KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
| Zeile 6: | Zeile 6: | ||
{{var|2|Neu | {{var|2|Neu | ||
|New }} | |New }} | ||
{{var|3| | {{var|3| Beschreibung Variablen in [[#managed_var| Managed Configurations]] | ||
| | |Description of Variables in Managed Configurations }} | ||
{{var|4|Die hier gezeigten Einstellungen sind Beispiele, die einen möglichst umfassenden Grund-Schutz bieten. Eine <u>Anpassung an lokale Anforderungen</u> ist unbedingt vorzunehmen ! | {{var|4|Die hier gezeigten Einstellungen sind Beispiele, die einen möglichst umfassenden Grund-Schutz bieten. Eine <u>Anpassung an lokale Anforderungen</u> ist unbedingt vorzunehmen ! | ||
| The settings shown here are examples that provide a most comprehensive basic protection. <u>Adjustment to local requirements</u> must be carried out!}} | | The settings shown here are examples that provide a most comprehensive basic protection. <u>Adjustment to local requirements</u> must be carried out!}} | ||
| Zeile 136: | Zeile 136: | ||
{{var|51|Vorgeschlagener Wert | {{var|51|Vorgeschlagener Wert | ||
|Proposed value }} | |Proposed value }} | ||
{{var|51a|Platzhalter-Variablen ersetzen | |||
| Substitute Wildcard variables}} | |||
{{var|51b|Bei Aktivierung {{ButtonAn}} wird der Inhalt der Variablen '''$username$''' und '''$emailaddress$''' aus den Benutzereinstellungen desjenigen Benutzers ausgelesen, dem das jeweilige Gerät zugeordnet ist. Es wird eine Klickbox eingeblendet, in der alle {{b|Benutzer}} ausgewählt werden müssen, auf die diese Funktion angewendet werden soll. | |||
| If activated {{ButtonAn}}, the content of the variables '''$username$''' and '''$emailaddress$''' is read from the user settings of the user to whom the respective device is assigned. A click box will appear in which all {{b|Users}} to which this function is to be applied must be selected. }} | |||
{{var|51c| Es wird für jeden Nutzer ein automatisch generiertes Profil angelegt, es lässt sich aber nur die Profilvorlage bearbeiten.<br>Wird die Schaltfläche wieder deaktiviert, werden die generierten Benutzer-Profile zu bearbeitbaren Profilen. | |||
| An automatically generated profile is created for each user, but only the profile template can be edited.<br>If the button is deactivated again, the generated user profiles become editable profiles.}} | |||
{{var|52|Standardberechtigungsrichtlinie | {{var|52|Standardberechtigungsrichtlinie | ||
|Default permission policy }} | |Default permission policy }} | ||
| Zeile 142: | Zeile 150: | ||
{{var|54|Deaktivieren Sie die Installation von Apps | {{var|54|Deaktivieren Sie die Installation von Apps | ||
|Disable the installation of apps }} | |Disable the installation of apps }} | ||
{{var|55| | {{var|55|{{Hinweis|!|r}} Bei Aktivierung sind keinerlei Installationen oder <u>Updates</u> möglich. Auch nicht über das Portal! | ||
| | |{{Hinweis|!|r}} If activated, no installations or <u>Updates</u> are possible. Also not via the portal! }} | ||
{{var|56|Deaktivieren Sie die Deinstallation von Apps | {{var|56|Deaktivieren Sie die Deinstallation von Apps | ||
|Disable the uninstallation of apps }} | |Disable the uninstallation of apps }} | ||
| Zeile 154: | Zeile 162: | ||
{{var|60|Anwendung hinzufügen | {{var|60|Anwendung hinzufügen | ||
|Add application }} | |Add application }} | ||
{{var|60b|Anwendung auswählen | |||
| Select app}} | |||
{{var|61|Auswahl der gewünschten Apps. ''' Für unser Beispiel: Nextcloud | {{var|61|Auswahl der gewünschten Apps. ''' Für unser Beispiel: Nextcloud | ||
|Selection of the desired apps. ''' For our example: Nextcloud }} | |Selection of the desired apps. ''' For our example: Nextcloud }} | ||
{{var|61b| Erscheint neben dem App-Logo ein entsprechender Hinweis, können bestimmte Werte an die App übergeben werden.<br><small>(Nicht verfügbar bei Nextcloud)</small><br>Siehe [[#managed_var | Manage configuration template]] | |||
| If a message appears next to the app logo, certain values can be passed to the app.<br><small>(Not available on Nextcloud)</small><br>See [[#managed_var | Manage configuration template]] }} | |||
{{var|62|Übernahme der App mit | {{var|62|Übernahme der App mit | ||
|Takeover of the app with }} | |Takeover of the app with }} | ||
| Zeile 228: | Zeile 242: | ||
