Laiterekisteröintiohjelmat Android-laitteille – mitä ne ovat ja mitä hyötyä niistä on?

Lukuaika 5 min

Laiterekisteröintiohjelmilla voidaan varmistaa, että laitteille käyttöönotetaan automaattisesti yrityksen mobiililaitteiden hallinta eli Mobile Device Management (MDM).

Näin varmistutaan siitä, että laitteet ovat yrityksen omistuksessa heti laitteen käyttöönotosta aina elinkaarensa loppuun asti. Vaikka laite palautettaisiin tehdasasetuksille, niin ilman laitteen poistoa ko. laiterekisteröintiohjelmasta, sitä ei voi asentaa uudestaan henkilökohtaiseen käyttöön.

Laiterekisteröintiohjelmat suoraviivaistavat laitteiden käyttöönottoa. Tällöin joitakin ylimääräisiä vaiheita, kuten Company Portalin manuaalinen asennus tai Android-laitteissa QR-koodin skannaus jää automaattisesti pois. Lisäksi voidaan tietyin rajoittein vaikuttaa, mitä kaikkea laitteen käyttöönotossa käyttäjälle halutaan näyttää.

Tässä artikkelissa käyn läpi laiterekisteröintiohjelman käyttöönoton teknisestä näkökulmasta näyttäen joitain esimerkkejä mahdollisista konfiguroinneista. Tulen myös sivuamaan laiterekisteröintiohjelman kannalta MDM-hallintaan tehtäviä pakollisia asetuksia. MDM-hallinnan tuotteena käytän esimerkkinä Microsoft Intunea.

Laiterekisteröintiohjelman lisäksi tarvitsee valita myös tarpeeseen sopiva hallintamalli. Android-laitteiden eri hallintamalleihin voi tutustua tarkemmin aiemmin kirjoittamastani artikkelista.

Tämä artikkeli pureutuu seuraaviin laiterekisteröintiohjelmiin:

  • Samsung Knox Mobile Enrollment (KME)
  • Android Zero-touch Enrollment (ZT)

Mikäli haluat lukea artikkelin Applen iOS laiterekisteröintiohjelmista, tutustu toiseen artikkeliini.

Samsung Knox Mobile Enrollment (KME)

Samsung Knox Mobile Enrollment (KME) on ilmainen laiterekisteröintiohjelma. Se tukee uusimpia Samsungin laitteita, joita voidaan ottaa käyttöön joko Android ”Device Admin” -mallisena (jonka käyttöönottoa ei tosin enää suositella / tueta) tai erilaisilla Android Enterprisen hallintamalleilla.

Android Device Admin käyttöönottoa varten on puhelimilla esivaatimuksena vähintään Knox 2.4 ja Android Enterprise käyttöönottoa varten tarvitaan vähintään Knox 2.8. Knox on tietynlainen Samsung-laitteiden turvamekanismi, joka on upotettu jo tehtaalla kaikkiin uusiin yritystason puhelimiin. Näin ollen jos otat KME:n kautta käyttöön vain uusia laitteita, niin tästä vaatimuksesta ei kannata olla kovin huolissaan. Varmistuksen saa kumminkin, jos laite ja tuettu Knox-versio löytyy tältä listalta.

Laiterekisteröintiohjelmaan rekisteröityminen

Käyttöönottoa varten tarvitsee rekisteröidä Samsung-tunnus ja aktivoida Samsung Knox -portaali: https://www2.samsungknox.com/en/user/register

Sähköpostiosoite kannattaa olla mahdollisimman geneerinen esim. yhteispostilaatikko, sillä tämän vaihto ei onnistu myöhemmin. Kun tunnus on luotu, yrityksen tiedot täytetty ja käyttöönottoehdot hyväksytty, niin kirjaudu sisään ja navigoi Knox Portaaliin.

Täältä voidaan hakea Knox Mobile Enrollment ohjelmaan, jonka Samsung aktivoi erikseen (HUOM! aktivointi saattaa kestää jopa viikkoja).

