MS/deployment/profile/android: Unterschied zwischen den Versionen

Version vom 26. Mai 2025, 13:42 Uhr

Version vom 26. Mai 2025, 13:42 Uhr

Vorbemerkung

Übersicht der Profilverwaltung

Konfiguration Android-Profil

Vorbemerkung

Übersicht der Profilverwaltung

Konfiguration Android-Profil

Allgemeine Optionen

Profil-Kachel

Kopieren & Einfügen von Profilen

Grundeinstellungen

Einschränkungen

Persönlicher Gebrauch

Passcode

Anwendungen

Compliance

Sicherheit / VPN

Cloud Shield

Allgemeine Optionen

Profil-Kachel

Kopieren & Einfügen von Profilen

Allgemein

Grundeinstellungen

Einschränkungen

Persönlicher Gebrauch

Passcode

Anwendungen

Netzwerke

Statusmeldung

Compliance

Sicherheit / VPN

Cloud Shield

Lokalisieren

Profil-Optionen

In der Profil-Kachel angezeigte Details:

Profil-Informationen

Support-Meldungen

Verbindungen

Geräteschutz

Sicherheitsrichtlinien

Updates

Eingabemethoden

Systemeinstellungen

Kioskmodus & Kioskstarter

Verschiedenes

Passcode-Kombinationen

Hinweise zur Nutzung von Anmeldedatenanbieter

VPN-Konfigurationen

Profil-Optionen

In der Profil-Kachel angezeigte Details:

Profil-Informationen

Support-Meldungen

Verbindungen

Geräteschutz

Sicherheitsrichtlinien

Updates

Eingabemethoden

Systemeinstellungen

Kioskmodus & Kioskstarter

Verschiedenes

Passcode-Kombinationen

Hinweise zur Nutzung von Anmeldedatenanbieter

VPN-Konfigurationen

Zum nächsten Versionsunterschied →

Verwalten von Android Profilen im Mobile Security Portal

Letzte Anpassung zur Version: 2.5

Neu:

Die Attribute der Android Profilreitern wurden teilweise umbenannt, neu sortiert und deren Beschreibung angepasst
Android Profile, die mind. ein zugewiesenes Gerät haben, können nicht gelöscht werden

notempty

Dieser Artikel bezieht sich auf eine Beta-Version

-

In einem Profil werden Berechtigungen, Einschränkungen, Passwort-Voraussetzungen, E-Mail-Einstellungen und Sicherheits-Einstellungen konfiguriert.
Einem Profil können mehrere Benutzer oder Benutzer-Gruppen (Rollen) zugeordnet werden.
Einem Profil können mehrere Geräte oder Geräte-Gruppen (durch Tags bezeichnete Geräte) zugeordnet werden.

notempty

Bei einer Vielzahl von Geräten und Benutzern ist es zu empfehlen, die Zuweisung über Gruppen abzubilden.

Die Geräte-Registrierung wird direkt an ein Profil gebunden
Es muss zuerst ein Profil angelegt (und konfiguriert) werden, bevor ein Gerät registriert werden kann

In Android Enterprise-Profilen können zahlreiche sicherheitsrelevante Einstellungen vorgenommen werden, so z.B.

Kamara deaktivieren
Mikrofon deaktivieren
USB-Dateiübertragung deaktivieren
ausgehende Anrufe deaktivieren
Bluetooth deaktivieren
Kontaktfreigabe deaktivieren
Tethering deaktivieren
sms deaktivieren
Netzwerk nur mit VPN ermöglichen
uvm.

notempty

Android Enterprise Profile werden unmittelbar angewendet und müssen nicht veröffentlicht werden!

Frühere Android Profile verhalten sich grundlegend anders als aktuelle Android Enterprise-Profile (EMM)
Es ist nicht mehr möglich ein Profil einer Rolle, einem Benutzer oder einem Tag zuzuordnen

In der Profil Übersicht können neue Profile erstellt, bestehende bearbeitet und gelöscht werden. Die Ansicht der Profile kann in der Listen- oder Kachelansicht dargestellt werden. Außerdem können Details zu den bestehenden Profilen angezeigt, die Liste der Profile aktualisiert und die Profile veröffentlicht werden.

Übersicht der Profilverwaltung iOS

Übersicht der Profilverwaltung Android

Name

Sortiert die Kacheln nach dem Profilnamen

Priorität

Sortiert die Kacheln nach der Priorität des Profils

Aufsteigend

Sortiert die Kacheln Aufsteigend bzw. Absteigend nach dem gewählten Kriterium

Suche

Filtert auf Profilkacheln, die den Suchtext enthalten

Profil hinzufügen

Erstellt ein neues Profil. Die Einstellungen im Profil sind je nach Betriebssystem unterschiedlich.

Profil importieren

Bestehende Profile, die zuvor aus dem Securepoint Mobile Security Portal exportiert wurden, können hier importiert werden

Generierte Profile ausblenden

Blendet generierte Profile aus

Details anzeigen

Details anzeigen / verstecken: Bei sehr vielen Profilen, kann es der Übersichtlichkeit dienen, die wichtigsten Details auszublenden.

/ Listenansicht / Rasteransicht

Wechsel zwischen Listen und Rasteransicht

Aktualisieren

Aktualisieren der Anzeige

Mit der Schaltfläche oben rechts in jeder Profilkachel stehen folgende Optionen zur Verfügung:

Bearbeiten

Bearbeiten der Einstellungen (s.u.)

Kopieren

Kopieren des Profils in die Zwischenablage

Exportieren

Exportieren der Einstellungen

Löschen

Das Profil wird gelöscht

notempty

Neu ab: 2.5

Android Profile, die mind. ein zugewiesenes Gerät haben, können nicht gelöscht werden.

Aktualisiert

Es wurden Änderungen am Profil vorgenommen, die noch nicht veröffentlicht wurden!

Teilweise installiert

Es konnten nicht alle Teilprofile installiert werden

Typ

Profil-Typ (s.u.)

Rollen

Benutzer

Geräte

Mit einem Klick auf das Logo der Profilkachel lassen sich eine oder mehrere Profile markieren Bei den allgemeinen Optionen erscheint nun unter der Filter-Maske ein weiteres Feld:

Aktion für ausgewählte Objekte

Bitte wählen

Ausführen der gewählten Aktion mit Ok

Kopieren

Kopiert ein oder mehrere ausgewählte Profile in die Zwischenablage

Löschen

Löscht ein oder mehrere ausgewählte Profile

notempty

Neu ab: 2.5

Android Profile, die mind. ein zugewiesenes Gerät haben, können nicht gelöscht werden.

Einfügen

Fügt eine Kopie eines Profils aus der Zwischenablage ein

Das funktioniert auch von einem Tenant / Kunden zum Anderen, solange diese dem gleichen Reseller-Account zugeordnet sind

Allgemein Allgemein

Beschriftung	Wert	Beschreibung	Allgemeine Einstellungen mit Profil ist eine Vorlage inaktiv Hovern für aktiv Allgemeine Einstellungen mit Profil ist eine Vorlage aktiv
Name	Name	Anzeige bzw. Eingabe des Profil-Namens
Profil ist eine Vorlage notempty Neu ab: 2.8		Wenn aktiviert , werden für ausgewählte Benutzer basierend auf dieser Vorlage benutzerspezifische Profile generiert In diesen werden automatisch Variablen ersetzt, die beim Benutzer hinterlegt sind Zusätzlich werden Zertifikate für WPA2-Enterprise/Open Network Configuration automatisch ersetzt notempty Wenn dieser Schalter deaktiviert wird, können über diese Vorlage keine Änderungen mehr an den bereits generierten Geräte-Profilen vorgenommen werden!
Geräte Eingeblendet, solange Profil ist eine Vorlage deaktiviert ist	Geräte hinzufügen	Bei bestehenden Profilen: ggfs. Anzeige der zugeordneten Geräte
Benutzernotempty Neu ab: 2.8 Eingeblendet, solange Profil ist eine Vorlage aktiviert ist	Benutzer hinzufügen	Es wird für jeden Nutzer jeweils ein Profil generiert.

Beschriftung	Wert	Beschreibung	Grundeinstellungen
Maximale Zeit zum Sperren	0	Maximale Zeit in Sekunden für die Benutzeraktivität, bis das Gerät gesperrt wird Dies limitiert die vom Nutzer einstellbare Zeit Ein Wert von 0 bedeutet, dass keine Einschränkung vorliegt Diese Einstellung hilft dabei, die Sicherheit des Geräts zu erhöhen, indem es sich automatisch sperrt, wenn es für eine festgelegte Zeit nicht verwendet wird. Nur Werte, die unter 600 Sekunden liegen werden umgesetzt.
Verhalten beim Zurücksetzen auf Werkseinstellungen notempty Neu ab: 2.10	Flags auswählen	notempty Für Android-Geräte mit Version 15 oder höher Hier kann festgelegt werden, welche Daten gelöscht werden, wenn das Gerät zurückgesetzt wird Auswahlmöglichkeiten: eSims löschen
Verschlüsselung	Deaktiviert	Aktiviert die Verschlüsselung Verschlüsselung schützt die auf dem Gerät gespeicherten Daten Dies ist eine wichtige Sicherheitsmaßnahme, um sensible Informationen vor unbefugtem Zugriff zu schützen
	Deaktiviert	Es wird keine Verschlüsselung verwendet.
	Aktiviert ohne Passwort	Verschlüsselung ist erforderlich, jedoch wird kein Passwort zum Booten benötigt. Die Verschlüsselung erfolgt auf Dateisystemebene und verhindert das Auslesen von Daten, bei physischem Zugriff auf ein gesperrtes Gerät (ausgeschaltet bzw. noch nicht gebootet). Es verhindert nicht das lesen von Daten eines entsperrten Gerätes. Die Aktivierung dieser Option deaktivert außerdem die Möglichkeit für einen Neustart des Gerätes im "abgesichertem Modus". Zusätzlich wird als Displaysperre eine Pin oder ein Passwort mit der Option "Sicherer Start" verlangt. Dadurch muss die Pin oder das Passwort vor dem Start des Gerätes eingegeben werden. Dadurch können keine Anrufe, Nachrichten oder Benachrichtigungen (einschließlich Weckrufen) empfangen werden, bevor das Gerät entsperrt und gestartet ist.
	Mit Passwort aktiviert	Erfordert ein Kennwort vor dem Start des Gerätes, um die Verschlüsselung aufzuheben. Die Verschlüsselung erfolgt auf Dateisystemebene und verhindert das Auslesen von Daten, bei physischem Zugriff auf ein gesperrtes Gerät (ausgeschaltet bzw. noch nicht gebootet). Es verhindert nicht das lesen von Daten eines entsperrten Gerätes. Die Aktivierung dieser Option deaktivert außerdem die Möglichkeit für einen Neustart des Gerätes im "abgesichertem Modus". Zusätzlich wird als Displaysperre eine Pin oder ein Passwort mit der Option "Sicherer Start" verlangt. Dadurch muss die Pin oder das Passwort vor dem Start des Gerätes eingegeben werden. Dadurch können keine Anrufe, Nachrichten oder Benachrichtigungen (einschließlich Weckrufen) empfangen werden, bevor das Gerät entsperrt und gestartet ist.
Modi in denen das Gerät an bleibt	AC-Ladegerät Kabelloses Ladegerät	Die Akkulade-Modi, in denen das Gerät eingeschaltet bleibt Bei Verwendung dieser Einstellung wird empfohlen, die maximale Zeit zum Entsperren zu deaktivieren, damit sich das Gerät nicht selbst sperrt, solange es eingeschaltet bleibt Dies kann nützlich sein, um sicherzustellen, dass der Bildschirm während des Ladevorgangs für bestimmte Aufgaben oder Überwachungsfunktionen weiterhin aktiv bleibt Ignorieren: Dieser Wert wird ignoriert AC-Ladegerät: Bleibt eingeschaltet, wenn die Energiequelle ein Ladegerät ist USB: Bleibt eingeschaltet, wenn die Energiequelle ein USB Port ist Kabelloses Ladegerät: Bleibt eingeschaltet, wenn die Energiequelle kabellos ist

Anhaltende bevorzugte Aktivitäten
Anhaltende bevorzugte Aktivitäten	Aktivität hinzufügen	Standard-Intent-Handler-Aktivitäten. Diese Aktivitäten sind spezialisierte Aufgaben oder Apps, die bevorzugt werden, um bestimmte Intents (Absichten) auszuführen Das Gerät bleibt in diesen bevorzugten Aktivitäten, um eine konsistente und effiziente Ausführung der entsprechenden Funktionen zu gewährleisten
Empfänger Aktivität	Empfänger Aktivität	Die Aktivität, die der Standard-Intent-Handler sein soll, eintragen. Entweder der Android-Komponentenname (com.android.enterprise.app/.MainActivity) oder der App-Paketname. Android-Geräterichtlinie wählt eine geeignete Aktivität aus der App aus.
Aktionen	Aktionen hinzufügen	Die absichtlichen Aktionen auswählen, die im Filter abgeglichen werden sollen. Wird keine Aktion ausgewählt, wird die Absichtsaktion ignoriert.
Kategorien	Kategorien hinzufügen	Die Absichtskategorien auswählen, die im Filter übereinstimmen sollen. Eine Absicht enthält die erforderlichen Kategorien, die alle im Filter enthalten sein müssen, damit sie übereinstimmen. Mit anderen Worten, das Hinzufügen einer Kategorie zum Filter hat keine Auswirkungen auf die Übereinstimmung, es sei denn, diese Kategorie ist in der Absicht angegeben.

