Wechseln zu:Navigation, Suche
Wiki
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
{{Set_lang}}
{{Set_lang}}


</div>{{DISPLAYTITLE:Apps im EMM-Profil}}{{TOC2}}
</div>{{DISPLAYTITLE:Best Practice EMM-Profil}}{{TOC2}}


<p>''' Beispielhafte Konfiguration von Apps innerhalb eines EMM-Profils'''</p>
<p>''' Beispielhafte Konfiguration eines EMM-Profils'''</p>


{{cl| Neu |  
{{cl| Neu |  
Zeile 9: Zeile 9:
|w=40px}}
|w=40px}}
----
----
=== Einleitung ===
<p>{{#var:7| In einem Profil werden Berechtigungen, Einschränkungen, Passwort-Voraussetzungen, E-Mail-Einstellungen und Sicherheits-Einstellungen konfiguriert.}}</p>
<p>{{#var:8| Android Enterprise-Profile (EMM) verhalten sich '''grundlegend anders''' als herkömmliche Android Profile. Die Geräte-Registrierung wird direkt an ein Profil gebunden. <br/>Es muss zuerst ein Profil angelegt ( und konfiguriert) werden, bevor ein Gerät registriert werden kann.}}<br>
{{ Hinweis |!| gelb}}{{#var:9| Es ist nicht mehr möglich ein Profil einer Rolle, einem Benutzer oder einem Tag zuzuordnen.}} </p>
<p>In Android Enterprise-Profilen könnn '''zahlreiche sicherheitsrelevante Einstellungen''' vorgenommen werden, so z.B.
* Kamara deaktivieren
* Mikrofon deaktivieren
* USB-Dateiübertragung deaktivieren
* ausgehende Anrufe deaktivieren
* Bluetooth deaktivieren
* Kontaktfreigabe deaktivieren
* Tethering deaktivieren
* sms deaktivieren
* Netzwerk nur mit VPN ermöglichen
* uvm.</p>
<p>{{Hinweis | ! Android Enterprise Profile werden unmittelbar angewendet und müssen nicht veröffentlicht werden !}} </p>
<br clear=all>
=== Android Enterprise Profil ===
{{h4| Allgemein|{{Reiter|Allgemein}} }}
{{pt2|MS v1.4.8 Profile Android-emm Allgemein.png| Allgemeine Einstellungen}}
Anzeige der verwendeten Plattform, des Profil-Namens und der zugeordneten Geräte.
<p>Soll ein Android EMM-Profil neu angelegt werden, muss als Plattform {{ic|Android Enterprise|dr}} ausgewählt werden.</p>
<br clear=All>
{{h4|Grundeinstellungen|{{Reiter|Grundeinstellungen}} }}
{{pt2|MS v1.4.8 Profile Android-emm Grundeinstellungen.png|Grundeinstellungen}}<br clear=all>
{| class="sptable striped einrücken"
! style="min-width: 16em;" | Beschriftung !! Werte !! Beschreibung
|-
| {{b| Maximale Zeit zum Sperren}} || {{ic | 120 | c|w=167px}} || Das Gerät wird nach 2 Min Inaktivität gesperrt.
|-
| {{b| Verschlüsselung}} || {{ic | Mit Passwort aktiviert |dr}} || Verschlüsselung kann nur mit Kennwort aufgehoben werden. Die Verschlüsselung erfolgt auf Dateisystemebene und verhindert das Auslesen von Daten, bei physischem Zugriff auf ein '''gesperrtes''' Gerät. Es verhindert <u>'''nicht'''</u> das lesen von Daten eines '''entsperrten''' Gerätes.
|-
| rowspan="6" | {{b| Automatische App-Updates}} || class="sichtbar_monitor"| || Die auf einem Gerät erzwungene Richtlinie zur automatischen Aktualisierung der App. {{f|Welcher App? in Abhängigkeit der Netzwerkverbindung}}
|-
| {{ic | Nicht spezifiziert|dr}} || {{f| was passiert dann?}}
|-
| {{ic | {{f|felhende Übersetzung§ Users Choice}}|dr}} ||
|-
| {{ic | Niemals|dr}} ||
|-
| {{ic | {{f|felhende Übersetzung§ Over Wi-Fi only}}|dr}} ||
|-
| {{ic | Immer|dr}} ||
|-
| {{b| Modi in denen das Gerät an bleibt}} || {{ic | Modi wählen}} || Die Akkulade-Modi, in denen das Gerät eingeschaltet bleibt. Bei Verwendung dieser Einstellung wird empfohlen, maximumTimeToLock zu deaktivieren, damit sich das Gerät nicht selbst sperrt, solange es eingeschaltet bleibt.<br/>Mögliche Werte:<br/>{{cb|Ignorieren}} {{cb|Ladegerät}} {{cb|USB}} {{cb|Kabelloses Ladegerät}}
|-
| {{b| Anhaltende bevorzugte Aktivitäten}} || {{spc | + Aktivität hinzufügen }} || Standard-Intent-Handler-Aktivitäten.
