Wechseln zu:Navigation, Suche
Wiki
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
Zeile 4: Zeile 4:
{{:MS/enrollment/Android.lang}}
{{:MS/enrollment/Android.lang}}


</div>{{DISPLAYTITLE:{{#var:display}} }}{{TOC limit|2}}
</div>{{Select_lang}}{{DISPLAYTITLE:{{#var:display}} }}{{TOC limit|2}}
{{Header|03.2022|
{{Header|03.2022|
* {{#var:neu--Zero Touch}}
* {{#var:neu--Zero Touch}}

Version vom 27. Oktober 2022, 09:15 Uhr





























De.png
En.png
Fr.png








Unterschiedliche Betriebsarten im Securepoint Mobile Device Management
Letzte Anpassung: 03.2022
Neu:
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
-


Betriebsarten im MDM


Ist mein Gerät kompatibel?

































Kompatibilitäten iOS

Kompatibilitäten iOS

Die Kompatibilität zwischen iOS und Securepoint Mobile Security wird stets auf aktuellen Geräten getestet.

notempty
Das Gerät darf nicht gerootet sein!


iOS / iPadOS Version Mobile Security Bemerkung
bis 15.5 Technisch nicht kompatibel
15.5 bis 16 () Version 15.5 ist die technisch niedrigste unterstützte Version
Technisch kompatibel, es werden vom Betriebssystem her aber nicht alle Funktionen unterstützt.
17 bis 18 Technisch kompatibel
  • Zur Nutzung aller Funktionen wird die jeweils aktuelle Version benötigt.

  • Kompatibilitäten Android

    Kompatibilitäten Android

    Kompatibilität der Android-Versionen mit Securepoint Mobile Security:

    notempty
    Das Gerät darf nicht gerootet sein!


    Android Version Mobile Security Bemerkung
    bis einschließlich 6 Technisch nicht kompatibel
    7 bis 13 () Version 7 ist die technisch niedrigste unterstützte Version
    Technisch kompatibel, es werden vom Betriebssystem her aber nicht alle Funktionen unterstützt.
    14 Es werden alle Geräte ab Android 7.0 mit Zugriff auf die Google Play Api unterstützt
    Das schließt z.B. neuere Geräte von Huawei, die keinen Zugriff auf Google Play haben, aus!

    Mobile Security und MDM ist kompatibel zu den von Google empfohlenen Geräten. Die aktuelle Liste der kompatiblen Geräte findet sich unter https://androidenterprisepartners.withgoogle.com/devices/#
  • Aufgrund der Vielzahl verschiedener Hersteller und Betriebssystemversionen können wir keine 100%ige Kompatibilität garantieren. Geräte, die nicht ausdrücklich von Google empfohlen werden können funktionieren. Bei Problemen mit nicht gelisteten Geräten können wir keine Lösung garantieren.


  • Entscheidungspfad für die richtige Betriebsart

    Privates Gerät mit beruflicher Nutzung:

    • Jede Mitarbeiterin und jeder Mitarbeiter verwendet sein privates Gerät
    • Apps und Daten für Arbeitszwecke werden in einem Arbeits-Container gespeichert






























    Ablauf

    Hier werden die erforderlichen Schritte beschrieben, um Android Geräte verbinden zu können:

    Voraussetzungen:

    1. Das Securepoint Mobile Device Management (MDM) muss mit einem Google-Konto als Android Enterprise Konto verknüpft sein
    2. Im Securepoint Unified Security Portal konfiguriertes Android Enterprise Profil

    Enrollment:

    1. Registrierungs-Token für ein Profil erstellen
    2. Gerät registrieren


    Vorbereitung

    Es muss eine Verbindung vom Securepoint Mobile Security Portal zu einem Android Enterprise Konto bestehen.






























    BYOD: Verknüpfung Google Enterprise mit Securepoint Mobile Security

    MS 1.27 Einstellungen Android verknüpft.png
    Einstellungen für Apple und Android
    Um Google Enterprise für Unternehmen nutzen und über Securepoint Mobile Security administrieren zu können, muss eine Verknüpfung zwischen dem Konto bei Securepoint Mobile Security und einem Google-Konto für EMM hergestellt werden.
    notempty
    Wichtig ist hierbei, dass es nur noch ein Google-Enterprise-Konto für alle Geräte eines Tenants (Kunde mit eigenem Mobile-Security-Konto) gibt. Ohne EMM hat jedes Gerät ein eigenes Google-Konto.

    notempty
    Ein Google-Konto darf jeweils mit nur einem Tenant verknüpft werden!
    Andernfalls erscheinen alle Geräte, die einem Tenant – und damit einem Google-Konto – zugeordneten wurden in allen weiteren Tenants, die mit dem gleichen Google-Konto verknüpft sind!
    Verknüpfung im Menü
    Verknüpfung im Menü

     Mobile Security Einstellungen  Android Enterprise Hinzufügen/Verknüpfen
    Ein Google-Konto wird durch die Verknüpfung mit Securepoint Mobile Security als EMM-Anbieter zu einem Enterprise Konto
    Die Kommunikation des Securepoint Mobile Security Portals läuft hierbei komplett über dieses Google-Konto.

    notempty
    Um ungewollte Nebeneffekte zu vermeiden, sollte unbedingt ein neues Konto angelegt werden.

    Es empfiehlt sich hierbei ein Namensschema zu verwenden: mdm.$Kundenname@gmail.com


    Step-by-step.png


    Menü  Mobile Security Einstellungen  Android Enterprise Hinzufügen/Verknüpfen

    MS v1.4.7 Google-Enterprise-hinzufügen.png
    Enterprise Benutzerkonto hinzufügen
    GoogleAdmin Konto erstellen.png
    E-Mail-Adresse, für die Verknüpfung mit Android Enterprise
    • Es können E-Mail-Adressen mit einer Domain der eigenen Organisation verwendet werden (z.b. mdm@anyideas.de)
    • Es können E-Mail-Adressen von Mail-Anbietern verwendet werden (z.B. mdm.anyideas@gmail.com)
    GoogleAdmin Konto Adresse bestätigen.png
    Wird eine E-Mail-Adresse mit einer Domain der eigenen Organisation verwendet werden (z.b. mdm@anyideas.de) muss diese bestätigt werden
    GoogleAdmin Konto private Adresse.png
    Wird eine E-Mail-Adresse mit einer Domain eines Mail-Anbieters verwendet (z.b. mdm.anyideas@gmail.com) muss die Option Nur für Android registrieren gewählt werden.
    Android fuer Arbeit nutzen.png
    MS v1.4.7 Google-Enterprise-hinzufügen Schritt2.png
    Name des Unternehmens.
    Die Verknüpfung mit Securepoint Mobile Security ist bereits vorgegeben.
    MS v1.4.7 Google-Enterprise-hinzufügen Kontaktdaten.png
    Es sind Angaben zum/r Datenschutzbeauftragten und EU-Bevollmächtigten erforderlich
    MS v1.4.7 Google-Enterprise-hinzufügen abschliessen.png
    Die Registrierung bei Google kann damit abgeschlossen werden.
    MS 1.27 Google Enterprise E-Mail-Adresse.png
    Es erfolgt eine Weiterleitung zurück zum Securepoint Mobile Security Portal.
    Die E-Mail-Adresse, mit der die Verknüpfung erstellt wurde sollte nun gespeichert werden um eine spätere Zuordnung zu ermöglichen.
    Die Einrichtung muss mit  Speichern abgeschlossen werden.
    MS 1.27 Einstellungen Android verknüpft.png
    Die Verknüpfung ist jetzt hergestellt.
    MS v1.4.7 Google-Enterprise-hinzufügen nicht registriert.png
    Sollte diese Meldung beim Aufruf von https://play.google.com/work erscheinen, ist die Registrierung im Securepoint Mobile Security Portal noch nicht abgeschlossen worden und kein Token verknüpft!











    Es muss ein Android-Profil geben, daß dem Gerät zugeordnet werden kann.

    BYOD: Android Profil

    Unter  Mobile Security Android  Profile lässt sich ein  Profil hinzufügen, ein  Profil importieren oder ein bestehendes Profil bearbeiten (Klick auf Profilkachel oder  Bearbeiten )
    Hier wiederum werden verschiedene Konfiguration vorgenommen, z.B.:

    • Apps installieren und konfigurieren
    • Passwort-Richtlinien
    • Sicherheitseinstellungen
  • Best Practice: Beschreibung der wichtigsten Konfigurationsmöglichkeiten

  • notempty
    Zusätzlich zur Konfiguration der Grundeinstellungen, Einschränkungen, Netzwerke etc. sind folgende Einstellungen im Profil erforderlich:
    Anwendungen
    Anwendungen

    Installationstyp Kiosk muss im Reiter Anwendungen für eine einzige App hinzugefügt werden

    Beschriftung Wert Beschreibung MSP v1.6.6 Android Profile Anwendungen Kiosk.png
    Anwendung mit Installationstyp Kiosk
     Anwendung hinzufügen
    Paketname de.ausgewählte.App Paket aus Dropdownmenü auswählen oder mit  Anwendung auswählen hinzufügen
    Installationstyp Kiosk
    • Die App wird automatisch im Kioskmodus installiert: Sie ist als bevorzugte Ausgangsart festgelegt und für den Sperren-Task-Modus auf die Allowlist gesetzt.
    • Das Geräte-Setup wird erst abgeschlossen, wenn die App installiert ist
    • Nach der Installation können Benutzer die App nicht mehr entfernen
    • Sie können diesen installationstyp nur für eine App pro Profil festlegen
    • Wenn dies in dem Profil vorhanden ist, wird die Statusleiste automatisch deaktiviert.
    Einschränkungen
    Einschränkungen

    Einstellungen im Reiter Einschränkungen für den Kioskmodus

    Aktivieren Sie den benutzerdefinierten Kiosk-Starter Blendet alle Systemanwendungen im Homescreen aus und zeigt nur die Apps an, die über das Profil installiert wurden.
    Es wird empfohlen, zusätzlich die Statusleiste zu deaktivieren, um den Zugriff auf Geräteeinstellungen zu blockieren.
    Power-Button-Aktionen Nicht spezifiziert Legt das Verhalten eines Geräts im Kioskmodus fest, wenn ein Benutzer die Ein- / Aus-Taste drückt und gedrückt hält.
    Standardmäßig verfügbar
    Verfügbar Das Ein- / Ausschaltmenü (z. B. Ausschalten, Neustart) wird angezeigt, wenn ein Benutzer im Kioskmodus die Ein- / Aus-Taste eines Geräts lange drückt
    Blockiert Das Ein / Aus-Menü (z. B. Ausschalten, Neustart) wird nicht angezeigt, wenn ein Benutzer im Kioskmodus lange auf die Ein- / Aus-Taste eines Geräts drückt
  • Dies kann Benutzer daran hindern, das Gerät auszuschalten
  • Systemfehlerwarnungen Nicht spezifiziert Gibt an, ob Systemfehlerdialoge für abgestürzte oder nicht reagierende Apps im Kioskmodus blockiert werden.
    Standardmäßig stummgeschaltet.
    Aktiviert Alle Systemfehlerdialoge wie Absturz und App reagiert nicht (ANR) werden angezeigt.
    Stumm Alle Systemfehlerdialoge wie Absturz und nicht reagierende App (ANR) werden blockiert. Wenn es blockiert ist, stoppt das System die App zwangsweise, als ob der Benutzer die App über die Benutzeroberfläche schließt.
    Systemnavigation Nicht spezifiziert Gibt an, welche Navigationsfunktionen im Kioskmodus aktiviert sind (z. B. Home, Übersichtstasten).
    Aktiviert Home- und Übersichtsschaltflächen sind aktiviert.
    Deaktiviert Auf die Schaltflächen Home und Übersicht kann nicht zugegriffen werden.
    Nur Home-Taste Nur die Home-Taste ist aktiviert.
    Statusleiste Nicht spezifiziert Gibt an, ob Systeminformationen und Benachrichtigungen im Kioskmodus deaktiviert sind.
    Standardmäßig Benachrichtigungen und Systeminformationen deaktiviert.
    Benachrichtigungen und Systeminformationen aktiviert Systeminformationen und Benachrichtigungen werden im Kioskmodus in der Statusleiste angezeigt
    Benachrichtigungen und Systeminformationen deaktiviert Systeminformationen und Benachrichtigungen sind im Kioskmodus deaktiviert
    Nur Systeminformationen In der Statusleiste werden nur Systeminformationen angezeigt
    Geräteeinstellungen Nicht spezifiziert Gibt an, ob ein Benutzer im Kioskmodus auf die App Einstellungen des Geräts zugreifen kann
    Standardmäßig zulässig
    Erlaubt Der Zugriff auf die Einstellungen-App ist im Kioskmodus zulässig
    Blockiert Der Zugriff auf die Einstellungen-App ist im Kioskmodus nicht zulässig
    notempty
    Zusätzlich zur Konfiguration der Grundeinstellungen, Einschränkungen, Netzwerke etc. sind folgende Einstellungen im Profil erforderlich:
    Vorlage:H5 Persönlicher Gebrauch

    Im Reiter Persönlicher Gebrauch muss eben dieses explizit erlaubt und ggf. weitere Einstellungen vorgenommen werden

