ATAK Android-apparaatbeheer: MDM, inschrijving en vlootbeheer voor tactische apparaten

Q: Kan ATAK gedwongen worden geïnstalleerd en de versie worden vastgezet via MDM?

Ja. Android Enterprise's beheerde Google Play (of Samsung Knox App Management) stelt MDM in staat een specifieke APK-versie naar ingeschreven apparaten te pushen en zelfstandige updates te blokkeren. Het MDM-beleid kan ATAK aan een specifiek versienummer vastpinnen, apps weigeren die niet overeenkomen met de goedgekeurde hash, en uitrollingen per apparaatgroep faseren.

Q: Hoe worden TAK Server-clientcertificaten geïmplementeerd via MDM?

TAK Server gebruikt wederzijds TLS voor clientauthenticatie — elk ATAK-apparaat presenteert een door de TAK Server CA ondertekend apparaatidentiteitscertificaat. MDM-certificaatbeheer implementeert deze certificaten via SCEP draadloos in de Android Enterprise-sleutelopslag. MDM geeft het certificaat uit van de TAK CA, installeert het in de sleutelopslag van het werkprofiel en configureert de beheerde app-configuratie van ATAK om naar de certificaatalias te verwijzen. Certificaatrotatie voor verlopen wordt geautomatiseerd door MDM.

Q: Welke beveiligingsbeleidsregels moeten worden gehandhaafd op tactische ATAK-apparaten?

Minimaal vereiste beleidsregels: AES-256 volledige schijfversleuteling gehandhaafd bij inschrijving, schermvergrendeling time-out van 30 seconden of minder, PIN of biometrische ontgrendeling vereist (patroon verboden), USB-debugging uitgeschakeld, installatie van onbekende bronnen geblokkeerd, ontwikkelaarsopties uitgeschakeld en altijd-aan VPN voor TAK Server-verbindingen via niet-versleutelde netwerken. De Android 13 STIG en Samsung Knox STIG zijn de gezaghebbende controlbronnen.

Q: Hoe beheer je ATAK-plugingoedkeuringen in een MDM?

Een goedgekeurde pluginlijst wordt onderhouden in de MDM als een allowlist van ondertekende APK-hashes of ondertekeningscertificaten. Het MDM-beleid blokkeert de installatie van elke APK waarvan de handtekening niet op de allowlist staat, waardoor ongeautoriseerde sideloading wordt voorkomen. Nieuwe plugins doorlopen een beveiligingsbeoordeling voordat hun ondertekeningscertificaat aan de allowlist wordt toegevoegd. MDM distribueert goedgekeurde plugins via een privé bedrijfsappcatalogus.

Q: Hoe ziet realtime compliance-monitoring eruit voor ATAK-vloten?

Een MDM-compliance-dashboard toont de nalevingsstatus van elk ingeschreven apparaat ten opzichte van de actieve beleidsset. Niet-conforme gebeurtenissen genereren directe waarschuwingen aan de beheerder en triggeren geautomatiseerde herstelmaatregelen: quarantaine van het apparaat van netwerkbronnen, verzending van een pushmelding aan de apparaatoperator en logging van de overtreding in het audittrail. Beleidsovertreding auditlogs worden ingevoerd in de SIEM van de organisatie voor correlatie met andere beveiligingsgebeurtenissen.

Q: Hoe ga je om met ATAK-apparaatinschrijving in air-gapped omgevingen?

Air-gapped inschrijving maakt gebruik van een lokaal gehoste MDM-instantie gecombineerd met QR-code of NFC-provisioning. De inschrijvings-QR-code codeert de lokale MDM-server-URL, Wi-Fi-referenties voor het geïsoleerde inschrijvingsnetwerk en het inschrijvingstoken. Apparaatinschrijving vindt volledig plaats binnen de air-gapped netwerkgrens. Certificaatuitgifte maakt gebruik van een lokale CA-server (Microsoft ADCS of EJBCA) met certificaten geleverd via het lokale MDM SCEP-eindpunt.

