KKeine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
Zeile 5: | Zeile 5: | ||
</div> | </div> | ||
{{DISPLAYTITLE:{{#var:display|Best Practice EMM-Profil}} }}{{Select_lang}}{{TOC2}} | {{DISPLAYTITLE:{{#var:display|Best Practice EMM-Profil}} }}{{Select_lang}}{{TOC2|Bild={{#var:Profile--Bild}}|cap={{#var:Profile--cap}} }} | ||
{{Header|12.2021| | |||
* {{#var:neu--Sekunden}} | * {{#var:neu--Sekunden}} | ||
* {{#var:neu--Menü-Anpassung}} | |||
}} | |||
<p>{{Hinweis|!! {{#var:4|Die hier gezeigten Einstellungen sind Beispiele, die einen möglichst umfassenden Schutz bieten. Eine <u>Anpassung an lokale Anforderungen</u> ist unbedingt vorzunehmen !}}|gr}}</p> | <p>{{Hinweis|!! {{#var:4|Die hier gezeigten Einstellungen sind Beispiele, die einen möglichst umfassenden Schutz bieten. Eine <u>Anpassung an lokale Anforderungen</u> ist unbedingt vorzunehmen !}}|gr}}</p> | ||
Zeile 22: | Zeile 17: | ||
---- | ---- | ||
=== {{#var: | === {{#var:Vorbemerkung}} === | ||
< | <div class="Einrücken">{{#var:Vorbemerkung--desc}} | ||
<p>{{#var:8|In Android Enterprise-Profilen könnn '''zahlreiche sicherheitsrelevante Einstellungen''' vorgenommen werden, so z.B. | <p>{{#var:8|In Android Enterprise-Profilen könnn '''zahlreiche sicherheitsrelevante Einstellungen''' vorgenommen werden, so z.B. | ||
* Kamara deaktivieren | * Kamara deaktivieren | ||
Zeile 38: | Zeile 32: | ||
<p>{{Hinweis | ! {{#var:9|Android Enterprise Profile werden unmittelbar angewendet und müssen nicht veröffentlicht werden !}} }} </p> | <p>{{Hinweis | ! {{#var:9|Android Enterprise Profile werden unmittelbar angewendet und müssen nicht veröffentlicht werden !}} }} </p> | ||
<br clear=all> | {{Einblenden| {{#var:Legacy--Hinweis}} | {{#var:hide}} | true | dezent}} | ||
{{#var:Legacy--Hinweis--desc}} | |||
</div></span></div> | |||
</div><br clear=all> | |||
=== {{#var:10|Android Enterprise Profil}} === | === {{#var:10|Android Enterprise Profil}} === | ||
Zeile 44: | Zeile 41: | ||
{{pt3|{{#var:12|MS v1.4.8 Profile Android-emm Allgemein.png}} | {{#var:13|Allgemeine Einstellungen}} }} | {{pt3|{{#var:12|MS v1.4.8 Profile Android-emm Allgemein.png}} | {{#var:13|Allgemeine Einstellungen}} }} | ||
{{#var:Profile--Menü}}<br> | |||
{{#var:14|Anzeige der verwendeten Plattform, des Profil-Namens und der zugeordneten Geräte.}} | {{#var:14|Anzeige der verwendeten Plattform, des Profil-Namens und der zugeordneten Geräte.}} | ||
<br clear=All> | <br clear=All> |
Version vom 20. März 2023, 15:28 Uhr
Die hier gezeigten Einstellungen sind Beispiele, die einen möglichst umfassenden Schutz bieten. Eine Anpassung an lokale Anforderungen ist unbedingt vorzunehmen !
Eine Anleitung, wie Securepoint Mobile Security mit Android Enterpride-Konten verbunden werden kann findet sich hier.
Vorbemerkung
- Die Geräte-Registrierung wird direkt an ein Profil gebunden
- Es muss zuerst ein Profil angelegt (und konfiguriert) werden, bevor ein Gerät registriert werden kann
In Android Enterprise-Profilen könnn zahlreiche sicherheitsrelevante Einstellungen vorgenommen werden, so z.B.
