Android Geräte Enrollment

Android Geräte Enrollment mit Google Enterprise

Letzte Anpassung zur Version: 1.26

Neu:

Bei einem ZeroTouch Enrollment können ist ein Enrollmenttoken mit PIN Pflicht

Zuletzt aktualisiert:

05.2024

notempty

Dieser Artikel bezieht sich auf eine Beta-Version

'

Voraussetzungen:

Das Securepoint Mobile Device Management (MDM) muss mit einem Google-Konto als Android Enterprise Konto verknüpft sein
Im Securepoint Unified Security Portal konfiguriertes Android Enterprise Profil

Enrollment:

Registrierungs-Token für ein Profil erstellen

Vorbereitung

Es muss eine Verbindung vom Securepoint Mobile Security Portal zu einem Android Enterprise Konto bestehen.

Um Google Enterprise für Unternehmen nutzen und über Securepoint Mobile Security administrieren zu können, muss eine Verknüpfung zwischen dem Konto bei Securepoint Mobile Security und einem Google-Konto für EMM hergestellt werden.
notempty

Wichtig ist hierbei, dass es nur noch ein Google-Enterprise-Konto für alle Geräte eines Tenants (Kunde mit eigenem Mobile-Security-Konto) gibt. Ohne EMM hat jedes Gerät ein eigenes Google-Konto.

Einstellungen für Apple und Android

notempty

Ein Google-Konto darf jeweils mit nur einem Tenant verknüpft werden!

Andernfalls erscheinen alle Geräte, die einem Tenant – und damit einem Google-Konto – zugeordneten wurden in allen weiteren Tenants, die mit dem gleichen Google-Konto verknüpft sind!

Verknüpfung im Menü

→ Android Enterprise → Hinzufügen/Verknüpfen

Ein Google-Konto wird durch die Verknüpfung mit Securepoint Mobile Security als EMM-Anbieter zu einem Enterprise Konto

Die Kommunikation des Securepoint Mobile Security Portals läuft hierbei komplett über dieses Google-Konto.

notempty

Um ungewollte Nebeneffekte zu vermeiden, sollte unbedingt ein neues Konto angelegt werden.

Es empfiehlt sich hierbei ein Namensschema zu verwenden: mdm.$Kundenname@gmail.com


1.	2.	3.


Abb.1	Abb.2	Abb.3


Abbildungen

Menü Mobile Security Einstellungen → Android Enterprise → Hinzufügen/Verknüpfen

Enterprise Benutzerkonto hinzufügen

E-Mail-Adresse, für die Verknüpfung mit Android Enterprise

Es können E-Mail-Adressen mit einer Domain der eigenen Organisation verwendet werden (z.b. mdm@anyideas.de)
Es können E-Mail-Adressen von Mail-Anbietern verwendet werden (z.B. mdm.anyideas@gmail.com)

Wird eine E-Mail-Adresse mit einer Domain der eigenen Organisation verwendet werden (z.b. mdm@anyideas.de) muss diese bestätigt werden

Wird eine E-Mail-Adresse mit einer Domain eines Mail-Anbieters verwendet (z.b. mdm.anyideas@gmail.com) muss die Option Nur für Android registrieren gewählt werden.

Weiterleitung auf https://play.google.com/work

Name des Unternehmens.
Die Verknüpfung mit Securepoint Mobile Security ist bereits vorgegeben.

Es sind Angaben zum/r Datenschutzbeauftragten und EU-Bevollmächtigten erforderlich

Die Registrierung bei Google kann damit abgeschlossen werden.

Es erfolgt eine Weiterleitung zurück zum Securepoint Mobile Security Portal.
Die E-Mail-Adresse, mit der die Verknüpfung erstellt wurde sollte nun gespeichert werden um eine spätere Zuordnung zu ermöglichen.
Die Einrichtung muss mit Speichern abgeschlossen werden.

Die Verknüpfung ist jetzt hergestellt.

Sollte diese Meldung beim Aufruf von https://play.google.com/work erscheinen, ist die Registrierung im Securepoint Mobile Security Portal noch nicht abgeschlossen worden und kein Token verknüpft!

Es muss ein Android-Profil geben, daß dem Gerät zugeordnet werden kann.