    Beschriftung Wert Beschreibung MSP v1.6.6 Android Profile Persönlicher-Gebrauch.png
    Reiter Persönlicher Gebrauch
    Aktivieren   
    default: aus
    Ermöglicht die Steuerung der privaten Nutzung
    Wird dieser Schalter nicht aktiviert, kann der Nutzer ohne Einschränkungen private Apps installieren!
    Kamera deaktivieren Deaktiviert die Kamera im persönlichen Profil
    Um die Kamera für geschäftliche Anwendungen nutzern zu können, muss diese als App im Reiter Anwendungen hinterlegt werden.
    Deaktivieren Sie die Bildschirmaufnahme Bildschirmaufnahmen (Screenshots) sind bei Aktivierung nicht möglich
    Kontotypen mit deaktivierter Verwaltung     Kontotypen, die vom Benutzer nicht verwaltet werden können.
    Beispiele:
    • com.twitter.android.auth.login
    • com.facebook.auth.login
    • com.linkedin.android
    • com.google verhindert das Hinzufügen von Google-Accounts in allen Google Apps (inkl. Gmail, Google Calendar, Google Drive, etc.)
      Darf nicht bei COPE Geräten eingetragen sein. Wird diese Option nachträglich entfernt, muss ein erneutes Enrollment durchgeführt werden.
  • com.google verhindert das Hinzufügen von Google-Accounts. Eine private Nutzung wäre damit nicht mehr möglich und darf daher nicht bei COPE Geräten verwendet werden
  • Max. Tage ohne Arbeit 0Link= Steuert, wie lange das Arbeitsprofil ausgeschaltet bleiben kann.
    (In der App-Übersicht lassen sich die Apps und Benachrichtigungen des Arbeitsprofils deaktivieren.)
    Persönlicher Play Store-Modus Nicht spezifiziert Gibt an, ob die Apps im Abschnitt Persönliche Anwendungen im persönlichen Profil zugelassen oder blockiert werden.
    Standardmäßig Blockliste.
    Es muss zusätzlich der Installationstyp angegeben werden.
    Zulassungsliste Im persönlichen Profil dürfen nur Apps installiert werden, die explizit in Persönliche Anwendungen angegeben sind und deren Installationstyp auf Verfügbar eingestellt ist.
    Blocklist Alle Play Store-Apps können im persönlichen Profil installiert werden, mit Ausnahme derjenigen, deren Installationstyp unter "Persönliche Anwendungen" "Blockiert" ist.
    Persönliche Anwendungen  Anwendung hinzufügen Richtlinien für Apps im persönlichen Profil eines unternehmenseigenen Geräts mit einem Arbeitsprofil
    Paketname de.ausgewählte.App Paket aus Dropdownmenü auswählen oder mit  Anwendung auswählen hinzufügen
    Installationstyp Nicht spezifiziert Die Art wie die Installation durchgeführt wird.
    (Nicht spezifiziert=Default: Verfügbar)
  • nicht spezifiziert wird als Verfügbar gewertet und überschreibt die Einstellung des Play Store-Modus Blocklist bzw. Nicht spezifiziert
  • Blockieren Die App wird blockiert und kann nicht installiert werden. Wenn die App über ein altes Profil installiert wurde, wird diese deinstalliert
    Verfügbar Die App steht zur installation bereit
  • Private Apps müssen mit einem eigenen Google-Account hinzugefügt werden
  • Profilübergreifende Richtlinien
    Aktivieren Richtlinien, die bei Aktivierung Einschränkungen in der Kommuikation zwischen privatem und geschäftlichen Profil definieren
    Arbeitskontakte im persönlichen Profil anzeigen Erlaubt
    Defaultwert
    Erlaubt das Erscheinen von Arbeitsprofilkontakten bei der Suche nach persönlichen Profilkontakten und eingehenden Anrufen
    Nicht erlaubt Verhindert, dass Kontakte aus dem Arbeitsprofil bei der Suche nach persönlichen Profilkontakten und eingehenden Anrufen angezeigt werden
    Nicht spezifiziert Entspricht Erlaubt
    Profilübergreifendes Kopieren & Einfügen    
    Erlaubt Text, der in einem der Profile kopiert wurde, kann in das andere Profil eingefügt werden
    Nicht spezifiziert Entspricht Nicht erlaubt
    Profilübergreifende Datenfreigabe Von der Arbeit zum persönlichen Profil verweigern
    Defaultwert
    Verhindert, dass Benutzer Daten aus dem Arbeitsprofil für Apps im persönlichen Profil freigeben. Persönliche Daten können mit Arbeits-Apps geteilt werden.
        Verhindert, dass Daten sowohl vom persönlichen Profil an das Arbeitsprofil als auch vom Arbeitsprofil an das persönliche Profil weitergegeben werden.
    Erlaubt Daten von einem der Profile können mit dem anderen Profil geteilt werden.
    Nicht spezifiziert Entspricht Nicht erlaubt
     Speichern Allen Angaben mussen gespeichert werden, um and die Geräte übertragen zu werden.


    Geräte Enrollment

    BYOD: Registrierungs-Token für ein Profil

    Unter  Mobile SecurityAndroid-white-grey.png Android Geräte lässt ich mit der so bezeichneten Schaltfläche ein  Neues Gerät anmelden


    Beschriftung Option Beschreibung MSP v1.6.6 Android Geräte Anmeldung COPE.png
    Neues Gerät anmelden mit Android Enterprise
    Möchten Sie ein vorhandenes Registrierungstoken verwenden? Erstellen Sie ein neues Registrierungstoken Sollte bereits ein Registrierungstoken erstellt worden, das noch nicht abgelaufen ist, kann es hier ausgewählt und angezeigt werden. (Abb. s.u.)
    Profil Android Enterprise Profil Dieses Profil soll auf das zu registrierende Gerät angewendet werden.
    Lizenz TTT-Point AG | MDM [0/10] (aaaa) Auswahl der Lizenz, die für neu angemeldete Geräte verwendet werden soll.
    Es ist möglich, Geräte nach Ablauf einer Laufzeit-Lizenz einer neuen Lizenz zuzuordnen.
    Code nutzen
    Legt fest, ob beim Enrollment am Ende der Geräteregistrierung ein Code benötigt wird oder nicht notempty
    Sollte aktiviert werden, um zu verhindern, daß Geräte, die in unbefugte Hände gelangt sind mit konfigurierten Zugangsdaten oder anderen Firmen-Geheimnissen registriert werden
    notempty
    Aus Sicherheitsgründen für das ZeroTouch Enrollment können ausschließlich Enrollmenttokens ausgewählt werden, die mit einer PIN versehen worden sind.
    Weitere Optionen
    Dauer 30 Tage Legt fest, wie lange dieses Token verwendet werden kann
    Danach ist eine Geräteregistrierung mit diesem Token nicht mehr möglich.
    Mögliche Werte:

    30 Minuten
    Eine Stunde
    Ein Tag
    Eine Woche
    15 Tage
    30 Tage
    60 Tage
    90 Tage

    Unendlich
    Technisch handelt es sich um eine Begrenzung auf 10.000 Jahre
    Zusätzliche Daten     Mit dem Registrierungstoken verknüpfte beliebige Daten. Wird angezeigt unter  Geräte in der Geräteübersicht
    Nur einmal Gibt an, ob das Registrierungstoken nur einmal verwendet werden darf.
    Private Nutzung zulassen Private Nutzung ist erlaubt

    Legt fest, ob die private Nutzung auf einem mit diesem Registrierungstoken angemeldeten Gerät zulässig ist.

    Für private Geräte:

    Es wird ein Arbeitsprofil auf dem Gerät eingerichtet.
    Das MDM hat ausschließlich Zugriff auf Apps und Daten innerhalb diese Profils.
    Das MDM kann steuern, ob ein Austausch von Daten zwischen Arbeitsprofil und der normalen Umgebung auf dem Gerät stattfinden darf.
    Durch Deaktivieren der privaten Nutzung wird die Bereitstellung des Geräts verhindert. Die private Nutzung kann auf einem privaten Gerät nicht deaktiviert werden.

     Registrierungstoken erstellen Erstellt einen Registrierungstoken mit QR-Code und einem Wert, der über die Tastatur eingetragen werden kann.
    Es wird der Name des zugehörigen Profils angezeigt, sowie das Datum, an dem es ausläuft und nicht mehr verwendet werden kann.
    MSP v1.6.4 Android Geräte Anmeldung Token.png


    BYOD: Gerät registrieren

    Private Geräte mit zusätzlichem Arbeitsprofil (BYOD)

    Um private von geschäftlichen Apps unterscheiden zu können, wird die App Android Device Policy benötigt.
    Auf privaten Geräten, in denen nur das Arbeitsprofil von einer Organisation - und damit durch das Securepoint Mobile Security Profil - verwaltet wird, muss diese App manuell aus dem Android App-Store installiert werden.
    Mit dieser App wird der Registrierungstoken gescannt oder über die Tastatur eingegeben und die Geräte können im Portal registriert und konfiguriert werden.

  • Diese App erscheint nicht auf dem Homescreen oder im App Launcher.
    Der Aufruf der App erfolgt über die Liste der installierten Apps im Google Play Store
    • Scannen des QR-Codes oder Eingabe des des Registrierungstokens über Tastatur
      • Für das Enterprise Profil wird auf dem Gerät ein Arbeitsprofil erstellt
      • Alle konfigurierten Anwendungen, Einschränkungen etc. werden innerhalb des Arbeitsprofils erstellt und angewendet

    Firmeneigentum mit privater Nutzung (COPE)
    • Erstmaliges Anschalten oder Geräte-Reset (Werkseinstellungen)
    • Auswahl der Ländereinstellungen
    • 7-maliges schnelles Tippen auf das Display öffnet einen QR-Code-Scanner
    • Einscannen des Profil-QR-Codes (siehe oben)
    • Auf dem Gerät wird ein Arbeitsprofil erstellt
      • Alle konfigurierten Anwendungen, Einschränkungen etc. werden innerhalb des Arbeitsprofils erstellt und angewendet
      • Apps werden im Bereich "Geschäftlich" angezeigt und mit einem Koffersymbol versehen
    • Es kann zusätzlich ein privates Google Konto hinterlegt werden
      Dieser Vorgang kann auch später durchgeführt werden
      • Es wird ein privates Profil eingerichtet
      • Es existiert ein eigener Bereich Privat mit eigenem Playstore

    Vollständig verwaltete Geräte (COBO, COSU)

    Vollständig verwaltete Geräte (COBO: Company Owned, business only oder COSU: Company owned single use) werden bei der Ersteinrichtung oder nach einem Geräte-Reset direkt mit dem Android Enterprise Profil verbunden. Die Verknüpfung mit einem Googlekonto und damit mit einem App-Store wird durch das zugeordnete Profil definiert.

    • Erstmaliges Anschalten oder Geräte-Reset (Werkseinstellungen)
    • Auswahl der Ländereinstellungen
    • 7-maliges schnelles Tippen auf das Display öffnet einen QR-Code-Scanner
    • Einscannen des Profil-QR-Codes (siehe oben)
    • Das Gerät wird als vollständig verwaltetes Gerät eingerichtet.
      • Alle im Profil gespeicherten Richtlinien, Apss und Einschränkungen werden auf das Gerät unmittelbar angewendet
        Dieser Vorgang kann bei der Erstinstallation einige Minuten dauern!

    Zero-Touch Geräte































    Registrierung im Menü  Mobile Security Android Zero-Touch
    Entweder

    • Gerät einer bestehende Konfiguration hinzufügen:
      • Konfiguration bearbeiten: Gerätekachel anklicken (oder über das Hamburger-Menü in der Gerätekachel oben rechts /  Bearbeiten)
      • ggf. neues, gültiges Enrollmenttoken wählen
        Enrollmenttoken sind maximal 30 Tage lang gültig
      • Gerät(e) anhand der IMEI oder Seriennummer auswählen
      • Angaben speichern

    oder

    • mit der Schaltfläche  Konfiguration hinzufügen
      • Enrollmenttoken wählen
      • Kunde wählen
      • Weitere Angaben vervollständigen (Unternehmensname, Kontaktdaten…)
      • Gerät(e) anhand der IMEI oder Seriennummer auswählen
      • Angaben speichern
  • Sobald das Gerät erstmalig bzw. nach einem Werksreset mit dem Internet verbunden wird, wird das Profil auf das Gerät gepusht und die Verbindung zum MDM hergestellt.
    Das Enrollment auf dem Gerät selbst ist, je nach Konfiguration, genau so, wie in den Abschnitten COPE, COBU oder COSU beschrieben.
    Es entfällt lediglich das Scannen des Enrollment Tokens!
  • Name TTT-Point Zero Touch Name der Konfiguration MSP v1.16 Zero-Touch Konfiguration hinzufügen.png
    Menü zum Hinzufügen von Zero-Touch Geräten
    Enrollmenttoken
    Profil: Gewähltes Profil | Token abCD12 Der ausgewählte Enrollmenttoken (wie im Menü Geräte / Neues Gerät anmelden erzeugt) wird auf alle Geräte angewandt, die mit dieser Konfiguration enrolled werden. notempty
    Aus Sicherheitsgründen für das ZeroTouch Enrollment können ausschließlich Enrollmenttokens ausgewählt werden, die mit einer PIN versehen worden sind.
    Kunde SecurepointCustomer Die Bezeichnung für den Kunden, so wie sie an den Geräte-Händler übermittelt wurde.
    Wurden mehrere Gmail-Adressen mit dem Zero-Touch-Portal verknüpft, können hier verschiedene Bezeichnungen ausgewählt werden.
    Standard Definiert ob diese Konfiguration der Standard ist oder nicht.
    Bei Aktivierung    werden neue Zero-Touch Geräte automatisch dieser Konfiguration hinzugefügt, sofern keine Andere angegeben wird
    Hinweis: Es sollte mindestens eine Konfiguration als Standard definiert sein.
    Unternehmen TTT-Point Frei wählbare Bezeichnung für das Unternehmen, dem dieses Gerät zugeordnet werden soll.
    E-Mail admin@anyideas.de Kontakt-E-Mail-Adresse
    Wird im Laufe des Einrichtungsprozesses auf dem Handy angezeigt, wenn auf dem Bildschirm "Dieses Gerät gehört deiner Organisation" auf IT-Administrator getippt wird.
    Telefonnummer 01234-56789 Kontakt-Telefonnummer Anzeige s.o.
    Benutzerdefinierte Nachricht Willkommen bei TTT-Point Wird während des Gerätesetups auf dem Display angezeigt
    Geräte 123456789012345 Geräten kann diese Konfiguration anhand ihrer IMEI oder Seriennummer zugeordnet werden
  • Das Feld ist nur aktiv, wenn auch ein Kunde ausgewählt wurde
  •  Speichern Speichert die Konfiguration
    Zero-Touch Konfiguration mit zugeordnetem Gerät MSP v1.16 Zero-Touch Konfiguration.png

    Abschluss durch Benutzer

  • Der Endanwender muss nun das Gerät erstmalig einschalten und eine Internetverbindung herstellen.
    Die Konfiguration aus dem Profil wird anschließend automatisch auf das Gerät angewendet.

