מידע על ניהול מכשירי Android באמצעות ניהול נקודות קצה ב-Google

ניהול נקודות קצה ב-Google‏ (GEM) מספק דרך נוחה לנהל את המכשירים של הארגון באותו מסוף Google Admin שבו אתם מנהלים את האבטחה, השירותים והחשבונות של Google Workspace. אפשרויות הניהול שזמינות לכם במכשירי Android תלויות בגורמים הבאים:

איך המכשירים מוגדרים
אם המשתמש במכשיר כפוף לניהול בסיסי או מתקדם של מכשירים ניידים
אם מוסיפים את המכשירים למלאי שבבעלות החברה
רישיון Google Workspace שהוקצה למשתמש במכשיר

במאמר הזה נציג הרבה מונחים שקשורים לניהול מכשירים. אם תלכו לאיבוד, בסוף הדף הזה יש רשימת מילים.

ניהול נקודות קצה ב-Google לעומת Android Enterprise

‫Android Enterprise היא חבילה של ממשקי API, כלים למפתחים ותכונות לאדמינים, שמאפשרת לספקים של ניהול מכשירים ושירותי מובייל בארגון (EMM) לנהל מכשירי Android. מידע נוסף על Android Enterprise

‫GEM הוא ספק EMM שמציע הרבה מהתכונות שזמינות דרך Android Enterprise. עם זאת, הם נפרדים. יכול להיות שב-Android Enterprise יש יותר תכונות שזמינות להטמעה על ידי מערכות EMM מאשר ב-GEM. כדי להתעדכן בתכונות חדשות ב-GEM, אפשר לקרוא את המאמר מה חדש בניהול נקודות קצה ב-Google.

הרשאות לניהול Android

האפשרויות שיש לכם בספק ה-EMM לניהול מכשירי Android והמידע שאתם מקבלים על המכשירים האלה תלויים באופן ההגדרה של המכשירים. ההגדרה קובעת את הרשאות הניהול שלכם.לארגון יכולות להיות אחת מההרשאות הבאות במכשיר:

בעלי המכשיר – המכשיר מוגדר לשימוש לעבודה בלבד, ויש לכם שליטה מלאה במכשיר. במצב הזה יש לכם הכי הרבה שליטה על הנתונים והאפליקציות במכשיר, והוא הכי מתאים לארגונים עם דרישות אבטחה גבוהות.

הערה לגבי 'בעלות על המכשיר': יכול להיות שהארגון שלכם רכש מכשיר שיש לכם בו הרשאות בעלות על המכשיר, למשל מכשיר שהוגדר כעבודה בלבד באמצעות הרשמה ללא מגע. או שמדובר במכשיר אישי של משתמש שהוגדר למטרות עבודה בלבד. ב-GEM, ההגדרה של 'מכשירים בבעלות החברה' לא מבוססת על הרשאות הניהול שלכם. מכשירים בבעלות החברה הם מכשירים שאתם מוסיפים את המספרים הסידוריים שלהם למלאי שבבעלות החברה. בדרך כלל אלה מכשירים שהארגון רכש ויש לו הרשאת בעלות עליהם.
בעלים של הפרופיל – במכשיר יש פרופיל עבודה מנוהל שמופרד מהמרחב האישי של המשתמש (מידע נוסף על פרופילי עבודה מופיע בקטע הבא). יש לכם שליטה באפליקציות ובנתונים בפרופיל העבודה, אבל לא במרחב הפרטי. כדאי להשתמש במצב הזה אם הארגון רוצה סביבת עבודה שבה העובדים מביאים את המכשיר שלהם לעבודה (BYOD).

הערה: ‏ Android Enterprise תומך עכשיו בפרופילי עבודה במכשירים בבעלות החברה, אבל GEM לא תומך בהגדרה הזו.
אדמין במכשיר –(הוצא משימוש, לא זמין ב-Android 10 ואילך, לא נתמך במכשירים במסגרת ניהול מתקדם של מכשירים ניידים ב-GEM) למשתמש יש חשבון מנוהל במרחב האישי במכשיר.

חלק מהכלים וההגדרות של GEM תלויים בהרשאה שיש לכם במכשיר. לדוגמה, אם יש לכם הרשאת בעלים של פרופיל במכשיר, אתם יכולים לאפס את חשבון העבודה במכשיר, אבל לא את כל הנתונים במכשיר.

כדי לבדוק את הרשאת הניהול שיש לכם במכשיר, פותחים את דף הפרטים של המכשיר במסוף Admin. פרטים נוספים מופיעים במאמר בנושא צפייה בפרטים של מכשיר נייד.

פרופילי עבודה ב-Android

פרופילים של עבודה ב-Android מספקים למשתמשים פרטיות לגבי הנתונים והאפליקציות האישיים במכשיר אישי שמשמש אותם גם לעבודה. פרופיל העבודה מאפשר לחשבון המנוהל ולאפליקציות להתקיים במרחב נפרד שלניהול המכשיר אין גישה אליו. הרשאת הניהול של הארגון היא בעלים של הפרופיל.

