MS/enrollment/emm: Unterschied zwischen den Versionen

← Zum vorherigen Versionsunterschied Zum nächsten Versionsunterschied →

Version vom 4. November 2021, 18:07 Uhr

Android Geräte Enrollment mit Google Enterprise

Neu:

Ablauf

Um Android Enterprise-Profile nutzen zu können sind folgende Schritte erforderlich:

Verknüpfung von Google Enterprise für Unternehmen mit Securepoint Mobile Security
Android Enterprise Profil erstellen und konfigurieren, z.B.:
1. Regeln
2. Apps
3. WiFi Konfigurationen
Registrierungs-Token für ein Profil erstellen
Gerät registrieren

Vorbereitung

Es muss eine Verbindung vom Securepoint Mobile Security Portal zu einem Android Enterprise Konto bestehen.

Um Google Enterprise für Unternehmen nutzen und über Securepoint Mobile Security administrieren zu können, muss eine Verknüpfung zwischen dem Konto bei Securepoint Mobile Security und einem Google-Konto für EMM hergestellt werden.
notempty

Wichtig ist hierbei, dass es nur noch ein Google-Enterprise-Konto für alle Geräte eines Tenants (Kunde mit eigenem Mobile-Security-Konto) gibt. Ohne EMM hat jedes Gerät ein eigenes Google-Konto.

Einstellungen für Apple und Android

notempty

Ein Google-Konto darf jeweils mit nur einem Tenant verknüpft werden!

Andernfalls erscheinen alle Geräte, die einem Tenant – und damit einem Google-Konto – zugeordneten wurden in allen weiteren Tenants, die mit dem gleichen Google-Konto verknüpft sind!

Verknüpfung im Menü

→ Android Enterprise → Hinzufügen/Verknüpfen

Ein Google-Konto wird durch die Verknüpfung mit Securepoint Mobile Security als EMM-Anbieter zu einem Enterprise Konto

Die Kommunikation des Securepoint Mobile Security Portals läuft hierbei komplett über dieses Google-Konto.

notempty

Um ungewollte Nebeneffekte zu vermeiden, sollte unbedingt ein neues Konto angelegt werden.

Es empfiehlt sich hierbei ein Namensschema zu verwenden: mdm.$Kundenname@gmail.com


1.	2.	3.


Abb.1	Abb.2	Abb.3


Abbildungen

Menü Mobile Security Einstellungen → Android Enterprise → Hinzufügen/Verknüpfen

Enterprise Benutzerkonto hinzufügen

E-Mail-Adresse, für die Verknüpfung mit Android Enterprise

Es können E-Mail-Adressen mit einer Domain der eigenen Organisation verwendet werden (z.b. mdm@anyideas.de)
Es können E-Mail-Adressen von Mail-Anbietern verwendet werden (z.B. mdm.anyideas@gmail.com)

Wird eine E-Mail-Adresse mit einer Domain der eigenen Organisation verwendet werden (z.b. mdm@anyideas.de) muss diese bestätigt werden

Wird eine E-Mail-Adresse mit einer Domain eines Mail-Anbieters verwendet (z.b. mdm.anyideas@gmail.com) muss die Option Nur für Android registrieren gewählt werden.

Weiterleitung auf https://play.google.com/work

Name des Unternehmens.
Die Verknüpfung mit Securepoint Mobile Security ist bereits vorgegeben.

Es sind Angaben zum/r Datenschutzbeauftragten und EU-Bevollmächtigten erforderlich

Die Registrierung bei Google kann damit abgeschlossen werden.

Es erfolgt eine Weiterleitung zurück zum Securepoint Mobile Security Portal.
Die E-Mail-Adresse, mit der die Verknüpfung erstellt wurde sollte nun gespeichert werden um eine spätere Zuordnung zu ermöglichen.
Die Einrichtung muss mit Speichern abgeschlossen werden.

Die Verknüpfung ist jetzt hergestellt.

Sollte diese Meldung beim Aufruf von https://play.google.com/work erscheinen, ist die Registrierung im Securepoint Mobile Security Portal noch nicht abgeschlossen worden und kein Token verknüpft!

Es muss ein Android-Profil geben, daß dem Gerät zugeordnet werden kann.

