Wechseln zu:Navigation, Suche
Wiki

MS/enrollment-android: Unterschied zwischen den Versionen

Aus Securepoint Wiki
Zeile 125: Zeile 125:


===== Ohne Arbeitsprofil=====
===== Ohne Arbeitsprofil=====
 
{| class="collapsable collapsed"
{{gallery | MS_Android_anmelden.png | Das Gerät hat eine Verbindung zum Internet, aber keine Verbindung zum Mobile Device Management.{{center | {{ spc | ANMELDEN | b| bc=grey;} | bdc={{Farbe|hgrau}} | bdr=5px }} }}
{{gallery | MS_Android_anmelden.png | Das Gerät hat eine Verbindung zum Internet, aber keine Verbindung zum Mobile Device Management.{{center | {{ spc | ANMELDEN | b| bc=grey;} | bdc={{Farbe|hgrau}} | bdr=5px }} }}
| MS_Anmelden_Arbeitsprofil.png | Arbeitsprofil nutzen? {{center |{{ c | Nein | rot}} }}
| MS_Anmelden_Arbeitsprofil.png | Arbeitsprofil nutzen? {{center |{{ c | Nein | rot}} }}
| MS_Android_EnrollmentID.png | {{center | Enrollment ID eingeben<br>''oder'' <br> {{ Kasten | QR-Code scannen | grau }} }}<br>{{kl | ggf. die Berechtigung "Zulassen, dass die App '''Securepoint Mobile Security''' Bilder und Videos aufnehmen darf." erteilen, damit der QR-Code eingescannt werden kann. Die Enrollment-ID wird jetzt aus dem QR-Code gelesen und eingetragen }}{{ center |Schaltfläche<br> {{ Kasten | Anmelden | grau }} }}
| MS_Android_EnrollmentID.png | {{center | Enrollment ID eingeben<br>''oder'' <br> {{ Kasten | QR-Code scannen | grau }} }}<br>{{kl | ggf. die Berechtigung "Zulassen, dass die App '''Securepoint Mobile Security''' Bilder und Videos aufnehmen darf." erteilen, damit der QR-Code eingescannt werden kann. Die Enrollment-ID wird jetzt aus dem QR-Code gelesen und eingetragen }}{{ center |Schaltfläche<br> {{ Kasten | Anmelden | grau }} }}
|MS_Android_v1-3-0_PlayStoreKonto.png | Das Gerät ist angemeldet. Der VPN-Tunnel ist hergestellt und eine Konfiguration über das Securepoint Mobile Security Portal ist möglich.
|MS_Android_v1-3-0_PlayStoreKonto.png | Auf dem Mobilgerät muss die E-Mail-Adresse des Google-Play-Store-Kontos bestätigt werden.<br>Das ist notwendig, damit der Administrator sehen kann, welche Apps installiert sind.
| w=200px }} Es ist möglich, die Konfiguration durch das Mobile Security Portal auf ein Arbeitsprofil zu beschränken. Bei BYOD ist dies der einzige Weg, Apps vom Portal aus zu installieren, bzw. zu deinstallieren.<br>COPE-Geräten kann dadurch auch eine private Nutzung ermöglicht werden. Apps im privaten (Standard-) Bereich haben keinerlei Zugriff auf Apps und Daten im Arbeitsprofil.
| MS_Android_angemeldet.png | Die Verbindung zum Portal ist hergestellt. Dort muss die Anmeldung noch abgeschlossen werden.
Damit das Gerät über das MDM-Portal verwaltet werden kann, benötigt es ein [https://support.google.com/work/android/answer/6191949?hl=de Arbeitsprofil.]
| w=200px }} Wenn kein Arbeitsprofil verwendet sind, sind zwei Konstellationen möglich:
*<p>Gerät ist COPE: Die Konfiguration durch das Mobile Security Portal wirkt sich auf das gesamte Gerät aus. Apps können über das Portal installiert und deinstalliert werden.</p>
*<p> Gerät ist BYOD: Die Konfiguration durch das Mobile Security Portal wirkt sich auf das gesamte Gerät aus.</p>
<p> Folgende Funktionen stehen in der Geräteverwaltung im Mobile security Portal '''nicht''' zur Verfügung:</p>
{|
|-
|
::* {{spc | loc | ka}}
| Unter: {{ Reiter | {{spc | wrench |o |-}} Operationen }} => {{ spc |Lost-Modus |ka}}
|-
|
::* {{ spc |Daten löschen |ka}}
| Unter: {{ Reiter | {{spc | wrench |o |-}} Operationen }}:  {{a|5}}
|-
|
::* {{ Reiter | {{ spc | a | o | Anwendungen}} }}
| Der gesamte Reiter
|}
|}
<br clear=all>
<br clear=all>