  • Geräte aus der Verwaltung durch Mobile Security entfernen

    Private Geräte mit Arbeitsprofil (BYOD)

    Unter  Geräte /   Löschen in der jeweiligen Geräte-Kachel kann die Verwaltung von den Geräten entfernt werden:

    • Alle Apps und Daten innerhalb des Arbeitsprofils werden gelöscht
    • Das Arbeitsprofil auf diesen Geräten wird entfernt.

    Firmengeräte mit privater Nutzung (COPE)

    Unter  Geräte /   Löschen in der jeweiligen Geräte-Kachel kann die Verwaltung von den Geräten entfernt werden:

    • Alle Daten werden gelöscht.
    • Die Geräte werden automatisch und unverzüglich auf ihren Werkszustand zurückgesetzt!


    Unter  Mobile SecurityAndroid-white-grey.png Android Geräte Reiter Operationen Schaltfläche  Eigentum abgeben kann das Gerät aus der Verwaltung entfernt werden:

    • Alle Apps und Daten innerhalb des Arbeitsprofils werden gelöscht
    • Das Arbeitsprofil auf diesen Geräten wird entfernt.


    Vollständig verwaltete Geräte (COBO / COSU)

    Unter  Geräte /   Löschen in der jeweiligen Geräte-Kachel kann die Verwaltung von den Geräten entfernt werden:

    • Alle Daten werden gelöscht.
    • Die Geräte werden automatisch und unverzüglich auf ihren Werkszustand zurückgesetzt!




    Firmeneigentum mit privater Nutzung:

    • Das Unternehmen kauft das Gerät für den Nutzer
    • Die private Nutzung ist erlaubt
    • Trennung privater und beruflicher Apps und Daten durch Container
    • simple Steuerung des privaten Bereichs durch das MDM
      • z.B.: Zugriff auf Bilder erlauben / verbieten
      • Adressaustausch erlauben / verbieten
    • Es ist möglich, das Gerät in rein private Nutzung zu überführen
    • Einstellung unter:  Mobile SecurityAndroid-white-grey.png Android  Profile  Neues Gerät anmelden
      Weitere Optionen Private Nutzung zulassen: Private Nutzung ist erlaubt
      Zusätzlich im Profil: Reiter Persönlicher Gebrauch Aktivieren   






























    Ablauf

    Hier werden die erforderlichen Schritte beschrieben, um Android Geräte verbinden zu können:

    Voraussetzungen:

    1. Das Securepoint Mobile Device Management (MDM) muss mit einem Google-Konto als Android Enterprise Konto verknüpft sein
    2. Im Securepoint Unified Security Portal konfiguriertes Android Enterprise Profil

    Enrollment:

    1. Registrierungs-Token für ein Profil erstellen
    2. Gerät registrieren


    Vorbereitung

    Es muss eine Verbindung vom Securepoint Mobile Security Portal zu einem Android Enterprise Konto bestehen.






























    COPE: Verknüpfung Google Enterprise mit Securepoint Mobile Security

    MS 1.27 Einstellungen Android verknüpft.png
    Einstellungen für Apple und Android
    Um Google Enterprise für Unternehmen nutzen und über Securepoint Mobile Security administrieren zu können, muss eine Verknüpfung zwischen dem Konto bei Securepoint Mobile Security und einem Google-Konto für EMM hergestellt werden.
    notempty
    Wichtig ist hierbei, dass es nur noch ein Google-Enterprise-Konto für alle Geräte eines Tenants (Kunde mit eigenem Mobile-Security-Konto) gibt. Ohne EMM hat jedes Gerät ein eigenes Google-Konto.

    notempty
    Ein Google-Konto darf jeweils mit nur einem Tenant verknüpft werden!
    Andernfalls erscheinen alle Geräte, die einem Tenant – und damit einem Google-Konto – zugeordneten wurden in allen weiteren Tenants, die mit dem gleichen Google-Konto verknüpft sind!
    Verknüpfung im Menü
    Verknüpfung im Menü

     Mobile Security Einstellungen  Android Enterprise Hinzufügen/Verknüpfen
    Ein Google-Konto wird durch die Verknüpfung mit Securepoint Mobile Security als EMM-Anbieter zu einem Enterprise Konto
    Die Kommunikation des Securepoint Mobile Security Portals läuft hierbei komplett über dieses Google-Konto.

    notempty
    Um ungewollte Nebeneffekte zu vermeiden, sollte unbedingt ein neues Konto angelegt werden.

    Es empfiehlt sich hierbei ein Namensschema zu verwenden: mdm.$Kundenname@gmail.com


    Step-by-step.png


    Menü  Mobile Security Einstellungen  Android Enterprise Hinzufügen/Verknüpfen

    MS v1.4.7 Google-Enterprise-hinzufügen.png
    Enterprise Benutzerkonto hinzufügen
    GoogleAdmin Konto erstellen.png
    E-Mail-Adresse, für die Verknüpfung mit Android Enterprise
    • Es können E-Mail-Adressen mit einer Domain der eigenen Organisation verwendet werden (z.b. mdm@anyideas.de)
    • Es können E-Mail-Adressen von Mail-Anbietern verwendet werden (z.B. mdm.anyideas@gmail.com)
    GoogleAdmin Konto Adresse bestätigen.png
    Wird eine E-Mail-Adresse mit einer Domain der eigenen Organisation verwendet werden (z.b. mdm@anyideas.de) muss diese bestätigt werden
    GoogleAdmin Konto private Adresse.png
    Wird eine E-Mail-Adresse mit einer Domain eines Mail-Anbieters verwendet (z.b. mdm.anyideas@gmail.com) muss die Option Nur für Android registrieren gewählt werden.
    Android fuer Arbeit nutzen.png
    MS v1.4.7 Google-Enterprise-hinzufügen Schritt2.png
    Name des Unternehmens.
    Die Verknüpfung mit Securepoint Mobile Security ist bereits vorgegeben.
    MS v1.4.7 Google-Enterprise-hinzufügen Kontaktdaten.png
    Es sind Angaben zum/r Datenschutzbeauftragten und EU-Bevollmächtigten erforderlich
    MS v1.4.7 Google-Enterprise-hinzufügen abschliessen.png
    Die Registrierung bei Google kann damit abgeschlossen werden.
    MS 1.27 Google Enterprise E-Mail-Adresse.png
    Es erfolgt eine Weiterleitung zurück zum Securepoint Mobile Security Portal.
    Die E-Mail-Adresse, mit der die Verknüpfung erstellt wurde sollte nun gespeichert werden um eine spätere Zuordnung zu ermöglichen.
    Die Einrichtung muss mit  Speichern abgeschlossen werden.
    MS 1.27 Einstellungen Android verknüpft.png
    Die Verknüpfung ist jetzt hergestellt.
    MS v1.4.7 Google-Enterprise-hinzufügen nicht registriert.png
    Sollte diese Meldung beim Aufruf von https://play.google.com/work erscheinen, ist die Registrierung im Securepoint Mobile Security Portal noch nicht abgeschlossen worden und kein Token verknüpft!











    Es muss ein Android-Profil geben, daß dem Gerät zugeordnet werden kann.

    COPE: Android Profil

    Unter  Mobile Security Android  Profile lässt sich ein  Profil hinzufügen, ein  Profil importieren oder ein bestehendes Profil bearbeiten (Klick auf Profilkachel oder  Bearbeiten )
    Hier wiederum werden verschiedene Konfiguration vorgenommen, z.B.:

    • Steuerung des App Stores für private Anwendungen
    • Freigabe der beruflichen Adressbücher für den privaten Bereich (z.B. bei eingehenden Anrufen)
    • WiFi Konfigurationen
    • Einschränkungen
    • Passwort-Richtlinien
    • Sicherheitseinstellungen
  • Best Practice: Beschreibung der wichtigsten Konfigurationsmöglichkeiten

  • notempty
    Zusätzlich zur Konfiguration der Grundeinstellungen, Einschränkungen, Netzwerke etc. sind folgende Einstellungen im Profil erforderlich:
    Anwendungen
    Anwendungen

    Installationstyp Kiosk muss im Reiter Anwendungen für eine einzige App hinzugefügt werden

    Beschriftung Wert Beschreibung MSP v1.6.6 Android Profile Anwendungen Kiosk.png
    Anwendung mit Installationstyp Kiosk
     Anwendung hinzufügen
    Paketname de.ausgewählte.App Paket aus Dropdownmenü auswählen oder mit  Anwendung auswählen hinzufügen
    Installationstyp Kiosk
    • Die App wird automatisch im Kioskmodus installiert: Sie ist als bevorzugte Ausgangsart festgelegt und für den Sperren-Task-Modus auf die Allowlist gesetzt.
    • Das Geräte-Setup wird erst abgeschlossen, wenn die App installiert ist
    • Nach der Installation können Benutzer die App nicht mehr entfernen
    • Sie können diesen installationstyp nur für eine App pro Profil festlegen
    • Wenn dies in dem Profil vorhanden ist, wird die Statusleiste automatisch deaktiviert.
    Einschränkungen
    Einschränkungen

    Einstellungen im Reiter Einschränkungen für den Kioskmodus

    Aktivieren Sie den benutzerdefinierten Kiosk-Starter Blendet alle Systemanwendungen im Homescreen aus und zeigt nur die Apps an, die über das Profil installiert wurden.
    Es wird empfohlen, zusätzlich die Statusleiste zu deaktivieren, um den Zugriff auf Geräteeinstellungen zu blockieren.
    Power-Button-Aktionen Nicht spezifiziert Legt das Verhalten eines Geräts im Kioskmodus fest, wenn ein Benutzer die Ein- / Aus-Taste drückt und gedrückt hält.
    Standardmäßig verfügbar
    Verfügbar Das Ein- / Ausschaltmenü (z. B. Ausschalten, Neustart) wird angezeigt, wenn ein Benutzer im Kioskmodus die Ein- / Aus-Taste eines Geräts lange drückt
    Blockiert Das Ein / Aus-Menü (z. B. Ausschalten, Neustart) wird nicht angezeigt, wenn ein Benutzer im Kioskmodus lange auf die Ein- / Aus-Taste eines Geräts drückt
  • Dies kann Benutzer daran hindern, das Gerät auszuschalten
  • Systemfehlerwarnungen Nicht spezifiziert Gibt an, ob Systemfehlerdialoge für abgestürzte oder nicht reagierende Apps im Kioskmodus blockiert werden.
    Standardmäßig stummgeschaltet.
    Aktiviert Alle Systemfehlerdialoge wie Absturz und App reagiert nicht (ANR) werden angezeigt.
    Stumm Alle Systemfehlerdialoge wie Absturz und nicht reagierende App (ANR) werden blockiert. Wenn es blockiert ist, stoppt das System die App zwangsweise, als ob der Benutzer die App über die Benutzeroberfläche schließt.
    Systemnavigation Nicht spezifiziert Gibt an, welche Navigationsfunktionen im Kioskmodus aktiviert sind (z. B. Home, Übersichtstasten).
    Aktiviert Home- und Übersichtsschaltflächen sind aktiviert.
    Deaktiviert Auf die Schaltflächen Home und Übersicht kann nicht zugegriffen werden.
    Nur Home-Taste Nur die Home-Taste ist aktiviert.
    Statusleiste Nicht spezifiziert Gibt an, ob Systeminformationen und Benachrichtigungen im Kioskmodus deaktiviert sind.
    Standardmäßig Benachrichtigungen und Systeminformationen deaktiviert.
    Benachrichtigungen und Systeminformationen aktiviert Systeminformationen und Benachrichtigungen werden im Kioskmodus in der Statusleiste angezeigt
    Benachrichtigungen und Systeminformationen deaktiviert Systeminformationen und Benachrichtigungen sind im Kioskmodus deaktiviert
    Nur Systeminformationen In der Statusleiste werden nur Systeminformationen angezeigt
    Geräteeinstellungen Nicht spezifiziert Gibt an, ob ein Benutzer im Kioskmodus auf die App Einstellungen des Geräts zugreifen kann
    Standardmäßig zulässig
    Erlaubt Der Zugriff auf die Einstellungen-App ist im Kioskmodus zulässig
    Blockiert Der Zugriff auf die Einstellungen-App ist im Kioskmodus nicht zulässig
    notempty
    Zusätzlich zur Konfiguration der Grundeinstellungen, Einschränkungen, Netzwerke etc. sind folgende Einstellungen im Profil erforderlich:
    Vorlage:H5 Persönlicher Gebrauch

    Im Reiter Persönlicher Gebrauch muss eben dieses explizit erlaubt und ggf. weitere Einstellungen vorgenommen werden