{{var|93|Hier sind ggf. weitere Berechtigungen zu gewähren oder zu verweigern.<br>Zu beachten: Im Feld »Genehmigung« erscheinen jeweils nur die Berechtigungen, die '''die jeweilige App''' fordert und in der Regel auch für einen einwandfreien Betrieb benötigt. Es empfiehlt sich hier unbedingt notwendige Berechtigungen vorab zu gewähren und alle weiteren Berechtigungen nur auf Nachfrage (Prompt) zuzulassen. Die Option »verweigern« sollte nur bei ausgewählten Berechtigungen verwendet werden, bei denen eindeutig ist, daß die '''gewünschte Funktion''' der App dadurch '''nicht beeinträchtigt''' wird. | {{var|93|Hier sind ggf. weitere Berechtigungen zu gewähren oder zu verweigern.<br>Zu beachten: Im Feld »Genehmigung« erscheinen jeweils nur die Berechtigungen, die '''die jeweilige App''' fordert und in der Regel auch für einen einwandfreien Betrieb benötigt. Es empfiehlt sich hier unbedingt notwendige Berechtigungen vorab zu gewähren und alle weiteren Berechtigungen nur auf Nachfrage (Prompt) zuzulassen. Die Option »verweigern« sollte nur bei ausgewählten Berechtigungen verwendet werden, bei denen eindeutig ist, daß die '''gewünschte Funktion''' der App dadurch '''nicht beeinträchtigt''' wird. | ||
|If necessary, further authorizations must be granted or denied here.<br>Note: In the »Approval« field, only the authorizations that '''the respective app''' requires and is usually required for proper operation appear. It is recommended to grant necessary permissions in advance and to allow all other permissions only on request (prompt). The »deny« option should only be used for selected authorizations where it is clear that the '''desired function''' of the app is '''not affected''' by this. }} | |If necessary, further authorizations must be granted or denied here.<br>Note: In the »Approval« field, only the authorizations that '''the respective app''' requires and is usually required for proper operation appear. It is recommended to grant necessary permissions in advance and to allow all other permissions only on request (prompt). The »deny« option should only be used for selected authorizations where it is clear that the '''desired function''' of the app is '''not affected''' by this. }} | ||
{{var|93a|Verwaltete Konfigurationsvorlage | |||
| Managed Configuration Template}} | |||
{{var|93b| Ruft eine Vorlage des App-Herstellers auf, in der - je nach dem was der Hersteller vorgibt - verschiedene Parameter an die App übergeben werden können. Das können z.B. in E-Mail-Apps ''feste Parameter'' und ''Variablen'' sein: | |||
| Calls up a template from the app manufacturer in which various parameters can be transferred to the app, depending on what the manufacturer specifies. These can be ''fixed parameters'' and ''variables'' in email apps: }} | |||
{{var|93c| Beispiel für Gmail-App: | |||
| Example for Gmail app:}} | |||
{{var|93d|''Variable '' | |||
| ''Variable ''}} | |||
{{var|93d1|m.google.com | |||
| m.google.com}} | |||
{{var|93e|''Fester Parameter''<br>{{Hinweis|!|r}}Beispiel: Hostname des Mail-Servers für gmail-Accounts | |||
| ''Fixed parameter''}}<br>{{Hinweis|!|r}}Example: Hostname of the mail server for gmail accounts | |||
{{var|93f|''Variable'' (bei Gmail-Accounts entspricht der Username der E-Mailadresse.)<br>Für andere Accounts /Apps kann hier die ''Variable'' $username$ verwendet werden. | |||
| ''Variable'' (for Gmail accounts the username is the email address.)<br>With other accounts / apps the ''variable'' $username$ can be used here. }} | |||
{{var|93g|Für eine korrekte Funktion muss die Schaltfläche {{b| {{#var:51a|Platzhalter-Variablen ersetzen}} }} (s.u.) aktiviert {{ButtonAn}} werden! | |||
| For a correct function, the button {{b| {{#var:51a|Substitute Wildcard variables}} }} (see below) must be activated {{ButtonAn}}!}} | |||
{{var|94|Netzwerke | {{var|94|Netzwerke | ||
|Networks }} | |Networks }} | ||
| Zeile 384: | Zeile 416: | ||
{{var|169|Das Hinzufügen oder Entfernen von Konten soll deaktiviert sein. | {{var|169|Das Hinzufügen oder Entfernen von Konten soll deaktiviert sein. | ||
| Add or remove accounts should be disabled.}} | | Add or remove accounts should be disabled.}} | ||
{{var|169b|Wird dieser Punkt nicht aktiviert, kann der Benutzer ein weiteres Google-Konto erstellen, sich damit im Playstore anmelden und beliebige Software installieren. | |||
| If this item is not enabled, the user can create another Google Account, log into the Playstore and install any software. }} | |||
{{var|170|Deaktivieren Sie den abgesicherten Modus | {{var|170|Deaktivieren Sie den abgesicherten Modus | ||
| Disable safe boot}} | | Disable safe boot}} | ||
| Zeile 862: | Zeile 896: | ||
<p>{{#var:48|Das Menü {{spc|apps|m}} hat auf diese Profile / Geräte keine Auswirkung!}}</p> | <p>{{#var:48|Das Menü {{spc|apps|m}} hat auf diese Profile / Geräte keine Auswirkung!}}</p> | ||
<p>{{ spc | + | |{{#var:60|Anwendung hinzufügen}} }}</p> | |||
<p>{{ spc | suche | | {{#var:60b|Anwendung auswählen}} }} '''{{#var:61|Auswahl der gewünschten Apps''' Für unser Beispiel: Nextcloud}} </p> | |||
{{ | {{pt3|MSP Playstore verwalteteKonfig.png|hochkant=1 }} | ||
{{#var:61b| Erscheint neben dem App-Logo entsprechender Hinweis, können bestimmte Werte an die App übergeben werden<br>Siehe [[#managed_var | Manage configuration template]] }} | |||