Kun Samsung on pyynnön käsitellyt niin Samsung Knox Mobile Enrollment eli KME-portaali löytyy tämän suoran linkin kautta: https://central.samsungknox.com

Roolit ja tunnukset

Ensitöikseen tänne kannattaa tehdä tarvittavat roolit ja luoda ylläpitäjille henkilökohtaiset tunnukset. Se tunnus, jolla KME-palvelu on käyttöönotettu, lisätään oletuksena ”Super Admin” -roolille ja tällä tunnuksella/roolilla on vähän enemmän valtaa verrattuna normaaleihin manuaalisesti tehtyihin rooleihin.

Käyttöönottoprofiilin määritys

Esivaatimuksena on toki MDM-hallinta eli esimerkiksi Microsoft Intune, jonne varsinaiset hallintamallit luodaan. Esivaatimuksena on myös luoda yritykselle Managed Google Play -tili.

Mikäli tiliä ei ole vielä luotu niin painamalla ”Launch Google to connect now” päästään wizardiin, jolla luonti onnistuu.

Kun Managed Google Play -tili on luotu, niin päästään luomaan eri hallintamallien profiilit.

Laiterekisteröintiohjelmaa varten jokin näistä profiileista on pakko ottaa käyttöön ja ko. profiilin alta tulee käydä hakemassa tokenin koodi, joka määritellään varsinaisen laiterekisteröintiohjelman käyttöönottoprofiiliin eli esim. Samsung KME -portaaliin.

Samsung KME -portaaliin tulee luoda laitteille vähintään yksi profiili, jossa kerrotaan, mitä käyttöönottoprofiilia käytetään. Vaihtoehtoina ”Device Admin” tai moderni vaihtoehto eli Android Enterprise ja sen erilaiset hallintamallit.

Esimerkkinä Android Enterprisen ”Fully Managed”, jonka käyttöönottoprofiilin token on haettu Intunesta (asetukset vaihtelevat toki sen mukaan, mikä MDM-hallinta on käytössä). Muutamia muitakin valintoja on mahdollista tehdä, mutta alla kuvattu vain vähimmäisvaatimukset, jotka tulee ainakin konfiguroida tai ainakin huomioida.

  • Force Device Owner Enrollment
    Normaalille Fully Managed laitteelle oikea valinta
  • Let MDM choose to enroll as a Device Owner or Profile Owner
    HUOM! Normaalissa Fully Managed hallintamallissa tätä ei tule valita, mutta kerrottakoon sellainen huomio, että jos laitteella on Android 11 sekä hallintamallina ”Fully managed device with work profile”, niin tämän käyttö on pakollista. Android 11:stä tämä hallintamallin tuki on loppunut ja tilalle on tullut ”Work profile on company-owned devices” eli mikäli ei ole valittu, niin laite asentuu Fully Managed -tyyppisenä.
  • QR code for enrollment
    Mahdollistaa Android 10 ja uudempien laitteiden viennin tämän QR-koodin kautta Samsung KME -portaaliin ja tämän jälkeen otetaan jopa ko. käyttöönottoprofiilin kautta käyttöön. Ominaisuus aktivoidaan tekemällä ikään kuin ”+”-merkki yhdellä sormella, minkä jälkeen skannataan QR-koodi.
  • Pick your MDM
    Intunen tapauksessa valitaan ”Microsoft Intune”
  • MDM Agent APK
    https://aka.ms/intune_kme_deviceowner
  • Custom JSON Data (as defined by MDM
    {”com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN”: ”TÄHÄN INTUNESTA PROFIILIN ENROLLMENT TOKEN”}
  • Leave all system apps enabled
    Varsinkin Fully Managed -skenaariossa yleensä halutaan jättää. Vaihtoehtona olisi Disable system applications, jolloin mm. kello ja laskin ei ole laitteella käytettävissä ja nämä pitää jakaa halutessaan erikseen Intunen kautta.

Jälleenmyyjän rekisteröinti

”Resellers”-valikosta löydetään ”Knox Customer ID”, joka tulee toimittaa jälleenmyyjällesi. Jälleenmyyjältä saat vastineeksi Reseller ID:n jonka avulla rekisteröinti voidaan tehdä.