    Beschriftung Wert Beschreibung MSP v1.6.6 Android Profile Persönlicher-Gebrauch.png
    Reiter Persönlicher Gebrauch
    Aktivieren   
    default: aus
    Ermöglicht die Steuerung der privaten Nutzung
    Wird dieser Schalter nicht aktiviert, kann der Nutzer ohne Einschränkungen private Apps installieren!
    Kamera deaktivieren Deaktiviert die Kamera im persönlichen Profil
    Um die Kamera für geschäftliche Anwendungen nutzern zu können, muss diese als App im Reiter Anwendungen hinterlegt werden.
    Deaktivieren Sie die Bildschirmaufnahme Bildschirmaufnahmen (Screenshots) sind bei Aktivierung nicht möglich
    Kontotypen mit deaktivierter Verwaltung     Kontotypen, die vom Benutzer nicht verwaltet werden können.
    Beispiele:
    • com.twitter.android.auth.login
    • com.facebook.auth.login
    • com.linkedin.android
    • com.google verhindert das Hinzufügen von Google-Accounts in allen Google Apps (inkl. Gmail, Google Calendar, Google Drive, etc.)
      Darf nicht bei COPE Geräten eingetragen sein. Wird diese Option nachträglich entfernt, muss ein erneutes Enrollment durchgeführt werden.
  • com.google verhindert das Hinzufügen von Google-Accounts. Eine private Nutzung wäre damit nicht mehr möglich und darf daher nicht bei COPE Geräten verwendet werden
  • Max. Tage ohne Arbeit 0Link= Steuert, wie lange das Arbeitsprofil ausgeschaltet bleiben kann.
    (In der App-Übersicht lassen sich die Apps und Benachrichtigungen des Arbeitsprofils deaktivieren.)
    Persönlicher Play Store-Modus Nicht spezifiziert Gibt an, ob die Apps im Abschnitt Persönliche Anwendungen im persönlichen Profil zugelassen oder blockiert werden.
    Standardmäßig Blockliste.
    Es muss zusätzlich der Installationstyp angegeben werden.
    Zulassungsliste Im persönlichen Profil dürfen nur Apps installiert werden, die explizit in Persönliche Anwendungen angegeben sind und deren Installationstyp auf Verfügbar eingestellt ist.
    Blocklist Alle Play Store-Apps können im persönlichen Profil installiert werden, mit Ausnahme derjenigen, deren Installationstyp unter "Persönliche Anwendungen" "Blockiert" ist.
    Persönliche Anwendungen  Anwendung hinzufügen Richtlinien für Apps im persönlichen Profil eines unternehmenseigenen Geräts mit einem Arbeitsprofil
    Paketname de.ausgewählte.App Paket aus Dropdownmenü auswählen oder mit  Anwendung auswählen hinzufügen
    Installationstyp Nicht spezifiziert Die Art wie die Installation durchgeführt wird.
    (Nicht spezifiziert=Default: Verfügbar)
  • nicht spezifiziert wird als Verfügbar gewertet und überschreibt die Einstellung des Play Store-Modus Blocklist bzw. Nicht spezifiziert
  • Blockieren Die App wird blockiert und kann nicht installiert werden. Wenn die App über ein altes Profil installiert wurde, wird diese deinstalliert
    Verfügbar Die App steht zur installation bereit
  • Private Apps müssen mit einem eigenen Google-Account hinzugefügt werden
  • Profilübergreifende Richtlinien
    Aktivieren Richtlinien, die bei Aktivierung Einschränkungen in der Kommuikation zwischen privatem und geschäftlichen Profil definieren
    Arbeitskontakte im persönlichen Profil anzeigen Erlaubt
    Defaultwert
    Erlaubt das Erscheinen von Arbeitsprofilkontakten bei der Suche nach persönlichen Profilkontakten und eingehenden Anrufen
    Nicht erlaubt Verhindert, dass Kontakte aus dem Arbeitsprofil bei der Suche nach persönlichen Profilkontakten und eingehenden Anrufen angezeigt werden
    Nicht spezifiziert Entspricht Erlaubt
    Profilübergreifendes Kopieren & Einfügen    
    Erlaubt Text, der in einem der Profile kopiert wurde, kann in das andere Profil eingefügt werden
    Nicht spezifiziert Entspricht Nicht erlaubt
    Profilübergreifende Datenfreigabe Von der Arbeit zum persönlichen Profil verweigern
    Defaultwert
    Verhindert, dass Benutzer Daten aus dem Arbeitsprofil für Apps im persönlichen Profil freigeben. Persönliche Daten können mit Arbeits-Apps geteilt werden.
        Verhindert, dass Daten sowohl vom persönlichen Profil an das Arbeitsprofil als auch vom Arbeitsprofil an das persönliche Profil weitergegeben werden.
    Erlaubt Daten von einem der Profile können mit dem anderen Profil geteilt werden.
    Nicht spezifiziert Entspricht Nicht erlaubt
     Speichern Allen Angaben mussen gespeichert werden, um and die Geräte übertragen zu werden.


    Geräte Enrollment

    COPE: Registrierungs-Token für ein Profil

    Unter  Mobile SecurityAndroid-white-grey.png Android Geräte lässt ich mit der so bezeichneten Schaltfläche ein  Neues Gerät anmelden


    Beschriftung Option Beschreibung MSP v1.6.6 Android Geräte Anmeldung COPE.png
    Neues Gerät anmelden mit Android Enterprise
    Möchten Sie ein vorhandenes Registrierungstoken verwenden? Erstellen Sie ein neues Registrierungstoken Sollte bereits ein Registrierungstoken erstellt worden, das noch nicht abgelaufen ist, kann es hier ausgewählt und angezeigt werden. (Abb. s.u.)
    Profil Android Enterprise Profil Dieses Profil soll auf das zu registrierende Gerät angewendet werden.
    Lizenz TTT-Point AG | MDM [0/10] (aaaa) Auswahl der Lizenz, die für neu angemeldete Geräte verwendet werden soll.
    Es ist möglich, Geräte nach Ablauf einer Laufzeit-Lizenz einer neuen Lizenz zuzuordnen.
    Code nutzen
    Legt fest, ob beim Enrollment am Ende der Geräteregistrierung ein Code benötigt wird oder nicht notempty
    Sollte aktiviert werden, um zu verhindern, daß Geräte, die in unbefugte Hände gelangt sind mit konfigurierten Zugangsdaten oder anderen Firmen-Geheimnissen registriert werden
    notempty
    Aus Sicherheitsgründen für das ZeroTouch Enrollment können ausschließlich Enrollmenttokens ausgewählt werden, die mit einer PIN versehen worden sind.
    Weitere Optionen
    Dauer 30 Tage Legt fest, wie lange dieses Token verwendet werden kann
    Danach ist eine Geräteregistrierung mit diesem Token nicht mehr möglich.
    Mögliche Werte:

    30 Minuten
    Eine Stunde
    Ein Tag
    Eine Woche
    15 Tage
    30 Tage
    60 Tage
    90 Tage

    Unendlich
    Technisch handelt es sich um eine Begrenzung auf 10.000 Jahre
    Zusätzliche Daten     Mit dem Registrierungstoken verknüpfte beliebige Daten. Wird angezeigt unter  Geräte in der Geräteübersicht
    Nur einmal Gibt an, ob das Registrierungstoken nur einmal verwendet werden darf.
    Private Nutzung zulassen Private Nutzung ist erlaubt

    Legt fest, ob die private Nutzung auf einem mit diesem Registrierungstoken angemeldeten Gerät zulässig ist.

    Für Firmengeräte:

    Es wird ein Arbeitsprofil auf dem Gerät eingerichtet.
    Das MDM hat vollen Zugriff auf Apps und Daten im Arbeitsprofil und in der normalen Umgebung.

     Registrierungstoken erstellen Erstellt einen Registrierungstoken mit QR-Code und einem Wert, der über die Tastatur eingetragen werden kann.
    Es wird der Name des zugehörigen Profils angezeigt, sowie das Datum, an dem es ausläuft und nicht mehr verwendet werden kann.
    MSP v1.6.4 Android Geräte Anmeldung Token.png


    COPE: Gerät registrieren

    Private Geräte mit zusätzlichem Arbeitsprofil (BYOD)

    Um private von geschäftlichen Apps unterscheiden zu können, wird die App Android Device Policy benötigt.
    Auf privaten Geräten, in denen nur das Arbeitsprofil von einer Organisation - und damit durch das Securepoint Mobile Security Profil - verwaltet wird, muss diese App manuell aus dem Android App-Store installiert werden.
    Mit dieser App wird der Registrierungstoken gescannt oder über die Tastatur eingegeben und die Geräte können im Portal registriert und konfiguriert werden.

  • Diese App erscheint nicht auf dem Homescreen oder im App Launcher.
    Der Aufruf der App erfolgt über die Liste der installierten Apps im Google Play Store
    • Scannen des QR-Codes oder Eingabe des des Registrierungstokens über Tastatur
      • Für das Enterprise Profil wird auf dem Gerät ein Arbeitsprofil erstellt
      • Alle konfigurierten Anwendungen, Einschränkungen etc. werden innerhalb des Arbeitsprofils erstellt und angewendet

    Firmeneigentum mit privater Nutzung (COPE)
    • Erstmaliges Anschalten oder Geräte-Reset (Werkseinstellungen)
    • Auswahl der Ländereinstellungen
    • 7-maliges schnelles Tippen auf das Display öffnet einen QR-Code-Scanner
    • Einscannen des Profil-QR-Codes (siehe oben)
    • Auf dem Gerät wird ein Arbeitsprofil erstellt
      • Alle konfigurierten Anwendungen, Einschränkungen etc. werden innerhalb des Arbeitsprofils erstellt und angewendet
      • Apps werden im Bereich "Geschäftlich" angezeigt und mit einem Koffersymbol versehen
    • Es kann zusätzlich ein privates Google Konto hinterlegt werden
      Dieser Vorgang kann auch später durchgeführt werden
      • Es wird ein privates Profil eingerichtet
      • Es existiert ein eigener Bereich Privat mit eigenem Playstore

    Vollständig verwaltete Geräte (COBO, COSU)

    Vollständig verwaltete Geräte (COBO: Company Owned, business only oder COSU: Company owned single use) werden bei der Ersteinrichtung oder nach einem Geräte-Reset direkt mit dem Android Enterprise Profil verbunden. Die Verknüpfung mit einem Googlekonto und damit mit einem App-Store wird durch das zugeordnete Profil definiert.

    • Erstmaliges Anschalten oder Geräte-Reset (Werkseinstellungen)
    • Auswahl der Ländereinstellungen
    • 7-maliges schnelles Tippen auf das Display öffnet einen QR-Code-Scanner
    • Einscannen des Profil-QR-Codes (siehe oben)
    • Das Gerät wird als vollständig verwaltetes Gerät eingerichtet.
      • Alle im Profil gespeicherten Richtlinien, Apss und Einschränkungen werden auf das Gerät unmittelbar angewendet
        Dieser Vorgang kann bei der Erstinstallation einige Minuten dauern!

    Zero-Touch Geräte































    Registrierung im Menü  Mobile Security Android Zero-Touch
    Entweder

    • Gerät einer bestehende Konfiguration hinzufügen:
      • Konfiguration bearbeiten: Gerätekachel anklicken (oder über das Hamburger-Menü in der Gerätekachel oben rechts /  Bearbeiten)
      • ggf. neues, gültiges Enrollmenttoken wählen
        Enrollmenttoken sind maximal 30 Tage lang gültig
      • Gerät(e) anhand der IMEI oder Seriennummer auswählen
      • Angaben speichern

    oder

    • mit der Schaltfläche  Konfiguration hinzufügen
      • Enrollmenttoken wählen
      • Kunde wählen
      • Weitere Angaben vervollständigen (Unternehmensname, Kontaktdaten…)
      • Gerät(e) anhand der IMEI oder Seriennummer auswählen
      • Angaben speichern
  • Sobald das Gerät erstmalig bzw. nach einem Werksreset mit dem Internet verbunden wird, wird das Profil auf das Gerät gepusht und die Verbindung zum MDM hergestellt.
    Das Enrollment auf dem Gerät selbst ist, je nach Konfiguration, genau so, wie in den Abschnitten COPE, COBU oder COSU beschrieben.
    Es entfällt lediglich das Scannen des Enrollment Tokens!
  • Name TTT-Point Zero Touch Name der Konfiguration MSP v1.16 Zero-Touch Konfiguration hinzufügen.png
    Menü zum Hinzufügen von Zero-Touch Geräten
    Enrollmenttoken
    Profil: Gewähltes Profil | Token abCD12 Der ausgewählte Enrollmenttoken (wie im Menü Geräte / Neues Gerät anmelden erzeugt) wird auf alle Geräte angewandt, die mit dieser Konfiguration enrolled werden. notempty
    Aus Sicherheitsgründen für das ZeroTouch Enrollment können ausschließlich Enrollmenttokens ausgewählt werden, die mit einer PIN versehen worden sind.
    Kunde SecurepointCustomer Die Bezeichnung für den Kunden, so wie sie an den Geräte-Händler übermittelt wurde.
    Wurden mehrere Gmail-Adressen mit dem Zero-Touch-Portal verknüpft, können hier verschiedene Bezeichnungen ausgewählt werden.
    Standard Definiert ob diese Konfiguration der Standard ist oder nicht.
    Bei Aktivierung    werden neue Zero-Touch Geräte automatisch dieser Konfiguration hinzugefügt, sofern keine Andere angegeben wird
    Hinweis: Es sollte mindestens eine Konfiguration als Standard definiert sein.
    Unternehmen TTT-Point Frei wählbare Bezeichnung für das Unternehmen, dem dieses Gerät zugeordnet werden soll.
    E-Mail admin@anyideas.de Kontakt-E-Mail-Adresse
    Wird im Laufe des Einrichtungsprozesses auf dem Handy angezeigt, wenn auf dem Bildschirm "Dieses Gerät gehört deiner Organisation" auf IT-Administrator getippt wird.
    Telefonnummer 01234-56789 Kontakt-Telefonnummer Anzeige s.o.
    Benutzerdefinierte Nachricht Willkommen bei TTT-Point Wird während des Gerätesetups auf dem Display angezeigt
    Geräte 123456789012345 Geräten kann diese Konfiguration anhand ihrer IMEI oder Seriennummer zugeordnet werden
  • Das Feld ist nur aktiv, wenn auch ein Kunde ausgewählt wurde
  •  Speichern Speichert die Konfiguration
    Zero-Touch Konfiguration mit zugeordnetem Gerät MSP v1.16 Zero-Touch Konfiguration.png

    Abschluss durch Benutzer

  • Der Endanwender muss nun das Gerät erstmalig einschalten und eine Internetverbindung herstellen.
    Die Konfiguration aus dem Profil wird anschließend automatisch auf das Gerät angewendet.

