- Registrierungstoken können nun unendlich lang verwendet werden
Ablauf
Hier werden die erforderlichen Schritte beschrieben, um Android Geräte verbinden zu können:
Voraussetzungen:
- Das Securepoint Mobile Device Management (MDM) muss mit einem Google-Konto als Android Enterprise Konto verknüpft sein
- Im Securepoint Unified Security Portal konfiguriertes Android Enterprise Profil
Enrollment:
Vorbereitung
Es muss eine Verbindung vom Securepoint Mobile Security Portal zu einem Android Enterprise Konto bestehen.
Verknüpfung Google Enterprise mit Securepoint Mobile Security
notempty
notempty
Android Enterprise → Hinzufügen/Verknüpfen
Ein Google-Konto wird durch die Verknüpfung mit Securepoint Mobile Security als EMM-Anbieter zu einem Enterprise Konto
Die Kommunikation des Securepoint Mobile Security Portals läuft hierbei komplett über dieses Google-Konto.
Es muss ein Android-Profil geben, daß dem Gerät zugeordnet werden kann.
Android Profil
Unter Profil hinzufügen, ein Profil importieren oder ein bestehendes Profil bearbeiten (Klick auf Profilkachel oder → Bearbeiten )
Hier wiederum werden verschiedene Konfiguration vorgenommen, z.B.:
- Apps konfigurieren
- WiFi Konfigurationen
- Einschränkungen
- Passwort-Richtlinien
- Sicherheitseinstellungen
Zusätzlich zur Konfiguration der Grundeinstellungen, Einschränkungen, Netzwerke etc. sind folgende Einstellungen im Profil erforderlich:
Zusätzlich zur Konfiguration der Grundeinstellungen, Einschränkungen, Netzwerke etc. sind folgende Einstellungen im Profil erforderlich:
Geräte Enrollment
Registrierungs-Token für ein Profil
Unter Neues Gerät anmelden
lässt ich mit der so bezeichneten Schaltfläche ein
Beschriftung | Option | Beschreibung | |
---|---|---|---|
Möchten Sie ein vorhandenes Registrierungstoken verwenden? | Erstellen Sie ein neues Registrierungstoken | Sollte bereits ein Registrierungstoken erstellt worden, das noch nicht abgelaufen ist, kann es hier ausgewählt und angezeigt werden. (Abb. s.u.) | |
Profil | Android Enterprise Profil | Dieses Profil soll auf das zu registrierende Gerät angewendet werden. | |
Lizenz | TTT-Point AG | MDM [0/10] (aaaa) | Auswahl der Lizenz, die für neu angemeldete Geräte verwendet werden soll. MDM-Lizenzen beinhalten die vollständige Administration von Geräten. Mobile Security-Lizenzen beinhalten u.a. zusätzlichen Schutz in offenen Netzwerken durch Sicherheitsfunktionen der Securepoint Cyber Defense-Cloud Es ist möglich, Geräte nach Ablauf einer Laufzeit-Lizenz einer neuen Lizenz zuzuordnen. | |
Code nutzen | Legt fest, ob beim Enrollment am Ende der Geräteregistrierung ein Code benötigt wird oder nicht Sollte aktiviert werden, um zu verhindern, daß Geräte, die in unbefugte Hände gelangt sind mit konfigurierten Zugangsdaten oder anderen Firmen-Geheimnissen registriert werden | ||
Weitere Optionen | |||
Dauer |
30 Tage | Legt fest, wie lange dieses Token verwendet werden kann Danach ist eine Geräteregistrierung mit diesem Token nicht mehr möglich. Mögliche Werte: 30 Minuten Neu 90 Tage Neu Unendlich Technisch handelt es sich um eine Begrenzung auf 10.000 Jahre | |
Zusätzliche Daten | Mit dem Registrierungstoken verknüpfte beliebige Daten. Wird angezeigt unter | in der Geräteübersicht||
Nur einmal | Gibt an, ob das Registrierungstoken nur einmal verwendet werden darf. | ||
Private Nutzung zulassen | Nicht spezifiziert Private Nutzung ist erlaubt Private Nutzung ist nicht erlaubt |
Legt fest, ob die private Nutzung auf einem mit diesem Registrierungstoken angemeldeten Gerät zulässig ist. Die Deaktivierung der privaten Nutzung verhindert das Erstellen eines Arbeitscontainers.Für private Geräte: Es wird ein Arbeitsprofil auf dem Gerät eingerichtet. Für Firmengeräte: Es wird ein Arbeitsprofil auf dem Gerät eingerichtet. | |
Registrierungstoken erstellen | Erstellt einen Registrierungstoken mit QR-Code und einem Wert, der über die Tastatur eingetragen werden kann. Es wird der Name des zugehörigen Profils angezeigt, sowie das Datum, an dem es ausläuft und nicht mehr verwendet werden kann. |
||
Gerät registrieren
Private Geräte mit zusätzlichem Arbeitsprofil (BYOD)
Um private von geschäftlichen Apps unterscheiden zu können, wird die App Android Device Policy benötigt.
Auf privaten Geräten, in denen nur das Arbeitsprofil von einer Organisation - und damit durch das Securepoint Mobile Security Profil - verwaltet wird, muss diese App manuell aus dem Android App-Store installiert werden.