Door Corvus Intelligence Engineering Team · Over het team →

29 mei 2026 11 min leestijd

Het inzetten van Android Team Awareness Kit op schaal is niet alleen een softwareprobleem — het is een apparaatbeheerprobleem. Eén ATAK-apparaat met de hand geconfigureerd in een garnizoen IT-kantoor is beheersbaar. Een vloot van 200 geharde Android-handapparaten verdeeld over meerdere bataljons, met apparaatidentiteitscertificaten, goedgekeurde pluginsets, geclassificeerde kaartdata en strikt beveiligingsbeleid, vereist dezelfde Mobile Device Management-discipline die wordt toegepast op enterprise smartphone-vloten — aangepast aan de beperkingen van tactische operaties: geen betrouwbaar internet, wis-vereisten in weigerings-omgevingen en nultolerantie voor handmatige herconfiguratie in het veld.

Dit artikel behandelt de volledige ATAK Android-apparaatbeheerstapel: MDM-platformselectie, inschrijvingsmethoden voor verbonden en air-gapped netwerken, ATAK app- en plugindistributie, handhaving van beveiligingsbeleid, architectuur voor wissen op afstand, levenscyclusbeheer van certificaten en compliance-monitoring.

MDM-platformselectie: STIG-conforme opties voor tactische Android

Drie platforms domineren STIG-conforme Android MDM voor defensie: Samsung Knox, VMware Workspace ONE en Microsoft Intune. Elk heeft een gepubliceerde DISA STIG-basislijn, maar hun mogelijkheden verschillen aanzienlijk voor tactisch gebruik.

Samsung Knox (Knox Platform for Enterprise). Knox is de voorkeur voor dedicated tactische ATAK-apparaten, omdat het hardwarematige sleutelopslag biedt die generieke Android Enterprise-API's niet kunnen repliceren. Knox-hardwareattestation verifieert de apparaatintegriteit op bootloader-niveau — MDM kan bevestigen dat het apparaat niet is geknoeid en dat het Android-besturingssysteem niet is geroot, zelfs na weken buiten de controle van de IT-beheerder. Knox Dual Data Protection versleutelt apparaatgegevens voordat het Android-besturingssysteem ze kan ontsleutelen, wat een extra laag biedt bovenop Androids native volledige schijfversleuteling. Het Knox STIG breidt het generieke Android STIG uit met hardwarespecifieke controles die van belang zijn bij fysieke bewakingsmodellen.

VMware Workspace ONE. Workspace ONE is de juiste keuze voor heterogene vloten waar ATAK Android-apparaten naast iOS-apparaten bestaan. Workspace ONE's unified endpoint management omvat beide platforms met één console. De Android Enterprise-implementatie is solide maar steunt op standaard Android Enterprise-hardwareattestation in plaats van Knox-hardware-niveau-controles — acceptabel wanneer het hardwarepark niet-Samsung apparaten bevat, maar een significante beveiligingsafweging op dedicated Samsung tactische hardware.

Microsoft Intune (GCC High). Intune GCC High is de haalbare weg voor organisaties die al actief zijn in Microsoft 365 GCC High en geen tweede MDM-leverancier willen introduceren. Intune's Android Enterprise-implementatie is volledig STIG-conform en integreert met Azure AD voor identiteitsbeheer. De zwakte voor tactisch gebruik is hetzelfde als Workspace ONE: geen toegang tot Knox Platform for Enterprise-API's op Samsung-hardware. De Knox Mobile Enrollment (KME)-integratie via Intune dicht de kloof gedeeltelijk maar vereist aanvullende configuratie.

Belangrijk inzicht: MDM-platformselectie is evenzeer een beslissing over vloot-hardware als over software. Als de ATAK-apparaatvloot is gestandaardiseerd op Samsung Galaxy XCover of DuraForce, vormen de Knox STIG-controles via Samsung Knox Platform for Enterprise een significante beveiligingsverbetering ten opzichte van generieke Android Enterprise MDM. Als de vloot gemengd is, kies het platform dat het breedste apparaatbereik ondersteunt en accepteer de Knox-hardwareattestation-afweging.

Apparaatinschrijving: zero-touch, QR-code en offlinemethoden

Zero-touch inschrijving is de voorkeursmethode voor grote vlootprovisioning waarbij apparaten direct bij Samsung worden aangeschaft (of bij een andere geautoriseerde wederverkoper die is ingeschreven in Googles zero-touch-programma). De organisatie registreert apparaat-IMEI-nummers in de zero-touch-portal vóór levering. Bij de eerste start neemt het apparaat contact op met Googles zero-touch-servers, haalt de MDM-inschrijvingsconfiguratie op en voltooit de inschrijving automatisch — geen operatorinteractie vereist behalve inschakelen. Dit is de juiste methode voor garnizoensprocurement, maar vereist internettoegang tot Google-infrastructuur bij de eerste start.