- Kamara deaktivieren
- Mikrofon deaktivieren
- USB-Dateiübertragung deaktivieren
- ausgehende Anrufe deaktivieren
- Bluetooth deaktivieren
- Kontaktfreigabe deaktivieren
- Tethering deaktivieren
- sms deaktivieren
- Netzwerk nur mit VPN ermöglichen
- uvm.
Android Enterprise Profile werden unmittelbar angewendet und müssen nicht veröffentlicht werden !
- Frühere Android Profile verhalten sich grundlegend anders als aktuelle Android Enterprise-Profile (EMM)
- Es ist nicht mehr möglich ein Profil einer Rolle, einem Benutzer oder einem Tag zuzuordnen
Android Enterprise Profil
Allgemein
Profil hinzufügen
Anzeige der verwendeten Plattform, des Profil-Namens und der zugeordneten Geräte.
Grundeinstellungen
Die hier gezeigten Einstellungen sind Beispiele, die einen möglichst umfassenden Schutz bieten. Eine Anpassung an lokale Anforderungen ist unbedingt vorzunehmen !
Compliance
Es können Regeln definiert werden, wann das Telefon bzw das Arbeitsprofil gesperrt und wann es gelöscht (in Werkszustand zurückgesetzt) wird. Der Anwender wird aufgefordert, die ausgewählte Richtlinie auf dem Gerät zu aktivierten. Andernfalls wird das Gerät / Arbeitsprofil geblockt bzw. auf die Werkseinstellungen zurückgesetzt / gelöscht.
Anwendungen
Apps auf Geräten, die über EMM verwaltet werden, werden innerhalb der Profile konfiguriert !
Das Menü
hat auf diese Profile / Geräte keine Auswirkung!Anwendung hinzufügen
Anwendung auswählen Auswahl der gewünschten Apps Für unser Beispiel: Nextcloud
Erscheint neben dem App-Logo entsprechender Hinweis, können bestimmte Werte an die App übergeben werden
Siehe Manage configuration template
Übernahme der App mit Auswählen
Die hier gezeigten Einstellungen sind Beispiele. Eine Anpassung an lokale Anforderungen ist unbedingt vorzunehmen !
Benutzer | Vorgeschlagener Wert | Beschreibung |
---|---|---|
Platzhalter-Variablen ersetzen | (Default) | Bei Aktivierung wird der Inhalt der Variablen $username$ und $emailaddress$ aus den Benutzereinstellungen desjenigen Benutzers ausgelesen, dem das jeweilige Gerät zugeordnet ist. Es wird eine Klickbox eingeblendet, in der alle Benutzer ausgewählt werden müssen, auf die diese Funktion angewendet werden soll. Es wird für jeden Nutzer ein automatisch generiertes Profil angelegt, es lässt sich aber nur die Profilvorlage bearbeiten. Wird die Schaltfläche wieder deaktiviert, werden die generierten Benutzer-Profile zu bearbeitbaren Profilen. |
Automatische App-Updates | Immer | Die auf einem Gerät erzwungene Richtlinie zur automatischen Aktualisierung von Apps in Abhängigkeit der Netzwerkverbindung: Auch bei Geräten, die selten oder nie in ein WLAN zurückkehren, sollen die Apps aktualisiert werden. Das Datenvolumen wirkt sich bei üblichen Volumentarifen in der Regel kaum aus. |
Standardberechtigungsrichtlinie | Prompt | Neue bzw. nicht konfigurierte Berechtigungen werden durch Abfrage genehmigt oder verweigert. |
Deaktivieren Sie die Installation von Apps | Bei Aktivierung sind keinerlei Installationen oder Updates möglich. Auch nicht über das Portal! | |
Deaktivieren Sie die Deinstallation von Apps | Es sollen keine Apps durch den Benutzer deinstalliert werden können. | |
App-Überprüfung erzwingen | Aktiviert Google Play Protect. Damit wird überprüft, daß die App sich im ursprünglichen Zustand befindet und im Vergleich zu der Version im App-Store nicht manipuliert wurde. | |