כשמפעילים את הניהול המתקדם של מכשירים ניידים ב-GEM, המשתמשים מתבקשים להגדיר פרופיל עבודה כשהם מוסיפים את החשבון המנוהל שלהם למכשיר Android אישי (BYOD). מידע נוסף על הגדרת פרופיל עבודה על ידי משתמשים זמין במאמרים הגדרת Google Workspace במכשיר Android ומהו פרופיל עבודה?

אפשר להגדיר רק פרופיל עבודה אחד בכל מכשיר.

אם אתם לא רוצים לדרוש מהמשתמשים להגדיר פרופיל עבודה, הגדירו ניהול בסיסי של מכשירים ניידים ליחידה הארגונית שלהם. אם כבר הפעלתם ניהול מתקדם של מכשירים ניידים, אתם יכולים לעבור לניהול בסיסי של מכשירים ניידים. בניהול בסיסי של מכשירים ניידים, לא יהיו לכם כל כך הרבה תכונות ניהול. מידע נוסף על ההבדלים מופיע בקטע הבא.
אם משתמש צריך יותר מחשבון מנוהל אחד במכשיר, למשל משתמש שיש לו חשבון עבודה "רגיל" וחשבון אדמין, צריך להוסיף אותו ליחידה ארגונית שהוגדר בה ניהול בסיסי של מכשירים ניידים.

הערה: GEM לא תומך במכשירים עם הרשאה של בעלי המכשיר, למרות שההגדרה הזו היא עכשיו אפשרות ב-Android Enterprise.

ניהול בסיסי לעומת ניהול מתקדם של מכשירי Android

בניהול נקודות קצה ב-Google יש 3 רמות של ניהול מכשירים ניידים: בסיסי, מתקדם או לא מנוהל. אתם יכולים להגדיר את רמת ניהול המכשירים הניידים למשתמשים לפי יחידה ארגונית. אפשר גם להחיל את ההגדרה רק על סוגים מסוימים של מכשירים שמשמשים משתמשים ביחידה הארגונית, באמצעות האפשרות מותאם אישית. לדוגמה, יכול להיות שמכשירי Android יהיו תחת ניהול מתקדם של מכשירים ניידים, מכשירי אייפון ואייפד (iOS) יהיו תחת ניהול בסיסי של מכשירים ניידים, ומכשירי iOS שמשתמשים ב-Google Sync יהיו תחת ניהול בסיסי של מכשירים ניידים.

חשוב: אתם מגדירים את ההגדרה לניהול ניידים לפי משתמש – החשבון שנוסף למכשיר – ואם רוצים, גם לפי סוג המכשיר. אי אפשר להגדיר את רמת הניהול של מכשירים ניידים לקבוצה ספציפית של מכשירים, בלי קשר לחשבון משתמש.

ניהול בסיסי של מכשירים ניידים

הניהול הבסיסי של מכשירים ניידים מופעל כברירת מחדל. באמצעותה אפשר להגדיר דרישות בסיסיות לקוד גישה, לנהל אפליקציות (Android בלבד) ולקבל פרטים על מכשירים עם חשבונות עבודה. היא לא מחייבת את המשתמש להתקין אפליקציית ניהול במכשיר או להגדיר פרופיל עבודה, והיא יכולה להתקיים לצד חלק מספקי EMM של צד שלישי. אם רוצים להשתמש ב-GEM כספק EMM, האפשרויות הבסיסיות לניהול ניידות מוגבלות. פרטים נוספים מופיעים במאמר בנושא השוואה בין תכונות לניהול מכשירים ניידים.

ניהול מתקדם של מכשירים ניידים

כדי להשתמש בכל התכונות המתקדמות של נקודות קצה ובתכונות של נקודות קצה לארגונים, צריך להפעיל ניהול מתקדם של מכשירים ניידים. כדי לאכוף מדיניות אבטחה, המשתמש צריך להגדיר במכשיר שלו לקוח ניהול, ובמכשירים אישיים – להתקין פרופיל עבודה.

הערה: ניהול מתקדם של מכשירים ניידים לא יכול להתקיים לצד פתרונות EMM אחרים, אלא רק לצד GEM.

ללא ניהול מכשירים ניידים (לא מנוהלים)

גם אם ניהול המכשירים הניידים מושבת במכשירי Android, אתם עדיין יכולים לאפשר למשתמשים להוסיף את החשבון שלהם לצורכי עבודה למכשיר ולגשת לנתונים שקשורים לעבודה. עם זאת, אין לכם אפשרויות ניהול. אם המכשיר אבד או נגנב, אי אפשר לאפס את נתוני חשבון העבודה במכשיר, אי אפשר לדרוש סיסמה, ולא רואים את המכשירים ברשימת המכשירים במסוף Admin.