<br> | |||
<p>{{#var:62|Übernahme der App mit}} {{spc|{{#var:63|Auswählen}}|bc=grünbd|bdc=graubd}}</p> | |||
<p>{{#var:62|Übernahme der App mit}} {{spc|{{#var:63|Auswählen}}|bc=grünbd|bdc=graubd}} | |||
{{pt2|{{#var:64|MSA_Profile_Anwendungen_Apps.png}} }}<br clear=all> | {{pt2|{{#var:64|MSA_Profile_Anwendungen_Apps.png}} }}<br clear=all> | ||
{| class="sptable" | {| class="sptable" | ||
| Zeile 915: | Zeile 931: | ||
| class="Leerzeile" | Permission ||class="Leerzeile" colspan="2" | {{spc|max|o|-|c=rots}} /{{spc|--|o|-|c=rots}} {{#var:76|Erweitern oder minimieren einer Berechtigung}} {{mobil|<br>}}{{spc|trash|o|-|c=rots}} {{#var:77|Löschen der Berechtigung}} | | class="Leerzeile" | Permission ||class="Leerzeile" colspan="2" | {{spc|max|o|-|c=rots}} /{{spc|--|o|-|c=rots}} {{#var:76|Erweitern oder minimieren einer Berechtigung}} {{mobil|<br>}}{{spc|trash|o|-|c=rots}} {{#var:77|Löschen der Berechtigung}} | ||
|- | |- | ||
| {{b|{{#var:78| | |   {{b|{{#var:78|Berechtigung}} }} ||style="min-width: 265px;" | {{ic |android.permission.<br>WRITE_EXTERNAL_STORAGE|dr|w=248px}} || {{#var:79|Die App braucht zugriff auf den Speicher (gemeint ist Interner Speicher und eine zusätzliche SD-Karte)}} | ||
|- | |- | ||
| {{b|{{#var:80|Regel}} }} || {{ic | {{#var:81|Gewähren}} |dr|w=248px}} || {{#var:82|Die Richtlinie zum Erteilen der Berechtigung.}} | |   {{b|{{#var:80|Regel}} }} || {{ic | {{#var:81|Gewähren}} |dr|w=248px}} || {{#var:82|Die Richtlinie zum Erteilen der Berechtigung.}} | ||
|- | |- | ||
| {{b|{{#var:78| | |   {{b|{{#var:78|Berechtigung}} }} || {{ic |android.permission.INTERNET |dr|w=248px}} || {{#var:84|Die App soll Zugriff auf vorhandene Internetverbindungen erhalten.}} | ||
|- | |- | ||
| {{b|{{#var:80|Regel}} }} || {{ic | {{#var:81|Gewähren}} |dr|w=248px}} || {{#var:82|Die Richtlinie zum Erteilen der Berechtigung.}} | |   {{b|{{#var:80|Regel}} }} || {{ic | {{#var:81|Gewähren}} |dr|w=248px}} || {{#var:82|Die Richtlinie zum Erteilen der Berechtigung.}} | ||
|- | |- | ||
| {{b|{{#var:78| | |   {{b|{{#var:78|Berechtigung}} }} || {{ic |com.nextcloud.client.<br>permission.C2D_MASSAGE |dr|w=248px}} || {{#var:89|Die App soll Push-Nachrichten über Firebase Cloud Messaging (ehemals Goocle Cloud Massage) erhalten können (Cloud to Device → C2D)}} | ||
|- | |- | ||
| {{b|{{#var:80|Regel}} }} || {{ic | {{#var:81|Gewähren}} |dr|w=248px}} || {{#var:82|Die Richtlinie zum Erteilen der Berechtigung.}} | |   {{b|{{#var:80|Regel}} }} || {{ic | {{#var:81|Gewähren}} |dr|w=248px}} || {{#var:82|Die Richtlinie zum Erteilen der Berechtigung.}} | ||
|- | |- | ||
| || colspan="2" | {{#var:93|Hier sind ggf. weitere Berechtigungen zu gewähren oder zu verweigern.<br>Zu beachten: Im Feld »Genehmigung« erscheinen jeweils nur die Berechtigungen, die '''die jeweilige App''' fordert und in der Regel auch für einen einwandfreien Betrieb benötigt. Es empfiehlt sich hier unbedingt notwendige Berechtigungen vorab zu gewähren und alle weiteren Berechtigungen nur auf Nachfrage (Prompt) zuzulassen. Die Option »verweigern« sollte nur bei ausgewählten Berechtigungen verwendet werden, bei denen eindeutig ist, daß die '''gewünschte Funktion''' der App dadurch '''nicht beeinträchtigt''' wird.}} | | || colspan="2" | {{#var:93|Hier sind ggf. weitere Berechtigungen zu gewähren oder zu verweigern.<br>Zu beachten: Im Feld »Genehmigung« erscheinen jeweils nur die Berechtigungen, die '''die jeweilige App''' fordert und in der Regel auch für einen einwandfreien Betrieb benötigt. Es empfiehlt sich hier unbedingt notwendige Berechtigungen vorab zu gewähren und alle weiteren Berechtigungen nur auf Nachfrage (Prompt) zuzulassen. Die Option »verweigern« sollte nur bei ausgewählten Berechtigungen verwendet werden, bei denen eindeutig ist, daß die '''gewünschte Funktion''' der App dadurch '''nicht beeinträchtigt''' wird.}} | ||
|- | |||
| <span id="managed_var"></span>{{b|{{#var:93a|Verwaltete Konfigurationsvorlage}} }} || {{spc | Manage configuration template}} || {{#var:93b| Ruft eine Vorlage des App-Herstellers auf, in der je nach dem was der Hersteller vorgibt, verschiedene Parameter an die App übergeben werden können. Das können z.B. in E-Mailprogrammen feste Parameter und Variablen sein:}}<br> | |||
{| class="sptable" | |||
! colspan="3" | {{#var:93c|Beispiel für Gmail-App u.a.:}} | |||
|- | |||
| {{b|Email Address}} || $emailaddress$ || {{#var:93d|Variable }} | |||
|- | |||
| {{b|Hostname or Host}} || {{#var:93d1|m.google.com<vr>{{Hinweis|!|r}}Beispiel für gmail-Accounts}} || {{#var:93e|Fester Parameter}} | |||
|- | |||
| {{b|Username}} || $emailaddress$ || {{#var:93f|Variable (bei Gmail-Accounts entspricht der Username der E-Mailadresse.)<br>Für andere Accounts kann hier die Variable $username$ verwendet werden.}} | |||
