++display°°Best Practice EMM-Profil__

++1°°Beispielhafte Konfiguration eines EMM-Profils__

++2°Neu__

• ++3°°Bestpractice__

++4°°Die hier gezeigten Einstellungen sind Beispiele, die einen möglichst umfassenden Schutz bieten. Eine Anpassung an lokale Anforderungen ist unbedingt vorzunehmen !__

++5°°Einleitung__

++6°°Android Enterprise-Profile (EMM) verhalten sich grundlegend anders als herkömmliche Android Profile. Die Geräte-Registrierung wird direkt an ein Profil gebunden.
Es muss zuerst ein Profil angelegt (und konfiguriert) werden, bevor ein Gerät registriert werden kann.__
++7°°Es ist nicht mehr möglich ein Profil einer Rolle, einem Benutzer oder einem Tag zuzuordnen.__

++8°°In Android Enterprise-Profilen könnn zahlreiche sicherheitsrelevante Einstellungen vorgenommen werden, so z.B.

• Kamara deaktivieren
• Mikrofon deaktivieren
• USB-Dateiübertragung deaktivieren
• ausgehende Anrufe deaktivieren
• Bluetooth deaktivieren
• Kontaktfreigabe deaktivieren
• Tethering deaktivieren
• sms deaktivieren
• Netzwerk nur mit VPN ermöglichen
• uvm.__

++9°°Android Enterprise Profile werden unmittelbar angewendet und müssen nicht veröffentlicht werden !__

++10°°Android Enterprise Profil__

++11°°Allgemein__

++14°°Anzeige der verwendeten Plattform, des Profil-Namens und der zugeordneten Geräte.__

++15°°Soll ein Android EMM-Profil neu angelegt werden, muss als Plattform Android Enterprise ausgewählt werden.__

++16°°Grundeinstellungen__

++17°°Die hier gezeigten Einstellungen sind Beispiele, die einen möglichst umfassenden Schutz bieten. Eine Anpassung an lokale Anforderungen ist unbedingt vorzunehmen !__

++b°°Beschriftung__	++w°°Werte__	++desc°°Beschreibung__
++18°°Maximale Zeit zum Sperren__	120	++19°°Das Gerät soll nach 2 Min Inaktivität gesperrt werden.__
++20°°Verschlüsselung__	++21°°Mit Passwort aktiviert__	++22°°Erfordert ein Kennwort vor dem Start des Gerätes, um die Verschlüsselung aufzuheben. Die Verschlüsselung erfolgt auf Dateisystemebene und verhindert das Auslesen von Daten, bei physischem Zugriff auf ein gesperrtes Gerät (ausgeschaltet bzw. noch nicht gebootet). Es verhindert nicht das lesen von Daten eines entsperrten Gerätes. Die Aktivierung dieser Option deaktivert außerdem die Möglichkeit für einen Neustart des Gerätes im "abgesichertem Modus". Zusätzlich wird als Displaysperre eine Pin oder ein Passwort mit der Option "Sicherer Start" verlangt. Dadurch muss die Pin oder das Passwort vor dem Start des Gerätes eingegeben werden. Dadurch können keine Anrufe, Nachrichten oder Benachrichtigungen (einschließlich Weckrufen) empfangen werden, bevor das Gerät entsperrt und gestartet ist. __
++23°°Automatische App-Updates__	++24°°Immer__	++25°°Die auf einem Gerät erzwungene Richtlinie zur automatischen Aktualisierung von Apps in Abhängigkeit der Netzwerkverbindung: Auch bei Geräten, die selten oder nie in ein WLAN zurückkehren, sollen die Apps aktualisiert werden. Das Datenvolumen wirkt sich bei üblichen Volumentarifen in der Regel kaum aus. __
++26°°Modi in denen das Gerät an bleibt__	++27°°Ignorieren__	++28°°Der Akkulade-Modus soll keine Auswirkung darauf haben, ob das Gerät eingeschaltet bleibt.__
Device Owner lockscreen info
++29°°Aktiviere die Sperrbildschirm-Informationen__		++30°°Im Sperrbildschirm soll eine Information angezeigt werden.__
Device Owner lockscreen info	++31°°Eigentum ttt-point GmbH. Support: 04131 - 2401-0__	++32°°Die Gerätebesitzerinformationen, die auf dem Sperrbildschirm angezeigt werden sollen. Die maximale Nachrichtenlänge beträgt 4096 Zeichen.__
Speichern

