Best Practice EMM-Profil

Beispielhafte Konfiguration eines EMM-Profils

Neu

Bestpractice

Einleitung

In einem Profil werden Berechtigungen, Einschränkungen, Passwort-Voraussetzungen, E-Mail-Einstellungen und Sicherheits-Einstellungen konfiguriert.

Android Enterprise-Profile (EMM) verhalten sich grundlegend anders als herkömmliche Android Profile. Die Geräte-Registrierung wird direkt an ein Profil gebunden.
Es muss zuerst ein Profil angelegt ( und konfiguriert) werden, bevor ein Gerät registriert werden kann.
Es ist nicht mehr möglich ein Profil einer Rolle, einem Benutzer oder einem Tag zuzuordnen.

In Android Enterprise-Profilen könnn zahlreiche sicherheitsrelevante Einstellungen vorgenommen werden, so z.B.

Kamara deaktivieren
Mikrofon deaktivieren
USB-Dateiübertragung deaktivieren
ausgehende Anrufe deaktivieren
Bluetooth deaktivieren
Kontaktfreigabe deaktivieren
Tethering deaktivieren
sms deaktivieren
Netzwerk nur mit VPN ermöglichen
uvm.

Android Enterprise Profile werden unmittelbar angewendet und müssen nicht veröffentlicht werden !

Android Enterprise Profil

Allgemein

Anzeige der verwendeten Plattform, des Profil-Namens und der zugeordneten Geräte.

Soll ein Android EMM-Profil neu angelegt werden, muss als Plattform Android Enterprise ausgewählt werden.

Grundeinstellungen

Beschriftung

Werte

Beschreibung

Maximale Zeit zum Sperren

120

Das Gerät wird nach 2 Min Inaktivität gesperrt.

Verschlüsselung

Mit Passwort aktiviert

Verschlüsselung kann nur mit Kennwort aufgehoben werden. Die Verschlüsselung erfolgt auf Dateisystemebene und verhindert das Auslesen von Daten, bei physischem Zugriff auf ein gesperrtes Gerät. Es verhindert nicht das lesen von Daten eines entsperrten Gerätes.

Automatische App-Updates

Die auf einem Gerät erzwungene Richtlinie zur automatischen Aktualisierung der App.

Nicht spezifiziert

Niemals

Immer

Modi in denen das Gerät an bleibt

Modi wählen

Die Akkulade-Modi, in denen das Gerät eingeschaltet bleibt. Bei Verwendung dieser Einstellung wird empfohlen, maximumTimeToLock zu deaktivieren, damit sich das Gerät nicht selbst sperrt, solange es eingeschaltet bleibt.
Mögliche Werte:
Ignorieren Ladegerät USB Kabelloses Ladegerät

Anhaltende bevorzugte Aktivitäten

+ Aktivität hinzufügen

Standard-Intent-Handler-Aktivitäten.

Option

Beschreibung

Empfänger Aktivität

Aktionen

Aktionen hinzufügen

Die absichtlichen Aktionen, die im Filter abgeglichen werden sollen. Wenn der Filter Aktionen enthält, muss die Aktion einer Absicht einer dieser Werte sein, damit sie übereinstimmt. Wenn keine Aktionen enthalten sind, wird die Absichtsaktion ignoriert.

Kategorien

Kategorien hinzufügen

Die Absichtskategorien, die im Filter übereinstimmen sollen. Eine Absicht enthält die erforderlichen Kategorien, die alle im Filter enthalten sein müssen, damit sie übereinstimmen. Mit anderen Worten, das Hinzufügen einer Kategorie zum Filter hat keine Auswirkungen auf die Übereinstimmung, es sei denn, diese Kategorie ist in der Absicht angegeben.

Setup-Aktionen

+ Aktion hinzufügen

Aktionen, die während des Installationsvorgangs ausgeführt werden sollen.

Option	Beschreibung
Titel Titel	Titel der Aktion.
Beschreibung Beschreibung	Beschreibung der Aktion.
App starten Paketnamen	Paketname der app die gestartet werden soll.