{| class="sptable"
! Option !! Beschreibung
|-
| <p>{{b|Empfänger Aktivität}}</p><p>{{ic|Empfänger Aktivität }}</p> || {{f|Die Aktivität, die der Standard-Intent-Handler sein soll. Dies sollte ein Android-Komponentenname sein, z.B. com.android.enterprise.app/.MainActivity. Alternativ kann der Wert der Paketname einer App sein, wodurch die Android-Geräterichtlinie eine geeignete Aktivität aus der App auswählt, um das Vorhaben zu verarbeiten.§ Hä? WTF passiert hier???}}
|-
| <p>{{b|Aktionen}}</p><p>{{cb|Aktionen hinzufügen }}</p> || Die absichtlichen Aktionen, die im Filter abgeglichen werden sollen. Wenn der Filter Aktionen enthält, muss die Aktion einer Absicht einer dieser Werte sein, damit sie übereinstimmt. Wenn keine Aktionen enthalten sind, wird die Absichtsaktion ignoriert. {{f|Ist das die Aktion, die im nächsten Feld eingegeben wird?}}
|-
| <p>{{b|Kategorien}}</p>{{cb|Kategorien hinzufügen }} || Die Absichtskategorien, die im Filter übereinstimmen sollen. Eine Absicht enthält die erforderlichen Kategorien, die alle im Filter enthalten sein müssen, damit sie übereinstimmen. Mit anderen Worten, das Hinzufügen einer Kategorie zum Filter hat keine Auswirkungen auf die Übereinstimmung, es sei denn, diese Kategorie ist in der Absicht angegeben.
|}
|-
| {{b| Setup-Aktionen}} || {{spc |+ Aktion hinzufügen }} || Aktionen, die während des Installationsvorgangs ausgeführt werden sollen.
{| class="sptable"
! Option !! Beschreibung
|-
| <p>{{b|Titel}}</p>{{ic|Titel }} || Titel der Aktion.
|-
| <p>{{b|Beschreibung}}</p>{{ic|Beschreibung }} || Beschreibung der Aktion.
|-
| <p>{{b|App starten}}</p>{{ic|Paketnamen}} || Paketname der app die gestartet werden soll. {{f|Wo bekommt man die Oaketnamen her? Auswahlliste?}}
|}
|-
| class="Leerzeile" | <br/>Device Owner lockscreen info
|-
| {{b| Aktiviere die Sperrbildschirm-Informationen}} || {{ButtonAus }} || Nachdem Sie dies aktiviert haben, können Sie die Sperrbildschirminformationen einstellen
|-
| {{b| Device Owner lockscreen info}} || {{ic | Device owner lockscreen info}} || Die Gerätebesitzerinformationen, die auf dem Sperrbildschirm angezeigt werden sollen. Die maximale Nachrichtenlänge beträgt 4096 Zeichen.
|-
| class="Leerzeile" style="border-bottom: 0;"| <br/>{{spc | save}}
|}
----
{{h4|Compliance|{{Reiter|Compliance}} }}
{{pt2|MS_v1.4.8_Profile_Android-emm_Compliance.png}}
Es können Regeln definiert werden, wann das Telefon bzw das Arbeitsprofil gesperrt und wann es gelöscht (in Werkszustand zurückgesetzt) wird. Der Anwender wird aufgefordert, die ausgewählte Richtlinie auf dem Gerät zu aktivierten. Andernfalls wird das Gerät / Arbeitsprofil geblockt bzw. auf die Werkseinstellungen zurückgesetzt / gelöscht.{{f|Verstehe ich nicht: Wieso wird das bei COPE-Geräten nicht gleich umgesetzt?§ Sollte als Zusatzoption im jeweiligen Eintrag unter {{Reiter|Einschränkungen}} mit dem Zusatz: »bei BYOD-Geräten Blockieren nach <code>x</code>Tagen Löschen nach <code>x</code>Tagen« aufgeführt werden}}
<br clear=all>
{| class="sptable striped"
!Beschriftung !! style="min-width: 175px;" |Werte !! Beschreibung
|-
| {{b|Einstellungsname}} || {{ic| |dr}} || Die zu erzwingende Richtlinie der obersten Ebene. Zum Beispiel Anwendungen oder Passwortrichtlinien.