QR-codeprovisioning is de standaard terugvaloptie voor veldinschrijving van al geïmplementeerde apparaten en voor organisaties die zero-touch niet kunnen gebruiken. De MDM-beheerder genereert een provisioning-QR-code die het MDM-serveradres, inschrijvingstoken en optioneel Wi-Fi-referenties voor het inschrijvingsnetwerk codeert. De operator reset het apparaat naar fabrieksinstellingen, tikt zes keer op het welkomstscherm om de provisioneermodus te activeren en scant de QR-code met de apparaatcamera. Inschrijving voltooit automatisch. QR-codeprovisioning vereist Wi-Fi-connectiviteit naar de MDM-server maar geen internettoegang.

Offline inschrijving voor air-gapped omgevingen maakt gebruik van een lokaal gehoste MDM-server (on-premises Workspace ONE, SOTI MobiControl of Knox EMM op een geïsoleerd netwerksegment) zonder verbinding met het publieke internet. Inschrijvings-QR-codes coderen de lokale server-URL. Apparaten schrijven in bij de lokale MDM-tenant, ontvangen hun configuratie en certificaten van lokale infrastructuur en nemen nooit contact op met externe cloudservices. Deze architectuur is vereist voor ATAK-implementaties op geclassificeerde netwerken.

ATAK-appdistributie: bedrijfswinkel, gedwongen installatie en versiepinning

ATAK is niet beschikbaar in de publieke Google Play Store — de versie die wordt gebruikt in tactische implementaties is ATAK-CIV (de civiele TAK.gov-release) of een DoD-specifieke build die via geautoriseerde kanalen wordt gedistribueerd. Geen enkele versie kan via consumenten-appwinkels worden gedistribueerd. MDM-gebaseerde appdistributie is de operationele standaard.

De privé bedrijfsappcatalogus van MDM herbergt de goedgekeurde ATAK APK. Een gedwongen installatiebeleid pusht ATAK naar alle apparaten in de doelgroep onmiddellijk na inschrijving. Het MDM-beleid pint ATAK aan de gevalideerde APK-versie via hash: elke update die niet overeenkomt met de goedgekeurde hash wordt geweigerd.

Gefaseerde uitrollingen zijn essentieel voor ATAK-versie-updates. Een nieuwe ATAK-release moet worden gevalideerd tegen de volledige goedgekeurde pluginset vóór implementatie. Het MDM-gefaseerde uitrollingsmechanisme maakt het mogelijk de update eerst naar 10% van de apparaten te pushen, te valideren door het testteam en vervolgens uit te rollen naar de rest van de vloot.

Android Enterprise's AppConfig-raamwerk maakt het mogelijk beheerde configuratiewaarden bij installatie naar ATAK te sturen: TAK Server-adres en -poort, standaard kanaalinstellingen, certificaataliasverwijzingen. Operators ontvangen een vooraf geconfigureerde ATAK die verbinding maakt met de juiste TAK Server zonder handmatige invoer.

Pluginbeheer: allowlist, sideloadingbeleid en handtekeningverificatie

ATAKs pluginarchitectuur is een significant aanvalsoppervlak in vlootimplementaties. Een niet-ondertekende of kwaadaardige plugin die door een operator wordt geïnstalleerd, kan toegang krijgen tot ATAKs CoT-bus, de apparaatlocatie en mogelijk de microfoon en camera van het apparaat.

MDM handhaaft een goedgekeurde pluginlijst als set toegestane APK-ondertekeningscertificaten. Alleen APK's ondertekend door certificaten op de allowlist kunnen worden geïnstalleerd in het werkprofiel. Sideloading van niet-ondertekende of niet-vermelde plugins via USB of bestandsoverdracht wordt geblokkeerd door beleid. Nieuwe plugins doorlopen een beveiligingsbeoordelingsproces voordat hun ondertekeningscertificaat aan de allowlist wordt toegevoegd.

Plugin-updates volgen hetzelfde gefaseerde uitrollingsproces als ATAK Core. Elke pluginversie is vastgepind aan zijn APK-hash in MDM. Plugindistributie via de bedrijfsappcatalogus vervangt individuele APK-overdracht. Voor custom ontwikkelde ATAK-plugins wordt de ondertekeningssleutel van het ontwikkelteam geregistreerd in de MDM-allowlist.

