מידע על ניהול מכשירי Android באמצעות ניהול נקודות קצה ב-Google

ניהול נקודות קצה ב-Google‏ (GEM) מספק דרך נוחה לניהול המכשירים של הארגון באותו מסוף Google Admin שבו מנהלים את האבטחה, השירותים והחשבונות של Google Workspace. אפשרויות הניהול שזמינות לכם במכשירי Android תלויות בגורמים הבאים:

איך המכשירים מוגדרים
אם המשתמש במכשיר כפוף לניהול בסיסי או מתקדם של מכשירים ניידים
אם מוסיפים את המכשירים למלאי שבבעלות החברה
רישיון Google Workspace שהוקצה למשתמש במכשיר

במאמר הזה נציג הרבה מונחים שקשורים לניהול מכשירים. אם תלכו לאיבוד, בסוף הדף הזה יש רשימת מילים.

ניהול נקודות קצה ב-Google לעומת Android Enterprise

‫Android Enterprise היא חבילה של ממשקי API, כלים למפתחים ותכונות לאדמינים שמאפשרים לספקים של ניהול מכשירים ושירותי מובייל בארגון (EMM) לנהל מכשירי Android. מידע נוסף על Android Enterprise

‫GEM הוא ספק EMM שמציע רבות מהתכונות שזמינות דרך Android Enterprise. עם זאת, הם נפרדים. יכול להיות שב-Android Enterprise יש יותר תכונות שספקי EMM יכולים להטמיע מאשר ב-GEM. כדי להתעדכן בתכונות החדשות ב-GEM, אפשר לעיין במאמר מה חדש בניהול נקודות קצה ב-Google.

הרשאות לניהול Android

האפשרויות שיש לכם בספק ה-EMM לניהול מכשירי Android והמידע שאתם מקבלים על המכשירים האלה תלויים באופן ההגדרה של המכשירים. ההגדרה קובעת את הרשאת הניהול שלכם.לארגון יכולות להיות אחת מההרשאות הבאות במכשיר:

בעלי המכשיר – המכשיר מוגדר לשימוש לעבודה בלבד, ויש לכם שליטה מלאה במכשיר. במצב הזה יש לכם הכי הרבה שליטה על הנתונים והאפליקציות במכשיר, והוא הכי מתאים לארגונים עם דרישות אבטחה גבוהות.

הערה לגבי 'בעלות על המכשיר': יכול להיות שהמכשיר שבו יש לכם הרשאות של בעלי המכשיר נרכש על ידי הארגון וסופק למשתמש, למשל מכשיר שהוגדר באמצעות שיוך אוטומטי לארגון כשימוש לעבודה בלבד. או שמדובר במכשיר אישי של משתמש שהוגדר למטרות עבודה בלבד. ב-GEM, ההגדרה של 'מכשירים בבעלות החברה' לא מבוססת על הרשאות הניהול שלכם. מכשירים בבעלות החברה הם מכשירים שמוסיפים את המספרים הסידוריים שלהם למלאי שבבעלות החברה. בדרך כלל, אלה מכשירים שהארגון רכש ויש לו הרשאת בעלות עליהם.
בעלים של הפרופיל – במכשיר יש פרופיל עבודה מנוהל שמופרד מהמרחב האישי של המשתמש (מידע נוסף על פרופילי עבודה מופיע בקטע הבא). יש לכם שליטה באפליקציות ובנתונים בפרופיל העבודה, אבל לא במרחב האישי. כדאי להשתמש במצב הזה אם הארגון רוצה סביבת עבודה שבה העובדים מביאים את המכשיר שלהם לעבודה (BYOD).

הערה: Android Enterprise תומך עכשיו בפרופילי עבודה במכשירים בבעלות החברה, אבל GEM לא תומך בהגדרה הזו.
אדמין במכשיר –(הוצא משימוש, לא זמין ב-Android 10 ואילך, לא נתמך במכשירים במסגרת ניהול מתקדם של מכשירים ניידים ב-GEM) למשתמש יש חשבון מנוהל במרחב האישי במכשיר.

חלק מהכלים וההגדרות של GEM תלויים בהרשאה שיש לכם במכשיר. לדוגמה, אם יש לכם הרשאת בעלים של פרופיל במכשיר, אתם יכולים לאפס את חשבון של מקום עבודה במכשיר, אבל לא את כל הנתונים במכשיר.

כדי לבדוק את הרשאת הניהול שיש לכם במכשיר, פותחים את דף הפרטים של המכשיר במסוף Admin. פרטים נוספים מופיעים במאמר בנושא צפייה בפרטים של מכשיר נייד.

פרופילים של עבודה ב-Android

פרופילים של עבודה ב-Android מספקים למשתמשים פרטיות לנתונים ולאפליקציות האישיים במכשיר אישי שמשמש אותם גם לעבודה. פרופיל העבודה מאפשר לחשבון המנוהל ולאפליקציות להתקיים במרחב נפרד שלניהול המכשיר אין גישה אליו. הרשאת הניהול של הארגון היא בעלים של הפרופיל.