|-
| class="sichtbar_monitor" | || colspan="2" |{{einblenden|zeig|weg|true}}
{| class="sptable" style="width:auto;"
! Regelname !! Beschreibung
|-
| {{ic|Anwendungen|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|Maximale Zeit zum Sperren|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|keyguardDisabledFeatures|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|defaultPermissionPolicy|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|persistentPreferredActivities|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|openNetworkConfiguration|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|systemUpdate|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|accountTypesWithManagementDisabled|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|addUserDisabled|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|adjustVolumeDisabled|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|factoryResetDisabled|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|installAppsDisabled|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|mountPhysicalMediaDisabled|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|modifyAccountsDisabled|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|safeBootDisabled|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|uninstallAppsDisabled|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|statusBarDisabled|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|keyguardDisabled|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|minimumApiLevel|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|statusReportingSettings|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|bluetoothConfigDisabled|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|cellBroadcastsConfigDisabled|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|credentialsConfigDisabled|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|mobileNetworksConfigDisabled|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|tetheringConfigDisabled|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|vpnConfigDisabled|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|wifiConfigDisabled|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|createWindowsDisabled|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|networkResetDisabled|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|outgoingBeamDisabled|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|outgoingCallsDisabled|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|removeUserDisabled|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|shareLocationDisabled|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|smsDisabled|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|unmuteMicrophoneDisabled|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|usbFileTransferDisabled|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|ensureVerifyAppsEnabled|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|permittedInputMethods|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|stayOnPluggedModes|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|recommendedGlobalProxy|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|choosePrivateKeyRules|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|alwaysOnVpnPackage|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|frpAdminEmails|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|dataRoamingDisabled|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|locationMode|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|networkEscapeHatchEnabled|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|installUnknownSourcesAllowed|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|debuggingFeaturesAllowed|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|autoTimeRequired|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|appAutoUpdatePolicy|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|kioskCustomLauncherEnabled|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|privateKeySelectionEnabled|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|encryptionPolicy|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|permissionGrants|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|playStoreMode|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|setupActions|dr|w=220px}} || {{f|Beschreibungen}}
|-
| {{ic|passwordPolicies|dr|w=220px}} || {{f|Beschreibungen}}
|}</div>
|-
| class="Leerzeile" | <br/>Blockieren
|-
| {{b|Blockieren nach x Tagen}} || {{ic|3 |c}} || Anzahl der Tage, an denen die Richtlinie nicht konform ist, bevor das Gerät oder das Arbeitsprofil blockiert wird. Um den Zugriff sofort zu blockieren, setzen Sie den Wert auf 0. Blockieren muss kleiner als Löschen sein.
|-
| class="Leerzeile" | <br/>Löschen
|-
| {{b|Werkeinstellungs-Reset-Schutz erhalten}} || {{ButtonAn}} || Wenn aktiviert, wird der Werkeinstellungs-Reset-Schutz im Profil erhalten. {{f|Und was genau bedeutet das?}} Diese Einstellung funtktioniert nicht mit Arbeitsprofilen.
|-
| {{b|Löschen nach x Tagen}} || {{ic|7 |c}} || Anzahl der Tage, bevor das Gerät oder das Arbeitsprofil gelöscht wird. Löschen muss größer als sein als Blockieren.
|}
----
==== {{Reiter|Anwendungen}} ====
Apps die über {{spc | gpst |m| (Apps) Managed Google Play|w=x}} genehmigt wurden erscheinen unter {{spc|profile|m}} → {{Reiter | Anwendungen}} → {{spc | + | Anwendung hinzufügen}} → {{spc | search | Select app}} → »Apps verwalten« als App-Sammlung
{{f|Damit kann ich aber nichts machen / auswählen}}
<br clear=all>
----
==== {{Reiter|Netzwerke}} ====
{{pt2|MS_v1.4.8_Profile_Android-emm_Netzwerke.png|Netzwerke}}
{| class="sptable striped einrücken"
! Beschriftung !! Default-Einstellung !! Beschreibung
|-
| class="Leerzeile" | <br/>VPN immer aktiv
|-
| {{b|Aktiviere "VPN immer aktiv" }} || {{ButtonAn}} || {{f| Unverständlich:Nachdem Sie dies aktiviert haben, können Sie die immer auf VPN-Einstellungen einstellen}}<br/>Bei {{ButtonAn}} Aktivierung lassen sich die Einstellungen für "VPN immer aktiv" bearbeiten
|-
| {{b|Paketnamen }}<br/>{{f|Warum Plural?}} || {{ic | Paketnamen}} || Der Paketname der VPN-App.
|-
| {{b|Sperre aktiviert }} || {{ButtonAus}} || Bei {{ButtonAn}} Aktivierung wird jede Netzwerkverbindung verhindert, wenn das VPN nicht verbunden ist. {{f|? Ist der Button nicht doppelt gemoppelt?}}
|-
| class="Leerzeile" | <br/>Empfohlener globaler Proxy
|-
| {{b|Aktivieren Sie den globalen Proxy }} || {{ButtonAus}} || Bei {{ButtonAn}} Aktivierung, kann ein globaler Proxy konfiguriert werden
|-
| {{b|Host }} || {{ic | Hostname}} || Der Host des direkten Proxys. {{f|Was ist ''direkt''?}}
|-
| {{b|Port }} || {{ic | Port Nummer |c}} || Der Port des direkten Proxys.