Compliance

++34°°Es können Regeln definiert werden, wann das Telefon bzw das Arbeitsprofil gesperrt und wann es gelöscht (in Werkszustand zurückgesetzt) wird. Der Anwender wird aufgefordert, die ausgewählte Richtlinie auf dem Gerät zu aktivierten. Andernfalls wird das Gerät / Arbeitsprofil geblockt bzw. auf die Werkseinstellungen zurückgesetzt / gelöscht.__

Beschriftung	++val°°Werte__	Beschreibung
++35°°Einstellungsname__	++36°°passwordPolicies__	++37°°Die Kennwortrichtlinien müssen auf dem Telefon angewendet werden.__
++38°°Blockieren__
++39°°Blockieren nach x Tagen__	1	++40,,Anzahl der Tage, an denen die Richtlinie nicht konform ist, bevor das Gerät oder das Arbeitsprofil blockiert wird. Um den Zugriff sofort zu blockieren, wird der Wert auf 0 gesetzt.__
++41,,Löschen__
++42,,Werkeinstellungs-Reset-Schutz erhalten__		++43,,Wenn aktiviert, wird der Werkeinstellungs-Reset-Schutz im Profil erhalten. Bei Diebstahl oder Verlust muss man sich erst in das Google-Konto einloggen, bevor sich das Gerät auf Werkseinstellungen zurücksetzen lässt. Diese Einstellung funktioniert nicht mit Arbeitsprofilen.__
++44,,Löschen nach x Tagen__	7	++45,,Anzahl der Tage, bevor das Gerät oder das Arbeitsprofil gelöscht wird, wenn die Richtlinie (hier: Passwortrichtlinien) auf dem Gerät nicht umgesetzt wurde. Löschen muss größer als sein als Blockieren.__

++46,,Anwendungen__

++47,,! Apps auf Geräten, die über EMM verwaltet werden, werden innerhalb der Profile konfiguriert !__

++48,,Das Menü   Apps hat auf diese Profile / Geräte keine Auswirkung!__

++50,,! Die hier gezeigten Einstellungen sind Beispiele. Eine Anpassung an lokale Anforderungen ist unbedingt vorzunehmen !__