Android Profil

Unter Mobile Security Android Profile lässt sich ein Profil hinzufügen, ein Profil importieren oder ein bestehendes Profil bearbeiten (Klick auf Profilkachel oder → Bearbeiten )
Hier wiederum werden verschiedene Konfiguration vorgenommen, z.B.:

Apps konfigurieren
WiFi Konfigurationen
Einschränkungen
Passwort-Richtlinien
Sicherheitseinstellungen

Best Practice: Beschreibung der wichtigsten Konfigurationsmöglichkeiten

notempty

Zusätzlich zur Konfiguration der Grundeinstellungen, Einschränkungen, Netzwerke etc. sind folgende Einstellungen im Profil erforderlich:

Anwendungen Anwendungen Installationstyp Kiosk muss im Reiter Anwendungen für eine einzige App hinzugefügt werden
Beschriftung	Wert	Beschreibung	Anwendung mit Installationstyp Kiosk
Anwendung hinzufügen
Paketname	de.ausgewählte.App	Paket aus Dropdownmenü auswählen oder mit Anwendung auswählen hinzufügen
Installationstyp	Kiosk	Die App wird automatisch im Kioskmodus installiert: Sie ist als bevorzugte Ausgangsart festgelegt und für den Sperren-Task-Modus auf die Allowlist gesetzt. Das Geräte-Setup wird erst abgeschlossen, wenn die App installiert ist Nach der Installation können Benutzer die App nicht mehr entfernen Sie können diesen installationstyp nur für eine App pro Profil festlegen Wenn dies in dem Profil vorhanden ist, wird die Statusleiste automatisch deaktiviert.

Einschränkungen Einschränkungen Einstellungen im Reiter Einschränkungen für den Kioskmodus
Aktivieren Sie den benutzerdefinierten Kiosk-Starter		Blendet alle Systemanwendungen im Homescreen aus und zeigt nur die Apps an, die über das Profil installiert wurden. Es wird empfohlen, zusätzlich die Statusleiste zu deaktivieren, um den Zugriff auf Geräteeinstellungen zu blockieren.
Power-Button-Aktionen	Nicht spezifiziert	Legt das Verhalten eines Geräts im Kioskmodus fest, wenn ein Benutzer die Ein- / Aus-Taste drückt und gedrückt hält. Standardmäßig verfügbar
	Verfügbar	Das Ein- / Ausschaltmenü (z. B. Ausschalten, Neustart) wird angezeigt, wenn ein Benutzer im Kioskmodus die Ein- / Aus-Taste eines Geräts lange drückt
	Blockiert	Das Ein / Aus-Menü (z. B. Ausschalten, Neustart) wird nicht angezeigt, wenn ein Benutzer im Kioskmodus lange auf die Ein- / Aus-Taste eines Geräts drückt Dies kann Benutzer daran hindern, das Gerät auszuschalten
Systemfehlerwarnungen	Nicht spezifiziert	Gibt an, ob Systemfehlerdialoge für abgestürzte oder nicht reagierende Apps im Kioskmodus blockiert werden. Standardmäßig stummgeschaltet.
	Aktiviert	Alle Systemfehlerdialoge wie Absturz und App reagiert nicht (ANR) werden angezeigt.
	Stumm	Alle Systemfehlerdialoge wie Absturz und nicht reagierende App (ANR) werden blockiert. Wenn es blockiert ist, stoppt das System die App zwangsweise, als ob der Benutzer die App über die Benutzeroberfläche schließt.
Systemnavigation	Nicht spezifiziert	Gibt an, welche Navigationsfunktionen im Kioskmodus aktiviert sind (z. B. Home, Übersichtstasten).
	Aktiviert	Home- und Übersichtsschaltflächen sind aktiviert.
	Deaktiviert	Auf die Schaltflächen Home und Übersicht kann nicht zugegriffen werden.
	Nur Home-Taste	Nur die Home-Taste ist aktiviert.
Statusleiste	Nicht spezifiziert	Gibt an, ob Systeminformationen und Benachrichtigungen im Kioskmodus deaktiviert sind. Standardmäßig Benachrichtigungen und Systeminformationen deaktiviert.
	Benachrichtigungen und Systeminformationen aktiviert	Systeminformationen und Benachrichtigungen werden im Kioskmodus in der Statusleiste angezeigt
	Benachrichtigungen und Systeminformationen deaktiviert	Systeminformationen und Benachrichtigungen sind im Kioskmodus deaktiviert
	Nur Systeminformationen	In der Statusleiste werden nur Systeminformationen angezeigt
Geräteeinstellungen	Nicht spezifiziert	Gibt an, ob ein Benutzer im Kioskmodus auf die App Einstellungen des Geräts zugreifen kann Standardmäßig zulässig
	Erlaubt	Der Zugriff auf die Einstellungen-App ist im Kioskmodus zulässig
	Blockiert	Der Zugriff auf die Einstellungen-App ist im Kioskmodus nicht zulässig

notempty

Zusätzlich zur Konfiguration der Grundeinstellungen, Einschränkungen, Netzwerke etc. sind folgende Einstellungen im Profil erforderlich:

Vorlage:H5 Persönlicher Gebrauch Im Reiter Persönlicher Gebrauch muss eben dieses explizit erlaubt und ggf. weitere Einstellungen vorgenommen werden
Beschriftung	Wert	Beschreibung	Reiter Persönlicher Gebrauch
Aktivieren	default: aus	Ermöglicht die Steuerung der privaten Nutzung notempty Wird dieser Schalter nicht aktiviert, kann der Nutzer ohne Einschränkungen private Apps installieren!
Kamera deaktivieren		Deaktiviert die Kamera im persönlichen Profil Um die Kamera für geschäftliche Anwendungen nutzern zu können, muss diese als App im Reiter Anwendungen hinterlegt werden.
Deaktivieren Sie die Bildschirmaufnahme		Bildschirmaufnahmen (Screenshots) sind bei Aktivierung nicht möglich
Kontotypen mit deaktivierter Verwaltung		Kontotypen, die vom Benutzer nicht verwaltet werden können. Beispiele: com.twitter.android.auth.login com.facebook.auth.login com.linkedin.android com.google verhindert das Hinzufügen von Google-Accounts in allen Google Apps (inkl. Gmail, Google Calendar, Google Drive, etc.) Darf nicht bei COPE Geräten eingetragen sein. Wird diese Option nachträglich entfernt, muss ein erneutes Enrollment durchgeführt werden. com.google verhindert das Hinzufügen von Google-Accounts. Eine private Nutzung wäre damit nicht mehr möglich und darf daher nicht bei COPE Geräten verwendet werden
Max. Tage ohne Arbeit	0	Steuert, wie lange das Arbeitsprofil ausgeschaltet bleiben kann. (In der App-Übersicht lassen sich die Apps und Benachrichtigungen des Arbeitsprofils deaktivieren.)
Persönlicher Play Store-Modus	Nicht spezifiziert	Gibt an, ob die Apps im Abschnitt Persönliche Anwendungen im persönlichen Profil zugelassen oder blockiert werden. Standardmäßig Blockliste. Es muss zusätzlich der Installationstyp angegeben werden.
Zulassungsliste	Im persönlichen Profil dürfen nur Apps installiert werden, die explizit in Persönliche Anwendungen angegeben sind und deren Installationstyp auf Verfügbar eingestellt ist.
Blocklist	Alle Play Store-Apps können im persönlichen Profil installiert werden, mit Ausnahme derjenigen, deren Installationstyp unter "Persönliche Anwendungen" "Blockiert" ist.

Persönliche Anwendungen	Anwendung hinzufügen	Richtlinien für Apps im persönlichen Profil eines unternehmenseigenen Geräts mit einem Arbeitsprofil
Paketname	de.ausgewählte.App	Paket aus Dropdownmenü auswählen oder mit Anwendung auswählen hinzufügen
Installationstyp	Nicht spezifiziert	Die Art wie die Installation durchgeführt wird. (Nicht spezifiziert=Default: Verfügbar) nicht spezifiziert wird als Verfügbar gewertet und überschreibt die Einstellung des Play Store-Modus Blocklist bzw. Nicht spezifiziert
	Blockieren	Die App wird blockiert und kann nicht installiert werden. Wenn die App über ein altes Profil installiert wurde, wird diese deinstalliert
	Verfügbar	Die App steht zur installation bereit Private Apps müssen mit einem eigenen Google-Account hinzugefügt werden
Profilübergreifende Richtlinien
Aktivieren		Richtlinien, die bei Aktivierung Einschränkungen in der Kommuikation zwischen privatem und geschäftlichen Profil definieren
Arbeitskontakte im persönlichen Profil anzeigen	Erlaubt Defaultwert	Erlaubt das Erscheinen von Arbeitsprofilkontakten bei der Suche nach persönlichen Profilkontakten und eingehenden Anrufen
	Nicht erlaubt	Verhindert, dass Kontakte aus dem Arbeitsprofil bei der Suche nach persönlichen Profilkontakten und eingehenden Anrufen angezeigt werden
	Nicht spezifiziert	Entspricht Erlaubt
Profilübergreifendes Kopieren & Einfügen
	Erlaubt	Text, der in einem der Profile kopiert wurde, kann in das andere Profil eingefügt werden
	Nicht spezifiziert	Entspricht Nicht erlaubt
Profilübergreifende Datenfreigabe	Von der Arbeit zum persönlichen Profil verweigern Defaultwert	Verhindert, dass Benutzer Daten aus dem Arbeitsprofil für Apps im persönlichen Profil freigeben. Persönliche Daten können mit Arbeits-Apps geteilt werden.
		Verhindert, dass Daten sowohl vom persönlichen Profil an das Arbeitsprofil als auch vom Arbeitsprofil an das persönliche Profil weitergegeben werden.
	Erlaubt	Daten von einem der Profile können mit dem anderen Profil geteilt werden.
	Nicht spezifiziert	Entspricht Nicht erlaubt
Speichern		Allen Angaben mussen gespeichert werden, um and die Geräte übertragen zu werden.