Device Owner lockscreen info

Aktiviere die Sperrbildschirm-Informationen

Nachdem Sie dies aktiviert haben, können Sie die Sperrbildschirminformationen einstellen

Device Owner lockscreen info

Device owner lockscreen info

Die Gerätebesitzerinformationen, die auf dem Sperrbildschirm angezeigt werden sollen. Die maximale Nachrichtenlänge beträgt 4096 Zeichen.

Speichern

Compliance

Es können Regeln definiert werden, wann das Telefon bzw das Arbeitsprofil gesperrt und wann es gelöscht (in Werkszustand zurückgesetzt) wird. Der Anwender wird aufgefordert, die ausgewählte Richtlinie auf dem Gerät zu aktivierten. Andernfalls wird das Gerät / Arbeitsprofil geblockt bzw. auf die Werkseinstellungen zurückgesetzt / gelöscht.

Beschriftung

Werte

Beschreibung

Einstellungsname

Die zu erzwingende Richtlinie der obersten Ebene. Zum Beispiel Anwendungen oder Passwortrichtlinien.

Regelname	Beschreibung
Anwendungen
Maximale Zeit zum Sperren
keyguardDisabledFeatures
defaultPermissionPolicy
persistentPreferredActivities
openNetworkConfiguration
systemUpdate
accountTypesWithManagementDisabled
addUserDisabled
adjustVolumeDisabled
factoryResetDisabled
installAppsDisabled
mountPhysicalMediaDisabled
modifyAccountsDisabled
safeBootDisabled
uninstallAppsDisabled
statusBarDisabled
keyguardDisabled
minimumApiLevel
statusReportingSettings
bluetoothConfigDisabled
cellBroadcastsConfigDisabled
credentialsConfigDisabled
mobileNetworksConfigDisabled
tetheringConfigDisabled
vpnConfigDisabled
wifiConfigDisabled
createWindowsDisabled
networkResetDisabled
outgoingBeamDisabled
outgoingCallsDisabled
removeUserDisabled
shareLocationDisabled
smsDisabled
unmuteMicrophoneDisabled
usbFileTransferDisabled
ensureVerifyAppsEnabled
permittedInputMethods
stayOnPluggedModes
recommendedGlobalProxy
choosePrivateKeyRules
alwaysOnVpnPackage
frpAdminEmails
dataRoamingDisabled
locationMode
networkEscapeHatchEnabled
installUnknownSourcesAllowed
debuggingFeaturesAllowed
autoTimeRequired
appAutoUpdatePolicy
kioskCustomLauncherEnabled
privateKeySelectionEnabled
encryptionPolicy
permissionGrants
playStoreMode
setupActions
passwordPolicies

Blockieren

Blockieren nach x Tagen

3

Anzahl der Tage, an denen die Richtlinie nicht konform ist, bevor das Gerät oder das Arbeitsprofil blockiert wird. Um den Zugriff sofort zu blockieren, setzen Sie den Wert auf 0. Blockieren muss kleiner als Löschen sein.

Löschen

Werkeinstellungs-Reset-Schutz erhalten

Wenn aktiviert, wird der Werkeinstellungs-Reset-Schutz im Profil erhalten. Diese Einstellung funtktioniert nicht mit Arbeitsprofilen.

Löschen nach x Tagen

7

Anzahl der Tage, bevor das Gerät oder das Arbeitsprofil gelöscht wird. Löschen muss größer als sein als Blockieren.

Anwendungen

Apps die über (Apps) Managed Google Play genehmigt wurden erscheinen unter Profile → Anwendungen → Profil hinzufügen → Suche → »Apps verwalten« als App-Sammlung

