Eli tässä avviisissa Digikuun nuorempi kosmonautti käy vähän Aakkosfirman palvelukattauksessa vieraissa. Toiveissa löytää se kiva, mutta edullinen edustapalvelu Intunen laitehallintaa ajatellen.
Lähestytään sertitenteistä tutulla skenaarioesittelyllä asiaa:
Olet ainoa kuukausipalkkalainen ATK-kuli globaalia liiketoimintaa harjoittavassa konsernissa. Firman bisnes on tässä keississä sivuseikka, mutta konttoreita puulaakilla on Suomessa, Taiwanissa ja Australiassa. Koska sinulla on vain 24 h päivässä annettavana konsernin koukkunokille elämästäsi, niin haikailet jotain ATK-henkisempää ratkaisua nimenomaisesti Android-puhelinten rollaukseen Intunen syövereihin.
Muita railakkaita reunaehtoja:
Jokaisessa kolmessa eri maassa on luonnollisesti eri hovitoimittajat matkapuhelimien osalta:
- Suomessa Telia
- Taiwanissa FarEastTone
- Ja Australiassa Telstar
Ja superbonuksena
Suomessa operoidaan Samsungin A-sarjalaisilla, taiwanilaiset ovat tykästyneet Oppoihin ja Australiassa on taas vapaa shekkivihko aivan mihin tahansa Androidi-laitteeseen valkokauluksilla. Tämähän sikermä tarkoittaa käytännössä sitä, että vanhastaan sinua hyvin palvellut Samsungin Knox ei oikein edustapalveluna taivu tähän tarpeeseen kovin hyvin.
Todettakoon vielä skuupin ja agendan vuoksi, että Intunesi on jo hallintamallejaan myöden ns. jiirissä.
Raivoisan hakukoneilun jälkeen päädyt, globaalina ratkaisuna, Googlen Zero Touch -edustaan, jota aloitat työstämään.
Miten ajattelit ratkaista tämän ja siten helpottaa myöhempää työelämääsi?
Ensimmäinen tarve
Tarvitset Google identiteetin, johon on liitetty tenanttisi sähköpostiloota. Tämän tunnuksen ei sinällään tarvitse olla kovin fiini, joten F3-lisenssi riittää aivan mainiosti. Tärkeintä on, että G-identiteettiä luodessasi et muodosta myös Gmail-laatikkoa samaan syssyyn.
Seuraava tarve
Tässä kohden koulutusta tarvitset hieman ystävällisen teleoperaattorisi jeesiä, koska tavallinen kuolevainen (eli sinä) et kykene provaamaan Googlen Zero Touch -portaalia; tähän hommaan kun tarvitaan ne EMM-providerin natsat kaulurissa. Eli joudut vähän kohoamaan sieltä autismin alhoistasi ottamaan yhteyttä ystävälliseen palvelupäällikköösi operaattorilla ja esittelemään tarpeesi. Tässä kohden olisi hyvä olla hanskassa tuo Google X MS -hybriditunnus, jonka tulet luovuttamaan käyttöönoton nimissä teleoperaattorisi käyttöön.
Vaikka sinulla on listoilla kolmet eri hovitoimittajat, niin riittää että ystävällisin ja palveluhalukkain niistä saa tämän provauksen sinulle aikaiseksi.
Tarina jatkuu
Ystävällinen teleoperaattorisi on nyt luovuttanut sinulle Googlen partner portaalin avaimet ja sekasikiöidentiteetilläsi pääset jopa nyt loggautumaan sinne sisään. Tässä kohden muistutan, että myös G-firman palvelut tukevat MFA-tyyppisiä ratkaisuja, joten portaaliin owneriksi päätynyt tunnari olisi kelpoa nyt suojata MFA:lla.
Vaikka portaali tarjoaa tavalliselle kuolevaiselle jopa CSV-tyyppisen importin firman Androideista, niin vain teleoperaattori voi lisätä sinne uusia laitteita. Laitteen poistamiseen hallinnasta onnistuu myös tavantallaajilta, jos luvitukset ovat portaaliin kunnossa.
Kun päästiin piskuisella aasinsillalla kohtaan luvitukset, niin tulevaisuudessa halunet portaaliin jotain muitakin identiteettejä hanskaamaan päivittäisoperaatioita, muitakin siis kuin se yksi owner-tasolla hääräilevä tunnus. Tässä kohden tulee ensimmäinen turska kasvoille, nimittäin portaaliin voi addata vain G-tilejä.
Mitä tää tekee?
Kuten Applen Business Manager, Googlen Zero Touch pitää huolta laitteen omistajuussuhteesta organisaatioon ja kuten ABM, niin myös tämä härveli osaa heittää Androideja kohti haluttua MDM-tuotetta.
Google Zero touch ei välitä käyttäjän ja laitteen naitoksesta (tämän hoitaa sitten Intune myöhemmin), mutta se välittää kovasti organisaation ja laitteen, sekä siihen kohdistuvan konfiguraation kohtaamisesta.
