Wechseln zu:Navigation, Suche
Wiki

MS/deployment/profile/einschraenkungen-supervised

Version vom 17. April 2026, 10:43 Uhr von Marcels (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Aus Securepoint Wiki





























In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
Diese Seite wird auf folgenden Seiten eingebunden















































































App Nutzung & Installation
App-Nut­zung ein­schrän­ken Alle Apps erlauben Alle Apps erlauben, Blocklist oder Allowlist
Auswahlmöglichkeiten App-Nutzung einschränken einblenden
ausblenden
Klicken für dauerhafte Anzeige
Alle Apps erlauben Bestimmte Apps nicht erlauben Nur bestimmte Apps erlauben

Weitere Konfigurationen bei Optionsauswahl Bestimmte Apps nicht erlauben einblenden
Weitere Konfigurationen bei Optionsauswahl Nur bestimmte Apps erlauben einblenden

Blockierte Apps Anwendung auswählen Die Apps, die blockiert werden sollen, können ausgewählt werden
Es können auch mehrere Apps ausgewählt werden
 Systemapps hinzufügen Alle Systemapps werden eingefügt

Die Systemapps lassen sich anschließend einzeln wieder entfernen

Erlaubte Apps Anwendung auswählen Die Apps, die erlaubt werden sollen, können ausgewählt werden
Es können auch mehrere Apps ausgewählt werden
 Systemapps hinzufügen Alle Systemapps werden eingefügt

Die Systemapps lassen sich anschließend einzeln wieder entfernen

Ein­zel-App-Mo­dus: Er­laub­te Apps Anwendung auswählen Liste der Apps, die im Einzel-App-Modus ausgeführt werden dürfen
Ent­fer­nen von Apps zu­las­sen    Erlaubt dem Benutzer das Entfernen von Apps
App-In­stal­la­ti­on via Con­fi­gu­ra­tor/iTu­nes zu­las­sen    Wenn deaktiviert    deaktiviert das System den App Store, Configurator, Marktplatz usw.

Dies unterbindet manuelle/seitliche Installationswege und reduziert Schatten-IT

Automatische App-Downloads erlauben    Wenn deaktiviert    verhindert das System das automatische Herunterladen von Apps, die auf anderen Geräten gekauft wurden

Dies verhindert, dass private Apple-ID-Käufe auf Unternehmensgeräten erscheinen; sinnvoll bei BYOD/COBO

App-In­stal­la­ti­on aus dem App Store zu­las­sen    Wenn aktiviert    erlaubt es dem Benutzer die Installation von Anwendungen aus dem App Store
App Clips zu­las­sen    Wenn aktiviert    werden App Clips aktiviert

Bei Deaktivierung    werden alle App Clips entfernt

AirDrop zulassen    Wenn aktiviert    wird AirDrop aktiviert
AirPrint zulassen    Wenn aktiviert    wird AirPrint aktiviert
Speichern von AirPrint-Anmeldeinformationen zulassen    Wenn aktiviert    erlaubt es das Speichern von AirPrint-Anmeldedaten im iCloud-Schlüsselbund
AirPrint iBeacon-Erkennung zulassen    Wenn aktiviert    ermöglicht es die Erkennung von AirPrint-Druckern mittels iBeacon
Ver­trau­ens­wür­di­ges TLS für Air­Print er­for­dern    Wenn aktiviert    erfordert es vertrauenswürdige TLS-Zertifikate für sichere AirPrint-Kommunikation

Schützt vor Man-in-the-middle-Angriffen, erfordert jedoch korrekt ausgestellte Zertifikate auf den Druckern

Änderung des Mobilfunktarifs zulassen    Wenn aktiviert    ermöglicht es die Änderung von Einstellungen des Mobilfunktarifs
iCloud-Schlüsselbund-Synchronisierung zulassen    Wenn aktiviert    lässt es die Synchronisation des iCloud-Schlüsselbund zu
Privates iCloud-Relay zulassen    Wenn aktiviert    wird iCloud Privat-Relay aktiviert