Netzwerke

Beschriftung	Default-Einstellung	Beschreibung
VPN immer aktiv
Aktiviere "VPN immer aktiv"		Bei Aktivierung lassen sich die Einstellungen für "VPN immer aktiv" bearbeiten
Paketnamen	Paketnamen	Der Paketname der VPN-App.
Sperre aktiviert		Bei Aktivierung wird jede Netzwerkverbindung verhindert, wenn das VPN nicht verbunden ist.
Empfohlener globaler Proxy
Aktivieren Sie den globalen Proxy		Bei Aktivierung, kann ein globaler Proxy konfiguriert werden
Host	Hostname	Der Host des direkten Proxys.
Port	Port Nummer	Der Port des direkten Proxys.
Ausgeschlossener Host	Exclude Hosts	Bei einem direkten Proxy die Hosts, für die der Proxy umgangen wird. Die Hostnamen können Platzhalter wie * .example.com enthalten.
PAC URI	URL	Der URI des PAC-Skripts, mit dem der Proxy konfiguriert wurde.Vorlage:Was ist ein PAC-Skript?
Offene Netzwerkkonfiguration
Netzwerkkonfigurationen	+ Konfiguration hinzufügen	Zugangsprofile für WiFi-Netzwerke konfigurieren
Netzwerk
Name		Der Name der Konfiguration
Typ		Der Konfigurationstyp Wifi
SSID		Die SSID des Netzwerks
Sicherheit	Keine	Wählen Sie die Sicherheitsstufe
Versteckte SSID		Legt fest ob die SSID versteckt ist.
Automatisch verbinden

Einschränkungen

Beschriftung

Eingabe

Beschreibung

Support-Meldungen

Kurze Supportnachricht

Eine Meldung, die dem Benutzer auf dem Einstellungsbildschirm angezeigt wird, wenn die Funktionalität vom Administrator deaktiviert wurde. Die maximale Nachrichtenlänge beträgt 4096 Zeichen.

Lange Supportnachricht

Eine Nachricht, die dem angezeigt wird. Die maximale Nachrichtenlänge beträgt 4096 Zeichen.

Zulässige Eingabemethoden

Falls vorhanden, sind nur die Eingabemethoden zulässig, die von Paketen in dieser Liste bereitgestellt werden. Wenn dieses Feld vorhanden ist, die Liste jedoch leer ist, sind nur Systemeingabemethoden zulässig.

E-Mail für Werkseinstellung Zurücksetzung

E-Mail-Adressen von Geräteadministratoren zum Schutz vor Zurücksetzen auf die Werkseinstellungen. Wenn das Gerät auf die Werkseinstellungen zurückgesetzt wird, muss sich einer dieser Administratoren mit der E-Mail-Adresse und dem Passwort des Google-Kontos anmelden, um das Gerät zu entsperren. Wenn keine Administratoren angegeben sind, bietet das Gerät keinen Schutz vor Zurücksetzen auf die Werkseinstellungen.

Standardberechtigungsrichtlinie

Unspecified (Prompt)

Die Standardberechtigungsrichtlinie, wenn Apps neue Berechtigungen bei der Ausführung fordern
Unspecified (Prompt) Nachfrage
Gewähren
Verweigern

Deaktivieren Sie die Installation von Apps

Gibt an, ob die Benutzerinstallation von Apps deaktiviert ist. Bei Aktivierung kann der Benutzer keine Apps installieren.

Deaktivieren Sie die Deinstallation von Apps

Gibt an, ob die Deinstallation von Anwendungen durch den Benutzer deaktiviert ist. Bei Aktivierung kann der Benutzer keine Apps deinstallieren.

Ortungsmodus

Nicht spezifiziert

Der Grad der Standorterkennung Der Benutzer kann den Wert ändern, es sei denn, der Benutzer kann nicht auf Geräteeinstellungen zugreifen. Weitere Werte:
Hohe Genauigkeit
Nur Sensoren
Batterieschonung
Off

Deaktivieren Sie die Bildschirmaufnahme

Bei Aktivierung, ist keine Bildschirmaufnahme möglich.

Kamera deaktivieren

Bei Aktivierung, ist die Kamera deaktiviert.

Kontotypen mit deaktivierter Verwaltung

Kontotypen, die vom Benutzer nicht verwaltet werden können.

Deaktivieren Sie das Hinzufügen von Benutzern

Bei Aktivierung, ist das Hinzufügen neuer Benutzer und Profile deaktiviert.

Deaktivieren Sie die Einstellung der Lautstärke

b das Anpassen der Hauptlautstärke deaktiviert ist.

Deaktivieren Sie den Werksreset

Gibt an, ob das Zurücksetzen auf Werkseinstellungen deaktiviert ist.