|} | |||
{{Hinweis|!|r}} {{#var:93g|Für eine korrekte Funktion muss die Schaltfläche {{b| {{#var:51a|Platzhalter-Variablen ersetzen}} }} (s.u.) aktiviert {{ButtonAn}} werden!}} | |||
|} | |||
{{pt3|{{#var:49|MSP_Profile_Anwendungen_BP.png}} }} | |||
<p>{{Hinweis| !! {{#var:4|Die hier gezeigten Einstellungen sind Beispiele. Eine <u>Anpassung an lokale Anforderungen</u> ist unbedingt vorzunehmen !}}|grünbd}}</p> | |||
<br clear=all> | |||
{| class="sptable" | |||
! {{#var:b|Beschriftung}} !! {{#var:51|Vorgeschlagener Wert}} !! {{#var:desc|Beschreibung}} | |||
|- | |||
| {{b| {{#var:51a|Platzhalter-Variablen ersetzen}} }}|| {{ButtonAus}} <small>'''(Default)'''</small> || {{#var:51b|Bei Aktivierung {{ButtonAn}} wird der Inhalt der Variablen '''$username$''' und '''$emailaddress$''' aus den Benutzereinstellungen desjenigen Benutzers ausgelesen, dem das jeweilige Gerät zugeordnet ist. Es wird eine Klickbox eingeblendet, in der alle {{b|Benutzer}} ausgewählt werden müssen, auf die diese Funktion angewendet werden soll. }}<br>{{Hinweis|!|g}} {{#var:51c|Es wird für jeden Nutzer ein automatisch generiertes Profil angelegt, es lässt sich aber nur die Profilvorlage bearbeiten.<br>Wird die Schaltfläche wieder deaktiviert, werden die generierten Benutzer-Profile zu bearbeitbaren Profilen.}} | |||
|- | |||
| {{b| {{#var:23|Automatische App-Updates}} }} || {{ic | {{#var:24|Immer}}|dr}} || {{#var:25|Die auf einem Gerät erzwungene Richtlinie zur automatischen Aktualisierung von Apps in Abhängigkeit der Netzwerkverbindung: Auch bei Geräten, die selten oder nie in ein WLAN zurückkehren, sollen die Apps aktualisiert werden. Das Datenvolumen wirkt sich bei üblichen Volumentarifen in der Regel kaum aus. }} | |||
|- | |||
| {{b|{{#var:52|Standardberechtigungsrichtlinie}} }} || style="min-width: 170px;" |{{ic|Prompt|dr}} || {{#var:53|Neue bzw. nicht konfigurierte Berechtigungen werden durch Abfrage genehmigt oder verweigert.}} | |||
|- | |||
| {{b|{{#var:54|Deaktivieren Sie die Installation von Apps}} }} || {{ButtonAus}} || {{#var:55|{{Hinweis|!|r}} Bei Aktivierung sind keinerlei Installationen oder <u>Updates</u> möglich. Auch nicht über das Portal!}} | |||
|- | |||
| {{b|{{#var:56|Deaktivieren Sie die Deinstallation von Apps}} }} || {{ButtonAn}} || {{#var:57|Es sollen keine Apps durch den Benutzer deinstalliert werden können.}} | |||
|- | |||
| {{b| {{#var:58|App-Überprüfung erzwingen}} }} || {{ButtonAn}} || {{#var:59|Aktiviert [https://support.google.com/googleplay/answer/2812853?hl=de Google Play Protect]. Damit wird überprüft, daß die App sich im ursprünglichen Zustand befindet und im Vergleich zu der Version im App-Store nicht manipuliert wurde.}} | |||
|- | |||
| {{b|{{#var:206|Play-Store-Modus}} }} ||{{ic | Whitelist|dr}} || {{#var:207| Nur Apps, die unter {{Reiter |Anwendungen}} in der Richtlinie enthalten sind, sind verfügbar. Jede App, die nicht in der Richtlinie enthalten ist, wird automatisch vom Gerät deinstalliert.}} | |||
|} | |} | ||
<br> | |||
<p>{{spc| save}}</p> | |||
---- | ---- | ||
| Zeile 960: | Zeile 1.013: | ||
| {{b|{{#var:116|Sicherheit}} }} || {{ic | WPA-PSK | dr}} || {{#var:117|Hohe Sicherheitsstufe}} | | {{b|{{#var:116|Sicherheit}} }} || {{ic | WPA-PSK | dr}} || {{#var:117|Hohe Sicherheitsstufe}} | ||
|- | |- | ||
| {{b|{{#var:118|Passwort}} }} || {{ic| | | {{b|{{#var:118|Passwort}} }} || style="vertical-align: left;" | {{ic|•••••••••• }} | ||
| {{hoover|{{#var:119|'''Sicheres''' Kennwort}} | "{{#var:120|Auch wenn es trivial klingt: ''WLAN.MeineFirma.123'' oder ''Standort.Hausnummer'' sind '''keine''' sicheren Kennwörter! Ebenfalls zählen ''1234'' und ''abcd'' oder ''qwertz'' '''nicht''' zu wirklich sicheren Kennwörtern!}}" }} | |||
|- | |- | ||
| {{b|{{#var:121|Versteckte SSID}} }} || {{ButtonAus }} || {{#var:122|Legt fest ob die SSID versteckt ist.}} | | {{b|{{#var:121|Versteckte SSID}} }} || {{ButtonAus }} || {{#var:122|Legt fest ob die SSID versteckt ist.}} | ||
| Zeile 1.011: | Zeile 1.065: | ||
| {{b|{{#var:166|Deaktivieren Sie die Bereitstellung physischer Medien}} }} || {{ButtonAn}} || {{#var:167|Das Bereitstellen externer physischer Medien durch den Benutzer soll deaktiviert sein.}} | | {{b|{{#var:166|Deaktivieren Sie die Bereitstellung physischer Medien}} }} || {{ButtonAn}} || {{#var:167|Das Bereitstellen externer physischer Medien durch den Benutzer soll deaktiviert sein.}} | ||
|- | |- | ||
| {{b|{{#var:168|Deaktivieren Sie das Ändern von Konten}} }} || {{ButtonAn}} || {{#var:169|Das Hinzufügen oder Entfernen von Konten soll deaktiviert sein.}} | | {{b|{{#var:168|Deaktivieren Sie das Ändern von Konten}} }} || {{ButtonAn}} || {{#var:169|Das Hinzufügen oder Entfernen von Konten soll deaktiviert sein.}}<br>{{Hinweis| !|r }}{{#var:169b|Wird dieser Punkt nicht aktiviert, kann der Benutzer ein weiteres Google-Konto erstellen, sich damit im Playstore anmelden und beliebige Software installieren.}} | ||