Dies verschleiert IP/DNS-Anfragen für mehr Privatsphäre, kann aber Webfilter/Proxy-Richtlinien umgehen

eSIM-Änderung zulassen    Wenn aktiviert    erlaubt es Änderungen an Einstellungen, die den Mobilfunktarif betreffen
Zu­griff der Da­tei­en-App auf USB-Lauf­wer­ke zu­las­sen    Wenn aktiviert    erlaubt es der Dateien-App die Verbindung zu USB-Laufwerken

Erleichtert Offline-Datenaustausch, erhöht aber Compliance-Risiken

Host-Kopplung zulassen    Wenn aktiviert    ermöglicht es das Koppeln mit einem Computer
notempty
Wenn die Kopplung ausgeschaltet    ist, kann das Endgerät nicht mehr per USB mit einem Computer verbunden werden Bitte sicherstellen, dass das Endgerät auch ohne Kopplung stets über eine funktionierende Internetverbindung verfügt
NFC zulassen    Wenn aktiviert    wird NFC aktiviert
Än­de­rung der Hot­spot-Ein­stel­lun­gen zu­las­sen    Wenn aktiviert    erlaubt es die Änderung der Einstellungen für den persönlichen Hotspot
VPN-Erstellung zulassen    Wenn aktiviert    ermöglicht es die Erstellung von VPN-Konfigurationen
Kon­fi­gu­ra­ti­on von Ge­rä­ten in der Nähe zu­las­sen    Wenn aktiviert    wird die Aufforderung zur Konfiguration von neuen Geräten in der Nähe bei Annäherung aktiviert

Dies beschleunigt Rollouts/Übertragungen, kann aber ungewollte Konto-/Einstellungsübernahmen aus nicht verwalteten Geräten ermöglichen

Teilen von Daten
Au­to­ma­ti­sches Aus­fül­len von Pass­wör­tern zu­las­sen    Wenn aktiviert    wird die Funktion "Passwörter automatisch ausfüllen" aktiviert

Dies beschleunigt Logins und reduziert Tippfehler; dank Domainbezug und Nutzerbestätigung greift AutoFill in der Regel nicht auf Phishing-Seiten

Au­then­ti­fi­zie­rung vor au­to­ma­ti­schem Aus­fül­len er­zwin­gen    Wenn aktiviert    erfordert es eine Authentifizierung, bevor Passwörter oder Kreditkarteninformationen automatisch ausgefüllt werden
Pass­wort­an­fra­gen an Ge­rä­te in der Nähe zu­las­sen    Wenn aktiviert    erlaubt es dem System das Anfordern von Passwörtern von Geräten in der Nähe

Betrifft nur WLAN-Passwörter; kann die Weitergabe von Netz-Credentials an fremde Geräte ermöglichen

Tei­len von Pass­wör­tern zu­las­sen    Wenn aktiviert    erlaubt es das Teilen von Passwörtern mittels AirDrop
Än­de­rung von Ac­counts zu­las­sen    Wenn aktiviert    erlaubt es Benutzern das Hinzufügen, Entfernen oder Ändern von Accounts (z.B. Apple-IDs, internetbasierte Accounts) in den Einstellungen
notempty
Diese Option verhindert z.B. das Einrichten eines weiteren Apple-Accounts, über den dann weitere Apps installiert werden könnten.

notempty
iOS kann diese Einschränkung nur für sämtliche Accounts gleichermaßen aktivieren. Damit ist auch das Ändern eines Kennwortes für ein Exchange-Konto nicht mehr möglich.
Än­de­rung an Find My Fri­ends zu­las­sen    Wenn aktiviert    erlaubt es Änderungen an den Einstellungen für "Freunde suchen" (innerhalb der "Wo ist?"-App)
Media & Entertainment
Podcasts zulassen    Wenn aktiviert    wird die Podcasts-App aktiviert
An­stö­ßi­ge In­hal­te zu­las­sen    Wenn aktiviert    ermöglicht es den Zugriff auf anstößige Inhalte
iMes­sa­ge zu­las­sen    Wenn aktiviert    wird iMessage aktiviert

