Privacygerichte uitleg per verbinding
1 — Screen Control ↔ Android Management API (AMAPI)
Screen Control stuurt apparaatbeheerconfiguratie naar Google AMAPI, waaronder beleidsinstellingen, opdrachten, enrollmentmetadata en verwijzingen naar appbeleid. Screen Control ontvangt apparaatbeheergegevens vanuit AMAPI terug, zoals compliancestatus, toegepaste beleidsstatus, apparaatinventaris en apprapportages.
2 — AMAPI ↔ Device
Het apparaat ontvangt provisioning- en beleidsinstructies via Google's Android-beheercomponenten en rapporteert de beheerstatus terug aan AMAPI. Via dit kanaal worden apparaatbeheergegevens uitgewisseld, zoals apparaatidentificatoren, beleidsstatus, compliancestatus, status van geïnstalleerde apps en update-/appbeheerstatus.
3 — Play Store ↔ Device
Het apparaat gebruikt managed Google Play / Play Store om goedgekeurde apps en app-updates te verkrijgen. Dit is appdistributieverkeer. Op zichzelf betekent dit niet dat Google-content van eindgebruikers, zoals Gmail, Drive, Calendar, Contacts of persoonlijke accountgegevens, wordt uitgewisseld. Zie de hieronder toegelichte kanttekening.
4 — Screen Control ↔ Device
Prowise communiceert ook rechtstreeks met het apparaat via Screen Control-specifieke mechanismen. Hierdoor kan Prowise aanvullende configuratie bieden bovenop de standaard AMAPI-mogelijkheden, de live online/offline status van het apparaat zien, pushnotificaties versturen, externe toegang inschakelen en bepaalde opdrachten of updates uitvoeren. Deze verbinding moet worden beschouwd als een afzonderlijk, door Prowise beheerd beheerkanaal, los van AMAPI- en Play Store-verkeer.
5 — Screen Control ↔ Play Store
Screen Control kan integreren met Google Play Store-beheerinterfaces, zoals Google's managed Play iframe-aanpak, zodat beheerders apps kunnen openen, goedkeuren, configureren en beheren via de Screen Control UI. Dit is een administratieve appbeheerflow, geen directe apparaattelemetrieflow.
Enrollment
Voor EDLA-enrollment maakt Screen Control een enrollmenttoken aan via de verbinding 1 — Screen Control ↔ AMAPI. Dit token wordt vervolgens toegepast tijdens de firmware-installatie en door het apparaat gebruikt via de verbinding 2 — AMAPI ↔ Device om de enrollment te voltooien. Het token zorgt ervoor dat het apparaat wordt enrolled in de bedoelde modus, specifiek als dedicated device en userless, en dat het apparaat wordt gekoppeld aan de juiste organisatie in Prowise / Screen Control.
Google Chrome
Google Chrome is vereist voor bepaalde kernfunctionaliteit en wordt geïnstalleerd nadat een scherm is enrolled. Om het delen van gebruikersgegevens met Google te beperken, raden wij aan om browseraanmelding in Chrome uit te schakelen via Screen Control-appbeleid.
Let op dat dit niet voorkomt dat gebruikers in de browser inloggen op Google-websites, wat nog steeds kan leiden tot het delen van gegevens met Google. Dit is uiteraard mogelijk met elke webbrowser.
Beheerders kunnen Chrome volledig verwijderen, maar dit wordt niet aanbevolen omdat dit aanmelding bij Central / Prowise-services breekt en ook aanmelding in andere apps kan beïnvloeden.
Samenvatting
De enrollmentmodus is dedicated device, userless. In deze modus is er voor beheerdoeleinden geen specifiek eindgebruikersprofiel ingelogd op het apparaat. Google gebruikt een anoniem/userless account om Android Enterprise-services mogelijk te maken, zoals beleidshandhaving en toegang tot managed Play.
Dit betekent dat de standaard AMAPI-/managed Play-inrichting standaard geen Google-content van eindgebruikers verzamelt of uitwisselt. De relevante gegevens zijn hoofdzakelijk apparaatbeheer- en appbeheergegevens: apparaatidentificatoren, beleidsstatus, compliancestatus, status van geïnstalleerde apps, updatestatus en vergelijkbare operationele metadata.
Er is één belangrijke kanttekening: als Google-apps in Screen Control worden goedgekeurd, op het apparaat worden geïnstalleerd en een persoon vervolgens in die apps inlogt met een Google-gebruikersaccount, ontstaat er een afzonderlijke gegevensstroom voor dat gebruikersaccount. Die aanmelding op appniveau valt buiten het standaard userless dedicated-device beheermodel. Dit kan eenvoudig door beheerders worden voorkomen door geen aanvullende Google-apps goed te keuren.