Play-Store-Modus | Whitelist | Nur Apps, die unter Anwendungen in der Richtlinie enthalten sind, sind verfügbar. Jede App, die nicht in der Richtlinie enthalten ist, wird automatisch vom Gerät deinstalliert. |
Speichern
Netzwerke
Benutzer | Default-Einstellung | Beschreibung |
---|---|---|
VPN immer aktiv | ||
Aktiviere "VPN immer aktiv" | Baut immer ein VPN auf. ermöglicht weitere Einstellungen | |
Paketname | de.securepoint.ms.agent | Der Paketname der VPN-App. |
Sperre aktiviert | Es wird jede Netzwerkverbindung verhindert, auch wenn das VPN nicht verbunden sein sollte. | |
Offene Netzwerkkonfiguration | ||
Netzwerkkonfigurationen | + Konfiguration hinzufügen | Zugangsprofile für WiFi-Netzwerke konfigurieren |
Netzwerk | ||
Name | ttt-point Zentrale | Der Name der Konfiguration |
Typ | WiFi | Der Konfigurationstyp ist vorgegeben
Wifi |
SSID | ttt-point-zentrale-WLAN | Die SSID des Netzwerks |
Sicherheit | WPA-PSK | Hohe Sicherheitsstufe |
Passwort | •••••••••• | "Auch wenn es trivial klingt: WLAN.MeineFirma.123 oder Standort.Hausnummer sind keine sicheren Kennwörter! Ebenfalls zählen 1234 und abcd oder qwertz nicht zu wirklich sicheren Kennwörtern!" |
Versteckte SSID | Legt fest ob die SSID versteckt ist. | |
Automatisch verbinden | Das Gerät soll sich automatisch mit dem Netzwerk verbinden. |
Statusmeldung
Benutzer | Default-Einstellung | Beschreibung |
---|---|---|
Aktivieren Sie die Statusmeldung | Nachdem Sie dies aktiviert haben, können Sie die Konfiguration der Statusberichte festlegen | |
Hardware Status | Gibt an, ob die Hardware-Statusmeldung aktiviert ist. | |
Anwendungsberichte | Gibt an, ob App-Berichte aktiviert sind. | |
Softwareinfo | Gibt an, ob die Software-Info-Berichterstattung aktiviert ist. | |
Speicherinfo | Gibt an, ob die Speicherberichterstattung aktiviert ist. | |
Anzeigen Informationen | Gibt an, ob die Anzeige von Berichten aktiviert ist. | |
Netzwerk Information | Gibt an, ob die Netzwerkinfomeldung aktiviert ist. | |
Geräteeinstellungen | Gibt an, ob die Berichterstellung für Geräteeinstellungen aktiviert ist. | |
Energieverwaltungsereignisse | Gibt an, ob die Energieverwaltungsereignisberichterstattung aktiviert ist. |
Einschränkungen
Benutzer | Eingabe | Beschreibung | ||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|
Support-Meldungen | ||||||||||||
Kurze Supportnachricht | Deaktiviert durch die IT-Abteilung der ttt-Point AG | Eine Meldung, die dem Benutzer auf dem Einstellungsbildschirm angezeigt wird, wenn die Funktionalität vom Administrator deaktiviert wurde. Die maximale Nachrichtenlänge beträgt 4096 Zeichen. | ||||||||||
Lange Supportnachricht | Deaktiviert durch die IT-Abteilung der ttt-Point AG aufgrund von allgemeinen Sicherheitsvorkehrungen. Bei Rückfragen wenden Sie sich bitte an den Support unter: 04131-2401-0 | Eine Nachricht, die dem Benutzer angezeigt wird. Die maximale Nachrichtenlänge beträgt 4096 Zeichen. Abb. s.o. | ||||||||||
Zulässige Eingabemethoden | Falls vorhanden, sind nur die Eingabemethoden zulässig, die von Paketen in dieser Liste bereitgestellt werden. Wenn dieses Feld vorhanden ist, die Liste jedoch leer ist, sind nur Systemeingabemethoden zulässig. | |||||||||||
