++1°°Beispielhafte Konfiguration eines EMM-Profils__
- ++2°Neu__
- ++3°°Bestpractice__
++4°°Die hier gezeigten Einstellungen sind Beispiele, die einen möglichst umfassenden Schutz bieten. Eine Anpassung an lokale Anforderungen ist unbedingt vorzunehmen !__
++5°°Einleitung__
++6°°Android Enterprise-Profile (EMM) verhalten sich grundlegend anders als herkömmliche Android Profile. Die Geräte-Registrierung wird direkt an ein Profil gebunden.
Es muss zuerst ein Profil angelegt (und konfiguriert) werden, bevor ein Gerät registriert werden kann.__
++7°°Es ist nicht mehr möglich ein Profil einer Rolle, einem Benutzer oder einem Tag zuzuordnen.__
++8°°In Android Enterprise-Profilen könnn zahlreiche sicherheitsrelevante Einstellungen vorgenommen werden, so z.B.
- Kamara deaktivieren
- Mikrofon deaktivieren
- USB-Dateiübertragung deaktivieren
- ausgehende Anrufe deaktivieren
- Bluetooth deaktivieren
- Kontaktfreigabe deaktivieren
- Tethering deaktivieren
- sms deaktivieren
- Netzwerk nur mit VPN ermöglichen
- uvm.__
++9°°Android Enterprise Profile werden unmittelbar angewendet und müssen nicht veröffentlicht werden !__
++10°°Android Enterprise Profil__
++11°°Allgemein__
++14°°Anzeige der verwendeten Plattform, des Profil-Namens und der zugeordneten Geräte.__
++15°°Soll ein Android EMM-Profil neu angelegt werden, muss als Plattform Android Enterprise ausgewählt werden.__
++16°°Grundeinstellungen__
++17°°Die hier gezeigten Einstellungen sind Beispiele, die einen möglichst umfassenden Schutz bieten. Eine Anpassung an lokale Anforderungen ist unbedingt vorzunehmen !__
Compliance
++34°°Es können Regeln definiert werden, wann das Telefon bzw das Arbeitsprofil gesperrt und wann es gelöscht (in Werkszustand zurückgesetzt) wird. Der Anwender wird aufgefordert, die ausgewählte Richtlinie auf dem Gerät zu aktivierten. Andernfalls wird das Gerät / Arbeitsprofil geblockt bzw. auf die Werkseinstellungen zurückgesetzt / gelöscht.__
++46,,Anwendungen__
++47,,! Apps auf Geräten, die über EMM verwaltet werden, werden innerhalb der Profile konfiguriert !__
++48,,Das Menü
hat auf diese Profile / Geräte keine Auswirkung!__
++50,,! Die hier gezeigten Einstellungen sind Beispiele. Eine Anpassung an lokale Anforderungen ist unbedingt vorzunehmen !__
Beschriftung | ++51,,Vorgeschlagener Wert__ | Beschreibung |
---|---|---|
++52,,Standardberechtigungsrichtlinie__ | Prompt | ++53,,Neue bzw. nicht konfigurierte Berechtigungen werden durch Abfrage genehmigt oder verweigert.__ |
++54,,Deaktivieren Sie die Installation von Apps__ | ++55°°Es sollen keine Apps durch den Benutzer installiert werden können.__ | |
++56,,Deaktivieren Sie die Deinstallation von Apps__ | ++57,,Es sollen keine Apps durch den Benutzer deinstalliert werden können.__ | |
++58,,App-Überprüfung erzwingen__ | ++59,,Aktiviert Google Play Protect. Damit wird überprüft, daß die App sich im ursprünglichen Zustand befindet und im Vergleich zu der Version im App-Store nicht manipuliert wurde.__ |
Speichern
++60,,Anwendung hinzufügen__
Select app ++61,,Auswahl der gewünschten Apps Für unser Beispiel: Nextcloud__
++62,,Übernahme der App mit__ ++63,,Auswählen__
Beschriftung | Vorgeschlagener Wert | Beschreibung | ||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
++65,,Paketnamen__ | com.nextcloud.client | ++66,,Der Paketname der App, die zuvor ausgewählt wurde__ | ||||||||||||
++67,,Installationstyp__ | ++vor,,Vorinstallation__ | ++68,,Die App wird automatisch auf dem Gerät installiert__
| ||||||||||||
++71,,Standardberechtigungsrichtlinie__ | Prompt | ++72,,Werden neue, nicht explizit gewährte oder verweigerte Berechtigungen benötigt, fragt das System nach einer Berechtigung.__ | ||||||||||||
