KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
Zeile 103: | Zeile 103: | ||
! Beschriftung !! Vorgeschlagener Wert !! Beschreibung | ! Beschriftung !! Vorgeschlagener Wert !! Beschreibung | ||
|- | |- | ||
| {{b|Standardberechtigungsrichtlinie}} || style="min-width: 170px;" |{{ic| | | {{b|Standardberechtigungsrichtlinie}} || style="min-width: 170px;" |{{ic|Prompt|dr}} || Neue bzw. nicht konfigurierte Berechtigungen werden durch Abfrage genehmigt oder verweigert. | ||
|- | |- | ||
| {{b|Deaktivieren Sie die Installation von Apps}} || {{ButtonAn}} || Es dürfen keine Apps durch den Benutzer installiert werden | | {{b|Deaktivieren Sie die Installation von Apps}} || {{ButtonAn}} || Es dürfen keine Apps durch den Benutzer installiert werden | ||
Zeile 109: | Zeile 109: | ||
| {{b|Deaktivieren Sie die Deinstallation von Apps }} || {{ButtonAn}} || Es dürfen keine Apps durch den Benutzer deinstalliert werden | | {{b|Deaktivieren Sie die Deinstallation von Apps }} || {{ButtonAn}} || Es dürfen keine Apps durch den Benutzer deinstalliert werden | ||
|- | |- | ||
| {{b| App-Überprüfung erzwingen}} || {{ButtonAn}} || | | {{b| App-Überprüfung erzwingen}} || {{ButtonAn}} || Aktiviert [https://support.google.com/googleplay/answer/2812853?hl=de Google Play Protect]. Damit wird überprüft, daß die App sich im ursprünglichen Zustand befindet und im Vergleich zu der Version im App-Store nicht manipuliert wurde. | ||
|} | |} | ||
<br> | <br> | ||
Zeile 116: | Zeile 116: | ||
<p>{{ spc | + | |Anwendung hinzufügen }}</p> | <p>{{ spc | + | |Anwendung hinzufügen }}</p> | ||
<p>{{ spc | suche | | Select app}} '''Auswahl der gewünschten Apps''' Für unser Beispiel: Nextcloud </p> | <p>{{ spc | suche | | Select app}} '''Auswahl der gewünschten Apps''' Für unser Beispiel: Nextcloud </p> | ||
<p>Übernahme der App mit {{spc|Auswählen| | <p>Übernahme der App mit {{spc|Auswählen|bc=grünbd|bdc=graubd}} | ||
{{pt2|MSA_Profile_Anwendungen_Apps.png}}<br clear=all> | {{pt2|MSA_Profile_Anwendungen_Apps.png}}<br clear=all> | ||
{| class="sptable" | {| class="sptable" |
Version vom 17. September 2019, 16:03 Uhr
Beispielhafte Konfiguration eines EMM-Profils
- Neu
- Bestpractice
Die hier gezeigten Einstellungen sind Beispiele, die einen möglichst Umfassenden Schutz bieten. Eine Anpassung an lokale Anforderungen ist unbedingt vorzunehmen !
Einleitung
In einem Profil werden Berechtigungen, Einschränkungen, Passwort-Voraussetzungen, E-Mail-Einstellungen und Sicherheits-Einstellungen konfiguriert.
Android Enterprise-Profile (EMM) verhalten sich grundlegend anders als herkömmliche Android Profile. Die Geräte-Registrierung wird direkt an ein Profil gebunden.
Es muss zuerst ein Profil angelegt ( und konfiguriert) werden, bevor ein Gerät registriert werden kann.
Es ist nicht mehr möglich ein Profil einer Rolle, einem Benutzer oder einem Tag zuzuordnen.
In Android Enterprise-Profilen könnn zahlreiche sicherheitsrelevante Einstellungen vorgenommen werden, so z.B.
- Kamara deaktivieren
- Mikrofon deaktivieren
- USB-Dateiübertragung deaktivieren
- ausgehende Anrufe deaktivieren
- Bluetooth deaktivieren
- Kontaktfreigabe deaktivieren
- Tethering deaktivieren
- sms deaktivieren
- Netzwerk nur mit VPN ermöglichen
- uvm.
Android Enterprise Profile werden unmittelbar angewendet und müssen nicht veröffentlicht werden !