Android Profil

Unter Mobile Security Android Profile lässt sich ein Profil hinzufügen, ein Profil importieren oder ein bestehendes Profil bearbeiten (Klick auf Profilkachel oder → Bearbeiten )
Hier wiederum werden verschiedene Konfiguration vorgenommen, z.B.:

Best Practice: Beschreibung der wichtigsten Konfigurationsmöglichkeiten

Geräte Enrollment

Registrierungs-Token für ein Profil

Unter Geräte / Neues Gerät anmelden lässt sich jetzt ein Gerät anmelden.

Beschriftung	Option	Beschreibung
Möchten Sie ein vorhandenes Registrierungstoken verwenden?	Erstellen Sie ein neues Registrierungstoken	Sollte bereits ein Registrierungstoken erstellt worden, das noch nicht abgelaufen ist, kann es hier ausgewählt und angezeigt werden.
Profil	Android Enterprise Profil	Dieses Profil soll auf das zu registrierende Gerät angewendet werden.
Lizenz	TTT-Point AG \| MDM [0/10] (aaaa)	Auswahl der Lizenz, die für neu angemeldete Geräte verwendet werden soll. MDM-Lizenzen beinhalten die vollständige Administration von Geräten. Mobile Security-Lizenzen beinhalten u.a. zusätzlichen Schutz in offenen Netzwerken durch Sicherheitsfunktionen der Securepoint Cyber Defense-Cloud Es ist möglich, Geräte nach Ablauf einer Laufzeit-Lizenz einer neuen Lizenz zuzuordnen.
Dauer	30 Tage	Legt fest, wie lange dieses Token verwendet werden kann Danach ist eine Geräteregistrierung mit diesem Token nicht mehr möglich. Mögliche Werte: 30 Minuten Eine Stunde Ein Tag Eine Woche 15 Tage 30 Tage
Zusätzliche Daten		Mit dem Registrierungstoken verknüpfte beliebige Daten, die in den Gerätedetails angezeigt werden.
Nur einmal		Gibt an, ob das Registrierungstoken nur einmal verwendet werden darf.
Private Nutzung zulassen	Nicht spezifiziert Private Nutzung ist erlaubt Private Nutzung ist nicht erlaubt	Legt fest, ob die private Nutzung auf einem mit diesem Registrierungstoken angemeldeten Gerät zulässig ist.

Registrierungstoken erstellen		Erstellt einen Registrierungstoken mit QR-Code und einem Wert, der über die Tastatur eingetragen werden kann. Es wird der Name des zugehörigen Profils angezeigt, sowie das Datum, an dem es ausläuft und nicht mehr verwendet werden kann.

Gerät registrieren

Vollständig verwaltete Geräte

Vollständig verwaltete Geräte (COPE, Company Owned personal enabled) werden bei der Ersteinrichtung oder nach einem Geräte-Reset direkt mit dem Android Enterprise Profil verbunden. Die Verknüpfung mit einem Googlekonto und damit mit einem App-Store wird durch das zugeordnete Profil definiert.

Erstmaliges Anschalten oder Geräte-Reset (Werkseinstellungen)
Auswahl der Ländereinstellungen
5-maliges schnelles Tippen auf das Display öffnet einen QR-Code-Scanner
Einscannen des Profil-QR-Codes (siehe oben)
Das Gerät wird als vollständig verwaltetes Gerät eingerichtet.
- Alle im Profil gespeicherten Richtlinien, Apss und Einschränkungen werden auf das Gerät unmittelbar angewendet
  Dieser Vorgang kann bei der Erstinstallation einige Minuten dauern!


1.	2.	3.


Abb.1	Abb.2	Abb.3


Abbildungen

Auswahl der Ländereinstellung
7-maliges schnelles Tippen auf das Display öffnet einen QR-Code-Scanner
Geräte mit Android ≤ 9 (Pie) benötigen bereits jetzt eine temporäre WLAN-Verbindung, umm einen QR-Code-Scanner zu laden.

QR-Code einscannen

Um die Profileinstellungen empfangen zu können wird eine Temporäre Verbindung zu einem WLAN aufgebaut (die Zugangsdaten werden nicht gespeichert!)

