# MDM versus EMM voor mobiel apparaatbeheer in Workspace

MDM versus EMM voor mobiel apparaatbeheer in Workspace is een vraag die vaak voor verwarring zorgt, omdat de termen door elkaar worden gebruikt. Het verschil zit in de reikwijdte. MDM, Mobile Device Management, beheert het apparaat. EMM, Enterprise Mobility Management, is breder en omvat naast het apparaat ook apps, content en identiteit. Google Workspace heeft hiervoor endpoint management ingebouwd.

[[TOC]]

## Het verschil tussen MDM en EMM

Begin bij de definities, want daar zit de hele keuze in.

**MDM (Mobile Device Management)** richt zich op het apparaat zelf: versleuteling afdwingen, schermvergrendeling, wissen op afstand, een minimale OS-versie eisen. Het beheert het toestel als geheel.

**EMM (Enterprise Mobility Management)** omvat MDM plus app-beheer, contentbeheer en identiteitsbeheer. Het stuurt niet alleen het toestel maar de hele mobiele werkomgeving en de bedrijfsdata daarop.

| Aspect | MDM | EMM |
| --- | --- | --- |
| Apparaatinstellingen | Ja | Ja |
| App-beheer en distributie | Beperkt | Ja |
| Contentbeheer | Nee | Ja |
| Identiteits- en toegangsbeheer | Nee | Ja |
| Werk- en privédata scheiden | Beperkt | Ja |

EMM is dus de bredere paraplu waaronder MDM valt. Een belangrijk EMM-concept is het scheiden van werk- en privédata op een toestel, zodat je bedrijfsdata kunt wissen zonder de privéfoto's van een medewerker te raken.

:::info title="Workspace endpoint management"
Google Workspace heeft endpoint management ingebouwd in twee niveaus voor mobiel. Basisbeheer dwingt eenvoudige eisen af zoals schermvergrendeling, zonder dat er een app op het toestel hoeft. Geavanceerd beheer biedt EMM-functies zoals werkprofielen op Android, app-distributie en gedetailleerd beleid. Welk niveau je krijgt hangt af van je editie: een aantal geavanceerde functies vereist Business- of Enterprise-licenties.
:::

## BYOD versus bedrijfsapparaten

De keuze tussen MDM en EMM hangt sterk samen met wie de apparaten bezit.

- **BYOD privétoestel**: een werkprofiel scheidt werk en privé, zodat je alleen het werkdeel beheert.
- **Bedrijfstelefoon**: volledig beheer is mogelijk, want het toestel is eigendom van de organisatie.
- **Alleen mail-toegang**: basisbeheer volstaat vaak, met schermvergrendeling en wissen op afstand.
- **Gevoelige data mobiel**: hier loont geavanceerd beheer met werkprofielen en strakker beleid.

:::warn title="Wis nooit zomaar een privétoestel"
Bij BYOD mag je niet zonder meer het hele privétoestel van een medewerker wissen of volledig beheren. Dat raakt persoonlijke data en privacyrechten. Gebruik werkprofielen die werk- en privédata scheiden, zodat je bij vertrek of verlies alleen het werkdeel wist. Het volledig wissen van een privétoestel zonder grondslag is juridisch riskant.
:::

## Beleid instellen

Apparaatbeheer richt je in via de Admin-console, gekoppeld aan organisatie-eenheden zodat verschillende groepen verschillend beleid krijgen.

:::howto title="Mobiel apparaatbeleid instellen"
1. Ga in de Admin-console naar **Apparaten** en open **Mobiel en eindpunten**.
2. Kies onder de instellingen tussen **basis-** en **geavanceerd beheer**, eventueel per organisatie-eenheid.
3. Stel je eisen in: schermvergrendeling, versleuteling en een minimale OS-versie.
4. Configureer voor Android **werkprofielen** voor BYOD-toestellen.
5. Bepaal de actie bij verlies: alleen de werkdata of het hele apparaat wissen.
6. Test met een proeftoestel voordat je breed uitrolt.
:::

Voor geavanceerd beheer van Apple-toestellen heb je daarnaast een Apple push-certificaat (APNs) nodig. Stel dat eenmalig in voordat je iPhones en iPads onder geavanceerd beheer plaatst.

## Wat kies je

Voor de meeste organisaties dekt het ingebouwde Workspace endpoint management de behoefte. Pas bij specifieke eisen, zoals uitgebreide app-distributie over veel platforms of integratie met andere systemen, kijk je naar een aparte EMM-oplossing.

:::tip title="Begin bij het basisbeheer"
Begin met het basisbeheer dat in vrijwel elke Workspace-editie zit. Het dwingt al schermvergrendeling en wissen op afstand af, wat de meeste mobiele risico's dekt. Stap pas over op geavanceerd beheer of een externe EMM als je concrete eisen hebt die het basisniveau niet haalt. Zo voorkom je dat je complexiteit invoert die je niet nodig hebt.
:::

Combineer mobiel apparaatbeheer met je bredere beveiliging zoals [[zero-trust-workspace|Zero Trust]] en context-aware access, zodat de apparaatstatus meeweegt in toegangsbeslissingen.

:::faq
### Wat is precies het verschil tussen MDM en EMM?
MDM beheert het apparaat zelf met instellingen als versleuteling en wissen op afstand. EMM is breder en omvat ook app-, content- en identiteitsbeheer. EMM is de paraplu waaronder MDM valt.

### Heb ik een aparte tool nodig of volstaat Workspace?
Voor de meeste organisaties volstaat het ingebouwde endpoint management. Een aparte EMM-oplossing loont bij complexe app-distributie of integratie met systemen buiten Workspace.

### Kan ik een privételefoon van een medewerker beheren?
Beperkt en met respect voor privacy. Gebruik werkprofielen die werk- en privédata scheiden. Het volledige privétoestel beheren of wissen zonder grondslag is niet toegestaan.

### Wat gebeurt er als een toestel kwijtraakt?
Met apparaatbeheer kun je het toestel of alleen de werkdata op afstand wissen. Bij een werkprofiel wis je alleen het werkdeel en blijft de privédata intact.

### Welk niveau van mobiel beheer heb ik nodig?
Basisbeheer volstaat als je vooral schermvergrendeling, versleuteling en wissen op afstand wilt afdwingen. Geavanceerd beheer kies je als je werkprofielen, app-distributie of gedetailleerd beleid nodig hebt. Een aantal geavanceerde functies vereist een Business- of Enterprise-licentie.

### Werkt endpoint management ook voor iPhones en iPads?
Ja. Je kunt beleid afdwingen op zowel Android als iOS. Voor geavanceerd beheer van Apple-toestellen heb je wel een Apple push-certificaat (APNs) nodig dat je eenmalig instelt.
:::

Met een helder beeld van het verschil tussen MDM en EMM en het ingebouwde endpoint management van Workspace maak je de juiste keuze voor jouw situatie. Begin eenvoudig en breid pas uit als concrete eisen daarom vragen.