  Speichern

 ++60,,Anwendung hinzufügen__

  Select app ++61,,Auswahl der gewünschten Apps Für unser Beispiel: Nextcloud__

++62,,Übernahme der App mit__ ++63,,Auswählen__

++94,,Netzwerke__

++125,,Einschränkungen __

Beschriftung	++128,,Eingabe__	Beschreibung}}
++129,,Support-Meldungen__
++130,,Kurze Supportnachricht __	++131,,Deaktiviert durch die IT-Abteilung der ttt-Point AG__	++132,,Eine Meldung, die dem Benutzer auf dem Einstellungsbildschirm angezeigt wird, wenn die Funktionalität vom Administrator deaktiviert wurde. Die maximale Nachrichtenlänge beträgt 4096 Zeichen.__ Datei:++133,,MSA EMM Supportnachricht-kurz.png ++134,,Kurze Supportnachricht. Wechsel zur langen Supportnachricht mit Weitere Informationen__ Datei:++135,,MSA EMM Supportnachricht-lang.png ++136,,Lange Supportnachricht__
++139,,Lange Supportnachricht __	++140,,Deaktiviert durch die IT-Abteilung der ttt-Point AG aufgrund von allgemeinen Sicherheitsvorkehrungen. Bei Rückfragen wenden Sie sich bitte an den Support unter: 04131-2401-0__	++141,,Eine Nachricht, die dem Benutzer angezeigt wird. Die maximale Nachrichtenlänge beträgt 4096 Zeichen. Abb. s.o.__
++142,,Zulässige Eingabemethoden__		++143,,Falls vorhanden, sind nur die Eingabemethoden zulässig, die von Paketen in dieser Liste bereitgestellt werden. Wenn dieses Feld vorhanden ist, die Liste jedoch leer ist, sind nur Systemeingabemethoden zulässig.__
++143__E-Mail für Werkseinstellung Zurücksetzung __	it-intern@anyideas.de	++144,,E-Mail-Adressen von Geräteadministratoren zum Schutz vor Zurücksetzen auf die Werkseinstellungen. Wenn das Gerät auf die Werkseinstellungen zurückgesetzt wird, muss sich einer dieser Administratoren mit der E-Mail-Adresse und dem Passwort des Google-Kontos anmelden, um das Gerät zu entsperren. Wenn keine Administratoren angegeben sind, bietet das Gerät keinen Schutz vor Zurücksetzen auf die Werkseinstellungen.__ Nur für interne Prüfzwecke
++145,,Ortungsmodus __	++146,,Hohe Genauigkeit__	++147,,Alle Standorterkennungsmethoden sind aktiviert, einschließlich GPS, Netzwerke und andere Sensoren.__
Deaktivieren Sie die Bildschirmaufnahme		Um Datenschutz zu gewährleisten, sollen keine Screenshots angefertigt werden können. Dazu gehört auch das Blockieren von Screensharing-Anwendungen und ähnlichen Anwendungen (z.B. Google Assistant), die die Screenshot-Funktionen des Systems nutzen.
Kamera deaktivieren		Per Default soll die Kamera deaktiviert sein
Kontotypen mit deaktivierter Verwaltung		Kontotypen, die vom Benutzer nicht verwaltet werden können. Nur für interne Prüfzwecke
Deaktivieren Sie den Werksreset		Das Zurücksetzen auf Werkseinstellungen soll deaktiviert sein.
Deaktivieren Sie die Bereitstellung physischer Medien		Das bereitstellen externer physischer Medien durch den Benutzer soll deaktiviert sein.
Deaktivieren Sie das Ändern von Konten		Das Hinzufügen oder Entfernen von Konten soll deaktiviert sein.
Deaktivieren Sie den abgesicherten Modus Nur für interne Prüfzwecke		Im "abgesicherten Modus" werden Apps von Drittanbiertern deaktiviert. Dadurch sind ungewollte Einstellungen möglich! (Streng genommen ist diese Einstellung nicht notwendig, weil sie bereits durch die Einstellung Verschlüsselung: Mit Passwort aktivieren im Reiter Grundeinstellungen erzwungen wird.)
Deaktivieren Sie die Bluetooth-Kontaktfreigabe		Per Bluetooth sollen keine Kontaktdaten das Gerät verlassen.
Deaktivieren Sie die Bluetooth-Konfiguration		Die Bluetooth-Konfiguration soll deaktiviert sein.
Deaktivieren Sie die Cell Broadcast-Konfiguration		Die Konfiguration von Cell Broadcast soll deaktiviert sein.
Deaktivieren Sie die Konfiguration der Anmeldeinformationen		Nur für interne Prüfzwecke Gibt an, ob die Konfiguration von Benutzeranmeldeinformationen deaktiviert ist.
Deaktivieren Sie die Mobilfunknetzkonfiguration		Die Konfiguration von Mobilfunknetzen soll deaktiviert sein.
Deaktivieren Sie die Tethering-Konfiguration		Die Konfiguration von Tethering und portablen Hotspots soll deaktiviert sein.
Deaktivieren Sie die VPN-Konfiguration		Die Konfiguration von VPN soll deaktiviert sein.
Deaktivieren Sie die Wi-Fi-Konfiguration		Die Konfiguration von WLAN-Zugangspunkten soll deaktiviert sein.
Deaktivieren Sie das Erstellen von Fenstern		Gibt an, ob das Erstellen von Fenstern neben App-Fenstern deaktiviert ist.
Deaktivieren Sie das Zurücksetzen der Netzwerkeinstellungen		Gibt an, ob das Zurücksetzen der Netzwerkeinstellungen deaktiviert ist.
Datei per NFC versenden deaktivieren Nur für interne Prüfzwecke		Die Verwendung von NFC zum Übertragen von Daten aus Apps soll deaktiviert sein.
Deaktivieren Sie die USB-Datenübertragung		Die Übertragung von Dateien über USB soll deaktiviert sein.
App-Überprüfung erzwingen		Google Play Protect soll angewendet werden. Damit wird überprüft, daß die App sich im ursprünglichen Zustand befindet und im Vergleich zu der Version im App-Store nicht manipuliert wurde.