  • Geräte aus der Verwaltung durch Mobile Security entfernen

    Private Geräte mit Arbeitsprofil (BYOD)

    Unter  Geräte /   Löschen in der jeweiligen Geräte-Kachel kann die Verwaltung von den Geräten entfernt werden:

    • Alle Apps und Daten innerhalb des Arbeitsprofils werden gelöscht
    • Das Arbeitsprofil auf diesen Geräten wird entfernt.

    Firmengeräte mit privater Nutzung (COPE)

    Unter  Geräte /   Löschen in der jeweiligen Geräte-Kachel kann die Verwaltung von den Geräten entfernt werden:

    • Alle Daten werden gelöscht.
    • Die Geräte werden automatisch und unverzüglich auf ihren Werkszustand zurückgesetzt!


    Unter  Mobile SecurityAndroid-white-grey.png Android Geräte Reiter Operationen Schaltfläche  Eigentum abgeben kann das Gerät aus der Verwaltung entfernt werden:

    • Alle Apps und Daten innerhalb des Arbeitsprofils werden gelöscht
    • Das Arbeitsprofil auf diesen Geräten wird entfernt.


    Vollständig verwaltete Geräte (COBO / COSU)

    Unter  Geräte /   Löschen in der jeweiligen Geräte-Kachel kann die Verwaltung von den Geräten entfernt werden:

    • Alle Daten werden gelöscht.
    • Die Geräte werden automatisch und unverzüglich auf ihren Werkszustand zurückgesetzt!



    Firmeneigentum ohne private Nutzung:

    • Die Geräte sind nur für den Einsatz im Unternehmensumfeld gedacht
    • Der IT-Administrator hat die volle Kontrolle über das Smartphone
    • Private Daten sind auf dem Gerät strikt untersagt
    • Einstellung unter:  Mobile SecurityAndroid-white-grey.png Android  Profile  Neues Gerät anmelden
      Weitere Optionen Private Nutzung zulassenPrivate Nutzung ist nicht erlaubt






























    Ablauf

    Hier werden die erforderlichen Schritte beschrieben, um Android Geräte verbinden zu können:

    Voraussetzungen:

    1. Das Securepoint Mobile Device Management (MDM) muss mit einem Google-Konto als Android Enterprise Konto verknüpft sein
    2. Im Securepoint Unified Security Portal konfiguriertes Android Enterprise Profil

    Enrollment:

    1. Registrierungs-Token für ein Profil erstellen
    2. Gerät registrieren


    Vorbereitung

    Es muss eine Verbindung vom Securepoint Mobile Security Portal zu einem Android Enterprise Konto bestehen.






























    COBO: Verknüpfung Google Enterprise mit Securepoint Mobile Security

    MS 1.27 Einstellungen Android verknüpft.png
    Einstellungen für Apple und Android
    Um Google Enterprise für Unternehmen nutzen und über Securepoint Mobile Security administrieren zu können, muss eine Verknüpfung zwischen dem Konto bei Securepoint Mobile Security und einem Google-Konto für EMM hergestellt werden.
    notempty
    Wichtig ist hierbei, dass es nur noch ein Google-Enterprise-Konto für alle Geräte eines Tenants (Kunde mit eigenem Mobile-Security-Konto) gibt. Ohne EMM hat jedes Gerät ein eigenes Google-Konto.

    notempty
    Ein Google-Konto darf jeweils mit nur einem Tenant verknüpft werden!
    Andernfalls erscheinen alle Geräte, die einem Tenant – und damit einem Google-Konto – zugeordneten wurden in allen weiteren Tenants, die mit dem gleichen Google-Konto verknüpft sind!
    Verknüpfung im Menü
    Verknüpfung im Menü

     Mobile Security Einstellungen  Android Enterprise Hinzufügen/Verknüpfen
    Ein Google-Konto wird durch die Verknüpfung mit Securepoint Mobile Security als EMM-Anbieter zu einem Enterprise Konto
    Die Kommunikation des Securepoint Mobile Security Portals läuft hierbei komplett über dieses Google-Konto.

    notempty
    Um ungewollte Nebeneffekte zu vermeiden, sollte unbedingt ein neues Konto angelegt werden.

    Es empfiehlt sich hierbei ein Namensschema zu verwenden: mdm.$Kundenname@gmail.com


    Step-by-step.png


    Menü  Mobile Security Einstellungen  Android Enterprise Hinzufügen/Verknüpfen

    MS v1.4.7 Google-Enterprise-hinzufügen.png
    Enterprise Benutzerkonto hinzufügen
    GoogleAdmin Konto erstellen.png
    E-Mail-Adresse, für die Verknüpfung mit Android Enterprise
    • Es können E-Mail-Adressen mit einer Domain der eigenen Organisation verwendet werden (z.b. mdm@anyideas.de)
    • Es können E-Mail-Adressen von Mail-Anbietern verwendet werden (z.B. mdm.anyideas@gmail.com)
    GoogleAdmin Konto Adresse bestätigen.png
    Wird eine E-Mail-Adresse mit einer Domain der eigenen Organisation verwendet werden (z.b. mdm@anyideas.de) muss diese bestätigt werden
    GoogleAdmin Konto private Adresse.png
    Wird eine E-Mail-Adresse mit einer Domain eines Mail-Anbieters verwendet (z.b. mdm.anyideas@gmail.com) muss die Option Nur für Android registrieren gewählt werden.
    Android fuer Arbeit nutzen.png
    MS v1.4.7 Google-Enterprise-hinzufügen Schritt2.png
    Name des Unternehmens.
    Die Verknüpfung mit Securepoint Mobile Security ist bereits vorgegeben.
    MS v1.4.7 Google-Enterprise-hinzufügen Kontaktdaten.png
    Es sind Angaben zum/r Datenschutzbeauftragten und EU-Bevollmächtigten erforderlich
    MS v1.4.7 Google-Enterprise-hinzufügen abschliessen.png
    Die Registrierung bei Google kann damit abgeschlossen werden.
    MS 1.27 Google Enterprise E-Mail-Adresse.png
    Es erfolgt eine Weiterleitung zurück zum Securepoint Mobile Security Portal.
    Die E-Mail-Adresse, mit der die Verknüpfung erstellt wurde sollte nun gespeichert werden um eine spätere Zuordnung zu ermöglichen.
    Die Einrichtung muss mit  Speichern abgeschlossen werden.
    MS 1.27 Einstellungen Android verknüpft.png
    Die Verknüpfung ist jetzt hergestellt.
    MS v1.4.7 Google-Enterprise-hinzufügen nicht registriert.png
    Sollte diese Meldung beim Aufruf von https://play.google.com/work erscheinen, ist die Registrierung im Securepoint Mobile Security Portal noch nicht abgeschlossen worden und kein Token verknüpft!











    Es muss ein Android-Profil geben, daß dem Gerät zugeordnet werden kann.

    COBO: Android Profil

    Unter  Mobile Security Android  Profile lässt sich ein  Profil hinzufügen, ein  Profil importieren oder ein bestehendes Profil bearbeiten (Klick auf Profilkachel oder  Bearbeiten )
    Hier wiederum werden verschiedene Konfiguration vorgenommen, z.B.:

  • Best Practice: Beschreibung der wichtigsten Konfigurationsmöglichkeiten

  • notempty
    Zusätzlich zur Konfiguration der Grundeinstellungen, Einschränkungen, Netzwerke etc. sind folgende Einstellungen im Profil erforderlich:
    Anwendungen
    Anwendungen

    Installationstyp Kiosk muss im Reiter Anwendungen für eine einzige App hinzugefügt werden

    Beschriftung Wert Beschreibung MSP v1.6.6 Android Profile Anwendungen Kiosk.png
    Anwendung mit Installationstyp Kiosk
     Anwendung hinzufügen
    Paketname de.ausgewählte.App Paket aus Dropdownmenü auswählen oder mit  Anwendung auswählen hinzufügen
    Installationstyp Kiosk
    • Die App wird automatisch im Kioskmodus installiert: Sie ist als bevorzugte Ausgangsart festgelegt und für den Sperren-Task-Modus auf die Allowlist gesetzt.
    • Das Geräte-Setup wird erst abgeschlossen, wenn die App installiert ist
    • Nach der Installation können Benutzer die App nicht mehr entfernen
    • Sie können diesen installationstyp nur für eine App pro Profil festlegen
    • Wenn dies in dem Profil vorhanden ist, wird die Statusleiste automatisch deaktiviert.
    Einschränkungen
    Einschränkungen

    Einstellungen im Reiter Einschränkungen für den Kioskmodus

    Aktivieren Sie den benutzerdefinierten Kiosk-Starter Blendet alle Systemanwendungen im Homescreen aus und zeigt nur die Apps an, die über das Profil installiert wurden.
    Es wird empfohlen, zusätzlich die Statusleiste zu deaktivieren, um den Zugriff auf Geräteeinstellungen zu blockieren.
    Power-Button-Aktionen Nicht spezifiziert Legt das Verhalten eines Geräts im Kioskmodus fest, wenn ein Benutzer die Ein- / Aus-Taste drückt und gedrückt hält.
    Standardmäßig verfügbar
    Verfügbar Das Ein- / Ausschaltmenü (z. B. Ausschalten, Neustart) wird angezeigt, wenn ein Benutzer im Kioskmodus die Ein- / Aus-Taste eines Geräts lange drückt
    Blockiert Das Ein / Aus-Menü (z. B. Ausschalten, Neustart) wird nicht angezeigt, wenn ein Benutzer im Kioskmodus lange auf die Ein- / Aus-Taste eines Geräts drückt
  • Dies kann Benutzer daran hindern, das Gerät auszuschalten
  • Systemfehlerwarnungen Nicht spezifiziert Gibt an, ob Systemfehlerdialoge für abgestürzte oder nicht reagierende Apps im Kioskmodus blockiert werden.
    Standardmäßig stummgeschaltet.
    Aktiviert Alle Systemfehlerdialoge wie Absturz und App reagiert nicht (ANR) werden angezeigt.
    Stumm Alle Systemfehlerdialoge wie Absturz und nicht reagierende App (ANR) werden blockiert. Wenn es blockiert ist, stoppt das System die App zwangsweise, als ob der Benutzer die App über die Benutzeroberfläche schließt.
    Systemnavigation Nicht spezifiziert Gibt an, welche Navigationsfunktionen im Kioskmodus aktiviert sind (z. B. Home, Übersichtstasten).
    Aktiviert Home- und Übersichtsschaltflächen sind aktiviert.
    Deaktiviert Auf die Schaltflächen Home und Übersicht kann nicht zugegriffen werden.
    Nur Home-Taste Nur die Home-Taste ist aktiviert.
    Statusleiste Nicht spezifiziert Gibt an, ob Systeminformationen und Benachrichtigungen im Kioskmodus deaktiviert sind.
    Standardmäßig Benachrichtigungen und Systeminformationen deaktiviert.
    Benachrichtigungen und Systeminformationen aktiviert Systeminformationen und Benachrichtigungen werden im Kioskmodus in der Statusleiste angezeigt
    Benachrichtigungen und Systeminformationen deaktiviert Systeminformationen und Benachrichtigungen sind im Kioskmodus deaktiviert
    Nur Systeminformationen In der Statusleiste werden nur Systeminformationen angezeigt
    Geräteeinstellungen Nicht spezifiziert Gibt an, ob ein Benutzer im Kioskmodus auf die App Einstellungen des Geräts zugreifen kann
    Standardmäßig zulässig
    Erlaubt Der Zugriff auf die Einstellungen-App ist im Kioskmodus zulässig
    Blockiert Der Zugriff auf die Einstellungen-App ist im Kioskmodus nicht zulässig
    notempty
    Zusätzlich zur Konfiguration der Grundeinstellungen, Einschränkungen, Netzwerke etc. sind folgende Einstellungen im Profil erforderlich:
    Vorlage:H5 Persönlicher Gebrauch

    Im Reiter Persönlicher Gebrauch muss eben dieses explizit erlaubt und ggf. weitere Einstellungen vorgenommen werden