כשמפעילים את הניהול המתקדם של מכשירים ניידים ב-GEM, המשתמשים מתבקשים להגדיר פרופיל עבודה כשהם מוסיפים את החשבון המנוהל שלהם למכשיר Android אישי (BYOD). מידע נוסף על הגדרת פרופיל עבודה על ידי משתמש זמין במאמרים הגדרת Google Workspace במכשיר Android ומהו פרופיל עבודה?.

אפשר להגדיר רק פרופיל עבודה אחד בכל מכשיר.

אם אתם לא רוצים לדרוש מהמשתמשים להגדיר פרופיל עבודה, אתם יכולים להגדיר ניהול בסיסי של מכשירים ניידים ליחידה הארגונית שלהם. אם כבר הפעלתם ניהול מתקדם של מכשירים ניידים, אתם יכולים לעבור לניהול בסיסי של מכשירים ניידים. בניהול בסיסי של מכשירים ניידים, לא יהיו לכם כל כך הרבה תכונות ניהול. מידע נוסף על ההבדלים מפורט בקטע הבא.
אם משתמש צריך יותר מחשבון מנוהל אחד במכשיר, למשל משתמש שיש לו חשבון של מקום עבודה 'רגיל' וחשבון אדמין, צריך להוסיף אותו ליחידה ארגונית שהוגדר בה ניהול בסיסי של מכשירים ניידים.

הערה: GEM לא תומך במכשירים עם הרשאת בעלות על המכשיר, למרות שההגדרה הזו היא כעת אפשרות ב-Android Enterprise.

ניהול בסיסי לעומת ניהול מתקדם של מכשירים ניידים עבור מכשירי Android

בניהול נקודות קצה ב-Google יש 3 רמות של ניהול מכשירים ניידים: בסיסי, מתקדם או לא מנוהל. אפשר להגדיר את רמת ניהול המכשירים הניידים למשתמשים לפי יחידה ארגונית. אפשר גם להחיל את ההגדרה רק על סוגים מסוימים של מכשירים שמשמשים משתמשים ביחידה הארגונית, באמצעות האפשרות מותאם אישית. לדוגמה, אפשר להגדיר שמכשירי Android יהיו תחת ניהול מתקדם של מכשירים ניידים, מכשירי אייפון ואייפד (iOS) יהיו תחת ניהול בסיסי של מכשירים ניידים, ומכשירי iOS שמשתמשים ב-Google Sync יהיו תחת ניהול בסיסי של מכשירים ניידים.

חשוב: אתם מגדירים את ההגדרה לניהול ניידים לפי משתמש – החשבון שנוסף למכשיר – ואם רוצים, גם לפי סוג המכשיר. אי אפשר להגדיר את רמת הניהול של מכשירים ניידים לקבוצה ספציפית של מכשירים, בלי קשר לחשבון משתמש.

ניהול בסיסי של מכשירים ניידים

הניהול הבסיסי של מכשירים ניידים מופעל כברירת מחדל. באמצעותה אפשר להגדיר דרישות בסיסיות לקוד גישה, לנהל אפליקציות (רק ב-Android) ולקבל פרטים על מכשירים עם חשבונות לצורכי עבודה. המשתמש לא נדרש להתקין במכשיר שלו אפליקציית ניהול או להגדיר פרופיל עבודה, והוא יכול להתקיים לצד חלק מספקי EMM של צד שלישי. אם רוצים להשתמש ב-Gem כספק EMM, לניהול בסיסי של מכשירים ניידים יש רק אפשרויות אבטחה מוגבלות. פרטים נוספים זמינים במאמר בנושא השוואה בין תכונות של ניהול מכשירים ניידים.

ניהול מתקדם של מכשירים ניידים

כדי להשתמש בכל התכונות המתקדמות של נקודות קצה ובתכונות של נקודות קצה לארגונים, צריך להפעיל ניהול מתקדם של מכשירים ניידים. כדי לאכוף מדיניות אבטחה, המשתמש צריך להגדיר במכשיר שלו לקוח ניהול, ובמכשירים אישיים, להתקין פרופיל עבודה.

הערה: ניהול מתקדם של מכשירים ניידים לא יכול להתקיים לצד פתרונות EMM אחרים, אלא רק לצד GEM.

ללא ניהול מכשירים ניידים (לא מנוהלים)

גם אם ניהול ניידים מושבת במכשירי Android, עדיין אפשר לאפשר למשתמשים להוסיף את חשבון מקום העבודה שלהם למכשיר ולגשת לנתוני העבודה שלהם. עם זאת, אין לכם אפשרויות ניהול. אם המכשיר אבד או נגנב, אי אפשר לאפס את נתוני חשבון של מקום עבודה במכשיר, אי אפשר לדרוש סיסמה, והמכשירים לא מופיעים ברשימת המכשירים במסוף Admin.

