Android Entreprise, une migration à prévoir
La gestion des périphériques mobiles est à présent aussi importante que celle des ordinateurs. En effet, un smartphone est un outil de travail tout comme un ordinateur, on peut y retrouver un bon nombre d’applications de travail, consulter/envoyer des mails, accéder aux données de l’entreprise, mais aussi utiliser des applications de collaboration comme Teams. Il est donc impératif de pouvoir gérer cet accès aux données depuis les smartphones, que ce soit dans un objectif légal, pour être en conformité avec la législation, mais aussi pour la sécurité, éviter le vol de données, d’identités… Les constructeurs ont su s’adapter à ce besoin, ainsi que les développeurs, permettant d’avoir un MDM (Mobile Device Management) afin de gérer la flotte mobile, et de la sécuriser. On retiendra ainsi deux grandes familles, les appareils Apple et les appareils Android. Nous allons nous attarder sur ce dernier qui propose plusieurs types de management, avec Android Entreprise. Nous allons voir ici pourquoi il faut migrer vers Android Entreprise si vos appareils sont en Android Device Admin qui était le mode de gestion par défaut.
Android Device Admin
Android Device Admin est le mode de management historique d’Android. Celui-ci a été développé pour gérer les Android depuis la version Android 2.2 Froyo. Ce mode de gestion donnait au MDM la permission d’effectuer des actions à distance, comme une réinitialisation d’usine, suppression du code de déverrouillage ou de configurer l’application mail native d’un smartphone Android. Au fur et à mesure des versions d’Android, le Device Admin s’est enrichi de nouvelles fonctionnalités pour gérer les appareils à distance. Cependant, ce mode de gestion est assez lourd à installer sur les appareils, et les fonctionnalités proposées semblent pour la plupart incomplète, par exemple, l’impossibilité de faire installer une application silencieusement, l’utilisateur est obligé de faire une action, impliquant ainsi d’avoir un compte Google. De plus, ce mode n’est plus maintenu par Google, et les configurations possibles sur ce mode commencent à être retirées des MDM, par exemple sur Intune, ne plus avoir la possibilité d’évaluer la conformité des Android, ce qui peut être un véritable enjeu de sécurité ! En effet, il ne sera bientôt plus possible de configurer du Wifi ou d’effectuer des actions à distances sur les téléphones enrôlés en mode Android Device Admin, et cela, pour inciter les services informatiques à se diriger vers Android Entreprise.
Android Entreprise
Android Entreprise est un mode de gestion des téléphones différent de Android Device Admin. De nouvelles fonctionnalités sont disponibles via ce mode de gestion offrant une facilité de gestion, une sécurisation plus poussée et de nombreuses actions à distance comme la possibilité de supprimer le code de déverrouillage en cas d’oubli d’un utilisateur. Ce mode offre plusieurs avantages, dont la possibilité d’avoir une gestion différente via les types d’Android Entreprise. Il faut donc être à même de différencier ces différents types.
- Android for Work : ce mode va déployer un espace For Work sur le smartphone. C’est comme une VM que l’administrateur pourra contrôler à distance tout en laissant une partie personnelle sur le périphérique. Ce mode est adapté aux scénarios BYOD. L’administrateur ne pourra avoir accès ni contrôlé l’espace personnel.
- Android Fully Managed : ce mode s’installe à la première ouverture du téléphone. L’administrateur contrôle l’intégralité du smartphone, allant jusqu’à pouvoir bloquer l’accès au PlayStore. Ce mode est prévu pour des appareils appartenant à l’entreprise sur lesquels on souhaite avoir un niveau de configuration poussé.
- Android Corporate Owned Personaly Enabled (COPE) : ce mode est similaire à Android for Work. Il y aura un espace For Work et un espace personnel sur le périphérique à la différence que l’administrateur peut contrôler et supprimer tout ce qu’il y a sur la partie personnelle du téléphone. Tout comme Fully Managed, ce mode est à considérer uniquement pour des appareils appartenant à l’entreprise.
Android Kiosk : a mettre en place avec le launcher de Microsoft, Managed Home Screen (application que l’on peut gérer à distance qui va modifier l’interface d’Android), ce mode permet de faire du single app, voir du multi app en ayant de nombreuses options de configuration, par exemple la taille et l’emplacement des icônes d’application sur le bureau. Cependant, ce mode est actuellement en preview, il n’est pas recommandé de le mettre en production.
Une migration à prendre en compte
Google a annoncé il y a quelque temps la fin du support du mode Android Device Admin. Il est à présent temps de migrer les appareils enrôlés comme Device Admin vers Android Entreprise et l’un de ses modes de gestion (Android For Work, Fully Managed, COPE). Attention cependant, si vous souhaitez migrer vers les modes Fully Managed et COPE, il faut prendre en compte un prérequis de taille, le téléphone doit être réinitialisé. En effet, si on veut avoir la couche Fully Managed ou COPE, le téléphone doit être réinitialisé car Android Entreprise s’installe différemment qu’un Android classique. Cependant, si la réinitialisation ne peut pas être envisagée, il est possible de migrer les téléphones Android Device Admin vers le mode Android For Work de manière assez simple. Nous pouvons mettre en place une stratégie qui demandera directement à l’utilisateur, sur son périphérique, de procéder à la migration. Cette migration consistera à lui retirer le MDM du téléphone et de le réinstaller avec la couche Android For Work. Même si l’opération est simple pour l’utilisateur, n’ayant qu’à appuyer sur suivant, il est tout de même important de bien communiquer sur la migration et de faire en sorte que l’espace For Work qui va s’installer récupère l’ensemble des données professionnelles auxquelles l’utilisateur a besoin d’accéder pour sa productivité. Tout ce travail de préparation peut se faire à partir du portail Intune depuis la console Microsoft Endpoint Management. Cela consistera à reconfigurer les profils de configuration, applications et conformité pour la partie Android For Work/Android Entreprise. Nous recommandons par la même occasion de couper l’inscription sur Intune avec Android Device Admin et de prévoir un cycle de vie des appareils Android via les modes Android Entreprise.
Conclusion
Suite aux annonces de Google, il est normal de voir les MDM commencer à retirer des éléments de configurations sur la gestion des appareils Android Device Admin. Il devient important d’anticiper une migration pour les appareils existants qui sont gérés en Android Device Admin, et pour les nouveaux appareils, considérer un des modes Android Entreprise et construire ses stratégies de configuration autour de ces modes.