Hinweis darauf, daß dieses Gerät von einer Organisation verwaltet wird

Arbeitsprofil wird vorbereitet
(Das Gesamte Gerät, wird vom Arbeitsprofil erfasst!)

Das Gerät wird als Arbeitsgerät eingerichtet

Datenschutzhinweis

Google-Dienste sollen zugelassen werden (nach Bedarf)

Geräteaktualisierung

Abschluss der Geräteaktualisierung

Im Profil konfigurierte Apss werden installiert.
Dieser Vorgang kann etliche Minuten dauern!

Es wurde die App »Android Device Policy« installiert, die zur Verwaltung des Gerätes mit dem Profil benötigt wird. Sie wird nur Angezeigt, wenn man den App-Store öffnet und sich die installierten Apss anzeigen lässt. (App-Store Menü → »Meine Apps für die Arbeit« → »Installiert«)

Konfiguration mit zusätzlichem Arbeitsprofil

Geräte, in den nur das Arbeitsprofil von einer Organisation - und damit durch das Securepoint Mobile Security Profil - verwaltet wird, benötigen die App Android Device Policy aus dem Android App-Store. Mit dieser App wird der Registrierungstoken gescannt oder über die Tastatur eingegeben und die Geräte können im Portal registriert und konfiguriert werden.

Installation der App [Android Device Policy] aus dem Google App-Store
Scannen des QR-Codes oder Eingabe des des Registrierungstokens über Tastatur
- Für das Enterprise Profil wird auf dem Gerät ein Arbeitsprofil erstellt
- Alle konfigurierten Anwendungen, Einschränkungen etc. werden innerhalb des Arbeitsprofils erstellt und angewendet


1.	2.	3.


Abb.1	Abb.2	Abb.3


Abbildungen

Installation der App [Android Device Policy]

Installierte ADP-App öffnen

Starten der App Weiter

Soll der QR-Code abfotografiert werden, ist die Zugriffsberechtigung für Bilder und Videos erforderlich

Code über Tastatur eingeben oder scannen

QR-Code scannen

gescannter Code wird überprüft

Arbeitsprofil Akzeptieren & weiter

Arbeitsprofil wird eingerichtet

Arbeitsprofil wird registriert

Für Arbeitsprofile ist eine Displaysperre erforderlich

ggf. muss eine Displaysperre eingerichtet werden

Die im Profil konfigurierten Apps müssen installiert werden

Anzeige der Apps, die installiert werden

Nach der Installation ist das Arbeitsprofil fertig eingerichtet.

Geräte aus der Verwaltung durch Mobile Security entfernen

Unter Geräte / Löschen in der jeweiligen Geräte-Kachel kann die Verwaltung von den Geräten entfernt werden

Vollständig verwaltete Geräte

Alle Daten werden gelöscht.
Die Geräte werden automatisch auf ihren Werkszustand zurückgesetzt!

Geräte mit Arbeitsprofil

Alle Apps und Daten innerhalb des Arbeitsprofils werden gelöscht
Das Arbeitsprofil auf diesen Geräten wird entfernt.