Handhaving van beveiligingsbeleid: versleuteling, vergrendeling en USB

De Android STIG en Samsung Knox STIG definiëren de controlbasislijn voor ATAK-apparaatharding. De ononderhandelbare beleidsset voor elke ATAK-vloot met gevoelige data:

Apparaatversleuteling. AES-256 volledige schijfversleuteling gehandhaafd bij inschrijving. Apparaten zonder hardware-encryptie-ondersteuning worden geweigerd. Knox Dual Data Protection is ingeschakeld op Samsung-hardware voor de extra pre-boot versleutelingslaag. MDM blokkeert voltooiing van inschrijving totdat de versleutelingsstatus is bevestigd.

Schermvergrendeling. Maximale time-out voor schermvergrendeling van 30 seconden. PIN van minimaal zes cijfers of biometrische ontgrendeling (vingerafdruk). Patroonontgrendeling is verboden door beleid op apparaten adjacent aan geclassificeerde data. Maximaal aantal mislukte ontgrendelingspogingen ingesteld op 10, wat volledig wissen triggert bij de 11e mislukte poging.

USB-debugging. Uitgeschakeld door MDM-beleid. USB-debugging is een significant aanvalsvector — het maakt ADB-toegang mogelijk tot het apparaatbestandssysteem en procesgeheugen zonder de apparaatontgrendelingsreferenties. Ontwikkelaarsopties worden uitgeschakeld door hetzelfde beleid.

Netwerkbeleid. Altijd-aan VPN voor elk apparaat dat verbinding maakt met TAK Server via een niet-versleuteld netwerk. Wi-Fi-beleid beperkt verbindingen tot de goedgekeurde SSID-lijst. Bluetooth is standaard uitgeschakeld en vereist expliciete beleidsuitzondering voor apparaten met Bluetooth-perifere sensoren.

Biometrische ontgrendeling. Gezichtsontgrendeling is uitgeschakeld door STIG-beleid op apparaten in multi-operator omgevingen. Vingerafdrukontgrendeling is de voorkeurs biometrische methode. Biometrische ontgrendeling kan tijdelijk worden opgeschort door beleid bij een geofence-trigger.

Wissen en vergrendelen op afstand: selectief wissen, volledig wissen en geofence-triggers

Mogelijkheid tot wissen op afstand is een kernvereiste voor elke ATAK-vloot met data boven het publieke classificatieniveau.

Selectief wissen verwijdert alleen het beheerde werkprofiel — ATAK, alle goedgekeurde plugins, plugindata, het TAK Server-certificaat en de beheerde sleutelopslag. De persoonlijke partitie van het apparaat blijft intact. Selectief wissen is de passende reactie voor BYOD-naburige tactische implementaties. Uitvoering duurt 15–30 seconden.

Volledig wissen reset het hele apparaat naar fabrieksinstellingen. Vereist door beleid voor elk apparaat dat wordt beoordeeld als gevangen, gecompromitteerd of buiten geautoriseerde bewaring in geclassificeerde-naburige implementaties. Onomkeerbaar, duurt 3–5 minuten.

Automatisch geofenced wissen is de hoogste beveiligingsconfiguratie voor ATAK-apparaten die opereren in de buurt van betwiste grenzen. MDM definieert een geografische perimeter die overeenkomt met het operationele gebied. Als het apparaat de perimeter verlaat en zich niet aanmeldt binnen een configureerbare respijttermijn (15–60 minuten afhankelijk van het bedreigingsmodel), geeft MDM automatisch een wisopdracht. Dit beschermt tegen het scenario waarbij een apparaat wordt gevangen en buiten het operationele gebied wordt vervoerd voordat een handmatige wisopdracht kan worden uitgevoerd via de commandoketen.

Certificaatbeheer: apparaatidentiteit en TAK Server-clientauthenticatie

TAK Server authenticeert ATAK-clients via wederzijds TLS — elk clientapparaat presenteert een certificaat ondertekend door de CA van TAK Server. Het handmatig beheren van deze certificaten op schaal is operationeel onhoudbaar. MDM-certificaatbeheer automatiseert de volledige levenscyclus.

