מידע על ניהול מכשירי Android באמצעות ניהול נקודות קצה ב-Google

ניהול נקודות קצה ב-Google‏ (GEM) מספק דרך נוחה לנהל את המכשירים של הארגון באותו מסוף Google Admin שבו מנהלים את האבטחה, השירותים והחשבונות של Google Workspace. אפשרויות הניהול שזמינות לכם במכשירי Android תלויות בגורמים הבאים:

איך המכשירים מוגדרים
אם המשתמש במכשיר כפוף לניהול בסיסי או מתקדם של מכשירים ניידים
אם מוסיפים את המכשירים למלאי שבבעלות החברה
רישיון Google Workspace שהוקצה למשתמש במכשיר

במאמר הזה נציג הרבה מונחים שקשורים לניהול מכשירים. אם תלכו לאיבוד, תוכלו להיעזר ברשימת המילים בסוף הדף הזה.

ניהול נקודות קצה ב-Google לעומת Android Enterprise

‫Android Enterprise היא חבילה של ממשקי API, כלים למפתחים ותכונות לאדמינים שמאפשרים לספקים של ניהול מכשירים ושירותי מובייל בארגון (EMM) לנהל מכשירי Android. מידע נוסף על Android Enterprise

‫GEM הוא ספק EMM שמציע הרבה מהתכונות שזמינות דרך Android Enterprise. עם זאת, הם נפרדים. יכול להיות שב-Android Enterprise יש יותר תכונות שספקי EMM יכולים להטמיע מאשר ב-GEM. כדי להתעדכן בתכונות חדשות ב-GEM, אפשר לעיין במאמר מה חדש בניהול נקודות קצה ב-Google.

הרשאות לניהול Android

האפשרויות שיש לכם בספק ה-EMM לניהול מכשירי Android והמידע שאתם מקבלים על המכשירים האלה תלויים באופן ההגדרה של המכשירים. ההגדרה קובעת את הרשאות הניהול שלכם.לארגון יכולות להיות אחת מההרשאות הבאות במכשיר:

בעלי המכשיר – המכשיר מוגדר לשימוש לעבודה בלבד, ויש לכם שליטה מלאה במכשיר. במצב הזה יש לכם הכי הרבה שליטה בנתונים ובאפליקציות במכשיר, והוא הכי מתאים לארגונים עם דרישות אבטחה גבוהות.

הערה לגבי 'בעלות על המכשיר': מכשיר שיש לכם בו הרשאות של בעלי המכשיר יכול להיות מכשיר שהארגון רכש וסיפק למשתמש, כמו מכשיר שהוגדר באמצעות רישום ללא מגע כשימוש לעבודה בלבד. או שמדובר במכשיר אישי של משתמש שהוגדר למטרות עבודה בלבד. ב-GEM, ההגדרה של 'מכשירים בבעלות החברה' לא מבוססת על הרשאות הניהול שלכם. מכשירים בבעלות החברה הם מכשירים שמוסיפים את המספרים הסידוריים שלהם למלאי שבבעלות החברה. בדרך כלל אלה מכשירים שהארגון רכש ויש לו הרשאת בעלים עליהם.
בעלים של הפרופיל – במכשיר יש פרופיל עבודה מנוהל שמופרד מהמרחב האישי של המשתמש (מידע נוסף על פרופילי עבודה מופיע בקטע הבא). יש לכם שליטה באפליקציות ובנתונים בפרופיל העבודה, אבל לא במרחב הפרטי. כדאי להשתמש במצב הזה אם הארגון רוצה סביבת עבודה שבה העובדים מביאים את המכשיר שלהם לעבודה (BYOD).

הערה: Android Enterprise תומך עכשיו בפרופילי עבודה במכשירים בבעלות החברה, אבל GEM לא תומך בהגדרה הזו.
אדמין במכשיר –(הוצא משימוש, לא זמין ב-Android 10 ואילך, לא נתמך במכשירים במסגרת GEM לניהול מתקדם של מכשירים ניידים) למשתמש יש חשבון מנוהל במרחב האישי במכשיר.

חלק מהכלים וההגדרות של GEM תלויים בהרשאה שיש לכם במכשיר. לדוגמה, אם יש לכם הרשאת בעלים של הפרופיל במכשיר, אתם יכולים לאפס את חשבון העבודה במכשיר, אבל לא את כל הנתונים במכשיר.

כדי לבדוק את הרשאת הניהול שיש לכם למכשיר, פותחים את דף הפרטים של המכשיר במסוף Admin. פרטים נוספים מופיעים במאמר בנושא צפייה בפרטים של מכשיר נייד.

פרופילי עבודה ב-Android

פרופילים של עבודה ב-Android מספקים למשתמשים פרטיות לנתונים ולאפליקציות האישיים במכשיר אישי שמשמש אותם גם לעבודה. פרופיל העבודה מאפשר לחשבון המנוהל ולאפליקציות להתקיים במרחב נפרד שלניהול המכשיר אין גישה אליו. הרשאת הניהול של הארגון היא בעלים של הפרופיל.