Ortungsmodus | Hohe Genauigkeit |
| ||||||||||
Deaktivieren Sie die Bildschirmaufnahme | Um Datenschutz zu gewährleisten, sollen keine Screenshots angefertigt werden können. Dazu gehört auch das Blockieren von Screensharing-Anwendungen und ähnlichen Anwendungen (z.B. Google Assistant), die die Screenshot-Funktionen des Systems nutzen. | |||||||||||
Kamera deaktivieren | Per Default soll die Kamera deaktiviert sein. | |||||||||||
Deaktivieren Sie den Werksreset | Das Zurücksetzen auf Werkseinstellungen soll deaktiviert sein. | |||||||||||
Deaktivieren Sie die Bereitstellung physischer Medien | Das Bereitstellen externer physischer Medien durch den Benutzer soll deaktiviert sein. | |||||||||||
Deaktivieren Sie das Ändern von Konten | Das Hinzufügen oder Entfernen von Konten soll deaktiviert sein. Wird dieser Punkt nicht aktiviert, kann der Benutzer ein weiteres Google-Konto erstellen, sich damit im Playstore anmelden und beliebige Software installieren. | |||||||||||
Deaktivieren Sie den abgesicherten Modus | Im "abgesicherten Modus" werden Apps von Drittanbiertern deaktiviert. Dadurch sind ungewollte Einstellungen möglich! (Streng genommen ist diese Einstellung nicht notwendig, weil sie bereits durch die Einstellung Verschlüsselung: Mit Passwort aktivieren im Reiter Grundeinstellungen erzwungen wird.) | |||||||||||
Deaktivieren Sie die Bluetooth-Kontaktfreigabe | Per Bluetooth sollen keine Kontaktdaten das Gerät verlassen. | |||||||||||
Deaktivieren Sie die Bluetooth-Konfiguration | Die Bluetooth-Konfiguration soll deaktiviert sein. | |||||||||||
Deaktivieren Sie die Cell Broadcast-Konfiguration | Die Konfiguration von Cell Broadcast soll deaktiviert sein. | |||||||||||
Deaktivieren Sie die Mobilfunknetzkonfiguration | Die Konfiguration von Mobilfunknetzen soll deaktiviert sein. | |||||||||||
Deaktivieren Sie die Tethering-Konfiguration | Die Konfiguration von Tethering und portablen Hotspots soll deaktiviert sein. | |||||||||||
Deaktivieren Sie die VPN-Konfiguration | Die Konfiguration von VPN soll deaktiviert sein. | |||||||||||
Deaktivieren Sie die Wi-Fi-Konfiguration | Die Konfiguration von WLAN-Zugangspunkten soll deaktiviert sein. | |||||||||||
Deaktivieren Sie das Zurücksetzen der Netzwerkeinstellungen | Gibt an, ob das Zurücksetzen der Netzwerkeinstellungen deaktiviert ist. | |||||||||||
Datei per NFC versenden deaktivieren | Die Verwendung von NFC zum Übertragen von Daten aus Apps soll deaktiviert sein. | |||||||||||
Deaktivieren Sie die USB-Datenübertragung | Die Übertragung von Dateien über USB soll deaktiviert sein. | |||||||||||
Debugging-Funktionen zulassen | Der Benutzer darf Debugging-Funktionen aktivieren. | |||||||||||
Hinweise zum ersten Benutzer überspringen | Flag, um Hinweise zur ersten Verwendung zu überspringen. Der Unternehmensadministrator kann die Systemempfehlung für Apps aktivieren, um das Benutzer-Tutorial und andere einführende Hinweise beim ersten Start zu überspringen. | |||||||||||
Deaktivieren Sie die Keyguard-Funktionen | Kamera Vertrauensagenten ignorieren Remote-Eingang | Deaktivierte Keyguard-Anpassungen (Funktionen, die dem Benuzter nicht mehr zur Verfügung stehen, bevor das Gerät entsperrt wurde): |
Passwort
Passwortrichtlinien können für Arbeitsprofile und komplett verwaltete Geräte verwendet werden.