MDM configureert een SCEP (Simple Certificate Enrollment Protocol)-profiel dat wijst naar de CA van de organisatie. SCEP is het standaardprotocol voor geautomatiseerde certificaatuitgifte op mobiele apparaten: het apparaat genereert een sleutelpaar in hardware (in de Knox hardware-backed sleutelopslag op Samsung-apparaten), stuurt een certificaatondertekeningsverzoek naar het SCEP-eindpunt en ontvangt een ondertekend certificaat terug. MDM installeert het certificaat in de Android Enterprise-sleutelopslag en maakt het beschikbaar voor ATAK via de beheerde appconfiguratie.

Certificaatgeldigheidstermijnen moeten worden ingesteld op 12 maanden met automatische verlenging 30 dagen voor verlopen. MDM initieert verlenging automatisch. Intrekking wordt afgehandeld via de CRL van de CA of OCSP-responder.

Voor air-gapped omgevingen is de CA een lokale Microsoft ADCS-instantie of een zelfstandige EJBCA-server met de SCEP RA-module ingeschakeld. Het SCEP-eindpunt wordt alleen gepubliceerd binnen het air-gapped netwerk, waardoor de impactradius van een gecompromitteerd apparaatcertificaat wordt beperkt.

Compliance-monitoring: dashboard, waarschuwingen en auditlog

Voortdurende vlootcompliance-monitoring beantwoordt twee operationele vragen: welke apparaten zijn momenteel buiten beleid en wat is er op een specifiek apparaat gebeurd tussen twee tijdpunten. Beide vragen vereisen telemetrie die continu van apparaten naar MDM stroomt.

Het MDM-compliance-dashboard toont de realtime nalevingsstatus van elk ingeschreven apparaat ten opzichte van de actieve beleidsset. Een apparaat wordt niet-conform wanneer een beleidscontrole mislukt: schermvergrendelingstijd-out gewijzigd door de operator, USB-debugging opnieuw ingeschakeld, versleutelingsstatus gewijzigd, ongeautoriseerde app geïnstalleerd. Niet-conforme apparaten worden onmiddellijk gemarkeerd in het dashboard. Geautomatiseerde herstelregels worden uitgevoerd zonder tussenkomst van de beheerder — een apparaat dat zijn schermvergrendeling uitschakelt, ontvangt een vergrendelingsopdracht van MDM binnen 60 seconden; een apparaat met USB-debugging ingeschakeld wordt in quarantaine geplaatst van TAK Server-netwerktoegang totdat het beleid opnieuw is toegepast.

Waarschuwingen over niet-conforme apparaten worden geleverd via MDM push-meldingen aan het IT-beveiligingsteam en, afhankelijk van de ernst van de overtreding, aan de informatiebeveiligingsfunctionaris van de eenheid. Waarschuwingsrouting gebruikt het rolgebaseerde meldingsbeleid van MDM.

Het auditlog van beleidsovertredingen registreert elke compliance-gebeurtenis met apparaatidentificator, tijdstempel, overtredings-type, geschonden beleid en de genomen geautomatiseerde herstelactie. Dit log wordt gevoed aan de organisatorische SIEM via MDM's syslog- of API-integratie — waardoor kruiscorrelatie mogelijk is tussen ATAK-apparaatbeleidsoverdingen en andere beveiligingstelemetrie.

Bespreek uw project

We ontwerpen en implementeren ATAK-apparaatbeheerarchitecturen — MDM-inschrijving, certificaatlevenscyclus, plugindistributie en compliance-monitoring voor tactische Android-vloten.

Velapp-ontwikkeling → Briefing inplannen

Deze analyse is opgesteld door Corvus Intelligence-ingenieurs die bedrijfskritische software bouwen voor defensie- en overheidsorganisaties. Meer over ons team →

Veelgestelde vragen

Welke MDM-platforms zijn STIG-compliant voor ATAK-implementaties?

Samsung Knox, VMware Workspace ONE en Microsoft Intune hebben alle gepubliceerde STIG-compliance-basislijnen voor Android Enterprise. Samsung Knox is de voorkeur voor dedicated tactische apparaten, omdat Knox Platform for Enterprise (KPE) hardwarematige sleutelopslag en apparaatattestation biedt die generieke MDM-API's niet kunnen repliceren. Workspace ONE past bij heterogene vloten. Intune is geschikt voor Microsoft 365 GCC High maar heeft zwakkere Android-hardwareattestation dan Knox.

Hoe werkt zero-touch inschrijving voor ATAK-apparaten?