Setup-Aktionen
Setup-Aktionen	Aktion hinzufügen	Aktionen, die während des Installationsvorgangs ausgeführt werden sollen Diese können Schritte wie das Einrichten von Benutzerkonten, das Konfigurieren von Netzwerkeinstellungen oder das Installieren von erforderlichen Anwendungen und Diensten umfassen Dies stellt sicher, dass das Gerät nach der Installation betriebsbereit und vollständig konfiguriert ist
Titel	Titel	Den Titel, Namen der Aktion eintragen
Beschreibung	Beschreibung	Eine Beschreibung der Aktion
App starten	Paketname	Paketname der App, die beim Setup gestartet werden soll

Sperrbildschirm Informationen zum Gerätebesitzer
Aktiviere die Sperrbildschirm-Informationen		Aktivierung der Konfiguration der Sperrbildschirm-Informationen Diese Informationen können den Namen und die Kontaktinformationen des Gerätebesitzers umfassen und helfen dabei, das Gerät im Falle eines Verlusts oder Diebstahls wiederzufinden Zudem können wichtige Hinweise oder Unternehmensrichtlinien angezeigt werden
Sperrbildschirm Informationen zum Gerätebesitzer	Eigentum TTT-Point GmbH. Support: 04131 - 2401-0	Die Gerätebesitzerinformationen, die auf dem Sperrbildschirm angezeigt werden sollen. Die maximale Nachrichtenlänge beträgt 4096 Zeichen.

Beschriftung

Wert

Beschreibung

Kurze Supportnachricht

Eine Meldung, die dem Benutzer auf dem Einstellungsbildschirm angezeigt wird, wenn die Funktionalität vom Administrator deaktiviert wurde. Die maximale Nachrichtenlänge beträgt 4096 Zeichen.

Lange Supportnachricht

Eine Nachricht, die dem Benutzer angezeigt wird. Die maximale Nachrichtenlänge beträgt 4096 Zeichen. Abb. s.o.

Deaktivieren Sie das Zurücksetzen der Netzwerkeinstellungen

Bei Aktivierung ist das Zurücksetzen der Netzwerkeinstellungen deaktiviert.

Dies verhindert, dass Benutzer alle Netzwerkverbindungen, einschließlich WLAN, Mobilfunk und Bluetooth, zurücksetzen können, wodurch eine stabile Netzwerkumgebung gewährleistet bleibt.

Deaktivieren Sie die Mobilfunknetzkonfiguration

Bei Aktivierung ist die Konfiguration von Mobilfunknetzen deaktiviert.

Dies verhindert Änderungen an den Einstellungen für mobile Netzwerke, wie z.B. APN-Einstellungen, und sorgt so für eine konsistente Netzwerkverbindung.

Deaktivieren Sie die Cell Broadcast-Konfiguration

Bei Aktivierung ist die Konfiguration von Cell Broadcast deaktiviert.

Cell Broadcast wird oft für Notfallwarnungen verwendet, und das Deaktivieren der Konfiguration verhindert, dass Benutzer diese Einstellungen ändern.

Ausgehende Anrufe deaktivieren

Bei Aktivierung sind ausgehende Anrufe deaktiviert.

Dies kann verwendet werden, um zu verhindern, dass Benutzer unerwünschte oder nicht autorisierte Telefonanrufe tätigen.

Roaming deaktivieren

Bei Aktivierung sind Roaming-Datendienste deaktiviert.

Dies verhindert, dass das Gerät Datenroaming-Dienste nutzt, was hilfreich sein kann, um hohe Roaming-Gebühren zu vermeiden.

SMS deaktivieren

Bei Aktivierung ist das Senden und Empfangen von SMS-Nachrichten deaktiviert.

Dies kann genutzt werden, um die Kommunikation auf andere Kanäle zu lenken und die Kontrolle über den SMS-Verkehr zu behalten.

WLAN konfigurieren

Nicht spezifiziert

Legt die Berechtigungen für die WLAN-Konfiguration fest.

Je nach ausgewählter Option kann der Nutzer die WLAN-Konfiguration entweder vollständig, nur eingeschränkt oder gar nicht steuern. Dies hilft, die Netzwerkzugänge zu kontrollieren und unautorisierte WLAN-Verbindungen zu verhindern.

Nicht spezifiziert	Entspricht der Einstellung Alles erlauben Wurde dieser Wert noch nicht aktiv gesetzt wird der Wert aus der veralteten Einstellung wifiConfigDisabled in das neue Feld ConfigureWifi übernommen. Dessen Default Wert war false. Achtung: Doppelte Verneinung: »Deaktivierung der Einstellung = falsch« bedeutet: Einstellung erlaubt. Das neue Feld zeigt Nicht spezifiziert an, wenn der Wert im ursprünglichen Feld nie gesetzt wurde (also noch im Default Zustand ist). Wurde der ursprüngliche Wert auf wifiConfigDisabled == true gesetzt, erhält neue Feld ConfigureWifi den Weret 'DISALLOW_CONFIGURING_WIFI
Alles erlauben	Die WLAN Konfiguration ist vollständig erlaubt
WLAN Konfiguration hinzufügen verbieten	Das Hinzufügen neuer WLAN-Konfigurationen ist nicht zulässig, es kann nur zwischen bereits konfigurierten Netzwerken gewechselt werden
WLAN Konfiguration nicht zulassen	Verhindert die Konfiguration von WLANs

Bluetooth deaktivieren

Bei Aktivierung wird Bluetooth deaktiviert.

Diese Einstellung ist der "Bluetooth-Konfiguration deaktivieren" vorzuziehen, da Bluetooth-Konfiguration deaktivieren vom Benutzer umgangen werden kann. Dies stellt sicher, dass Bluetooth vollständig ausgeschaltet bleibt.

Bluetooth-Konfiguration deaktivieren

Bei Aktivierung ist die Bluetooth-Konfiguration deaktiviert.

Dies verhindert, dass Benutzer die Bluetooth-Einstellungen ändern, was die Sicherheit der Geräte erhöht.

Deaktivieren der Bluetooth-Kontaktfreigabe

Bei Aktivierung ist die Bluetooth-Kontaktfreigabe deaktiviert.

Nur für Arbeitsprofile. Dies verhindert die Freigabe von Kontakten über Bluetooth, um die Privatsphäre und Datenintegrität zu schützen.

Versenden via NFC deaktivieren

Bei Aktivierung ist die Verwendung von NFC zum Senden von Daten aus Apps deaktiviert.

Dies kann verhindern, dass Benutzer Daten über NFC teilen, was die Sicherheit der Datenübertragung erhöht.

Deaktivieren Sie den Flugzeugmodus

Deaktiviert

Diese Funktion steuert den aktuellen Status des Flugmodus und gibt an, ob der Nutzer ihn ein- oder ausschalten kann.

Wird unter Android 9 und höher unterstützt. Dies verhindert, dass Benutzer den Flugmodus aktivieren, was die ständige Netzwerkverbindung sicherstellt.

Ob eine Deaktivierung notwendig ist, hängt von den lokalen Anforderungen ab.

Nicht spezifiziert	Der aktuelle Gerätewert wird nicht geändert. Der Nutzer kann den Flugmodus aktivieren oder deaktivieren.
Wahl des Benutzers	Der Nutzer kann den Flugmodus aktivieren oder deaktivieren.
Deaktiviert	Der Flugmodus ist deaktiviert. Der Nutzer darf den Flugmodus nicht aktivieren.

Tethering-Einstellungen

Nicht spezifiziert

Mit dieser Richtlinie wird festgelegt, inwieweit der Nutzer verschiedene Formen des Tetherings (z. B. WLAN-Tethering oder Bluetooth-Tethering) verwenden darf.

Dies hilft, die Verwendung von mobilen Daten durch andere Geräte zu kontrollieren und zu beschränken.

Nicht spezifiziert	Entspricht der Einstellung Alles erlauben Wurde dieser Wert noch nicht aktiv gesetzt wird der Wert aus der veralteten Einstellung tetheringConfigDisabled in das neue Feld TetheringSettings übernommen. Dessen Default Wert war false. Achtung: Doppelte Verneinung: »Deaktivierung der Einstellung = falsch« bedeutet: Einstellung erlaubt. Das neue Feld zeigt Nicht spezifiziert an, wenn der Wert im ursprünglichen Feld nie gesetzt wurde (also noch im Default Zustand ist). Wurde der ursprüngliche Wert auf tetheringConfigDisabled == true gesetzt, erhält neue Feld TetheringSettings den Weret 'DISALLOW_ALL_TETHERING
Alles erlauben	Alle Formen des Thethering sind erlaubt
WLAN Thethering verbieten	Alle Formen des Thethering, ausgenommen WLAN-Tethering, sind erlaubt
Tethering verbieten	Alle Formen des Thethering sind verboten

Deaktivieren des Netzwerk Escape Hatch

Bei Aktivierung ist der Netzwerk Escape Hatch deaktiviert.

Wenn beim Booten keine Netzwerkverbindung hergestellt werden kann, fordert der Escape Hatch den Benutzer auf, vorübergehend eine Verbindung zu einem Netzwerk herzustellen, um die Geräterichtlinie zu aktualisieren. Nach dem Anwenden der Richtlinie wird das temporäre Netzwerk vergessen und das Gerät fährt mit dem Booten fort. Auf diese Weise wird verhindert, dass keine Verbindung zu einem Netzwerk hergestellt werden kann, wenn in der letzten Richtlinie kein geeignetes Netzwerk vorhanden ist und das Gerät im Task-Sperrmodus eine App startet oder der Benutzer ansonsten die Geräteeinstellungen nicht erreichen kann.

Konten zum Entsperren nach Zurücksetzen auf Werkseinstellung

E-Mail-Adresse auswählen

Factory Reset Protection (FRP): Diese Sicherheitsfunktion schützt das Gerät vor unbefugter Nutzung nach einem Zurücksetzen auf die Werkseinstellungen.

Wenn das Gerät zurückgesetzt wurde, muss sich einer der angegebenen Administratoren mit der E-Mail-Adresse und dem Passwort des verknüpften Google-Kontos anmelden, um das Gerät zu entsperren. Ohne die Angabe von Administratoren bietet das Gerät keinen Schutz nach einem Werkseinstellungs-Reset.

Deaktivieren von Bereitstellung physischer Medien

Diese Option bestimmt, ob der Benutzer das Bereitstellen von physischen externen Medien wie USB-Sticks oder SD-Karten deaktivieren kann.

Bei Aktivierung können keine physischen Medien verwendet werden, was die Datensicherheit erhöht.

USB-Datenzugriff

Nicht spezifiziert

Diese Einstellung kontrolliert, welche Dateien und Daten über USB übertragen werden können, ohne die Ladefunktionen des Geräts zu beeinträchtigen.

Diese Funktion ist nur auf unternehmenseigenen Geräten verfügbar und hilft, den unbefugten Datenzugriff zu verhindern.

Nicht spezifiziert	Nicht angegeben Die Standardeinstellung ist "Dateiübertragung verbieten"
Alles erlauben	Alle Arten der USB-Datenübertragung sind zulässig
Dateiübertragung verbieten	Die Übertragung von Dateien über USB ist nicht zulässig. Andere USB-Datenverbindungen, z. B. Maus und Tastatur, sind zulässig
Alle Dateiübertragungen verbieten	Wenn die Richtlinie konfiguriert ist, sind alle Arten der USB-Datenübertragung unzulässig. Wird für Geräte mit Android 12 oder höher und USB HAL 1.3 oder höher unterstützt.

Tastensperre deaktivieren

Bei Aktivierung ist die Tastensperre des Geräts deaktiviert.