|- | |- | ||
| {{b|{{#var:170|Deaktivieren Sie den abgesicherten Modus}} }} || {{ButtonAn}} || {{#var:171|Im "abgesicherten Modus" werden Apps von Drittanbiertern deaktiviert. Dadurch sind ungewollte Einstellungen möglich! <small>(Streng genommen ist diese Einstellung nicht notwendig, weil sie bereits durch die Einstellung {{b|Verschlüsselung:}} {{ic|Mit Passwort aktivieren|dr}} im Reiter {{Reiter|Grundeinstellungen}} erzwungen wird.)</small>}} | | {{b|{{#var:170|Deaktivieren Sie den abgesicherten Modus}} }} || {{ButtonAn}} || {{#var:171|Im "abgesicherten Modus" werden Apps von Drittanbiertern deaktiviert. Dadurch sind ungewollte Einstellungen möglich! <small>(Streng genommen ist diese Einstellung nicht notwendig, weil sie bereits durch die Einstellung {{b|Verschlüsselung:}} {{ic|Mit Passwort aktivieren|dr}} im Reiter {{Reiter|Grundeinstellungen}} erzwungen wird.)</small>}} | ||
Version vom 14. November 2019, 11:44 Uhr
Beispielhafte Konfiguration eines EMM-Profils
- Neu
- Beschreibung Variablen in Managed Configurations
Die hier gezeigten Einstellungen sind Beispiele, die einen möglichst umfassenden Grund-Schutz bieten. Eine Anpassung an lokale Anforderungen ist unbedingt vorzunehmen !
Eine Anleitung, wie Securepoint Mobile Security mit Android Enterpride-Konten verbunden werden kann findet sich hier.
Vorbemerkung
Android Enterprise-Profile (EMM) verhalten sich grundlegend anders als herkömmliche Android Profile. Die Geräte-Registrierung wird direkt an ein Profil gebunden.
Es muss zuerst ein Profil angelegt (und konfiguriert) werden, bevor ein Gerät registriert werden kann.
Es ist nicht mehr möglich ein Profil einer Rolle, einem Benutzer oder einem Tag zuzuordnen.
In Android Enterprise-Profilen können zahlreiche sicherheitsrelevante Einstellungen vorgenommen werden, so z.B.
- Kamara deaktivieren
- Mikrofon deaktivieren
- USB-Dateiübertragung deaktivieren
- ausgehende Anrufe deaktivieren
- Bluetooth deaktivieren
- Kontaktfreigabe deaktivieren
- Tethering deaktivieren
- sms deaktivieren
- Netzwerk nur mit VPN ermöglichen
- uvm.
Android Enterprise Profile werden unmittelbar angewendet und müssen nicht veröffentlicht werden !
Android Enterprise Profil
Allgemein
Allgemein
Anzeige der verwendeten Plattform, des Profil-Namens und der zugeordneten Geräte.
Soll ein Android EMM-Profil neu angelegt werden, muss als Plattform Android Enterprise ausgewählt werden.
Grundeinstellungen
Grundeinstellungen
Die hier gezeigten Einstellungen sind Beispiele, die einen möglichst umfassenden Grund-Schutz bieten. Eine Anpassung an lokale Anforderungen ist unbedingt vorzunehmen !
| Beschriftung | Werte | Beschreibung |
|---|---|---|
| Maximale Zeit zum Sperren | 120000 |
Das Gerät soll nach 2 Min Inaktivität gesperrt werden. Eingabe in Millisekunden. |
| Verschlüsselung | Mit Passwort aktiviert | Erfordert ein Kennwort vor dem Start des Gerätes, um die Verschlüsselung aufzuheben. Die Verschlüsselung erfolgt auf Dateisystemebene und verhindert das Auslesen von Daten, bei physischem Zugriff auf ein gesperrtes Gerät (ausgeschaltet bzw. noch nicht gebootet). Es verhindert nicht das lesen von Daten eines entsperrten Gerätes. Die Aktivierung dieser Option deaktivert außerdem die Möglichkeit für einen Neustart des Gerätes im "abgesichertem Modus". Zusätzlich wird als Displaysperre eine Pin oder ein Passwort mit der Option "Sicherer Start" verlangt. Dadurch muss die Pin oder das Passwort vor dem Start des Gerätes eingegeben werden. Dadurch können keine Anrufe, Nachrichten oder Benachrichtigungen (einschließlich Weckrufen) empfangen werden, bevor das Gerät entsperrt und gestartet ist.
|
| Modi in denen das Gerät an bleibt | Ignorieren | Der Akkulade-Modus soll keine Auswirkung darauf haben, ob das Gerät eingeschaltet bleibt. |
Device Owner lockscreen info | ||
| Aktiviere die Sperrbildschirm-Informationen | Im Sperrbildschirm soll eine Information angezeigt werden. | |
| Device Owner lockscreen info | Eigentum ttt-point GmbH. Support: 04131 - 2401-0 |
Die Gerätebesitzerinformationen, die auf dem Sperrbildschirm angezeigt werden sollen. Die maximale Nachrichtenlänge beträgt 4096 Zeichen. |
Speichern |
Compliance
Compliance
Es können Regeln definiert werden, wann das Telefon bzw das Arbeitsprofil gesperrt und wann es gelöscht (in Werkszustand zurückgesetzt) wird. Der Anwender wird aufgefordert, die ausgewählte Richtlinie auf dem Gerät zu aktivierten. Andernfalls wird das Gerät / Arbeitsprofil geblockt bzw. auf die Werkseinstellungen zurückgesetzt / gelöscht.
