på et tidspunkt tilknyttes en EMM-løsning. Bemærk dog, at en enhed skal have været igennem en komplet nulstilling for at funktionerne i disse værktøjer aktiveres.
Enrollment portalerne, hvordan virker de?
De certificerede forhandlere uploader som sagt de indkøbte enheders unikke nummer til disse portaler. Og nu forudsætter vi, at organisationen har en eller flere EMM-løsninger:
Nu kan administrator logge ind på disse værktøjer (A) og gøre 3 ting:
- oprette en automatisk profil for alle enheder, der kommer ind på portalen. Profilen sender alle enheder videre til én bestemt EMM-løsning.
- oprette regler, der sender en type af enheder ned til én EMM-løsning og andre til en anden. Dette kan fx. også være bestem ud fra forhandleren, mv.
- manuelt sende en eller flere enheder videre til en bestemt EMM-løsning (eller flytte fra en løsning til en anden).
Disse profiler bør sættes op INDEN man påbegynder en udrulning.
Når EMM-løsningen er klar med en eller flere profiler (C) og når der er fastsat en profil i enrollment værktøjerne (A), så er det tid til at rulle enhederne ud til slutbrugerne.
Enrollment for processen for slutbrugeren
Når medarbejderen modtager sin nye Samsung smartphone og pakker den ud af æsken, så er alle systemer klar.
På nogle nyere enheder banker man 6 gange på det første skærmbillede, som man møder første gang man tænder enheden. Nu tændes en QR-scanner. Medarbejderen scanner nu den fremsendte QR-kode og straks herefter opsættes bl.a. internetforbindelsen.
Ellers så vælger man sprog og vælger et WiFi-punkt (Kan også være via SIM-kortets dataforbindelse) og trykker Næste.
Nu går enheden automatisk via internettet op på disse portaler (step 1) og checker om enhedens unikke nummer (serie- eller IMEI-nummer) findes på portalen. Denne proces kan slutbrugeren ikke afbryde!
Findes nummeret IKKE, så fortsætter den helt almindelige opstart af enheden.
Men findes nummeret på portalen, OG peger en profil enheden ned mod en EMM-løsning, så dirigeres (step 2) enheden automatisk ned til organisationens device management løsning (step 3).
Herfra udrulles nu (step 4) den profil, de valgte apps, sikkerhedsregler, osv. ud på enheden. Dette kan tage alt fra ganske få minutter til 5-10 min., afhængig af internetforbindelsen og antallet af apps, politiker, mv.
Normalt sker der så det at det næste slutbrugeren får et et skærmbillede, der beder denne om at logge ind på organisationens mailsystem med emailadressen og passwordet dertil.
Herved er slutbrugere let og nemt indrullet i organisationens device management løsning. Har fået udrullet og opsat alle apps, herunder adgange til respektive systemer.
Min konklusion: For det fleste organisationer vil det absolut være en fordel at benytte disse værktøjer til at varetage den initielle indrulning. IT afdelingen skal ikke have enhederne forbi afdelingen og sætte dem op. Dog skal man forholde sig til EMM-løsningernes håndtering af enheder, som medarbejderen også må benytte privat (COPE-enheder), da der er GDPR-relaterede forhold, som der skal tages højde for.
Hvor mange organisationer tidligere måtte oprettet et Apple-ID pr medarbejder eller benytte gavekort, når en medarbejder skulle købe en app over deres private Apple-ID, så er dette ikke længere nødvendigt. Nu kan organisationen nøjes med ét Apple-ID, Google Play-ID, osv. til at styre alle enheder tilmeldt organisationen.
Fordele og ulemper ved at benytte disse værktøjer:
Jeg vil lige runde af med at fremhæve nogle flere fordele, men også gøre opmærksom på nogle af de væsentlige bagdele ved disse værktøjer:
Fordele:
- Tyverisikring!: Skulle en enhed blive stjålet, så vil en tyv forsøge at nulstille enheden tilbage til fabriksindstillingerne. Men når tyven så genstarter enheden, så går enheden automatisk op på portalen (step 1) og videre til EMM-løsningen (step 3). Her kan IT-afdelingen have lavet en ny profil, der udruller et foto, der fortæller tyven, at enheden kommer aldrig ud af dette loop.
