Google Endpoint Management (GEM) biedt een handige manier om de apparaten van uw organisatie te beheren vanuit dezelfde Google Admin-console waar u de beveiliging, services en accounts van Google Workspace beheert. De beschikbare beheermogelijkheden voor Android-apparaten zijn afhankelijk van de volgende factoren:
- hoe de apparaten zijn ingesteld
- als de gebruiker van het apparaat onder basis- of geavanceerd mobiel beheer valt
- als u de apparaten toevoegt aan de inventaris die eigendom is van het bedrijf
- de Google Workspace-licentie die is toegewezen aan de gebruiker van het apparaat
We gaan hier een aantal termen met betrekking tot apparaatbeheer introduceren. Mocht je de draad kwijtraken, dan vind je een woordenlijst aan het einde van deze pagina .
Google-eindpuntbeheer versus Android Enterprise
Android Enterprise is een suite van API's, ontwikkelaarstools en beheerdersfuncties waarmee aanbieders van Enterprise Mobility Management (EMM) Android-apparaten kunnen beheren. Lees meer over Android Enterprise .
GEM is an EMM provider that offers many of the features available through Android Enterprise. However, the two are separate. Android Enterprise may have more features available to implement by EMMs than what is available in GEM. To keep up-to-date with new features in GEM, see What's new in Google endpoint management .
Android-beheerrechten
De opties die uw EMM-provider biedt voor het beheren van Android-apparaten, en de informatie die u over die apparaten ontvangt, zijn afhankelijk van de configuratie van de apparaten. De configuratie bepaalt uw beheerrechten . Uw organisatie kan een van de volgende rechten op een apparaat hebben:
Apparaateigenaar – Het apparaat is ingesteld als uitsluitend voor werkdoeleinden en u hebt volledige controle over het apparaat. Deze modus geeft u de meeste controle over de gegevens en apps op een apparaat en is het meest geschikt voor organisaties met hoge beveiligingsvereisten.
Opmerking over 'apparaateigendom': Een apparaat waarvoor u beheerdersrechten hebt, kan door uw organisatie zijn aangeschaft en aan de gebruiker zijn verstrekt, bijvoorbeeld een apparaat dat is ingesteld met zero-touch registratie als alleen voor werkgebruik. Het kan ook een persoonlijk apparaat van een gebruiker zijn dat hij of zij heeft ingesteld als alleen voor werkgebruik. In GEM worden 'bedrijfseigen apparaten' niet gedefinieerd door uw beheerdersrechten. Bedrijfseigen apparaten zijn alle apparaten waarvan u de serienummers toevoegt aan de inventaris van bedrijfseigen apparaten. Meestal zijn dit apparaten die uw organisatie heeft aangeschaft en waarvoor u beheerdersrechten hebt.
Profielbeheerder – Het apparaat heeft een beheerd werkprofiel dat gescheiden is van de persoonlijke ruimte van de gebruiker (meer over werkprofielen in het volgende hoofdstuk). U hebt controle over de apps en gegevens in het werkprofiel, maar niet in de persoonlijke ruimte. Gebruik deze modus als uw organisatie een 'bring-your-own-device' (BYOD)-omgeving wil.
Apparaatbeheerder – ( verouderd , niet beschikbaar voor Android 10 en later, niet ondersteund voor apparaten onder GEM geavanceerd mobiel beheer) De gebruiker heeft een beheerd account in de persoonlijke ruimte op zijn of haar apparaat.
Sommige GEM-tools en -instellingen zijn afhankelijk van de rechten die u op het apparaat hebt. Als u bijvoorbeeld beheerdersrechten voor een profiel op een apparaat hebt, kunt u het werkaccount van het apparaat verwijderen, maar niet het hele apparaat wissen.
Om uw beheerrechten voor een apparaat te bekijken, opent u de detailpagina van het apparaat in de beheerdersconsole. Zie ' Details van mobiele apparaten bekijken' voor meer informatie.
Android-werkprofielen
Android-werkprofielen bieden gebruikers privacy voor hun persoonlijke gegevens en apps op een privéapparaat dat ze ook voor hun werk gebruiken. Het werkprofiel zorgt ervoor dat hun beheerde account en apps zich in een aparte omgeving bevinden waartoe apparaatbeheer geen toegang heeft. De beheerdersrechten van uw organisatie zijn die van profieleigenaar .