    Beschriftung Wert Beschreibung MSP v1.6.6 Android Profile Persönlicher-Gebrauch.png
    Reiter Persönlicher Gebrauch
    Aktivieren   
    default: aus
    Ermöglicht die Steuerung der privaten Nutzung
    Wird dieser Schalter nicht aktiviert, kann der Nutzer ohne Einschränkungen private Apps installieren!
    Kamera deaktivieren Deaktiviert die Kamera im persönlichen Profil
    Um die Kamera für geschäftliche Anwendungen nutzern zu können, muss diese als App im Reiter Anwendungen hinterlegt werden.
    Deaktivieren Sie die Bildschirmaufnahme Bildschirmaufnahmen (Screenshots) sind bei Aktivierung nicht möglich
    Kontotypen mit deaktivierter Verwaltung     Kontotypen, die vom Benutzer nicht verwaltet werden können.
    Beispiele:
    • com.twitter.android.auth.login
    • com.facebook.auth.login
    • com.linkedin.android
    • com.google verhindert das Hinzufügen von Google-Accounts in allen Google Apps (inkl. Gmail, Google Calendar, Google Drive, etc.)
      Darf nicht bei COPE Geräten eingetragen sein. Wird diese Option nachträglich entfernt, muss ein erneutes Enrollment durchgeführt werden.
  • com.google verhindert das Hinzufügen von Google-Accounts. Eine private Nutzung wäre damit nicht mehr möglich und darf daher nicht bei COPE Geräten verwendet werden
  • Max. Tage ohne Arbeit 0Link= Steuert, wie lange das Arbeitsprofil ausgeschaltet bleiben kann.
    (In der App-Übersicht lassen sich die Apps und Benachrichtigungen des Arbeitsprofils deaktivieren.)
    Persönlicher Play Store-Modus Nicht spezifiziert Gibt an, ob die Apps im Abschnitt Persönliche Anwendungen im persönlichen Profil zugelassen oder blockiert werden.
    Standardmäßig Blockliste.
    Es muss zusätzlich der Installationstyp angegeben werden.
    Zulassungsliste Im persönlichen Profil dürfen nur Apps installiert werden, die explizit in Persönliche Anwendungen angegeben sind und deren Installationstyp auf Verfügbar eingestellt ist.
    Blocklist Alle Play Store-Apps können im persönlichen Profil installiert werden, mit Ausnahme derjenigen, deren Installationstyp unter "Persönliche Anwendungen" "Blockiert" ist.
    Persönliche Anwendungen  Anwendung hinzufügen Richtlinien für Apps im persönlichen Profil eines unternehmenseigenen Geräts mit einem Arbeitsprofil
    Paketname de.ausgewählte.App Paket aus Dropdownmenü auswählen oder mit  Anwendung auswählen hinzufügen
    Installationstyp Nicht spezifiziert Die Art wie die Installation durchgeführt wird.
    (Nicht spezifiziert=Default: Verfügbar)
  • nicht spezifiziert wird als Verfügbar gewertet und überschreibt die Einstellung des Play Store-Modus Blocklist bzw. Nicht spezifiziert
  • Blockieren Die App wird blockiert und kann nicht installiert werden. Wenn die App über ein altes Profil installiert wurde, wird diese deinstalliert
    Verfügbar Die App steht zur installation bereit
  • Private Apps müssen mit einem eigenen Google-Account hinzugefügt werden
  • Profilübergreifende Richtlinien
    Aktivieren Richtlinien, die bei Aktivierung Einschränkungen in der Kommuikation zwischen privatem und geschäftlichen Profil definieren
    Arbeitskontakte im persönlichen Profil anzeigen Erlaubt
    Defaultwert
    Erlaubt das Erscheinen von Arbeitsprofilkontakten bei der Suche nach persönlichen Profilkontakten und eingehenden Anrufen
    Nicht erlaubt Verhindert, dass Kontakte aus dem Arbeitsprofil bei der Suche nach persönlichen Profilkontakten und eingehenden Anrufen angezeigt werden
    Nicht spezifiziert Entspricht Erlaubt
    Profilübergreifendes Kopieren & Einfügen    
    Erlaubt Text, der in einem der Profile kopiert wurde, kann in das andere Profil eingefügt werden
    Nicht spezifiziert Entspricht Nicht erlaubt
    Profilübergreifende Datenfreigabe Von der Arbeit zum persönlichen Profil verweigern
    Defaultwert
    Verhindert, dass Benutzer Daten aus dem Arbeitsprofil für Apps im persönlichen Profil freigeben. Persönliche Daten können mit Arbeits-Apps geteilt werden.
        Verhindert, dass Daten sowohl vom persönlichen Profil an das Arbeitsprofil als auch vom Arbeitsprofil an das persönliche Profil weitergegeben werden.
    Erlaubt Daten von einem der Profile können mit dem anderen Profil geteilt werden.
    Nicht spezifiziert Entspricht Nicht erlaubt
     Speichern Allen Angaben mussen gespeichert werden, um and die Geräte übertragen zu werden.


    Geräte Enrollment

    COBO: Registrierungs-Token für ein Profil

    Unter  Mobile SecurityAndroid-white-grey.png Android Geräte lässt ich mit der so bezeichneten Schaltfläche ein  Neues Gerät anmelden


    Beschriftung Option Beschreibung MSP v1.6.6 Android Geräte Anmeldung COBO.png
    Neues Gerät anmelden mit Android Enterprise
    Möchten Sie ein vorhandenes Registrierungstoken verwenden? Erstellen Sie ein neues Registrierungstoken Sollte bereits ein Registrierungstoken erstellt worden, das noch nicht abgelaufen ist, kann es hier ausgewählt und angezeigt werden. (Abb. s.u.)
    Profil Android Enterprise Profil Dieses Profil soll auf das zu registrierende Gerät angewendet werden.
    Lizenz TTT-Point AG | MDM [0/10] (aaaa) Auswahl der Lizenz, die für neu angemeldete Geräte verwendet werden soll.
    Es ist möglich, Geräte nach Ablauf einer Laufzeit-Lizenz einer neuen Lizenz zuzuordnen.
    Code nutzen
    Legt fest, ob beim Enrollment am Ende der Geräteregistrierung ein Code benötigt wird oder nicht notempty
    Sollte aktiviert werden, um zu verhindern, daß Geräte, die in unbefugte Hände gelangt sind mit konfigurierten Zugangsdaten oder anderen Firmen-Geheimnissen registriert werden
    notempty
    Aus Sicherheitsgründen für das ZeroTouch Enrollment können ausschließlich Enrollmenttokens ausgewählt werden, die mit einer PIN versehen worden sind.
    Weitere Optionen
    Dauer 30 Tage Legt fest, wie lange dieses Token verwendet werden kann
    Danach ist eine Geräteregistrierung mit diesem Token nicht mehr möglich.
    Mögliche Werte:

    30 Minuten
    Eine Stunde
    Ein Tag
    Eine Woche
    15 Tage
    30 Tage
    60 Tage
    90 Tage

    Unendlich
    Technisch handelt es sich um eine Begrenzung auf 10.000 Jahre
    Zusätzliche Daten     Mit dem Registrierungstoken verknüpfte beliebige Daten. Wird angezeigt unter  Geräte in der Geräteübersicht
    Nur einmal Gibt an, ob das Registrierungstoken nur einmal verwendet werden darf.
    Private Nutzung zulassen Private Nutzung ist nicht erlaubt

    Legt fest, ob die private Nutzung auf einem mit diesem Registrierungstoken angemeldeten Gerät zulässig ist.

    Die Deaktivierung der privaten Nutzung verhindert das Erstellen eines Arbeitscontainers.
     Registrierungstoken erstellen Erstellt einen Registrierungstoken mit QR-Code und einem Wert, der über die Tastatur eingetragen werden kann.
    Es wird der Name des zugehörigen Profils angezeigt, sowie das Datum, an dem es ausläuft und nicht mehr verwendet werden kann.
    MSP v1.6.4 Android Geräte Anmeldung Token.png


    COBO: Gerät registrieren

    Private Geräte mit zusätzlichem Arbeitsprofil (BYOD)

    Um private von geschäftlichen Apps unterscheiden zu können, wird die App Android Device Policy benötigt.
    Auf privaten Geräten, in denen nur das Arbeitsprofil von einer Organisation - und damit durch das Securepoint Mobile Security Profil - verwaltet wird, muss diese App manuell aus dem Android App-Store installiert werden.
    Mit dieser App wird der Registrierungstoken gescannt oder über die Tastatur eingegeben und die Geräte können im Portal registriert und konfiguriert werden.

  • Diese App erscheint nicht auf dem Homescreen oder im App Launcher.
    Der Aufruf der App erfolgt über die Liste der installierten Apps im Google Play Store
    • Scannen des QR-Codes oder Eingabe des des Registrierungstokens über Tastatur
      • Für das Enterprise Profil wird auf dem Gerät ein Arbeitsprofil erstellt
      • Alle konfigurierten Anwendungen, Einschränkungen etc. werden innerhalb des Arbeitsprofils erstellt und angewendet

    Firmeneigentum mit privater Nutzung (COPE)
    • Erstmaliges Anschalten oder Geräte-Reset (Werkseinstellungen)
    • Auswahl der Ländereinstellungen
    • 7-maliges schnelles Tippen auf das Display öffnet einen QR-Code-Scanner
    • Einscannen des Profil-QR-Codes (siehe oben)
    • Auf dem Gerät wird ein Arbeitsprofil erstellt
      • Alle konfigurierten Anwendungen, Einschränkungen etc. werden innerhalb des Arbeitsprofils erstellt und angewendet
      • Apps werden im Bereich "Geschäftlich" angezeigt und mit einem Koffersymbol versehen
    • Es kann zusätzlich ein privates Google Konto hinterlegt werden
      Dieser Vorgang kann auch später durchgeführt werden
      • Es wird ein privates Profil eingerichtet
      • Es existiert ein eigener Bereich Privat mit eigenem Playstore

    Vollständig verwaltete Geräte (COBO, COSU)

    Vollständig verwaltete Geräte (COBO: Company Owned, business only oder COSU: Company owned single use) werden bei der Ersteinrichtung oder nach einem Geräte-Reset direkt mit dem Android Enterprise Profil verbunden. Die Verknüpfung mit einem Googlekonto und damit mit einem App-Store wird durch das zugeordnete Profil definiert.

    • Erstmaliges Anschalten oder Geräte-Reset (Werkseinstellungen)
    • Auswahl der Ländereinstellungen
    • 7-maliges schnelles Tippen auf das Display öffnet einen QR-Code-Scanner
    • Einscannen des Profil-QR-Codes (siehe oben)
    • Das Gerät wird als vollständig verwaltetes Gerät eingerichtet.
      • Alle im Profil gespeicherten Richtlinien, Apss und Einschränkungen werden auf das Gerät unmittelbar angewendet
        Dieser Vorgang kann bei der Erstinstallation einige Minuten dauern!

    Zero-Touch Geräte































    Registrierung im Menü  Mobile Security Android Zero-Touch
    Entweder

    • Gerät einer bestehende Konfiguration hinzufügen:
      • Konfiguration bearbeiten: Gerätekachel anklicken (oder über das Hamburger-Menü in der Gerätekachel oben rechts /  Bearbeiten)
      • ggf. neues, gültiges Enrollmenttoken wählen
        Enrollmenttoken sind maximal 30 Tage lang gültig
      • Gerät(e) anhand der IMEI oder Seriennummer auswählen
      • Angaben speichern

    oder

    • mit der Schaltfläche  Konfiguration hinzufügen
      • Enrollmenttoken wählen
      • Kunde wählen
      • Weitere Angaben vervollständigen (Unternehmensname, Kontaktdaten…)
      • Gerät(e) anhand der IMEI oder Seriennummer auswählen
      • Angaben speichern
  • Sobald das Gerät erstmalig bzw. nach einem Werksreset mit dem Internet verbunden wird, wird das Profil auf das Gerät gepusht und die Verbindung zum MDM hergestellt.
    Das Enrollment auf dem Gerät selbst ist, je nach Konfiguration, genau so, wie in den Abschnitten COPE, COBU oder COSU beschrieben.
    Es entfällt lediglich das Scannen des Enrollment Tokens!
  • Name TTT-Point Zero Touch Name der Konfiguration MSP v1.16 Zero-Touch Konfiguration hinzufügen.png
    Menü zum Hinzufügen von Zero-Touch Geräten
    Enrollmenttoken
    Profil: Gewähltes Profil | Token abCD12 Der ausgewählte Enrollmenttoken (wie im Menü Geräte / Neues Gerät anmelden erzeugt) wird auf alle Geräte angewandt, die mit dieser Konfiguration enrolled werden. notempty
    Aus Sicherheitsgründen für das ZeroTouch Enrollment können ausschließlich Enrollmenttokens ausgewählt werden, die mit einer PIN versehen worden sind.
    Kunde SecurepointCustomer Die Bezeichnung für den Kunden, so wie sie an den Geräte-Händler übermittelt wurde.
    Wurden mehrere Gmail-Adressen mit dem Zero-Touch-Portal verknüpft, können hier verschiedene Bezeichnungen ausgewählt werden.
    Standard Definiert ob diese Konfiguration der Standard ist oder nicht.
    Bei Aktivierung    werden neue Zero-Touch Geräte automatisch dieser Konfiguration hinzugefügt, sofern keine Andere angegeben wird
    Hinweis: Es sollte mindestens eine Konfiguration als Standard definiert sein.
    Unternehmen TTT-Point Frei wählbare Bezeichnung für das Unternehmen, dem dieses Gerät zugeordnet werden soll.
    E-Mail admin@anyideas.de Kontakt-E-Mail-Adresse
    Wird im Laufe des Einrichtungsprozesses auf dem Handy angezeigt, wenn auf dem Bildschirm "Dieses Gerät gehört deiner Organisation" auf IT-Administrator getippt wird.
    Telefonnummer 01234-56789 Kontakt-Telefonnummer Anzeige s.o.
    Benutzerdefinierte Nachricht Willkommen bei TTT-Point Wird während des Gerätesetups auf dem Display angezeigt
    Geräte 123456789012345 Geräten kann diese Konfiguration anhand ihrer IMEI oder Seriennummer zugeordnet werden
  • Das Feld ist nur aktiv, wenn auch ein Kunde ausgewählt wurde
  •  Speichern Speichert die Konfiguration
    Zero-Touch Konfiguration mit zugeordnetem Gerät MSP v1.16 Zero-Touch Konfiguration.png

    Abschluss durch Benutzer

  • Der Endanwender muss nun das Gerät erstmalig einschalten und eine Internetverbindung herstellen.
    Die Konfiguration aus dem Profil wird anschließend automatisch auf das Gerät angewendet.

  • Geräte aus der Verwaltung durch Mobile Security entfernen

    Private Geräte mit Arbeitsprofil (BYOD)

    Unter  Geräte /   Löschen in der jeweiligen Geräte-Kachel kann die Verwaltung von den Geräten entfernt werden:

    • Alle Apps und Daten innerhalb des Arbeitsprofils werden gelöscht
    • Das Arbeitsprofil auf diesen Geräten wird entfernt.