| Beschriftung | Werte | Beschreibung |
|---|---|---|
| Einstellungsname | passwordPolicies | Die Kennwortrichtlinien müssen auf dem Telefon angewendet werden. |
Blockieren | ||
| Blockieren nach x Tagen | 1 |
Anzahl der Tage, an denen die Richtlinie nicht konform ist, bevor das Gerät oder das Arbeitsprofil blockiert wird. Um den Zugriff sofort zu blockieren, wird der Wert auf 0 gesetzt. |
Löschen | ||
| Werkeinstellungs-Reset-Schutz erhalten | Wenn aktiviert, wird der Werkeinstellungs-Reset-Schutz im Profil erhalten. Bei Diebstahl oder Verlust muss man sich erst in das Google-Konto einloggen, bevor sich das Gerät auf Werkseinstellungen zurücksetzen lässt. Diese Einstellung funktioniert nicht mit Arbeitsprofilen. | |
| Löschen nach x Tagen | 7 |
Anzahl der Tage, bevor das Gerät oder das Arbeitsprofil gelöscht wird, wenn die Richtlinie (hier: Passwortrichtlinien) auf dem Gerät nicht umgesetzt wurde. Löschen muss größer als sein als Blockieren. |
Anwendungen
Apps auf EMM-verwalteten Geräten, werden innerhalb der Profile konfiguriert !
Das Menü hat auf diese Profile / Geräte keine Auswirkung!
Anwendung hinzufügen
Anwendung auswählen Auswahl der gewünschten Apps. Für unser Beispiel: Nextcloud
Erscheint neben dem App-Logo ein entsprechender Hinweis, können bestimmte Werte an die App übergeben werden.
(Nicht verfügbar bei Nextcloud)
Siehe Manage configuration template
Übernahme der App mit Auswählen
| Beschriftung | Vorgeschlagener Wert | Beschreibung | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Paketnamen | com.nextcloud.client | Der Paketname der App, die zuvor ausgewählt wurde | ||||||||||||
| Installationstyp | Vorinstallation | Die App wird automatisch auf dem Gerät installiert
| ||||||||||||
| Standardberechtigungsrichtlinie | Prompt | Werden neue, nicht explizit gewährte oder verweigerte Berechtigungen benötigt, fragt das System nach einer Berechtigung. | ||||||||||||
| Berechtigungen | Berechtigung hinzufügen | Einzelne Berechtigungen können anders als die zuvor konfigurierte Standardberechtigungsrichtlinie eingestellt werden und überschreiben deren Werte | ||||||||||||
| Permission | / Erweitern oder minimieren einer Berechtigung Löschen der Berechtigung | |||||||||||||
| Berechtigung | android.permission. WRITE_EXTERNAL_STORAGE |
Die App braucht zugriff auf den Speicher (gemeint ist Interner Speicher und eine zusätzliche SD-Karte) | ||||||||||||
| Richtlinie | Gewähren | Die Richtlinie zum Erteilen der Berechtigung. | ||||||||||||
| Berechtigung | android.permission.INTERNET | Die App soll Zugriff auf vorhandene Internetverbindungen erhalten. | ||||||||||||
| Richtlinie | Gewähren | Die Richtlinie zum Erteilen der Berechtigung. | ||||||||||||
| Berechtigung | com.nextcloud.client. permission.C2D_MASSAGE |
Die App soll Push-Nachrichten über Firebase Cloud Messaging (ehemals Google Cloud Massage) erhalten können (Cloud to Device → C2D) | ||||||||||||
| Richtlinie | Gewähren | Die Richtlinie zum Erteilen der Berechtigung. | ||||||||||||
| Hier sind ggf. weitere Berechtigungen zu gewähren oder zu verweigern. Zu beachten: Im Feld »Genehmigung« erscheinen jeweils nur die Berechtigungen, die die jeweilige App fordert und in der Regel auch für einen einwandfreien Betrieb benötigt. Es empfiehlt sich hier unbedingt notwendige Berechtigungen vorab zu gewähren und alle weiteren Berechtigungen nur auf Nachfrage (Prompt) zuzulassen. Die Option »verweigern« sollte nur bei ausgewählten Berechtigungen verwendet werden, bei denen eindeutig ist, daß die gewünschte Funktion der App dadurch nicht beeinträchtigt wird. | ||||||||||||||
| Verwaltete Konfigurationsvorlage | Manage configuration template | Ruft eine Vorlage des App-Herstellers auf, in der - je nach dem was der Hersteller vorgibt - verschiedene Parameter an die App übergeben werden können. Das können z.B. in E-Mail-Apps feste Parameter und Variablen sein:
Für eine korrekte Funktion muss die Schaltfläche Platzhalter-Variablen ersetzen (s.u.) aktiviert werden! | ||||||||||||
Die hier gezeigten Einstellungen sind Beispiele, die einen möglichst umfassenden Grund-Schutz bieten. Eine Anpassung an lokale Anforderungen ist unbedingt vorzunehmen !