Helvetillinen konffaus
Multinationaaliofirmassasi on käytännössä kolme eri hallintamallia Androideille tarjolla, ja nämä olet jopa onnistuneesti sorvannut Intuneen kera Play-storeliitoksien. Nämä hallintamallit ovat:
- Corporate owned dedicated Devices – Voit kutsua vaikka näitä kioskilaitteiksi
- Corporate-owned, fully managed user device – Eli jäykän kurin työpaikkapuhelimet, ilman personal-profiilia
- Corporate owned Work Profile – Skandinaavisen liberaalit puhelimet, joissa personal- ja workki-profiilit
Hallintamalleja jaotellaan seuraavalla logiikalla:
Kioskilaitteita on ihan jokaisessa toimipisteessä, mm. digital signage -henkisesti.
Suomeen henkilöityvät puhelimet ovat aina corporate owned work profile, taiwanilaisille tulee AINA ja IKUISESTI fully managed user devicejä. Ausseille taasen melkein kaikki laitteet ovat fully managedeja PAITSI viisihenkiselle johtoryhmälle tulee workki-profiilin kanssa.
Addaillaan siis nämä kolme eri konfiguraatiota portaaliin.
EMM DPC olisi Intune ja DPC extraan määritellään seuraavat loitsut, pär hallintamalli. Google kokee jostakin syystä tärkeäksi sen, että määritykset tehdään ilman graafista designeriä minimieditorilla, joten maltti sekä kyvykkyys sulkea aaltosulkuja on tärkeää tässä humpassa.
Kioskikikottimeen
{
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "TARKISTA_JA_LISÄÄ",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {
"com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "SINUN_TOKENISI_MENEE TÄHÄN"
}
}
Fully managed user device
{
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":
"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "TARKISTA JA LISÄÄ",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION":
"https://play.google.com/managed/downloadManagingApp?identifier=setup",
"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {
"com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "SINUN_TOKENI_MENEE_TÄHÄN"
}
}
Corporate owned Work Profile
{
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":
"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "TARKISTA JA LISÄÄ",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION":
"https://play.google.com/managed/downloadManagingApp?identifier=setup",
"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {
"com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "SINUN_TOKENI_MENEE_TÄHÄN"
}
}
Nämähän ovat aivan identtiset?
Hyvä huomio! Magia makaan paljolti enrollment tokenin tarjoilussa, eli paljolti siinä, miten olet määritellyt hallintamallit Intuneen.
Voiko jo lopettaa?
Nämä konffikset sitten tarttuvat laitteeseen OOBE-kokemuksen aikana, siinä kohden kun laitos könyää verkkoon rekisteröimään itseään G-firman palveluihin. Hulvattoman hauska admini kirjaili jotain tervehdystä ym. konffien kylkeen, eli vaikkapa hae kuppi kahvia, tässä valmistuu sinulle Korporaation matkapuhelin. Plz lue intrasta lisäohjeet.
Ja sittenpä systeemi tarjoilee tokaa turskaa kasvoille, nimittäin vain yksi laadituista konfiguraatioista voi olla oletuksena, vaikka sinulla olisi kymmenen eri teleoperaattoria autorisoituneina toimittajina listoilla. Tämä oletuskonffis tarttuu sitten automaattisesti aivan kaikkiin portaaliin rollattuihin laitteisiin.
Onneksi portaalin owneri tai admini voi kohdistaa haluttuja konffiksia myöhemmin itsekin, ilman operaattorin rautakauluksia. Tässä kohden olisi varmasti hyvä suorittaa sellainen pieni matematiikkaoperaatio, että millaisia laitoksia menee eniten maailmalle ja säätää sen mukaisesti oletuskonffis timantiksi, variaatiot tästä ovat sitten raivoisaa käsityötä kohdistuksien kanssa.
Onneksi uudet osto- ja leasinglaitteet toki päätyvät portaaliin IMEI-koodinsa kanssa ennen niiden päätymistä loppukäyttäjän hyppysiin, joten ATK-maailman sankarilla on ihan kohtuullisesti aikaa kohdistaa niihin haluttu konffi. Uusien laitoksien lisäämisen suorittaa siis ystävällinen teleoperaattorisi. JOS olet muistanut autorisoida ne portaaliin, jos taasen kaukomaiden johtava ISP ei löydy listoilta, niin pääsemme vähän syömään suolaisempaa kiisseliä. Nimittäin se prosessi on sitten Googlen ja operaattorin välinen valssi.
Ja loppu onkin sitten Intunen suoltaman konffin juhlaa.
Todettakoon, että portaali tukee Intunen lisäksi myös muitakin MDM-ratkaisuja. Voit olla niinkin jännittävässä tilanteessa, että sinulla on konffit Miradorea, MobileIronia ja PDQ:ta varten tehtynä. Esimerkkinsnipeteissäni on käytetty yllättäen Intuneen johdattavaa polkua.
Menipä väärä konffis sisään, mitä tehdä?
Hupsista keikkaa, Suomen maajohtajalle päätyi uudenkarheaan Anteroon fully managed mausteet ja mies käy jotakuinkin kuumana. Eipä hätää, mitään peruuttamatonta ei ole tapahtunut. Vaihda laitteeseen osuva konffis ja pyydä talousmaisteria resetoimaan uusi Antero OOBE-tilaan asti.
Näihin kuviin ja tunnelmiin, kohti seuraavaa kertaa!
– Pilvipalvoja Kai Kolima
