Unterschiedliche Betriebsarten im Securepoint Mobile Device Management
Letzte Anpassung: 03.2022
Neu:
- Registrierung für Zero-Touch-Geräte
Vorherige Versionen: -
Betriebsarten im MDM
Ist mein Gerät kompatibel?
Zur Nutzung aller Funktionen wird die jeweils aktuelle Version benötigt.
Die Kompatibilität zwischen iOS und Securepoint Mobile Security wird stets auf aktuellen Geräten getestet.
Securepoint Mobile Security ist kompatibel mit iOS / iPadOS 8 und höher.
| iOS / iPadOS Version | Mobile Security | Bemerkung |
|---|---|---|
| ≤7 | Technisch nicht kompatibel | |
| 8 - 11 | Diese Betriebssystem wird nicht mehr mit Sicherheitsupdates versorgt. Wir raten von einer Verwendung dringend ab. | |
| 12 | Technisch kompatibel, es werden vom Betriebssystem her aber nicht alle Funktionen unterstützt. | |
| 13 | Technisch kompatibel, es werden vom Betriebssystem her aber nicht alle Funktionen unterstützt. | |
| 14 | Technisch kompatibel | |
| 15 | Technisch kompatibel | |
| 16 | Technisch kompatibel |
Kompatibilitäten Android
Kompatibilitäten Android
Kompatibilität der Android-Versionen mit Securepoint Mobile Security:
| Android Version | Mobile Security | Bemerkung |
|---|---|---|
| ≤6 | Technisch nicht kompatibel | |
| ≥7 | Es werden alle Geräte ab Android 7.0 mit Zugriff auf die Google Play Api unterstützt Das schließt z.B. neuere Geräte von Huawei, die keinen Zugriff auf Google Play haben, aus! | |
| empfohlene Geräte | Mobile Security und MDM ist kompatibel zu den von Google empfohlenen Geräten. Die aktuelle Liste der kompatiblen Geräte findet sich unter https://androidenterprisepartners.withgoogle.com/devices/# |
Das Securepoint Mobile Security Portal wurde mit folgenden Browsern getestet.
| Browser | Mobile Security | Bemerkung |
|---|---|---|
| Google Chrome | Version 95.0.4638.54 | |
| Safari | ||
| Firefox (93.0) | Version 93.0 | |
| Opera | ohne Gewähr | Version 80.0.4170.16 |
| Edge | Version 42.17134.10 | |
| Internet Explorer | Version 11.285.17134.0 |
BYOD: Bring your own Device
Privates Gerät mit beruflicher Nutzung:
- Jede Mitarbeiterin und jeder Mitarbeiter verwendet sein privates Gerät
- Apps und Daten für Arbeitszwecke werden in einem Arbeits-Container gespeichert
Hinweis: Diese App erscheint nicht auf dem Homescreen oder im App Launcher.
Der Aufruf der App erfolgt über die Liste der installierten Apps im Google Play Store
Ablauf
Hier werden die erforderlichen Schritte beschrieben, um Android Geräte verbinden zu können:
Voraussetzungen:
- Das Securepoint Mobile Device Management (MDM) muss mit einem Google-Konto als Android Enterprise Konto verknüpft sein
- Im Securepoint Unified Security Portal konfiguriertes Android Enterprise Profil
Enrollment:
Vorbereitung
Es muss eine Verbindung vom Securepoint Mobile Security Portal zu einem Android Enterprise Konto bestehen.
Verknüpfung Google Enterprise mit Securepoint Mobile Security
Um Android Enterprise für Unternehmen nutzen und über Securepoint Mobile Security administrieren zu können, muss eine Verknüpfung zwischen dem Konto bei Mobile-Security und einem Google-Konto für EMM hergestellt werden.
Wichtig ist hierbei, daß es nur noch ein Google-Enterprise-Konto für alle Geräte eines Tenants (Kunde mit eigenem Mobile-Security-Konto) gibt. Ohne EMM hat jedes Gerät ein eigenes Google-Konto.
Ein Google-Konto darf jeweils mit nur einem Tenant verknüpft werden!Andernfalls erscheinen alle einem Tenant – und damit einem Google-Konto – zugeordneten Geräte in allen weiteren Tenants, die mit dem gleichen Google-Konto verknüpft wurden!
Verknüpfung im Menü
→ → → Hinzufügen/LinkEin Google-Konto wird durch die Verknüpfung mit Securepoint Mobile Security als EMM-Anbieter zu einem Enterprise Konto
Die Kommunikation des Securepoint Mobile Security Portals läuft hierbei komplett über dieses Google-Konto.
Wird das Konto von Google gesperrt oder vom Inhaber gelöscht, werden sämtliche Geräte zurückgesetzt.
Es muss unbedingt darauf geachtet werden, daß dieses Google-Konto auf gar keinen Fall gelöscht wird, oder daß die GMail-Adresse gesperrt wird.
Es muss unbedingt darauf geachtet werden, daß dieses Google-Konto auf gar keinen Fall gelöscht wird, oder daß die GMail-Adresse gesperrt wird.
Google gibt Hinweise auf verschiedene Gründe, warum ein Konto gesperrt worden sein kann:
https://support.google.com/accounts/answer/40695?hl=de
https://support.google.com/accounts/answer/40695?hl=de
Wir empfehlen dringend die Aktivierung der 2 Faktor Authentifizierung 2FA!
Enterprise Benutzerkonto hinzufügen → → → Hinzufügen/Link
Weiterleitung auf https://play.google.com/work
Name des Unternehmens.
Die Verknüpfung mit Securepoint Mobile Security ist bereits vorgegeben.
Die Verknüpfung mit Securepoint Mobile Security ist bereits vorgegeben.
Es sind Angaben zum/r Datenschutzbeauftragten und EU-Bevollmächtigten erforderlich
Die Registrierung bei Google kann damit abgeschlossen werden.
Es erfolgt eine Weiterleitung zurück zum Securepoint Mobile Security Portal. Die Einrichtung muss mit OK abgeschlossen werden.
Die Verknüpfung ist jetzt hergestellt.
Sollte diese Meldung beim Aufruf von https://play.google.com/work erscheinen, ist die Registrierung im Securepoint Mobile Security Portal noch nicht abgeschlossen worden und kein Token verknüpft!
Es muss ein Android-Profil geben, daß dem Gerät zugeordnet werden kann.
BYOD: Android Profil
Unter lässt sich ein Profil hinzufügen, ein Profil importieren oder ein bestehendes Profil bearbeiten (Klick auf Profilkachel oder → Bearbeiten )
Hier wiederum werden verschiedene Konfiguration vorgenommen, z.B.:
- Apps installieren und konfigurieren
- Passwort-Richtlinien
- Sicherheitseinstellungen
Zusätzlich zur Konfiguration der Grundeinstellungen, Einschränkungen, Netzwerke etc. sind folgende Einstellungen im Profil erforderlich:
Anwendungen Anwendungen
Installationstyp Kiosk muss im Reiter Anwendungen für eine einzige App hinzugefügt werden | |||
| Beschriftung | Wert | Beschreibung |  |
|---|---|---|---|
| Anwendung hinzufügen | |||
| Paketname | de.ausgewählte.App | Paket aus Dropdownmenü auswählen oder mit Anwendung auswählen hinzufügen | |
| Installationstyp | Kiosk |
| |
Einschränkungen Einschränkungen
Einstellungen im Reiter Einschränkungen für den Kioskmodus | |||
| Aktivieren Sie den benutzerdefinierten Kiosk-Starter | Blendet alle Systemanwendungen im Homescreen aus und zeigt nur die Apps an, die über das Profil installiert wurden. Es wird empfohlen, zusätzlich die Statusleiste zu deaktivieren, um den Zugriff auf Geräteeinstellungen zu blockieren. | ||
| Power-Button-Aktionen | Nicht spezifiziert | Legt das Verhalten eines Geräts im Kioskmodus fest, wenn ein Benutzer die Ein- / Aus-Taste drückt und gedrückt hält. Standardmäßig verfügbar | |
| Verfügbar | Das Ein- / Ausschaltmenü (z. B. Ausschalten, Neustart) wird angezeigt, wenn ein Benutzer im Kioskmodus die Ein- / Aus-Taste eines Geräts lange drückt | ||
| Blockiert | Das Ein / Aus-Menü (z. B. Ausschalten, Neustart) wird nicht angezeigt, wenn ein Benutzer im Kioskmodus lange auf die Ein- / Aus-Taste eines Geräts drückt | ||
| Systemfehlerwarnungen | Nicht spezifiziert | Gibt an, ob Systemfehlerdialoge für abgestürzte oder nicht reagierende Apps im Kioskmodus blockiert werden. Standardmäßig stummgeschaltet. | |
| Aktiviert | Alle Systemfehlerdialoge wie Absturz und App reagiert nicht (ANR) werden angezeigt. | ||
| Stumm | Alle Systemfehlerdialoge wie Absturz und nicht reagierende App (ANR) werden blockiert. Wenn es blockiert ist, stoppt das System die App zwangsweise, als ob der Benutzer die App über die Benutzeroberfläche schließt. | ||
| Systemnavigation | Nicht spezifiziert | Gibt an, welche Navigationsfunktionen im Kioskmodus aktiviert sind (z. B. Home, Übersichtstasten). | |
| Aktiviert | Home- und Übersichtsschaltflächen sind aktiviert. | ||
| Deaktiviert | Auf die Schaltflächen Home und Übersicht kann nicht zugegriffen werden. | ||
| Nur Home-Taste | Nur die Home-Taste ist aktiviert. | ||
| Statusleiste | Nicht spezifiziert | Gibt an, ob Systeminformationen und Benachrichtigungen im Kioskmodus deaktiviert sind. Standardmäßig Benachrichtigungen und Systeminformationen deaktiviert. | |
| Benachrichtigungen und Systeminformationen aktiviert | Systeminformationen und Benachrichtigungen werden im Kioskmodus in der Statusleiste angezeigt | ||
| Benachrichtigungen und Systeminformationen deaktiviert | Systeminformationen und Benachrichtigungen sind im Kioskmodus deaktiviert | ||
| Nur Systeminformationen | In der Statusleiste werden nur Systeminformationen angezeigt | ||
| Geräteeinstellungen | Nicht spezifiziert | Gibt an, ob ein Benutzer im Kioskmodus auf die App Einstellungen des Geräts zugreifen kann Standardmäßig zulässig | |
| Erlaubt | Der Zugriff auf die Einstellungen-App ist im Kioskmodus zulässig | ||
| Blockiert | Der Zugriff auf die Einstellungen-App ist im Kioskmodus nicht zulässig | ||
Zusätzlich zur Konfiguration der Grundeinstellungen, Einschränkungen, Netzwerke etc. sind folgende Einstellungen im Profil erforderlich:
Persönlicher Gebrauch Persönlicher Gebrauch
Im Reiter Persönlicher Gebrauch muss eben dieses explizit erlaubt und ggf. weitere Einstellungen vorgenommen werden | |||
| Beschriftung | Wert | Beschreibung |  |
|---|---|---|---|
| Aktivieren | default: aus |
Ermöglicht die Steuerung der privaten Nutzung Wird dieser Schalter nicht aktiviert, kann der Nutzer ohne Einschränkungen private Apps installieren! | |
| Kamera deaktivieren | Deaktiviert die Kamera im persönlichen Profil Um die Kamera für geschäftliche Anwendungen nutzern zu können, muss diese als App im Reiter Anwendungen hinterlegt werden. | ||
| Deaktivieren Sie die Bildschirmaufnahme | Bildschirmaufnahmen (Screenshots) sind bei Aktivierung nicht möglich | ||
| Kontotypen mit deaktivierter Verwaltung | Kontotypen, die vom Benutzer nicht verwaltet werden können. Beispiele:
| ||
| Max. Tage ohne Arbeit | 0 |
Steuert, wie lange das Arbeitsprofil ausgeschaltet bleiben kann. (In der App-Übersicht lassen sich die Apps und Benachrichtigungen des Arbeitsprofils deaktivieren.) | |
| Persönlicher Play Store-Modus | Nicht spezifiziert | Gibt an, ob die Apps im Abschnitt Persönliche Anwendungen im persönlichen Profil zugelassen oder blockiert werden. Standardmäßig Blockliste. Es muss zusätzlich der Installationstyp angegeben werden. | |
| Zulassungsliste | Im persönlichen Profil dürfen nur Apps installiert werden, die explizit in Persönliche Anwendungen angegeben sind und deren Installationstyp auf Verfügbar eingestellt ist. | ||
| Blocklist | Alle Play Store-Apps können im persönlichen Profil installiert werden, mit Ausnahme derjenigen, deren Installationstyp unter "Persönliche Anwendungen" "Blockiert" ist. | ||
| Persönliche Anwendungen | Anwendung hinzufügen | Richtlinien für Apps im persönlichen Profil eines unternehmenseigenen Geräts mit einem Arbeitsprofil | |
| Paketname | de.ausgewählte.App | Paket aus Dropdownmenü auswählen oder mit Anwendung auswählen hinzufügen | |
| Installationstyp | Nicht spezifiziert | Die Art wie die Installation durchgeführt wird. (Nicht spezifiziert=Default: Verfügbar) | |
| Blockieren | Die App wird blockiert und kann nicht installiert werden. Wenn die App über ein altes Profil installiert wurde, wird diese deinstalliert | ||
| Verfügbar | Die App steht zur installation bereit | ||
Profilübergreifende Richtlinien | |||
| Aktivieren | Richtlinien, die bei Aktivierung Einschränkungen in der Kommuikation zwischen privatem und geschäftlichen Profil definieren | ||