Deaktivieren Sie die Bereitstellung physischer Medien

Gibt an, ob der Benutzer, der physische externe Medien bereitstellt, deaktiviert ist.

Deaktivieren Sie das Ändern von Konten

Gibt an, ob das Hinzufügen oder Entfernen von Konten deaktiviert ist.

Deaktivieren Sie den sicheren Start

Gibt an, ob der Neustart des Geräts im sicheren Startmodus deaktiviert ist.

Statusleiste deaktivieren

Gibt an, ob die Statusleiste deaktiviert ist. Dadurch werden Benachrichtigungen, Schnelleinstellungen und andere Bildschirmüberlagerungen deaktiviert, die das Verlassen des Vollbildmodus ermöglichen.

Tastensperre deaktivieren

Gibt an, ob die Tastensperre deaktiviert ist.

Deaktivieren Sie die Bluetooth-Kontaktfreigabe

Gibt an, ob die Bluetooth-Kontaktfreigabe deaktiviert ist.

Deaktivieren Sie die Bluetooth-Konfiguration

Gibt an, ob die Bluetooth-Konfiguration deaktiviert ist.

Deaktivieren Sie die Cell Broadcast-Konfiguration

Gibt an, ob die Konfiguration von Cell Broadcast deaktiviert ist.

Deaktivieren Sie die Konfiguration der Anmeldeinformationen

Gibt an, ob die Konfiguration von Benutzeranmeldeinformationen deaktiviert ist.

Deaktivieren Sie die Mobilfunknetzkonfiguration

Gibt an, ob die Konfiguration von Mobilfunknetzen deaktiviert ist.

Deaktivieren Sie die Tethering-Konfiguration

Gibt an, ob die Konfiguration von Tethering und portablen Hotspots deaktiviert ist.

Deaktivieren Sie die VPN-Konfiguration

Gibt an, ob die Konfiguration von VPN deaktiviert ist.

Deaktivieren Sie die Wi-Fi-Konfiguration

Gibt an, ob die Konfiguration von Wi-Fi-Zugangspunkten deaktiviert ist.

Deaktivieren Sie das Erstellen von Fenstern

Gibt an, ob das Erstellen von Fenstern neben App-Fenstern deaktiviert ist.

Deaktivieren Sie das Zurücksetzen der Netzwerkeinstellungen

Gibt an, ob das Zurücksetzen der Netzwerkeinstellungen deaktiviert ist.

Datei per NFC versenden deaktivieren

Gibt an, ob die Verwendung von NFC zum Übertragen von Daten aus Apps deaktiviert ist.

Ausgehende Anrufe deaktivieren

Gibt an, ob ausgehende Anrufe deaktiviert sind.

Deaktivieren Sie das Entfernen von Benutzern

Ob das Entfernen anderer Benutzer deaktiviert ist.

Deaktivieren Sie die Standortfreigabe

Gibt an, ob die Standortfreigabe deaktiviert ist.

SMS deaktivieren

Gibt an, ob das Senden und Empfangen von SMS-Nachrichten deaktiviert ist.

Mikrofon einschalten verhindern

Gibt an, ob das Mikrofon stummgeschaltet ist und die Mikrofonlautstärke nicht eingestellt werden kann.

Deaktivieren Sie die USB-Datenübertragung

Gibt an, ob die Übertragung von Dateien über USB deaktiviert ist.

App-Überprüfung erzwingen

Gibt an, ob die App-Überprüfung erzwungen wird.

Einstellungsbenutzersymbol deaktivieren

Gibt an, ob das Ändern des Benutzersymbols deaktiviert ist.

Deaktivieren Sie die Hintergrundeinstellungen

Gibt an, ob das Ändern des Hintergrundbilds deaktiviert ist.

Roaming deaktivieren

Gibt an, ob Roaming-Datendienste deaktiviert sind.

