Wechseln zu:Navigation, Suche
Wiki

MS/enrollment-android: Unterschied zwischen den Versionen

Aus Securepoint Wiki
KKeine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
 
(3 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
{{Archivhinweis}}
{{Set_lang}}
{{Set_lang}}
 
{{#vardefine:headerIcon| fab fa-android }}
{{#vardefine:headerIcon| fab fa-android }}


</div>{{DISPLAYTITLE:Onboarding <small>(Geräte-Registrierung)</small>}}{{TOC2}}
{{var | display
| Android Onboarding <small>(Geräte-Registrierung)</small>
| }}
{{var | head
| Einbinden eines Android Gerätes im Mobile Security Portal
}}


<p>'''Einbinden eines Android Gerätes im Mobile Security Portal'''</p>
</div>{{TOC2}}
{{cl| {{#var:neu}} |
{{Header|1.3.1|
* Korrektur Grund Berechtigung für Speicherzugriff }}
* Korrektur Grund Berechtigung für Speicherzugriff
|}}


<p>Letzte Anpassung: App Version '''1.3.1'''</p>
----
----
<!--
<!--
Zeile 75: Zeile 81:
|style="vertical-align:top;" |  
|style="vertical-align:top;" |  
:* Speicher
:* Speicher
| {{ Gallery | Android_Berechtigung_Fotos-Medien-Dateien.png | Mögliche Anzeige| c=gelbbd |fs=9px}} Für VPN Profildownloads ist Zugriff auf den Gerätespeicher erforderlich.{{a|63}}<span style="display:block; text-align: right; vertical-align:bottom;"><small>{{ c | Die Anzeige der Meldungen kann je Modell und Android-Version variieren! | gelbbd}}</small></span>
| {{ Gallery | Android_Berechtigung_Fotos-Medien-Dateien.png | Mögliche Anzeige| c=gelbbd |fs=9px}} Für VPN Profildownloads ist der Zugriff auf den Gerätespeicher erforderlich.{{a|63}}<span style="display:block; text-align: right; vertical-align:bottom;"><small>{{ c | Die Anzeige der Meldungen kann je Modell und Android-Version variieren! | gelbbd}}</small></span>
|-
|-
| {{Hinweis |{{ r | <b>WEITER</b>}} | bc=white;}} ||
| {{Hinweis |{{ r | <b>WEITER</b>}} | bc=white;}} ||
Zeile 123: Zeile 129:
=====Benutzer '''ohne''' Zugang zum Securepoint Mobile Security Portal=====
=====Benutzer '''ohne''' Zugang zum Securepoint Mobile Security Portal=====
<br>
<br>
{{:MS/onboarding-Einladung}}
{{:MS/enrollment-Einladung}}


<br><br>
<br><br>

Aktuelle Version vom 13. März 2023, 08:55 Uhr





notempty
Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty
Die beschriebene Funktion steht in der aktuellen Version nicht mehr zur Verfügung.
notempty
Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine [[{{{1}}} | Reseller-Preview]] bezieht





































Einbinden eines Android Gerätes im Mobile Security Portal
Letzte Anpassung zur Version: 1.3.1
Neu:
  • Korrektur Grund Berechtigung für Speicherzugriff
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview


Voraussetzung

  • Es werden Geräte von Android 7 bis einschließlich Android 9 unterstützt.
  • Android 6-Geräte können keinen VPN-Tunnel über Mobile Netze aufbauen.
  • Ab Android 10 (Q) erfolgt ein Enrollment mit Enterprise-Profilen !

Bei einer Vielzahl von Geräten und Benutzern ist die Zuweisung über Rollen (Gruppen) zu empfehlen.

Es ist möglich sich automatisch Benachrichtigungen zusenden zu lassen, sobald ein Gerät an- oder abgemeldet wird.
Weitere Hinweise in unserem Wiki-Artikel.

Onboarding vorbereiten


⁣⁣⁣⁣⁣⁣
MS PlayStore.png
Play-Store		PlayStore SP-öffnen.png
App installiert		MS Datenschutzerklärung.png
Datenschutzerklärung		MS Eula.png
Endbenutzervereinbarung

Installation der App

Damit ein Android Gerät als neues Gerät hinzugefügt werden kann, wird die Anwendung Securepoint Mobile Security aus dem Google-PlayStore benötigt.
Installieren  

Öffnen  

WEITER Datenschutzerklärung lesen

AKZEPTIEREN Endbenutzervereinbarung (EULA) akzeptieren


Berechtigungen
MS Android Berechtigungserklärung.png
  Um die App nutzen zu können, müssen folgende Berechtigungen erteilt werden.  
  • Telefonanrufe tätigen   
 ⁣⁣⁣⁣⁣⁣⁣⁣⁣
Android Berechtigung Telefonanrufe.png
Mögliche Anzeige