בעלות על המכשיר

חלק מהתכונות של GEM חלות רק על מכשירים שהגדרתם כמכשירים בבעלות החברה במסוף Admin. כדי להגדיר אותם כמכשירים בבעלות החברה, צריך להוסיף מכשירים למלאי שבבעלות החברה. לדוגמה, כדי ש-GEM ותכונות האבטחה שמשויכות אליו, כמו בקרת גישה מבוססת-הקשר, יזהו מכשיר ככזה שנמצא בבעלות החברה, צריך להוסיף אותו למלאי המכשירים שבבעלות החברה.

הבעלות הזו של החברה נפרדת מהרשאת הניהול של הבעלים של המכשיר, וגם מהשאלה אם הארגון רכש את המכשיר (הוא הבעלים הפיזי שלו).

הרשמה דרך הארגון

הרשמה דרך הארגון (ZTE) היא תכונה של Android Enterprise שמאפשרת לארגונים להגדיר אוטומטית מכשירים בניהול מלא עבור משתמשים. התכונה הזו נפרדת מניהול נקודות קצה ב-Google, אבל אפשר להשתמש בניהול נקודות קצה ב-Google כדי לנהל מכשירים שהוגדרו בדרך הזו.

ב-ZTE, הארגון קונה מכשירים ממפיצים נתמכים ומגדיר הגדרה שמוחלת באופן אוטומטי כשהמשתמש מוסיף את החשבון שלו למכשיר.

כדי לנהל מכשירי ZTE באמצעות GEM, המשתמשים במכשירים האלה צריכים להיות ביחידות ארגוניות שבהן מופעל ניהול מתקדם של מכשירים ניידים (לפחות למכשירי Android). לארגון יהיו הרשאות ניהול של בעלי מכשיר, אבל GEM לא יתייחס אליהם כמכשירים בבעלות החברה אלא אם תוסיפו את המכשירים למלאי שבבעלות החברה. פרטים נוספים זמינים במאמר בנושא פריסת מכשירי Android באמצעות הרשמה דרך הארגון.

מידע נוסף על ZTE זמין במאמר הרשמה דרך הארגון לאדמינים של IT.

רשימת מילים

מונחים שקשורים לניהול נקודות קצה ב-Google

ניהול מתקדם של מכשירים ניידים – הגדרת הניהול של מכשירים ניידים שמאפשרת לכם שליטה רבה יותר במכשירים של המשתמשים, כמו שליטה בגישה לרשתות ולאפליקציות, הגדרות אבטחה ומידע נוסף על המכשירים האלה.
ניהול בסיסי של מכשירים ניידים – הגדרת הניהול של מכשירים ניידים שמאפשרת לכם שליטה מינימלית במכשירים של המשתמשים.
בבעלות החברה – מכשיר שמוסיפים למלאי בבעלות החברה במסוף Admin.
ניהול נקודות קצה (GEM) של Google – ספק שירותי ניהול מכשירים ושירותי מובייל בארגון (EMM) שכלול ב-Google Workspace וב-Cloud Identity, וזמין במסוף Google Admin.

תנאים לשימוש ב-Android

‫Android Enterprise – התכונות והכלים שמפתחים של ניהול מכשירים ושירותי מובייל בארגון (EMM) משתמשים בהם כדי לתמוך בניהול מכשירי Android באמצעות EMM.
עובדים מביאים את המכשיר שלהם לעבודה (BYOD) – מכשיר אישי שמשתמש מוסיף אליו את חשבון העבודה שלו.
בעלי המכשיר – הרשאת הניהול שנותנת לספק ניהול הניידות הארגונית שליטה מלאה במכשיר. המשתמש לא יכול להוסיף חשבון לשימוש אישי.
ספק של ניהול ניידות ארגונית (EMM) – מוצר שמאפשר לארגון להגדיר מדיניות אבטחה, לשלוט בגישה לנתונים ולנהל אפליקציות במכשירים.
מכשיר בניהול מלא – מכשיר Android שיש לארגון שלכם הרשאות בעלים לגביו.
הרשאת ניהול – היקף השליטה של ספק ניהול ניידות ארגונית במכשיר, כלומר המכשיר כולו (הבעלים של המכשיר) או פרופיל העבודה (הבעלים של הפרופיל).
בעלים של הפרופיל – הרשאת הניהול שנותנת לספק של פתרון Enterprise Mobility Management שליטה רק בפרופיל העבודה במכשיר.
פרופיל עבודה – מרחב נפרד במכשיר Android אישי של משתמש, שבו נמצאים האפליקציות והנתונים שקשורים לעבודה. לארגון יש הרשאת בעלי פרופיל במכשיר. האפליקציות והנתונים האישיים של המשתמש נפרדים ולא נגישים לארגון.
הרשמה דרך הארגון – תכונה של Android Enterprise שמאפשרת לארגונים להגדיר באופן אוטומטי מכשירים בניהול מלא עבור משתמשים.

אפשר גם לעיין בטרמינולוגיה של Android Enterprise.