Geräte Enrollment

Registrierungs-Token für ein Profil

Beschriftung	Option	Beschreibung	Neues Gerät anmelden mit Android Enterprise

Profil	Android Enterprise Profil
Lizenz	TTT-Point AG \| MDM [0/10] (aaaa)	Auswahl der Lizenz, die für neu angemeldete Geräte verwendet werden soll. Es ist möglich, Geräte nach Ablauf einer Laufzeit-Lizenz einer neuen Lizenz zuzuordnen.
Code nutzen		Legt fest, ob beim Enrollment am Ende der Geräteregistrierung ein Code benötigt wird oder nicht notempty Sollte aktiviert werden, um zu verhindern, daß Geräte, die in unbefugte Hände gelangt sind mit konfigurierten Zugangsdaten oder anderen Firmen-Geheimnissen registriert werden notempty Aus Sicherheitsgründen für das ZeroTouch Enrollment können ausschließlich Enrollmenttokens ausgewählt werden, die mit einer PIN versehen worden sind.
Weitere Optionen
Dauer	30 Tage	15 Tage 30 Tage 60 Tage 90 Tage Unendlich Technisch handelt es sich um eine Begrenzung auf 10.000 Jahre


Private Nutzung zulassen	Nicht spezifiziert Private Nutzung ist erlaubt Private Nutzung ist nicht erlaubt	Legt fest, ob die private Nutzung auf einem mit diesem Registrierungstoken angemeldeten Gerät zulässig ist. Die Deaktivierung der privaten Nutzung verhindert das Erstellen eines Arbeitscontainers. Für private Geräte: Es wird ein Arbeitsprofil auf dem Gerät eingerichtet. Das MDM hat ausschließlich Zugriff auf Apps und Daten innerhalb diese Profils. Das MDM kann steuern, ob ein Austausch von Daten zwischen Arbeitsprofil und der normalen Umgebung auf dem Gerät stattfinden darf. Durch Deaktivieren der privaten Nutzung wird die Bereitstellung des Geräts verhindert. Die private Nutzung kann auf einem privaten Gerät nicht deaktiviert werden. Für Firmengeräte: Es wird ein Arbeitsprofil auf dem Gerät eingerichtet. Das MDM hat vollen Zugriff auf Apps und Daten im Arbeitsprofil und in der normalen Umgebung.

Registrierungstoken erstellen		Erstellt einen Registrierungstoken mit QR-Code und einem Wert, der über die Tastatur eingetragen werden kann. Es wird der Name des zugehörigen Profils angezeigt, sowie das Datum, an dem es ausläuft und nicht mehr verwendet werden kann.

Firmeneigentum mit privater Nutzung (COPE)

Erstmaliges Anschalten oder Geräte-Reset (Werkseinstellungen)
Auswahl der Ländereinstellungen
7-maliges schnelles Tippen auf das Display öffnet einen QR-Code-Scanner
Einscannen des Profil-QR-Codes (siehe oben)
Auf dem Gerät wird ein Arbeitsprofil erstellt
- Alle konfigurierten Anwendungen, Einschränkungen etc. werden innerhalb des Arbeitsprofils erstellt und angewendet
- Apps werden im Bereich "Geschäftlich" angezeigt und mit einem Koffersymbol versehen
Es kann zusätzlich ein privates Google Konto hinterlegt werden
Dieser Vorgang kann auch später durchgeführt werden
- Es wird ein privates Profil eingerichtet
- Es existiert ein eigener Bereich Privat mit eigenem Playstore