Die Berechtigung wird ausschließlich benötigt, um die Telefonnummer und IMEI des Gerätes auszulesen und im Portal anzuzeigen.
Die Securepoint Mobile Security App wird keine Gesprächsverbindung aufbauen!
  • Standort
 ⁣⁣⁣⁣⁣⁣⁣⁣⁣
Android Berechtigung Standort.png
Mögliche Anzeige

Wird benötigt, um den Standort im Lost-Modus anzuzeigen.
  • Kontakte
 ⁣⁣⁣⁣⁣⁣⁣⁣⁣
Android Berechtigung Kontakte.png
Mögliche Anzeige
Wird benötigt, um zu prüfen, ob ein Google-Konto vorhanden und im Play-Store eingetragen ist. Das wiederum wird verwendet, um Apps zu installieren, deinstallieren und anzuzeigen.
Die Securepoint Mobile Security App liest keine Kontaktdaten aus.
  • Speicher
 ⁣⁣⁣⁣⁣⁣⁣⁣⁣
Android Berechtigung Fotos-Medien-Dateien.png
Mögliche Anzeige
Für VPN Profildownloads ist der Zugriff auf den Gerätespeicher erforderlich.

Die Anzeige der Meldungen kann je Modell und Android-Version variieren!
WEITER


Geräteverwaltung zulassen
MS Android Tel-Admin-Erklärung.png
  Damit die Anwendung auch vollen Zugriff hat, muss die Securepoint Mobile Security App als Geräteverwaltungs-App aktiviert werden.  


WEITER


Geräteverwaltungs-App aktivieren?

Durch die Aktivierung dieser Verwaltungs-App kann die App Securepoint Mobile Security die folgenden Vorgänge durchführen:
  • Alle Daten löschen
  • Displaysperre ändern
  • Passwortregeln festlegen
  • Versuche zum Entsperren des Displays überwachen
  • Bildschirm sperren
  • Passwortablauf für Sperre festlegen
  • Speicherverschlüsselung
  • Kameras deaktivieren
  • Einige Funktionen der Displaysperre deaktivieren.




Bestätigen mit Diese App zur Geräteüberwachung aktivieren

'Bitte nicht stören' zulassen
⁣⁣⁣⁣⁣⁣
MS Bitte nicht stören.png
Erklärung zu 'Bitte nicht stören'		Android Nicht-stören.png
Übersicht der möglichen Apps		Android Berechtigung Nicht-stören.png
Zugriff zulassen.
Mit der 'Zurück-Taste' des Gerätes zurück kehren.		MSA v1-3-1 Status anmelden-vpn0-Internet1.png
Die App ist installiert, es besteht eine Verbindung ins Internet, aber es ist kein VPN-Tunnel aktiv, da das Gerät noch nicht im Portal registriert wurde.

Zugriff auf die 'Bitte nicht stören' Einstellungen wird benötigt.

Die Installation der App ist damit abgeschlossen.
Für die folgende Anmeldung ist zunächst das Bereitstellen einer Enrollment-ID notwendig.


Onboarding Android

Das Onboarding selbst besteht aus mehreren Schritten:

  • Erstellen einer Enrollment-ID bzw. eines QR-Codes, für den Zugang zum Portal
  • Anmelden auf dem Gerät
  • Anmelden im Portal
  • Profil zuweisen




Enrollment-ID bzw. QR-Code für die Anbindung bereitstellen



Benutzer ohne Zugang zum Securepoint Mobile Security Portal



































Einladungs-Mail
Vorarbeit des Administrators im Securepoint Mobile Security Portal:
 Geräte /   Einladung senden
  • Auswahl eines Benutzers
    oder
  • Angabe einer E-Mailadresse

  Einladung senden
Einladung senden

Die E-Mail an den Benutzer enthält:

  • einen Link auf die Securepoint Mobile Security App im Play-Store:
  • den Enrollment-Code
  • alternativ einen QR-Code
  • eine Anleitung, wie vorgegangen werden muss.




Administrator mit Zugang zum Securepoint Mobile Security Portal
Vorarbeit des Administrators im Securepoint Mobile Security Portal:
 Geräte /   Neues Gerät anmelden /   Android



Anmelden auf dem Gerät

Verschiedene Installations- und Verwaltungs-Möglichkeiten für die Securepoint Mobile Security App:

Mit Arbeitsprofil Die Konfiguration durch das Mobile Security Portal beschränkt sich auf das Arbeitsprofil. (Einschränkungen etc.)
Apps im privaten (Standard-) Bereich haben keinerlei Zugriff auf Apps und Daten im Arbeitsprofil.
Eigentümer COPE
  • Geräten kann dadurch auch eine private Nutzung ermöglicht werden.
  • Im Arbeitsprofil müssen alle benötigten Apps erneut installiert werden, es erfolgt eine eigene Anmeldung im Google Play Store.
  • Folgende Funktionen stehen in der Geräteverwaltung im Mobile Security Portal zusätzlich zur Verfügung:
  Lokalisieren
 Unter: Operationen => Lost-Modus
Daten löschen
 Unter: Operationen  : Löschen der persönlichen Daten

  Anwendungen  
 Überwachung der installierten Apps, Aufforderung zur Installation, Deinstallation
Eigentümer BYOD Standard Funktionsumfang.
  • ohne Lokalisierung
  • ohne Löschen persönlicher Daten
  • ohne Kontrolle installierter Apps
Ohne Arbeitsprofil Die Konfiguration durch das Mobile Security Portal betrifft das gesamte Gerät.
Eigentümer COPE
  • Überwachung der installierten Apps, Aufforderung zur Installation, Deinstallation.

  • Folgende Funktionen stehen in der Geräteverwaltung im Mobile Security Portal zusätzlich zur Verfügung:

  Lokalisieren
 Unter: Operationen => Lost-Modus
Daten löschen
 Unter: Operationen  : Löschen der persönlichen Daten

  Anwendungen  
 Überwachung der installierten Apps, Aufforderung zur Installation, Deinstallation.
Eigentümer BYOD Standard Funktionsumfang
  • ohne Lokalisierung
  • ohne Löschen persönlicher Daten
  • ohne Kontrolle installierter Apps


Ohne Arbeitsprofil
Anzeigen der Installations-Schritte mit [Ausklappen].
Ohne Arbeitsprofil   
⁣⁣⁣⁣⁣
MSA v1-3-1 Status anmelden-vpn0-Internet1.png
Das Gerät hat eine Verbindung zum Internet, aber bisher keine VPN-Verbindung
ANMELDEN
MSA v1-3-1 anmelden Arbeitsprofil.png
Arbeitsprofil nutzen?
Nein
MS Android EnrollmentID.png
Enrollment ID eingeben
oder
QR-Code scannen

ggf. die Berechtigung "Zulassen, dass die App Securepoint Mobile Security Bilder und Videos aufnehmen darf." erteilen, damit der QR-Code eingescannt werden kann. Die Enrollment-ID wird jetzt aus dem QR-Code gelesen und eingetragen
Schaltfläche
Anmelden
MSA v1-3-1 PlayStoreKonto.png
Auf dem Mobilgerät muss die E-Mail-Adresse des Google-Play-Store-Kontos bestätigt werden.
Das ist notwendig, damit der Administrator sehen kann, welche Apps installiert sind.		MSA v1-3-1 Status-Arbeitsprofil-vpn0-Internet1b.png
Die App ist konfigueriert. Die Anmeldung muss nun im Portal noch abgeschlossen werden.



Mit Arbeitsprofil
Anzeigen der Installations-Schritte mit [Ausklappen].
Mit Arbeitsprofil   
⁣⁣⁣⁣
MSA v1-3-1 Status anmelden-vpn0-Internet1.png
Das Gerät hat eine Verbindung zum Internet, aber keine VPN-Verbindung da noch keine Anmeldung durchgeführt wurde.
ANMELDEN
MSA v1-3-1 anmelden Arbeitsprofil.jpg
Arbeitsprofil nutzen? Wurde bisher kein Arbeitsprofil eingerichtet fortfahren mit
Ja
MS Android v1-3-0 Unterstützung-Arbeitsprofile.png
Richtlinien Steuerung
Arbeitsprofil einrichten
Android Arbeitsprofil akzeptieren.png
akzeptieren
Die Einrichtung eines Arbeitsprofils kann sich je Gerät und Android-Version unterscheiden.		Android Moto Arbeitsprofil-einrichten.png
Arbeitsprofil wird eingerichtet		MSA v1-3-1 Status-vpn0-Internet1.jpg
Diese Instanz der App wurde ohne Arbeitsprofil gestartet. Da es jetzt aber ein Arbeitsprofil gibt, ist von hier aus keine Anmeldung mehr möglich.




⁣⁣⁣⁣⁣⁣
MSA Status Anmelden-Arbeitsprofil-vpn0-Internet1.jpg
Das blaue Schlüssel-Symbol in der unteren rechten Ecke signalisiert Anwendungen im Arbeitsprofil
ANMELDEN
Android Google Anmeldung.png
Anmeldung bei Google (incl. Playstore) mit einem neuen Google-Konto		MS Android EnrollmentID.png

- Enrollment ID eingeben.
oder
- QR-Code scannen
ggf. die Berechtigung "Zulassen,
dass die App Securepoint Mobile
Security Bilder und Videos aufnehmen
darf." erteilen, damit der QR-Code
eingescannt werden kann.
Die Enrollment-ID wird jetzt aus dem
QR-Code gelesen und eingetragen

Schaltfläche Anmelden		MSA v1-3-1 Status-Arbeitsprofil-vpn0-Internet1.jpg
Das Gerät kann jetzt im Portal angemeldet werden.