Eine deaktivierte Tastensperre kann die Sicherheit des Geräts beeinträchtigen, da es ohne eine Form der Authentifizierung entsperrt werden kann.

Deaktivieren der Keyguard-Funktionen

Funktionen auswählen

Hiermit können bestimmte Keyguard-Anpassungen, wie Widgets und andere auf dem Sperrbildschirm angezeigte Informationen, deaktiviert werden.

Dies kann die Sicherheit des Geräts erhöhen, indem potenziell sensible Informationen vom Sperrbildschirm entfernt werden.

Aktiviere Auswahl privater Schlüssel

Bei Aktivierung ist es den Benutzern erlaubt, auf einem Gerät die Benutzeroberfläche anzuzeigen, um einen privaten Schlüsselalias auszuwählen, wenn keine übereinstimmenden Regeln in den "Regeln für private Schlüssel" vorhanden sind.

Bei Geräten unter Android P besteht das Risiko, dass Unternehmensschlüssel durch diese Funktion angegriffen werden könnten.

Regeln für private Schlüssel

Regel hinzufügen

Diese Regeln legen fest, wie ein privater Schlüssel und ein Zertifikat automatisch ausgewählt werden, um das Gerät bei einem Server zu authentifizieren
Die Regeln sind nach Priorität geordnet
Wenn eine ausgehende Anforderung mehr als einer Regel entspricht, bestimmt die zuletzt definierte Regel, welcher private Schlüssel verwendet werden soll
Diese Priorisierung sorgt für eine sichere und konsistente Authentifizierung

URL-Muster

Das URL-Muster, das mit der URL der ausgehenden Anforderung abgeglichen werden soll. Das Muster kann Platzhalter mit Sternchen (*) enthalten. Jede URL stimmt überein, wenn sie nicht angegeben ist.

Paketnamen

Paketnamen hinzufügen

Die Paketnamen, für die ausgehende Anforderungen dieser Regel unterliegen. Wenn keine Paketnamen angegeben sind, gilt die Regel für alle Pakete. Für jeden aufgelisteten Paketnamen gilt die Regel für dieses Paket und alle anderen Pakete, die dieselbe Android-UID verwendet haben. Der SHA256-Hash der Signaturschlüsselsignaturen jedes Paketnamens wird mit den von Play bereitgestellten verglichen

Alias für privaten Schlüssel

Alias

Der Alias des zu verwendenden privaten Schlüssels.

Richtlinie für nicht vertrauenswürdige Apps

Nicht spezifiziert

Diese Einstellung legt fest, ob Benutzer die Installation von Apps aus unbekannten Quellen zulassen können.

Das Verbot solcher Apps schützt das Gerät vor potenziell schädlicher Software, die nicht aus dem offiziellen App Store stammt.

Nicht spezifiziert	Nicht spezifiziert. Standardmäßig nicht erlaubt.
Nur in persönlichen Profilen zulassen	For devices with work profiles, allow untrusted app installs in the device's personal profile only.
Nicht erlauben	Standard. Nicht vertrauenswürdige App-Installationen auf dem gesamten Gerät verbieten.
Erlauben	Nicht vertrauenswürdige App-Installationen auf dem gesamten Gerät zulassen.

App-Überprüfung durch 'Google Play Protect' erzwingen

Nicht spezifiziert

Diese Option sorgt dafür, dass alle auf dem Gerät installierten Apps regelmäßig durch "Google Play Protect" gescannt und überprüft werden.

"Google Play Protect" hilft dabei, schädliche Apps zu erkennen und zu entfernen, wodurch die Sicherheit und Integrität des Geräts gewährleistet wird.

Nicht spezifiziert	Unspecified. Defaults to enforced.
Erzwungen	Standard. App-Überprüfung erzwingen.
Wahl des Benutzers	Erlaubt dem Benutzer zu wählen, ob die App-Überprüfung aktiviert werden soll.

Entwicklereinstellungen

Nicht spezifiziert

Steuert den Zugriff auf Entwicklereinstellungen: Entwickleroptionen und sicherer Start
Diese Einstellung kontrolliert, ob Benutzer auf die Entwicklereinstellungen des Geräts zugreifen können
Dazu gehören Optionen wie USB-Debugging und andere Entwickleroptionen, die normalerweise für die App-Entwicklung verwendet werden
Durch die Deaktivierung dieser Einstellungen wird verhindert, dass Benutzer Änderungen vornehmen, die die Sicherheit oder Leistung des Geräts beeinträchtigen könnten

Nicht spezifiziert	Nicht spezifiziert. Standardmäßig deaktiviert.
Deaktiviert	Standard. Deaktiviert alle Entwicklereinstellungen und verhindert, dass der Benutzer darauf zugreift.
Erlaubt	Erlaubt alle Entwicklereinstellungen. Der Benutzer kann auf die Einstellungen zugreifen und diese optional konfigurieren.

Common Criteria Modus

Nicht spezifiziert

Kontrolliert den Common Criteria Modus: Diese Einstellung aktiviert Sicherheitsstandards, die in den Common Criteria for Information Technology Security Evaluation (CC) definiert sind. Das Aktivieren dieses Modus erhöht bestimmte Sicherheitskomponenten auf dem Gerät, wie z.B. die AES-GCM-Verschlüsselung von Bluetooth-Langzeitschlüsseln und die Wi-Fi-Konfiguration.notempty

Der Common Criteria Modus erzwingt ein strenges Sicherheitsmodell, das normalerweise nur für IT-Produkte erforderlich ist, die in nationalen Sicherheitssystemen und anderen hochsensiblen Organisationen verwendet werden. Dies kann die Nutzung von Standardgeräten beeinträchtigen oder sogar alle Daten löschen und sollte nur bei Bedarf aktiviert werden.

Nicht spezifiziert	Nicht spezifiziert. Standardmäßig deaktiviert.
Deaktiviert	Standard. Deaktiviert den Common Criteria-Modus.
Aktiviert	Aktiviert den Common Criteria-Modus.

Systemaktualisierung

Bei Aktivierung wird die Konfiguration der Systemaktualisierungen aktiviert.

Diese Option ermöglicht es Administratoren, zu steuern, wann und wie Systemupdates auf dem Gerät installiert werden, um sicherzustellen, dass das Gerät immer auf dem neuesten Stand und sicher bleibt.

Aktualisierungsart

Nicht spezifiziert

Die Art der zu konfigurierenden Systemaktualisierung.

Nicht spezifiziert	Befolgen Sie das Standard-Update-Verhalten für das Gerät, für das der Benutzer normalerweise System-Updates akzeptieren muss.
Automatisch	Automatisch installieren, sobald ein Update verfügbar ist.
Im Fenster	Automatische Installation innerhalb eines täglichen Wartungsfensters. Dadurch wird auch konfiguriert, dass Play-Apps innerhalb des Fensters aktualisiert werden. Dies wird für Kioskgeräte dringend empfohlen, da nur so Apps, die dauerhaft im Vordergrund bleiben, von Play aktualisiert werden können.
Verschieben	Verschieben Sie die automatische Installation auf maximal 30 Tage.

Einfrierperioden

Periode hinzufügen

Ein sich jährlich wiederholender Zeitraum, in dem OTA-Systemaktualisierungen (Over-the-Air) verschoben werden, um die auf einem Gerät ausgeführte Betriebssystemversion einzufrieren
Um ein unbegrenztes Einfrieren des Geräts zu verhindern, muss jede Einfrierperiode mindestens 60 Tage voneinander entfernt sein
Diese Einstellung ist besonders nützlich, um in bestimmten Geschäftszeiten oder während wichtiger Projekte Systemänderungen zu vermeiden, die die Stabilität oder Kompatibilität beeinflussen könnten

Start

Beginn der Periode

Ende

Ende der Periode

Zulässige Eingabemethoden

Paketnamen hinzufügen

Falls vorhanden, sind nur die Eingabemethoden zulässig, die von Paketen in dieser Liste bereitgestellt werden
Wenn dieses Feld vorhanden ist, die Liste jedoch leer ist, sind nur Systemeingabemethoden zulässig
Diese Option beschränkt die Verwendung von Tastaturen und anderen Eingabemethoden auf eine vorgegebene Liste, um die Sicherheit und Kontrolle über die Datenverarbeitung und -eingabe zu erhöhen

Zugelassene Eingabehilfedienste

Paketnamen hinzufügen

Gibt die zulässigen Eingabehilfedienste an. Wenn das Feld nicht gesetzt ist, kann jeder Eingabehilfedienst verwendet werden
Wenn das Feld festgelegt ist, können nur die in dieser Liste enthaltenen Eingabehilfedienste und die im System integrierten Eingabehilfedienste verwendet werden
Insbesondere wenn das Feld leer ist, können nur die integrierten Eingabehilfedienste des Systems verwendet werden
Diese Einstellung hilft dabei, die Nutzung von Eingabehilfediensten zu steuern und zu überwachen, um die Sicherheit und Integrität des Systems zu gewährleisten und gleichzeitig die Barrierefreiheit für Benutzer zu unterstützen

Deaktivieren Sie das Ändern von Konten

Bei Aktivierung ist das Hinzufügen oder Entfernen von Konten deaktiviert. Dies verhindert, dass Benutzer persönliche oder berufliche Konten hinzufügen oder entfernen, was zur Sicherung der Datenintegrität beiträgt.notempty

Wird dieser Punkt nicht aktiviert, kann der Benutzer ein weiteres Google-Konto erstellen, sich damit im Playstore anmelden und beliebige Software installieren.

Kontotypen mit deaktivierter Verwaltung

Kontotypen, die vom Benutzer nicht verwaltet werden können.

Hierdurch kann das Hinzufügen verschiedener Konten von definierten Anbietern unterbunden werden um einen ungewollten Datenabfluss zu verhindern.

Deaktivieren Sie das Hinzufügen von Benutzern

Bei Aktivierung ist das Hinzufügen neuer Benutzer und Profile deaktiviert.

Dies kann nützlich sein, um sicherzustellen, dass keine zusätzlichen Benutzer oder Gastprofile auf dem Gerät erstellt werden.

Deaktivieren Sie das Entfernen von Benutzern

Bei Aktivierung ist das Entfernen anderer Benutzer deaktiviert.

Dies verhindert, dass bestehende Benutzer oder Gastprofile, insbesondere administrative oder geschäftskritische, entfernt werden.

Benutzersymbol deaktivieren

Bei Aktivierung ist das Ändern des Benutzersymbols deaktiviert.

Dies sorgt für eine einheitliche Darstellung der Benutzerprofile und kann dazu beitragen, Verwechslungen zu vermeiden.

Deaktivieren Sie den Werksreset

Bei Aktivierung ist das Zurücksetzen auf Werkseinstellungen deaktiviert.

Dies schützt vor Datenverlust und verhindert, dass das Gerät ohne Administratorberechtigung auf die Werkseinstellungen zurückgesetzt wird.

Deaktivieren Sie die Konfiguration der Anmeldeinformationen

Bei Aktivierung ist die Konfiguration von Benutzeranmeldeinformationen deaktiviert.notempty

Wenn deaktiviert, können keine Zertifikate mehr installiert werden. Sollen die Sicherheitseinstellungen verwendet werden, empfehlen wir die Konfiguration der Anmeldeinformationen erst zu deaktivieren, nachdem die Sicherheitseinstellungen auf allen Geräten umgesetzt wurden. Dies sichert die Geräte vor unbefugtem Zugriff durch falsche Zertifikate.

Deaktivieren Sie die Hintergrundeinstellungen

Bei Aktivierung ist das Ändern des Hintergrundbilds deaktiviert.

Dies kann dazu beitragen, eine einheitliches Erscheinungsbild für alle Geräte in einem Unternehmen aufrechtzuerhalten.

Deaktivieren des Erstellens von Fenstern

Bei Aktivierung ist das Erstellen von Fenstern neben App-Fenstern deaktiviert.

Dies kann dazu beitragen, die Benutzeroberfläche zu vereinfachen und sicherzustellen, dass keine zusätzlichen Fenster die Benutzererfahrung stören.

Ortungsmodus

Nicht spezifiziert

Bestimmt den Grad der Standorterkennung.

Der Benutzer kann den Wert ändern, es sei denn, der Benutzer kann nicht auf Geräteeinstellungen zugreifen. Dies ermöglicht es, zwischen verschiedenen Ortungsmodi zu wechseln.