Deaktivieren Sie den Netzwerk Escape Hatch

Gibt an, ob der Netzwerk Escape Hatch aktiviert ist. Wenn beim Booten keine Netzwerkverbindung hergestellt werden kann, fordert der Escape Hatch den Benutzer auf, vorübergehend eine Verbindung zu einem Netzwerk herzustellen, um die Geräterichtlinie zu aktualisieren. Nach dem Anwenden der Richtlinie wird das temporäre Netzwerk vergessen und das Gerät fährt mit dem Booten fort. Auf diese Weise wird verhindert, dass keine Verbindung zu einem Netzwerk hergestellt werden kann, wenn in der letzten Richtlinie kein geeignetes Netzwerk vorhanden ist und das Gerät im Task-Sperrmodus eine App startet oder der Benutzer ansonsten die Geräteeinstellungen nicht erreichen kann.

Bluetooth deaktivieren

Gibt an, ob Bluetooth deaktiviert ist. Ziehen Sie diese Einstellung bluetooth_config_disabled vor, da bluetooth_config_disabled vom Benutzer umgangen werden kann.

Aktivieren Sie die Blockierung anderer Apps

Gibt an, ob andere als die in Anwendungen konfigurierten Anwendungen für die Installation gesperrt sind. Wenn diese Option aktiviert ist, werden Anwendungen, die unter einer früheren Richtlinie installiert wurden, jedoch nicht mehr in der Richtlinie angezeigt werden, automatisch deinstalliert.

Erlaube unbekannte Quellen

Gibt an, ob der Benutzer die Einstellung "Unbekannte Quellen" aktivieren darf, mit der Apps aus unbekannten Quellen installiert werden können.

Debugging-Funktionen zulassen

Gibt an, ob der Benutzer Debugging-Funktionen aktivieren darf.

"Spaß" deaktivieren

Gibt an, ob das Easteregg-Spiel in den Einstellungen deaktiviert ist.

Benötige automatische Zeit

Gibt an, ob die Zeit automatisch ermittelt (aus den Datenpaketen des Netzbetreibers) wird, sodass der Benutzer Datum und Uhrzeit nicht manuell einstellen kann.

Aktivieren Sie den benutzerdefinierten Kiosk-Starter

Gibt an, ob der benutzerdefinierte Kiosk-Starter aktiviert ist. Dadurch wird der Startbildschirm durch einen Starter ersetzt, der das Gerät für die über die Anwendungseinstellung installierten Apps sperrt. Die Apps werden auf einer einzelnen Seite in alphabetischer Reihenfolge angezeigt. Es wird empfohlen, status_bar_disabled auch zu verwenden, um den Zugriff auf Geräteeinstellungen zu blockieren.

Hinweise zum ersten Benutzer überspringen

Flag, um Hinweise zur ersten Verwendung zu überspringen. Der Unternehmensadministrator kann die Systemempfehlung für Apps aktivieren, um das Benutzer-Tutorial und andere einführende Hinweise beim ersten Start zu überspringen.

Ermöglicht die Anzeige der Benutzeroberfläche auf einem Gerät, damit ein Benutzer einen privaten Schlüsselalias auswählen kann, wenn in ChoosePrivateKeyRules keine übereinstimmenden Regeln vorhanden sind. Bei Geräten unter Android P können durch diese Einstellung Unternehmensschlüssel angegriffen werden.

Play-Store-Modus

In diesem Modus wird gesteuert, welche Apps dem Benutzer im Play Store zur Verfügung stehen und wie sich das Gerät verhält, wenn Apps aus der Richtlinie entfernt werden.
Mögliche Werte: Default:

Nicht spezifiziert

Whitelist

Blacklist

Deaktivieren Sie die Keyguard-Funktionen

Deaktivierte Keyguard-Anpassungen, z. B. Widgets.

Option	Beschreibung
Kamera	?
Benachrichtigungen	?

Nicht umgesetzte Benachrichtigungen Vertrauensagenten ignorieren Fingerabdruck Remote-Eingang Alles

Statusmeldung

Aktivieren Sie die Statusmeldung

Nachdem Sie dies aktiviert haben, können Sie die Konfiguration der Statusberichte festlegen

Hardware Status

Gibt an, ob die Hardware-Statusmeldung aktiviert ist.

Anwendungsberichte

Gibt an, ob App-Berichte aktiviert sind.

Softwareinfo

Gibt an, ob die Software-Info-Berichterstattung aktiviert ist.

