Baja de la administración de dispositivos

Resumen

Android originalmente introdujo la administración de dispositivos móviles en Android 2.2. Desde entonces, las necesidades de las empresas evolucionaron. Cada vez más, los dispositivos acceden a recursos más confidenciales y se usan en una mayor variedad de casos de uso para los que se diseñó la API de administración de dispositivos original de Android. Estos son algunos de estos casos de uso:

• Separación de los datos laborales de los datos personales en implementaciones de uso mixto o BYOD.
• Distribución de aplicaciones empresariales y administración de sus datos a través de Google Play y administración de las cuentas de Google necesarias para esto.
• Bloquear los dispositivos en un kiosco a fin de adaptarlos a usos específicos de la aplicación
• Administración de certificados para permitir el acceso a los recursos protegidos por la PKI
• Establecimiento de VPN por app y por perfil para admitir aplicaciones empresariales remotas mientras se protege la privacidad.

Al mismo tiempo, las empresas exigieron una relación de confianza más alta que la que se diseñó para administrar dispositivos. Debido a que cualquier administrador que autorice el usuario puede habilitar un administrador de dispositivos, no es compatible con varios casos prácticos empresariales, como los siguientes:

• Establecer la protección contra el restablecimiento de la configuración de fábrica (FRP) para garantizar que los dispositivos permanezcan administrados y se puedan recuperar cuando los empleados se vayan
• Restablecimiento seguro de las contraseñas de los dispositivos encriptados
• Impide la eliminación del administrador del dispositivo (se quitó de Nougat por razones de seguridad).
• Establecimiento de contraseñas definidas por el administrador para bloquear al usuario en un dispositivo (se quitó en Android 7.0 Nougat por razones de seguridad).

El administrador de dispositivos se considera un enfoque de administración heredado, ya que se introdujeron los modos de perfil de trabajo (propietario del perfil) y dispositivo administrado (propietario del dispositivo) de Android en Android 5.0. Debido a que el administrador de dispositivos no es adecuado para satisfacer los requisitos empresariales actuales, recomendamos que los clientes y socios adopten los modos de perfil de trabajo y dispositivo administrado para administrar sus dispositivos de ahora en adelante. A fin de admitir esta transición y enfocar nuestros recursos en las funciones de administración actuales de Android, decidimos dar de baja el administrador de dispositivos para uso empresarial en la versión 9.0 de Android y quitaremos estas funciones en la versión Android 10.0.

Políticas obsoletas

Con el lanzamiento de Android 9.0, las siguientes políticas se marcan como obsoletas cuando las invoca un administrador de dispositivos, pero las API siguen funcionando.

• USES_POLICY_DISABLE_CAMERA
• USES_POLICY_DISABLE_KEYGUARD_FEATURES
• USES_POLICY_EXPIRE_PASSWORD
• USES_POLICY_LIMIT_PASSWORD

A partir del lanzamiento de Android 10.0, las políticas antes mencionadas lanzarán una SecurityException cuando un administrador de dispositivos la invoque en apps orientadas al nivel de API 29.

Con el lanzamiento de Android 11.0, el USES_POLICY_RESET_PASSWORD se marca como obsoleto cuando un administrador de dispositivos lo invoca y deja de funcionar. Se arrojará una SecurityException en apps orientadas al nivel de API 24 y versiones posteriores.

Algunas aplicaciones usan el administrador de dispositivos para la administración de dispositivos para consumidores, por ejemplo, para bloquear y limpiar un dispositivo perdido. Las siguientes políticas seguirán estando disponibles para habilitarlas:

• USES_POLICY_WIPE_DATA
• USES_POLICY_FORCE_LOCK

Actualice su implementación

Para reemplazar las políticas de protección de seguridad y contraseña marcadas como obsoletas en la sección anterior, las apps, incluidas las que administran implementaciones de ActiveSync de Exchange, deben usar el método descrito en Verificación de calidad del bloqueo de pantalla.

Orden cronológico

Android 9.0: El administrador de dispositivos está marcado como obsoleto para uso empresarial a través de actualizaciones de la documentación. La funcionalidad existente sigue funcionando para aplicaciones orientadas al nivel de API 28, aunque no se recomienda su uso. Todos los socios y clientes deben migrar a los perfiles de trabajo o a los dispositivos completamente administrados antes del lanzamiento de Android 10.0.

Android 10.0: Las políticas anteriores ya no estarán disponibles para los DPC que se orienten al nivel de API 29.

Qué significa esto para los administradores de TI

Recomendamos a los socios y clientes que comiencen a prepararse ahora para este cambio. El uso del administrador de dispositivos se puede identificar por una pantalla (consulta la Figura 1 para ver un ejemplo) cuando se activa la administración del dispositivo:

Si actualmente usas el administrador de dispositivos para administrar tus dispositivos, hay dos estrategias disponibles para migrar a las API de administración actuales de Android. Si quieres inscribir un dispositivo para la administración, necesitarás un proveedor de Administración de movilidad empresarial (EMM) que admita el modo de perfil de trabajo de Android (propietario del perfil) o de dispositivo administrado (propietario del dispositivo). Los clientes deben elegir el modo de administración que mejor se adapte a su implementación. En algunos casos, ambas estrategias se pueden emplear de forma simultánea.

Puedes encontrar una lista de ofertas compatibles aquí. Tu proveedor de software de EMM puede proporcionar orientación específica sobre sus ofertas de productos.