Nicht spezifiziert	Der aktuelle Gerätewert wird nicht geändert. Der Benutzer kann den Wert ändern, es sei denn, der Benutzer kann nicht auf Geräteeinstellungen zugreifen.
Wahl des Benutzers	Die Standorteinstellung ist auf dem Gerät nicht eingeschränkt. Es wird kein bestimmtes Verhalten festgelegt oder erzwungen.
Erzwungen	Aktiviert die Standorteinstellung auf dem Gerät
Deaktiviert	Deaktiviert die Standorteinstellung auf dem Gerät

Deaktivieren der Standortfreigabe

Bei Aktivierung ist die Standortfreigabe deaktiviert.

Dies schützt die Privatsphäre der Benutzer und verhindert die unbefugte Weitergabe von Standortdaten.

Hinweise zum ersten Benutzer überspringen

Bei Aktivierung werden Teile des Ersteinrichtungsassistenten übersprungen.

Der Unternehmensadministrator kann die Systemempfehlung für Apps deaktivieren, um das Benutzer-Tutorial und andere einführende Hinweise beim ersten Start zu überspringen. Dies erleichtert eine schnellere Inbetriebnahme der Geräte.

Kioskstarter

Aktivieren Sie den benutzerdefinierten Kiosk-Starter

Bei Aktivierung ist der benutzerdefinierte Kiosk-Starter aktiviert.

Dadurch wird der Home-Bildschirm durch einen Starter ersetzt, der das Gerät für die Anwendungseinstellung installierten Apps sperrt. Die Apps werden auf einer einzelnen Seite in alphabetischer Reihenfolge angezeigt. Es wird empfohlen, die Statusleiste zu deaktivieren, um den Zugriff auf Geräteeinstellungen zu blockieren. Diese Einstellung ermöglicht es, das Gerät auf eine spezifische Anwendung oder einen bestimmten Satz von Anwendungen zu beschränken, was besonders nützlich für öffentliche Terminals oder Einzelzweckgeräte ist.

Kioskmodus

Power-Button-Aktionen

Nicht spezifiziert

Legt das Verhalten eines Geräts im Kioskmodus fest, wenn ein Benutzer die Ein- / Aus-Taste drückt und gedrückt hält.

Dies kann genutzt um sicherzustellen, dass Benutzer den Kioskmodus nicht durch Neustarten oder Ausschalten des Geräts umgehen können.

Nicht spezifiziert	Nicht angegeben, standardmäßig verfügbar.
Verfügbar	Das Ein- / Ausschaltmenü (z. B. Ausschalten, Neustart) wird angezeigt, wenn ein Benutzer im Kioskmodus die Ein- / Aus-Taste eines Geräts lange drückt.
Blockiert	Das Ein / Aus-Menü (z. B. Ausschalten, Neustart) wird nicht angezeigt, wenn ein Benutzer im Kioskmodus lange auf die Ein- / Aus-Taste eines Geräts drückt. Hinweis: Dies kann Benutzer daran hindern, das Gerät auszuschalten.

Systemfehlerwarnungen

Nicht spezifiziert

Gibt an, ob Systemfehlerdialoge für abgestürzte oder nicht reagierende Apps im Kioskmodus blockiert werden.

Diese Einstellung verhindert, dass Benutzer Systemfehlerwarnungen sehen, und stellt sicher, dass das Gerät auch bei Fehlern im vorgesehenen Modus bleibt.

Nicht spezifiziert	Nicht angegeben, standardmäßig stummgeschaltet.
Aktiviert	Alle Systemfehlerdialoge wie Absturz und App reagiert nicht (ANR) werden angezeigt.
Stumm	Alle Systemfehlerdialoge wie Absturz und nicht reagierende App (ANR) werden blockiert. Wenn es blockiert ist, stoppt das System die App zwangsweise, als ob der Benutzer die App über die Benutzeroberfläche schließt.

Systemnavigation

Nicht spezifiziert

Gibt an, welche Navigationsfunktionen im Kioskmodus aktiviert sind (z. B. Home, Übersichtstasten).

Diese Option steuert, ob Benutzer auf die Systemnavigationstasten zugreifen können, um sicherzustellen, dass sie nicht aus dem Kioskmodus heraus navigieren oder auf andere Apps zugreifen können.

Nicht spezifiziert	Nicht angegeben, standardmäßig deaktiviert.
Aktiviert	Home- und Übersichtsschaltflächen sind aktiviert.
Deaktiviert	Auf die Schaltflächen Home und Übersicht kann nicht zugegriffen werden.
Nur Home-Taste	Nur die Home-Taste ist aktiviert.

Statusleiste

Nicht spezifiziert

Gibt an, ob Systeminformationen und Benachrichtigungen im Kioskmodus deaktiviert sind.

Diese Einstellung verbirgt die Statusleiste, um zu verhindern, dass Benutzer auf Systeminformationen und Benachrichtigungen zugreifen, die sie aus dem Kioskmodus herausführen oder ablenken könnten.

Nicht spezifiziert	Nicht angegeben, standardmäßig Benachrichtigungen und Systeminformationen deaktiviert.
Benachrichtigungen und Systeminformationen aktiviert	Systeminformationen und Benachrichtigungen werden im Kioskmodus in der Statusleiste angezeigt
Benachrichtigungen und Systeminformationen deaktiviert	Systeminformationen und Benachrichtigungen sind im Kioskmodus deaktiviert.
Nur Systeminformationen	In der Statusleiste werden nur Systeminformationen angezeigt.

Geräteeinstellungen

Nicht spezifiziert

Diese Option ermöglicht oder verhindert den Zugriff auf die Geräteeinstellungen, um sicherzustellen, dass Benutzer die Geräteeinstellungen des Geräts nicht ändern können.

Nicht spezifiziert	Nicht angegeben, standardmäßig zulässig.
Erlaubt	Der Zugriff auf die Einstellungen-App ist im Kioskmodus zulässig.
Blockiert	Der Zugriff auf die Einstellungen-App ist im Kioskmodus nicht zulässig.

Automatisches Datums & Zeitzone

Nicht spezifiziert

Gibt an, ob auf einem firmeneigenen Gerät automatisches Datum, Uhrzeit und Zeitzone aktiviert sind.

Diese Einstellung sorgt dafür, dass das Gerät automatisch die richtige Zeit und Zeitzone basierend auf dem Standort einstellt, um sicherzustellen, dass alle Zeitanzeigen korrekt und synchronisiert sind, insbesondere bei Reisen oder Standortwechseln.

Nicht spezifiziert	Dieser Wert wird ignoriert. Standardmäßig wird die Wahl des Benutzers verwendet.
Wahl des Benutzers	Das automatische Datum, die Uhrzeit und die Zeitzone bleiben der Wahl des Benutzers überlassen.
Automatisch erzwingen	Erzwingen Sie das automatische Datum, die Uhrzeit und die Zeitzone auf dem Gerät.

Deaktivieren der Bildschirmaufnahme

Bei Aktivierung ist die Screenshot-Funktion deaktiviert.

Diese Einstellung verhindert, dass Benutzer den Bildschirm des Geräts aufnehmen, um sensible Informationen vor unbefugter Aufzeichnung und Verbreitung zu schützen. Sie ist besonders wichtig für die Einhaltung von Datenschutz- und Sicherheitsrichtlinien.

Kamera deaktivieren

Bei Aktivierung ist die Kamera deaktiviert.

Diese Einstellung ermöglicht es, die Kamera des Geräts vollständig zu deaktivieren, um die Privatsphäre und Sicherheit zu erhöhen, insbesondere in sensiblen Umgebungen, in denen keine Bild- oder Videoaufnahmen gestattet sind.

Deaktivieren der Einstellung der Lautstärke

Bei Aktivierung ist das Anpassen der Hauptlautstärke deaktiviert.

Diese Option schränkt Benutzer darin ein, die Hauptlautstärke des Geräts zu ändern, um eine einheitliche Lautstärkeeinstellung zu gewährleisten. Dies kann in bestimmten Umgebungen wie Schulen oder Konferenzräumen nützlich sein, um Störungen zu minimieren.

Mikrofon einschalten verhindern

Bei Aktivierung ist das Mikrofon stummgeschaltet und die Mikrofonlautstärke kann nicht eingestellt werden.

Diese Einstellung sorgt dafür, dass das Mikrofon des Geräts stumm bleibt, um unbefugtes Mithören oder Aufzeichnen von Gesprächen und Umgebungsgeräuschen zu verhindern, was besonders in sicherheitskritischen Bereichen wichtig ist.

Eastereggs deaktivieren

Bei Aktivierung ist das Easteregg-Spiel in den Einstellungen deaktiviert.

Diese Option sperrt versteckte Spiele oder Gimmicks, die als "Eastereggs" in Betriebssystemen eingebaut sind.

Beschriftung

Wert

Beschreibung

Persönlicher Gebrauch

Persönliche Apps, die Arbeitsbenachrichtigungen lesen können

Paketnamen hinzufügen

Persönliche Apps, die Benachrichtigungen zu Arbeitsprofilen mit einem NotificationListenerService lesen können
Standardmäßig können keine persönlichen Apps (außer System-Apps) Arbeitsbenachrichtigungen lesen
Jeder Wert in der Liste muss ein Paketname sein

Persönlichen Gebrauch aktivieren

Erst durch die Aktivierung lässt sich der persönliche Gebrauch des Android-Gerätes konfigurieren

Persönlicher Play Store-Modus

Nicht spezifiziert

Wird zusammen mit "Persönliche Anwendungen" verwendet, um zu steuern, wie Apps im persönlichen Profil zugelassen oder blockiert werden.

Nicht spezifiziert	Nicht spezifiziert. Standardmäßig Blockliste.
Allowlist	Im persönlichen Profil dürfen nur Apps installiert werden, die explizit in "Persönliche Anwendungen" angegeben sind und deren "Installationstyp" auf "Verfügbar" eingestellt ist.
Blockliste	Alle Play Store-Apps können im persönlichen Profil installiert werden, mit Ausnahme derjenigen, deren Installationstyp unter "Persönliche Anwendungen" "Blockiert" ist.

Persönliche Anwendungen

Anwendungen hinzufügen

Richtlinien für Apps im persönlichen Profil eines unternehmenseigenen Geräts mit einem Arbeitsprofil.
Jeder Klick auf die Schaltfläche fügt einen Abschnitt Anwendung hinzu, indem eine App angepasst wird.

Paketname

com.google.android.youtube Anwendung auswählen

Der Paketname der App. Zum Beispiel com.google.android.youtube für die YouTube-App.
Per Klick auf die Schaltfläche Anwendung auswählen öffnet sich der Google-Play Store, um die App auszuwählen.

Installationstyp
Wird erst eingeblendet, wenn eine App in Paketname ausgewählt wurde.

Nicht spezifiziert

Die Art wie die Installation durchgeführt wird.

Nicht spezifiziert	Nicht definiert. Gleichzusetzen mit Verfügbar.
Blockieren	Die App wird blockiert und kann nicht installiert werden. Wenn die App über ein altes Profil installiert wurde, wird diese deinstalliert.
Verfügbar	Die App steht zur Installation bereit.

Max. Tage ohne Arbeitsprofil

0

Steuert, wie lange das Arbeitsprofil ausgeschaltet bleiben kann.

Kontotypen mit deaktivierter Verwaltung

Kontotypen, die vom Benutzer nicht verwaltet werden können

Deaktivieren Sie die Bildschirmaufnahme

Bei Aktivierung ist die Screenshotfunktion deaktiviert.

Diese Einstellung verhindert, dass Benutzer den Bildschirm des Geräts aufnehmen, um sensible Informationen vor unbefugter Aufzeichnung und Verbreitung zu schützen. Sie ist besonders wichtig für die Einhaltung von Datenschutz- und Sicherheitsrichtlinien.

Kamera deaktivieren

Bei Aktivierung ist die Kamera des Geräts vollständig deaktivieren.

Dies erhöht die Privatsphäre und die Sicherheit, insbesondere in sensiblen Umgebungen, in denen keine Bild- oder Videoaufnahmen gestattet sind.

Profilübergreifende Richtlinien

Aktivieren

Bei Aktivierung werden auf dem Gerät profilübergreifende Richtlinien angewendet

Arbeitskontakte im persönlichen Profil anzeigen

Erlaubt

Legt fest, ob Kontakte, die im Arbeitsprofil gespeichert sind, in der Kontaktsuche im persönlichen Profil und bei eingehenden Anrufen angezeigt werden können
Diese Einstellung ermöglicht die Anzeige von Arbeitskontakten im persönlichen Profil, um die Erreichbarkeit und Kommunikation zu verbessern, während gleichzeitig die Sicherheit und Privatsphäre gewahrt bleiben

Nicht spezifiziert	Nicht angegeben. Standardmäßig zulässig.
Nicht erlaubt	Verhindert, dass Kontakte aus dem Arbeitsprofil bei der Suche nach persönlichen Profilkontakten und eingehenden Anrufen angezeigt werden.
Erlaubt	Standard. Erlaubt das Erscheinen von Arbeitsprofilkontakten bei der Suche nach persönlichen Profilkontakten und eingehenden Anrufen.