Speicherinfo

Gibt an, ob die Speicherberichterstattung aktiviert ist.

Anzeigen Informationen

Gibt an, ob die Anzeige von Berichten aktiviert ist.

Netzwerk information

Gibt an, ob die Netzwerkinfomeldung aktiviert ist.

Geräteeinstellungen

Gibt an, ob die Berichterstellung für Geräteeinstellungen aktiviert ist.

Energieverwaltungsereignisse

Gibt an, ob die Energieverwaltungsereignisberichterstattung aktiviert ist.

Systemaktualisierung

Aktivieren Sie die Statusmeldung

Nachdem Sie dies aktiviert haben, können Sie die Systemaktualisierungskonfiguration einstellen

Energieverwaltungsereignisse

Die Art der zu konfigurierenden Systemaktualisierung.

Nicht spezifiziert

Automatisch

Im Fenster

Start minutes	0	If the type is windowed, the start of the maintenance window, measured as the number of minutes after midnight in the device's local time. This value must be between 0 and 1439, inclusive.
End minutes	0	If the type is WINDOWED, the end of the maintenance window, measured as the number of minutes after midnight in device's local time. This value must be between 0 and 1439, inclusive. If this value is less than start_minutes, then the maintenance window spans midnight. If the maintenance window specified is smaller than 30 minutes, the actual window is extended to 30 minutes beyond the start time.

Verschieben

Regeln für private Schlüssel

Regel hinzufügen

Regeln für die automatische Auswahl eines privaten Schlüssels und Zertifikats zur Authentifizierung des Geräts bei einem Server. Die Regeln sind nach Priorität geordnet. Wenn also eine ausgehende Anforderung mehr als einer Regel entspricht, definiert die letzte Regel, welcher private Schlüssel verwendet werden soll.

URL-Muster URL-Muster	Das URL-Muster, das mit der URL der ausgehenden Anforderung abgeglichen werden soll. Das Muster kann Platzhalter mit Sternchen (*) enthalten. Jede URL stimmt überein, wenn sie nicht angegeben ist.
Paketnamen Paketnamen hinzufügen	Die Paketnamen, für die ausgehende Anforderungen dieser Regel unterliegen. Wenn keine Paketnamen angegeben sind, gilt die Regel für alle Pakete. Für jeden aufgelisteten Paketnamen gilt die Regel für dieses Paket und alle anderen Pakete, die dieselbe Android-UID verwendet haben. Der SHA256-Hash der Signaturschlüsselsignaturen jedes Paketnamens wird mit den von Play bereitgestellten verglichen
Alias für privaten Schlüssel Alias	Der Alias des zu verwendenden privaten Schlüssels.

Globale Erlaubnisgewährung

Berechtigung hinzufügen

Explizite Erlaubnis oder Gruppengewährung oder -verweigerung für alle Apps. Diese Werte überschreiben die defaultPermissionPolicy.

Genehmigung	Die Android-Berechtigung oder -Gruppe, z. android.permission.READ_CALENDAR oder android.permission_group.CALENDAR.
Regel Nicht spezifiziert	Die Richtlinie zum Erteilen der Berechtigung.

Passwort

Passwortrichtlinien können für Arbeitsprofile und komplett verwaltete Geräte verwendet werden.

Beschrifung	Werte	Beschreibung
Umfang		Der Bereich, für den die Kennwortanforderung gilt.
	Gerät	Die Richtlinie gilt nur für komplett verwaltete Geräte
	Workprofile	Die Richtlinie gilt nur für Arbeitsprofile auf BYOD-Geräten
	Beide	Die Richtlinie gilt für komplett verwaltete Geräte und Arbeitsprofile auf BYOD-Geräten
Passcode-Qualität		Die erforderliche Passwortqualität.
	Nicht spezifiziert
	Biometric
	Irgendetwas
	Numerisch
	Numberic (complex)
	Alphabetisch
	Alphanumerisch
Komplex
Länge des Passwortverlaufs	0	Die Länge des Kennwortverlaufs. Nach dem Einstellen dieses Felds kann der Benutzer kein neues Kennwort eingeben, das mit dem Kennwort im Verlauf identisch ist. Ein Wert von 0 bedeutet, dass keine Einschränkung vorliegt.
Maximale Anzahl fehlgeschlagener Versuche	0	Anzahl der zulässigen Eingabeversuche, bevor alle Daten auf dem Gerät gelöscht werden
Ablaufzeitlimit	0s	Eine Dauer in Sekunden mit bis zu neun Nachkommastellen, die mit "s" abgeschlossen wird. Beispiel: `3.5s`

