什么是 Android 设备管理

全球 80% 以上的移动设备运行由 Google 创建的移动设备操作系统 Android。这一较高的百分比意味着，与其他类型的设备相比，公司员工更有可能将 Android 用于工作和个人用途。

当 Android 设备在访问关键业务数据时，如果被入侵、被盗或丢失，可能会对安全构成威胁。但通过单一的 ADM 平台，IT 和安全部门可以管理公司所有的移动设备，既保障其安全，又保持员工的灵活性和工作效率。

IT 管理员可以利用 Android 设备管理功能管理和保护 Android 设备。它提供系统可见性、远程应用程序管理功能、自动安全更新和安装、信息亭功能、安全警报以及可以自动锁定丢失或被盗设备的地理位置或地理围栏。

根据 Statista 的数据，Android 操作系统是世界上使用最广泛的移动设备操作系统。 ¹从逻辑上讲，与苹果 iOS 用户和其他用户相比，Android 用户更容易遇到安全漏洞。两大 Android 安全威胁分别为恶意软件和数据泄露。

Google Play 商店中提供数百万个 Android 应用程序。虽然有些服务安全可靠，对个人数据处理极其谨慎，但很多服务并不安全。应用程序可能会被入侵。

被入侵的应用程序可能导致数据泄露。个人或公司数据可能会从不安全的应用程序流向不道德的第三方。数据泄露的一种途径是应用程序权限过大。应用程序权限决定了应用程序可以访问用户设备上的哪些功能。某些应用程序权限的风险高于其他应用程序权限，因此用户需要注意他们授予的权限。

根据 Wandera 的研究“了解移动威胁态势”，Android 上最常请求的权限中有 45% 被认为是高风险权限。但哪些权限风险较高？为什么风险较高？以下是 Wandera 认为在 Android 上经常被允许且具有较高风险的权限列表：

• 查找帐户：允许应用程序访问该手机的已知帐户列表
• 读取联系人：允许应用程序读取存储在该设备上的联系人数据
• 读取手机状态：允许应用程序访问设备的内部功能，例如电话号码和设备 ID
• 读取 SD 卡：允许应用程序读取 SD 卡的内容
• 写入 SD 卡：允许应用程序修改或删除 SD 卡的内容
• 精确位置：允许应用程序使用 GPS 或网络位置源获取精确位置
• 录制音频：允许应用程序随时使用麦克风录制音频
• 拍摄照片和视频：允许应用程序随时使用摄像头

根据 Wandera 的研究，“65% 的组织至少有一台设备安装了过时的操作系统。”数据显示，“57% 的 Android 设备运行的操作系统版本比当前版本至少落后两个完整版本。更新的操作系统不仅可以提升设备性能，还包含关键的安全补丁。因此，如果不进行操作系统更新，Android 设备仍然容易受到网络攻击。

旁加载 Android 设备是指使用默认 Google Play 商店之外的一种应用程序安装过程。虽然 Android 操作系统的默认设置不允许从非官方来源下载和安装旁加载的应用程序，但可以通过配置 Android 操作系统设置来允许安装第三方应用。因此用户可以从网站下载应用程序包或从第三方应用程序商店安装应用程序。

Wandera 的研究表明，大约 20% 的 Android 设备启用了此设置，这会使设备面临威胁。旁加载应用程序的用户面临更高的安全风险，因为这种做法绕过了苹果和谷歌在其官方应用商店的应用审核流程。因此，设备对无意安装的恶意软件的防护能力较弱。根据 Wandera 的研究，“35% 的组织至少有一台设备安装了一个或多个旁加载应用程序。”

Rooting 是指允许 Android 用户获得对操作系统内部系统控制权的过程。顾名思义，这项技术为设备提供了 root 权限访问。已获取 root 权限的 Android 设备用户可以进行重大更改，甚至包括更改设备的操作系统。对 Android 操作系统进行 Root 类似于对苹果的 iOS 进行越狱。两者都是权限升级方法，但与苹果用户通过越狱获得的权限相比，root 为 Android 用户提供了更多的控制权。

根据 Wandera 的研究，“6% 的组织至少拥有一台越狱或已 Root 的设备。”尽管这种做法在试图解除设备运营商锁定的用户中很受欢迎，但这些高风险配置允许他们安装未经授权的软件功能和应用程序。有些用户可能会越狱或对移动设备进行 Root，以安装安全增强功能。但大多数用户是为了更直接地自定义操作系统或安装官方应用商店中无法获取的应用程序。无论原因如何，Root 操作都会使设备暴露于网络威胁之中。

成功的 ADM 程序与 Android Enterprise 结合使用效果最佳。Android Enterprise 是一项由 Google 主导的计划，支持在工作场所使用 Android 设备和应用程序。它为部署公司自有的 Android 设备提供了一种快速且精简的方法，并且是运行 5.0 及以上版本 Android 设备的默认管理解决方案。

该计划提供 API 和其他开发人员工具，以便将对 Android 的支持集成到他们的企业移动管理 (EMM) 解决方案中。例如，IBM® Security MaaS360 是一个获得 Android Enterprise Recommended 认证的 统一终端管理 (UEM) 平台，它与 Android Enterprise 集成，以支持 Android EMM 解决方案的 API。它为 Android 操作系统带来了统一的管理体验。

利用 Android Enterprise 整合，组织能够：

• 深入洞察分析每台设备，包括其操作系统和版本号、制造商详情以及 root 检测。
• 执行操作以定位设备，并对丢失的设备进行锁定或清除（可选择全部清除或部分清除）。通过阻止名单、许可名单和自动安装或删除来控制应用程序。
• 对摄像头等硬件功能实施地理围栏，以保护敏感数据。
• 设置策略以允许访问公司资源，包括电子邮件、Wi-Fi 和 VPN。管理密码更新和长度，以满足不断变化的企业标准，并强制执行加密和信息亭模式。
• 禁用相机、USB 存储空间和麦克风等硬件功能。通过对剪贴板、剪切粘贴和屏幕截图功能的限制来防止数据层面的泄露。
• 强制执行操作系统更新以减少漏洞，或者暂停更新，直到您的企业应用程序经过审查并准备好部署为止。
• 针对 Android 操作系统新版本和使用 OEMConfig 的设备提供零日支持。
• 零接触注册，具备预配置设置和一次性安装流程，适用于大规模部署。

BYOD 通过保护个人应用信息、设备位置、物理地址、SSID 和浏览历史，来支持隐私并提供安心保障。使用 Android 工作配置文件，个人数据可以保持私密，而工作数据则能得到安全保障。用户可以在工作资料和个人资料之间切换，而无需在两者之间共享数据。