Profilübergreifendes Kopieren & Einfügen

Nicht erlaubt

Konfiguriert, ob Text, der aus einem Profil (persönlich oder geschäftlich) kopiert wurde, in das andere Profil eingefügt werden kann
Diese Funktion kontrolliert, ob Benutzer Inhalte zwischen ihren persönlichen und geschäftlichen Profilen austauschen können, um potenzielle Sicherheitsrisiken durch unkontrollierte Datenübertragungen zu minimieren

Nicht spezifiziert	Nicht angegeben. Standardmäßig nicht zulässig.
Nicht erlaubt	Standard. Verhindert, dass Benutzer aus dem Arbeitsprofil kopierten Text in das persönliche Profil einfügen. Aus dem persönlichen Profil kopierter Text kann in das Arbeitsprofil eingefügt werden und aus dem Arbeitsprofil kopierter Text kann in das Arbeitsprofil eingefügt werden.
Erlaubt	Text, der in einem der Profile kopiert wurde, kann in das andere Profil eingefügt werden.

Profilübergreifende Datenfreigabe

Von der Arbeit zum persönlichen Profil verweigern

Legt fest, ob Daten aus einem Profil (persönlich oder geschäftlich) mit Apps im anderen Profil geteilt werden können
Steuert gezielt den einfachen Datenaustausch über Intents. Die Verwaltung anderer profilübergreifender Kommunikationskanäle (wie Kontaktsuche, Kopieren/Einfügen oder verbundene Arbeits- & persönliche Apps) wird separat konfiguriert
Diese Einstellung ermöglicht die Kontrolle über die Freigabe von Daten zwischen den Profilen, um sicherzustellen, dass sensible Informationen nicht unautorisiert übertragen werden

Nicht spezifiziert	Nicht angegeben. Standardmäßig nicht zulässig.
Nicht erlaubt	Verhindert, dass Daten sowohl vom persönlichen Profil an das Arbeitsprofil als auch vom Arbeitsprofil an das persönliche Profil weitergegeben werden.
Von der Arbeit zum persönlichen Profil verweigern	Standard. Verhindert, dass Benutzer Daten aus dem Arbeitsprofil für Apps im persönlichen Profil freigeben. Persönliche Daten können mit Arbeits-Apps geteilt werden.
Erlaubt	Daten von einem der Profile können mit dem anderen Profil geteilt werden.

Beschriftung

Wert

Beschreibung

Passwortrichtlinien

Richtlinie hinzufügen

Es können verschiedene Passwortrichtlinien für Arbeitsprofile und vollständig verwaltete Geräte verwendet werden.

Geltungsbereich

Der Bereich, für den die Passwortanforderung gilt. Diese Einstellung definiert, ob die Passwortanforderungen für das gesamte Gerät oder nur für spezifische Profile (z.B. Arbeitsprofil) gelten. Dies hilft, die Sicherheitsrichtlinien differenziert anzuwenden, je nach den Bedürfnissen der Organisation oder des Nutzers.

Gerät

Die Richtlinie gilt nur für vollständig verwaltete Geräte

Work Profile

Die Richtlinie gilt nur für Arbeitsprofile

Beide

Die Richtlinie gilt sowohl für vollständig verwaltet Geräte, als auch für Geräte mit Arbeitsprofil

Passcode-Qualität

Komplex

Diese Option legt die Anforderungen an den Passcode fest
Hierbei wird in qualitäts- und komplexitätsbasierte Passwortrichtlinien unterschieden
Komplexitätsbasierte Passwortrichtlinien werden ab Android 12 angewandt und können nur in Kombination mit einer qualitätsbasieren Passwortrichtlinie konfiguriert werden
Wird zuerst eine komplexitätsbasierte Passcode-Qualität ausgewählt, wird eine zweite Passwortrichtlinie mit einer qualitätsbasierten Passcode-Qualität Einfach automatisch angelegt.
Hier werden Beispiele für Kombinationen von Passcode-Qualitäten (erlaubte wie nicht erlaubte) für die Geltungsbereiche Geräte und Arbeitsprofile aufgelistet notempty
Das Profil kann nicht abgespeichert werden, bzw. ist ungültig, wenn
→ eine komplexitätsbasierte Passwortrichtlinie keine qualitätsbasierte Passwortrichtlinie hat
→ eine komplexitäts- und qualitätsbasierte Passwortrichtlinie im Geltungsbereich Arbeitsprofil auch eine qualitätsbasierte Passwortrichtlinie im Geltungsbereich Gerät aufweist

Alphabetisch	Das Passwort darf nur aus alphabetischen Zeichen (oder Symbolen) bestehen.
Alphanumerisch	Das Passwort muss sowohl aus Ziffern als auch aus alphabetischen Zeichen (oder Symbolen) bestehen.
Biometrisch	Das Gerät muss mindestens mit einer biometrischen Niedersicherheits-Erkennungstechnologie gesichert sein. Dazu gehören Technologien, die die Identität einer Person erkennen können, die in etwa einer dreistelligen PIN entsprechen (Falscherkennung ist weniger als 1 zu 1.000).
Einfach	Ein Passwort ist erforderlich, aber es gibt keine Einschränkungen, was das Passwort enthalten muss.
Komplex	Das Passwort muss mindestens einen Buchstaben, eine Ziffer und ein spezielles Symbol enthalten. Andere Passwortbeschränkungen, wie z.B. passwordMinimumLetters, werden erzwungen.
Nicht spezifiziert	Es gibt keine Passwortanforderungen.
Numerisch	Das Passwort darf nur aus Ziffern bestehen.
Numerisch (Komplex)	Das Passwort darf nur aus Ziffern bestehen, die keine sich wiederholenden (4444) oder geordneten (1234, 4321, 2468) Sequenzen enthalten.

Geringe Komplexität	Zulässig sind einfache Muster oder PINs mit wiederholten oder geordneten Sequenzen (z.B. 4444, 1234).
Mittlere Komplexität	Erforderlich sind PINs ohne einfache Muster, alphabetische oder alphanumerische Passwörter mit mindestens 4 Zeichen.
Hohe Komplexität	Erforderlich sind sichere PINs (mind. 8 Zeichen), alphabetische oder alphanumerische Passwörter mit mindestens 6 Zeichen.

notempty

Neu ab: 2.9

Gültigkeit

0

Die Dauer in Tagen bis das Passwort geändert werden muss. Diese Einstellung zwingt den Benutzer, das Passwort regelmäßig zu ändern, um die Sicherheit zu erhöhen und das Risiko zu verringern, dass ein kompromittiertes Passwort über einen längeren Zeitraum verwendet wird.

Mindestlänge

0

Ein Wert von 0 bedeutet, dass es keine Einschränkung gibt.
Nur angewendet, wenn Passcode-Qualität Numerisch, Numerisch (Komplex), Alphabetisch, Alphanumerisch, Komplex oder Komplexitätsbasiert ist.

Mindestanzahl an Buchstaben

0

Mindestanzahl der Buchstaben im Passwort
Wird nur erzwungen, wenn die Passwort-Qualität Komplex ist.

Mindestanzahl an Kleinbuchstaben

0

Minimale Anzahl an Kleinbuchstaben im Passwort erforderlich
Wird nur erzwungen, wenn die Passwort-Qualität Komplex ist.

Mindestanzahl an Großbuchstaben

0

Mindestanzahl an Großbuchstaben im Passwort
Wird nur erzwungen, wenn die Passwort-Qualität Komplex ist.

Mindestanzahl an Nichtbuchstaben

0

Minimale Anzahl an Nichtbuchstaben (numerische Ziffern oder Symbole), die im Passwort erforderlich sind.
Wird nur erzwungen, wenn die Passwort-Qualität Komplex ist.

Mindestanzahl an numerischen Zeichen

0

Minimale Anzahl an Ziffern im Passwort
Wird nur erzwungen, wenn die Passwort-Qualität Komplex ist.

Mindestanzahl an Symbolen

0

Minimale Anzahl an Symbolen im Passwort
Wird nur erzwungen, wenn die Passwort-Qualität Komplex ist.

Länge des Passwortverlaufs

0

Die Länge des Kennwortverlaufs. Nach dem Einstellen dieses Felds kann der Benutzer kein neues Kennwort eingeben, das mit dem Kennwort im Verlauf identisch ist. Ein Wert von 0 bedeutet, dass keine Einschränkung vorliegt.

Maximale Anzahl fehlgeschlagener Versuche

10

Anzahl der zulässigen Eingabeversuche, bevor alle Daten auf dem Gerät gelöscht werden. Ein Wert von 0 bedeutet, dass keine Einschränkung vorliegt. Diese Sicherheitsmaßnahme schützt sensible Daten.
notempty

Wird diese Anzahl erreicht, wird das Gerät automatisch auf Werkseinstellungen zurückgesetzt.

Passwort entsperren erforderlich

Die Zeitspanne nach dem Entsperren eines Geräts oder Arbeitsprofils mithilfe einer starken Authentifizierungsform (Kennwort, PIN, Muster), die mit einer anderen Authentifizierungsmethode (z. B. Fingerabdruck, Vertrauensagenten, Gesicht) entsperrt werden kann. Nach Ablauf des angegebenen Zeitraums können nur noch starke Authentifizierungsformen zum Entsperren des Geräts oder des Arbeitsprofils verwendet werden.

Nicht spezifiziert

Nicht spezifiziert. Standardmäßig wird das Geräte-Timeout verwendet.

Geräte-Timeout

Die Zeitüberschreitung ist auf die Standardeinstellung des Geräts eingestellt.

Täglich

Die Zeitüberschreitung beträgt 24 Stunden.

notempty

Neu ab: 2.9

Generell kann fast jede Kombination von qualitätsbasierten mit komplexitätsbasierten Passcode-Qualitäten kombiniert werden (je nach Geltungsbereich), solange für komplexitätsbasierten Passcode auch ein qualitätsbasierter Passcode vorhanden ist.

Jedoch muss unterschieden werden, ob das Android-Gerät voll-verwaltet oder ein Privatgerät mit einem Arbeitsprofil ist.
Die folgende Tabelle zeigt eine Übersicht von Kombinationsbeispielen von Passwortrichtlinien an.

Geltungsbereich Gerät

Geltungsbereich Arbeitsprofil

Beispielkonfiguration Passcode-Qualität

Passcode-Qualität: Komplexität & Qualität

Gerät: Hohe Komplexität & Einfach
Arbeitsprofil: Geringe Komplexität & Komplex

Passcode-Qualität: Komplexität & Qualität

Passcode-Qualität: Qualität

Gerät: Hohe Komplexität & Einfach
Arbeitsprofil: Alphabetisch

Passcode-Qualität: Komplexität & Qualität

Passcode-Qualität: Nicht vorhanden

Gerät: Hohe Komplexität & Einfach

Passcode-Qualität: Qualität

Gerät: Numerisch
Arbeitsprofil: Alphabetisch

Passcode-Qualität: Qualität

Passcode-Qualität: Nicht vorhanden

Gerät: Numerisch

Passcode-Qualität: Nicht vorhanden

Passcode-Qualität: Komplexität & Qualität

Arbeitsprofil: Hohe Komplexität

Passcode-Qualität: Nicht vorhanden

Passcode-Qualität: Qualität

Arbeitsprofil: Alphabetisch

Passcode-Qualität: Nicht vorhanden

Nicht vorhanden

Folgende Kombinationen sind ebenfalls nicht erlaubt

Geltungsbereich Gerät

Geltungsbereich Arbeitsprofil

Mögliche Lösung

Passcode-Qualität: Komplexität

Jeweils eine Passwortrichtlinie mit der Passcode-Qualität Qualitätsbasiert müssen angelegt werden

Passcode-Qualität: Komplexität

Passcode-Qualität: Nicht vorhanden

Eine Passwortrichtlinie mit der Passcode-Qualität Qualitätsbasiert muss angelegt werden

Passcode-Qualität: Nicht vorhanden

Passcode-Qualität: Komplexität

Eine Passwortrichtlinie mit der Passcode-Qualität Qualitätsbasiert muss angelegt werden

Passcode-Qualität: Qualität

Passcode-Qualität: Komplexität & Qualität

Passwortrichtlinien von Arbeitsprofilen dürfen nicht mit ausschließlich qualitätsbasierten Passwortrichtlinien von Geräteprofilen kombiniert werden

Eine Passwortrichtlinie mit der Passcode-Qualität Komplexitätsbasiert für das Geräteprofil muss angelegt werden

Passcode-Qualität: Qualität

Passcode-Qualität: Komplexität

Eine Passwortrichtlinie mit der Passcode-Qualität Komplexitätsbasiert für das Geräteprofil und eine mit der Passcode-Qualität Qualitätsbasiert für das Arbeitsprofil müssen angelegt werden

Beschriftung

Wert

Beschreibung

Anwendungen

Anwendungen hinzufügen

Fügt Apps diesem Profil hinzu notempty

Apps auf EMM-verwalteten Geräten, werden innerhalb der Profile konfiguriert!