Mit dieser App wird der Registrierungstoken gescannt oder über die Tastatur eingegeben und die Geräte können im Portal registriert und konfiguriert werden.
- Installation der App Android Device Policy aus dem Google Play Store
Der Aufruf der App erfolgt über die Liste der installierten Apps im Google Play Store
- Scannen des QR-Codes oder Eingabe des des Registrierungstokens über Tastatur
- Für das Enterprise Profil wird auf dem Gerät ein Arbeitsprofil erstellt
- Alle konfigurierten Anwendungen, Einschränkungen etc. werden innerhalb des Arbeitsprofils erstellt und angewendet
Firmeneigentum mit privater Nutzung (COPE)
- Erstmaliges Anschalten oder Geräte-Reset (Werkseinstellungen)
- Auswahl der Ländereinstellungen
- 7-maliges schnelles Tippen auf das Display öffnet einen QR-Code-Scanner
- Einscannen des Profil-QR-Codes (siehe oben)
- Auf dem Gerät wird ein Arbeitsprofil erstellt
- Alle konfigurierten Anwendungen, Einschränkungen etc. werden innerhalb des Arbeitsprofils erstellt und angewendet
- Apps werden im Bereich "Geschäftlich" angezeigt und mit einem Koffersymbol versehen
- Es kann zusätzlich ein privates Google Konto hinterlegt werden
Dieser Vorgang kann auch später durchgeführt werden- Es wird ein privates Profil eingerichtet
- Es existiert ein eigener Bereich Privat mit eigenem Playstore
Vollständig verwaltete Geräte (COBO, COSU)
Vollständig verwaltete Geräte (COBO: Company Owned, business only oder COSU: Company owned single use) werden bei der Ersteinrichtung oder nach einem Geräte-Reset direkt mit dem Android Enterprise Profil verbunden. Die Verknüpfung mit einem Googlekonto und damit mit einem App-Store wird durch das zugeordnete Profil definiert.
- Erstmaliges Anschalten oder Geräte-Reset (Werkseinstellungen)
- Auswahl der Ländereinstellungen
- 7-maliges schnelles Tippen auf das Display öffnet einen QR-Code-Scanner
- Einscannen des Profil-QR-Codes (siehe oben)
- Das Gerät wird als vollständig verwaltetes Gerät eingerichtet.
- Alle im Profil gespeicherten Richtlinien, Apss und Einschränkungen werden auf das Gerät unmittelbar angewendet
Dieser Vorgang kann bei der Erstinstallation einige Minuten dauern!
- Alle im Profil gespeicherten Richtlinien, Apss und Einschränkungen werden auf das Gerät unmittelbar angewendet
Zero-Touch Geräte
Registrierung im Menü
Entweder
- Gerät einer bestehende Konfiguration hinzufügen:
- Konfiguration bearbeiten: Gerätekachel anklicken (oder über das Hamburger-Menü in der Gerätekachel oben rechts / Bearbeiten)
- ggf. neues, gültiges Enrollmenttoken wählen Enrollmenttoken sind maximal 30 Tage lang gültig
- Gerät(e) anhand der IMEI oder Seriennummer auswählen
- Angaben speichern
oder
- mit der Schaltfläche Konfiguration hinzufügen
- Enrollmenttoken wählen
- Kunde wählen
- Weitere Angaben vervollständigen (Unternehmensname, Kontaktdaten…)
- Gerät(e) anhand der IMEI oder Seriennummer auswählen
- Angaben speichern
Das Enrollment auf dem Gerät selbst ist, je nach Konfiguration, genau so, wie in den Abschnitten COPE, COBU oder COSU beschrieben.
Es entfällt lediglich das Scannen des Enrollment Tokens!
Abschluss durch Benutzer
Die Konfiguration aus dem Profil wird anschließend automatisch auf das Gerät angewendet.
Geräte aus der Verwaltung durch Mobile Security entfernen
Private Geräte mit Arbeitsprofil (BYOD)
Unter / Löschen in der jeweiligen Geräte-Kachel kann die Verwaltung von den Geräten entfernt werden:
- Alle Apps und Daten innerhalb des Arbeitsprofils werden gelöscht
- Das Arbeitsprofil auf diesen Geräten wird entfernt.
Firmengeräte mit privater Nutzung (COPE)
Unter / Löschen in der jeweiligen Geräte-Kachel kann die Verwaltung von den Geräten entfernt werden:
- Alle Daten werden gelöscht.
- Die Geräte werden automatisch und unverzüglich auf ihren Werkszustand zurückgesetzt!
Unter Operationen Schaltfläche kann das Gerät aus der Verwaltung entfernt werden:
Reiter- Alle Apps und Daten innerhalb des Arbeitsprofils werden gelöscht
- Das Arbeitsprofil auf diesen Geräten wird entfernt.
Vollständig verwaltete Geräte (COBO / COSU)
Unter / Löschen in der jeweiligen Geräte-Kachel kann die Verwaltung von den Geräten entfernt werden:
- Alle Daten werden gelöscht.
- Die Geräte werden automatisch und unverzüglich auf ihren Werkszustand zurückgesetzt!