Android Enterprise Profil
Allgemein
Anzeige der verwendeten Plattform, des Profil-Namens und der zugeordneten Geräte.
Soll ein Android EMM-Profil neu angelegt werden, muss als Plattform Android Enterprise ausgewählt werden.
Grundeinstellungen
Die hier gezeigten Einstellungen sind Beispiele, die einen möglichst Umfassenden Schutz bieten. Eine Anpassung an lokale Anforderungen ist unbedingt vorzunehmen !
Compliance
Es können Regeln definiert werden, wann das Telefon bzw das Arbeitsprofil gesperrt und wann es gelöscht (in Werkszustand zurückgesetzt) wird. Der Anwender wird aufgefordert, die ausgewählte Richtlinie auf dem Gerät zu aktivierten. Andernfalls wird das Gerät / Arbeitsprofil geblockt bzw. auf die Werkseinstellungen zurückgesetzt / gelöscht.
Anwendungen
Apps auf Geräten, die über EMM verwaltet werden, werden innerhalb der Profile konfiguriert !
Das Menü
hat auf diese Profile / Geräte keine Auswirkung!
Die hier gezeigten Einstellungen sind Beispiele. Eine Anpassung an lokale Anforderungen ist unbedingt vorzunehmen !
Beschriftung | Vorgeschlagener Wert | Beschreibung |
---|---|---|
Standardberechtigungsrichtlinie | Prompt | Neue bzw. nicht konfigurierte Berechtigungen werden durch Abfrage genehmigt oder verweigert. |
Deaktivieren Sie die Installation von Apps | Es dürfen keine Apps durch den Benutzer installiert werden | |
Deaktivieren Sie die Deinstallation von Apps | Es dürfen keine Apps durch den Benutzer deinstalliert werden | |
App-Überprüfung erzwingen | Aktiviert Google Play Protect. Damit wird überprüft, daß die App sich im ursprünglichen Zustand befindet und im Vergleich zu der Version im App-Store nicht manipuliert wurde. |
Speichern
Anwendung hinzufügen
Select app Auswahl der gewünschten Apps Für unser Beispiel: Nextcloud
Übernahme der App mit Auswählen
Beschriftung | Vorgeschlagener Wert | Beschreibung |
---|---|---|
Paketnamen | com.nextcloud.client | Der Paketname der App, die zuvor ausgewählt wurde |
Installationstyp | Vorinstallation | Die App wird automatisch auf dem Gerät installiert |
Standardberechtigungsrichtlinie | Prompt | Werden neue, nicht explizit gewährte oder verweigerte Berechtigungen benötigt, fragt das System nach einer Berechtigung. |
Berechtigungen | Berechtigung hinzufügen | Einzelne Berechtigungen können anders als die zuvor konfigurierte Standardberechtigungsrichtlinie eingestellt werden und überschreiben deren Werte |
Permission | / Erweitern oder minimieren einer Berechtigung Löschen der Berechtigung | |
Genehmigung | android.permission.WRITE_EXTERNAL_STORAGE | Die App braucht zugriff auf den Speicher (gemieint ist Interner Speicher und eine zusätzliche SD-Karte) |
Regel | Gewähren | Die Richtlinie zum Erteilen der Berechtigung. |
Genehmigung | android.permission.INTERNET | Die App soll Zugriff auf vorhandene Internetverbindungen erhalten. |
Regel | Gewähren | Die Richtlinie zum Erteilen der Berechtigung. |
Genehmigung | com.nextcloud.client. permission.C2D_MASSAGE |
Die App soll Push-Nachrichten über Firebase Cloud Messaging (ehemals Goocle Cloud Massage) erhalten können (Cloud to Device → C2D) |
Regel | Gewähren | Die Richtlinie zum Erteilen der Berechtigung. |
Hier sind ggf. weitere Berechtigungen zu gewähren oder zu verweigern | ||
Bereiche delegieren | Die Richtlinie zum Erteilen der Berechtigung. Nur für interne Prüfzwecke |
Netzwerke
Beschriftung | Default-Einstellung | Beschreibung |
---|---|---|
VPN immer aktiv | ||
Aktiviere "VPN immer aktiv" | Nur für interne Prüfzwecke | |
Paketnamen Nur für interne Prüfzwecke |
Paketnamen | Der Paketname der VPN-App. |
Sperre aktiviert | Es wird jede Netzwerkverbindung verhindert, wenn das VPN nicht verbunden ist. Nur für interne Prüfzwecke | |
Offene Netzwerkkonfiguration | ||
Netzwerkkonfigurationen | + Konfiguration hinzufügen | Zugangsprofile für WiFi-Netzwerke konfigurieren |
Netzwerk | ||
Name | ttt-point Zentrale | Der Name der Konfiguration |
Typ | WiFi | Der Konfigurationstyp ist vorgegeben
Wifi |
SSID | ttt-point-zentrale-WLAN | Die SSID des Netzwerks |
Sicherheit | WPA-PSK | Höchstmögliche Sicherheitsstufe |
Passwort |
| |
Versteckte SSID | Legt fest ob die SSID versteckt ist. | |
Automatisch verbinden | Das Gerät soll sich automatisch mit dem Netzwerk verbinden. |
Einschränkungen
Passwort
Passwortrichtlinien können für Arbeitsprofile und komplett verwaltete Geräte verwendet werden.