Paketname

com.google.android.youtube Anwendung auswählen

Paketname der Anwendung

Installationstyp

Vorinstallation

Die Art wie die Installation durchgeführt wird.

Vorinstallation	Die App wird automatisch installiert, kann aber vom Benutzer entfernt werden.
Installation erzwingen	Die App wird automatisch installiert und kann nicht vom Benutzer gelöscht werden.
Blockieren	Die App wird blockiert und kann nicht installiert werden. Wenn die App über ein altes Profil installiert wurde, wird diese deinstalliert.
Verfügbar	Die App steht zur Installation bereit.
Für die Einrichtung erforderlich	Die App wird automatisch installiert, kann nicht vom Benutzer gelöscht werden und verhindert die Einrichtung des Geräts, bis die App installiert wurde.
Kiosk	Die App wird automatisch im Kiosk-Modus installiert: Sie wird als bevorzugte Home-Intention festgelegt und für den Lock-Task-Modus auf die weiße Liste gesetzt. Die Geräteeinrichtung wird erst nach der Installation der App abgeschlossen. Nach der Installation können Benutzer ausschließlich diese App verwenden. Sie startet automatisch und lässt sich nicht mehr entfernen. Sie können diesen installType nur für eine Anwendung pro Richtlinie festlegen. Wenn dies in der Richtlinie vorhanden ist, wird die Statusleiste automatisch deaktiviert.

Standardberechtigungsrichtlinie

Nachfragen

Die Standardrichtlinie für alle von der App angeforderten Berechtigungen. Wenn angegeben, wird die für alle Apps geltende Standardberechtigungsrichtlinie auf Richtlinienebene außer Kraft gesetzt. Es überschreibt nicht die globale Erlaubnisgewährung, die für alle Apps gilt.

Nicht spezifiziert (Nur Apps mit Anmeldedatenanbieter-Richtlinie)	Richtlinie nicht angegeben. Wenn für eine Berechtigung auf keiner Ebene eine Richtlinie angegeben ist, wird standardmäßig 'Nachfragen' verwendet.
Nachfragen	Fordert den Benutzer auf, eine Berechtigung zu erteilen.
Gewähren	Berechtigung automatisch erteilen
Verweigern	Berechtigung automatisch verweigern

Berechtigungen

Berechtigung hinzufügen

Erteilt explizite Erlaubnis oder Verweigerung für die App. Diese Werte überschreiben die Standardberechtigungsrichtlinie und die globalen Berechtigungsbeschränkungen, die für alle Apps gelten.

Berechtigung

Die Android-Berechtigung oder -Gruppe, zum Beispiel android.permission.READ_CALENDAR oder android.permission_group.CALENDAR.

Nicht spezifiziert (Nur Apps mit Anmeldedatenanbieter-Richtlinie)	Richtlinie nicht angegeben. Wenn für eine Berechtigung auf keiner Ebene eine Richtlinie angegeben ist, wird standardmäßig 'Nachfragen' verwendet.
Nachfragen	Fordern Sie den Benutzer auf, eine Berechtigung zu erteilen.
Gewähren	Berechtigung automatisch erteilen
Verweigern	Berechtigung automatisch verweigern

Richtlinie

Nicht spezifiziert (Nur Apps mit Anmeldedatenanbieter-Richtlinie)

Die Richtlinie zum Erteilen der Berechtigung.

Hier sind ggf. weitere Berechtigungen zu gewähren oder zu verweigern.
Zu beachten: Im Feld »Genehmigung« erscheinen jeweils nur die Berechtigungen, die die jeweilige App fordert und in der Regel auch für einen einwandfreien Betrieb benötigt. Es empfiehlt sich hier unbedingt notwendige Berechtigungen vorab zu gewähren und alle weiteren Berechtigungen nur auf Nachfrage (Prompt) zuzulassen. Die Option »verweigern« sollte nur bei ausgewählten Berechtigungen verwendet werden, bei denen eindeutig ist, daß die gewünschte Funktion der App dadurch nicht beeinträchtigt wird.

Verwaltete Konfiguration

Konfiguration verwalten

Verwaltete Konfiguration, die auf die App angewendet wird.

Das Format für die Konfiguration richtet sich nach den von der App unterstützten ManagedProperty-Werten. Jeder Feldname in der verwalteten Konfiguration muss mit dem Schlüsselfeld der verwalteten Eigenschaft übereinstimmen. Der Feldwert muss mit dem Typ der ManagedProperty kompatibel sein.
notempty

Neu ab: 2.8.7

Die Verwaltete Konfiguration einer App lässt sich direkt manuell konfigurieren:

über Feld hinzufügen ein neues leeres Feld erzeugen
Konfiguration verwalten zuvor betätigen
dort die gewünschten ManagedProperty-Variable eintragen und den benötigten Typ auswählen
mit Speichern die Einstellung abspeichern
Anschließend kann der gewünschte Wert eingetragen werden

notempty

Darüber lassen sich auch Benutzervariablen verwenden.

Verwaltete Konfigurationsvorlage

Konfigurationsvorlage verwalten

Dieses Feld wird ignoriert, wenn die verwaltete Konfiguration festgelegt ist.

Ruft eine Vorlage des App-Herstellers auf, in der - je nach dem was der Hersteller vorgibt - verschiedene Parameter an die App übergeben werden können. Das können z.B. in E-Mail-Apps feste Parameter und Variablen sein:

Beispiel für Gmail-App:
Email Address	$emailaddress$	Variable
Hostname or Host	m.google.com	Fester Parameter Beispiel: Hostname des Mail-Servers für Gmail-Accounts
Username	$emailaddress$	Variable (bei Gmail-Accounts entspricht der Username der E-Mailadresse.) Für andere Accounts /Apps kann hier die Variable $username$ verwendet werden.

notempty

Neu ab: 2.8

notempty

Für eine korrekte Funktion muss im Reiter Allgemein die Schaltfläche Profil ist eine Vorlage aktiviert sein und die Benutzer müssen ausgewählt werden!
Mehr dazu im Wiki-Artikel Android Konfiguration Allgemein

Die Werte werden aus den Benutzereinstellungen desjenigen Benutzers ausgelesen, dem das jeweilige Gerät zugeordnet ist

Variablenname in Profilen	Beschreibung	Beispiel
$username$ alternative Namen: %device_user% %device_user_username%	Benutzername	mmueller
$emailaddress$ alternativer Name: %device_email%	E-Mail Adresse	mmueller@ttt-point.de
$firstname$ alternativer Name: %device_user_firstname%	Vorname	Markus
$lastname$ alternativer Name: %device_user_lastname%	Nachname	Mueller
$name$ alternativer Name: %device_user_name%	Vorname und Nachname	Markus Mueller
$variable1$ alternativer Name: %variable1%	benutzerdefinierter Wert	mmueller/ttt-point.local
$variable2$ alternativer Name: %variable2%	benutzerdefinierter Wert
$variable3$ alternativer Name: %variable3%	benutzerdefinierter Wert
$device_name$ alternativer Name: %device_name%	Nur für iOS: Der auf dem Telefon vergebene Name (siehe: Einstellungen → Allgemein → Info → Name) Diese Variable lässt sich auch in iOS-Profilen im Abschnitt Gemeinsam genutztes Gerät verwenden	Handy von Markus Müller
$device_alias$ alternativer Name: %device_alias%	Nur für iOS: Der im Portal vergebene Alias. Ist der Alias nicht vergeben, wird der device_name angezeigt. Diese Variable lässt sich auch in iOS-Profilen im Abschnitt Gemeinsam genutztes Gerät verwenden	Tablet Lager1
Festlegung der Werte in der Benutzerverwaltung im Portal unter: Allgemein Benutzer bzw. für den Geräte-Alias in der Gerätekachel Um Eingabefehler zu vermeiden sind aus Kompatibilitätsgründen verschiedene Variablennamen möglich. Eine Unterscheidung zwischen Android und iOS ist nicht mehr erforderlich.

Deaktiviert

Ob die App deaktiviert ist. Bei Deaktivierung bleiben die App-Daten weiterhin erhalten.

Minimaler Versionscode

0

Die Mindestversion der App, die auf dem Gerät ausgeführt wird.

Wenn festgelegt, versucht das Gerät, die App mindestens auf diesen Versionscode zu aktualisieren. Wenn die App nicht auf dem neuesten Stand ist, enthält das Gerät ein Nicht-Konformitätsdetail mit dem Nicht-Konformitätsgrund APP_NOT_UPDATED. Die App muss bereits mit einem Versionscode größer oder gleich diesem Wert in Google Play veröffentlicht sein. Maximal 20 Apps können einen Mindestversionscode pro Richtlinie festlegen.

Bereiche delegieren

Die hier ausgewählten Berechtigungen werden vom Device Policy Controller an die App delegiert.

Nicht spezifiziert (Nur Apps mit Anmeldedatenanbieter-Richtlinie)	Kein Delegierungsbereich angegeben.
Zertifikatinstallation	Gewährt Zugriff auf die Installation und Verwaltung von Zertifikaten.
Verwaltete Konfigurationen	Gewährt Zugriff auf die Verwaltung verwalteter Konfigurationen.
Deinstallation blockieren	Gewährt Zugriff auf das Blockieren der Deinstallation.
Erlaubnis erteilen	Gewährt Zugriff auf die Berechtigungsrichtlinie und den Berechtigungsstatus.
Paketzugriff	Gewährt Zugriff auf den Paketzugriffsstatus.
System-Apps aktivieren	Erteilt den Zugriff zum Aktivieren von System-Apps.

Zugängliche Track IDs

Liste der Track-IDs der App, auf die ein Gerät des Unternehmens zugreifen kann. Wenn die Liste mehrere Track-IDs enthält, erhalten Geräte die neueste Version unter allen zugänglichen Tracks. Enthält die Liste keine Track-IDs, haben Geräte nur Zugriff auf den Produktionstrack der App.

Connected Work & Personal App

Nicht spezifiziert (Nur Apps mit Anmeldedatenanbieter-Richtlinie)

Steuert, ob die App mit Zustimmung des Benutzers über die Arbeits- und persönlichen Profile eines Geräts mit sich selbst kommunizieren kann.

Nicht spezifiziert (Nur Apps mit Anmeldedatenanbieter-Richtlinie)	Standardmäßig nicht erlaubt
Nicht erlaubt	Standard. Verhindert eine profilübergreifende Kommunikation der App.
Erlaubt	Ermöglicht der App die profilübergreifende Kommunikation nach Erhalt der Zustimmung des Benutzers.

Anmeldedatenanbieter

Anmeldedatenanbieter-Standardrichtlinie benutzen

Diese App kann (z.B. als Passwort-Manager) genutzt werden

Anmeldedatenanbieter-Standardrichtlinie benutzen	Die Anmeldedatenanbieter-Standardrichtlinie ( siehe unten) bestimmt, ob diese App als Standardanmeldedatenanbieter genutzt werden darf.
Diese App darf als Anmeldedatenanbieter fungieren	Diese App kann unabhängig von den globalen App-Einstellungen als Anmeldedatenanbieter genutzt werden.

Play Store Modus

Zulassungsliste

Nur Apps, die hier in der Richtlinie konfiguriert werden, sind verfügbar. Jede App, die nicht in dieser Richtlinie enthalten ist, wird automatisch vom Gerät deinstalliert.
Blocklist bedeutet: Alle Apps im Play Store sind verfügbar, bis auf solche, die hier mit Installationstyp Blockieren konfiguriert werden!

Automatische App-Updates

Immer

Die auf einem Gerät erzwungene Richtlinie zur automatischen Aktualisierung von Apps in Abhängigkeit der Netzwerkverbindung: Auch bei Geräten, die selten oder nie in ein WLAN zurückkehren, sollen die Apps aktualisiert werden. Das Datenvolumen wirkt sich bei üblichen Volumentarifen in der Regel kaum aus.