++73,,Berechtigungen__ | ++74,,Berechtigung hinzufügen__ | ++75,,Einzelne Berechtigungen können anders als die zuvor konfigurierte Standardberechtigungsrichtlinie eingestellt werden und überschreiben deren Werte__ | ||||||||||||
Permission | / ++76,,Erweitern oder minimieren einer Berechtigung__ ++77,,Löschen der Berechtigung__ | |||||||||||||
++78,,Genehmigung__ | android.permission. WRITE_EXTERNAL_STORAGE |
++79,,Die App braucht zugriff auf den Speicher (gemeint ist Interner Speicher und eine zusätzliche SD-Karte)__ | ||||||||||||
++80,,Regel__ | ++81,,Gewähren__ | ++82,,Die Richtlinie zum Erteilen der Berechtigung.__ | ||||||||||||
++83,,Genehmigung__ | android.permission.INTERNET | ++84,,Die App soll Zugriff auf vorhandene Internetverbindungen erhalten.__ | ||||||||||||
++85,,Regel__ | ++86,,Gewähren__ | ++87,,Die Richtlinie zum Erteilen der Berechtigung.__ | ||||||||||||
++88,,Genehmigung__ | com.nextcloud.client. permission.C2D_MASSAGE |
++89,,Die App soll Push-Nachrichten über Firebase Cloud Messaging (ehemals Goocle Cloud Massage) erhalten können (Cloud to Device → C2D)__ | ||||||||||||
++90,,Regel__ | ++91,,Gewähren__ | ++92,,Die Richtlinie zum Erteilen der Berechtigung.__ | ||||||||||||
++93,,Hier sind ggf. weitere Berechtigungen zu gewähren oder zu verweigern. Zu beachten: Im Feld »Genehmigung« erscheinen jeweils nur die Berechtigungen, die die jeweilige App fordert und in der Regel auch für einen einwandfreien Betrieb benötigt. Es empfiehlt sich hier unbedingt notwendige Berechtigungen vorab zu gewähren und alle weiteren Berechtigungen nur auf Nachfrage (Prompt) zuzulassen. Die Option »verweigern« sollte nur bei ausgewählten Berechtigungen verwendet werden, bei denen eindeutig ist, daß die gewünschte Funktion der App dadurch nicht beeinträchtigt wird.__ |
++94,,Netzwerke__
Beschriftung | ++96,,Default-Einstellung__ | Beschreibung |
---|---|---|
++97,,VPN immer aktiv__ | ||
++98,,Aktiviere "VPN immer aktiv"__ | ++99,,Baut immer ein VPN auf. ermöglicht weitere Einstellungen__ | |
++100,,Paketname__ | de.securepoint.ms.agent | ++101,,Der Paketname der VPN-App.__ |
++102,,Sperre aktiviert__ | ++103,,Es wird jede Netzwerkverbindung verhindert, auch wenn das VPN nicht verbunden sein sollte.__ | |
++104,,Offene Netzwerkkonfiguration__ | ||
++105,,Netzwerkkonfigurationen__ | ++106,,+ Konfiguration hinzufügen__ | ++107,,Zugangsprofile für WiFi-Netzwerke konfigurieren__ |
++108,,Netzwerk__ | ||
++109,,Name __ | ++110,,ttt-point Zentrale__ | ++111,,Der Name der Konfiguration__ |
++112,,Typ__ | WiFi | ++113,,Der Konfigurationstyp ist vorgegeben__
Wifi |
SSID | ++114,,ttt-point-zentrale-WLAN__ | ++115,,Die SSID des Netzwerks__ |
++116,,Sicherheit __ | WPA-PSK | ++117,,Hohe Sicherheitsstufe__ |
++118,,Passwort __ |
| |
++121,,Versteckte SSID __ | ++122,,Legt fest ob die SSID versteckt ist.__ | |
++123,,Automatisch verbinden __ | ++124,,Das Gerät soll sich automatisch mit dem Netzwerk verbinden.__ |
++125,,Einschränkungen __
Beschriftung | ++128,,Eingabe__ | Beschreibung}} | ||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|
++129,,Support-Meldungen__ | ||||||||||||
++130,,Kurze Supportnachricht __ | ++131,,Deaktiviert durch die IT-Abteilung der ttt-Point AG__ | ++132,,Eine Meldung, die dem Benutzer auf dem Einstellungsbildschirm angezeigt wird, wenn die Funktionalität vom Administrator deaktiviert wurde. Die maximale Nachrichtenlänge beträgt 4096 Zeichen.__ | ||||||||||