Beschrifung | Werte | Beschreibung |
---|---|---|
Umfang | Der Bereich, für den die Kennwortanforderung gilt. | |
Gerät | Die Richtlinie gilt nur für vollständig verwaltete Geräte | |
Workprofile | Die Richtlinie gilt nur für Arbeitsprofile | |
Beide | Die Richtlinie gilt sowohl für vollständig verwaltet Geräte, als auch für Geräte mit Arbeitsprofil | |
Passcode-Qualität | Komplex | Die erforderliche Passwortqualität.Nur für interne Prüfzwecke |
Länge des Passwortverlaufs | 0 | Die Länge des Kennwortverlaufs. Nach dem Einstellen dieses Felds kann der Benutzer kein neues Kennwort eingeben, das mit dem Kennwort im Verlauf identisch ist. Ein Wert von 0 bedeutet, dass keine Einschränkung vorliegt. |
Maximale Anzahl fehlgeschlagener Versuche | 10 | Anzahl der zulässigen Eingabeversuche, bevor alle Daten auf dem Gerät gelöscht werden |
Ablaufzeitlimit | 0s | Zeitraum für die Eingabe eines Kennwortes in Sekunden mit bis zu neun Nachkommastellen (sic!), die mit "s" abgeschlossen wird. Beispiel: 3.5s
|
Sicherheit
Bei Aktivierung wird die Nur für interne Prüfzwecke Securepoint Mobile Security-App hinzu gefügt bzw. entfernt.
Dies ist erforderlich, um die Sicherheitseinstellungen zu konfigurieren.
Es werden zahlreiche Einstellungen konfiguriert, die die Sicherheit bei Web-Anwendungen steuern.
Konfiguration mit Klick auf Sicherheit aktivieren
Aktion | Default | Beschreibung | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Region | Deutschland/EU | Geographische Zuordnung des VPN-Endpunktes | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Protokoll | TCP | Das Protokoll, das für den VPN Tunnel verwendet wird. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Portfilter-Typ | Auswahl | Netzwerkverkehr filtern aufgrund von Netzwerkports: Communication VPN
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SSL interception | Standard | SSL-Datenverkehr von Webseiten, die in der Content-Filter-Whitelist aufgeführt sind, werden nicht abgefangen, andere Seiten werden mittels SSL-Interception überprüft. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Content-Filter-Whitelist | Fernwartung | Klick-Box: Webseiten, die auf einer Whitelist eingetragen werden sollen. Mögliche Einträge: Contentfilter | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Content-Filter-Blacklist | Default-Werte Hacking Proxy Threat Intelligence Feed |
Klick-Box: Webseiten, die auf einer Blacklist eingetragen werden sollen. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Deaktivieren für SSIDs | ttt-point-zentrale-WLAN | Eingabe von WLAN-SSIDs, für die die Sicherheitsfunktionen deaktiviert werden sollen. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Erlaube das unterbrechen von Always-On-VPN | Dem Benutzer soll es nicht erlaubt sein, das VPN vorübergehend zu deaktivieren. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Appkonfiguration | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Andere VPN Profile erlauben | Das Hinzufügen von anderen VPN Profilen, zusätzlich zu dem Securepoint Security-Profil soll nicht erlaubt sein. |
Speichern