@@ Zeile 28: / Zeile 28: @@
 ----
+=== {{#var:Vorbereitung}} ===
+<div class="Einrücken">
+{{#var:Verbindung EMM--desc}}
+{{Einblenden|{{#var:Verbindung EMM--val}}|{{#var:hide}}|bigdezent|true}}
 {{:MS/enrollment/connecting-emm}}
-<!--
+</div></span>
-==== {{#var:46|Apps im individuellem Play Store genehmigen}} ====
-<div class="einrücken">
-{{spc | gp | m | (Apps) Managed Google Play |w=x}}<p>{{#var:47|Das Enterprise-Konto verwaltet einen individuellen App-Store}}</p>
-<p>{{#var:48|Dieser Eintrag leitet in einem neuen Fenster/Tab direkt zu einem '''individuellem''' Google Play Store.}}</p>
-{{#var:49|Der Abschnitt {{spc | Meine verwalteten Apps | c=#00796b; | bdc=#0d904f; | bc=white;}} ist zunächst leer. Über die Suchen-Funktion im Menü  {{spc |an | b | Apps |bc=#00796b; | bdc=#0d904f;}} lassen sich nun Apps auswählen und genehmigen. Dabei kann eingestellt werden, wie verfahren werden soll, wenn die App neue Berechtigungen anfordert und wer in diesem Falle benachrichtigt werden soll.}}
-{{Gallery2 | {{#var:50|MS_v1.4.7_Google-work_Apps-leer.png}} | {{#var:51|Der Abschnitt »Meine verwalteten Apps« ist zunächst leer.}}
-	| {{#var:52|MS_v1.4.7_Google_work_MobSecApp.png}} | {{#var:53|App zum Genehmigen auswählen}}
-	| {{#var:54|MS_v1.4.7_Google_work_MobSecApp_genehmigen.png}} | {{#var:55|App Berechtigungen werden akzeptiert mit}} {{spc | {{#var:56|Genehmigen}} | b | bc=#00796b; | bdc=#0d904f;}}
-	| {{#var:57|MS_v1.4.7_Google_work_MobSecApp_Genehmigungseinstellungen.png}} | {{#var:58|Genehmigungseinstellungen}}
-	| {{#var:59|MS_v1.4.7_Google_work_MobSecApp_Benachrichtigungen.png}} | {{#var:60|Benachrichtigungen}}
-	| {{#var:61|MS_v1.4.7_Google_work_verwaltete-Apps.png}} | {{spc | {{#var:62|Meine verwalteten Apps:}} | c=#00796b; | bdc=#0d904f; | bc=white;}}
-|i=3 | einblenden={{#var:62|Schritt für Schritt Anleitung: Apps genehmigen}} |ausblenden={{#var:45|ausblenden}} | collapsed=true}}
-</div>
 ----
--->
-==== {{#var:63|Android Enterprise Profil erstellen}} ====
-<div class="einrücken">
-{{#var:64|Unter {{spc | Profile | m}} kann nun ein Profil mit der Plattform [[MS/deployment/profile_emm|{{ic | Android Enterprise | dr}}]] erstellt werden.<br>
-Hier wiederum werden verschiedene Konfiguration vorgenommen, z.B.:
-* Regeln
-* Apps konfigurieren
-* WiFi Konfigurationen
-* Einschränkungen
-* Passwort-Richtlinien
-* Sicherheitseinstellungen}}
-</div>
+{{#var:Android Profil--desc}}
+{{Einblenden|{{#var:Android Profil--val}}|{{#var:hide}}|bigdezent|true}}
+==== {{#var:Android Profil}} ====
+{{#var:Android Profil--Details}}
-<!-- * {{#var:65|Beschreibung [[Spielwiese/MS/deployment/profile_emm|'''aller''' Konfigurationsmöglichkeiten]]}} -->
+<li class="list--element__alert list--element__positiv">{{#var:Android Profil--Best-Practice}}</li>
-* {{Hinweis|!|gr}} {{#var:66|Best Practice: Beschreibung [[Spielwiese/MS/deployment/emm_BestPractice|'''der wichtigsten''' Konfigurationsmöglichkeiten]]}}
+</div></span>
+</div></div></div>
 ----
-==== {{#var:66a|Registrierungs-Token für ein Profil erstellen}} ====
+=== {{#var:Geräte Enrollment}} ===
-<div class="einrücken">
-{{pt2 | {{#var:67|MS_v1.4.7_Geräte_Gerät-Anmelden_EMM.png}} | {{#var:68|Neues Gerät anmelden mit Android Enterprise}} }}
-<p>{{#var:69|Unter {{spc | g | m}} / {{spc | + | b | Neues Gerät anmelden}} lässt sich jetzt ein Gerät anmelden.}} </p>