| Arbeitskontakte im persönlichen Profil anzeigen | Erlaubt Defaultwert |
Erlaubt das Erscheinen von Arbeitsprofilkontakten bei der Suche nach persönlichen Profilkontakten und eingehenden Anrufen | |
| Nicht erlaubt | Verhindert, dass Kontakte aus dem Arbeitsprofil bei der Suche nach persönlichen Profilkontakten und eingehenden Anrufen angezeigt werden | ||
| Nicht spezifiziert | Entspricht Erlaubt | ||
| Profilübergreifendes Kopieren & Einfügen | |||
| Erlaubt | Text, der in einem der Profile kopiert wurde, kann in das andere Profil eingefügt werden | ||
| Nicht spezifiziert | Entspricht Nicht erlaubt | ||
| Profilübergreifende Datenfreigabe | Von der Arbeit zum persönlichen Profil verweigern Defaultwert |
Verhindert, dass Benutzer Daten aus dem Arbeitsprofil für Apps im persönlichen Profil freigeben. Persönliche Daten können mit Arbeits-Apps geteilt werden. | |
| Verhindert, dass Daten sowohl vom persönlichen Profil an das Arbeitsprofil als auch vom Arbeitsprofil an das persönliche Profil weitergegeben werden. | |||
| Erlaubt | Daten von einem der Profile können mit dem anderen Profil geteilt werden. | ||
| Nicht spezifiziert | Entspricht Nicht erlaubt | ||
| Speichern | Allen Angaben mussen gespeichert werden, um and die Geräte übertragen zu werden. | ||
Geräte Enrollment
BYOD: Registrierungs-Token für ein Profil
Unter Mobile Security
Android Geräte lässt ich mit der so bezeichneten Schaltfläche ein Neues Gerät anmelden
| Beschriftung | Option | Beschreibung |  |
|---|---|---|---|
| Möchten Sie ein vorhandenes Registrierungstoken verwenden? | Erstellen Sie ein neues Registrierungstoken | Sollte bereits ein Registrierungstoken erstellt worden, das noch nicht abgelaufen ist, kann es hier ausgewählt und angezeigt werden. (Abb. s.u.) | |
| Profil | Android Enterprise Profil | Dieses Profil soll auf das zu registrierende Gerät angewendet werden. | |
| Lizenz | TTT-Point AG | MDM [0/10] (aaaa) | Auswahl der Lizenz, die für neu angemeldete Geräte verwendet werden soll. MDM-Lizenzen beinhalten die vollständige Administration von Geräten. Mobile Security-Lizenzen beinhalten u.a. zusätzlichen Schutz in offenen Netzwerken durch Sicherheitsfunktionen der Securepoint Cyber Defense-Cloud Es ist möglich, Geräte nach Ablauf einer Laufzeit-Lizenz einer neuen Lizenz zuzuordnen. | |
| Code nutzen | Legt fest, ob beim Enrollment am Ende der Geräteregistrierung ein Code benötigt wird oder nicht Sollte aktiviert werden, um zu verhindern, daß Geräte, die in unbefugte Hände gelangt sind mit konfigurierten Zugangsdaten oder anderen Firmen-Geheimnissen registriert werden | ||
| Weitere Optionen | |||
| Dauer |
30 Tage | Legt fest, wie lange dieses Token verwendet werden kann Danach ist eine Geräteregistrierung mit diesem Token nicht mehr möglich. Mögliche Werte: 30 Minuten Neu 90 Tage Neu UnendlichTechnisch handelt es sich um eine Begrenzung auf 10.000 Jahre | |
| Zusätzliche Daten | Mit dem Registrierungstoken verknüpfte beliebige Daten. Wird angezeigt unter in der Geräteübersicht | ||
| Nur einmal | Gibt an, ob das Registrierungstoken nur einmal verwendet werden darf. | ||
| Private Nutzung zulassen | Private Nutzung ist erlaubt | Legt fest, ob die private Nutzung auf einem mit diesem Registrierungstoken angemeldeten Gerät zulässig ist. Für private Geräte: Es wird ein Arbeitsprofil auf dem Gerät eingerichtet. | |
| Registrierungstoken erstellen | Erstellt einen Registrierungstoken mit QR-Code und einem Wert, der über die Tastatur eingetragen werden kann. Es wird der Name des zugehörigen Profils angezeigt, sowie das Datum, an dem es ausläuft und nicht mehr verwendet werden kann. |
 | |
BYOD: Gerät registrieren
Private Geräte mit zusätzlichem Arbeitsprofil (BYOD)
Um private von geschäftlichen Apps unterscheiden zu können, wird die App Android Device Policy benötigt.
Auf privaten Geräten, in denen nur das Arbeitsprofil von einer Organisation - und damit durch das Securepoint Mobile Security Profil - verwaltet wird, muss diese App manuell aus dem Android App-Store installiert werden.
Mit dieser App wird der Registrierungstoken gescannt oder über die Tastatur eingegeben und die Geräte können im Portal registriert und konfiguriert werden.
- Installation der App Android Device Policy aus dem Google Play Store
Der Aufruf der App erfolgt über die Liste der installierten Apps im Google Play Store
- Scannen des QR-Codes oder Eingabe des des Registrierungstokens über Tastatur
- Für das Enterprise Profil wird auf dem Gerät ein Arbeitsprofil erstellt
- Alle konfigurierten Anwendungen, Einschränkungen etc. werden innerhalb des Arbeitsprofils erstellt und angewendet
Installation der App [Android Device Policy]
Installierte ADP-App öffnen
Starten der App Weiter
Soll der QR-Code abfotografiert werden, ist die Zugriffsberechtigung für Bilder und Videos erforderlich
Code über Tastatur eingeben oder scannen
QR-Code scannen
gescannter Code wird überprüft
Arbeitsprofil Akzeptieren & weiter
Arbeitsprofil wird eingerichtet
Arbeitsprofil wird registriert
Für Arbeitsprofile ist eine Displaysperre erforderlich
ggf. muss eine Displaysperre eingerichtet werden
Die im Profil konfigurierten Apps müssen installiert werden
Anzeige der Apps, die installiert werden
Nach der Installation ist das Arbeitsprofil fertig eingerichtet.
Firmeneigentum mit privater Nutzung (COPE)
- Erstmaliges Anschalten oder Geräte-Reset (Werkseinstellungen)
- Auswahl der Ländereinstellungen
- 7-maliges schnelles Tippen auf das Display öffnet einen QR-Code-Scanner
- Einscannen des Profil-QR-Codes (siehe oben)
- Auf dem Gerät wird ein Arbeitsprofil erstellt
- Alle konfigurierten Anwendungen, Einschränkungen etc. werden innerhalb des Arbeitsprofils erstellt und angewendet
- Apps werden im Bereich "Geschäftlich" angezeigt und mit einem Koffersymbol versehen
- Es kann zusätzlich ein privates Google Konto hinterlegt werden
Dieser Vorgang kann auch später durchgeführt werden- Es wird ein privates Profil eingerichtet
- Es existiert ein eigener Bereich Privat mit eigenem Playstore
Abb.1
Abb.2
Abb.3
Abb.4
Abb.5
Abb.6
Abb.7
Anzeige der Kontaktinformationen, wenn der Text IT-Administrator angeklickt wird
Abb.8
Abb.9
Abb.10
Abb.11
Abb.12
Abb.13
Abb.14
Abb.15
Abb.16
Abb.17
Abb.18
Abb.19
Abb.20
Abb.21
Vollständig verwaltete Geräte (COBO, COSU)
Vollständig verwaltete Geräte (COBO: Company Owned, business only oder COSU: Company owned single use) werden bei der Ersteinrichtung oder nach einem Geräte-Reset direkt mit dem Android Enterprise Profil verbunden. Die Verknüpfung mit einem Googlekonto und damit mit einem App-Store wird durch das zugeordnete Profil definiert.
- Erstmaliges Anschalten oder Geräte-Reset (Werkseinstellungen)
- Auswahl der Ländereinstellungen
- 7-maliges schnelles Tippen auf das Display öffnet einen QR-Code-Scanner
- Einscannen des Profil-QR-Codes (siehe oben)
- Das Gerät wird als vollständig verwaltetes Gerät eingerichtet.
- Alle im Profil gespeicherten Richtlinien, Apss und Einschränkungen werden auf das Gerät unmittelbar angewendet
Dieser Vorgang kann bei der Erstinstallation einige Minuten dauern!
- Alle im Profil gespeicherten Richtlinien, Apss und Einschränkungen werden auf das Gerät unmittelbar angewendet
Auswahl der Ländereinstellung
7-maliges schnelles Tippen auf das Display öffnet einen QR-Code-Scanner
Geräte mit Android ≤ 9 (Pie) benötigen bereits jetzt eine temporäre WLAN-Verbindung, um einen QR-Code-Scanner zu laden.
7-maliges schnelles Tippen auf das Display öffnet einen QR-Code-Scanner
Geräte mit Android ≤ 9 (Pie) benötigen bereits jetzt eine temporäre WLAN-Verbindung, um einen QR-Code-Scanner zu laden.
QR-Code einscannen
Um die Profileinstellungen empfangen zu können wird eine Temporäre Verbindung zu einem WLAN aufgebaut. Die Zugangsdaten werden dabei nicht gespeichert!
Hinweis darauf, daß dieses Gerät von einer Organisation verwaltet wird
Arbeitsprofil wird vorbereitet
(Das Gesamte Gerät, wird vom Arbeitsprofil erfasst!)
(Das Gesamte Gerät, wird vom Arbeitsprofil erfasst!)
Das Gerät wird als Arbeitsgerät eingerichtet
Datenschutzhinweis
Google-Dienste sollen zugelassen werden (nach Bedarf)
Geräteaktualisierung. Durch das Update des Play Store erhalten wichtige Betriebssytem-Teile ebenfalls ein Update. Dadurch erreicht Android eine schnellere Versorgung aller Geräte mit sicherheitsrelevanten Updates, als wenn das über die angepassten Geräteherstellerversionen erfolge nwürde.
Abschluss der Geräteaktualisierung
Im Profil konfigurierte Apss werden installiert.
Dieser Vorgang kann etliche Minuten dauern!
Dieser Vorgang kann etliche Minuten dauern!
Es wurde die App »Android Device Policy« installiert, die zur Verwaltung des Gerätes mit dem Profil benötigt wird. Sie wird nur Angezeigt, wenn man den App-Store öffnet und sich die installierten Apps anzeigen lässt. (App-Store Menü → »Meine Apps für die Arbeit« → »Installiert«)
Zero-Touch Geräte
Registrierung im Menü Mobile Security Android
Zero-Touch
Entweder
- Gerät einer bestehende Konfiguration hinzufügen:
- Konfiguration bearbeiten: Gerätekachel anklicken (oder über das Hamburger-Menü in der Gerätekachel oben rechts / Bearbeiten)
- ggf. neues, gültiges Enrollmenttoken wählen Enrollmenttoken sind maximal 30 Tage lang gültig
- Gerät(e) anhand der IMEI oder Seriennummer auswählen
- Angaben speichern
oder
- mit der Schaltfläche Konfiguration hinzufügen
- Enrollmenttoken wählen
- Kunde wählen
- Weitere Angaben vervollständigen (Unternehmensname, Kontaktdaten…)
- Gerät(e) anhand der IMEI oder Seriennummer auswählen
- Angaben speichern
Das Enrollment auf dem Gerät selbst ist, je nach Konfiguration, genau so, wie in den Abschnitten COPE, COBU oder COSU beschrieben.
Es entfällt lediglich das Scannen des Enrollment Tokens!
| Name: | Demo TTT-Point | Name der Konfiguration |  |
| Enrollmenttoken | Profil: Gewähltes Profil | Token abCD12 | Der ausgewählte Enrollmenttoken (wie im Menü Geräte / Neues Gerät anmelden erzeugt) wird auf alle Geräte angewandt, die mit dieser Konfiguration enrolled werden. Dieses stellt sicher, daß nur Befugte Zugang zu dem konfigurierten Gerät erhalten. | |
| Kunde: | SecurepointCustomer | Die Bezeichnung für den Kunden, so wie sie an den Geräte-Händler übermittelt wurde. Wurden mehrere Gmail-Adressen mit dem Zero-Touch-Portal verknüpft, können hier verschiedene Bezeichnungen ausgewählt werden. | |
| Standard | Definiert ob diese Konfiguration der Standard ist oder nicht. Bei Aktivierung werden neue Zero-Touch Geräte automatisch dieser Konfiguration hinzugefügt, sofern keine Andere angegeben wird Hinweis: Es sollte mindestens eine Konfiguration als Standard definiert sein. | ||
| Unternehmen | TTT-Point AG | Frei wählbare Bezeichnung für das Unternehmen, dem dieses Gerät zugeordnet werden soll. | |
| admin@anyideas.de | Kontakt-E-Mail-Adresse Wird im Laufe des Einrichtungsprozesses auf dem Handy angezeigt, wenn auf dem Bildschirm "Dieses Gerät gehört deiner Organisation" auf IT-Administrator getippt wird. | ||
| Telefonnummer | 01234-56789 | Kontakt-Telefonnummer Anzeige s.o. | |
| Benutzerdefinierte Nachricht | Willkommen bei TTT-Point | Wird während des Gerätesetups auf dem Display angezeigt | |
| Geräte | ×123456789012345 | Geräten kann diese Konfiguration anhand ihrer IMEI oder Seriennummer zugeordnet werden | |
| Speichern | Speichert die Konfiguration | ||
| Zero-Touch Konfiguration mit zugeordnetem Gerät |  | ||
Abschluss durch Benutzer
Die Konfiguration aus dem Profil wird anschließend automatisch auf das Gerät angewendet.