    Firmengeräte mit privater Nutzung (COPE)

    Unter  Geräte /   Löschen in der jeweiligen Geräte-Kachel kann die Verwaltung von den Geräten entfernt werden:

    • Alle Daten werden gelöscht.
    • Die Geräte werden automatisch und unverzüglich auf ihren Werkszustand zurückgesetzt!


    Unter  Mobile SecurityAndroid-white-grey.png Android Geräte Reiter Operationen Schaltfläche  Eigentum abgeben kann das Gerät aus der Verwaltung entfernt werden:

    • Alle Apps und Daten innerhalb des Arbeitsprofils werden gelöscht
    • Das Arbeitsprofil auf diesen Geräten wird entfernt.


    Vollständig verwaltete Geräte (COBO / COSU)

    Unter  Geräte /   Löschen in der jeweiligen Geräte-Kachel kann die Verwaltung von den Geräten entfernt werden:

    • Alle Daten werden gelöscht.
    • Die Geräte werden automatisch und unverzüglich auf ihren Werkszustand zurückgesetzt!



    Firmeneigentum mit einer einzigen Anwendung:

    • COSU-Geräte sind für eine spezifische Aufgabe konfiguriert
    • Dies wird meist über einen Kioskmodus realisiert
    • Einstellung unter:  Mobile SecurityAndroid-white-grey.png Android  Profile → Reiter Anwendungen Eintrag Installationstyp Kiosk






























    Ablauf

    Hier werden die erforderlichen Schritte beschrieben, um Android Geräte verbinden zu können:

    Voraussetzungen:

    1. Das Securepoint Mobile Device Management (MDM) muss mit einem Google-Konto als Android Enterprise Konto verknüpft sein
    2. Im Securepoint Unified Security Portal konfiguriertes Android Enterprise Profil

    Enrollment:

    1. Registrierungs-Token für ein Profil erstellen
    2. Gerät registrieren


    Vorbereitung

    Es muss eine Verbindung vom Securepoint Mobile Security Portal zu einem Android Enterprise Konto bestehen.






























    COSU: Verknüpfung Google Enterprise mit Securepoint Mobile Security

    MS 1.27 Einstellungen Android verknüpft.png
    Einstellungen für Apple und Android
    Um Google Enterprise für Unternehmen nutzen und über Securepoint Mobile Security administrieren zu können, muss eine Verknüpfung zwischen dem Konto bei Securepoint Mobile Security und einem Google-Konto für EMM hergestellt werden.
    notempty
    Wichtig ist hierbei, dass es nur noch ein Google-Enterprise-Konto für alle Geräte eines Tenants (Kunde mit eigenem Mobile-Security-Konto) gibt. Ohne EMM hat jedes Gerät ein eigenes Google-Konto.

    notempty
    Ein Google-Konto darf jeweils mit nur einem Tenant verknüpft werden!
    Andernfalls erscheinen alle Geräte, die einem Tenant – und damit einem Google-Konto – zugeordneten wurden in allen weiteren Tenants, die mit dem gleichen Google-Konto verknüpft sind!
    Verknüpfung im Menü
    Verknüpfung im Menü

     Mobile Security Einstellungen  Android Enterprise Hinzufügen/Verknüpfen
    Ein Google-Konto wird durch die Verknüpfung mit Securepoint Mobile Security als EMM-Anbieter zu einem Enterprise Konto
    Die Kommunikation des Securepoint Mobile Security Portals läuft hierbei komplett über dieses Google-Konto.

    notempty
    Um ungewollte Nebeneffekte zu vermeiden, sollte unbedingt ein neues Konto angelegt werden.

    Es empfiehlt sich hierbei ein Namensschema zu verwenden: mdm.$Kundenname@gmail.com


    Step-by-step.png


    Menü  Mobile Security Einstellungen  Android Enterprise Hinzufügen/Verknüpfen

    MS v1.4.7 Google-Enterprise-hinzufügen.png
    Enterprise Benutzerkonto hinzufügen
    GoogleAdmin Konto erstellen.png
    E-Mail-Adresse, für die Verknüpfung mit Android Enterprise
    • Es können E-Mail-Adressen mit einer Domain der eigenen Organisation verwendet werden (z.b. mdm@anyideas.de)
    • Es können E-Mail-Adressen von Mail-Anbietern verwendet werden (z.B. mdm.anyideas@gmail.com)
    GoogleAdmin Konto Adresse bestätigen.png
    Wird eine E-Mail-Adresse mit einer Domain der eigenen Organisation verwendet werden (z.b. mdm@anyideas.de) muss diese bestätigt werden
    GoogleAdmin Konto private Adresse.png
    Wird eine E-Mail-Adresse mit einer Domain eines Mail-Anbieters verwendet (z.b. mdm.anyideas@gmail.com) muss die Option Nur für Android registrieren gewählt werden.
    Android fuer Arbeit nutzen.png
    MS v1.4.7 Google-Enterprise-hinzufügen Schritt2.png
    Name des Unternehmens.
    Die Verknüpfung mit Securepoint Mobile Security ist bereits vorgegeben.
    MS v1.4.7 Google-Enterprise-hinzufügen Kontaktdaten.png
    Es sind Angaben zum/r Datenschutzbeauftragten und EU-Bevollmächtigten erforderlich
    MS v1.4.7 Google-Enterprise-hinzufügen abschliessen.png
    Die Registrierung bei Google kann damit abgeschlossen werden.
    MS 1.27 Google Enterprise E-Mail-Adresse.png
    Es erfolgt eine Weiterleitung zurück zum Securepoint Mobile Security Portal.
    Die E-Mail-Adresse, mit der die Verknüpfung erstellt wurde sollte nun gespeichert werden um eine spätere Zuordnung zu ermöglichen.
    Die Einrichtung muss mit  Speichern abgeschlossen werden.
    MS 1.27 Einstellungen Android verknüpft.png
    Die Verknüpfung ist jetzt hergestellt.
    MS v1.4.7 Google-Enterprise-hinzufügen nicht registriert.png
    Sollte diese Meldung beim Aufruf von https://play.google.com/work erscheinen, ist die Registrierung im Securepoint Mobile Security Portal noch nicht abgeschlossen worden und kein Token verknüpft!











    Es muss ein Android-Profil geben, daß dem Gerät zugeordnet werden kann.

    COSU: Android Profil

    Unter  Mobile Security Android  Profile lässt sich ein  Profil hinzufügen, ein  Profil importieren oder ein bestehendes Profil bearbeiten (Klick auf Profilkachel oder  Bearbeiten )
    Hier wiederum werden verschiedene Konfiguration vorgenommen, z.B.:

  • Best Practice: Beschreibung der wichtigsten Konfigurationsmöglichkeiten

  • notempty
    Zusätzlich zur Konfiguration der Grundeinstellungen, Einschränkungen, Netzwerke etc. sind folgende Einstellungen im Profil erforderlich:
    Anwendungen
    Anwendungen

    Installationstyp Kiosk muss im Reiter Anwendungen für eine einzige App hinzugefügt werden

    Beschriftung Wert Beschreibung MSP v1.6.6 Android Profile Anwendungen Kiosk.png
    Anwendung mit Installationstyp Kiosk
     Anwendung hinzufügen
    Paketname de.ausgewählte.App Paket aus Dropdownmenü auswählen oder mit  Anwendung auswählen hinzufügen
    Installationstyp Kiosk
    • Die App wird automatisch im Kioskmodus installiert: Sie ist als bevorzugte Ausgangsart festgelegt und für den Sperren-Task-Modus auf die Allowlist gesetzt.
    • Das Geräte-Setup wird erst abgeschlossen, wenn die App installiert ist
    • Nach der Installation können Benutzer die App nicht mehr entfernen
    • Sie können diesen installationstyp nur für eine App pro Profil festlegen
    • Wenn dies in dem Profil vorhanden ist, wird die Statusleiste automatisch deaktiviert.
    Einschränkungen
    Einschränkungen

    Einstellungen im Reiter Einschränkungen für den Kioskmodus

    Aktivieren Sie den benutzerdefinierten Kiosk-Starter Blendet alle Systemanwendungen im Homescreen aus und zeigt nur die Apps an, die über das Profil installiert wurden.
    Es wird empfohlen, zusätzlich die Statusleiste zu deaktivieren, um den Zugriff auf Geräteeinstellungen zu blockieren.
    Power-Button-Aktionen Nicht spezifiziert Legt das Verhalten eines Geräts im Kioskmodus fest, wenn ein Benutzer die Ein- / Aus-Taste drückt und gedrückt hält.
    Standardmäßig verfügbar
    Verfügbar Das Ein- / Ausschaltmenü (z. B. Ausschalten, Neustart) wird angezeigt, wenn ein Benutzer im Kioskmodus die Ein- / Aus-Taste eines Geräts lange drückt
    Blockiert Das Ein / Aus-Menü (z. B. Ausschalten, Neustart) wird nicht angezeigt, wenn ein Benutzer im Kioskmodus lange auf die Ein- / Aus-Taste eines Geräts drückt
  • Dies kann Benutzer daran hindern, das Gerät auszuschalten
  • Systemfehlerwarnungen Nicht spezifiziert Gibt an, ob Systemfehlerdialoge für abgestürzte oder nicht reagierende Apps im Kioskmodus blockiert werden.
    Standardmäßig stummgeschaltet.
    Aktiviert Alle Systemfehlerdialoge wie Absturz und App reagiert nicht (ANR) werden angezeigt.
    Stumm Alle Systemfehlerdialoge wie Absturz und nicht reagierende App (ANR) werden blockiert. Wenn es blockiert ist, stoppt das System die App zwangsweise, als ob der Benutzer die App über die Benutzeroberfläche schließt.
    Systemnavigation Nicht spezifiziert Gibt an, welche Navigationsfunktionen im Kioskmodus aktiviert sind (z. B. Home, Übersichtstasten).
    Aktiviert Home- und Übersichtsschaltflächen sind aktiviert.
    Deaktiviert Auf die Schaltflächen Home und Übersicht kann nicht zugegriffen werden.
    Nur Home-Taste Nur die Home-Taste ist aktiviert.
    Statusleiste Nicht spezifiziert Gibt an, ob Systeminformationen und Benachrichtigungen im Kioskmodus deaktiviert sind.
    Standardmäßig Benachrichtigungen und Systeminformationen deaktiviert.
    Benachrichtigungen und Systeminformationen aktiviert Systeminformationen und Benachrichtigungen werden im Kioskmodus in der Statusleiste angezeigt
    Benachrichtigungen und Systeminformationen deaktiviert Systeminformationen und Benachrichtigungen sind im Kioskmodus deaktiviert
    Nur Systeminformationen In der Statusleiste werden nur Systeminformationen angezeigt
    Geräteeinstellungen Nicht spezifiziert Gibt an, ob ein Benutzer im Kioskmodus auf die App Einstellungen des Geräts zugreifen kann
    Standardmäßig zulässig
    Erlaubt Der Zugriff auf die Einstellungen-App ist im Kioskmodus zulässig
    Blockiert Der Zugriff auf die Einstellungen-App ist im Kioskmodus nicht zulässig
    notempty
    Zusätzlich zur Konfiguration der Grundeinstellungen, Einschränkungen, Netzwerke etc. sind folgende Einstellungen im Profil erforderlich:
    Vorlage:H5 Persönlicher Gebrauch

    Im Reiter Persönlicher Gebrauch muss eben dieses explizit erlaubt und ggf. weitere Einstellungen vorgenommen werden