| Beschriftung | Vorgeschlagener Wert | Beschreibung |
|---|---|---|
| Platzhalter-Variablen ersetzen | (Default) | Bei Aktivierung wird der Inhalt der Variablen $username$ und $emailaddress$ aus den Benutzereinstellungen desjenigen Benutzers ausgelesen, dem das jeweilige Gerät zugeordnet ist. Es wird eine Klickbox eingeblendet, in der alle Benutzer ausgewählt werden müssen, auf die diese Funktion angewendet werden soll. Es wird für jeden Nutzer ein automatisch generiertes Profil angelegt, es lässt sich aber nur die Profilvorlage bearbeiten. Wird die Schaltfläche wieder deaktiviert, werden die generierten Benutzer-Profile zu bearbeitbaren Profilen. |
| Automatische App-Updates | Immer | Die auf einem Gerät erzwungene Richtlinie zur automatischen Aktualisierung von Apps in Abhängigkeit der Netzwerkverbindung: Auch bei Geräten, die selten oder nie in ein WLAN zurückkehren, sollen die Apps aktualisiert werden. Das Datenvolumen wirkt sich bei üblichen Volumentarifen in der Regel kaum aus. |
| Standardberechtigungsrichtlinie | Prompt | Neue bzw. nicht konfigurierte Berechtigungen werden durch Abfrage genehmigt oder verweigert. |
| Deaktivieren Sie die Installation von Apps | Bei Aktivierung sind keinerlei Installationen oder Updates möglich. Auch nicht über das Portal! | |
| Deaktivieren Sie die Deinstallation von Apps | Es sollen keine Apps durch den Benutzer deinstalliert werden können. | |
| App-Überprüfung erzwingen | Aktiviert Google Play Protect. Damit wird überprüft, daß die App sich im ursprünglichen Zustand befindet und im Vergleich zu der Version im App-Store nicht manipuliert wurde. | |
| Play-Store-Modus | Whitelist | Nur Apps, die hier in der Richtlinie konfiguriert werden, sind verfügbar. Jede App, die nicht in dieser Richtlinie enthalten ist, wird automatisch vom Gerät deinstalliert. Blacklist bedeutet: Alle Apps im Play Store sind verfügbar, bis auf solche, die hier mit Installationstyp Blockieren konfiguriert werden! |
Speichern
Netzwerke
| Beschriftung | Default-Einstellung | Beschreibung |
|---|---|---|
VPN immer aktiv | ||
| Aktiviere "VPN immer aktiv" | Baut immer ein VPN auf. ermöglicht weitere Einstellungen | |
| Paketname | de.securepoint.ms.agent | Der Paketname der VPN-App. |
| Sperre aktiviert | Sollte das VPN nicht verbunden sein, wird jede Netzwerkverbindung verhindert. | |
Netzwerkkonfiguration | ||
| Netzwerkkonfigurationen | + Konfiguration hinzufügen | Zugangsprofile für WiFi-Netzwerke konfigurieren |
| Netzwerk | ||
| Name | ttt-point Zentrale | Der Name der Konfiguration |
| Typ | WiFi | Der Konfigurationstyp ist vorgegeben
Wifi |
| SSID | ttt-point-zentrale-WLAN | Die SSID des Netzwerks |
| Sicherheit | WPA-PSK | Hohe Sicherheitsstufe |
| Passwort | •••••••••• | "Auch wenn es trivial klingt: WLAN.MeineFirma.123 oder Standort.Hausnummer sind keine sicheren Kennwörter! Ebenfalls zählen 1234 und abcd oder qwertz nicht zu wirklich sicheren Kennwörtern!" |
| Versteckte SSID | Zeigt an, ob die SSID angezeigt wird. | |
| Automatisch verbinden | Das Gerät soll sich automatisch mit dem Netzwerk verbinden. |
Einschränkungen
| Beschriftung | Eingabe | Beschreibung | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
Support-Meldungen | ||||||||||||
| Kurze Supportnachricht | Deaktiviert durch die IT-Abteilung der ttt-Point AG | Eine Meldung, die dem Benutzer auf dem Einstellungsbildschirm angezeigt wird, wenn die Funktionalität vom Administrator deaktiviert wurde. Die maximale Nachrichtenlänge beträgt 4096 Zeichen. | ||||||||||
| Lange Supportnachricht | Deaktiviert durch die IT-Abteilung der ttt-Point AG aufgrund von allgemeinen Sicherheitsvorkehrungen. Bei Rückfragen wenden Sie sich bitte an den Support unter: 04131-2401-0 | Eine Nachricht, die dem Benutzer angezeigt wird. Die maximale Nachrichtenlänge beträgt 4096 Zeichen. Abb. s.o. | ||||||||||
| Zulässige Eingabemethoden | Falls vorhanden, sind nur die Eingabemethoden zulässig, die von Paketen in dieser Liste bereitgestellt werden. Wenn dieses Feld vorhanden ist, die Liste jedoch leer ist, sind nur Systemeingabemethoden zulässig. | |||||||||||
| Ortungsmodus | Hohe Genauigkeit |
| ||||||||||
| Deaktivieren Sie die Bildschirmaufnahme | Um Datenschutz zu gewährleisten, sollen keine Screenshots angefertigt werden können. Dazu gehört auch das Blockieren von Screensharing-Anwendungen und ähnlichen Anwendungen (z.B. Google Assistant), die die Screenshot-Funktionen des Systems nutzen. | |||||||||||
| Kamera deaktivieren | Per Default soll die Kamera deaktiviert sein. | |||||||||||
| Deaktivieren Sie den Werksreset | Das Zurücksetzen auf Werkseinstellungen soll deaktiviert sein. | |||||||||||
| Deaktivieren Sie die Bereitstellung physischer Medien | Das Bereitstellen externer physischer Medien durch den Benutzer soll deaktiviert sein. | |||||||||||
| Deaktivieren Sie das Ändern von Konten | Das Hinzufügen oder Entfernen von Konten soll deaktiviert sein. Wird dieser Punkt nicht aktiviert, kann der Benutzer ein weiteres Google-Konto erstellen, sich damit im Playstore anmelden und beliebige Software installieren. | |||||||||||
| Deaktivieren Sie den abgesicherten Modus | Im "abgesicherten Modus" werden Apps von Drittanbiertern deaktiviert. Dadurch sind ungewollte Einstellungen möglich! (Streng genommen ist diese Einstellung nicht notwendig, weil sie bereits durch die Einstellung Verschlüsselung: Mit Passwort aktivieren im Reiter Grundeinstellungen erzwungen wird.) | |||||||||||