Geräte aus der Verwaltung durch Mobile Security entfernen
Private Geräte mit Arbeitsprofil (BYOD)
Unter / Löschen in der jeweiligen Geräte-Kachel kann die Verwaltung von den Geräten entfernt werden:
- Alle Apps und Daten innerhalb des Arbeitsprofils werden gelöscht
- Das Arbeitsprofil auf diesen Geräten wird entfernt.
Firmengeräte mit privater Nutzung (COPE)
Unter / Löschen in der jeweiligen Geräte-Kachel kann die Verwaltung von den Geräten entfernt werden:
- Alle Daten werden gelöscht.
- Die Geräte werden automatisch und unverzüglich auf ihren Werkszustand zurückgesetzt!
Unter Mobile Security Android Geräte Reiter Operationen Schaltfläche kann das Gerät aus der Verwaltung entfernt werden:
- Alle Apps und Daten innerhalb des Arbeitsprofils werden gelöscht
- Das Arbeitsprofil auf diesen Geräten wird entfernt.
Vollständig verwaltete Geräte (COBO / COSU)
Unter / Löschen in der jeweiligen Geräte-Kachel kann die Verwaltung von den Geräten entfernt werden:
- Alle Daten werden gelöscht.
- Die Geräte werden automatisch und unverzüglich auf ihren Werkszustand zurückgesetzt!
COPE: Company owned, personal enabled
Firmeneigentum mit privater Nutzung:
- Das Unternehmen kauft das Gerät für den Nutzer
- Die private Nutzung ist erlaubt
- Trennung privater und beruflicher Apps und Daten durch Container
- simple Steuerung des privaten Bereichs durch das MDM
- z.B.: Zugriff auf Bilder erlauben / verbieten
- Adressaustausch erlauben / verbieten
- Es ist möglich, das Gerät in rein private Nutzung zu überführen
- Einstellung unter: Mobile Security
Android Profile → Neues Gerät anmelden →
→ Weitere Optionen → Private Nutzung zulassen: Private Nutzung ist erlaubt
Zusätzlich im Profil: Reiter Persönlicher Gebrauch Aktivieren
Android Zero-Touch Ablauf
Hier werden die erforderlichen Schritte beschrieben, um Android Geräte verbinden zu können:
Voraussetzungen:
- Das Securepoint Mobile Device Management (MDM) muss mit einem Google-Konto als Android Enterprise Konto verknüpft sein
- Im Securepoint Unified Security Portal konfiguriertes Android Enterprise Profil
Enrollment:
Vorbereitung
Es muss eine Verbindung vom Securepoint Mobile Security Portal zu einem Android Enterprise Konto bestehen.
Verknüpfung Google Enterprise mit Securepoint Mobile Security
Um Android Enterprise für Unternehmen nutzen und über Securepoint Mobile Security administrieren zu können, muss eine Verknüpfung zwischen dem Konto bei Mobile-Security und einem Google-Konto für EMM hergestellt werden.
Wichtig ist hierbei, daß es nur noch ein Google-Enterprise-Konto für alle Geräte eines Tenants (Kunde mit eigenem Mobile-Security-Konto) gibt. Ohne EMM hat jedes Gerät ein eigenes Google-Konto.
Ein Google-Konto darf jeweils mit nur einem Tenant verknüpft werden!Andernfalls erscheinen alle einem Tenant – und damit einem Google-Konto – zugeordneten Geräte in allen weiteren Tenants, die mit dem gleichen Google-Konto verknüpft wurden!
Verknüpfung im Menü
→ → → Hinzufügen/LinkEin Google-Konto wird durch die Verknüpfung mit Securepoint Mobile Security als EMM-Anbieter zu einem Enterprise Konto
Die Kommunikation des Securepoint Mobile Security Portals läuft hierbei komplett über dieses Google-Konto.
Wird das Konto von Google gesperrt oder vom Inhaber gelöscht, werden sämtliche Geräte zurückgesetzt.
Es muss unbedingt darauf geachtet werden, daß dieses Google-Konto auf gar keinen Fall gelöscht wird, oder daß die GMail-Adresse gesperrt wird.
Es muss unbedingt darauf geachtet werden, daß dieses Google-Konto auf gar keinen Fall gelöscht wird, oder daß die GMail-Adresse gesperrt wird.
Google gibt Hinweise auf verschiedene Gründe, warum ein Konto gesperrt worden sein kann:
https://support.google.com/accounts/answer/40695?hl=de
https://support.google.com/accounts/answer/40695?hl=de
Wir empfehlen dringend die Aktivierung der 2 Faktor Authentifizierung 2FA!
Enterprise Benutzerkonto hinzufügen → → → Hinzufügen/Link
Weiterleitung auf https://play.google.com/work
Name des Unternehmens.
Die Verknüpfung mit Securepoint Mobile Security ist bereits vorgegeben.
Die Verknüpfung mit Securepoint Mobile Security ist bereits vorgegeben.
Es sind Angaben zum/r Datenschutzbeauftragten und EU-Bevollmächtigten erforderlich
Die Registrierung bei Google kann damit abgeschlossen werden.
Es erfolgt eine Weiterleitung zurück zum Securepoint Mobile Security Portal. Die Einrichtung muss mit OK abgeschlossen werden.
Die Verknüpfung ist jetzt hergestellt.
Sollte diese Meldung beim Aufruf von https://play.google.com/work erscheinen, ist die Registrierung im Securepoint Mobile Security Portal noch nicht abgeschlossen worden und kein Token verknüpft!
Es muss ein Android-Profil geben, daß dem Gerät zugeordnet werden kann.
COPE: Android Profil
Unter lässt sich ein Profil hinzufügen, ein Profil importieren oder ein bestehendes Profil bearbeiten (Klick auf Profilkachel oder → Bearbeiten )
Hier wiederum werden verschiedene Konfiguration vorgenommen, z.B.:
- Steuerung des App Stores für private Anwendungen
- Freigabe der beruflichen Adressbücher für den privaten Bereich (z.B. bei eingehenden Anrufen)
- WiFi Konfigurationen
- Einschränkungen
- Passwort-Richtlinien
- Sicherheitseinstellungen
Zusätzlich zur Konfiguration der Grundeinstellungen, Einschränkungen, Netzwerke etc. sind folgende Einstellungen im Profil erforderlich:
Anwendungen Anwendungen
Installationstyp Kiosk muss im Reiter Anwendungen für eine einzige App hinzugefügt werden | |||
| Beschriftung | Wert | Beschreibung | |
|---|---|---|---|
| Anwendung hinzufügen | |||
| Paketname | de.ausgewählte.App | Paket aus Dropdownmenü auswählen oder mit Anwendung auswählen hinzufügen | |
| Installationstyp | Kiosk |
| |
Einschränkungen Einschränkungen
Einstellungen im Reiter Einschränkungen für den Kioskmodus | |||
| Aktivieren Sie den benutzerdefinierten Kiosk-Starter | Blendet alle Systemanwendungen im Homescreen aus und zeigt nur die Apps an, die über das Profil installiert wurden. Es wird empfohlen, zusätzlich die Statusleiste zu deaktivieren, um den Zugriff auf Geräteeinstellungen zu blockieren. | ||
| Power-Button-Aktionen | Nicht spezifiziert | Legt das Verhalten eines Geräts im Kioskmodus fest, wenn ein Benutzer die Ein- / Aus-Taste drückt und gedrückt hält. Standardmäßig verfügbar | |
| Verfügbar | Das Ein- / Ausschaltmenü (z. B. Ausschalten, Neustart) wird angezeigt, wenn ein Benutzer im Kioskmodus die Ein- / Aus-Taste eines Geräts lange drückt | ||
| Blockiert | Das Ein / Aus-Menü (z. B. Ausschalten, Neustart) wird nicht angezeigt, wenn ein Benutzer im Kioskmodus lange auf die Ein- / Aus-Taste eines Geräts drückt | ||
| Systemfehlerwarnungen | Nicht spezifiziert | Gibt an, ob Systemfehlerdialoge für abgestürzte oder nicht reagierende Apps im Kioskmodus blockiert werden. Standardmäßig stummgeschaltet. | |
| Aktiviert | Alle Systemfehlerdialoge wie Absturz und App reagiert nicht (ANR) werden angezeigt. | ||
| Stumm | Alle Systemfehlerdialoge wie Absturz und nicht reagierende App (ANR) werden blockiert. Wenn es blockiert ist, stoppt das System die App zwangsweise, als ob der Benutzer die App über die Benutzeroberfläche schließt. | ||
| Systemnavigation | Nicht spezifiziert | Gibt an, welche Navigationsfunktionen im Kioskmodus aktiviert sind (z. B. Home, Übersichtstasten). | |
| Aktiviert | Home- und Übersichtsschaltflächen sind aktiviert. | ||
| Deaktiviert | Auf die Schaltflächen Home und Übersicht kann nicht zugegriffen werden. | ||
| Nur Home-Taste | Nur die Home-Taste ist aktiviert. | ||
| Statusleiste | Nicht spezifiziert | Gibt an, ob Systeminformationen und Benachrichtigungen im Kioskmodus deaktiviert sind. Standardmäßig Benachrichtigungen und Systeminformationen deaktiviert. | |
| Benachrichtigungen und Systeminformationen aktiviert | Systeminformationen und Benachrichtigungen werden im Kioskmodus in der Statusleiste angezeigt | ||
| Benachrichtigungen und Systeminformationen deaktiviert | Systeminformationen und Benachrichtigungen sind im Kioskmodus deaktiviert | ||
| Nur Systeminformationen | In der Statusleiste werden nur Systeminformationen angezeigt | ||
| Geräteeinstellungen | Nicht spezifiziert | Gibt an, ob ein Benutzer im Kioskmodus auf die App Einstellungen des Geräts zugreifen kann Standardmäßig zulässig | |
| Erlaubt | Der Zugriff auf die Einstellungen-App ist im Kioskmodus zulässig | ||
| Blockiert | Der Zugriff auf die Einstellungen-App ist im Kioskmodus nicht zulässig | ||
Zusätzlich zur Konfiguration der Grundeinstellungen, Einschränkungen, Netzwerke etc. sind folgende Einstellungen im Profil erforderlich:
Persönlicher Gebrauch Persönlicher Gebrauch
Im Reiter Persönlicher Gebrauch muss eben dieses explizit erlaubt und ggf. weitere Einstellungen vorgenommen werden | |||
| Beschriftung | Wert | Beschreibung | |
|---|---|---|---|
| Aktivieren | default: aus |
Ermöglicht die Steuerung der privaten Nutzung Wird dieser Schalter nicht aktiviert, kann der Nutzer ohne Einschränkungen private Apps installieren! | |
| Kamera deaktivieren | Deaktiviert die Kamera im persönlichen Profil Um die Kamera für geschäftliche Anwendungen nutzern zu können, muss diese als App im Reiter Anwendungen hinterlegt werden. | ||
| Deaktivieren Sie die Bildschirmaufnahme | Bildschirmaufnahmen (Screenshots) sind bei Aktivierung nicht möglich | ||
| Kontotypen mit deaktivierter Verwaltung | Kontotypen, die vom Benutzer nicht verwaltet werden können. Beispiele:
| ||
| Max. Tage ohne Arbeit | 0 |
Steuert, wie lange das Arbeitsprofil ausgeschaltet bleiben kann. (In der App-Übersicht lassen sich die Apps und Benachrichtigungen des Arbeitsprofils deaktivieren.) | |
| Persönlicher Play Store-Modus | Nicht spezifiziert | Gibt an, ob die Apps im Abschnitt Persönliche Anwendungen im persönlichen Profil zugelassen oder blockiert werden. Standardmäßig Blockliste. Es muss zusätzlich der Installationstyp angegeben werden. | |
| Zulassungsliste | Im persönlichen Profil dürfen nur Apps installiert werden, die explizit in Persönliche Anwendungen angegeben sind und deren Installationstyp auf Verfügbar eingestellt ist. | ||
| Blocklist | Alle Play Store-Apps können im persönlichen Profil installiert werden, mit Ausnahme derjenigen, deren Installationstyp unter "Persönliche Anwendungen" "Blockiert" ist. | ||
| Persönliche Anwendungen | Anwendung hinzufügen | Richtlinien für Apps im persönlichen Profil eines unternehmenseigenen Geräts mit einem Arbeitsprofil | |
| Paketname | de.ausgewählte.App | Paket aus Dropdownmenü auswählen oder mit Anwendung auswählen hinzufügen | |
| Installationstyp | Nicht spezifiziert | Die Art wie die Installation durchgeführt wird. (Nicht spezifiziert=Default: Verfügbar) | |
| Blockieren | Die App wird blockiert und kann nicht installiert werden. Wenn die App über ein altes Profil installiert wurde, wird diese deinstalliert | ||
| Verfügbar | Die App steht zur installation bereit | ||
Profilübergreifende Richtlinien | |||
| Aktivieren | Richtlinien, die bei Aktivierung Einschränkungen in der Kommuikation zwischen privatem und geschäftlichen Profil definieren | ||
| Arbeitskontakte im persönlichen Profil anzeigen | Erlaubt Defaultwert |
Erlaubt das Erscheinen von Arbeitsprofilkontakten bei der Suche nach persönlichen Profilkontakten und eingehenden Anrufen | |