|-
| {{b|Ausgeschlossener Host }} || {{ic | Exclude Hosts }} || Bei einem direkten Proxy die Hosts, für die der Proxy umgangen wird. Die Hostnamen können Platzhalter wie * .example.com enthalten. {{f|Wo kommen die Hosts her (Liste)?}}
|-
| {{b|PAC URI }} || {{ic |URL }} || Der URI des PAC-Skripts, mit dem der Proxy konfiguriert wurde.{{Was ist ein PAC-Skript?}}
|-
| class="Leerzeile"|<br/>Offene Netzwerkkonfiguration {{f|Schon in einem Ticket gefragt: Was ist hier ''offen''?}}
|-
| {{b|Netzwerkkonfigurationen }} || {{spc | + Konfiguration hinzufügen}} || Zugangsprofile für WiFi-Netzwerke konfigurieren
|-
| class="Leerzeile" | Netzwerk
|-
| {{b|Name}} || {{ic | }} || Der Name der Konfiguration
|-
| {{b|Typ}} || {{ic | }} || Der Konfigurationstyp
Wifi
|-
| {{b|SSID}} || {{ic | }} || Die SSID des Netzwerks
|-
| {{b|Sicherheit}} || {{ic | Keine | dr}} || Wählen Sie die Sicherheitsstufe
|-
| {{b|Versteckte SSID}} || {{ButtonAus }} || Legt fest ob die SSID versteckt ist.
|-
| {{b|Automatisch verbinden}} || {{ButtonAus }} ||
|}
----
==== {{Reiter | Einschränkungen}} ====
{{pt2| MS_v1.4.8_Profile_Android-emm_Einschränkungen.png | {{f|Unschöne Formulierung§ »Ob...«}} }}
{| class="sptable striped einrücken"
! Beschriftung !! Eingabe !! Beschreibung
|-
| class="Leerzeile" | <br/>Support-Meldungen
|-
| {{b|Kurze Supportnachricht}} || {{ic | }} || Eine Meldung, die dem Benutzer auf dem Einstellungsbildschirm angezeigt wird, wenn die Funktionalität vom Administrator deaktiviert wurde. Die maximale Nachrichtenlänge beträgt 4096 Zeichen.
|-
| {{b|Lange Supportnachricht}} || {{ic | }} || Eine Nachricht, die dem {{f|Benutzer auf dem Einstellungsbildschirm des Geräteadministrators ?Wo ist das?}} angezeigt wird. Die maximale Nachrichtenlänge beträgt 4096 Zeichen.
|-
| {{b|Zulässige Eingabemethoden}} || {{ic | }} || Falls vorhanden, sind nur die Eingabemethoden zulässig, die von Paketen in dieser Liste bereitgestellt werden. Wenn dieses Feld vorhanden ist, die Liste jedoch leer ist, sind nur Systemeingabemethoden zulässig.
|-
| {{b|E-Mail für Werkseinstellung Zurücksetzung}} || {{ic | }} || E-Mail-Adressen von Geräteadministratoren zum Schutz vor Zurücksetzen auf die Werkseinstellungen. Wenn das Gerät auf die Werkseinstellungen zurückgesetzt wird, muss sich einer dieser Administratoren mit der E-Mail-Adresse und dem Passwort des Google-Kontos anmelden, um das Gerät zu entsperren. {{Hinweis|!}}Wenn keine Administratoren angegeben sind, bietet das Gerät <u>keinen Schutz</u> vor Zurücksetzen auf die Werkseinstellungen.
|-
| {{b|Standardberechtigungsrichtlinie}} || {{ic | Unspecified (Prompt)|dr}} || Die Standardberechtigungsrichtlinie, wenn Apps neue Berechtigungen bei der Ausführung fordern{{f| für Laufzeitberechtigungsanforderungen. Nicht intuitiv?}}<br>{{ic | Unspecified (Prompt)|dr}} Nachfrage<br>{{ic | Gewähren|dr}}<br>{{ic | Verweigern|dr}}
|-
| {{b|Deaktivieren Sie die Installation von Apps}} || {{ButtonAus}} || Gibt an, ob die Benutzerinstallation von Apps deaktiviert ist. Bei {{ButtonAn}} Aktivierung kann der Benutzer keine Apps installieren.
|-
| {{b|Deaktivieren Sie die Deinstallation von Apps}} || {{ButtonAus}} || Gibt an, ob die Deinstallation von Anwendungen durch den Benutzer deaktiviert ist. Bei {{ButtonAn}} Aktivierung kann der Benutzer keine Apps deinstallieren.