Version vom 5. März 2019, 16:58 Uhr

Einbinden eines Android Gerätes im Mobile Security Portal

Letze Anpassung: Februar 2018 App Version 1.3.0


Einleitung

In diesem Wiki-Artikel wird das Einbinden eines Android Gerätes im Mobile Security Portal erklärt.

  Bei einer Vielzahl von Geräten und Benutzern ist die Zuweisung über Rollen (Gruppen) zu empfehlen.  

Onboarding vorbereiten


⁣⁣⁣⁣⁣⁣
MS PlayStore.png
Play-Store		PlayStore SP-öffnen.png
App installiert		MS Datenschutzerklärung.png
Datenschutzerklärung		MS Eula.png
Endbenutzervereinbarung

Installation der App

Damit ein Android Gerät als neues Gerät hinzugefügt werden kann, wird die Anwendung Securepoint Mobile Security aus dem Google-PlayStore benötigt.
Installieren  

Öffnen  

WEITER Datenschutzerklärung lesen

AKZEPTIEREN Endbenutzervereinbarung (EULA) akzeptieren


Berechtigungen
MS Android Berechtigungserklärung.png
  Um die App nutzen zu können, müssen folgende Berechtigungen erteilt werden.  
  • Telefonanrufe tätigen 
    In der App:
    Telefon verwalten     
 ⁣⁣⁣⁣⁣⁣⁣⁣⁣
Android Berechtigung Telefonanrufe.png
Mögliche Anzeige

Die Berechtigung wird ausschließlich benötigt, um die Telefonnummer und IMEI des Gerätes auszulesen und im Portal anzuzeigen.
Die Securepoint Mobile Security App wird keine Gesprächsverbindung aufbauen!
  • Standort 
 ⁣⁣⁣⁣⁣⁣⁣⁣⁣
Android Berechtigung Standort.png
Mögliche Anzeige

Wird benötigt, um den Standort im Lost-Modus anzuzeigen.
  • Kontakte 
 ⁣⁣⁣⁣⁣⁣⁣⁣⁣
Android Berechtigung Kontakte.png
Mögliche Anzeige
Wird benötigt, um zu prüfen, ob ein Google-Konto vorhanden und im Play-Store eingetragen ist. Das wiederum wird verwendet, um Apps zu installieren, deinstallieren und anzuzeigen. Sie nächste Berechtigung.
>Die Securepoint Mobile Security App liest keine Kontaktdaten aus.
  • Speicher 
 ⁣⁣⁣⁣⁣⁣⁣⁣⁣
Android Berechtigung Fotos-Medien-Dateien.png
Mögliche Anzeige
Wird benötigt für APK Installationen.

Die Anzeige der Meldungen kann je Modell und Android-Version variieren!
WEITER


Geräteverwaltung zulassen
MS Android Tel-Admin-Erklärung.png
  Damit die Anwendung auch vollen Zugriff hat, muss die Securepoint Mobile Security App als Geräteverwaltungs-App aktiviert werden.  

In der App: (Telefon-Administrator-Berechtigung) ?
Geräteverwaltungs-App aktivieren?