| Nicht erlaubt | Verhindert, dass Kontakte aus dem Arbeitsprofil bei der Suche nach persönlichen Profilkontakten und eingehenden Anrufen angezeigt werden | ||
| Nicht spezifiziert | Entspricht Erlaubt | ||
| Profilübergreifendes Kopieren & Einfügen | |||
| Erlaubt | Text, der in einem der Profile kopiert wurde, kann in das andere Profil eingefügt werden | ||
| Nicht spezifiziert | Entspricht Nicht erlaubt | ||
| Profilübergreifende Datenfreigabe | Von der Arbeit zum persönlichen Profil verweigern Defaultwert |
Verhindert, dass Benutzer Daten aus dem Arbeitsprofil für Apps im persönlichen Profil freigeben. Persönliche Daten können mit Arbeits-Apps geteilt werden. | |
| Verhindert, dass Daten sowohl vom persönlichen Profil an das Arbeitsprofil als auch vom Arbeitsprofil an das persönliche Profil weitergegeben werden. | |||
| Erlaubt | Daten von einem der Profile können mit dem anderen Profil geteilt werden. | ||
| Nicht spezifiziert | Entspricht Nicht erlaubt | ||
| Speichern | Allen Angaben mussen gespeichert werden, um and die Geräte übertragen zu werden. | ||
Geräte Enrollment
COPE: Registrierungs-Token für ein Profil
Unter Mobile Security Android Geräte lässt ich mit der so bezeichneten Schaltfläche ein Neues Gerät anmelden
| Beschriftung | Option | Beschreibung | |
|---|---|---|---|
| Möchten Sie ein vorhandenes Registrierungstoken verwenden? | Erstellen Sie ein neues Registrierungstoken | Sollte bereits ein Registrierungstoken erstellt worden, das noch nicht abgelaufen ist, kann es hier ausgewählt und angezeigt werden. (Abb. s.u.) | |
| Profil | Android Enterprise Profil | Dieses Profil soll auf das zu registrierende Gerät angewendet werden. | |
| Lizenz | TTT-Point AG | MDM [0/10] (aaaa) | Auswahl der Lizenz, die für neu angemeldete Geräte verwendet werden soll. MDM-Lizenzen beinhalten die vollständige Administration von Geräten. Mobile Security-Lizenzen beinhalten u.a. zusätzlichen Schutz in offenen Netzwerken durch Sicherheitsfunktionen der Securepoint Cyber Defense-Cloud Es ist möglich, Geräte nach Ablauf einer Laufzeit-Lizenz einer neuen Lizenz zuzuordnen. | |
| Code nutzen | Legt fest, ob beim Enrollment am Ende der Geräteregistrierung ein Code benötigt wird oder nicht Sollte aktiviert werden, um zu verhindern, daß Geräte, die in unbefugte Hände gelangt sind mit konfigurierten Zugangsdaten oder anderen Firmen-Geheimnissen registriert werden | ||
| Weitere Optionen | |||
| Dauer |
30 Tage | Legt fest, wie lange dieses Token verwendet werden kann Danach ist eine Geräteregistrierung mit diesem Token nicht mehr möglich. Mögliche Werte: 30 Minuten Neu 90 Tage Neu UnendlichTechnisch handelt es sich um eine Begrenzung auf 10.000 Jahre | |
| Zusätzliche Daten | Mit dem Registrierungstoken verknüpfte beliebige Daten. Wird angezeigt unter in der Geräteübersicht | ||
| Nur einmal | Gibt an, ob das Registrierungstoken nur einmal verwendet werden darf. | ||
| Private Nutzung zulassen | Private Nutzung ist erlaubt | Legt fest, ob die private Nutzung auf einem mit diesem Registrierungstoken angemeldeten Gerät zulässig ist. Für Firmengeräte: Es wird ein Arbeitsprofil auf dem Gerät eingerichtet. | |
| Registrierungstoken erstellen | Erstellt einen Registrierungstoken mit QR-Code und einem Wert, der über die Tastatur eingetragen werden kann. Es wird der Name des zugehörigen Profils angezeigt, sowie das Datum, an dem es ausläuft und nicht mehr verwendet werden kann. |
| |
COPE: Gerät registrieren
Private Geräte mit zusätzlichem Arbeitsprofil (BYOD)
Um private von geschäftlichen Apps unterscheiden zu können, wird die App Android Device Policy benötigt.
Auf privaten Geräten, in denen nur das Arbeitsprofil von einer Organisation - und damit durch das Securepoint Mobile Security Profil - verwaltet wird, muss diese App manuell aus dem Android App-Store installiert werden.
Mit dieser App wird der Registrierungstoken gescannt oder über die Tastatur eingegeben und die Geräte können im Portal registriert und konfiguriert werden.
- Installation der App Android Device Policy aus dem Google Play Store
Der Aufruf der App erfolgt über die Liste der installierten Apps im Google Play Store
- Scannen des QR-Codes oder Eingabe des des Registrierungstokens über Tastatur
- Für das Enterprise Profil wird auf dem Gerät ein Arbeitsprofil erstellt
- Alle konfigurierten Anwendungen, Einschränkungen etc. werden innerhalb des Arbeitsprofils erstellt und angewendet
Installation der App [Android Device Policy]
Installierte ADP-App öffnen
Starten der App Weiter
Soll der QR-Code abfotografiert werden, ist die Zugriffsberechtigung für Bilder und Videos erforderlich
Code über Tastatur eingeben oder scannen
QR-Code scannen
gescannter Code wird überprüft
Arbeitsprofil Akzeptieren & weiter
Arbeitsprofil wird eingerichtet
Arbeitsprofil wird registriert
Für Arbeitsprofile ist eine Displaysperre erforderlich
ggf. muss eine Displaysperre eingerichtet werden
Die im Profil konfigurierten Apps müssen installiert werden
Anzeige der Apps, die installiert werden
Nach der Installation ist das Arbeitsprofil fertig eingerichtet.
Firmeneigentum mit privater Nutzung (COPE)
- Erstmaliges Anschalten oder Geräte-Reset (Werkseinstellungen)
- Auswahl der Ländereinstellungen
- 7-maliges schnelles Tippen auf das Display öffnet einen QR-Code-Scanner
- Einscannen des Profil-QR-Codes (siehe oben)
- Auf dem Gerät wird ein Arbeitsprofil erstellt
- Alle konfigurierten Anwendungen, Einschränkungen etc. werden innerhalb des Arbeitsprofils erstellt und angewendet
- Apps werden im Bereich "Geschäftlich" angezeigt und mit einem Koffersymbol versehen
- Es kann zusätzlich ein privates Google Konto hinterlegt werden
Dieser Vorgang kann auch später durchgeführt werden- Es wird ein privates Profil eingerichtet
- Es existiert ein eigener Bereich Privat mit eigenem Playstore
Abb.1
Abb.2
Abb.3
Abb.4
Abb.5
Abb.6
Abb.7
Anzeige der Kontaktinformationen, wenn der Text IT-Administrator angeklickt wird
Abb.8
Abb.9
Abb.10
Abb.11
Abb.12
Abb.13
Abb.14
Abb.15
Abb.16
Abb.17
Abb.18
Abb.19
Abb.20
Abb.21
Vollständig verwaltete Geräte (COBO, COSU)
Vollständig verwaltete Geräte (COBO: Company Owned, business only oder COSU: Company owned single use) werden bei der Ersteinrichtung oder nach einem Geräte-Reset direkt mit dem Android Enterprise Profil verbunden. Die Verknüpfung mit einem Googlekonto und damit mit einem App-Store wird durch das zugeordnete Profil definiert.
- Erstmaliges Anschalten oder Geräte-Reset (Werkseinstellungen)
- Auswahl der Ländereinstellungen
- 7-maliges schnelles Tippen auf das Display öffnet einen QR-Code-Scanner
- Einscannen des Profil-QR-Codes (siehe oben)
- Das Gerät wird als vollständig verwaltetes Gerät eingerichtet.
- Alle im Profil gespeicherten Richtlinien, Apss und Einschränkungen werden auf das Gerät unmittelbar angewendet
Dieser Vorgang kann bei der Erstinstallation einige Minuten dauern!
- Alle im Profil gespeicherten Richtlinien, Apss und Einschränkungen werden auf das Gerät unmittelbar angewendet
Auswahl der Ländereinstellung
7-maliges schnelles Tippen auf das Display öffnet einen QR-Code-Scanner
Geräte mit Android ≤ 9 (Pie) benötigen bereits jetzt eine temporäre WLAN-Verbindung, um einen QR-Code-Scanner zu laden.
7-maliges schnelles Tippen auf das Display öffnet einen QR-Code-Scanner
Geräte mit Android ≤ 9 (Pie) benötigen bereits jetzt eine temporäre WLAN-Verbindung, um einen QR-Code-Scanner zu laden.
QR-Code einscannen
Um die Profileinstellungen empfangen zu können wird eine Temporäre Verbindung zu einem WLAN aufgebaut. Die Zugangsdaten werden dabei nicht gespeichert!
Hinweis darauf, daß dieses Gerät von einer Organisation verwaltet wird
Arbeitsprofil wird vorbereitet
(Das Gesamte Gerät, wird vom Arbeitsprofil erfasst!)
(Das Gesamte Gerät, wird vom Arbeitsprofil erfasst!)
Das Gerät wird als Arbeitsgerät eingerichtet
Datenschutzhinweis
Google-Dienste sollen zugelassen werden (nach Bedarf)
Geräteaktualisierung. Durch das Update des Play Store erhalten wichtige Betriebssytem-Teile ebenfalls ein Update. Dadurch erreicht Android eine schnellere Versorgung aller Geräte mit sicherheitsrelevanten Updates, als wenn das über die angepassten Geräteherstellerversionen erfolge nwürde.
Abschluss der Geräteaktualisierung
Im Profil konfigurierte Apss werden installiert.
Dieser Vorgang kann etliche Minuten dauern!
Dieser Vorgang kann etliche Minuten dauern!
Es wurde die App »Android Device Policy« installiert, die zur Verwaltung des Gerätes mit dem Profil benötigt wird. Sie wird nur Angezeigt, wenn man den App-Store öffnet und sich die installierten Apps anzeigen lässt. (App-Store Menü → »Meine Apps für die Arbeit« → »Installiert«)
Zero-Touch Geräte
Registrierung im Menü Mobile Security Android Zero-Touch
Entweder
- Gerät einer bestehende Konfiguration hinzufügen:
- Konfiguration bearbeiten: Gerätekachel anklicken (oder über das Hamburger-Menü in der Gerätekachel oben rechts / Bearbeiten)
- ggf. neues, gültiges Enrollmenttoken wählen Enrollmenttoken sind maximal 30 Tage lang gültig
- Gerät(e) anhand der IMEI oder Seriennummer auswählen
- Angaben speichern
oder
- mit der Schaltfläche Konfiguration hinzufügen
- Enrollmenttoken wählen
- Kunde wählen
- Weitere Angaben vervollständigen (Unternehmensname, Kontaktdaten…)
- Gerät(e) anhand der IMEI oder Seriennummer auswählen
- Angaben speichern
Das Enrollment auf dem Gerät selbst ist, je nach Konfiguration, genau so, wie in den Abschnitten COPE, COBU oder COSU beschrieben.
Es entfällt lediglich das Scannen des Enrollment Tokens!
| Name: | Demo TTT-Point | Name der Konfiguration | |
| Enrollmenttoken | Profil: Gewähltes Profil | Token abCD12 | Der ausgewählte Enrollmenttoken (wie im Menü Geräte / Neues Gerät anmelden erzeugt) wird auf alle Geräte angewandt, die mit dieser Konfiguration enrolled werden. Dieses stellt sicher, daß nur Befugte Zugang zu dem konfigurierten Gerät erhalten. | |
| Kunde: | SecurepointCustomer | Die Bezeichnung für den Kunden, so wie sie an den Geräte-Händler übermittelt wurde. Wurden mehrere Gmail-Adressen mit dem Zero-Touch-Portal verknüpft, können hier verschiedene Bezeichnungen ausgewählt werden. | |
| Standard | Definiert ob diese Konfiguration der Standard ist oder nicht. Bei Aktivierung werden neue Zero-Touch Geräte automatisch dieser Konfiguration hinzugefügt, sofern keine Andere angegeben wird Hinweis: Es sollte mindestens eine Konfiguration als Standard definiert sein. | ||
| Unternehmen | TTT-Point AG | Frei wählbare Bezeichnung für das Unternehmen, dem dieses Gerät zugeordnet werden soll. | |
| admin@anyideas.de | Kontakt-E-Mail-Adresse Wird im Laufe des Einrichtungsprozesses auf dem Handy angezeigt, wenn auf dem Bildschirm "Dieses Gerät gehört deiner Organisation" auf IT-Administrator getippt wird. | ||
| Telefonnummer | 01234-56789 | Kontakt-Telefonnummer Anzeige s.o. | |
| Benutzerdefinierte Nachricht | Willkommen bei TTT-Point | Wird während des Gerätesetups auf dem Display angezeigt | |
| Geräte | ×123456789012345 | Geräten kann diese Konfiguration anhand ihrer IMEI oder Seriennummer zugeordnet werden | |
| Speichern | Speichert die Konfiguration | ||
| Zero-Touch Konfiguration mit zugeordnetem Gerät | | ||
Abschluss durch Benutzer
Die Konfiguration aus dem Profil wird anschließend automatisch auf das Gerät angewendet.