++139,,Lange Supportnachricht __ | ++140,,Deaktiviert durch die IT-Abteilung der ttt-Point AG aufgrund von allgemeinen Sicherheitsvorkehrungen. Bei Rückfragen wenden Sie sich bitte an den Support unter: 04131-2401-0__ | ++141,,Eine Nachricht, die dem Benutzer angezeigt wird. Die maximale Nachrichtenlänge beträgt 4096 Zeichen. Abb. s.o.__ | ||||||||||
++142,,Zulässige Eingabemethoden__ | ++143,,Falls vorhanden, sind nur die Eingabemethoden zulässig, die von Paketen in dieser Liste bereitgestellt werden. Wenn dieses Feld vorhanden ist, die Liste jedoch leer ist, sind nur Systemeingabemethoden zulässig.__ | |||||||||||
++143__E-Mail für Werkseinstellung Zurücksetzung __ | it-intern@anyideas.de | ++144,,E-Mail-Adressen von Geräteadministratoren zum Schutz vor Zurücksetzen auf die Werkseinstellungen. Wenn das Gerät auf die Werkseinstellungen zurückgesetzt wird, muss sich einer dieser Administratoren mit der E-Mail-Adresse und dem Passwort des Google-Kontos anmelden, um das Gerät zu entsperren. Wenn keine Administratoren angegeben sind, bietet das Gerät keinen Schutz vor Zurücksetzen auf die Werkseinstellungen.__ Nur für interne Prüfzwecke | ||||||||||
++145,,Ortungsmodus __ | ++146,,Hohe Genauigkeit__ |
| ||||||||||
++159,,Deaktivieren Sie die Bildschirmaufnahme __ | ++160,,Um Datenschutz zu gewährleisten, sollen keine Screenshots angefertigt werden können. Dazu gehört auch das Blockieren von Screensharing-Anwendungen und ähnlichen Anwendungen (z.B. Google Assistant), die die Screenshot-Funktionen des Systems nutzen.__ | |||||||||||
++161,,Kamera deaktivieren __ | ++162,,Per Default soll die Kamera deaktiviert sein.__ | |||||||||||
++163,,Kontotypen mit deaktivierter Verwaltung __ | ++164,,Kontotypen, die vom Benutzer nicht verwaltet werden können.__ Nur für interne Prüfzwecke | |||||||||||
++164,,Deaktivieren Sie den Werksreset__ | ++165,,Das Zurücksetzen auf Werkseinstellungen soll deaktiviert sein.__ | |||||||||||
++166,,Deaktivieren Sie die Bereitstellung physischer Medien __ | ++167,,Das Bereitstellen externer physischer Medien durch den Benutzer soll deaktiviert sein.__ | |||||||||||
++168,,Deaktivieren Sie das Ändern von Konten __ | ++169,,Das Hinzufügen oder Entfernen von Konten soll deaktiviert sein.__ | |||||||||||
++170,,Deaktivieren Sie den abgesicherten Modus__ Nur für interne Prüfzwecke | ++171,,Im "abgesicherten Modus" werden Apps von Drittanbiertern deaktiviert. Dadurch sind ungewollte Einstellungen möglich! (Streng genommen ist diese Einstellung nicht notwendig, weil sie bereits durch die Einstellung Verschlüsselung: Mit Passwort aktivieren im Reiter Grundeinstellungen erzwungen wird.)__ | |||||||||||
++172,,Deaktivieren Sie die Bluetooth-Kontaktfreigabe __ | ++173,,Per Bluetooth sollen keine Kontaktdaten das Gerät verlassen.__ | |||||||||||
++174,,Deaktivieren Sie die Bluetooth-Konfiguration __ | ++175,,Die Bluetooth-Konfiguration soll deaktiviert sein.__ | |||||||||||
++176,,Deaktivieren Sie die Cell Broadcast-Konfiguration __ | ++177,,Die Konfiguration von Cell Broadcast soll deaktiviert sein.__ | |||||||||||
++178,,Deaktivieren Sie die Konfiguration der Anmeldeinformationen __ | Nur für interne Prüfzwecke ++179,,Gibt an, ob die Konfiguration von Benutzeranmeldeinformationen deaktiviert ist.__ | |||||||||||
++180,,Deaktivieren Sie die Mobilfunknetzkonfiguration __ | ++181,,Die Konfiguration von Mobilfunknetzen soll deaktiviert sein.__ | |||||||||||
++182,,Deaktivieren Sie die Tethering-Konfiguration __ | ++183,,Die Konfiguration von Tethering und portablen Hotspots soll deaktiviert sein.__ | |||||||||||
++184,,Deaktivieren Sie die VPN-Konfiguration __ | ++185,,Die Konfiguration von VPN soll deaktiviert sein.__ | |||||||||||
++186,,Deaktivieren Sie die Wi-Fi-Konfiguration __ | ++187,,Die Konfiguration von WLAN-Zugangspunkten soll deaktiviert sein.__ | |||||||||||