Nicht spezifiziert (Nur Apps mit Anmeldedatenanbieter-Richtlinie)	Die Auto-Update-Richtlinie ist nicht festgelegt. Entspricht der Benutzerauswahl.
Benutzerauswahl	Der Benutzer kann die automatischen Updates steuern.
Niemals	Apps werden niemals automatisch aktualisiert
Nur über WLAN	Apps werden nur über WLAN automatisch aktualisiert.
Immer	Apps werden jederzeit automatisch aktualisiert. Datengebühren können anfallen.

Installation von Apps deaktivieren

notempty

Bei Aktivierung sind keinerlei Installationen oder Updates möglich. Auch nicht über das Portal!

Deinstallation von Apps deaktivieren

Es sollen keine Apps durch den Benutzer deinstalliert werden können.

Globale Standardberechtigungsrichtlinie

Nicht spezifiziert (Eingabeaufforderung)

Die Standardberechtigungsrichtlinie für Laufzeitberechtigungsanforderungen.

Nicht spezifiziert (Eingabeaufforderung)	Richtlinie nicht angegeben. Wenn für eine Berechtigung auf keiner Ebene eine Richtlinie angegeben ist, wird standardmäßig 'Nachfragen' verwendet.
Nachfragen	Fordern Sie den Benutzer auf, eine Berechtigung zu erteilen.
Gewähren	Berechtigung automatisch erteilen
Verweigern	Berichtigung automatisch verweigern

Globale Erlaubnisgewährung

Berechtigung hinzufügen

Explizite Erlaubnis oder Gruppengewährung oder -verweigerung für alle Apps. Diese Werte überschreiben die Standardberechtigungsrichtlinie.

Berechtigung

Die Android-Berechtigung oder -Gruppe, zum Beispiel android.permission.READ_CALENDAR oder android.permission_group.CALENDAR.

Richtlinie

Nicht spezifiziert (Nur Apps mit Anmeldedatenanbieter-Richtlinie)

Die Richtlinie zum Erteilen der Berechtigung.

Nicht spezifiziert (Nur Apps mit Anmeldedatenanbieter-Richtlinie)	Richtlinie nicht angegeben. Wenn für eine Berechtigung auf keiner Ebene eine Richtlinie angegeben ist, wird standardmäßig 'Nachfragen' verwendet.
Nachfragen	Fordern Sie den Benutzer auf, eine Berechtigung zu erteilen.
Gewähren	Berechtigung automatisch erteilen
Verweigern	Berechtigung automatisch verweigern

Anmeldedatenanbieter-Standardrichtlinie

Nicht spezifiziert (Nur Apps mit Anmeldedatenanbieter-Richtlinie)

Diese Funktion steuert, ob eine App auf Android 14 und höher als Anmeldedatenanbieter für die Verwaltung von Anmeldedaten fungieren darf. Sie ist sinnvoll für Apps, die Authentifizierungs- oder Anmeldedaten verwalten, wie z.B. Passwortmanager oder Apps zur Multi-Faktor-Authentifizierung.

Nicht spezifiziert (Nur Apps mit Anmeldedatenanbieter-Richtlinie)	Nicht spezifiziert. Nur Apps, die eine Anmeldedatenanbieter-Richtlinie angegeben haben.
Nur Apps mit Anmeldedatenanbieter-Richtlinie	Nur Apps, die eine Anmeldedatenanbieter-Richtlinie angegeben haben.
Nur Apps mit Anmeldedatenanbieter-Richtlinie oder OEM-Standardanmeldedatenanbieter	Nur Apps, die eine Anmeldedatenanbieter-Richtlinie angegeben haben, oder OEM-Standardanmeldedatenanbieter-Apps.

Option	Wert	Beschreibung
Anmeldedatenanbieter	Anmeldedatenanbieter	Diese App kann (z.B. als Passwort-Manager) genutzt werden
Anmeldedatenanbieter	Anmeldedatenanbieter-Standardrichtlinie benutzen	Auswahlmöglichkeit s.u.

Anmeldedatenanbieter-Standardrichtlinie Nur wenn App nicht selbst als Anbieter fungiert!	Nicht spezifiziert (Nur Apps mit Anmeldedatenanbieter-Richtlinie)	Die App kann nicht verwendet werden
	Nur Apps mit Anmeldedatenanbieter-Richtlinie	Die App kann nicht verwendet werden
	Nur Apps mit Anmeldedatenanbieter-Richtlinie oder OEM-Standardanmeldedatenanbieter	Sowohl die ausgewählte App als auch von Google als Anmeldedatenanbieter klassifizierte Apps können genutzt werden

Netzwerke Netzwerke

Beschriftung	Wert	Beschreibung	Netzwerke
VPN immer aktiv
Aktiviere "Always-On-VPN"		Aktiviert die "Always-On-VPN"-Konfiguration, was bedeutet, dass das VPN dauerhaft aktiv und verbunden bleibt, um eine kontinuierliche und sichere Netzwerkverbindung zu gewährleisten Diese Option ist besonders nützlich, um sicherzustellen, dass alle Datenübertragungen über eine verschlüsselte Verbindung erfolgen und keine ungeschützten Verbindungen zugelassen werden Vernachlässigbar für Mobile Security, da diese Option von der App implizit gesetzt wird
Paketname	de.securepoint.ms.agent	Der Paketname der VPN-App.
Sperre aktiviert		Diese Option unterbindet alle Netzwerkverbindungen, wenn das VPN nicht verbunden ist Dies stellt sicher, dass keine Daten übertragen werden können, wenn das VPN aus irgendeinem Grund ausfällt oder getrennt wird, wodurch die Sicherheit der Daten gewährleistet bleibt
Empfohlener globaler Proxy
Aktivieren Sie den globalen Proxy		Ermöglicht die Festlegung eines globalen Proxys, der für alle Netzwerkverbindungen auf dem Gerät verwendet wird Nach der Aktivierung dieser Option können Details des globalen Proxys konfiguriert werden, um den gesamten Datenverkehr durch einen festgelegten Proxy-Server zu leiten, was zusätzliche Sicherheit und Kontrolle über die Netzwerkverbindungen bietet
Host	Hostname	Der Hostname oder die IP-Adresse des direkten Proxys, der für die Weiterleitung des Netzwerkverkehrs verwendet wird Diese Einstellung definiert, wohin die Verbindungen weitergeleitet werden sollen, bevor sie das Ziel erreichen
Port	Port Nummer	Der Netzwerkport des direkten Proxys, der zusammen mit dem Host verwendet wird, um den Datenverkehr zu leiten
Ausgeschlossener Host	Hostnamen	Bei Verwendung eines direkten Proxys können bestimmte Hosts angegeben werden, für die der Proxy umgangen wird Diese Hosts, oft als Platzhalter wie *.example.com definiert, werden direkt kontaktiert, ohne durch den Proxy zu gehen Dies kann für lokale oder vertrauenswürdige Domänen nützlich sein, bei denen der Proxy nicht erforderlich ist
PAC URI	URI	Der URI (Uniform Resource Identifier) des PAC (Proxy Auto-Configuration)-Skripts, das zur Konfiguration des Proxys verwendet wird Ein PAC-Skript ist eine Datei, die regelt, wie Webbrowser und andere User-Agents einen geeigneten Proxy für die Verbindung zu einer bestimmten URL auswählen Der PAC URI gibt den Speicherort dieses Skripts an, das vom Gerät abgerufen und verwendet wird, um die Proxy-Einstellungen dynamisch anzuwenden
Netzwerkkonfiguration
Netzwerkkonfigurationen	Konfiguration hinzufügen	Zugangsprofile für WiFi-Netzwerke konfigurieren
Name	ttt-point Zentrale	Der Name der Konfiguration gibt der spezifischen Netzwerkkonfiguration einen eindeutigen und aussagekräftigen Bezeichner
Typ	WiFi	Der Konfigurationstyp ist vorgegeben
Wifi
SSID	ttt-point-zentrale-WLAN	Die SSID (Service Set Identifier) des Netzwerks ist der eindeutige Name, der einem WLAN-Netzwerk zugewiesen ist Dieser Name wird bei der Suche nach verfügbaren Netzwerken angezeigt und ermöglicht es Geräten, das gewünschte Netzwerk zur Verbindung auszuwählen
Sicherheit	WPA-EAP	Diese Option ermöglicht die Auswahl der Sicherheitsstufe für das Netzwerk Zu den gängigen Sicherheitsstufen gehören WEP, WPA, WPA2 und WPA3 Die Sicherheitsstufe bestimmt, wie die Datenübertragungen im Netzwerk verschlüsselt und geschützt werden, um unbefugten Zugriff zu verhindern Auswahlmöglichkeiten: Keine, WEP-PSK, WPA-PSK, WPA-EAP notempty Neu ab: 2.11 , WEP-8021X notempty Neu ab: 2.11
Passwort Nur bei WEP-PSK und WPA-PSK	••••••••••	Passwort für die Authentifizierung beim inneren Protokoll Auch wenn es trivial klingt: WLAN.MeineFirma.123 oder Standort.Hausnummer sind keine sicheren Kennwörter! Ebenfalls zählen 1234 und abcd oder qwertz nicht zu wirklich sicheren Kennwörtern!
EAP notempty Neu ab: 2.11 Nur bei WPA-EAP und WEP-8021X
Äußeres Protokoll	EAP-TLS	Das äußere Protokoll für EAP Auswahlmöglichkeiten: EAP-TLS, EAP-TTLS, EAP-SIM, EAP-AKA, PEAP
Inneres Protokoll Nur bei EAP-TTLS und PEAP	MSCHAPv2	Das innere Protokoll für EAP Auswahlmöglichkeiten: MSCHAPv2, PAP
Identität	Identität	Identität für die Authentifizierung beim inneren Protokoll
Passwort Nur bei EAP-TTLS und PEAP	Passwort	Passwort für die Authentifizierung beim inneren Protokoll
Anonyme Identität	Anonyme Identität	Identität für die Authentifizierung beim äußeren Protokoll
Valide Server-Domains	Valide Server-Domains	Eine Liste an Domains, welche zur Validierung des Authentifizierungs-Servers dient
Client-Zertifikat Nur bei EAP-TLS		Das Client-Zertifikat
Valide CAs	Liste an CAs	Eine Liste an CAs, welche vom Client zur Validierung des Server-Zertifikats verwendet werden

Versteckte SSID		Legt fest, ob die SSID des Netzwerks versteckt ist Wenn diese Option aktiviert ist, wird die SSID nicht in der Liste der verfügbaren Netzwerke angezeigt und Geräte müssen die SSID manuell eingeben, um eine Verbindung herzustellen Dies kann die Netzwerksicherheit erhöhen, indem es das Auffinden des Netzwerks durch unbefugte Benutzer erschwert
Automatisch verbinden		Das Gerät soll sich automatisch mit dem Netzwerk verbinden

Statusmeldung Statusmeldung

Beschriftung	Wert	Beschreibung	Statusmeldung
Aktivieren Sie die Statusmeldung		Bei Aktivierung aktiviert diese Einstellung die Übermittlung von Statusmeldungen, die verschiedene Aspekte und Metriken des Geräts oder der Anwendung betreffen Es können dann die spezifischen Konfigurationen für die Art der zu sendenden Statusberichte festgelegt werden Achtung: Bei Aktivierung von Mobile Security wird diese Option automatisch aktiviert und kann nicht deaktiviert werden
Hardwarestatus		Bei Aktivierung werden Meldungen über den aktuellen Zustand und die Leistung der Hardware des Geräts aktiviert Typische Informationen umfassen CPU-Auslastung, Temperatur, Batteriestatus und andere hardwarebezogene Metriken
Anwendungsberichte		Bei Aktivierung werden Berichte über installierte Anwendungen auf dem Gerät gesendet Dies umfasst Informationen wie Namen von Apps und deren Versionen
Softwareinformationen		Bei Aktivierung werden Berichte über die installierte Software und deren Konfigurationen auf dem Gerät gesendet Dazu gehören Versionen von Betriebssystemen, installierten Updates und anderen relevanten Softwaredetails
Arbeitsspeicherinformationen		Bei Aktivierung werden Berichte über die Nutzung und Auslastung des Arbeitsspeichers auf dem Gerät gesendet Diese Informationen sind wichtig für die Überwachung der Geräteleistung und die Optimierung der Ressourcennutzung
Anzeigeinformationen		Bei Aktivierung werden Berichte über die Anzeige- und Bildschirmeinstellungen des Geräts gesendet Dazu gehören Auflösung, Helligkeitseinstellungen und andere relevante Anzeigeinformationen
Netzwerkinformation		Bei Aktivierung werden Berichte über Netzwerkaktivitäten und Verbindungen des Geräts gesendet Dies kann Informationen über verwendete Netzwerke, APN Einstellungen und Hardwareadressen umfassen
Geräteeinstellungen		Bei Aktivierung werden Berichte über die Konfigurationen und Einstellungen des Geräts gesendet Dazu gehören Informationen über WLAN-, Bluetooth-, und andere Geräteeinstellungen, die zur Konfiguration und Verwendung des Geräts relevant sind
Energieverwaltungsereignisse		Bei Aktivierung werden Berichte über Ereignisse und Aktivitäten im Zusammenhang mit der Energieverwaltung des Geräts gesendet Dies umfasst Informationen über Batterienutzung, Energiesparmodi und andere relevante Energieverwaltungsaspekte

Es können Regeln definiert werden, wann das Telefon bzw das Arbeitsprofil gesperrt und wann es gelöscht (in Werkszustand zurückgesetzt) wird. Der Anwender wird aufgefordert, die ausgewählte Richtlinie auf dem Gerät zu aktivierten. Andernfalls wird das Gerät / Arbeitsprofil geblockt bzw. auf die Werkseinstellungen zurückgesetzt / gelöscht.