Geräte aus der Verwaltung durch Mobile Security entfernen
Private Geräte mit Arbeitsprofil (BYOD)
Unter / Löschen in der jeweiligen Geräte-Kachel kann die Verwaltung von den Geräten entfernt werden:
- Alle Apps und Daten innerhalb des Arbeitsprofils werden gelöscht
- Das Arbeitsprofil auf diesen Geräten wird entfernt.
Firmengeräte mit privater Nutzung (COPE)
Unter / Löschen in der jeweiligen Geräte-Kachel kann die Verwaltung von den Geräten entfernt werden:
- Alle Daten werden gelöscht.
- Die Geräte werden automatisch und unverzüglich auf ihren Werkszustand zurückgesetzt!
Unter Mobile Security Android Geräte Reiter Operationen Schaltfläche kann das Gerät aus der Verwaltung entfernt werden:
- Alle Apps und Daten innerhalb des Arbeitsprofils werden gelöscht
- Das Arbeitsprofil auf diesen Geräten wird entfernt.
Vollständig verwaltete Geräte (COBO / COSU)
Unter / Löschen in der jeweiligen Geräte-Kachel kann die Verwaltung von den Geräten entfernt werden:
- Alle Daten werden gelöscht.
- Die Geräte werden automatisch und unverzüglich auf ihren Werkszustand zurückgesetzt!
COBO: Company owned, business only
Firmeneigentum ohne private Nutzung:
- Die Geräte sind nur für den Einsatz im Unternehmensumfeld gedacht
- Der IT-Administrator hat die volle Kontrolle über das Smartphone
- Private Daten sind auf dem Gerät strikt untersagt
- Einstellung unter: Mobile Security Android Profile → Neues Gerät anmelden →
→ Weitere Optionen → Private Nutzung zulassen → Private Nutzung ist nicht erlaubt
Android Zero-Touch Ablauf
Hier werden die erforderlichen Schritte beschrieben, um Android Geräte verbinden zu können:
Voraussetzungen:
- Das Securepoint Mobile Device Management (MDM) muss mit einem Google-Konto als Android Enterprise Konto verknüpft sein
- Im Securepoint Unified Security Portal konfiguriertes Android Enterprise Profil
Enrollment:
Vorbereitung
Es muss eine Verbindung vom Securepoint Mobile Security Portal zu einem Android Enterprise Konto bestehen.
Verknüpfung Google Enterprise mit Securepoint Mobile Security
Um Android Enterprise für Unternehmen nutzen und über Securepoint Mobile Security administrieren zu können, muss eine Verknüpfung zwischen dem Konto bei Mobile-Security und einem Google-Konto für EMM hergestellt werden.
Wichtig ist hierbei, daß es nur noch ein Google-Enterprise-Konto für alle Geräte eines Tenants (Kunde mit eigenem Mobile-Security-Konto) gibt. Ohne EMM hat jedes Gerät ein eigenes Google-Konto.
Ein Google-Konto darf jeweils mit nur einem Tenant verknüpft werden!Andernfalls erscheinen alle einem Tenant – und damit einem Google-Konto – zugeordneten Geräte in allen weiteren Tenants, die mit dem gleichen Google-Konto verknüpft wurden!
Verknüpfung im Menü
→ → → Hinzufügen/LinkEin Google-Konto wird durch die Verknüpfung mit Securepoint Mobile Security als EMM-Anbieter zu einem Enterprise Konto
Die Kommunikation des Securepoint Mobile Security Portals läuft hierbei komplett über dieses Google-Konto.
Wird das Konto von Google gesperrt oder vom Inhaber gelöscht, werden sämtliche Geräte zurückgesetzt.
Es muss unbedingt darauf geachtet werden, daß dieses Google-Konto auf gar keinen Fall gelöscht wird, oder daß die GMail-Adresse gesperrt wird.
Es muss unbedingt darauf geachtet werden, daß dieses Google-Konto auf gar keinen Fall gelöscht wird, oder daß die GMail-Adresse gesperrt wird.
Google gibt Hinweise auf verschiedene Gründe, warum ein Konto gesperrt worden sein kann:
https://support.google.com/accounts/answer/40695?hl=de
https://support.google.com/accounts/answer/40695?hl=de
Wir empfehlen dringend die Aktivierung der 2 Faktor Authentifizierung 2FA!
Enterprise Benutzerkonto hinzufügen → → → Hinzufügen/Link
Weiterleitung auf https://play.google.com/work
Name des Unternehmens.
Die Verknüpfung mit Securepoint Mobile Security ist bereits vorgegeben.
Die Verknüpfung mit Securepoint Mobile Security ist bereits vorgegeben.
Es sind Angaben zum/r Datenschutzbeauftragten und EU-Bevollmächtigten erforderlich
Die Registrierung bei Google kann damit abgeschlossen werden.
Es erfolgt eine Weiterleitung zurück zum Securepoint Mobile Security Portal. Die Einrichtung muss mit OK abgeschlossen werden.
Die Verknüpfung ist jetzt hergestellt.
Sollte diese Meldung beim Aufruf von https://play.google.com/work erscheinen, ist die Registrierung im Securepoint Mobile Security Portal noch nicht abgeschlossen worden und kein Token verknüpft!
Es muss ein Android-Profil geben, daß dem Gerät zugeordnet werden kann.
COBO: Android Profil
Unter lässt sich ein Profil hinzufügen, ein Profil importieren oder ein bestehendes Profil bearbeiten (Klick auf Profilkachel oder → Bearbeiten )
Hier wiederum werden verschiedene Konfiguration vorgenommen, z.B.:
Zusätzlich zur Konfiguration der Grundeinstellungen, Einschränkungen, Netzwerke etc. sind folgende Einstellungen im Profil erforderlich:
Anwendungen Anwendungen
Installationstyp Kiosk muss im Reiter Anwendungen für eine einzige App hinzugefügt werden | |||
| Beschriftung | Wert | Beschreibung | |
|---|---|---|---|
| Anwendung hinzufügen | |||
| Paketname | de.ausgewählte.App | Paket aus Dropdownmenü auswählen oder mit Anwendung auswählen hinzufügen | |
| Installationstyp | Kiosk |
| |
Einschränkungen Einschränkungen
Einstellungen im Reiter Einschränkungen für den Kioskmodus | |||
| Aktivieren Sie den benutzerdefinierten Kiosk-Starter | Blendet alle Systemanwendungen im Homescreen aus und zeigt nur die Apps an, die über das Profil installiert wurden. Es wird empfohlen, zusätzlich die Statusleiste zu deaktivieren, um den Zugriff auf Geräteeinstellungen zu blockieren. | ||
| Power-Button-Aktionen | Nicht spezifiziert | Legt das Verhalten eines Geräts im Kioskmodus fest, wenn ein Benutzer die Ein- / Aus-Taste drückt und gedrückt hält. Standardmäßig verfügbar | |
| Verfügbar | Das Ein- / Ausschaltmenü (z. B. Ausschalten, Neustart) wird angezeigt, wenn ein Benutzer im Kioskmodus die Ein- / Aus-Taste eines Geräts lange drückt | ||
| Blockiert | Das Ein / Aus-Menü (z. B. Ausschalten, Neustart) wird nicht angezeigt, wenn ein Benutzer im Kioskmodus lange auf die Ein- / Aus-Taste eines Geräts drückt | ||
| Systemfehlerwarnungen | Nicht spezifiziert | Gibt an, ob Systemfehlerdialoge für abgestürzte oder nicht reagierende Apps im Kioskmodus blockiert werden. Standardmäßig stummgeschaltet. | |
| Aktiviert | Alle Systemfehlerdialoge wie Absturz und App reagiert nicht (ANR) werden angezeigt. | ||
| Stumm | Alle Systemfehlerdialoge wie Absturz und nicht reagierende App (ANR) werden blockiert. Wenn es blockiert ist, stoppt das System die App zwangsweise, als ob der Benutzer die App über die Benutzeroberfläche schließt. | ||
| Systemnavigation | Nicht spezifiziert | Gibt an, welche Navigationsfunktionen im Kioskmodus aktiviert sind (z. B. Home, Übersichtstasten). | |
| Aktiviert | Home- und Übersichtsschaltflächen sind aktiviert. | ||
| Deaktiviert | Auf die Schaltflächen Home und Übersicht kann nicht zugegriffen werden. | ||
| Nur Home-Taste | Nur die Home-Taste ist aktiviert. | ||
| Statusleiste | Nicht spezifiziert | Gibt an, ob Systeminformationen und Benachrichtigungen im Kioskmodus deaktiviert sind. Standardmäßig Benachrichtigungen und Systeminformationen deaktiviert. | |
| Benachrichtigungen und Systeminformationen aktiviert | Systeminformationen und Benachrichtigungen werden im Kioskmodus in der Statusleiste angezeigt | ||
| Benachrichtigungen und Systeminformationen deaktiviert | Systeminformationen und Benachrichtigungen sind im Kioskmodus deaktiviert | ||
| Nur Systeminformationen | In der Statusleiste werden nur Systeminformationen angezeigt | ||
| Geräteeinstellungen | Nicht spezifiziert | Gibt an, ob ein Benutzer im Kioskmodus auf die App Einstellungen des Geräts zugreifen kann Standardmäßig zulässig | |
| Erlaubt | Der Zugriff auf die Einstellungen-App ist im Kioskmodus zulässig | ||
| Blockiert | Der Zugriff auf die Einstellungen-App ist im Kioskmodus nicht zulässig | ||
Zusätzlich zur Konfiguration der Grundeinstellungen, Einschränkungen, Netzwerke etc. sind folgende Einstellungen im Profil erforderlich:
Persönlicher Gebrauch Persönlicher Gebrauch
Im Reiter Persönlicher Gebrauch muss eben dieses explizit erlaubt und ggf. weitere Einstellungen vorgenommen werden | |||
| Beschriftung | Wert | Beschreibung | |
|---|---|---|---|
| Aktivieren | default: aus |
Ermöglicht die Steuerung der privaten Nutzung Wird dieser Schalter nicht aktiviert, kann der Nutzer ohne Einschränkungen private Apps installieren! | |
| Kamera deaktivieren | Deaktiviert die Kamera im persönlichen Profil Um die Kamera für geschäftliche Anwendungen nutzern zu können, muss diese als App im Reiter Anwendungen hinterlegt werden. | ||
| Deaktivieren Sie die Bildschirmaufnahme | Bildschirmaufnahmen (Screenshots) sind bei Aktivierung nicht möglich | ||
| Kontotypen mit deaktivierter Verwaltung | Kontotypen, die vom Benutzer nicht verwaltet werden können. Beispiele:
| ||
| Max. Tage ohne Arbeit | 0 |
Steuert, wie lange das Arbeitsprofil ausgeschaltet bleiben kann. (In der App-Übersicht lassen sich die Apps und Benachrichtigungen des Arbeitsprofils deaktivieren.) | |
| Persönlicher Play Store-Modus | Nicht spezifiziert | Gibt an, ob die Apps im Abschnitt Persönliche Anwendungen im persönlichen Profil zugelassen oder blockiert werden. Standardmäßig Blockliste. Es muss zusätzlich der Installationstyp angegeben werden. | |
| Zulassungsliste | Im persönlichen Profil dürfen nur Apps installiert werden, die explizit in Persönliche Anwendungen angegeben sind und deren Installationstyp auf Verfügbar eingestellt ist. | ||
| Blocklist | Alle Play Store-Apps können im persönlichen Profil installiert werden, mit Ausnahme derjenigen, deren Installationstyp unter "Persönliche Anwendungen" "Blockiert" ist. | ||
| Persönliche Anwendungen | Anwendung hinzufügen | Richtlinien für Apps im persönlichen Profil eines unternehmenseigenen Geräts mit einem Arbeitsprofil | |
| Paketname | de.ausgewählte.App | Paket aus Dropdownmenü auswählen oder mit Anwendung auswählen hinzufügen | |
| Installationstyp | Nicht spezifiziert | Die Art wie die Installation durchgeführt wird. (Nicht spezifiziert=Default: Verfügbar) | |
| Blockieren | Die App wird blockiert und kann nicht installiert werden. Wenn die App über ein altes Profil installiert wurde, wird diese deinstalliert | ||
| Verfügbar | Die App steht zur installation bereit | ||
Profilübergreifende Richtlinien | |||
| Aktivieren | Richtlinien, die bei Aktivierung Einschränkungen in der Kommuikation zwischen privatem und geschäftlichen Profil definieren | ||
| Arbeitskontakte im persönlichen Profil anzeigen | Erlaubt Defaultwert |
Erlaubt das Erscheinen von Arbeitsprofilkontakten bei der Suche nach persönlichen Profilkontakten und eingehenden Anrufen | |
| Nicht erlaubt | Verhindert, dass Kontakte aus dem Arbeitsprofil bei der Suche nach persönlichen Profilkontakten und eingehenden Anrufen angezeigt werden | ||
| Nicht spezifiziert | Entspricht Erlaubt | ||
| Profilübergreifendes Kopieren & Einfügen | |||
| Erlaubt | Text, der in einem der Profile kopiert wurde, kann in das andere Profil eingefügt werden | ||
| Nicht spezifiziert | Entspricht Nicht erlaubt | ||
| Profilübergreifende Datenfreigabe | Von der Arbeit zum persönlichen Profil verweigern Defaultwert |
Verhindert, dass Benutzer Daten aus dem Arbeitsprofil für Apps im persönlichen Profil freigeben. Persönliche Daten können mit Arbeits-Apps geteilt werden. | |
| Verhindert, dass Daten sowohl vom persönlichen Profil an das Arbeitsprofil als auch vom Arbeitsprofil an das persönliche Profil weitergegeben werden. | |||
| Erlaubt | Daten von einem der Profile können mit dem anderen Profil geteilt werden. | ||
| Nicht spezifiziert | Entspricht Nicht erlaubt | ||
| Speichern | Allen Angaben mussen gespeichert werden, um and die Geräte übertragen zu werden. | ||
Geräte Enrollment
COBO: Registrierungs-Token für ein Profil
Unter Mobile Security Android Geräte lässt ich mit der so bezeichneten Schaltfläche ein Neues Gerät anmelden
| Beschriftung | Option | Beschreibung |  |
|---|---|---|---|
| Möchten Sie ein vorhandenes Registrierungstoken verwenden? | Erstellen Sie ein neues Registrierungstoken | Sollte bereits ein Registrierungstoken erstellt worden, das noch nicht abgelaufen ist, kann es hier ausgewählt und angezeigt werden. (Abb. s.u.) | |
| Profil | Android Enterprise Profil | Dieses Profil soll auf das zu registrierende Gerät angewendet werden. | |
| Lizenz | TTT-Point AG | MDM [0/10] (aaaa) | Auswahl der Lizenz, die für neu angemeldete Geräte verwendet werden soll. MDM-Lizenzen beinhalten die vollständige Administration von Geräten. Mobile Security-Lizenzen beinhalten u.a. zusätzlichen Schutz in offenen Netzwerken durch Sicherheitsfunktionen der Securepoint Cyber Defense-Cloud Es ist möglich, Geräte nach Ablauf einer Laufzeit-Lizenz einer neuen Lizenz zuzuordnen. | |
| Code nutzen | Legt fest, ob beim Enrollment am Ende der Geräteregistrierung ein Code benötigt wird oder nicht Sollte aktiviert werden, um zu verhindern, daß Geräte, die in unbefugte Hände gelangt sind mit konfigurierten Zugangsdaten oder anderen Firmen-Geheimnissen registriert werden | ||
| Weitere Optionen | |||
| Dauer |
30 Tage | Legt fest, wie lange dieses Token verwendet werden kann Danach ist eine Geräteregistrierung mit diesem Token nicht mehr möglich. Mögliche Werte: 30 Minuten Neu 90 Tage Neu UnendlichTechnisch handelt es sich um eine Begrenzung auf 10.000 Jahre | |
| Zusätzliche Daten | Mit dem Registrierungstoken verknüpfte beliebige Daten. Wird angezeigt unter in der Geräteübersicht | ||
| Nur einmal | Gibt an, ob das Registrierungstoken nur einmal verwendet werden darf. | ||
| Private Nutzung zulassen | Private Nutzung ist nicht erlaubt | Legt fest, ob die private Nutzung auf einem mit diesem Registrierungstoken angemeldeten Gerät zulässig ist. Die Deaktivierung der privaten Nutzung verhindert das Erstellen eines Arbeitscontainers. | |
| Registrierungstoken erstellen | Erstellt einen Registrierungstoken mit QR-Code und einem Wert, der über die Tastatur eingetragen werden kann. Es wird der Name des zugehörigen Profils angezeigt, sowie das Datum, an dem es ausläuft und nicht mehr verwendet werden kann. |
| |
COBO: Gerät registrieren
Private Geräte mit zusätzlichem Arbeitsprofil (BYOD)
Um private von geschäftlichen Apps unterscheiden zu können, wird die App Android Device Policy benötigt.