-<br>
-{{Reiter| {{#var:70|Alte Geräteanmeldung}} }} &emsp; <small>{{#var:alte-geräteanmeldung--ex}}</small><br>
-<div class="einrücken">
+==== {{#var:Registrierungs-Token für ein Profil}} ====
-{{Hinweis | !! {{#var:71|Die alte Geräteanmeldung wird bald eingestellt.}} § {{#var:72|Sie sollte nicht mehr verwendet werden!}} |float=true}}
+{{#var:69|Unter {{spc | g | m}} / {{spc | + | b | Neues Gerät anmelden}} lässt sich jetzt ein Gerät anmelden.}}
-</div><br clear=all>
+<br clear=all>
-<big>{{Reiter | Android Enterprise }}</big>
 <div class="einrücken">
-{| class="sptable2 pd5"
+{| class="sptable2 pd5 zh1"
-! {{#var:73|Beschriftung}} !! {{#var:74|Option}} !! {{#var:75|Beschreibung}}
+! {{#var:73|Beschriftung}} !! {{#var:74|Option}} !! {{#var:75|Beschreibung}} || class="Bild" rowspan="8" | {{Bild |  {{#var:Geräte Anmeldung--Bild}}|{{#var:Geräte Anmeldung--cap}} }}
 |-
 | {{b| {{#var:76|Möchten Sie ein vorhandenes Registrierungstoken verwenden?}} }}|| {{ic| {{#var:77|Erstellen Sie ein neues Registrierungstoken}} |dr}} || {{#var:78|Sollte bereits ein Registrierungstoken erstellt worden, das noch nicht abgelaufen ist, kann es hier ausgewählt und angezeigt werden.}}
@@ Zeile 91: / Zeile 69: @@
 | <span id="mdm-only"></span>{{b|{{#var:Lizenz}} }} || style="min-width: 250px;" | {{ic| TTT-Point AG <nowiki>|</nowiki> MDM [0/10] (aaaa) |dr}} || {{#var:Lizenz--desc}}<br>{{Hinweis| ! § {{#var:mdm-Lizenz--info}} | 1.5.1 | gr}}<br>{{Hinweis| § |1.5.1}} {{#var:Lizenz-wechsel}}
 |-
-| {{b|{{#var:Dauer}} }} || {{ic | 30 Tage | dr|w=160px }} ||  {{#var:80|Legt fest, wie lange dieses Token verwendet werden kann <br>Danach ist eine ''Geräteregistrierung'' mit diesem Token nicht mehr möglich.<br>Mögliche Werte:}}
+| {{b|{{#var:Dauer}} }} || {{ic | 30 Tage | dr|class=mw8w }} ||  {{#var:80|Legt fest, wie lange dieses Token verwendet werden kann <br>Danach ist eine ''Geräteregistrierung'' mit diesem Token nicht mehr möglich.<br>Mögliche Werte:}}
-<div class="flexbox" style="--me-width:200px; ">
-<div class="flexelement items_n" style="border:0; padding: 0px;">{{ic | {{#var:81|30 Minuten}} | dr|w=160px }}</div>
+{{ic | {{#var:81|30 Minuten}} | dr|class=mw8 }}<br>
-<div class="flexelement items_n" style="border:0; padding: 0px;">{{ic | {{#var:82|Eine Stunde}} | dr|w=160px }}</div>
+{{ic | {{#var:82|Eine Stunde}} | dr|class=mw8}}<br>
-<div class="flexelement items_n" style="border:0; padding: 0px;">{{ic | {{#var:83|Ein Tag}} | dr|w=160px }}</div>
+{{ic | {{#var:83|Ein Tag}} | dr|class=mw8 }}<br>
-<div class="flexelement items_n" style="border:0; padding: 0px;">{{ic | {{#var:84|Eine Woche}} | dr|w=160px }}</div>
+{{ic | {{#var:84|Eine Woche}} | dr|class=mw8 }}<br>
-<div class="flexelement items_n" style="border:0; padding: 0px;">{{ic | {{#var:85|15 Tage}} | dr|w=160px }}</div>
+{{ic | {{#var:85|15 Tage}} | dr|class=mw8 }}<br>
-<div class="flexelement items_n" style="border:0; padding: 0px;">{{ic | {{#var:86|30 Tage}} | dr|w=160px }}</div>
+{{ic | {{#var:86|30 Tage}} | dr|class=mw8 }}<br>
-</div>
 |-
 | {{b| {{#var:87|Zusätzliche Daten}} }} || {{ic|}} ||  {{#var:88|Mit dem Registrierungstoken verknüpfte beliebige Daten, die in den Gerätedetails angezeigt werden.}}
 |-
 | {{b|{{#var:88b|Nur einmal}} }} || {{ButtonAus}} ||  {{#var:89|Gibt an, ob das Registrierungstoken nur einmal verwendet werden darf.}}
