# Android Enterprise instellen voor Workspace-beheer

## Android Enterprise: beheerniveaus

Android Enterprise biedt drie beheerniveaus voor Android-apparaten. Welk niveau je kiest, hangt af van wie het toestel bezit en hoe het gebruikt wordt.

| Modus | Apparaattype | Typisch gebruik |
|---|---|---|
| Volledig beheerd apparaat (COBO) | Bedrijfseigendom, alleen zakelijk | Magazijnscanner, kiosk, balie-tablet |
| Work profile (BYOD) | Persoonlijk toestel met zakelijke container | Medewerker gebruikt eigen telefoon |
| Volledig beheerd met work profile (COPE) | Bedrijfseigendom, gemengd gebruik | Bedrijfstelefoon die ook privé mag |

Voor de meeste Workspace-omgevingen is work profile het meest gebruikte model. De persoonlijke apps en data van de gebruiker blijven privé, terwijl zakelijke apps in een aparte, beveiligde container draaien.

## Android Enterprise koppelen aan Workspace

Voordat je Android-apparaten kunt beheren, koppel je Android Enterprise eenmalig aan je Workspace-account. Dit gebeurt via een Managed Google Play-account dat aan je domein hangt.

:::howto title="Android Enterprise activeren"
1. Ga in de Admin-console naar **Apparaten > Mobiel en eindpunten > Instellingen > Android**.
2. Open de instelling voor geavanceerd mobiel beheer en zet deze aan voor de gewenste organisatie-eenheden.
3. Volg de begeleide stappen om je domein te koppelen aan een **Managed Google Play**-account.
4. Accepteer de voorwaarden van Managed Google Play.
5. Na koppeling is Android Enterprise actief. Je beheert nu Android-apps via de app-sectie van de Admin-console.
:::

:::info title="Geavanceerd versus basisbeheer"
Met basisbeheer kun je een aantal zaken afdwingen zonder dat de gebruiker een aparte app installeert, maar je mist work profile, app-distributie en de meeste beleidsregels. Voor echt apparaatbeheer heb je geavanceerd beheer nodig. Dat is in de meeste Workspace-edities inbegrepen.
:::

## Work profile instellen

Work profile is de standaardmodus voor BYOD. Zakelijke apps draaien in een aparte container met een eigen werkbadge op het pictogram. Persoonlijke apps en data staan los van de zakelijke container.

De inschrijving verloopt via de app **Android Device Policy**, het beheeronderdeel van Google. De gebruiker installeert deze niet handmatig vanuit een losse store, maar volgt de schermprompts nadat het zakelijke account is toegevoegd.

:::howto title="Inschrijven door de eindgebruiker"
1. Voeg op het toestel het Workspace-account toe via **Instellingen > Accounts**, of log in op een zakelijke Google-app.
2. Het toestel vraagt om de app **Android Device Policy** te installeren en een work profile aan te maken.
3. Bevestig. Het toestel maakt een aparte zakelijke container aan.
4. Zakelijke apps zoals Gmail, Drive en Meet verschijnen met een werkbadge, gescheiden van de privé-versies.
:::

Beleid voor het work profile stel je in via **Apparaten > Mobiel en eindpunten > Instellingen > Android**. Veelgebruikte instellingen zijn:

- Een toegangscode of biometrie vereisen voor het work profile.
- Data kopiëren tussen het work profile en het persoonlijke profiel blokkeren.
- Schermafbeeldingen in het work profile blokkeren.
- Specifieke apps toestaan of blokkeren binnen het work profile.

:::tip title="Blokkeer kopiëren naar het privé-profiel"
Zet de instelling voor kopiëren en plakken tussen het work profile en het persoonlijke profiel op geblokkeerd als je met gevoelige gegevens werkt. Zo voorkom je dat zakelijke data per ongeluk in een persoonlijke app belandt.
:::

## Apps distribueren via Managed Google Play

Met Android Enterprise push je apps naar toestellen zonder dat de gebruiker ze zelf hoeft te zoeken in de Play Store.

:::howto title="App toevoegen en uitrollen via Managed Google Play"
1. Ga in de Admin-console naar de Android-app-sectie en kies **App toevoegen**.
2. Zoek de app in **Managed Google Play** en voeg hem toe.
3. Kies de installatiemethode: **Beschikbaar** (gebruiker kiest zelf) of **Verplicht** (automatisch geïnstalleerd).
4. Wijs de app toe aan een organisatie-eenheid.
5. Sla op. De distributie verloopt doorgaans binnen enkele uren.
:::

Je kunt ook privé-apps uitrollen, dus interne apps die niet in de publieke Play Store staan, door ze als privé-app te publiceren in de Managed Google Play-console.

## Volledig beheerde apparaten configureren

Voor bedrijfseigendomsapparaten zoals een kiosk, magazijnscanner of klanttablet gebruik je de modus volledig beheerd. Inschrijving gaat via een QR-code, NFC of zero-touch.

Voor de QR-methode genereer je een inschrijftoken in de Admin-console, reset je het toestel naar de fabrieksinstellingen en scan je de QR-code tijdens de eerste setup. Het toestel wordt dan automatisch ingeschreven als volledig beheerd.

:::warn title="Werk met organisatie-eenheden"
Beleid en app-toewijzingen volgen de organisatie-eenheid van de gebruiker of het apparaat. Plaats kiosk- en magazijntoestellen in een aparte organisatie-eenheid, anders erven ze het strenge of juist te losse beleid van je standaardgroep. Test een nieuw beleid eerst op een proef-organisatie-eenheid voordat je het breed uitrolt.
:::

:::faq
### Kan ik persoonlijke Android-telefoons verplichten voor Workspace zonder work profile?
Je kunt de inschrijving van een work profile afdwingen, zodat een toestel zonder ingericht work profile geen zakelijke data mag synchroniseren. Volledig zonder work profile lukt alleen met beperkt basisbeheer, en dan mis je de meeste beveiligingsopties. Voor BYOD is afgedwongen work profile de gangbare keuze.

### Wat ziet de beheerder van het persoonlijke gedeelte van een BYOD-apparaat?
Niets uit het persoonlijke profiel. Het work profile isoleert zakelijke data volledig. De beheerder ziet alleen het work profile: geïnstalleerde zakelijke apps, nalevingsstatus en basale hardware-info. Persoonlijke apps, foto's, locatie en communicatie zijn niet zichtbaar.

### Wat gebeurt er als iemand uit dienst gaat?
Via Apparaten in de Admin-console wis je het work profile op afstand. Dat verwijdert alle zakelijke apps en data uit de zakelijke container, maar laat persoonlijke data intact. De gebruiker houdt zijn eigen apps en foto's.

### Welke app gebruiken medewerkers om in te schrijven?
De app Android Device Policy, het beheeronderdeel van Google. De gebruiker installeert deze meestal niet los, maar krijgt de prompt automatisch nadat het zakelijke account aan het toestel is toegevoegd.

### Werkt dit op elke Android-versie?
Work profile en Managed Google Play werken op vrijwel alle moderne Android-toestellen die door de fabrikant worden ondersteund. Erg oude of sterk aangepaste toestellen zonder Google-services kunnen problemen geven. Test daarom een representatief toestel voordat je breed uitrolt.
:::