    Beschriftung Wert Beschreibung MSP v1.6.6 Android Profile Persönlicher-Gebrauch.png
    Reiter Persönlicher Gebrauch
    Aktivieren   
    default: aus
    Ermöglicht die Steuerung der privaten Nutzung
    Wird dieser Schalter nicht aktiviert, kann der Nutzer ohne Einschränkungen private Apps installieren!
    Kamera deaktivieren Deaktiviert die Kamera im persönlichen Profil
    Um die Kamera für geschäftliche Anwendungen nutzern zu können, muss diese als App im Reiter Anwendungen hinterlegt werden.
    Deaktivieren Sie die Bildschirmaufnahme Bildschirmaufnahmen (Screenshots) sind bei Aktivierung nicht möglich
    Kontotypen mit deaktivierter Verwaltung     Kontotypen, die vom Benutzer nicht verwaltet werden können.
    Beispiele:
    • com.twitter.android.auth.login
    • com.facebook.auth.login
    • com.linkedin.android
    • com.google verhindert das Hinzufügen von Google-Accounts in allen Google Apps (inkl. Gmail, Google Calendar, Google Drive, etc.)
      Darf nicht bei COPE Geräten eingetragen sein. Wird diese Option nachträglich entfernt, muss ein erneutes Enrollment durchgeführt werden.
  • com.google verhindert das Hinzufügen von Google-Accounts. Eine private Nutzung wäre damit nicht mehr möglich und darf daher nicht bei COPE Geräten verwendet werden
  • Max. Tage ohne Arbeit 0Link= Steuert, wie lange das Arbeitsprofil ausgeschaltet bleiben kann.
    (In der App-Übersicht lassen sich die Apps und Benachrichtigungen des Arbeitsprofils deaktivieren.)
    Persönlicher Play Store-Modus Nicht spezifiziert Gibt an, ob die Apps im Abschnitt Persönliche Anwendungen im persönlichen Profil zugelassen oder blockiert werden.
    Standardmäßig Blockliste.
    Es muss zusätzlich der Installationstyp angegeben werden.
    Zulassungsliste Im persönlichen Profil dürfen nur Apps installiert werden, die explizit in Persönliche Anwendungen angegeben sind und deren Installationstyp auf Verfügbar eingestellt ist.
    Blocklist Alle Play Store-Apps können im persönlichen Profil installiert werden, mit Ausnahme derjenigen, deren Installationstyp unter "Persönliche Anwendungen" "Blockiert" ist.
    Persönliche Anwendungen  Anwendung hinzufügen Richtlinien für Apps im persönlichen Profil eines unternehmenseigenen Geräts mit einem Arbeitsprofil
    Paketname de.ausgewählte.App Paket aus Dropdownmenü auswählen oder mit  Anwendung auswählen hinzufügen
    Installationstyp Nicht spezifiziert Die Art wie die Installation durchgeführt wird.
    (Nicht spezifiziert=Default: Verfügbar)
  • nicht spezifiziert wird als Verfügbar gewertet und überschreibt die Einstellung des Play Store-Modus Blocklist bzw. Nicht spezifiziert
  • Blockieren Die App wird blockiert und kann nicht installiert werden. Wenn die App über ein altes Profil installiert wurde, wird diese deinstalliert
    Verfügbar Die App steht zur installation bereit
  • Private Apps müssen mit einem eigenen Google-Account hinzugefügt werden
  • Profilübergreifende Richtlinien
    Aktivieren Richtlinien, die bei Aktivierung Einschränkungen in der Kommuikation zwischen privatem und geschäftlichen Profil definieren
    Arbeitskontakte im persönlichen Profil anzeigen Erlaubt
    Defaultwert
    Erlaubt das Erscheinen von Arbeitsprofilkontakten bei der Suche nach persönlichen Profilkontakten und eingehenden Anrufen
    Nicht erlaubt Verhindert, dass Kontakte aus dem Arbeitsprofil bei der Suche nach persönlichen Profilkontakten und eingehenden Anrufen angezeigt werden
    Nicht spezifiziert Entspricht Erlaubt
    Profilübergreifendes Kopieren & Einfügen    
    Erlaubt Text, der in einem der Profile kopiert wurde, kann in das andere Profil eingefügt werden
    Nicht spezifiziert Entspricht Nicht erlaubt
    Profilübergreifende Datenfreigabe Von der Arbeit zum persönlichen Profil verweigern
    Defaultwert
    Verhindert, dass Benutzer Daten aus dem Arbeitsprofil für Apps im persönlichen Profil freigeben. Persönliche Daten können mit Arbeits-Apps geteilt werden.
        Verhindert, dass Daten sowohl vom persönlichen Profil an das Arbeitsprofil als auch vom Arbeitsprofil an das persönliche Profil weitergegeben werden.
    Erlaubt Daten von einem der Profile können mit dem anderen Profil geteilt werden.
    Nicht spezifiziert Entspricht Nicht erlaubt
     Speichern Allen Angaben mussen gespeichert werden, um and die Geräte übertragen zu werden.


    Geräte Enrollment

    COSU: Registrierungs-Token für ein Profil

    Unter  Mobile SecurityAndroid-white-grey.png Android Geräte lässt ich mit der so bezeichneten Schaltfläche ein  Neues Gerät anmelden


    Beschriftung Option Beschreibung MSP v1.6.6 Android Geräte Anmeldung COBO.png
    Neues Gerät anmelden mit Android Enterprise
    Möchten Sie ein vorhandenes Registrierungstoken verwenden? Erstellen Sie ein neues Registrierungstoken Sollte bereits ein Registrierungstoken erstellt worden, das noch nicht abgelaufen ist, kann es hier ausgewählt und angezeigt werden. (Abb. s.u.)
    Profil Android Enterprise Profil Dieses Profil soll auf das zu registrierende Gerät angewendet werden.
    Lizenz TTT-Point AG | MDM [0/10] (aaaa) Auswahl der Lizenz, die für neu angemeldete Geräte verwendet werden soll.
    Es ist möglich, Geräte nach Ablauf einer Laufzeit-Lizenz einer neuen Lizenz zuzuordnen.
    Code nutzen
    Legt fest, ob beim Enrollment am Ende der Geräteregistrierung ein Code benötigt wird oder nicht notempty
    Sollte aktiviert werden, um zu verhindern, daß Geräte, die in unbefugte Hände gelangt sind mit konfigurierten Zugangsdaten oder anderen Firmen-Geheimnissen registriert werden
    notempty
    Aus Sicherheitsgründen für das ZeroTouch Enrollment können ausschließlich Enrollmenttokens ausgewählt werden, die mit einer PIN versehen worden sind.
    Weitere Optionen
    Dauer 30 Tage Legt fest, wie lange dieses Token verwendet werden kann
    Danach ist eine Geräteregistrierung mit diesem Token nicht mehr möglich.
    Mögliche Werte:

    30 Minuten
    Eine Stunde
    Ein Tag
    Eine Woche
    15 Tage
    30 Tage
    60 Tage
    90 Tage

    Unendlich
    Technisch handelt es sich um eine Begrenzung auf 10.000 Jahre
    Zusätzliche Daten     Mit dem Registrierungstoken verknüpfte beliebige Daten. Wird angezeigt unter  Geräte in der Geräteübersicht
    Nur einmal Gibt an, ob das Registrierungstoken nur einmal verwendet werden darf.
    Private Nutzung zulassen Private Nutzung ist nicht erlaubt

    Legt fest, ob die private Nutzung auf einem mit diesem Registrierungstoken angemeldeten Gerät zulässig ist.

    Die Deaktivierung der privaten Nutzung verhindert das Erstellen eines Arbeitscontainers.
     Registrierungstoken erstellen Erstellt einen Registrierungstoken mit QR-Code und einem Wert, der über die Tastatur eingetragen werden kann.
    Es wird der Name des zugehörigen Profils angezeigt, sowie das Datum, an dem es ausläuft und nicht mehr verwendet werden kann.
    MSP v1.6.4 Android Geräte Anmeldung Token.png


    COSU: Gerät registrieren

    Private Geräte mit zusätzlichem Arbeitsprofil (BYOD)

    Um private von geschäftlichen Apps unterscheiden zu können, wird die App Android Device Policy benötigt.
    Auf privaten Geräten, in denen nur das Arbeitsprofil von einer Organisation - und damit durch das Securepoint Mobile Security Profil - verwaltet wird, muss diese App manuell aus dem Android App-Store installiert werden.
    Mit dieser App wird der Registrierungstoken gescannt oder über die Tastatur eingegeben und die Geräte können im Portal registriert und konfiguriert werden.

  • Diese App erscheint nicht auf dem Homescreen oder im App Launcher.
    Der Aufruf der App erfolgt über die Liste der installierten Apps im Google Play Store
    • Scannen des QR-Codes oder Eingabe des des Registrierungstokens über Tastatur
      • Für das Enterprise Profil wird auf dem Gerät ein Arbeitsprofil erstellt
      • Alle konfigurierten Anwendungen, Einschränkungen etc. werden innerhalb des Arbeitsprofils erstellt und angewendet

    Firmeneigentum mit privater Nutzung (COPE)
    • Erstmaliges Anschalten oder Geräte-Reset (Werkseinstellungen)
    • Auswahl der Ländereinstellungen
    • 7-maliges schnelles Tippen auf das Display öffnet einen QR-Code-Scanner
    • Einscannen des Profil-QR-Codes (siehe oben)
    • Auf dem Gerät wird ein Arbeitsprofil erstellt
      • Alle konfigurierten Anwendungen, Einschränkungen etc. werden innerhalb des Arbeitsprofils erstellt und angewendet
      • Apps werden im Bereich "Geschäftlich" angezeigt und mit einem Koffersymbol versehen
    • Es kann zusätzlich ein privates Google Konto hinterlegt werden
      Dieser Vorgang kann auch später durchgeführt werden
      • Es wird ein privates Profil eingerichtet
      • Es existiert ein eigener Bereich Privat mit eigenem Playstore

    Vollständig verwaltete Geräte (COBO, COSU)

    Vollständig verwaltete Geräte (COBO: Company Owned, business only oder COSU: Company owned single use) werden bei der Ersteinrichtung oder nach einem Geräte-Reset direkt mit dem Android Enterprise Profil verbunden. Die Verknüpfung mit einem Googlekonto und damit mit einem App-Store wird durch das zugeordnete Profil definiert.

    • Erstmaliges Anschalten oder Geräte-Reset (Werkseinstellungen)
    • Auswahl der Ländereinstellungen
    • 7-maliges schnelles Tippen auf das Display öffnet einen QR-Code-Scanner
    • Einscannen des Profil-QR-Codes (siehe oben)
    • Das Gerät wird als vollständig verwaltetes Gerät eingerichtet.
      • Alle im Profil gespeicherten Richtlinien, Apss und Einschränkungen werden auf das Gerät unmittelbar angewendet
        Dieser Vorgang kann bei der Erstinstallation einige Minuten dauern!

    Zero-Touch Geräte































    Registrierung im Menü  Mobile Security Android Zero-Touch
    Entweder

    • Gerät einer bestehende Konfiguration hinzufügen:
      • Konfiguration bearbeiten: Gerätekachel anklicken (oder über das Hamburger-Menü in der Gerätekachel oben rechts /  Bearbeiten)
      • ggf. neues, gültiges Enrollmenttoken wählen
        Enrollmenttoken sind maximal 30 Tage lang gültig
      • Gerät(e) anhand der IMEI oder Seriennummer auswählen
      • Angaben speichern

    oder

    • mit der Schaltfläche  Konfiguration hinzufügen
      • Enrollmenttoken wählen
      • Kunde wählen
      • Weitere Angaben vervollständigen (Unternehmensname, Kontaktdaten…)
      • Gerät(e) anhand der IMEI oder Seriennummer auswählen
      • Angaben speichern
  • Sobald das Gerät erstmalig bzw. nach einem Werksreset mit dem Internet verbunden wird, wird das Profil auf das Gerät gepusht und die Verbindung zum MDM hergestellt.
    Das Enrollment auf dem Gerät selbst ist, je nach Konfiguration, genau so, wie in den Abschnitten COPE, COBU oder COSU beschrieben.
    Es entfällt lediglich das Scannen des Enrollment Tokens!
  • Name TTT-Point Zero Touch Name der Konfiguration MSP v1.16 Zero-Touch Konfiguration hinzufügen.png
    Menü zum Hinzufügen von Zero-Touch Geräten
    Enrollmenttoken
    Profil: Gewähltes Profil | Token abCD12 Der ausgewählte Enrollmenttoken (wie im Menü Geräte / Neues Gerät anmelden erzeugt) wird auf alle Geräte angewandt, die mit dieser Konfiguration enrolled werden. notempty
    Aus Sicherheitsgründen für das ZeroTouch Enrollment können ausschließlich Enrollmenttokens ausgewählt werden, die mit einer PIN versehen worden sind.
    Kunde SecurepointCustomer Die Bezeichnung für den Kunden, so wie sie an den Geräte-Händler übermittelt wurde.
    Wurden mehrere Gmail-Adressen mit dem Zero-Touch-Portal verknüpft, können hier verschiedene Bezeichnungen ausgewählt werden.
    Standard Definiert ob diese Konfiguration der Standard ist oder nicht.
    Bei Aktivierung    werden neue Zero-Touch Geräte automatisch dieser Konfiguration hinzugefügt, sofern keine Andere angegeben wird
    Hinweis: Es sollte mindestens eine Konfiguration als Standard definiert sein.
    Unternehmen TTT-Point Frei wählbare Bezeichnung für das Unternehmen, dem dieses Gerät zugeordnet werden soll.
    E-Mail admin@anyideas.de Kontakt-E-Mail-Adresse
    Wird im Laufe des Einrichtungsprozesses auf dem Handy angezeigt, wenn auf dem Bildschirm "Dieses Gerät gehört deiner Organisation" auf IT-Administrator getippt wird.
    Telefonnummer 01234-56789 Kontakt-Telefonnummer Anzeige s.o.
    Benutzerdefinierte Nachricht Willkommen bei TTT-Point Wird während des Gerätesetups auf dem Display angezeigt
    Geräte 123456789012345 Geräten kann diese Konfiguration anhand ihrer IMEI oder Seriennummer zugeordnet werden
  • Das Feld ist nur aktiv, wenn auch ein Kunde ausgewählt wurde
  •  Speichern Speichert die Konfiguration
    Zero-Touch Konfiguration mit zugeordnetem Gerät MSP v1.16 Zero-Touch Konfiguration.png

    Abschluss durch Benutzer

  • Der Endanwender muss nun das Gerät erstmalig einschalten und eine Internetverbindung herstellen.
    Die Konfiguration aus dem Profil wird anschließend automatisch auf das Gerät angewendet.

  • Geräte aus der Verwaltung durch Mobile Security entfernen

    Private Geräte mit Arbeitsprofil (BYOD)

    Unter  Geräte /   Löschen in der jeweiligen Geräte-Kachel kann die Verwaltung von den Geräten entfernt werden:

    • Alle Apps und Daten innerhalb des Arbeitsprofils werden gelöscht
    • Das Arbeitsprofil auf diesen Geräten wird entfernt.

    Firmengeräte mit privater Nutzung (COPE)

    Unter  Geräte /   Löschen in der jeweiligen Geräte-Kachel kann die Verwaltung von den Geräten entfernt werden:

    • Alle Daten werden gelöscht.
    • Die Geräte werden automatisch und unverzüglich auf ihren Werkszustand zurückgesetzt!


    Unter  Mobile SecurityAndroid-white-grey.png Android Geräte Reiter Operationen Schaltfläche  Eigentum abgeben kann das Gerät aus der Verwaltung entfernt werden:

    • Alle Apps und Daten innerhalb des Arbeitsprofils werden gelöscht
    • Das Arbeitsprofil auf diesen Geräten wird entfernt.


    Vollständig verwaltete Geräte (COBO / COSU)

    Unter  Geräte /   Löschen in der jeweiligen Geräte-Kachel kann die Verwaltung von den Geräten entfernt werden:

    • Alle Daten werden gelöscht.
    • Die Geräte werden automatisch und unverzüglich auf ihren Werkszustand zurückgesetzt!