+|-
+| {{b|{{#var:Private Nutzung zulassen}} }} || {{ic|{{#var:Private Nutzung zulassen--val}}|dr}}<br>{{ic|{{#var:Private Nutzung ist erlaubt}}|dr}}<br>{{ic|{{#var:Private Nutzung ist nicht erlaubt}}|dr}} || {{#var:Private Nutzung zulassen--desc}}
+|- class="Leerzeile"
+|
+|-
+| colspan="2" | {{spc|+|b|{{#var:Registrierungstoken erstellen}}}} || {{#var:Registrierungstoken erstellen--desc}} || class="Bild" rowspan="2" | {{Bild |  {{#var:Registrierungstoken erstellen--Bild}}|{{#var:Registrierungstoken erstellen--cap}} }}
+|- class="Leerzeile"
+|
 |}<br/><br/>
+<!--
 {{pt2| {{#var:90|MS v1.4.7 Geräte Gerät-Anmelden EMM2.png}} }}
 {{spc | {{#var:91|+ Registrierungstoken erstellen}} }}
 {{#var:92|Erstellt einen Registrierungstoken mit  QR-Code und einem Wert, der über die Tastatur eingetragen werden kann.<br>
 Es wird der Name des zugehörigen Profils angezeigt, sowie das Datum, an dem es ausläuft und nicht mehr verwendet werden kann.}}
+-->
 </div>
 </div>
@@ Zeile 115: / Zeile 104: @@
 ==== {{#var:93|Gerät registrieren}} ====
+<div class="Einrücken">
 ===== {{#var:94|Vollständig verwaltete Geräte}} =====
+<div class="Einrücken">
 {{#var:95|Vollständig verwaltete Geräte (COPE, Company Owned personal enabled) werden bei der Ersteinrichtung oder nach einem Geräte-Reset direkt mit dem Android Enterprise Profil verbunden. Die Verknüpfung mit einem Googlekonto und damit mit einem App-Store wird durch das zugeordnete Profil definiert.
 * Erstmaliges Anschalten oder Geräte-Reset (Werkseinstellungen)
@@ Zeile 140: / Zeile 132: @@
 	|
 | i=5 | einblenden={{#var:123|Schritt für Schritt-Anleitung anzeigen}} |einklappen={{#var:45|ausblenden}}|collapsed=true | layout=bigdezent  | Vorschau=step-by-step.png}}
+</div>
 ----
 ===== {{#var:124|Konfiguration mit zusätzlichem Arbeitsprofil}} =====
+<div class="Einrücken">
 {{#var:125|Geräte, in den nur das Arbeitsprofil von einer Organisation - und damit durch das Securepoint Mobile Security Profil - verwaltet wird, benötigen die App [https://play.google.com/store/apps/details?id=com.google.android.apps.work.clouddpc&hl=de_de Android Device Policy] aus dem Android App-Store. Mit dieser App wird der Registrierungstoken gescannt oder über die Tastatur eingegeben und die Geräte können im Portal registriert und konfiguriert werden.
@@ Zeile 167: / Zeile 161: @@
 	|
 | i=5 | einblenden={{#var:123|Schritt für Schritt-Anleitung anzeigen}}|einklappen={{#var:45|ausblenden}}|collapsed=true | layout=bigdezent  | Vorschau=step-by-step.png}}
+</div></div>
 ----
 === {{#var:156|Geräte aus der Verwaltung durch Mobile Security entfernen}} ===
+<div class="Einrücken">
 {{#var:157|Unter {{spc|g|m}} {{ic|{{spc|menu|o|-}} / {{spc|trash|o|w=x}} }} in der jeweiligen Geräte-Kachel kann die Verwaltung von den Geräten entfernt werden}}
 ==== {{#var:158|Vollständig verwaltete Geräte}} ====
+<div class="Einrücken">
 * {{#var:159|Alle Daten werden gelöscht.}}
 * {{#var:160|Die Geräte werden '''automatisch''' auf ihren '''Werkszustand zurückgesetzt!'''}}
+</div>
 ==== {{#var:161|Geräte mit Arbeitsprofil}} ====
+<div class="Einrücken">
 * {{#var:162|Alle Apps und Daten innerhalb des Arbeitsprofils werden gelöscht}}
 * {{#var:163|Das Arbeitsprofil auf diesen Geräten wird entfernt.}}
+</div></div>