Abb.1

Abb.2

Abb.3

Abb.4

Abb.5

Abb.6

Abb.7

Anzeige der Kontaktinformationen, wenn der Text IT-Administrator angeklickt wird

Abb.8

Abb.9

Abb.10

Abb.11

Abb.12

Abb.13

Abb.14

Abb.15

Abb.16

Abb.17

Abb.18

Abb.19

Abb.20

Abb.21

Zero-Touch Geräte

Registrierung im Menü Mobile Security Android Zero-Touch
Entweder

Gerät einer bestehende Konfiguration hinzufügen:
- Konfiguration bearbeiten: Gerätekachel anklicken (oder über das Hamburger-Menü in der Gerätekachel oben rechts / Bearbeiten)
- ggf. neues, gültiges Enrollmenttoken wählen
  Enrollmenttoken sind maximal 30 Tage lang gültig
- Gerät(e) anhand der IMEI oder Seriennummer auswählen
- Angaben speichern

oder

mit der Schaltfläche Konfiguration hinzufügen
- Enrollmenttoken wählen
- Kunde wählen
- Weitere Angaben vervollständigen (Unternehmensname, Kontaktdaten…)
- Gerät(e) anhand der IMEI oder Seriennummer auswählen
- Angaben speichern

Sobald das Gerät erstmalig bzw. nach einem Werksreset mit dem Internet verbunden wird, wird das Profil auf das Gerät gepusht und die Verbindung zum MDM hergestellt.
Das Enrollment auf dem Gerät selbst ist, je nach Konfiguration, genau so, wie in den Abschnitten COPE, COBU oder COSU beschrieben.

Es entfällt lediglich das Scannen des Enrollment Tokens!

Name	TTT-Point Zero Touch	Name der Konfiguration	Menü zum Hinzufügen von Zero-Touch Geräten
Enrollmenttoken	Profil: Gewähltes Profil \| Token abCD12	Der ausgewählte Enrollmenttoken (wie im Menü Geräte / Neues Gerät anmelden erzeugt) wird auf alle Geräte angewandt, die mit dieser Konfiguration enrolled werden. notempty Aus Sicherheitsgründen für das ZeroTouch Enrollment können ausschließlich Enrollmenttokens ausgewählt werden, die mit einer PIN versehen worden sind.
Kunde	SecurepointCustomer	Die Bezeichnung für den Kunden, so wie sie an den Geräte-Händler übermittelt wurde. Wurden mehrere Gmail-Adressen mit dem Zero-Touch-Portal verknüpft, können hier verschiedene Bezeichnungen ausgewählt werden.
Standard		Definiert ob diese Konfiguration der Standard ist oder nicht. Bei Aktivierung werden neue Zero-Touch Geräte automatisch dieser Konfiguration hinzugefügt, sofern keine Andere angegeben wird Hinweis: Es sollte mindestens eine Konfiguration als Standard definiert sein.
Unternehmen	TTT-Point	Frei wählbare Bezeichnung für das Unternehmen, dem dieses Gerät zugeordnet werden soll.
E-Mail	admin@anyideas.de	Kontakt-E-Mail-Adresse Wird im Laufe des Einrichtungsprozesses auf dem Handy angezeigt, wenn auf dem Bildschirm "Dieses Gerät gehört deiner Organisation" auf IT-Administrator getippt wird.
Telefonnummer	01234-56789	Kontakt-Telefonnummer Anzeige s.o.
Benutzerdefinierte Nachricht	Willkommen bei TTT-Point	Wird während des Gerätesetups auf dem Display angezeigt
Geräte	123456789012345	Geräten kann diese Konfiguration anhand ihrer IMEI oder Seriennummer zugeordnet werden Das Feld ist nur aktiv, wenn auch ein Kunde ausgewählt wurde
Speichern		Speichert die Konfiguration

Zero-Touch Konfiguration mit zugeordnetem Gerät

Abschluss durch Benutzer

Der Endanwender muss nun das Gerät erstmalig einschalten und eine Internetverbindung herstellen.
Die Konfiguration aus dem Profil wird anschließend automatisch auf das Gerät angewendet.

Firmengeräte mit privater Nutzung (COPE)

Unter Mobile Security Android Geräte Reiter Operationen Schaltfläche Eigentum abgeben kann das Gerät aus der Verwaltung entfernt werden:

Vorbereitung

Android Profil

Anwendungen

Einschränkungen

Geräte Enrollment

Registrierungs-Token für ein Profil

Firmeneigentum mit privater Nutzung (COPE)

Zero-Touch Geräte

Firmengeräte mit privater Nutzung (COPE)