בעלות על המכשיר

חלק מהתכונות של GEM חלות רק על מכשירים שהגדרתם כמכשירים בבעלות החברה במסוף Admin. כדי להגדיר אותם כמכשירים בבעלות החברה, מוסיפים מכשירים למלאי שבבעלות החברה. לדוגמה, כדי ש-GEM ותכונות האבטחה שמשויכות אליו, כמו בקרת גישה מבוססת הקשר, יזהו מכשיר ככזה שנמצא בבעלות החברה, צריך להוסיף אותו למלאי המכשירים שבבעלות החברה.

הבעלות הזו של החברה נפרדת מהרשאת הניהול של הבעלים של המכשיר ומהשאלה אם הארגון רכש את המכשיר (הוא הבעלים הפיזי שלו).

הרשמה דרך הארגון

שיוך אוטומטי לארגון (ZTE) היא תכונה של Android Enterprise שמאפשרת לארגונים להגדיר באופן אוטומטי מכשירים בניהול מלא עבור משתמשים. הוא נפרד מניהול נקודות קצה ב-Google, אבל אפשר להשתמש בניהול נקודות קצה ב-Google כדי לנהל מכשירים שהוגדרו בדרך הזו.

ב-ZTE, הארגון קונה מכשירים ממפיצים נתמכים ומגדיר הגדרה שמוחלת באופן אוטומטי כשהמשתמש מוסיף את החשבון שלו למכשיר.

כדי לנהל מכשירי ZTE באמצעות GEM, המשתמשים במכשירים האלה צריכים להיות ביחידות ארגוניות שמופעל בהן ניהול מתקדם של מכשירים ניידים (לפחות למכשירי Android). לארגון יהיו הרשאות ניהול של בעלי מכשיר, אבל GEM לא יתייחס אליהם כמכשירים בבעלות החברה אלא אם תוסיפו את המכשירים למלאי של מכשירים בבעלות החברה. פרטים נוספים זמינים במאמר בנושא פריסת מכשירי Android באמצעות הרשמה דרך הארגון.

מידע נוסף על ZTE זמין במאמר שיוך אוטומטי לארגון לאדמינים ממחלקת ה-IT.

רשימת מילים

מונחים שקשורים לניהול נקודות קצה ב-Google

‫Advanced mobile management (ניהול מתקדם של מכשירים ניידים) – הגדרת ניהול המכשירים הניידים שמאפשרת לכם יותר שליטה במכשירים של המשתמשים, כמו שליטה בגישה לרשתות ולאפליקציות, הגדרות אבטחה ועוד מידע על המכשירים האלה.
ניהול בסיסי של מכשירים ניידים – הגדרת הניהול של מכשירים ניידים שמאפשרת לכם שליטה מינימלית במכשירים של המשתמשים.
בבעלות החברה – מכשיר שמוסיפים למלאי שבבעלות החברה במסוף Admin.
ניהול נקודות קצה ב-Google‏ (GEM) – הספק של ניהול מכשירים ושירותי מובייל בארגון (EMM) שכלול ב-Google Workspace וב-Cloud Identity, וזמין במסוף Google Admin.

תנאים לשימוש ב-Android

‫Android Enterprise – התכונות והכלים שמפתחים של ניהול מכשירים ושירותי מובייל בארגון (EMM) משתמשים בהם כדי לתמוך בניהול מכשירי Android באמצעות EMM.
עובדים מביאים את המכשיר שלהם לעבודה (BYOD) – מכשיר אישי שמשתמש מוסיף אליו את חשבון של מקום עבודה שלו.
בעלי המכשיר – הרשאת הניהול שמאפשרת לספק ניהול מכשירים ושירותי מובייל בארגון שליטה מלאה במכשיר. המשתמש לא יכול להוסיף חשבון לשימוש אישי.
ספק של ניהול מכשירים ושירותי מובייל בארגון (EMM) – מוצר שמאפשר לארגון להגדיר מדיניות אבטחה, לשלוט בגישה לנתונים ולנהל אפליקציות במכשירים.
מכשיר בניהול מלא – מכשיר Android שיש לארגון שלכם הרשאות בעלים לגביו.
הרשאת ניהול – היקף השליטה של ספק ניהול מכשירים ושירותי מובייל בארגון במכשיר, כלומר המכשיר כולו (בעל המכשיר) או פרופיל העבודה (בעל הפרופיל).
בעלים של הפרופיל – הרשאת הניהול שנותנת לספק של ניהול מכשירים ושירותי מובייל בארגון שליטה רק בפרופיל העבודה במכשיר.
פרופיל עבודה – מרחב נפרד במכשיר Android אישי של משתמש, שבו נמצאים האפליקציות והנתונים שקשורים לעבודה. לארגון יש הרשאת בעלי פרופיל במכשיר. האפליקציות והנתונים האישיים של המשתמשים נשמרים בנפרד והארגון לא יכול לגשת אליהם.
שיוך אוטומטי לארגון – תכונה של Android Enterprise שמאפשרת לארגונים להגדיר באופן אוטומטי מכשירים מנוהלים מלאים למשתמשים.

אפשר גם לעיין במינוח של Android Enterprise.