Auf privaten Geräten, in denen nur das Arbeitsprofil von einer Organisation - und damit durch das Securepoint Mobile Security Profil - verwaltet wird, muss diese App manuell aus dem Android App-Store installiert werden.
Mit dieser App wird der Registrierungstoken gescannt oder über die Tastatur eingegeben und die Geräte können im Portal registriert und konfiguriert werden.
- Installation der App Android Device Policy aus dem Google Play Store
Der Aufruf der App erfolgt über die Liste der installierten Apps im Google Play Store
- Scannen des QR-Codes oder Eingabe des des Registrierungstokens über Tastatur
- Für das Enterprise Profil wird auf dem Gerät ein Arbeitsprofil erstellt
- Alle konfigurierten Anwendungen, Einschränkungen etc. werden innerhalb des Arbeitsprofils erstellt und angewendet
Installation der App [Android Device Policy]
Installierte ADP-App öffnen
Starten der App Weiter
Soll der QR-Code abfotografiert werden, ist die Zugriffsberechtigung für Bilder und Videos erforderlich
Code über Tastatur eingeben oder scannen
QR-Code scannen
gescannter Code wird überprüft
Arbeitsprofil Akzeptieren & weiter
Arbeitsprofil wird eingerichtet
Arbeitsprofil wird registriert
Für Arbeitsprofile ist eine Displaysperre erforderlich
ggf. muss eine Displaysperre eingerichtet werden
Die im Profil konfigurierten Apps müssen installiert werden
Anzeige der Apps, die installiert werden
Nach der Installation ist das Arbeitsprofil fertig eingerichtet.
Firmeneigentum mit privater Nutzung (COPE)
- Erstmaliges Anschalten oder Geräte-Reset (Werkseinstellungen)
- Auswahl der Ländereinstellungen
- 7-maliges schnelles Tippen auf das Display öffnet einen QR-Code-Scanner
- Einscannen des Profil-QR-Codes (siehe oben)
- Auf dem Gerät wird ein Arbeitsprofil erstellt
- Alle konfigurierten Anwendungen, Einschränkungen etc. werden innerhalb des Arbeitsprofils erstellt und angewendet
- Apps werden im Bereich "Geschäftlich" angezeigt und mit einem Koffersymbol versehen
- Es kann zusätzlich ein privates Google Konto hinterlegt werden
Dieser Vorgang kann auch später durchgeführt werden- Es wird ein privates Profil eingerichtet
- Es existiert ein eigener Bereich Privat mit eigenem Playstore
Abb.1
Abb.2
Abb.3
Abb.4
Abb.5
Abb.6
Abb.7
Anzeige der Kontaktinformationen, wenn der Text IT-Administrator angeklickt wird
Abb.8
Abb.9
Abb.10
Abb.11
Abb.12
Abb.13
Abb.14
Abb.15
Abb.16
Abb.17
Abb.18
Abb.19
Abb.20
Abb.21
Vollständig verwaltete Geräte (COBO, COSU)
Vollständig verwaltete Geräte (COBO: Company Owned, business only oder COSU: Company owned single use) werden bei der Ersteinrichtung oder nach einem Geräte-Reset direkt mit dem Android Enterprise Profil verbunden. Die Verknüpfung mit einem Googlekonto und damit mit einem App-Store wird durch das zugeordnete Profil definiert.
- Erstmaliges Anschalten oder Geräte-Reset (Werkseinstellungen)
- Auswahl der Ländereinstellungen
- 7-maliges schnelles Tippen auf das Display öffnet einen QR-Code-Scanner
- Einscannen des Profil-QR-Codes (siehe oben)
- Das Gerät wird als vollständig verwaltetes Gerät eingerichtet.
- Alle im Profil gespeicherten Richtlinien, Apss und Einschränkungen werden auf das Gerät unmittelbar angewendet
Dieser Vorgang kann bei der Erstinstallation einige Minuten dauern!
- Alle im Profil gespeicherten Richtlinien, Apss und Einschränkungen werden auf das Gerät unmittelbar angewendet
Auswahl der Ländereinstellung
7-maliges schnelles Tippen auf das Display öffnet einen QR-Code-Scanner
Geräte mit Android ≤ 9 (Pie) benötigen bereits jetzt eine temporäre WLAN-Verbindung, um einen QR-Code-Scanner zu laden.
7-maliges schnelles Tippen auf das Display öffnet einen QR-Code-Scanner
Geräte mit Android ≤ 9 (Pie) benötigen bereits jetzt eine temporäre WLAN-Verbindung, um einen QR-Code-Scanner zu laden.
QR-Code einscannen
Um die Profileinstellungen empfangen zu können wird eine Temporäre Verbindung zu einem WLAN aufgebaut. Die Zugangsdaten werden dabei nicht gespeichert!
Hinweis darauf, daß dieses Gerät von einer Organisation verwaltet wird
Arbeitsprofil wird vorbereitet
(Das Gesamte Gerät, wird vom Arbeitsprofil erfasst!)
(Das Gesamte Gerät, wird vom Arbeitsprofil erfasst!)
Das Gerät wird als Arbeitsgerät eingerichtet
Datenschutzhinweis
Google-Dienste sollen zugelassen werden (nach Bedarf)
Geräteaktualisierung. Durch das Update des Play Store erhalten wichtige Betriebssytem-Teile ebenfalls ein Update. Dadurch erreicht Android eine schnellere Versorgung aller Geräte mit sicherheitsrelevanten Updates, als wenn das über die angepassten Geräteherstellerversionen erfolge nwürde.
Abschluss der Geräteaktualisierung
Im Profil konfigurierte Apss werden installiert.
Dieser Vorgang kann etliche Minuten dauern!
Dieser Vorgang kann etliche Minuten dauern!
Es wurde die App »Android Device Policy« installiert, die zur Verwaltung des Gerätes mit dem Profil benötigt wird. Sie wird nur Angezeigt, wenn man den App-Store öffnet und sich die installierten Apps anzeigen lässt. (App-Store Menü → »Meine Apps für die Arbeit« → »Installiert«)
Zero-Touch Geräte
Registrierung im Menü Mobile Security Android Zero-Touch
Entweder
- Gerät einer bestehende Konfiguration hinzufügen:
- Konfiguration bearbeiten: Gerätekachel anklicken (oder über das Hamburger-Menü in der Gerätekachel oben rechts / Bearbeiten)
- ggf. neues, gültiges Enrollmenttoken wählen Enrollmenttoken sind maximal 30 Tage lang gültig
- Gerät(e) anhand der IMEI oder Seriennummer auswählen
- Angaben speichern
oder
- mit der Schaltfläche Konfiguration hinzufügen
- Enrollmenttoken wählen
- Kunde wählen
- Weitere Angaben vervollständigen (Unternehmensname, Kontaktdaten…)
- Gerät(e) anhand der IMEI oder Seriennummer auswählen
- Angaben speichern
Das Enrollment auf dem Gerät selbst ist, je nach Konfiguration, genau so, wie in den Abschnitten COPE, COBU oder COSU beschrieben.
Es entfällt lediglich das Scannen des Enrollment Tokens!
| Name: | Demo TTT-Point | Name der Konfiguration | |
| Enrollmenttoken | Profil: Gewähltes Profil | Token abCD12 | Der ausgewählte Enrollmenttoken (wie im Menü Geräte / Neues Gerät anmelden erzeugt) wird auf alle Geräte angewandt, die mit dieser Konfiguration enrolled werden. Dieses stellt sicher, daß nur Befugte Zugang zu dem konfigurierten Gerät erhalten. | |
| Kunde: | SecurepointCustomer | Die Bezeichnung für den Kunden, so wie sie an den Geräte-Händler übermittelt wurde. Wurden mehrere Gmail-Adressen mit dem Zero-Touch-Portal verknüpft, können hier verschiedene Bezeichnungen ausgewählt werden. | |
| Standard | Definiert ob diese Konfiguration der Standard ist oder nicht. Bei Aktivierung werden neue Zero-Touch Geräte automatisch dieser Konfiguration hinzugefügt, sofern keine Andere angegeben wird Hinweis: Es sollte mindestens eine Konfiguration als Standard definiert sein. | ||
| Unternehmen | TTT-Point AG | Frei wählbare Bezeichnung für das Unternehmen, dem dieses Gerät zugeordnet werden soll. | |
| admin@anyideas.de | Kontakt-E-Mail-Adresse Wird im Laufe des Einrichtungsprozesses auf dem Handy angezeigt, wenn auf dem Bildschirm "Dieses Gerät gehört deiner Organisation" auf IT-Administrator getippt wird. | ||
| Telefonnummer | 01234-56789 | Kontakt-Telefonnummer Anzeige s.o. | |
| Benutzerdefinierte Nachricht | Willkommen bei TTT-Point | Wird während des Gerätesetups auf dem Display angezeigt | |
| Geräte | ×123456789012345 | Geräten kann diese Konfiguration anhand ihrer IMEI oder Seriennummer zugeordnet werden | |
| Speichern | Speichert die Konfiguration | ||
| Zero-Touch Konfiguration mit zugeordnetem Gerät | | ||
Abschluss durch Benutzer
Die Konfiguration aus dem Profil wird anschließend automatisch auf das Gerät angewendet.
Geräte aus der Verwaltung durch Mobile Security entfernen
Private Geräte mit Arbeitsprofil (BYOD)
Unter / Löschen in der jeweiligen Geräte-Kachel kann die Verwaltung von den Geräten entfernt werden:
- Alle Apps und Daten innerhalb des Arbeitsprofils werden gelöscht
- Das Arbeitsprofil auf diesen Geräten wird entfernt.