++188,,Deaktivieren Sie das Erstellen von Fenstern __ | ++189,,Gibt an, ob das Erstellen von Fenstern neben App-Fenstern deaktiviert ist.__ Nur für interne Prüfzwecke | |||||||||||
++190,,Deaktivieren Sie das Zurücksetzen der Netzwerkeinstellungen __ | ++191,,Gibt an, ob das Zurücksetzen der Netzwerkeinstellungen deaktiviert ist.__ | |||||||||||
++192,,Datei per NFC versenden deaktivieren__ Nur für interne Prüfzwecke | ++193,,Die Verwendung von NFC zum Übertragen von Daten aus Apps soll deaktiviert sein.__ | |||||||||||
++194,,Deaktivieren Sie die USB-Datenübertragung __ | ++195,,Die Übertragung von Dateien über USB soll deaktiviert sein.__ | |||||||||||
++196,,App-Überprüfung erzwingen __ | ++197,,Google Play Protect soll angewendet werden. Damit wird überprüft, daß die App sich im ursprünglichen Zustand befindet und im Vergleich zu der Version im App-Store nicht manipuliert wurde.__ | |||||||||||
++198,,Aktivieren Sie die Blockierung anderer Apps __ | ++199,,Gibt an, ob andere als die in Anwendungen konfigurierten Anwendungen für die Installation gesperrt sind. Wenn diese Option aktiviert ist, werden Anwendungen, die unter einer früheren Richtlinie installiert wurden, jedoch nicht mehr in der Richtlinie angezeigt werden, automatisch deinstalliert.__ | |||||||||||
++200,,Debugging-Funktionen zulassen __ | ++201,,Der Benutzer darf Debugging-Funktionen aktivieren.__ | |||||||||||
++202,,Hinweise zum ersten Benutzer überspringen __ | ++203,,Flag, um Hinweise zur ersten Verwendung zu überspringen. Der Unternehmensadministrator kann die Systemempfehlung für Apps aktivieren, um das Benutzer-Tutorial und andere einführende Hinweise beim ersten Start zu überspringen.__ | |||||||||||
++204,,choosePrivateKeyRules __ Nur für interne Prüfzwecke | ++205,,Ermöglicht die Anzeige der Benutzeroberfläche auf einem Gerät, damit ein Benutzer einen privaten Schlüsselalias auswählen kann, wenn in ChoosePrivateKeyRules keine übereinstimmenden Regeln vorhanden sind. Bei Geräten unter Android P können durch diese Einstellung Unternehmensschlüssel angegriffen werden.__ | |||||||||||
++206,,Play-Store-Modus__ | Whitelist | Nur für interne Prüfzwecke ++207,,In diesem Modus wird gesteuert, welche Apps dem Benutzer im Play Store zur Verfügung stehen und wie sich das Gerät verhält, wenn Apps aus der Richtlinie entfernt werden.__ Nur für interne Prüfzwecke | ||||||||||
++209,,Deaktivieren Sie die Keyguard-Funktionen __ | ++210,,Deaktivierte Keyguard-Anpassungen (Funktionen, den dem Benuzter nicht mehr zur Verfügung stheen, bevor das Gerät entsperrt wurde):__++211,,Kamera __ ++212,,Vertrauensagenten ignorieren __ ++213,,Remote-Eingang __ ++214,,Alles __ | |||||||||||
++215,,Statusmeldung__ | ||||||||||||
++216,,Aktivieren Sie die Statusmeldung __ | ++217,,Nachdem Sie dies aktiviert haben, können Sie die Konfiguration der Statusberichte festlegen__ Nur für interne Prüfzwecke | |||||||||||
++217,,Hardware Status __ | ++218,,Gibt an, ob die Hardware-Statusmeldung aktiviert ist.__ | |||||||||||
++219,,Anwendungsberichte __ | ++220,,Gibt an, ob App-Berichte aktiviert sind.__ | |||||||||||
++221,,Softwareinfo __ | ++222,,Gibt an, ob die Software-Info-Berichterstattung aktiviert ist.__ | |||||||||||
++223,,Speicherinfo __ | ++224,,Gibt an, ob die Speicherberichterstattung aktiviert ist.__ | |||||||||||
++225,,Anzeigen Informationen __ | ++226,,Gibt an, ob die Anzeige von Berichten aktiviert ist.__ | |||||||||||
++227,,Netzwerk Information __ | +++228,,Gibt an, ob die Netzwerkinfomeldung aktiviert ist.__ | |||||||||||