- Det er kun nødvendigt at oprette ét Apple-ID, én Google-konto, osv. til at styre alle enhederne, indkøbe og udrulle apps på samtlige enheder, osv.
- Apple enheder bliver i step 2 sat i “Supervised Mode”, som giver IT-administratoren og device manegement løsningen flere håndterings muligheder. Fx. kan IT-afdelingen låse en enhed op, selv om at slutbrugeren har glemt koden til deres private Apple-ID.
- Det er let at flytte en enhed fra en person og over til en anden. Enheden skal blot fabriksnulstilles, hvorefter den automatisk gennemløber step 1 til 4, hvorefter der blot skal indtastes brugernavn og password på den nye person.
- Det er let at flytte en enhed fra en afdeling og måske EMM-løsning og over til en anden. Enheden skal blot peges ned til den rette EMM-løsning (inde på portalen A) og derefter fabriksnulstilles.
- Langt de fleste device management løsninger understøtter disse værktøjer, hvorved det bliver let for organisationerne at styre alle de forskellige enheder via én EMM-løsning.
- Slutbrugerne kan stadigvæk bruge deres eget private fx. Apple-ID og installere private apps, købe musik, betale med Apple Pay, osv. Men organisationen har mulighed for at “override” dette igennem organisationens styrende Apple-ID.
Bagdele:
For der er også nogle bagdele ved at bruge disse værktøjer:
- Irriterende, når en enhed skal til reparation. Her kræver værkstedet oftest at de skal kunne komme ind og kontrollere enheden. Derfor skal IT-afdelingen ind på EMM-løsningen (C) og fjerne den pålagte profil, samt ind på enrollment portalen (A) og fjerne den “pegepind”, der sender den pågældende enhed ned til EMM-løsning.
Når enheden så kommer retur, så skal IT-afdelingen udføre det samme, blot omvendt. - Bør ikke benyttes ved private enheder (BYOD). For eksempel så giver “supervised Mode” IT-afdelingen flere muligheder, som fx. en fuld nulstilling af enheden.
Hvis medarbejderen ønsker at fabriksnulstille sin enhed (fx. med henblik på salg eller overdragelse), så skal slutbrugeren have assistance fra IT-afdelingen. Dette gælder også ved reparationer. - Nogle EMM-løsninger skelner ikke imellem privat installerede apps og apps, der er rullet ud fra IT-afdelingen. Det betyder, at IT-afdelingen vil kunne se hvilke private apps, som slutbrugeren har installeret. Det kunne være private apps, som Tinder, Grinder, religiøse apps, apps om graviditet, osv. Med andre ord apps, der giver indsigt i slutbrugerens privatliv. Her vil være tale om en overtrædelse af GDPR reglerne.
- På Apple enheder bliver en enrollet enhed “fully managed” i de fleste EMM løsninger, hvorved at IT-afdelingen også kan administrere den private del af en COPE/BYOD enhed.
På Android enheder skal man tilsikre at EMM-løsningen understøtter opsætning af COPE-forhold på enheden, (Dvs. bl.a. Work Profile). - Man kan ikke tilmelde enheder, som ikke er købt igennem en autoriseret danske forhandler til disse værktøjer.
En kommentar til “Grundlæggende introduktion til enrollment værktøjerne: ADE, ZTE, KME, osv.”
[…] Hvis du er bekendt med begreberne Apple Automated Device Enrollment, Samsungs Knox Mobile Enrollment eller Android og Chromebooks Zero Touch Enrollment, så dækker Autopilot i store træk over sammen enrollment proces blot på Windows enheder. Se tidligere indlæg om dette. […]