Bei reinen WLAN Geräten wird “Nachrichten” ausgeblendet; bei Mobilfunk bleibt die App, nutzt dann aber nur SMS/MMS

Ap­ple Books Store er­lau­ben    Wenn aktiviert    wird der Apple Books Store aktiviert
Ero­tik in Ap­ple Books zu­las­sen    Wenn aktiviert    erlaubt es das Downloaden von Büchern, die als Erotik gekennzeichnet sind
iTu­nes Store zu­las­sen    Wenn aktiviert    wird der iTunes Music Store aktiviert
Sa­fa­ri zu­las­sen    Wenn aktiviert    wird der Safari-Browser aktiviert

Auch Web-Clips lassen sich mit    deaktivierten Safari Browser nicht öffnen

Game Cen­ter zu­las­sen    Wenn aktiviert    wird Game Center aktiviert
Hin­zu­fü­gen von Game Cen­ter-Freun­den zu­las­sen    Wenn aktiviert    erlaubt es Benutzern das Hinzufügen von Freunden in Game Center
FaceTime zulassen    Wenn aktiviert    wird die FaceTime-App zugelassen

Die Kameranutzung muss ebenfalls aktiviert sein

Siri-Ob­szö­ni­tä­ten­fil­ter ak­ti­vie­ren    Wenn aktiviert    wird der Obszönitätenfilter von Siri aktiviert
Au­to­ma­ti­sches Aus­fül­len in Sa­fa­ri zu­las­sen    Wenn aktiviert    wird das automatische Ausfüllen in Safari aktiviert
Än­dern des Hin­ter­grund­bilds zu­las­sen    Wenn aktiviert    ermöglicht es das Ändern des Hintergrundbilds
Ge­teil­te Al­ben zu­las­sen    Wenn aktiviert    ermöglicht es geteilte Fotoalben

Dies vereinfacht das teamweites Teilen
Geteilte Fotoalben sind begrenzt, werden in reduzierter Auflösung gespeichert und zählen nicht gegen den iCloud-Speicher

System- und Gerätesteuerung
Entfernen von System-Apps zulassen    Wenn aktiviert    erlaubt es Benutzern das Entfernen von System-Apps
Star­ten in den Wie­der­her­stel­lungs­mo­dus von nicht ge­kop­pel­ten Ge­rä­ten zu­las­sen    Wenn aktiviert    ermöglicht es nicht gekoppelten Geräten, das Gerät in den Wiederherstellungsmodus zu starten

Dies kann Service-/Reparatur-Workflows vereinfachen, reduziert aber den Schutz gegen unautorisierte Löschversuche via USB

USB-Ein­schrän­kungs­mo­dus er­zwin­gen    Wenn aktiviert    erzwingt es den USB-Einschränkungsmodus, sodass USB-Zubehör bei gesperrtem Gerät eine Autorisierung benötigt
Au­to­ma­ti­sches Ein­stel­len von Da­tum & Uhr­zeit    Wenn aktiviert    erzwingt es die Einstellung "Automatisch einstellen" für Datum & Uhrzeit

Verhindert Zeit-Manipulationen (z.B. zur Umgehung von Zertifikats-/Token-Prüfungen)

WLAN er­zwin­gen    Wenn aktiviert    verhindert es das Ausschalten der WLAN-Funktion