Sicherheit

Bei Aktivierung wird die Securepoint Mobile Security-App hinzu gefügt bzw. entfernt.
Dies ist erforderlich, um die Sicherheitseinstellungen zu konfigurieren.

Beschriftung

Wert

Beschreibung

Erlaube das Unterbrechen von Always-On-VPN

Erlaubt es dem Benutzer das VPN vorübergehend zu deaktivieren. Wenn der Benutzer es nicht selbst wieder aktiviert, geschieht dies um die vom Benutzer gewählte Uhrzeit.

Andere VPN Profile erlauben

Erlaubt das Hinzufügen von anderen VPN Profilen, zusätzlich zu dem Security-Profil

Authentifizierung nach App-Start erforderlich notempty

Neu ab 2.1

Voraussetzung für dieses Feature: App-Version 3.1

Wenn aktiviert, ist eine Authentifizierung (PIN oder biometrisch) beim App-Start erforderlich. Diese muss der User festlegen.

Sicherheit aktivieren

Um Mobile Security nutzen zu können, wird zunächst die App "Securepoint VPN Client" automatisch installiert. Dazu wird entweder eine VPP-Lizenz aus dem Apple Business Manager oder auf dem Gerät eine Apple ID benötigt.
notempty

Neu ab: 2.3

Protokoll

TCP

Das Protokoll, das für den VPN Tunnel verwendet wird: TCP oder UDP

Portfilter-Typ

Offen

Netzwerkverkehr filtern aufgrund von Netzwerk Ports:alle Ports sind freigegeben

Geschlossen

Lediglich Port 80 (http) und 443 (https) sind freigegeben

Auswahl

Portfilter-Regelauswahl: Festlegen, welche Port-Collections für den Netzwerkverkehr geöffnet sind:

Port-Collection	Port	Protokoll	Anwendung
Administrative Tools	21	TCP	ftp
	3389	TCP	ms-rdp
	23	TCP	telnet
	5900	TCP	vnc
	22	TCP	ssh
	5938	TCP/UDP	teamviewer
Communication	3478-3481	UDP	Skype
	49152-65535	UDP
	49152-65535	TCP
	5222	TCP	Google Push-Notifications
	5223	UDP
	5228	TCP
VOIP	5060	UDP	SIP/RTP
VOIP	7070-7089	UDP	SIP/RTP
VPN	1194	TCP	OpenVPN
	1194	UDP	OpenVPN
	500	UDP	IPSec
	4500	UDP & ESP	IPSec
	1701	UDP	L2TP
Mail	25	TCP	smtp
	587	TCP	smtp
	465	TCP	smtps
	110	TCP	pop3
	995	TCP	pop3
	143	TCP	imap
	993	TCP	imap

SSL-Interception

Standard

Definiert, ob SSL-Datenverkehr abgefangen wird oder nicht. Der Standardwert ist das Abfangen von Datenverkehr basierend auf der Antwort des Content-Filters.

Content-Filter Allowlist

Einträge hinzufügen

Klick-Box: Webseiten, die auf einer Allowlist eingetragen werden sollen. Mögliche Einträge: Contentfilter

Content-Filter Blocklist

Einträge hinzufügen

Klick-Box: Webseiten, die auf einer Blocklist eingetragen werden sollen.

VPN für SSIDs deaktivieren

SSIDs hinzufügen

Eingabe von WLAN-SSIDs, für die die Sicherheitsfunktionen deaktiviert werden sollen.

IP-Adressen von VPN ausschließen

IPs hinzufügen

Es können IP-Adressen oder Netzwerke eingegeben werden, für die die Sicherheitsfunktionen deaktiviert werden sollen, d.h. Der einzelne Host 192.0.2.192/32 oder das gesamte Subnetz 192.0.2.0/24. Bei Adressblöcken mit weniger als drei Stellen muss ein Punkt eingegeben oder mit den Cursortasten innerhalb der Maske navigiert werden.