Laitteiden lisäys

Valtuutetuilla Samsung-laitteiden jälleenmyyjillä on mahdollisuus rekisteröidä laitteet Knox Deployment Programin (KDP) kautta suoraan Samsung KME -portaaliin. Kun jälleenmyyjä on Samsung KME -portaaliin lisätty, niin tulee tehdä muutamia valintoja:

  • Automatically approve all devices uploaded by this reseller
    Hyväksytäänkö jälleenmyyjän laitteet automaattisesti laitelistoille
  • Default profile
    Jälleenmyyjän lisäämille laitteille kohdistetaan automaattisesti tämä oletusprofiili
  • Additional profiles
    Jos käytössä useita profiileja, niin voidaan erilaisilla jälleenmyyjälle toimitettavilla aliaksilla määritellä useampia (max. 10kpl).

Kuten Applen laitteet, myös Samsungin laitteet voidaan lisätä Samsung KME -portaaliin vähäisissä määrin itse. Tässä käytetään Knox Deployment App (KDA), joka asennetaan johonkin toiseen esim. omaan Samsung-puhelimeesi ja tämän sovelluksen kautta kirjaudutaan KME-portaaliin tarvittavin oikeuksin sekä valitaan aiemmin luotu käyttöönottoprofiili. Kun asetukset on tehty, niin valitaan haluttu tapa viedä puhelin portaaliin joko Bluetooth-, NFC- tai Wi-Fi-tekniikoilla (lisäksi myös ylempänä mainittu QR code for enrollment käyttää KDA appia).

Tässä yhteydessä pyydetään palauttamaan käyttöönotettava laite tehdasasetuksille.

Android Zero-touch Enrollment (ZT)

Kuten Applen ja Samsungin laiterekisteröintiohjelmat, niin myös Android Zero-touch Enrollment (ZT) on ilmainen. Laiterekisteröintiohjelma tukee Android Pie 9.0 tai uudempia, yhteensopivia Android Oreo 8.0 -laitteita tai Google Pixel – Android Nougat 7.0:lla varustettuna. Aiemmin ZT ei tukenut Samsungin laitteita ollenkaan, mutta vuonna 2021 tilanne on sen verran elänyt, että tämä on osittain päällekkäinen tuote Samsung KME:n kanssa, sillä Googlen mukaan ZT tukee nyt kaikkia uusia Android-laitteita eli myös uusimpia Samsungin laitteita. Tämä on kumminkin sen verran uusi linjaus, että on syytä:

    1. Varmistaa toimivuus käytössä olevilla Samsungin laitteilla
    2. Varmistaa myös jälleenmyyjältäsi, tukevatko he tätä vaihtoehtoa

Jos laite on lisätty molempiin eli Samsung KME ja ZT, niin tällöin käytetään Samsung KME:tä.

Laiterekisteröintiohjelmaan rekisteröityminen

ZT-laiterekisteröintiohjelma on siitä vaivaton käyttöönottaa, että kun Samsung / Applen osalta täytyi pyytää heiltä erinäisiä vahvistuksia, niin ZT:ssä voit pyytää suoraan omaa Android-jälleenmyyjääsi avaamaan portaalin yrityksellesi.

Käyttöliittymä on hyvin selkeä, eikä juuri opastusta kaipaa – huomattavasti paljon vähemmän erilaisia säätömahdollisuuksia kuin Samsung KME:ssä ja Apple Business Managerissa.

Roolit ja tunnukset

Portaaliin voi luoda tunnuksia kahdenlaisella roolilla Owner tai Admin. Ensimmäinen luotu tunnus on aina sisäänrakennettu Owner, jonka oikeuksia ei voi vaihtaa. Kuten KME:ssä, niin tätä tunnusta ei suositella ottamaan varsinaiseen ylläpitokäyttöön, vaan onkin suositeltavaa luoda varsinaista käyttöä varten erilliset Admin-tunnukset.