Nützlich für Always-On-Management

notempty
In Verbindung mit restriktiven WLAN-Policies Gerät nur bereitstellen, wenn eine erreichbare, konfigurierte SSID vorhanden ist, sonst droht Verwaltungs-Lock-out
Bei­tritt nur zu WLAN-Netz­wer­ken aus Pro­fi­len   
  • Wenn aktiviert    erlaubt es nur den Beitritt zu WLAN-Netzwerken, die über ein Konfigurationsprofil eingerichtet wurden
  • Härtet gegen unsichere/offene Netze ab
  • Nimmt jedoch Flexibilität bei mobilem Arbeiten und ähnlichem
  • Wirkt nur, wenn mindestens ein WLAN-Profil verteilt ist
Än­dern des Ge­rä­te­codes zu­las­sen    Wenn aktiviert    erlaubt es das Ändern des Sperrcodes
In­stal­la­ti­on von Kon­fi­gu­ra­ti­ons­pro­fi­len durch Be­nut­zer zu­las­sen    Wenn aktiviert    erlaubt es Benutzern die Installation von Konfigurationsprofilen und Zertifikaten über die Benutzeroberfläche

Deaktivieren    reduziert das Risiko durch unerwünschte Profile (z.B. unerwünschte VPN/Root-CA) und erzwingt MDM-gesteuerte Änderungen

Zu­rück­set­zen auf Werks­ein­stel­lun­gen zu­las­sen    Wenn aktiviert    wird die Option "Alle Inhalte & Einstellungen löschen" in den Einstellungen aktiviert

Deaktivieren    schützt Unternehmensgeräte vor Nutzer-Wipe

notempty
Ein vom Benutzer initiiertes “Find My”-Löschen kann weiterhin greifen, sofern nicht separat unterbunden
Än­dern der Bild­schirm­zeit-Ein­stel­lun­gen zu­las­sen    Wenn aktiviert    wird das Ändern der Bildschirmzeit-Einstellungen zugelassen

Deaktivieren    verhindert lokale Umgehungen von Restriktionen/Altersfreigaben

iCloud-Do­ku­men­ten­syn­chro­ni­sa­ti­on zu­las­sen    Wenn aktiviert    erlaubt es die Synchronisation von Dokumenten mit iCloud

Deaktivieren    unterbindet Dokument- und Key-Value-Sync via iCloud; betroffene Apps verlieren iCloud-Sync-Funktionen

Ver­zö­ger­te Soft­ware­up­dates er­zwin­gen    Wenn aktiviert    verzögert es die Sichtbarkeit von Softwareupdates für den Benutzer

Geeignet für gestaffelte Rollouts

Ver­zö­ge­rung für Soft­ware­up­dates (in Ta­gen) 30 Legt die Anzahl der Tage fest, um die die Sichtbarkeit von Softwareupdates verzögert wird

Zulässig sind 1 - 90 Tage

Vor­schlä­ge ak­ti­vie­ren    Wenn aktiviert    werden Textvorschläge auf der Tastatur aktiviert
Tas­ta­tur­kurz­be­feh­le ak­ti­vie­ren    Wenn aktiviert    ermöglicht es die Verwendung von Tastaturkurzbefehle
Auto-Kor­rek­tur ak­ti­vie­ren    Wenn aktiviert    wird die automatische Korrektur während der Eingabe aktiviert
Recht­schreib­prü­fung ak­ti­vie­ren    Wenn aktiviert    wird die Rechtschreibprüfung aktiviert, um falsch geschriebene Wörter zu unterstreichen
"Nach­schla­gen" ak­ti­vie­ren    Wenn aktiviert    wird das schnelle Nachschlagen von Wortdefinitionen aktiviert
Au­to­ma­ti­schen Ru­he­zu­stand ak­ti­vie­ren    Wenn aktiviert    erlaubt es dem Gerät, bei Inaktivität automatisch in den Ruhezustand zu wechseln
Au­to­ma­ti­schen Bild­schirm­scho­ner ak­ti­vie­ren    Wenn aktiviert    wird der automatische Bildschirmschoner aktiviert
Kop­peln mit Re­mo­te App ak­ti­vie­ren    Wenn aktiviert    erlaubt es das Koppeln von Apple TV mit der Remote App oder dem Widget im Kontrollzentrum
Abgerufen von „https://wiki.securepoint.de/index.php?title=MS/deployment/profile/einschraenkungen-supervised&oldid=102832