| Deaktivieren Sie die Bluetooth-Kontaktfreigabe | Per Bluetooth sollen keine Kontaktdaten das Gerät verlassen. | |||||||||||
| Deaktivieren Sie die Bluetooth-Konfiguration | Die Bluetooth-Konfiguration soll deaktiviert sein. | |||||||||||
| Deaktivieren Sie die Cell Broadcast-Konfiguration | Die Konfiguration von Cell Broadcast soll deaktiviert sein. | |||||||||||
| Deaktivieren Sie die Mobilfunknetzkonfiguration | Die Konfiguration von Mobilfunknetzen soll deaktiviert sein. | |||||||||||
| Deaktivieren Sie die Tethering-Konfiguration | Die Konfiguration von Tethering und portablen Hotspots soll deaktiviert sein. | |||||||||||
| Deaktivieren Sie die VPN-Konfiguration | Die Konfiguration von VPN soll deaktiviert sein. | |||||||||||
| Deaktivieren Sie die Wi-Fi-Konfiguration | Die Konfiguration von WLAN-Zugangspunkten soll deaktiviert sein. | |||||||||||
| Deaktivieren Sie das Zurücksetzen der Netzwerkeinstellungen | Gibt an, ob das Zurücksetzen der Netzwerkeinstellungen deaktiviert ist. | |||||||||||
| Datei per NFC versenden deaktivieren | Die Verwendung von NFC zum Übertragen von Daten aus Apps soll deaktiviert sein. | |||||||||||
| Deaktivieren Sie die USB-Datenübertragung | Die Übertragung von Dateien über USB soll deaktiviert sein. | |||||||||||
| Debugging-Funktionen zulassen | Der Benutzer darf Debugging-Funktionen aktivieren. | |||||||||||
| Hinweise zum ersten Benutzer überspringen | Flag, um Hinweise zur ersten Verwendung zu überspringen. Der Unternehmensadministrator kann die Systemempfehlung für Apps aktivieren, um das Benutzer-Tutorial und andere einführende Hinweise beim ersten Start zu überspringen. | |||||||||||
| Deaktivieren Sie die Keyguard-Funktionen | Kamera Vertrauensagenten ignorieren Remote-Eingang | Funktionen, die dem Benuzter im Sperrbildschirm nicht mehr zur Verfügung stehen. |
Passwort
Passwortrichtlinien können für Arbeitsprofile und komplett verwaltete Geräte verwendet werden.
| Beschriftung | Werte | Beschreibung | ||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Umfang | Der Bereich, für den die Kennwortanforderung gilt. | |||||||||||||||||||||||||||||||
| Gerät | Die Richtlinie gilt nur für vollständig verwaltete Geräte | |||||||||||||||||||||||||||||||
| Workprofile | Die Richtlinie gilt nur für Arbeitsprofile | |||||||||||||||||||||||||||||||
| Beide | Die Richtlinie gilt sowohl für vollständig verwaltet Geräte, als auch für Geräte mit Arbeitsprofil | |||||||||||||||||||||||||||||||
| Passcode-Qualität | Numerisch (Komplex) | Die erforderliche Passwortqualität.
| ||||||||||||||||||||||||||||||
| Länge des Passwortverlaufs | 0 |
Die Länge des Kennwortverlaufs. Nach dem Einstellen dieses Felds kann der Benutzer kein neues Kennwort eingeben, das mit dem Kennwort im Verlauf identisch ist. Ein Wert von 0 bedeutet, dass keine Einschränkung vorliegt. | ||||||||||||||||||||||||||||||
| Maximale Anzahl fehlgeschlagener Versuche | 10 |
Anzahl der zulässigen Eingabeversuche, bevor alle Daten auf dem Gerät gelöscht werden | ||||||||||||||||||||||||||||||
| Ablaufzeitlimit | 0s | Zeitraum für die Eingabe eines Kennwortes in Sekunden mit bis zu neun Nachkommastellen (sic!), die mit "s" abgeschlossen wird. Beispiel: 3.5s
|
Sicherheit
Bei Aktivierung wird die Securepoint Mobile Security-App im Reiter Anwendungen hinzu gefügt bzw. entfernt und kann hier konfiguriert werden.
Dies ist erforderlich, um die Sicherheitseinstellungen zu konfigurieren.
Es werden zahlreiche Einstellungen konfiguriert, die die Sicherheit bei Web-Anwendungen steuern.
Konfiguration mit Klick auf Sicherheit aktivieren
| Aktion | Default | Beschreibung | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Region | Deutschland/EU | Geographische Zuordnung des VPN-Endpunktes | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Protokoll | TCP | Das Protokoll, das für den VPN Tunnel verwendet wird. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Portfilter-Typ | Auswahl | Netzwerkverkehr filtern aufgrund von Netzwerkports: Communication VPN
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| SSL interception | Standard | SSL-Datenverkehr von Webseiten, die in der Content-Filter-Whitelist aufgeführt sind, werden nicht abgefangen, andere Seiten werden mittels SSL-Interception überprüft. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Content-Filter-Whitelist | Fernwartung | Klick-Box: Webseiten, die auf einer Whitelist eingetragen werden sollen. Mögliche Einträge: Contentfilter | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Content-Filter-Blacklist | Default-Werte Hacking Proxy Threat Intelligence Feed |
Klick-Box: Webseiten, die auf einer Blacklist eingetragen werden sollen. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Deaktivieren für SSIDs | ttt-point-zentrale-WLAN | Eingabe von WLAN-SSIDs, für die die Sicherheitsfunktionen deaktiviert werden sollen. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Erlaube das unterbrechen von Always-On-VPN | Dem Benutzer soll es nicht erlaubt sein, das VPN vorübergehend zu deaktivieren. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Appkonfiguration | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Andere VPN Profile erlauben | Das Hinzufügen von anderen VPN Profilen, zusätzlich zu dem Securepoint Security-Profil soll nicht erlaubt sein. |
Speichern
Die hier gezeigten Einstellungen sind Beispiele, die einen möglichst umfassenden Grund-Schutz bieten. Eine Anpassung an lokale Anforderungen ist unbedingt vorzunehmen !