Käyttöönottoprofiilin määritys

Esivaatimukset ovat samat kuin Samsung KME:ssä eli MDM-hallintaan esimerkiksi Microsoft Intuneen luodaan varsinaiset käyttöönottoprofiilit/hallintamallit, josta käydään hakemassa hallintamallin yksilöivä token

”Configurations” alle taas luodaan ZT:n käyttöönottoprofiilit. Tässä esimerkkiprofiilin luonnissa ei ole oikeastaan muuta ihmeellistä kuin DPC extras -osio, jonka formaatti on JSON. Kuvakaappauksessa tekstin ”TÄHÄN TOKENIN KOODI!” tilalle tulee käydä Intunesta hakemassa halutun hallintamallin enrollment token.

Ylläolevan esimerkki JSON:n voi käydä kopioimassa Microsoftin omasta dokumentaatiosta. 

Kun profiili on valmis, niin tämän voi määritellä samasta Configurations-valikosta oletusprofiiliksi tulevaisuudessa lisättäville laitteille.

Laitteiden lisäys

Poikkeuksellista ZT:ssä on, että tänne ei voi lisätä laitteita itse vaan jälleenmyyjän tulee tehdä se puolestasi. Vanhoja esim. testilaitteita on mahdollista lisätä portaaliin valmistelemalla itse CSV-formaattiin luotu tiedosto ja pyytää jälleenmyyjää viemään nämä.

Header Esimerkki Selite 
modemtype IMEI  Vaaditaan, jos laitteella on SIM-kortti. Tämä arvo aina isoin kirjaimin! 
modemid 123456789012345 Vaaditaan, jos laitteella on SIM-kortti. Tähän laitteen IMEI-numero. Jos laite on dual-SIM niin käytetään ainoastaan ensimmäistä IMEI-numeroa  
serial 53R14L Laitteen sarjanumero (vaaditaan, jos laitteella ei ole SIM-korttia) 
model Yal-141 Laitteen malli. Täytyy varmistaa, että malli löytyy tältä listalta: https://developers.google.com/zero-touch/resources/manufacturer-names#model-names 
manufacturer Huawei Laitteen valmistaja. Täytyy varmistaa, että valmistaja löytyy tältä listalta: https://developers.google.com/zero-touch/resources/manufacturer-names 
profiletype ZERO_TOUCH ZT:tä käytettäessä vaadittu arvo. Tämä arvo aina isoin kirjaimin! 
owner 9876543210 
Tähän ZT portaalista Resellers / ”Your customer ID” numero
  

Lisää tietoja Googlen omasta dokumentaatiosta.

Yhteenveto

Suosittelen ehdottomasti laiterekisteröintiohjelmien käyttöä – varsinkin, jos laitteet ovat yrityksen omistamia ja käytettävissäsi on valtuutettu jälleenmyyjä / operaattori, joka voi laitteet puolestasi viedä portaaliin.

Korostan vielä, että oikeastaan ei ole mitään syytä olla näitä ottamasta käyttöön. Kuvatut laiterekisteröintiohjelmat ovat nimittäin ilmaisia eli kannattaa ainakin testata, kuinka helposti laitteiden käyttöönotot sujuvat verrattuna manuaalisesti käyttöönotettaviin.

Lähteet

https://bloggerz.cloud/2019/03/25/mobile-device-automatic-enrollment-2-3-kme/ 

https://bloggerz.cloud/2019/10/12/mobile-device-automatic-enrollment-3-3-zero-touch/ 

https://docs.samsungknox.com/admin/knox-mobile-enrollment/get-started.htm 

https://support.google.com/work/android/answer/7514005?hl=en 

https://learn.microsoft.com/en-us/mem/intune/fundamentals/deployment-guide-enrollment-android 

Kirjoittanut

Mika Tolvanen

Kirjoittaja työskentelee Elisalla Senior Technical Consultant -roolissa erilaisissa päätelaitehallinnan projekteissa. Mika omaa yli 10 vuoden kokemuksen päätelaitteiden hallinnasta ja on työskennellyt pitkään mm. Microsoft Endpoint Manager Configuration Manager (MEMCM) ent. SCCM, AD / Group Policy hallinnan, sovelluspaketoinnin ja näiden logiikoiden parissa. Viime vuosina tekeminen on painottunut yhä enemmän modernin päätelaitehallinnan puolelle, kuten ConfigMgr Co-Management, Windows Autopilot ja Intune-hallinnan muodossa.