כשמפעילים את הניהול המתקדם של מכשירים ניידים ב-GEM, המשתמשים מתבקשים להגדיר פרופיל עבודה כשהם מוסיפים את החשבון המנוהל שלהם למכשיר Android אישי (BYOD). מידע נוסף על הגדרת פרופיל עבודה על ידי משתמש זמין במאמרים הגדרת Google Workspace במכשיר Android ומהו פרופיל עבודה?.

אפשר להגדיר רק פרופיל עבודה אחד בכל מכשיר.

אם אתם לא רוצים לדרוש מהמשתמשים להגדיר פרופיל עבודה, אתם יכולים להגדיר ניהול בסיסי של מכשירים ניידים ליחידה הארגונית שלהם. אם כבר הפעלתם ניהול מתקדם של מכשירים ניידים, אתם יכולים לעבור לניהול בסיסי של מכשירים ניידים. בניהול בסיסי של מכשירים ניידים, לא יהיו לכם כל כך הרבה תכונות ניהול. מידע נוסף על ההבדלים מפורט בקטע הבא.
אם משתמש צריך יותר מחשבון מנוהל אחד במכשיר, למשל משתמש שיש לו חשבון עבודה "רגיל" וחשבון אדמין, צריך להוסיף אותו ליחידה ארגונית שהוגדר בה ניהול בסיסי של מכשירים ניידים.

הערה: GEM לא תומך במכשירים עם הרשאת בעלות על המכשיר, למרות שההגדרה הזו היא כעת אפשרות ב-Android Enterprise.

ניהול בסיסי לעומת ניהול מתקדם של מכשירי Android

בניהול נקודות הקצה ב-Google יש 3 רמות של ניהול מכשירים ניידים: בסיסי, מתקדם או ללא ניהול. אפשר להגדיר את רמת ניהול המכשירים הניידים למשתמשים לפי יחידה ארגונית. אפשר גם להחיל את ההגדרה רק על סוגים מסוימים של מכשירים שמשמשים משתמשים ביחידה הארגונית, באמצעות האפשרות מותאם אישית. לדוגמה, יכול להיות שמכשירי Android יהיו תחת ניהול מתקדם של מכשירים ניידים, מכשירי אייפון ואייפד (iOS) יהיו תחת ניהול בסיסי של מכשירים ניידים, ומכשירי iOS שמשתמשים ב-Google Sync יהיו תחת ניהול בסיסי של מכשירים ניידים.

חשוב: אתם מגדירים את ההגדרה לניהול ניידים לפי משתמש – החשבון שנוסף למכשיר – ואם רוצים, גם לפי סוג המכשיר. אי אפשר להגדיר את רמת הניהול של מכשירים ניידים עבור קבוצה ספציפית של מכשירים, בלי קשר לחשבון משתמש.

ניהול בסיסי של מכשירים ניידים

הניהול הבסיסי של מכשירים ניידים מופעל כברירת מחדל. באמצעותו אפשר להגדיר דרישות בסיסיות לקוד גישה, לנהל אפליקציות (ב-Android בלבד) ולקבל פרטים על מכשירים עם חשבונות לצורכי עבודה. היא לא מחייבת את המשתמש להתקין במכשיר שלו אפליקציית ניהול או להגדיר פרופיל עבודה, והיא יכולה להתקיים לצד חלק מספקי EMM של צד שלישי. אם רוצים להשתמש ב-GEM כספק EMM, לניהול בסיסי של מכשירים ניידים יש רק אפשרויות אבטחה מוגבלות. פרטים נוספים זמינים במאמר בנושא השוואה בין תכונות של ניהול מכשירים ניידים.

ניהול מתקדם של מכשירים ניידים

כדי להשתמש בכל התכונות המתקדמות של נקודות קצה ובתכונות של נקודות קצה לארגונים, צריך להפעיל ניהול מתקדם של מכשירים ניידים. כדי לאכוף מדיניות אבטחה, המשתמש צריך להגדיר לקוח ניהול במכשיר שלו, ובמכשירים אישיים, להתקין פרופיל עבודה.

הערה: ניהול מתקדם של מכשירים ניידים לא יכול להתקיים לצד פתרונות EMM אחרים, אלא רק לצד GEM.

ללא ניהול מכשירים ניידים (לא מנוהלים)

גם אם ניהול המכשירים הניידים מושבת במכשירי Android, עדיין אפשר לאפשר למשתמשים להוסיף את החשבון שלהם לצורכי עבודה למכשיר ולגשת לנתוני העבודה שלהם. עם זאת, אין לכם אפשרויות ניהול. אי אפשר לאפס את נתוני חשבון העבודה במכשיר אם המכשיר אבד או נגנב, אי אפשר לדרוש סיסמה, והמכשירים לא מופיעים ברשימת המכשירים במסוף Admin.