|-
| {{b|Ortungsmodus}} || {{ic | Nicht spezifiziert | dr}} || Der Grad der Standorterkennung {{f| ist aktiviert.§ Satzbau?}} Der Benutzer kann den Wert ändern, es sei denn, der Benutzer kann nicht auf Geräteeinstellungen zugreifen. Weitere Werte: <br/>{{ic | Hohe Genauigkeit | dr}} {{f|heißt was?}} <br/>{{ic | Nur Sensoren | dr}} <br/>{{ic | Batterieschonung | dr}} {{f|heißt was?}} <br/>{{ic | Off | dr}}
|-
| {{b|Deaktivieren Sie die Bildschirmaufnahme}} || {{ButtonAus}} || Bei {{ButtonAn}} Aktivierung, ist keine Bildschirmaufnahme möglich.{{f| MS weiß noch zu berichten; § Zudem wird verhindert, dass der Inhalt auf Anzeigegeräten angezeigt wird, die über keine sichere Videoausgabe verfügen. }}
|-
| {{b|Kamera deaktivieren}} || {{ButtonAus}} || Bei {{ButtonAn}} Aktivierung, ist die Kamera deaktiviert.
|-
| {{b|Kontotypen mit deaktivierter Verwaltung}} || {{ic | }} || Kontotypen, die vom Benutzer nicht verwaltet werden können. {{f| Wo kommen die Typen her? § No Results found}}
|-
| {{b|Deaktivieren Sie das Hinzufügen von Benutzern}} || {{ButtonAus}} || Bei {{ButtonAn}} Aktivierung, ist das Hinzufügen neuer Benutzer und Profile deaktiviert.
|-
| {{b|Deaktivieren Sie die Einstellung der Lautstärke}} || {{ButtonAus}} || {{f|Gibt an, o}}b das Anpassen der Hauptlautstärke deaktiviert ist.
|-
| {{b|Deaktivieren Sie den Werksreset}} || {{ButtonAus}} || Gibt an, ob das Zurücksetzen auf Werkseinstellungen deaktiviert ist. {{f|Wie verträgt sich das mit »E-Mail für Werkseinstellung Zurücksetzung« und [...]Wenn keine Administratoren angegeben sind, bietet das Gerät keinen Schutz vor Zurücksetzen auf die Werkseinstellungen. ? }}
|-
| {{b|Deaktivieren Sie die Bereitstellung physischer Medien}} || {{ButtonAus}} || Gibt an, ob der Benutzer, der physische externe Medien bereitstellt, deaktiviert ist. {{f| Tatsächlich? Es wird gleich der komplette Benutzer deaktiviert und nicht das Medium?}}
|-
| {{b|Deaktivieren Sie das Ändern von Konten}} || {{ButtonAus}} || Gibt an, ob das Hinzufügen oder Entfernen von Konten deaktiviert ist.
|-
| {{b|Deaktivieren Sie den sicheren Start}} || {{ButtonAus}} || Gibt an, ob der Neustart des Geräts im sicheren Startmodus deaktiviert ist.
|-
| {{b|Statusleiste deaktivieren}} || {{ButtonAus}} || Gibt an, ob die Statusleiste deaktiviert ist. Dadurch werden Benachrichtigungen, Schnelleinstellungen und andere Bildschirmüberlagerungen deaktiviert, die das Verlassen des Vollbildmodus ermöglichen.
|-
| {{b|Tastensperre deaktivieren}} || {{ButtonAus}} || Gibt an, ob die Tastensperre deaktiviert ist.
|-
| {{b|Deaktivieren Sie die Bluetooth-Kontaktfreigabe}} || {{ButtonAus}} || Gibt an, ob die Bluetooth-Kontaktfreigabe deaktiviert ist.
|-
| {{b|Deaktivieren Sie die Bluetooth-Konfiguration}} || {{ButtonAus}} || Gibt an, ob die Bluetooth-Konfiguration deaktiviert ist.
|-
| {{b|Deaktivieren Sie die Cell Broadcast-Konfiguration}} || {{ButtonAus}} || Gibt an, ob die Konfiguration von Cell Broadcast deaktiviert ist.
|-
| {{b|Deaktivieren Sie die Konfiguration der Anmeldeinformationen}} || {{ButtonAus}} || Gibt an, ob die Konfiguration von Benutzeranmeldeinformationen deaktiviert ist.
|-
| {{b|Deaktivieren Sie die Mobilfunknetzkonfiguration}} || {{ButtonAus}} || Gibt an, ob die Konfiguration von Mobilfunknetzen deaktiviert ist.
|-
| {{b|Deaktivieren Sie die Tethering-Konfiguration}} || {{ButtonAus}} || Gibt an, ob die Konfiguration von Tethering und portablen Hotspots deaktiviert ist.
|-
| {{b|Deaktivieren Sie die VPN-Konfiguration}} || {{ButtonAus}} || Gibt an, ob die Konfiguration von VPN deaktiviert ist.
|-
| {{b|Deaktivieren Sie die Wi-Fi-Konfiguration}} || {{ButtonAus}} || Gibt an, ob die Konfiguration von Wi-Fi-Zugangspunkten deaktiviert ist.