Lokales WLAN vom VPN ausnehmen

Wenn aktiviert, wird eine Route hinzugefügt, die den lokalen WLAN-IP-Bereich vom Tunnel ausschließt.

Apps auf Geräten, die über EMM verwaltet werden, werden innerhalb der Profile konfiguriert !

Konfiguration unter Profile / Profil auswählen / Anwendungen Die hier gezeigten Einstellungen sind Beispiele, die einen möglichst Umfassenden Schutz bieten. Eine Anpassung an lokale Anforderungen ist unbedingt vorzunehmen !

Beschriftung	Vorgeschlagener Wert	Beschreibung
Automatische App-Updates	Immer	Auch bei Geräten, die selten oder nie in ein WLAN zurückkehren, sollen die Apps aktualisiert werden. Das Datenvolumen wirkt sich bei üblichen Volumentarifen in der Regel kaum aus.
Standardberechtigungsrichtlinie	Gewähren	Es werden ohnehin nur vorher geprüfte Apps erlaubt, die dann auch alles dürfen, was nicht explizit verboten wird
Deaktivieren Sie die Installation von Apps		Es dürfen keine Apps durch den Benutzer installiert werden
Deaktivieren Sie die Deinstallation von Apps		Es dürfen keine Apps durch den Benutzer deinstalliert werden
App-Überprüfung erzwingen

Speichern

Anwendung hinzufügen

Select app Auswahl der gewünschten Apps Für unser Beispiel: Nextcloud

Übernahme der App mit Auswählen

Beschriftung	Vorgeschlagener Wert	Beschreibung
Paketnamen	com.nextcloud.client	Der Paketname der App, die zuvor ausgewählt wurde
Installationstyp	Vorinstallation	Die App wird automatisch auf dem Gerät installiert
Standardberechtigungsrichtlinie	Prompt	Werden neue, nicht explizit gewährte oder verweigerte Berechtigungen benötigt, fragt das System nach einer Berechtigung.
Berechtigungen	Berechtigung hinzufügen	Einzelne Berechtigungen können anders als die zuvor konfigurierte Standardberechtigungsrichtlinie eingestellt werden und überschreiben deren Werte
Permission	/ Erweitern oder minimieren einer Berechtigung Löschen der Berechtigung
Genehmigung	android.permission.GET_ACCOUNTS	Die App soll sich mit den Zugangsberechtigungen anderer Konten anmelden können.
Regel	Gewähren	Die Richtlinie zum Erteilen der Berechtigung.
Genehmigung	android.permission.INTERNET	Die App soll Zugriff auf vorhandene Internetverbindungen erhalten.
Regel	Gewähren	Die Richtlinie zum Erteilen der Berechtigung.
Genehmigung	com.nextcloud.client. permission.C2D_MASSAGE	Die App soll Push-Nachrichten über Firebase Cloud Messaging (ehemals Goocle Cloud Massage) erhalten können (Cloud to Device → C2D)
Regel	Gewähren	Die Richtlinie zum Erteilen der Berechtigung.
	Hier sind ggf. weitere Berechtigungen zu gewähren oder zu verweigern
Verwaltete Konfiguration		Managed configuration applied to the app. The format for the configuration is dictated by the ManagedProperty values supported by the app. Each field name in the managed configuration must match the key field of the ManagedProperty. The field value must be compatible with the type of the ManagedProperty
Verwaltete Konfigurationsvorlage		This field is ignored if managedConfiguration is set.
Deaktiviert		Whether the app is disabled. When disabled, the app data is still preserved.
Minimaler Versionscode		The minimum version of the app that runs on the device. If set, the device attempts to update the app to at least this version code. If the app is not up-to-date, the device will contain a NonComplianceDetail with nonComplianceReason set to APP_NOT_UPDATED. The app must already be published to Google Play with a version code greater than or equal to this value. At most 20 apps may specify a minimum version code per policy.
Bereiche delegieren		Die Richtlinie zum Erteilen der Berechtigung.