Firmengeräte mit privater Nutzung (COPE)
Unter / Löschen in der jeweiligen Geräte-Kachel kann die Verwaltung von den Geräten entfernt werden:
- Alle Daten werden gelöscht.
- Die Geräte werden automatisch und unverzüglich auf ihren Werkszustand zurückgesetzt!
Unter Mobile Security Android Geräte Reiter Operationen Schaltfläche kann das Gerät aus der Verwaltung entfernt werden:
- Alle Apps und Daten innerhalb des Arbeitsprofils werden gelöscht
- Das Arbeitsprofil auf diesen Geräten wird entfernt.
Vollständig verwaltete Geräte (COBO / COSU)
Unter / Löschen in der jeweiligen Geräte-Kachel kann die Verwaltung von den Geräten entfernt werden:
- Alle Daten werden gelöscht.
- Die Geräte werden automatisch und unverzüglich auf ihren Werkszustand zurückgesetzt!
COSU: Company owned, single use
Firmeneigentum mit einer einzigen Anwendung:
- COSU-Geräte sind für eine spezifische Aufgabe konfiguriert
- Dies wird meist über einen Kioskmodus realisiert
- Einstellung unter: Mobile Security Android Profile → Reiter Anwendungen Eintrag Installationstyp Kiosk
Android Zero-Touch Ablauf
Hier werden die erforderlichen Schritte beschrieben, um Android Geräte verbinden zu können:
Voraussetzungen:
- Das Securepoint Mobile Device Management (MDM) muss mit einem Google-Konto als Android Enterprise Konto verknüpft sein
- Im Securepoint Unified Security Portal konfiguriertes Android Enterprise Profil
Enrollment:
Vorbereitung
Es muss eine Verbindung vom Securepoint Mobile Security Portal zu einem Android Enterprise Konto bestehen.
Verknüpfung Google Enterprise mit Securepoint Mobile Security
Um Android Enterprise für Unternehmen nutzen und über Securepoint Mobile Security administrieren zu können, muss eine Verknüpfung zwischen dem Konto bei Mobile-Security und einem Google-Konto für EMM hergestellt werden.
Wichtig ist hierbei, daß es nur noch ein Google-Enterprise-Konto für alle Geräte eines Tenants (Kunde mit eigenem Mobile-Security-Konto) gibt. Ohne EMM hat jedes Gerät ein eigenes Google-Konto.
Ein Google-Konto darf jeweils mit nur einem Tenant verknüpft werden!Andernfalls erscheinen alle einem Tenant – und damit einem Google-Konto – zugeordneten Geräte in allen weiteren Tenants, die mit dem gleichen Google-Konto verknüpft wurden!
Verknüpfung im Menü
→ → → Hinzufügen/LinkEin Google-Konto wird durch die Verknüpfung mit Securepoint Mobile Security als EMM-Anbieter zu einem Enterprise Konto
Die Kommunikation des Securepoint Mobile Security Portals läuft hierbei komplett über dieses Google-Konto.
Wird das Konto von Google gesperrt oder vom Inhaber gelöscht, werden sämtliche Geräte zurückgesetzt.
Es muss unbedingt darauf geachtet werden, daß dieses Google-Konto auf gar keinen Fall gelöscht wird, oder daß die GMail-Adresse gesperrt wird.
Es muss unbedingt darauf geachtet werden, daß dieses Google-Konto auf gar keinen Fall gelöscht wird, oder daß die GMail-Adresse gesperrt wird.
Google gibt Hinweise auf verschiedene Gründe, warum ein Konto gesperrt worden sein kann:
https://support.google.com/accounts/answer/40695?hl=de
https://support.google.com/accounts/answer/40695?hl=de
Wir empfehlen dringend die Aktivierung der 2 Faktor Authentifizierung 2FA!
Enterprise Benutzerkonto hinzufügen → → → Hinzufügen/Link
Weiterleitung auf https://play.google.com/work
Name des Unternehmens.
Die Verknüpfung mit Securepoint Mobile Security ist bereits vorgegeben.
Die Verknüpfung mit Securepoint Mobile Security ist bereits vorgegeben.
Es sind Angaben zum/r Datenschutzbeauftragten und EU-Bevollmächtigten erforderlich
Die Registrierung bei Google kann damit abgeschlossen werden.
Es erfolgt eine Weiterleitung zurück zum Securepoint Mobile Security Portal. Die Einrichtung muss mit OK abgeschlossen werden.
Die Verknüpfung ist jetzt hergestellt.
Sollte diese Meldung beim Aufruf von https://play.google.com/work erscheinen, ist die Registrierung im Securepoint Mobile Security Portal noch nicht abgeschlossen worden und kein Token verknüpft!
Es muss ein Android-Profil geben, daß dem Gerät zugeordnet werden kann.
COSU: Android Profil
Unter lässt sich ein Profil hinzufügen, ein Profil importieren oder ein bestehendes Profil bearbeiten (Klick auf Profilkachel oder → Bearbeiten )
Hier wiederum werden verschiedene Konfiguration vorgenommen, z.B.:
Zusätzlich zur Konfiguration der Grundeinstellungen, Einschränkungen, Netzwerke etc. sind folgende Einstellungen im Profil erforderlich:
Anwendungen Anwendungen
Installationstyp Kiosk muss im Reiter Anwendungen für eine einzige App hinzugefügt werden | |||
| Beschriftung | Wert | Beschreibung | |
|---|---|---|---|
| Anwendung hinzufügen | |||
| Paketname | de.ausgewählte.App | Paket aus Dropdownmenü auswählen oder mit Anwendung auswählen hinzufügen | |
| Installationstyp | Kiosk |
| |
Einschränkungen Einschränkungen
Einstellungen im Reiter Einschränkungen für den Kioskmodus | |||
| Aktivieren Sie den benutzerdefinierten Kiosk-Starter | Blendet alle Systemanwendungen im Homescreen aus und zeigt nur die Apps an, die über das Profil installiert wurden. Es wird empfohlen, zusätzlich die Statusleiste zu deaktivieren, um den Zugriff auf Geräteeinstellungen zu blockieren. | ||
| Power-Button-Aktionen | Nicht spezifiziert | Legt das Verhalten eines Geräts im Kioskmodus fest, wenn ein Benutzer die Ein- / Aus-Taste drückt und gedrückt hält. Standardmäßig verfügbar | |
| Verfügbar | Das Ein- / Ausschaltmenü (z. B. Ausschalten, Neustart) wird angezeigt, wenn ein Benutzer im Kioskmodus die Ein- / Aus-Taste eines Geräts lange drückt | ||
| Blockiert | Das Ein / Aus-Menü (z. B. Ausschalten, Neustart) wird nicht angezeigt, wenn ein Benutzer im Kioskmodus lange auf die Ein- / Aus-Taste eines Geräts drückt | ||
| Systemfehlerwarnungen | Nicht spezifiziert | Gibt an, ob Systemfehlerdialoge für abgestürzte oder nicht reagierende Apps im Kioskmodus blockiert werden. Standardmäßig stummgeschaltet. | |
| Aktiviert | Alle Systemfehlerdialoge wie Absturz und App reagiert nicht (ANR) werden angezeigt. | ||
| Stumm | Alle Systemfehlerdialoge wie Absturz und nicht reagierende App (ANR) werden blockiert. Wenn es blockiert ist, stoppt das System die App zwangsweise, als ob der Benutzer die App über die Benutzeroberfläche schließt. | ||
| Systemnavigation | Nicht spezifiziert | Gibt an, welche Navigationsfunktionen im Kioskmodus aktiviert sind (z. B. Home, Übersichtstasten). | |
| Aktiviert | Home- und Übersichtsschaltflächen sind aktiviert. | ||
| Deaktiviert | Auf die Schaltflächen Home und Übersicht kann nicht zugegriffen werden. | ||
| Nur Home-Taste | Nur die Home-Taste ist aktiviert. | ||
| Statusleiste | Nicht spezifiziert | Gibt an, ob Systeminformationen und Benachrichtigungen im Kioskmodus deaktiviert sind. Standardmäßig Benachrichtigungen und Systeminformationen deaktiviert. | |
| Benachrichtigungen und Systeminformationen aktiviert | Systeminformationen und Benachrichtigungen werden im Kioskmodus in der Statusleiste angezeigt | ||
| Benachrichtigungen und Systeminformationen deaktiviert | Systeminformationen und Benachrichtigungen sind im Kioskmodus deaktiviert | ||
| Nur Systeminformationen | In der Statusleiste werden nur Systeminformationen angezeigt | ||
| Geräteeinstellungen | Nicht spezifiziert | Gibt an, ob ein Benutzer im Kioskmodus auf die App Einstellungen des Geräts zugreifen kann Standardmäßig zulässig | |
| Erlaubt | Der Zugriff auf die Einstellungen-App ist im Kioskmodus zulässig | ||
| Blockiert | Der Zugriff auf die Einstellungen-App ist im Kioskmodus nicht zulässig | ||
Zusätzlich zur Konfiguration der Grundeinstellungen, Einschränkungen, Netzwerke etc. sind folgende Einstellungen im Profil erforderlich:
Persönlicher Gebrauch Persönlicher Gebrauch
Im Reiter Persönlicher Gebrauch muss eben dieses explizit erlaubt und ggf. weitere Einstellungen vorgenommen werden | |||
| Beschriftung | Wert | Beschreibung | |
|---|---|---|---|
| Aktivieren | default: aus |
Ermöglicht die Steuerung der privaten Nutzung Wird dieser Schalter nicht aktiviert, kann der Nutzer ohne Einschränkungen private Apps installieren! | |
| Kamera deaktivieren | Deaktiviert die Kamera im persönlichen Profil Um die Kamera für geschäftliche Anwendungen nutzern zu können, muss diese als App im Reiter Anwendungen hinterlegt werden. | ||
| Deaktivieren Sie die Bildschirmaufnahme | Bildschirmaufnahmen (Screenshots) sind bei Aktivierung nicht möglich | ||
| Kontotypen mit deaktivierter Verwaltung | Kontotypen, die vom Benutzer nicht verwaltet werden können. Beispiele:
| ||
| Max. Tage ohne Arbeit | 0 |
Steuert, wie lange das Arbeitsprofil ausgeschaltet bleiben kann. (In der App-Übersicht lassen sich die Apps und Benachrichtigungen des Arbeitsprofils deaktivieren.) | |
| Persönlicher Play Store-Modus | Nicht spezifiziert | Gibt an, ob die Apps im Abschnitt Persönliche Anwendungen im persönlichen Profil zugelassen oder blockiert werden. Standardmäßig Blockliste. Es muss zusätzlich der Installationstyp angegeben werden. | |
| Zulassungsliste | Im persönlichen Profil dürfen nur Apps installiert werden, die explizit in Persönliche Anwendungen angegeben sind und deren Installationstyp auf Verfügbar eingestellt ist. | ||
| Blocklist | Alle Play Store-Apps können im persönlichen Profil installiert werden, mit Ausnahme derjenigen, deren Installationstyp unter "Persönliche Anwendungen" "Blockiert" ist. | ||
| Persönliche Anwendungen | Anwendung hinzufügen | Richtlinien für Apps im persönlichen Profil eines unternehmenseigenen Geräts mit einem Arbeitsprofil | |
| Paketname | de.ausgewählte.App | Paket aus Dropdownmenü auswählen oder mit Anwendung auswählen hinzufügen | |
| Installationstyp | Nicht spezifiziert | Die Art wie die Installation durchgeführt wird. (Nicht spezifiziert=Default: Verfügbar) | |
| Blockieren | Die App wird blockiert und kann nicht installiert werden. Wenn die App über ein altes Profil installiert wurde, wird diese deinstalliert | ||
| Verfügbar | Die App steht zur installation bereit | ||
Profilübergreifende Richtlinien | |||
| Aktivieren | Richtlinien, die bei Aktivierung Einschränkungen in der Kommuikation zwischen privatem und geschäftlichen Profil definieren | ||
| Arbeitskontakte im persönlichen Profil anzeigen | Erlaubt Defaultwert |
Erlaubt das Erscheinen von Arbeitsprofilkontakten bei der Suche nach persönlichen Profilkontakten und eingehenden Anrufen | |
| Nicht erlaubt | Verhindert, dass Kontakte aus dem Arbeitsprofil bei der Suche nach persönlichen Profilkontakten und eingehenden Anrufen angezeigt werden | ||
| Nicht spezifiziert | Entspricht Erlaubt | ||
| Profilübergreifendes Kopieren & Einfügen | |||
| Erlaubt | Text, der in einem der Profile kopiert wurde, kann in das andere Profil eingefügt werden | ||
| Nicht spezifiziert | Entspricht Nicht erlaubt | ||
| Profilübergreifende Datenfreigabe | Von der Arbeit zum persönlichen Profil verweigern Defaultwert |
Verhindert, dass Benutzer Daten aus dem Arbeitsprofil für Apps im persönlichen Profil freigeben. Persönliche Daten können mit Arbeits-Apps geteilt werden. | |
| Verhindert, dass Daten sowohl vom persönlichen Profil an das Arbeitsprofil als auch vom Arbeitsprofil an das persönliche Profil weitergegeben werden. | |||
| Erlaubt | Daten von einem der Profile können mit dem anderen Profil geteilt werden. | ||
| Nicht spezifiziert | Entspricht Nicht erlaubt | ||
| Speichern | Allen Angaben mussen gespeichert werden, um and die Geräte übertragen zu werden. | ||
Geräte Enrollment
COSU: Registrierungs-Token für ein Profil
Unter Mobile Security Android Geräte lässt ich mit der so bezeichneten Schaltfläche ein Neues Gerät anmelden
| Beschriftung | Option | Beschreibung | |
|---|---|---|---|
| Möchten Sie ein vorhandenes Registrierungstoken verwenden? | Erstellen Sie ein neues Registrierungstoken | Sollte bereits ein Registrierungstoken erstellt worden, das noch nicht abgelaufen ist, kann es hier ausgewählt und angezeigt werden. (Abb. s.u.) | |
| Profil | Android Enterprise Profil | Dieses Profil soll auf das zu registrierende Gerät angewendet werden. | |
| Lizenz | TTT-Point AG | MDM [0/10] (aaaa) | Auswahl der Lizenz, die für neu angemeldete Geräte verwendet werden soll. MDM-Lizenzen beinhalten die vollständige Administration von Geräten. Mobile Security-Lizenzen beinhalten u.a. zusätzlichen Schutz in offenen Netzwerken durch Sicherheitsfunktionen der Securepoint Cyber Defense-Cloud Es ist möglich, Geräte nach Ablauf einer Laufzeit-Lizenz einer neuen Lizenz zuzuordnen. | |
| Code nutzen | Legt fest, ob beim Enrollment am Ende der Geräteregistrierung ein Code benötigt wird oder nicht Sollte aktiviert werden, um zu verhindern, daß Geräte, die in unbefugte Hände gelangt sind mit konfigurierten Zugangsdaten oder anderen Firmen-Geheimnissen registriert werden | ||
| Weitere Optionen | |||
| Dauer |
30 Tage | Legt fest, wie lange dieses Token verwendet werden kann Danach ist eine Geräteregistrierung mit diesem Token nicht mehr möglich. Mögliche Werte: 30 Minuten Neu 90 Tage Neu UnendlichTechnisch handelt es sich um eine Begrenzung auf 10.000 Jahre | |
| Zusätzliche Daten | Mit dem Registrierungstoken verknüpfte beliebige Daten. Wird angezeigt unter in der Geräteübersicht | ||
| Nur einmal | Gibt an, ob das Registrierungstoken nur einmal verwendet werden darf. | ||
| Private Nutzung zulassen | Private Nutzung ist nicht erlaubt | Legt fest, ob die private Nutzung auf einem mit diesem Registrierungstoken angemeldeten Gerät zulässig ist. Die Deaktivierung der privaten Nutzung verhindert das Erstellen eines Arbeitscontainers. | |
| Registrierungstoken erstellen | Erstellt einen Registrierungstoken mit QR-Code und einem Wert, der über die Tastatur eingetragen werden kann. Es wird der Name des zugehörigen Profils angezeigt, sowie das Datum, an dem es ausläuft und nicht mehr verwendet werden kann. |
| |
COSU: Gerät registrieren
Private Geräte mit zusätzlichem Arbeitsprofil (BYOD)
Um private von geschäftlichen Apps unterscheiden zu können, wird die App Android Device Policy benötigt.