בעלות על המכשיר

חלק מהתכונות של GEM חלות רק על מכשירים שהגדרתם כמכשירים בבעלות החברה במסוף Admin. כדי להגדיר אותם כמכשירים בבעלות החברה, מוסיפים מכשירים למלאי שבבעלות החברה. לדוגמה, כדי ש-GEM ותכונות האבטחה שמשויכות אליו, כמו גישה מודעת-הקשר, יזהו מכשיר ככזה שנמצא בבעלות החברה, צריך להוסיף אותו למלאי של החברה.

הבעלות הזו של החברה נפרדת מהרשאת הניהול של הבעלים של המכשיר, וגם מהשאלה אם הארגון רכש את המכשיר (הוא הבעלים הפיזי שלו).

הרשמה דרך הארגון

הרשמה דרך הארגון (ZTE) היא תכונה של Android Enterprise שמאפשרת לארגונים להגדיר באופן אוטומטי מכשירים בניהול מלא עבור משתמשים. הוא נפרד מניהול נקודות קצה ב-Google, אבל אפשר להשתמש בניהול נקודות קצה ב-Google כדי לנהל מכשירים שהוגדרו בדרך הזו.

ב-ZTE, הארגון קונה מכשירים ממפיצים נתמכים ומגדיר תצורה שמוחלת באופן אוטומטי כשהמשתמש מוסיף את החשבון שלו למכשיר.

כדי לנהל מכשירי ZTE באמצעות GEM, המשתמשים במכשירים האלה צריכים להיות ביחידות ארגוניות שמופעל בהן ניהול מתקדם של מכשירים ניידים (לפחות למכשירי Android). לארגון יהיו הרשאות ניהול של בעלי מכשיר, אבל GEM לא יתייחס אליהם כמכשירים בבעלות החברה אלא אם תוסיפו את המכשירים למלאי של מכשירים בבעלות החברה. פרטים נוספים זמינים במאמר בנושא פריסת מכשירי Android באמצעות הרשמה דרך הארגון.

מידע נוסף על ZTE באופן כללי זמין במאמר הרשמה דרך הארגון לאדמינים ממחלקת ה-IT.

רשימת מילים

מונחים שקשורים לניהול נקודות קצה ב-Google

ניהול מתקדם של מכשירים ניידים – הגדרת הניהול של מכשירים ניידים שמאפשרת לכם יותר שליטה במכשירים של המשתמשים, כמו שליטה בגישה לרשתות ולאפליקציות, הגדרות אבטחה ומידע נוסף על המכשירים האלה.
ניהול בסיסי של מכשירים ניידים – הגדרת הניהול של מכשירים ניידים שמאפשרת לכם שליטה מינימלית במכשירים של המשתמשים.
בבעלות החברה – מכשיר שמוסיפים למלאי בבעלות החברה במסוף Admin.
ניהול נקודות קצה (endpoint) של Google‏ (GEM) – הספק של ניהול מכשירים ושירותי מובייל בארגון (EMM) שכלול ב-Google Workspace וב-Cloud Identity, וזמין במסוף Google Admin.

מונחים שקשורים ל-Android

‫Android Enterprise – התכונות והכלים שמפתחים של ניהול מכשירים ושירותי מובייל בארגון (EMM) משתמשים בהם כדי לתמוך בניהול מכשירי Android באמצעות EMM.
עובדים מביאים את המכשיר שלהם לעבודה (BYOD) – מכשיר אישי שמשתמש מוסיף אליו את חשבון העבודה שלו.
בעלי המכשיר – הרשאת הניהול שמאפשרת לספק ניהול הניידות הארגונית שליטה מלאה במכשיר. המשתמש לא יכול להוסיף חשבון לשימוש אישי.
ספק של ניהול מכשירים ושירותי מובייל בארגון (EMM) – מוצר שמאפשר לארגון להגדיר מדיניות אבטחה, לשלוט בגישה לנתונים ולנהל אפליקציות במכשירים.
מכשיר בניהול מלא – מכשיר Android שבו לארגון יש הרשאות של בעלי המכשיר.
הרשאת ניהול – היקף השליטה של ספק ניהול ניידות ארגונית (EMM) במכשיר, כלומר המכשיר כולו (בעל המכשיר) או פרופיל העבודה (בעל הפרופיל).
בעלים של הפרופיל – הרשאת הניהול שנותנת לספק של פתרון לניהול ניידות בארגון שליטה רק בפרופיל העבודה במכשיר.
פרופיל עבודה – מרחב נפרד במכשיר Android אישי של משתמש, שבו נמצאים האפליקציות והנתונים שקשורים לעבודה. לארגון יש הרשאת בעלות על הפרופיל במכשיר. האפליקציות והנתונים האישיים של המשתמשים נשמרים בנפרד והארגון לא יכול לגשת אליהם.
הרשמה דרך הארגון – תכונה של Android Enterprise שמאפשרת לארגונים להגדיר באופן אוטומטי מכשירים מנוהלים מלאים למשתמשים.

אפשר גם לעיין במינוח של Android Enterprise.