Android 設備管理為員工提供基于 Android 的移動工具、內容和應用程序，同時確保公司數據安全。雖然鴻蒙系統持續占領市場，不可否認安卓系統還占據大半壁江山，安卓設備安全對我們很多人依然重要。

Android設備管理說明全球超過80%的移動設備運行Android，這是 Google創建的移動操作系統。這一較高的百分比意味著公司員工比其他設備類型更有可能使用Android進行工作和個人使用。

Android設備在訪問關鍵業務數據時，如果遭到黑客攻擊、被盜或丟失，可能會威脅安全。但通過單一ADM平臺，IT和安全部門可以管理公司的所有移動設備，確保它們的安全以及員工的靈活性和生產力。

Android設備管理允許IT管理員管理和保護 Android設備。提供系統可見性、遠程應用程序管理功能、自動安全更新和安裝、信息亭模式、安全警報、地理定位或地理圍欄，可以自動鎖定丟失或被盜的設備。

Android 的主要安全威脅有哪些？

據Statista稱，Android操作系統是世界上使用最廣泛的移動操作系統。1 從邏輯上講，與Apple iOS用戶和其他用戶相比，Android用戶會遇到更多的安全問題。Android的兩大安全威脅是惡意軟件和數據泄露。

惡意軟件

移動惡意軟件是一種未被檢測到的軟件，其目的是破壞、破壞或非法訪問客戶端、計算機服務器或計算機網絡。惡意軟件可以利用操作系統漏洞竊取數據、更改設備配置以引入更多具有附加功能的惡意軟件、提供彈出廣告或觸發高級短信字符串以實現盈利。某些惡意軟件可能會損壞設備，使其在一段時間內無法使用。

數據泄露

數據泄露是指通過互聯網從移動設備未經授權或無意傳輸敏感信息——有時是由于惡意軟件造成的。應用程序泄露是最常見的移動安全風險之一。未加密的數據使網絡犯罪分子更容易利用與裝有易受攻擊的應用程序的設備相同的網絡來獲取數據，這種做法稱為中間人 (MitM) 攻擊。 

應用程序權限過多

Google Play商店中有數百萬個Android應用程序。雖然有些是安全的并且會極其謹慎地對待個人數據，但許多是不安全的。應用程序可能會受到損害。

受損的應用程序可能會導致數據泄露。個人或公司數據可能從不安全的應用程序流入不道德的第三方。數據泄露的一種方式是通過過多的應用程序權限。應用程序權限決定應用程序可以訪問用戶設備上的哪些功能。某些應用程序權限比其他應用程序權限風險更大，因此用戶需要注意他們授予的權限。

根據Wandera的研究“了解移動威脅形勢”，Android上請求最多的權限中有45%被認為是高風險。但哪些權限是高風險的，又如何呢？以下是Android上經常接受的權限列表，Wandera認為這些權限具有較高風險：

– 查找賬戶：允許應用程序訪問該手機已知的帳戶列表

– 讀取聯系人：允許應用程序讀取該設備上存儲的聯系人數據

– 讀取手機狀態：允許應用程序訪問設備的內部功能，例如電話號碼和設備 ID

– 讀取SD卡：允許應用程序讀取 SD 卡的內容

– 寫入SD卡：允許應用程序修改或刪除 SD 卡的內容

– 精確位置：允許應用程序使用 GPS 或網絡位置源獲取精確位置

– 錄制音頻：允許應用程序隨時使用麥克風錄制音頻

– 拍照和錄像：允許應用程序隨時使用相機

過時的操作系統根據Wandera的研究，“65%的組織至少擁有一臺操作系統過時的設備”，數據顯示“57% 的Android設備運行的操作系統至少有兩個完整版本”版本落后于當前版本。” 更新的操作系統不僅可以提高設備性能，還包括關鍵的安全補丁。因此，如果沒有操作系統更新，Android設備仍然容易受到網絡攻擊。

側載應用程序側載Android設備描述了使用默認Google Play商店之外的應用程序安裝過程。雖然 Android操作系統默認配置不允許從非官方來源下載和安裝旁加載應用程序，但可以配置 Android操作系統設置以允許來自第三方的應用程序。用戶可以從網站下載應用程序包或從第三方應用商店安裝應用程序。

Wandera的研究顯示，大約20%的Android設備啟用了此設置，這使設備面臨威脅。側載應用程序的用戶面臨更大的安全風險，因為它繞過了蘋果和谷歌官方應用程序商店的應用程序審查流程。因此，設備對無意安裝的惡意軟件的保護較少。Wandera的研究表明，“35% 的組織至少在一臺設備上安裝了一個或多個側載應用程序”。

ROOTRoot是允許Android用戶獲得對內部操作系統的控制權的過程。顧名思義，該技術提供了對設備的root訪問權限。獲得root權限的 Android設備的用戶可以進行重大更改，包括更改設備的操作系統。獲取Android操作系統的root權限類似于越獄Apple的iOS。兩者都是權限提升方法，但root為Android用戶提供了比Apple用戶通過越獄獲得的更多控制權。

根據Wandera的研究，“6% 的組織至少擁有一臺已越獄或取得root權限的設備。” 盡管這些危險的配置在試圖解除設備運營商鎖定的用戶中很受歡迎，但它們允許他們安裝未經授權的軟件功能和應用程序。一些用戶可能會越獄或root其移動設備來安裝安全增強功能。但大多數人都在尋求一種更直接的方法來自定義操作系統或安裝官方應用商店中未提供的應用程序。無論如何，生根都會使設備面臨網絡威脅。

Android設備管理的工作原理

成功的ADM計劃最適合與Android Enterprise配合使用。Android Enterprise 是 Google 主導的一項計劃，支持在工作場所使用Android設備和應用程序。提供了一種快速、簡化的方法來部署企業擁有的Android設備，并且它是運行 5.0+ 的Android設備的默認管理解決方案。

該計劃提供API和其他開發人員工具，以便將 Android支持集成到其企業移動管理 (EMM) 解決方案中。例如，IBM Security ? MaaS360 with Watson是Android Enterprise 推薦的統一端點管理 (UEM) 平臺，與Android Enterprise 集成以支持Android EMM 解決方案API。它為Android操作系統帶來了統一的管理體驗。

Android Enterprise 集成允許組織：

– 深入了解每個設備，包括其操作系統和版本號、制造商詳細信息和根檢測。

– 執行操作來定位設備并鎖定或擦除（全部和選擇性）丟失的設備。并通過阻止列表、允許列表以及自動安裝或刪除來控制應用程序。此外，對相機等硬件功能實施地理圍欄，以保護敏感數據。

– 設置策略以允許訪問從電子郵件到 Wi-Fi 和 VPN 的公司資源。管理密碼更新和長度以滿足不斷發展的企業標準，并強制執行加密和信息亭模式。

– 禁用相機、USB 存儲和麥克風等硬件功能。通過剪貼板、剪切粘貼和屏幕捕獲功能的功能限制來保護數據級泄漏。

• 強制執行操作系統更新以減少漏洞或暫停更新，直到公司應用程序經過審查并準備好部署。
• 使用 OEMConfig 對新的 Android 操作系統版本和設備提供零日支持。
• 通過開箱即用的配置和一次性設置實現大規模部署的零接觸注冊。

BYOD通過屏蔽個人應用程序信息、設備位置、物理地址、SSID和瀏覽歷史記錄來支持隱私和安心。借助Android工作配置文件，個人數據可以保持私密性，同時工作數據也可以保持安全。用戶可以在工作和個人資料之間切換，而無需在兩者之間共享數據。