|-
| {{b|Deaktivieren Sie das Erstellen von Fenstern}} || {{ButtonAus}} || Gibt an, ob das Erstellen von Fenstern neben App-Fenstern deaktiviert ist.
|-
| {{b|Deaktivieren Sie das Zurücksetzen der Netzwerkeinstellungen}} || {{ButtonAus}} || Gibt an, ob das Zurücksetzen der Netzwerkeinstellungen deaktiviert ist.
|-
| {{b|Datei per NFC versenden deaktivieren {{f|Abgehenden Strahl deaktivieren§ Ähh - nö }} }} || {{ButtonAus}} || Gibt an, ob die Verwendung von NFC zum Übertragen von Daten aus Apps deaktiviert ist.
|-
| {{b|Ausgehende Anrufe deaktivieren}} || {{ButtonAus}} || Gibt an, ob ausgehende Anrufe deaktiviert sind. {{f|Notruf?}}
|-
| {{b|Deaktivieren Sie das Entfernen von Benutzern}} || {{ButtonAus}} || Ob das Entfernen anderer Benutzer deaktiviert ist.
|-
| {{b|Deaktivieren Sie die Standortfreigabe}} || {{ButtonAus}} || Gibt an, ob die Standortfreigabe deaktiviert ist.
|-
| {{b|SMS deaktivieren}} || {{ButtonAus}} || Gibt an, ob das Senden und Empfangen von SMS-Nachrichten deaktiviert ist.
|-
| {{b|Mikrofon einschalten verhindern}} || {{ButtonAus}} || Gibt an, ob das Mikrofon stummgeschaltet ist und die Mikrofonlautstärke nicht eingestellt werden kann.
|-
| {{b|Deaktivieren Sie die USB-Datenübertragung}} || {{ButtonAus}} || Gibt an, ob die Übertragung von Dateien über USB deaktiviert ist.
|-
| {{b|App-Überprüfung erzwingen}} || {{ButtonAus}} || Gibt an, ob die App-Überprüfung erzwungen wird. {{f|Was ist das?}}
|-
| {{b|Einstellungsbenutzersymbol deaktivieren}} || {{ButtonAus}} || Gibt an, ob das Ändern des Benutzersymbols deaktiviert ist.
|-
| {{b|Deaktivieren Sie die Hintergrundeinstellungen}} || {{ButtonAus}} || Gibt an, ob das Ändern des Hintergrundbilds deaktiviert ist.
|-
| {{b|Roaming deaktivieren}} || {{ButtonAus}} || Gibt an, ob Roaming-Datendienste deaktiviert sind.
|-
| {{b|Deaktivieren Sie den Netzwerk Escape Hatch}} || {{ButtonAus}} || Gibt an, ob der Netzwerk Escape Hatch aktiviert ist. Wenn beim Booten keine Netzwerkverbindung hergestellt werden kann, fordert der Escape Hatch den Benutzer auf, vorübergehend eine Verbindung zu einem Netzwerk herzustellen, um die Geräterichtlinie zu aktualisieren. Nach dem Anwenden der Richtlinie wird das temporäre Netzwerk vergessen und das Gerät fährt mit dem Booten fort. Auf diese Weise wird verhindert, dass keine Verbindung zu einem Netzwerk hergestellt werden kann, wenn in der letzten Richtlinie kein geeignetes Netzwerk vorhanden ist und das Gerät im Task-Sperrmodus eine App startet oder der Benutzer ansonsten die Geräteeinstellungen nicht erreichen kann.
|-
| {{b|Bluetooth deaktivieren}} || {{ButtonAus}} || Gibt an, ob Bluetooth deaktiviert ist. Ziehen Sie diese Einstellung bluetooth_config_disabled vor, da bluetooth_config_disabled vom Benutzer umgangen werden kann.{{f|Kann man die Beiden Einstellungen direkt untereinander anzeigen?}}
|-
| {{b|Aktivieren Sie die Blockierung anderer Apps}} || {{ButtonAus}} || Gibt an, ob andere als die in Anwendungen konfigurierten Anwendungen für die Installation gesperrt sind. Wenn diese Option aktiviert ist, werden Anwendungen, die unter einer früheren Richtlinie installiert wurden, jedoch nicht mehr in der Richtlinie angezeigt werden, automatisch deinstalliert. {{f|Was ist mit §  (Apps) Managed Google Play??}}
|-
| {{b|Erlaube unbekannte Quellen}} || {{ButtonAus}} || Gibt an, ob der Benutzer die Einstellung "Unbekannte Quellen" aktivieren darf, mit der Apps aus unbekannten Quellen installiert werden können.
|-
| {{b|Debugging-Funktionen zulassen}} || {{ButtonAus}} || Gibt an, ob der Benutzer Debugging-Funktionen aktivieren darf.