Wanneer u geavanceerd mobiel beheer inschakelt in GEM, worden gebruikers gevraagd een werkprofiel in te stellen wanneer ze hun beheerde account toevoegen aan een persoonlijk (BYOD) Android-apparaat. Zie Google Workspace instellen op een Android-apparaat en Wat is een werkprofiel? voor meer informatie over het instellen van een werkprofiel.
Er is slechts één werkprofiel per apparaat toegestaan.
- Als u geen werkprofielen voor gebruikers wilt vereisen, stelt u basis mobiel beheer in voor hun organisatie-eenheid . Als u al geavanceerd mobiel beheer hebt ingeschakeld, kunt u overschakelen naar basis mobiel beheer . U beschikt dan wel over minder beheermogelijkheden. Lees in het volgende gedeelte meer over de verschillen.
- Als een gebruiker meer dan één beheerd account op een apparaat nodig heeft, bijvoorbeeld een gebruiker met een 'gewoon' werkaccount en een beheerdersaccount, plaats deze gebruikers dan in een organisatie-eenheid die is ingesteld voor basis mobiel beheer.
Let op: GEM ondersteunt geen apparaten met apparaatbeheerdersrechten , hoewel deze configuratie nu wel een optie is in Android Enterprise.
Basis versus geavanceerd mobiel beheer voor Android-apparaten
Google Endpoint Management biedt 3 niveaus van mobiel beheer: basis, geavanceerd of niet beheerd. U kunt het niveau van mobiel beheer voor gebruikers per organisatie-eenheid instellen. U kunt de instelling ook alleen toepassen op bepaalde typen apparaten die door gebruikers in de organisatie-eenheid worden gebruikt, met behulp van de optie ' Aangepast' . U kunt bijvoorbeeld hun Android-apparaten onder geavanceerd mobiel beheer plaatsen en iPhones en iPads (iOS) onder basis mobiel beheer.
Important: You configure the mobile management setting by user –the account that's added to the device–and, optionally, device type. You can't set the level of mobile management for a specific set of devices, independent of a user account.
Basis mobiel beheer
Basis mobiel beheer is standaard ingeschakeld. Hiermee kunt u basisvereisten voor toegangscodes instellen, apps beheren (alleen Android) en details bekijken over apparaten met werkaccounts. De gebruiker hoeft geen beheerapp op zijn of haar apparaat te installeren of een werkprofiel in te stellen, en het kan naast sommige externe EMM-providers bestaan. Als u GEM als uw EMM-provider wilt gebruiken, biedt basis mobiel beheer slechts beperkte beveiligingsopties. Zie ' Mobiel beheerfuncties vergelijken' voor meer informatie.
Geavanceerd mobiel beheer
Geavanceerd mobiel beheer is vereist om alle functies van de geavanceerde endpointfuncties en de endpointfuncties voor bedrijven te kunnen gebruiken. Om beveiligingsbeleid af te dwingen, moet de gebruiker een beheerclient op zijn of haar apparaat instellen en, voor persoonlijke apparaten, een werkprofiel installeren.
Let op: Geavanceerd mobiel beheer kan niet naast andere EMM's bestaan, alleen GEM.
Geen mobiel beheer (niet beheerd)
Wanneer mobiel beheer is uitgeschakeld voor Android-apparaten, kunt u gebruikers nog steeds toestaan hun werkaccount aan het apparaat toe te voegen en toegang te krijgen tot hun werkgegevens. U hebt echter geen beheermogelijkheden. U kunt het werkaccount niet van het apparaat verwijderen als het apparaat verloren of gestolen is, u kunt geen wachtwoord vereisen en u ziet de apparaten niet in de lijst met apparaten in de beheerdersconsole.
Apparaatbezit
Sommige GEM-functies zijn alleen van toepassing op apparaten die u in de beheerdersconsole als bedrijfseigendom hebt ingesteld. Om ze als bedrijfseigendom in te stellen, voegt u apparaten toe aan de inventaris van bedrijfseigendom . Om er bijvoorbeeld voor te zorgen dat GEM en de bijbehorende beveiligingsfuncties, zoals Context-Aware Access, een apparaat als bedrijfseigendom herkennen, moet u het toevoegen aan de inventaris van bedrijfseigendom.