Aktivieren Sie die Blockierung anderer Apps		Gibt an, ob andere als die in Anwendungen konfigurierten Anwendungen für die Installation gesperrt sind. Wenn diese Option aktiviert ist, werden Anwendungen, die unter einer früheren Richtlinie installiert wurden, jedoch nicht mehr in der Richtlinie angezeigt werden, automatisch deinstalliert.
Debugging-Funktionen zulassen		Der Benutzer darf Debugging-Funktionen aktivieren.
Hinweise zum ersten Benutzer überspringen		Flag, um Hinweise zur ersten Verwendung zu überspringen. Der Unternehmensadministrator kann die Systemempfehlung für Apps aktivieren, um das Benutzer-Tutorial und andere einführende Hinweise beim ersten Start zu überspringen.
choosePrivateKeyRules Nur für interne Prüfzwecke		Ermöglicht die Anzeige der Benutzeroberfläche auf einem Gerät, damit ein Benutzer einen privaten Schlüsselalias auswählen kann, wenn in ChoosePrivateKeyRules keine übereinstimmenden Regeln vorhanden sind. Bei Geräten unter Android P können durch diese Einstellung Unternehmensschlüssel angegriffen werden.
Play-Store-Modus	Whitelist	Nur für interne Prüfzwecke In diesem Modus wird gesteuert, welche Apps dem Benutzer im Play Store zur Verfügung stehen und wie sich das Gerät verhält, wenn Apps aus der Richtlinie entfernt werden. Mögliche Werte: Default:
Deaktivieren Sie die Keyguard-Funktionen		Deaktivierte Keyguard-Anpassungen, z. B. Widgets. Kamera Benachrichtigungen Nicht umgesetzte Benachrichtigungen Vertrauensagenten ignorieren Fingerabdruck Remote-Eingang Alles
Statusmeldung
Aktivieren Sie die Statusmeldung		Nachdem Sie dies aktiviert haben, können Sie die Konfiguration der Statusberichte festlegen Nur für interne Prüfzwecke
Hardware Status		Gibt an, ob die Hardware-Statusmeldung aktiviert ist.
Anwendungsberichte		Gibt an, ob App-Berichte aktiviert sind.
Softwareinfo		Gibt an, ob die Software-Info-Berichterstattung aktiviert ist.
Speicherinfo		Gibt an, ob die Speicherberichterstattung aktiviert ist.
Anzeigen Informationen		Gibt an, ob die Anzeige von Berichten aktiviert ist.
Netzwerk information		Gibt an, ob die Netzwerkinfomeldung aktiviert ist.
Geräteeinstellungen		Gibt an, ob die Berichterstellung für Geräteeinstellungen aktiviert ist.
Energieverwaltungsereignisse		Gibt an, ob die Energieverwaltungsereignisberichterstattung aktiviert ist.
Systemaktualisierung
Aktivieren Sie die Statusmeldung		Nachdem Sie dies aktiviert haben, können Sie die Systemaktualisierungskonfiguration einstellen
Energieverwaltungsereignisse		Die Art der zu konfigurierenden Systemaktualisierung.
	Nicht spezifiziert
	AutNur für interne Prüfzweckeomatisch	Nur für interne Prüfzwecke
	Im Fenster	Start minutes 0 If the type is windowed, the start of the maintenance window, measured as the number of minutes after midnight in the device's local time. This value must be between 0 and 1439, inclusive. End minutes 0 If the type is WINDOWED, the end of the maintenance window, measured as the number of minutes after midnight in device's local time. This value must be between 0 and 1439, inclusive. If this value is less than start_minutes, then the maintenance window spans midnight. If the maintenance window specified is smaller than 30 minutes, the actual window is extended to 30 minutes beyond the start time.
	Verschieben	Nur für interne Prüfzwecke
Regeln für private Schlüssel	Regel hinzufügen	Regeln für die automatische Auswahl eines privaten Schlüssels und Zertifikats zur Authentifizierung des Geräts bei einem Server. Die Regeln sind nach Priorität geordnet. Wenn also eine ausgehende Anforderung mehr als einer Regel entspricht, definiert die letzte Regel, welcher private Schlüssel verwendet werden soll. URL-Muster URL-Muster Das URL-Muster, das mit der URL der ausgehenden Anforderung abgeglichen werden soll. Das Muster kann Platzhalter mit Sternchen (*) enthalten. Jede URL stimmt überein, wenn sie nicht angegeben ist. Paketnamen Paketnamen hinzufügen Die Paketnamen, für die ausgehende Anforderungen dieser Regel unterliegen. Wenn keine Paketnamen angegeben sind, gilt die Regel für alle Pakete. Für jeden aufgelisteten Paketnamen gilt die Regel für dieses Paket und alle anderen Pakete, die dieselbe Android-UID verwendet haben. Der SHA256-Hash der Signaturschlüsselsignaturen jedes Paketnamens wird mit den von Play bereitgestellten verglichen Alias für privaten Schlüssel Alias Der Alias des zu verwendenden privaten Schlüssels.
Globale Erlaubnisgewährung	Berechtigung hinzufügen	Explizite Erlaubnis oder Gruppengewährung oder -verweigerung für alle Apps. Diese Werte überschreiben die defaultPermissionPolicy. Genehmigung     Die Android-Berechtigung oder -Gruppe, z. android.permission.READ_CALENDAR oder android.permission_group.CALENDAR. Regel Nicht spezifiziert Die Richtlinie zum Erteilen der Berechtigung. Nur für interne Prüfzwecke