|-
| {{b|"Spaß" deaktivieren}} || {{ButtonAus}} || Gibt an, ob das Easteregg-Spiel in den Einstellungen deaktiviert ist.
|-
| {{b|Benötige automatische Zeit}} || {{ButtonAus}} || Gibt an, ob die Zeit automatisch ermittelt (aus den Datenpaketen des Netzbetreibers) wird, sodass der Benutzer Datum und Uhrzeit nicht manuell einstellen kann.
|-
| {{b|Aktivieren Sie den benutzerdefinierten Kiosk-Starter}} || {{ButtonAus}} || Gibt an, ob der benutzerdefinierte Kiosk-Starter aktiviert ist. Dadurch wird der Startbildschirm durch einen Starter ersetzt, der das Gerät für die über die Anwendungseinstellung installierten Apps sperrt. Die Apps werden auf einer einzelnen Seite in alphabetischer Reihenfolge angezeigt. Es wird empfohlen, status_bar_disabled auch zu verwenden, um den Zugriff auf Geräteeinstellungen zu blockieren.
|-
| {{b|Hinweise zum ersten Benutzer überspringen}} || {{ButtonAus}} || Flag, um Hinweise zur ersten Verwendung zu überspringen. Der Unternehmensadministrator kann die Systemempfehlung für Apps aktivieren, um das Benutzer-Tutorial und andere einführende Hinweise beim ersten Start zu überspringen.{{f|doppelter Text}}
|-
| {{b|Flag, um Hinweise zur ersten Verwendung zu überspringen. Der Unternehmensadministrator kann die Systemempfehlung für Apps aktivieren, um das Benutzer-Tutorial und andere einführende Hinweise beim ersten Start zu überspringen.}} {{f|doppelter Text}} || {{ButtonAus}} ||Ermöglicht die Anzeige der Benutzeroberfläche auf einem Gerät, damit ein Benutzer einen privaten Schlüsselalias auswählen kann, wenn in ChoosePrivateKeyRules keine übereinstimmenden Regeln vorhanden sind. Bei Geräten unter Android P können durch diese Einstellung Unternehmensschlüssel angegriffen werden.
|-
| rowspan="4" |{{b|Play-Store-Modus {{f|abspielen}} }} ||class="sichtbar_monitor"|  || In diesem Modus wird gesteuert, welche Apps dem Benutzer im Play Store zur Verfügung stehen und wie sich das Gerät verhält, wenn Apps aus der Richtlinie entfernt werden. <br/>Mögliche Werte: Default:
|-
| {{ic | Nicht spezifiziert |dr}} ||
|-
| {{ic | Whitelist|dr}} || {{f| Tut nicht, was ich erwarte. Was soll es tun?}}
|-
| {{ic | Blacklist|dr}} || {{f|?}}
|-
| {{b|Deaktivieren Sie die Keyguard-Funktionen}} || {{ic | }} || Deaktivierte Keyguard-Anpassungen, z. B. Widgets.<br/>
{| class="wikitable2"
! Option !! Beschreibung
|-
| {{cb|Kamera}} || ?
|-
| {{cb|Benachrichtigungen}} || ?
|}{{cb|Nicht umgesetzte Benachrichtigungen}} {{cb|Vertrauensagenten ignorieren}} {{cb|Fingerabdruck}} {{cb|Remote-Eingang}} {{cb|Alles}}
|-
| class="Leerzeile" | <br/>Statusmeldung
|-
| {{b|Aktivieren Sie die Statusmeldung}} || {{ButtonAus}} || Nachdem Sie dies aktiviert haben, können Sie die Konfiguration der Statusberichte festlegen
|-
| {{b|Hardware Status}} || {{ButtonAus}} || Gibt an, ob die Hardware-Statusmeldung aktiviert ist.
|-
| {{b|Anwendungsberichte}} || {{ButtonAus}} || Gibt an, ob App-Berichte aktiviert sind.
|-
| {{b|Softwareinfo}} || {{ButtonAus}} || Gibt an, ob die Software-Info-Berichterstattung aktiviert ist.
|-
| {{b|Speicherinfo}} || {{ButtonAus}} || Gibt an, ob die Speicherberichterstattung aktiviert ist.
|-
| {{b|Anzeigen Informationen}} || {{ButtonAus}} || Gibt an, ob die Anzeige von Berichten aktiviert ist.
|-
| {{b|Netzwerk information}} || {{ButtonAus}} || Gibt an, ob die Netzwerkinfomeldung aktiviert ist.
|-
| {{b|Geräteeinstellungen}} || {{ButtonAus}} || Gibt an, ob die Berichterstellung für Geräteeinstellungen aktiviert ist.
|-
| {{b|Energieverwaltungsereignisse}} || {{ButtonAus}} || Gibt an, ob die Energieverwaltungsereignisberichterstattung aktiviert ist.
