Android Enterprise erlaubt es Unternehmen, für eine hohe Sicherheit zu sorgen und bietet ihnen gleichzeitig viele Freiheiten für individuelle Anpassungen. Dies machen sich viele Unternehmen zu nutze. Nun stehen sie allerdings vor einem Problem: Denn Google hat im Mai angekündigt, die Inaktivitäts-Policy aller Produkte zu aktualisieren und ab Dezember 2023 alle persönlichen Google-Accounts zu deaktivieren, bei denen zwei Jahre lang keine Aktivität stattgefunden hat.
Von dieser Änderung sind viele Accounts betroffen, die im Rahmen von Android Enterprise eine wichtige Rolle spielen. Die Deaktivierung kann gravierende Folgen für Unternehmen haben.
In diesem Blogartikel lesen Sie mehr über die Hintergründe und erfahren, wie Sie dem vorbeugen und im Falle des Falles reagieren können.
Wofür ist der Google-Account wichtig?
Möchte ein Unternehmen Android Enterprise nutzen, so ist es notwendig, einen Google-Account zu besitzen, über den die Kommunikation zwischen dem UEM-System und den Google Services abläuft. Ein solcher Account muss keine besonderen Eigenschaften besitzen. Ausreichend ist ein ganz normaler Google-Account, den sich jede:r selbst anlegen kann. Ein Unternehmens-Account ist nicht notwendig.
Zu Beginn der Android Enterprise-Nutzung wird ein solcher Account in der Regel für genau diesen Zweck von einem Administrator oder einer Administratorin neu angelegt und ansonsten für keine weiteren Zwecke verwendet. Wartungsarbeiten o.ä. sind für gewöhnlich nach dem Anlegen des Accounts und dem Aktivieren von Android Enterprise nicht notwendig. Das heißt, meist wird der Account nicht mehr angefasst und es findet kein Login mehr statt.
Das ist zwar praktisch, kann aber zu einem großen Problem führen.
Warum ist das ein Problem und warum löscht Google Accounts?
Google möchte verhindern, dass die Anzahl an ungenutzten Google-Accounts immer weiter zunimmt, weil diese laut dem Unternehmen in vielen Fällen ein Sicherheitsrisiko darstellen. Deren Passwörter entsprechen meist nicht den geltenden Standards.
Daher aktualisiert Google die Inaktivitäts-Policy und führt von nun an regelmäßig Checks durch, um Accounts aufzuspüren, die seit 2 Jahren keine Aktivität aufweisen. Erstmals gelöscht werden solche Accounts dann im Dezember 2023. Den Anfang macht das Unternehmen mit Accounts, die erstellt und dann nie wieder genutzt wurden.
Und das führt uns zum Thema Android Enterprise: Da Administrator:innen nach der Aktivierung von Android Enterprise nicht mehr mit dem Google-Account arbeiten müssen, findet häufig keine von Google gewünschte Aktivität mehr statt. Das regelmäßige Registrieren von Geräten reicht als Aktion nicht aus. Daher können auch Accounts, die für Android Enterprise dringend benötigt werden, von Google herausgefiltert und gelöscht werden.
Hier arbeiten zwei Mechanismen von Google in gewisser Weise gegeneinander.
Was sind die Folgen, wenn ein Account gelöscht wurde?
Wenn Google einen solchen Account löscht, haben Nutzer:innen 30 Tage Zeit, den Account wiederherzustellen. Passiert das nicht, kann zwischen dem Gerät und dem UEM-System keine Verbindung mehr aufgebaut werden – sowohl in die eine als auch in die andere Richtung. Zwar können Nutzer:innen noch mit dem Gerät arbeiten, es wird aber quasi im bestehenden Status eingefroren. Administrator:innen können keine neuen Geräte registrieren, neue Apps oder neue Konfigurationen verteilen. Ihnen bleiben nur sehr begrenzte Möglichkeiten und es entsteht hoher Aufwand. Denn es müssen anschließend alle Geräte neu provisioniert und alle Einstellungen neu eingerichtet werden.
Was können Unternehmen tun, um dem vorzubeugen?
Idealerweise sollten es Unternehmen gar nicht so weit kommen lassen und die Deaktivierung des Accounts verhindern. Dies können sie auf verschiedenem Wege erreichen. Wir empfehlen unseren Kunden:
- Ordnen Sie mindestens zwei Accounts zu Android Enterprise zu.
- Geben Sie eine Recovery-E-Mail-Adresse an.
- Lassen Sie die Accounts nicht inaktiv werden, indem Sie sich regelmäßig einloggen. Google beschreibt im Blogartikel ergänzend, dass das Lesen und Versenden von E-Mails, die Nutzung von Google Drive oder der Google Search als Aktivität gewertet werden.
- Nutzen Sie Ihre eigene Firmen-Domain anstelle von gmail.com für die Accounts und beachten die Terms of Service für Managed Google Play und Android Enterprise APIs.
Was können Unternehmen tun, wenn es zu spät ist?
Ist ein Account bereits deaktiviert worden, so gilt es, schnell zu handeln, damit die 30 Tage-Frist nicht verstreicht.
- Ist ein Recovery Account vorhanden, so kann der Account ggf. wiederhergestellt werden.
- Andernfalls hilft nur ein Ticket beim Google Support, das wir als Android Enterprise Service Provider für Unternehmen eröffnen können.
Sind die 30 Tage jedoch verstrichen, so müssen Unternehmen in den sauren Apfel beißen und komplett von vorne beginnen. Das gilt es auf jeden Fall zu vermeiden.
Update Januar 2024
Die Policy von Google greift seit Ende 2023. Derzeit sind Accounts für Managed Google Play-Unternehmen, Managed Google Play Accounts und Besitzer- und Admin-Accounts vom Zero-Touch-Portal noch davon ausgenommen. Das ist aber vermutlich nur eine Frage der Zeit. Daher empfehlen wir Unternehmen, die oben beschriebenen Tipps schon heute umzusetzen, um vorbereitet zu sein, wenn diese Ausnahme nicht mehr greift. Unternehmen haben keinen Nachteil, wenn sie diese Schritte schon heute umsetzen – sondern gehen hiermit auf Nummer sicher.
Schnelles Handeln ist wichtig, wenn ein Account deaktiviert wurde, um hohen Aufwand zu vermeiden.
Als Android Enterprise Service Provider können wir Ihnen helfen, das Problem zu lösen und Geräte mit Android Enterprise optimal zu verwalten.