Benutzer | Werte | Beschreibung | ||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Umfang | Der Bereich, für den die Kennwortanforderung gilt. | |||||||||||||||||||||||||||||||
Gerät | Die Richtlinie gilt nur für vollständig verwaltete Geräte | |||||||||||||||||||||||||||||||
Workprofile | Die Richtlinie gilt nur für Arbeitsprofile | |||||||||||||||||||||||||||||||
Beide | Die Richtlinie gilt sowohl für vollständig verwaltet Geräte, als auch für Geräte mit Arbeitsprofil | |||||||||||||||||||||||||||||||
Passcode-Qualität | Numerisch (Komplex) | Die erforderliche Passwortqualität.
| ||||||||||||||||||||||||||||||
Länge des Passwortverlaufs | 0 | Die Länge des Kennwortverlaufs. Nach dem Einstellen dieses Felds kann der Benutzer kein neues Kennwort eingeben, das mit dem Kennwort im Verlauf identisch ist. Ein Wert von 0 bedeutet, dass keine Einschränkung vorliegt. | ||||||||||||||||||||||||||||||
Maximale Anzahl fehlgeschlagener Versuche | 10 | Anzahl der zulässigen Eingabeversuche, bevor alle Daten auf dem Gerät gelöscht werden | ||||||||||||||||||||||||||||||
Ablaufzeitlimit | 0s | Zeitraum für die Eingabe eines Kennwortes in Sekunden mit bis zu neun Nachkommastellen (sic!), die mit "s" abgeschlossen wird. Beispiel: 3.5s |
Sicherheit
Bei Aktivierung wird die Securepoint Mobile Security-App im Reiter Anwendungen hinzu gefügt bzw. entfernt und kann hier konfiguriert werden.
Dies ist erforderlich, um die Sicherheitseinstellungen zu konfigurieren.
Unter Sicherheit kann die Web Security konfiguriert werden.
Konfiguration mit Klick auf Sicherheit aktivieren
Aktion | Default | Beschreibung | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Region | Deutschland/EU | Geographische Zuordnung des VPN-Endpunktes | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Protokoll | TCP | Das Protokoll, das für den VPN Tunnel verwendet wird. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Portfilter-Typ | Auswahl | Netzwerkverkehr filtern aufgrund von Netzwerkports: Communication VPN
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SSL Interception | Standard | SSL-Datenverkehr von Webseiten, die in der Content-Filter-Whitelist aufgeführt sind, werden nicht abgefangen, andere Seiten werden mittels SSL-Interception überprüft. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Content-Filter-Whitelist | Fernwartung | Klick-Box: Webseiten, die auf einer Whitelist eingetragen werden sollen. Mögliche Einträge: Contentfilter | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Content-Filter-Blacklist | Default-Werte Hacking Proxy Threat Intelligence Feed |
Klick-Box: Webseiten, die auf einer Blacklist eingetragen werden sollen. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Deaktivieren für SSIDs | ttt-point-zentrale-WLAN | Eingabe von WLAN-SSIDs, für die die Sicherheitsfunktionen deaktiviert werden sollen. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Erlaube das unterbrechen von Always-On-VPN | Dem Benutzer soll es nicht erlaubt sein, das VPN vorübergehend zu deaktivieren. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Appkonfiguration | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Andere VPN Profile erlauben | Das Hinzufügen von anderen VPN Profilen, zusätzlich zu dem Security-Profil soll nicht erlaubt sein. |
Speichern
Die hier gezeigten Einstellungen sind Beispiele, die einen möglichst umfassenden Schutz bieten. Eine Anpassung an lokale Anforderungen ist unbedingt vorzunehmen !