Beschriftung

Wert

Beschreibung

Compliance

Regeln zum Erzwingen des Profils

Regel hinzufügen

Eine Regel, die die auszuführenden Aktionen definiert, wenn ein Gerät oder ein Arbeitsprofil nicht der in "Einstellungsname" angegebenen Richtlinie entspricht

Einstellungsname

Passwortrichtlinien

Die Kennwortrichtlinien müssen auf dem Telefon angewendet werden.

Blockieren

Blockieren nach x Tagen

1

Anzahl der Tage, an denen die Richtlinie nicht konform ist, bevor das Gerät oder das Arbeitsprofil blockiert wird. Um den Zugriff sofort zu blockieren, wird der Wert auf 0 gesetzt.

Blockumfang

Nicht spezifiziert

Gibt den Umfang der Blockierungsaktion an. Gilt nur für Geräte, die im Besitz des Unternehmens sind.

Nicht spezifiziert	Nicht angegeben. Standardmäßig Arbeitsprofil.
Arbeitsprofil	Die Blockierungsaktion wird nur auf Apps im Arbeitsprofil angewendet. Apps im persönlichen Profil sind nicht betroffen.
Gerät	Die Blockierungsaktion wird auf das gesamte Gerät angewendet, einschließlich der Apps im persönlichen Profil.

Löschen

Werkeinstellungs-Reset-Schutz erhalten

Wenn aktiviert , wird der Werkeinstellungs-Reset-Schutz im Profil erhalten
Bei Diebstahl oder Verlust muss man sich erst in das Google-Konto einloggen, bevor sich das Gerät auf Werkseinstellungen zurücksetzen lässt. Diese Einstellung funktioniert nicht mit Arbeitsprofilen

Löschen nach x Tagen

7

Anzahl der Tage, bevor das Gerät oder das Arbeitsprofil gelöscht wird, wenn die Richtlinie (hier: Passwortrichtlinien) auf dem Gerät nicht umgesetzt wurde
Löschen muss größer als sein als Blockieren

notempty

Der Reiter Sicherheit ist nur bei Vorliegen einer Mobile Security-Lizenz verfügbar.
EMM-Lizenzen verfügen über keine VPN-Funktionalität, die diese Sicherheitsfunktionen ermöglicht.

Beschriftung

Wert

Beschreibung

Sicherheit / VPN

Erlaube das Unterbrechen von Always-On-VPN

Bei Aktivierung erlaubt es dem Benutzer das VPN vorübergehend zu deaktivieren
Wenn der Benutzer es nicht selbst wieder aktiviert, geschieht dies um die vom Benutzer gewählte Uhrzeit

Andere VPN Profile erlauben

Bei Aktivierung wird das Hinzufügen von anderen VPN Profilen, zusätzlich zu dem Security-Profil, erlaubt

Authentifizierung nach App-Start erforderlich

Voraussetzung für dieses Feature: App-Version 3.1

Wenn aktiviert , ist eine Authentifizierung (PIN oder biometrisch) beim App-Start erforderlich
Der User muss eine Authentifizierung (PIN oder biometrisch) für den Start der App festlegen

Aktivieren Sie Securepoint Mobile Security

Bei Aktivierung wird die Securepoint Mobile Security-App im Reiter Anwendungen hinzu gefügt und kann hier konfiguriert werden
Bei Deaktivierung wird die App entfernt
Dies ist erforderlich, um die Sicherheitseinstellungen zu konfigurieren
notempty
Neu ab: 2.3.13
notempty
Auf Android-Geräten kann Mobile Security nicht gleichzeitig mit Cloud Shield aktiviert werden, da nur ein VPN-Dienst gleichzeitig aktiv sein kann.

Protokoll

TCP

Das Protokoll TCP oder UDP, das für den VPN Tunnel verwendet wird

Portfilter-Typ

Offen

Netzwerkverkehr filtern aufgrund von Netzwerkports:
Geschlossen Offen Auswahl

Portfilter-Regelauswahl
Wird eingeblendet, wenn bei Portfilter-Typ Auswahl ausgewählt wird

Kommunikation VPN

Festlegen, welche Port-Collections für den Netzwerkverkehr geöffnet sind

Port-Collection	Port	Protokoll	Anwendung
Administrative Tools	21	TCP	ftp
	3389	TCP	ms-rdp
	23	TCP	telnet
	5900	TCP	vnc
	22	TCP	ssh
	5938	TCP/UDP	teamviewer
Communication	3478-3481	UDP	Skype
	49152-65535	UDP
	49152-65535	TCP
	5222	TCP	Google Push-Notifications
	5223	UDP
	5228	TCP
VOIP	5060	UDP	SIP/RTP
VOIP	7070-7089	UDP	SIP/RTP
VPN	1194	TCP	OpenVPN
	1194	UDP	OpenVPN
	500	UDP	IPSec
	4500	UDP & ESP	IPSec
	1701	UDP	L2TP
Mail	25	TCP	smtp
	587	TCP	smtp
	465	TCP	smtps
	110	TCP	pop3
	995	TCP	pop3
	143	TCP	imap
	993	TCP	imap

SSL-Interception

Standard

SSL-Datenverkehr von Webseiten, die in der Content-Filter-Allowlist aufgeführt sind, werden nicht abgefangen, andere Seiten werden mittels SSL-Interception überprüft.

Content-Filter Allowlist

Updates und wichtige Dienste

Klick-Box: Webseiten, die auf einer Allowlist eingetragen werden sollen. Mögliche Einträge: Contentfilter

Content-Filter Blocklist

HackingProxyThreat Intelligence Feed

Klick-Box: Webseiten, die auf einer Blocklist eingetragen werden sollen.

Lokales WLAN vom VPN ausnehmen

Wenn aktiviert , wird eine Route hinzugefügt, die den lokalen WLAN-IP-Bereich vom Tunnel ausschließt

VPN für SSIDs deaktivieren

SSIDs hinzufügen

Eingabe von WLAN-SSIDs, für die die Sicherheitsfunktionen deaktiviert werden sollen.

IP-Adressen von VPN ausschließen

IPs hinzufügen

IP-Adressen oder Netzwerke eingeben, für die die Sicherheitsfunktionen umgangen werden sollen, d.h. der einzelne Host 222.222.222.222/32 oder das gesamte Subnetz 123.123.123.0/24. Verwenden Sie die Cursortasten, um innerhalb der Maske zu navigieren

Apps von VPN ausschließen

Paketnamen hinzufügen

Die Paketnamen der Apps eintragen, die den VPN-Dienst umgehen sollen

Zeigt eine Auflistung sämtlicher Roadwarrior-Verbindungen an, die mit diesem Profil verbunden sind.
Über können neue Verbindungen erstellt werden.
Weitere Informationen sind im folgendem Wiki-Artikel zu finden.

Roadwarrior:

Aliasname der Roadwarrior-Verbindung, das Transfernetz, die Core-UTM und die benutzten IPs
Per Klick auf den Aliasnamen erfolgt eine Weiterleitung auf die entsprechende VPN-Konfiguration

Autostart:

Bei Aktivierung wird diese Verbindung sofort gestartet, wenn sie als aktive Verbindung ausgewählt wird
Bei einem Verbindungsabbruch wird sie automatisch neu gestartet
Diese Einstellung kann auf dem Gerät vom Benutzer selbst anschließend verändert werden
notempty
Auf Android-Geräten kann Mobile Security nicht gleichzeitig mit Cloud Shield aktiviert werden, da nur ein VPN-Dienst gleichzeitig aktiv sein kann.

Beschriftung	Wert	Beschreibung	Einstellungen Cloud Shield
Cloud Shield aktivieren		Nach dem Aktivieren kann ein Cloud Shield-Profil ausgewählt werden und die Cloud Shield-App für Android wird automatisch installiert Im Reiter Anwendungen wird die App Securepoint Cloud Shield automatisch hinzugefügt Falls Cloud Shield aktiv ist, kann Securepoint Mobile Security bei Sicherheit / VPN (Link zum Wiki-Artikel) solange nicht aktiviert werden Falls Securepoint Mobile Security bei Sicherheit / VPN aktiviert wird, wird automatisch Cloud Shield deaktiviert und lässt sich solange nicht aktivieren Bei Profilen, welche vor Version 2.3 angelegt wurden sind und bei denen Securepoint Mobile Security und Cloud Shield aktiv sind, werden diese Schaltflächen als inaktiv dargestellt Kann gelöst werden, wenn unter Anwendungen eine der beiden Apps entfernt wird notempty Cloud Shield nutzt technisch den VPN-Service von Android. Auf Android-Geräten kann ausschließlich ein (1) VPN-Dienst (Mobile Security oder Cloud Shield) gleichzeitig aktiv sein.
Profil	Profil auswählen	Das Cloud Shield-Profil, das für die Cloud Shield-Konfiguration verwendet werden soll. Das Profil muss vorab im Menüpunkt Cloud Shield Profile , siehe folgenden Wiki-Artikel, angelegt werden.
CA für Blockseite installieren		Bei Aktivierung wird das CA-Zertifikat für die Blockseite auf dem Gerät installiert, so dass keine Zertifikatswarnungen mehr angezeigt werden, falls eine Seite blockiert wird. Im Reiter Anwendungen wird in der Anwendung Securepoint Cloud Shield in der Option Bereiche deligieren automatisch der Wert Zertifikatinstallation gesetzt

@@ Zeile 6: / Zeile 6: @@
 		| Konfiguration Android-Profil
 		| Configuration Android profile }}
 {{var	| head
 		| Verwalten von Android Profilen im Mobile Security Portal
 		| Manage Android profiles in the Mobile Security Portal }}
 {{var	| Konfiguration Android-Profil
 		| Konfiguration Android-Profil
 		| Android profile configuration }}
+{{var	| neu--Android Profil löschen verhindert
+		| Android Profile, die mind. ein zugewiesenes Gerät haben, können nicht gelöscht werden
+		|  }}
+{{var	| neu--Android Profil Neugruppierung
+		| [[#Konfiguration_Android-Profil|Die Attribute der Android Profilreitern wurden teilweise umbenannt, neu sortiert und deren Beschreibung angepasst]]
+		|  }}
 </div>{{Select_lang}}{{TOC2|limit=2}}
-{{Header|1.28|new=true
+{{Header|2.5|
+* {{#var:neu--Android Profil Neugruppierung}}
+* {{#var:neu--Android Profil löschen verhindert}}
 |Menu={{Menu|ms|android|p}}
 }}
@@ Zeile 55: / Zeile 62: @@
 {{:MS/deployment/profile/android/sicherheit}}
 {{:MS/deployment/profile/android/sicherheit.lang}}
+----
+{{:MS/deployment/profile/android/CloudShield}}
+{{:MS/deployment/profile/android/CloudShield.lang}}
 ----
 {{:MS/deployment/profile/android/lokalisieren}}
 {{:MS/deployment/profile/android/lokalisieren.lang}}

Lokalisieren
Lokalisieren

Beschriftung

Beschreibung

Lokalisieren

Aktiviere Lokalisierungsfunktion

Fügt Funktionen zum Auffinden der Geräte hinzu, die dieser Richtlinie zugewiesen sind. Diese Funktionalität ist nur auf voll verwaltete Geräte beschränkt.