Administración de dispositivos personales (uno propio)

Los dispositivos personales son compatibles con el modo de perfil de trabajo de Android. Un EMM implementa un perfil de trabajo para proporcionar un contenedor a nivel del SO que separe las aplicaciones de trabajo y personal de un usuario, y los datos en sus dispositivos. Las organizaciones se benefician de la capacidad de implementar aplicaciones con Google Play administrado junto con una mayor seguridad de que los datos no se comparten de forma accidental o intencional. Los administradores de TI también pueden limpiar de forma selectiva los datos empresariales de forma independiente de los archivos del usuario si este abandona la organización.

Administración de los dispositivos de la empresa

Los dispositivos Android que son propiedad de la empresa son compatibles con la implementación de dispositivos en modo de dispositivo administrado. Un dispositivo administrado se inscribe con un EMM, que puede proporcionar una administración completa del ciclo de vida del dispositivo Android y sus datos. Esto incluye el bloqueo de las funciones de hardware, la protección contra el restablecimiento de la configuración de fábrica y la anulación de la inscripción, la limpieza remota administrativa y el restablecimiento de todo el dispositivo, y la personalización de las aplicaciones, incluida la compatibilidad con kioscos o con implementaciones de aplicaciones individuales. En general, las organizaciones que usan el modo de dispositivo administrado administrarán al menos uno de los tres tipos de implementación, aunque estos pueden combinarse y combinarse en toda la flota de una organización según sus requisitos:

• Solo de trabajo: Por lo general, las implementaciones de solo trabajo se orientan a trabajadores que usan un dispositivo para una variedad de aplicaciones. Este método no admite el uso personal.
• Habilitadas de forma personal: Por lo general, las implementaciones habilitadas de manera personal se orientan a los trabajadores que tengan un dispositivo que su empleador les haya proporcionado, pero que desean usar las aplicaciones personales del dispositivo de manera flexible. La implementación de un perfil de trabajo en un dispositivo administrado permite que el empleado ejecute aplicaciones de trabajo junto con aplicaciones personales sin comprometer los datos corporativos.
• Dispositivos dedicados: Por lo general, las implementaciones dedicadas de dispositivos abarcan dispositivos administrados, a veces llamados “de propiedad única, corporativos” o “COSU”, que bloquean el hardware y las aplicaciones para adaptar el dispositivo a las funciones de trabajo específicas que debe realizar un empleado.

Recomendamos que los dispositivos empresariales se implementen como dispositivos administrados, ya que permiten administrar todo el ciclo de vida de los dispositivos, incluidas las políticas de protección contra el restablecimiento de la configuración de fábrica y el borrado completo de dispositivos.

Orientación sobre la migración para los clientes

BYOD: Administrador de dispositivos a implementaciones de un perfil de trabajo

Recomendamos que los perfiles de trabajo se usen para todos los dispositivos personales. La migración del administrador de dispositivos heredado a un perfil de trabajo se puede controlar con interrupciones mínimas. Para ello, puedes enviar dispositivos personales a fin de que instalen un perfil de trabajo, o bien pedirles a los dispositivos nuevos que se inscriban con un perfil de trabajo a medida que los dispositivos existentes salen de la flota.

Dispositivos de la empresa: administración de dispositivos a dispositivos administrados

Recomendamos que los dispositivos de la empresa estén configurados como dispositivos completamente administrados. Para migrar un dispositivo del administrador al dispositivo administrado, se debe restablecer la configuración de fábrica. Como esta acción es más perjudicial para los usuarios, sugerimos una adopción por fases, en la que los dispositivos nuevos se inscribirán como dispositivos completamente administrados, pero los dispositivos existentes se dejarán en el administrador del dispositivo.

Tipos de migración

Algunas estrategias de migración generales se definen de la siguiente manera:

• Big Bang: Se solicita a grandes poblaciones de usuarios existentes que actualicen a un dispositivo administrado o perfil de trabajo en una o más olas grandes de actualizaciones.

• Adopción por fases: Los usuarios nuevos y los dispositivos nuevos se configuran con los nuevos modos de administración a medida que se inscriben. Los dispositivos más antiguos de administración de dispositivos se dejan de usar en la flota a través de la deserción natural.

Preguntas frecuentes

¿Qué ocurre con los dispositivos más antiguos?

Cuando se lanza Android 10.0, esperamos que todos los dispositivos que lo ejecuten admitan los modos de dispositivos administrados o de perfil de trabajo. Los dispositivos más antiguos se pueden migrar como se describió antes o se administran mediante el administrador de dispositivos hasta que se reemplacen.

¿Qué sucede si tengo apps que no proporcionan EMM y que usan el administrador del dispositivo?

A veces, las aplicaciones como una aplicación de correo electrónico pueden convertirse en administradores de dispositivos en respuesta a las políticas empresariales aplicadas en los servidores de correo electrónico. Estas aplicaciones estarán sujetas a las mismas restricciones que desde el lanzamiento de Android 10.0: pueden convertirse en administradores de dispositivos, pero no podrán aplicar políticas de contraseña ni restricciones de hardware. Según el caso de uso, estas aplicaciones pueden hacer lo siguiente:

• Aumenta un perfil de trabajo (conviértete en DPC).
• Pídele al usuario que configure la aplicación en otro EMM (si está bajo el control de otro DPC, si es necesario).
• Opta por implementar sus propias restricciones de contraseñas (en la app).

Recomendamos que estas apps tengan un mecanismo para detectar si un EMM administra un dispositivo y remitirlo al proveedor de EMM para su administración. Esta detección se puede lograr a través de un intercambio de tokens mediante la Administración de configuración de dispositivos móviles (MCM).

¿Qué sucede cuando se lanza Android 10.0?

Los comportamientos obsoletos dejarán de funcionar y mostrarán una excepción de seguridad para las apps que se ejecuten en Android 10.0 y se orienten a ese nivel de API.