++229,,Geräteeinstellungen __ | ++230,,Gibt an, ob die Berichterstellung für Geräteeinstellungen aktiviert ist.__ | |||||||||||
++231,,Energieverwaltungsereignisse __ | ++232,,Gibt an, ob die Energieverwaltungsereignisberichterstattung aktiviert ist.__ | |||||||||||
++233,,Systemaktualisierung__ | ||||||||||||
++234,,Aktivieren Sie die Statusmeldung __ | ++235,,Nachdem Sie dies aktiviert haben, können Sie die Systemaktualisierungskonfiguration einstellen.__ | |||||||||||
++236,,Energieverwaltungsereignisse __ | ++237,,Die Art der zu konfigurierenden Systemaktualisierung.__ | |||||||||||
++238,,Nicht spezifiziert__ | ++239,,__ | |||||||||||
++240,,Automatisch__ | ++241,,Nur für interne Prüfzwecke__ | |||||||||||
++242,,Im Fenster__ | ++243,,__ | |||||||||||
++248,,Verschieben__ | ++249,,Nur für interne Prüfzwecke__ | |||||||||||
++250,,Regeln für private Schlüssel __ | ++251,,Regel hinzufügen __ | ++252,,Regeln für die automatische Auswahl eines privaten Schlüssels und Zertifikats zur Authentifizierung des Geräts bei einem Server. Die Regeln sind nach Priorität geordnet. Wenn also eine ausgehende Anforderung mehr als einer Regel entspricht, definiert die letzte Regel, welcher private Schlüssel verwendet werden soll.__
| ||||||||||
++260,,Globale Erlaubnisgewährung __ | ++261,,Berechtigung hinzufügen __ | ++262,,Explizite Erlaubnis oder Gruppengewährung oder -verweigerung für alle Apps. Diese Werte überschreiben die defaultPermissionPolicy.__
|
++267,,Passwort__
++270,,Passwortrichtlinien können für Arbeitsprofile und komplett verwaltete Geräte verwendet werden.__
++321,,Sicherheit__
++323,,Bei Aktivierung wird die Securepoint Mobile Security-App im Reiter Anwendungen hinzu gefügt bzw. entfernt und kann hier konfiguriert werden.
Dies ist erforderlich, um die Sicherheitseinstellungen zu konfigurieren.__
Es werden zahlreiche Einstellungen konfiguriert, die die Sicherheit bei Web-Anwendungen steuern.
Konfiguration mit Klick auf Sicherheit aktivieren
Aktion | Default | Beschreibung | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Region | Deutschland/EU | Geographische Zuordnung des VPN-Endpunktes | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Protokoll | TCP | Das Protokoll, das für den VPN Tunnel verwendet wird. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Portfilter-Typ | Auswahl | Netzwerkverkehr filtern aufgrund von Netzwerkports: Communication VPN
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SSL interception | Standard | SSL-Datenverkehr von Webseiten, die in der Content-Filter-Whitelist aufgeführt sind, werden nicht abgefangen, andere Seiten werden mittels SSL-Interception überprüft. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Content-Filter-Whitelist | Fernwartung | Klick-Box: Webseiten, die auf einer Whitelist eingetragen werden sollen. Mögliche Einträge: Contentfilter | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Content-Filter-Blacklist | Default-Werte Hacking Proxy Threat Intelligence Feed |
Klick-Box: Webseiten, die auf einer Blacklist eingetragen werden sollen. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Deaktivieren für SSIDs | ttt-point-zentrale-WLAN | Eingabe von WLAN-SSIDs, für die die Sicherheitsfunktionen deaktiviert werden sollen. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Erlaube das unterbrechen von Always-On-VPN | Dem Benutzer soll es nicht erlaubt sein, das VPN vorübergehend zu deaktivieren. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Appkonfiguration | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Andere VPN Profile erlauben | Das Hinzufügen von anderen VPN Profilen, zusätzlich zu dem Securepoint Security-Profil soll nicht erlaubt sein. |
Speichern