Durch die Aktivierung dieser Verwaltungs-App kann die App Securepoint Mobile Security die folgenden Vorgänge durchführen:
  • Alle Daten löschen
  • Displaysperre ändern
  • Passwortregeln festlegen
  • Versuche zum Entsperren des Displays überwachen
  • Bildschirm sperren
  • Passwortablauf für Sperre festlegen
  • Speicherverschlüsselung
  • Kameras deaktivieren
  • Einige Funktionen der Displaysperre deaktivieren.




Bestätigen mit Diese App zur Geräteüberwachung aktivieren

'Bitte nicht stören' zulassen
⁣⁣⁣⁣⁣⁣⁣
MS Bitte nicht stören.png
Erklärung zu 'Bitte nicht stören'		Android Nicht-stören.png
Übersicht der möglichen Apps		Android Berechtigung Nicht-stören.png
Zugriff zulassen
Mit der 'Zurück-Taste' des
Gerätes zurück kehren

Zugriff auf die 'Bitte nicht stören' Einstellungen wird benötigt.

Die Installation der App ist damit abgeschlossen.
Für die folgende Anmeldung ist zunächst das Bereitstellen einer Enrollment-ID notwendig.


Onboarding Android

Das Onboarding selbst besteht aus mehreren Schritten:

  • Erstellen einer Enrollment-ID bzw. eines QR-Codes, für den Zugang zum Portal
  • Anmelden auf dem Gerät
  • Anmelden im Portal
  • Profil zuweisen




Enrollment-ID bzw. QR-Code für den Zugang zum Portal bereitstellen



Benutzer ohne Zugang zum Securepoint Mobile Security Portal


Spielwiese/MS/onboarding-Einladung



Administrator mit Zugang zum Securepoint Mobile Security Portal
 Geräte /   Neues Gerät anmelden /   Android

Anmelden auf dem Gerät

Ohne Arbeitsprofil
⁣⁣⁣⁣⁣
MS Android anmelden.png
Das Gerät hat eine Verbindung zum Internet, aber keine Verbindung zum Mobile Device Management.
ANMELDEN
MS Anmelden Arbeitsprofil.png
Arbeitsprofil nutzen?
Nein
MS Android EnrollmentID.png
Enrollment ID eingeben
oder
QR-Code scannen

ggf. die Berechtigung "Zulassen, dass die App Securepoint Mobile Security Bilder und Videos aufnehmen darf." erteilen, damit der QR-Code eingescannt werden kann. Die Enrollment-ID wird jetzt aus dem QR-Code gelesen und eingetragen
Schaltfläche
Anmelden
MS Android v1-3-0 PlayStoreKonto.png
Auf dem Mobilgerät muss die E-Mail-Adresse des Google-Play-Store-Kontos bestätigt werden.
Das ist notwendig, damit der Administrator sehen kann, welche Apps installiert sind.		MS Android angemeldet.png
Die Verbindung zum Portal ist hergestellt. Dort muss die Anmeldung noch abgeschlossen werden.
Wenn kein Arbeitsprofil verwendet sind, sind zwei Konstellationen möglich:

  • Gerät ist COPE: Die Konfiguration durch das Mobile Security Portal wirkt sich auf das gesamte Gerät aus. Apps können über das Portal installiert und deinstalliert werden.

  • Gerät ist BYOD: Die Konfiguration durch das Mobile Security Portal wirkt sich auf das gesamte Gerät aus.

Folgende Funktionen stehen in der Geräteverwaltung im Mobile security Portal nicht zur Verfügung:

  •   Lokalisieren
 Unter: Operationen => Lost-Modus
  • Daten löschen
 Unter: Operationen :

  •   Anwendungen
Der gesamte Reiter


Mit Arbeitsprofil
⁣⁣⁣⁣⁣⁣⁣
MS Android anmelden.png
Das Gerät hat eine Verbindung
zum Internet, aber keine Verbindung
zum Mobile Device Management
ANMELDEN		MS Anmelden Arbeitsprofil.png
Arbeitsprofil nutzen?		MS Anmelden Arbeitsprofil-einrichten.png
Richtlinien Steuerung
ARBEITSPROFIL EINRICHTEN

⁣⁣⁣⁣⁣⁣⁣
Android Arbeitsprofil akzeptieren.png
akzeptieren		MS Android EnrollmentID.png