Auf privaten Geräten, in denen nur das Arbeitsprofil von einer Organisation - und damit durch das Securepoint Mobile Security Profil - verwaltet wird, muss diese App manuell aus dem Android App-Store installiert werden.
Mit dieser App wird der Registrierungstoken gescannt oder über die Tastatur eingegeben und die Geräte können im Portal registriert und konfiguriert werden.
- Installation der App Android Device Policy aus dem Google Play Store
Der Aufruf der App erfolgt über die Liste der installierten Apps im Google Play Store
- Scannen des QR-Codes oder Eingabe des des Registrierungstokens über Tastatur
- Für das Enterprise Profil wird auf dem Gerät ein Arbeitsprofil erstellt
- Alle konfigurierten Anwendungen, Einschränkungen etc. werden innerhalb des Arbeitsprofils erstellt und angewendet
Installation der App [Android Device Policy]
Installierte ADP-App öffnen
Starten der App Weiter
Soll der QR-Code abfotografiert werden, ist die Zugriffsberechtigung für Bilder und Videos erforderlich
Code über Tastatur eingeben oder scannen
QR-Code scannen
gescannter Code wird überprüft
Arbeitsprofil Akzeptieren & weiter
Arbeitsprofil wird eingerichtet
Arbeitsprofil wird registriert
Für Arbeitsprofile ist eine Displaysperre erforderlich
ggf. muss eine Displaysperre eingerichtet werden
Die im Profil konfigurierten Apps müssen installiert werden
Anzeige der Apps, die installiert werden
Nach der Installation ist das Arbeitsprofil fertig eingerichtet.
Firmeneigentum mit privater Nutzung (COPE)
- Erstmaliges Anschalten oder Geräte-Reset (Werkseinstellungen)
- Auswahl der Ländereinstellungen
- 7-maliges schnelles Tippen auf das Display öffnet einen QR-Code-Scanner
- Einscannen des Profil-QR-Codes (siehe oben)
- Auf dem Gerät wird ein Arbeitsprofil erstellt
- Alle konfigurierten Anwendungen, Einschränkungen etc. werden innerhalb des Arbeitsprofils erstellt und angewendet
- Apps werden im Bereich "Geschäftlich" angezeigt und mit einem Koffersymbol versehen
- Es kann zusätzlich ein privates Google Konto hinterlegt werden
Dieser Vorgang kann auch später durchgeführt werden- Es wird ein privates Profil eingerichtet
- Es existiert ein eigener Bereich Privat mit eigenem Playstore
Abb.1
Abb.2
Abb.3
Abb.4
Abb.5
Abb.6
Abb.7
Anzeige der Kontaktinformationen, wenn der Text IT-Administrator angeklickt wird
Abb.8
Abb.9
Abb.10
Abb.11
Abb.12
Abb.13
Abb.14
Abb.15
Abb.16
Abb.17
Abb.18
Abb.19
Abb.20
Abb.21
Vollständig verwaltete Geräte (COBO, COSU)
Vollständig verwaltete Geräte (COBO: Company Owned, business only oder COSU: Company owned single use) werden bei der Ersteinrichtung oder nach einem Geräte-Reset direkt mit dem Android Enterprise Profil verbunden. Die Verknüpfung mit einem Googlekonto und damit mit einem App-Store wird durch das zugeordnete Profil definiert.
- Erstmaliges Anschalten oder Geräte-Reset (Werkseinstellungen)
- Auswahl der Ländereinstellungen
- 7-maliges schnelles Tippen auf das Display öffnet einen QR-Code-Scanner
- Einscannen des Profil-QR-Codes (siehe oben)
- Das Gerät wird als vollständig verwaltetes Gerät eingerichtet.
- Alle im Profil gespeicherten Richtlinien, Apss und Einschränkungen werden auf das Gerät unmittelbar angewendet
Dieser Vorgang kann bei der Erstinstallation einige Minuten dauern!
- Alle im Profil gespeicherten Richtlinien, Apss und Einschränkungen werden auf das Gerät unmittelbar angewendet
Auswahl der Ländereinstellung
7-maliges schnelles Tippen auf das Display öffnet einen QR-Code-Scanner
Geräte mit Android ≤ 9 (Pie) benötigen bereits jetzt eine temporäre WLAN-Verbindung, um einen QR-Code-Scanner zu laden.
7-maliges schnelles Tippen auf das Display öffnet einen QR-Code-Scanner
Geräte mit Android ≤ 9 (Pie) benötigen bereits jetzt eine temporäre WLAN-Verbindung, um einen QR-Code-Scanner zu laden.
QR-Code einscannen
Um die Profileinstellungen empfangen zu können wird eine Temporäre Verbindung zu einem WLAN aufgebaut. Die Zugangsdaten werden dabei nicht gespeichert!
Hinweis darauf, daß dieses Gerät von einer Organisation verwaltet wird
Arbeitsprofil wird vorbereitet
(Das Gesamte Gerät, wird vom Arbeitsprofil erfasst!)
(Das Gesamte Gerät, wird vom Arbeitsprofil erfasst!)
Das Gerät wird als Arbeitsgerät eingerichtet
Datenschutzhinweis
Google-Dienste sollen zugelassen werden (nach Bedarf)
Geräteaktualisierung. Durch das Update des Play Store erhalten wichtige Betriebssytem-Teile ebenfalls ein Update. Dadurch erreicht Android eine schnellere Versorgung aller Geräte mit sicherheitsrelevanten Updates, als wenn das über die angepassten Geräteherstellerversionen erfolge nwürde.
Abschluss der Geräteaktualisierung
Im Profil konfigurierte Apss werden installiert.
Dieser Vorgang kann etliche Minuten dauern!
Dieser Vorgang kann etliche Minuten dauern!
Es wurde die App »Android Device Policy« installiert, die zur Verwaltung des Gerätes mit dem Profil benötigt wird. Sie wird nur Angezeigt, wenn man den App-Store öffnet und sich die installierten Apps anzeigen lässt. (App-Store Menü → »Meine Apps für die Arbeit« → »Installiert«)
Zero-Touch Geräte
Registrierung im Menü Mobile Security Android Zero-Touch
Entweder
- Gerät einer bestehende Konfiguration hinzufügen:
- Konfiguration bearbeiten: Gerätekachel anklicken (oder über das Hamburger-Menü in der Gerätekachel oben rechts / Bearbeiten)
- ggf. neues, gültiges Enrollmenttoken wählen Enrollmenttoken sind maximal 30 Tage lang gültig
- Gerät(e) anhand der IMEI oder Seriennummer auswählen
- Angaben speichern
oder
- mit der Schaltfläche Konfiguration hinzufügen
- Enrollmenttoken wählen
- Kunde wählen
- Weitere Angaben vervollständigen (Unternehmensname, Kontaktdaten…)
- Gerät(e) anhand der IMEI oder Seriennummer auswählen
- Angaben speichern
Das Enrollment auf dem Gerät selbst ist, je nach Konfiguration, genau so, wie in den Abschnitten COPE, COBU oder COSU beschrieben.
Es entfällt lediglich das Scannen des Enrollment Tokens!
| Name: | Demo TTT-Point | Name der Konfiguration | |
| Enrollmenttoken | Profil: Gewähltes Profil | Token abCD12 | Der ausgewählte Enrollmenttoken (wie im Menü Geräte / Neues Gerät anmelden erzeugt) wird auf alle Geräte angewandt, die mit dieser Konfiguration enrolled werden. Dieses stellt sicher, daß nur Befugte Zugang zu dem konfigurierten Gerät erhalten. | |
| Kunde: | SecurepointCustomer | Die Bezeichnung für den Kunden, so wie sie an den Geräte-Händler übermittelt wurde. Wurden mehrere Gmail-Adressen mit dem Zero-Touch-Portal verknüpft, können hier verschiedene Bezeichnungen ausgewählt werden. | |
| Standard | Definiert ob diese Konfiguration der Standard ist oder nicht. Bei Aktivierung werden neue Zero-Touch Geräte automatisch dieser Konfiguration hinzugefügt, sofern keine Andere angegeben wird Hinweis: Es sollte mindestens eine Konfiguration als Standard definiert sein. | ||
| Unternehmen | TTT-Point AG | Frei wählbare Bezeichnung für das Unternehmen, dem dieses Gerät zugeordnet werden soll. | |
| admin@anyideas.de | Kontakt-E-Mail-Adresse Wird im Laufe des Einrichtungsprozesses auf dem Handy angezeigt, wenn auf dem Bildschirm "Dieses Gerät gehört deiner Organisation" auf IT-Administrator getippt wird. | ||
| Telefonnummer | 01234-56789 | Kontakt-Telefonnummer Anzeige s.o. | |
| Benutzerdefinierte Nachricht | Willkommen bei TTT-Point | Wird während des Gerätesetups auf dem Display angezeigt | |
| Geräte | ×123456789012345 | Geräten kann diese Konfiguration anhand ihrer IMEI oder Seriennummer zugeordnet werden | |
| Speichern | Speichert die Konfiguration | ||
| Zero-Touch Konfiguration mit zugeordnetem Gerät | | ||
Abschluss durch Benutzer
Die Konfiguration aus dem Profil wird anschließend automatisch auf das Gerät angewendet.
Geräte aus der Verwaltung durch Mobile Security entfernen
Private Geräte mit Arbeitsprofil (BYOD)
Unter / Löschen in der jeweiligen Geräte-Kachel kann die Verwaltung von den Geräten entfernt werden:
- Alle Apps und Daten innerhalb des Arbeitsprofils werden gelöscht
- Das Arbeitsprofil auf diesen Geräten wird entfernt.
Firmengeräte mit privater Nutzung (COPE)
Unter / Löschen in der jeweiligen Geräte-Kachel kann die Verwaltung von den Geräten entfernt werden:
- Alle Daten werden gelöscht.
- Die Geräte werden automatisch und unverzüglich auf ihren Werkszustand zurückgesetzt!
Unter Mobile Security Android Geräte Reiter Operationen Schaltfläche kann das Gerät aus der Verwaltung entfernt werden:
- Alle Apps und Daten innerhalb des Arbeitsprofils werden gelöscht
- Das Arbeitsprofil auf diesen Geräten wird entfernt.
Vollständig verwaltete Geräte (COBO / COSU)
Unter / Löschen in der jeweiligen Geräte-Kachel kann die Verwaltung von den Geräten entfernt werden:
- Alle Daten werden gelöscht.
- Die Geräte werden automatisch und unverzüglich auf ihren Werkszustand zurückgesetzt!