Dit bedrijfseigendom staat los van het beheerrecht van de apparaateigenaar en van de vraag of uw organisatie het apparaat heeft aangeschaft (en fysiek in bezit heeft).
Contactloze inschrijving
Zero-touch enrollment (ZTE) is een functie van Android Enterprise waarmee organisaties automatisch volledig beheerde apparaten voor gebruikers kunnen instellen. Het staat los van Google Endpoint Management, maar u kunt Google Endpoint Management wel gebruiken om apparaten te beheren die op deze manier zijn ingesteld.
Met ZTE koopt uw organisatie apparaten bij ondersteunde wederverkopers en stelt een configuratie in die automatisch wordt toegepast wanneer de gebruiker zijn of haar account aan het apparaat toevoegt.
Om ZTE-apparaten met GEM te beheren, moeten gebruikers van deze apparaten zich in organisatie-eenheden bevinden waar geavanceerd mobiel beheer is ingeschakeld (ten minste voor Android-apparaten). Uw organisatie beschikt over beheerrechten voor de apparaten , maar GEM beschouwt ze niet als bedrijfseigendom, tenzij u de apparaten toevoegt aan de inventaris van bedrijfseigendom. Zie voor meer informatie: Android-apparaten implementeren met zero-touch-registratie .
Voor meer informatie over ZTE in het algemeen, zie Zero-touch enrollment voor IT-beheerders .
Woordenlijst
Google-termen voor endpointbeheer
- Geavanceerd mobiel beheer – De instelling voor mobiel beheer waarmee u meer controle krijgt over de apparaten van gebruikers, zoals het beheren van de toegang tot netwerken en apps, beveiligingsinstellingen en meer informatie over die apparaten.
- Basis mobiel beheer – De instelling voor mobiel beheer waarmee u minimale controle over de apparaten van gebruikers hebt.
- In bedrijfseigendom – Een apparaat dat u toevoegt aan de inventaris van bedrijfseigendommen in uw beheerdersconsole.
- Google Endpoint Management (GEM) – De provider voor enterprise mobility management die is opgenomen in Google Workspace en Cloud Identity en beschikbaar is in uw Google Admin-console.
Android-termen
- Android Enterprise – De functies en tools die ontwikkelaars van Enterprise Mobility Management (EMM) gebruiken ter ondersteuning van het beheer van Android-apparaten met EMM.
- Bring-your-own device (BYOD) – Een persoonlijk apparaat waarop een gebruiker zijn of haar werkaccount koppelt.
- Apparaateigenaar – Het beheerrecht dat de aanbieder van enterprise mobility management volledige controle over een apparaat geeft. De gebruiker kan geen persoonlijk account toevoegen.
- Enterprise Mobility Management (EMM)-provider – Een product waarmee uw organisatie beveiligingsbeleid kan instellen, de toegang tot gegevens kan beheren en apps op apparaten kan beheren.
- Volledig beheerd apparaat – Een Android-apparaat waarover uw organisatie beheerdersrechten heeft.
- Beheerbevoegdheid – De mate waarin een aanbieder van enterprise mobility management controle heeft over een apparaat, hetzij over het gehele apparaat (apparaateigenaar) hetzij over het werkprofiel (profieleigenaar).
- Profieleigenaar – Het beheerrecht dat de aanbieder van enterprise mobility management (EMM) controle geeft over alleen het werkprofiel op een apparaat.
- Werkprofiel – Een aparte ruimte op het persoonlijke Android-apparaat van een gebruiker voor werkgerelateerde apps en gegevens. Uw organisatie heeft beheerdersrechten voor dit profiel. De persoonlijke apps en gegevens van de gebruiker zijn gescheiden en niet toegankelijk voor uw organisatie.
- Zero-Touch Enrollment – Een functie van Android Enterprise waarmee organisaties automatisch volledig beheerde apparaten voor gebruikers kunnen instellen.
Zie ook de terminologie van Android Enterprise .