- Enrollment ID eingeben.
oder
- QR-Code scannen
ggf. die Berechtigung "Zulassen,
dass die App Securepoint Mobile
Security Bilder und Videos aufnehmen
darf." erteilen, damit der QR-Code
eingescannt werden kann.
Die Enrollment-ID wird jetzt aus dem
QR-Code gelesen und eingetragen

Schaltfläche Anmelden		MS Androis angemeldet.png
Das Gerät ist angemeldet
Es ist möglich, die Konfiguration durch das Mobile Security Portal auf ein Arbeitsprofil zu beschränken. Bei BYOD ist dies der einzige Weg, Apps vom Portal aus zu installieren, bzw. zu deinstallieren.
COPE-Geräten kann dadurch auch eine private Nutzung ermöglicht werden. Apps im privaten (Standard-) Bereich haben keinerlei Zugriff auf Apps und Daten im Arbeitsprofil.

Damit das Gerät über das MDM-Portal verwaltet werden kann, benötigt es ein Arbeitsprofil.

Anmelden im Portal

Lizenzbedingungen und Eigentümer

Das Gerät wird nun im Portal angezeigt und das Hinzufügen muss abgeschlossen werden, indem auf die Geräte-Kachel geklickt wird.

Eigentümer
Auswahl zwischen
COPE (Corperate owned, Personal enabled)

BYOD (Bring-Your-Own-Device)

Akzeptieren der Lizenz- und Nutzungsbedingungen

  Zustimmen

Zeigt die aktualisierten Eigenschaften an.

Mailadresse

Auf dem Mobilgerät mussdie E-Mail-Adresse des Google-Play-Store-Kontos bestätigt werden.

Das ist notwendig, damit der Administrator sehen kann, welche Apps installiert sind.


Zur besseren Zuordnung, sollte dem Gerät ein Alias-Name gegeben werden:
a0a0 (4-stelige ID) (im oberen Teil der Geräte-Kachel)

Profil zuweisen

Um dem Gerät ein Profil zuzuweisen (in dem dann wiederum alle Berechtigungen definiert sind), gibt es verschiedene Möglichkeiten:

Menü  Geräte In der Übersicht der Geräte-Kachel:   Benutzer Auswahl eines Benutzers, der entweder direkt oder über eine Rolle mit einem Profil verknüpft ist.
Menü  Geräte In der Übersicht der Geräte-Kachel:   tags Auswahl eines Tags, das in einem Profil hinterlegt ist.
Menü   Profile Auswahl eines Profils

Bearbeiten:  Bearbeiten / Reiter Allgemein 		Geräte: Auswahl des Gerätes.

Das Profil muss an das Gerät übertragen werden, damit es wirksam wird:

  Profile   Profile veröffentlichen

  • Übersicht, welche Zuordnungen vorgenommen werden.   Profile veröffentlichen

    Übersicht, welche Zuordnungen vorgenommen werden.
      Profile veröffentlichen

  • Profil ist auf dem Gerät installiert

    Profil ist auf dem Gerät installiert

VPN aktivieren
⁣⁣⁣⁣⁣⁣
MS Android angemeldet.png
Übersicht auf dem Gerät		VPN Verbindungsanfrage.png
Anfrage, sobald das
Gerät im Portal ange-
meldet und ein Profil für
das Gerät veröffentlicht
wurde.		MS Android v1-3-0 VPN wird-hergestellt.png
Verbindung wird hergestellt		MS Android MDM-und-VPN.png
Verbindung zum VPN
und Portal (MDM) besteht
Um das Gerät vollständig zu schützen wird ein VPN-Tunnel aufgebaut, in dem die Verbindung mit dem Contentfilter abgesichert wird.
Je nach Einstellung im Profil-Abschnitt Sicherheit / SSL-abfangen wird zusätzlich auf Viren gescannt.
Aktivieren des VPN-Tunnnels auf dem Gerät:


Abgerufen von „https://wiki.securepoint.de/index.php?title=MS/enrollment-android&oldid=36118