Zero-touch inschrijving koppelt apparaat-IMEI- of serienummers vooraf aan een MDM-configuratie vóór verzending. Bij de eerste start neemt het apparaat contact op met Googles zero-touch-portal, ontvangt de MDM-server-URL en het inschrijvingstoken, en voltooit de inschrijving automatisch zonder operatorinteractie. Voor air-gapped omgevingen wordt zero-touch vervangen door QR-code of NFC, omdat het internettoegang vereist.

Kan ATAK gedwongen worden geïnstalleerd en de versie worden vastgezet via MDM?

Ja. Android Enterprise's beheerde Google Play stelt MDM in staat een specifieke APK-versie te pushen en zelfstandige updates te blokkeren. Het beleid kan ATAK aan een versienummer vastpinnen, apps zonder goedgekeurde hash weigeren en uitrollingen per apparaatgroep faseren.

Wat is selectief wissen in ATAK-apparaatbeheer?

Selectief wissen verwijdert alleen de beheerde werkprofielgegevens — ATAK, plugins en datacontainer — waarbij de persoonlijke partitie intact blijft. Relevant voor BYOD-tactische implementaties. Volledig wissen reset het hele apparaat. Automatisch geofenced wissen triggert als het apparaat een gedefinieerde geografische perimeter verlaat.

Hoe worden TAK Server-clientcertificaten geïmplementeerd via MDM?

TAK Server gebruikt wederzijds TLS — elk ATAK-apparaat presenteert een door de TAK Server CA ondertekend certificaat. MDM implementeert deze certificaten via SCEP draadloos in de Android Enterprise-sleutelopslag. Het installeert het certificaat in het werkprofiel en configureert ATAK om naar de certificaatalias te verwijzen. Certificaatrotatie wordt geautomatiseerd door MDM.

Welke beveiligingsbeleidsregels moeten worden gehandhaafd op tactische ATAK-apparaten?

Minimaal vereist: AES-256 versleuteling bij inschrijving, schermvergrendeling time-out 30 seconden of minder, PIN of biometrisch vereist (patroon verboden), USB-debugging uitgeschakeld, onbekende bronnen geblokkeerd, ontwikkelaarsopties uitgeschakeld en altijd-aan VPN voor TAK Server. Android 13 STIG en Samsung Knox STIG zijn de gezaghebbende bronnen.

Hoe beheer je ATAK-plugingoedkeuringen in een MDM?

Een goedgekeurde pluginlijst wordt onderhouden als allowlist van ondertekende APK-hashes. MDM-beleid blokkeert APK's waarvan de handtekening niet op de allowlist staat, waardoor ongeautoriseerde sideloading wordt voorkomen. Nieuwe plugins doorlopen beveiligingsbeoordeling. MDM distribueert goedgekeurde plugins via een privé bedrijfscatalogus.

Hoe ziet realtime compliance-monitoring eruit voor ATAK-vloten?

Het MDM-compliance-dashboard toont de nalevingsstatus van elk ingeschreven apparaat. Niet-conforme gebeurtenissen genereren directe waarschuwingen en triggeren geautomatiseerd herstel: quarantaine, pushmelding en logging in het auditlog. Logs worden ingevoerd in de SIEM voor correlatie met andere beveiligingsgebeurtenissen.

Hoe ga je om met ATAK-apparaatinschrijving in air-gapped omgevingen?

Air-gapped inschrijving gebruikt een lokaal gehoste MDM-instantie gecombineerd met QR-code of NFC. De QR-code codeert de lokale MDM-server-URL, Wi-Fi-referenties en inschrijvingstoken. Apparaatinschrijving vindt volledig plaats binnen de air-gapped netwerkgrens. Certificaten worden uitgegeven door een lokale CA-server (Microsoft ADCS of EJBCA) via het lokale MDM SCEP-eindpunt.

Welke hardware wordt aanbevolen voor ATAK-vlootimplementaties?

Samsung Galaxy XCover Pro en XCover6 Pro zijn de meest voorkomende ATAK-hardwareplatforms omdat Samsung Knox hardwareattestation en STIG-compliance biedt voor DoD-implementaties, en de geharde klasse voldoet aan MIL-STD-810H. Kyocera DuraForce Ultra 5G is het alternatief voor zware omgevingen met hogere IP-klassen. Alle apparaten moeten dual-frequency GPS (L1/L5) ondersteunen.