Nachdem ein Arbeitsprofil eingerichtet wurde, müssen alle Anwendungen, die im Arbeitsprofil genutzt werden sollen dort erneut installiert werden.
Play-Store, Kontakte und "Eigene Dateien" werden als System Apps automatisch bereitgestellt.
Die Securepoint Mobile Security App wurde ebenfalls automatisch installiert.

  • Die Securepoint Mobile Security App muss im Arbeitsprofil gestartet und erneut mit allen erforderlichen Berechtigungen (s.o.), aber ohne ein Arbeitsprofil eingerichtet werden. Die App muss erneut vom Arbeitsplatzprofil aus gestartet werden (gekennzeichnet mit einem Koffer-Symbol, bei einigen Herstellern in einem extra-Ordner z.B.:Workspace).


Anmelden im Portal


Lizenzbedingungen und Eigentümer
 Das Gerät wird nun im Portal angezeigt und das Hinzufügen muss abgeschlossen werden, indem auf die Geräte-Kachel geklickt wird.

Eigentümer
Auswahl zwischen
COPE (Corperate owned, Personal enabled)

BYOD (Bring-Your-Own-Device)


bei BYOD zusätzlich:

Benutzer
Geräte-Benutzer aus der Benutzerverwaltung.

Der Benutzer kann für BYOD-Geräte nachträglich nicht mehr geändert werden.

Akzeptieren der Lizenz- und Nutzungsbedingungen

  Zustimmen

Zeigt die aktualisierten Eigenschaften an.


Zur besseren Zuordnung, sollte dem Gerät ein Alias-Name gegeben werden:
a0a0 (4-stelige ID) (im oberen Teil der Geräte-Kachel)


Profil zuweisen


Um dem Gerät ein Profil zuzuweisen (in dem dann wiederum alle Berechtigungen definiert sind), gibt es verschiedene Möglichkeiten:

Menü  Geräte In der Übersicht der Geräte-Kachel:   Benutzer Auswahl eines Benutzers, der entweder direkt oder über eine Rolle mit einem Profil verknüpft ist.
Menü  Geräte In der Übersicht der Geräte-Kachel:   tags Auswahl eines Tags, das in einem Profil hinterlegt ist.
Menü   Profile Auswahl eines Profils

Bearbeiten:  Bearbeiten / Reiter Allgemein 		Geräte: Auswahl des Gerätes.

Das Profil muss an das Gerät übertragen werden, damit es wirksam wird:

  Profile   Profile veröffentlichen

  • Übersicht, welche Zuordnungen vorgenommen werden.   Profile veröffentlichen

    Übersicht, welche Zuordnungen vorgenommen werden.
      Profile veröffentlichen

  • Profil ist auf dem Gerät installiert

    Profil ist auf dem Gerät installiert

VPN aktivieren

Um das Gerät vollständig zu schützen wird ein VPN-Tunnel aufgebaut, in dem die Verbindung mit dem Contentfilter abgesichert wird.
Je nach Einstellung im Profil-Abschnitt Sicherheit / SSL-abfangen wird zusätzlich auf Viren gescannt.
Beim ersten Verbindungsaufbau muss dazu dass Zertifikat von Securepoint installiert werden.

⁣⁣⁣⁣
MSA v1-3-1 Status-Arbeitsprofil-vpn0-Internet1.jpg
Übersicht auf dem Gerät		MSA v1-3-1 CA-installation.png
Um eine VPN-Verbindung aufzubauen und verschlüsseln zu können, wird eine Zertifizierungsstelle benötigt.
Aus Sicherheitsgründen fragt Android noch einmal die Geräte-PIN ab.		MSA v1-3-1 Zertifikat-bennenen.png
Installation des Zertifizierungsstellen-Zertifikates		MSA v1-3-1 VPN-wird-hergestellt.png
Anfrage, nachdem das Gerät im Portal angemeldet und ein Profil für das Gerät veröffentlicht wurde. Dieser Vorgang kann beim ersten Mal mehrere Minuten dauern		MSA v1-3-1 Status cope-vpn0-Internet1.png
Verbindung wird hergestellt
Dieser Vorgang kann beim ersten Mal mehrere Minuten dauern		MSA v1-3-1 Status BYOD-Arbeitsprofil-vpn1-Internet1.jpg
Verbindung im Arbeitsprofil zum VPN und Internet besteht


Abgerufen von „https://wiki.securepoint.de/index.php?title=MS/enrollment-android&oldid=85191