Passwort

Passwortrichtlinien

Passwortrichtlinien können für Arbeitsprofile und komplett verwaltete Geräte verwendet werden.

Beschrifung	Werte	Beschreibung
Umfang		Der Bereich, für den die Kennwortanforderung gilt.
	Gerät	Die Richtlinie gilt nur für vollständig verwaltete Geräte
	Workprofile	Die Richtlinie gilt nur für Arbeitsprofile
	Beide	Die Richtlinie gilt sowohl für vollständig verwaltet Geräte, als auch für Geräte mit Arbeitsprofil
Passcode-Qualität	Numberic (complex)	Die erforderliche Passwortqualität. Nicht spezifiziert Es gibt keine Passwortanforderungen. Biometric Das Gerät muss mindestens mit einer biometrischen Niedersicherheits-Erkennungstechnologie gesichert sein. Dazu gehören Technologien, die die Identität einer Person erkennen können, die in etwa einer dreistelligen PIN entsprechen (Falscherkennung ist weniger als 1 zu 1.000). Irgendetwas Ein Passwort ist erforderlich, aber es gibt keine Einschränkungen, was das Passwort enthalten muss. Numerisch Das Passwort darf nur aus Ziffern bestehen. Numberic (complex) Das Passwort darf nur aus Ziffern bestehen, die keine sich wiederholenden (4444) oder geordneten (1234, 4321, 2468) Sequenzen enthalten. Alphabetisch Das Passwort darf nur aus alphabetischen Zeichen (oder Symbolen) bestehen. Alphanumerisch Das Passwort muss sowohl aus Ziffern als auch aus alphabetischen Zeichen (oder Symbolen) bestehen. Komplex Das Passwort muss mindestens einen Buchstaben, eine Ziffer und ein spezielles Symbol enthalten. Andere Passwortbeschränkungen, wie z.B. passwordMinimumLetters, werden erzwungen. Mindestlänge Ein Wert von 0 bedeutet, dass es keine Einschränkung gibt. Nur erforderlich, wenn passwordQuality NUMERIC, NUMERIC_COMPLEX, ALPHABETIC, ALPHANUMERIC oder COMPLEX ist. Mindestanzahl der Buchstaben Nur erforderlich, wenn passwordQuality KOMPLEX ist. Minimum lowercase letters Minimale Anzahl von Kleinbuchstaben, die im Passwort erforderlich sind. Nur erforderlich, wenn passwordQuality KOMPLEX ist. Minimum uppercase letters Mindestanzahl der im Passwort erforderlichen Großbuchstaben. Nur erforderlich, wenn passwordQuality KOMPLEX ist. Minimum non letter characters Mindestanzahl von Nicht-Buchstabenzeichen (numerische Ziffern oder Symbole), die im Passwort erforderlich sind. Nur erforderlich, wenn passwordQuality KOMPLEX ist. Minimum numeric characters Minimale Anzahl von Ziffern, die im Passwort erforderlich sind. Nur erforderlich, wenn passwordQuality KOMPLEX ist. Minimum symbols Minimale Anzahl von Symbolen, die im Passwort erforderlich sind. Nur erforderlich, wenn passwordQuality KOMPLEX ist.
Länge des Passwortverlaufs	0	Die Länge des Kennwortverlaufs. Nach dem Einstellen dieses Felds kann der Benutzer kein neues Kennwort eingeben, das mit dem Kennwort im Verlauf identisch ist. Ein Wert von 0 bedeutet, dass keine Einschränkung vorliegt.
Maximale Anzahl fehlgeschlagener Versuche	10	Anzahl der zulässigen Eingabeversuche, bevor alle Daten auf dem Gerät gelöscht werden
Ablaufzeitlimit	0s	Zeitraum für die Eingabe eines Kennwortes in Sekunden mit bis zu neun Nachkommastellen (sic!), die mit "s" abgeschlossen wird. Beispiel: 3.5s

Sicherheit

Sicherheit

Bei    Aktivierung wird die Securepoint Mobile Security-App im Reiter Anwendungen hinzu gefügt bzw. entfernt und kann hier konfiguriert werden.
Dies ist erforderlich, um die Sicherheitseinstellungen zu konfigurieren.