|-
| class="Leerzeile" | <br/>Systemaktualisierung
|-
| {{b|Aktivieren Sie die Statusmeldung}} || {{ButtonAus}} || Nachdem Sie dies aktiviert haben, können Sie die Systemaktualisierungskonfiguration einstellen
|-
| rowspan="5" | {{b|Energieverwaltungsereignisse}} || class="sichtbar_monitor"| || Die Art der zu konfigurierenden Systemaktualisierung.
|-
| {{ic | Nicht spezifiziert|dr}} ||
|-
| {{ic |Aut{{f|o}}omatisch|dr }} || {{f|?}}
|-
| {{ic | Im Fenster|dr}} ||
{| class="sptables"
| {{b|Start minutes}} ||style="min-width:100px;" | {{ic | 0 | c| w=90px }} || If the type is windowed, the start of the maintenance window, measured as the number of minutes after midnight in the device's local time. This value must be between 0 and 1439, inclusive.
|-
| {{b|End minutes}} || {{ic|0|c|w=90px}} || If the type is WINDOWED, the end of the maintenance window, measured as the number of minutes after midnight in device's local time. This value must be between 0 and 1439, inclusive. If this value is less than start_minutes, then the maintenance window spans midnight. If the maintenance window specified is smaller than 30 minutes, the actual window is extended to 30 minutes beyond the start time.
|}
|-
| {{ic | Verschieben|dr}} ||  {{f|?}}
|-
| {{b|Regeln für private Schlüssel}} || {{spc | + | b |Regel hinzufügen}} || Regeln für die automatische Auswahl eines privaten Schlüssels und Zertifikats zur Authentifizierung des Geräts bei einem Server. Die Regeln sind nach Priorität geordnet. Wenn also eine ausgehende Anforderung mehr als einer Regel entspricht, definiert die letzte Regel, welcher private Schlüssel verwendet werden soll.
{| class="sptable"
|-
| {{b|URL-Muster}} <br/> {{ic |URL-Muster }} || Das URL-Muster, das mit der URL der ausgehenden Anforderung abgeglichen werden soll. Das Muster kann Platzhalter mit Sternchen (*) enthalten. Jede URL stimmt überein, wenn sie nicht angegeben ist.
|-
| {{b|Paketnamen}} <br/> {{ic |Paketnamen hinzufügen }} || Die Paketnamen, für die ausgehende Anforderungen dieser Regel unterliegen. Wenn keine Paketnamen angegeben sind, gilt die Regel für alle Pakete. Für jeden aufgelisteten Paketnamen gilt die Regel für dieses Paket und alle anderen Pakete, die dieselbe Android-UID verwendet haben. Der SHA256-Hash der Signaturschlüsselsignaturen jedes Paketnamens wird mit den von Play bereitgestellten verglichen
|-
| {{b|Alias für privaten Schlüssel}} <br/> {{ic |Alias }} || Der Alias des zu verwendenden privaten Schlüssels.
|}
|-
| {{b|Globale Erlaubnisgewährung}} || {{spc | + | b |Berechtigung hinzufügen}} || Explizite Erlaubnis oder Gruppengewährung oder -verweigerung für alle Apps. Diese Werte überschreiben die defaultPermissionPolicy.
{| class="sptable"
|-
| {{b|Genehmigung}} <br/> {{ic| }} || Die Android-Berechtigung oder -Gruppe, z. android.permission.READ_CALENDAR oder android.permission_group.CALENDAR.
|-
| {{b|Regel}} <br/> {{ic| Nicht spezifiziert|dr}} || Die Richtlinie zum Erteilen der Berechtigung. {{f|Sollte verschoben werden zu §Standardberechtigungsrichtlinie}}
|}
|}
----
==== {{Reiter | Passwort }} ====
{{pt2|MS_v1.4.8_Profile_Android-emm_Passwort.png | Passwortrichtlinien }}
Passwortrichtlinien können für Arbeitsprofile und komplett verwaltete Geräte verwendet werden.
{| class="sptable striped einrücken"
! Beschrifung !! Werte !! Beschreibung
|-
| rowspan="4" | {{b|Umfang}} || class="sichtbar_monitor" style="border-right:0;" | || style="border-left:0" | Der Bereich, für den die Kennwortanforderung gilt.
|-
| {{ic | Gerät |dr}} || Die Richtlinie gilt nur für komplett verwaltete Geräte {{f|stimmt das so?}}
|-
| {{ic | Workprofile |dr}} || Die Richtlinie gilt nur für Arbeitsprofile auf BYOD-Geräten {{f|stimmt das so?}}
|-
| {{ic | Beide |dr}} || Die Richtlinie gilt für komplett verwaltete Geräte und Arbeitsprofile auf BYOD-Geräten {{f|stimmt das so?}}
|-
| rowspan="8" | {{b|Passcode-Qualität}} ||class="sichtbar_monitor" | || Die erforderliche Passwortqualität.{{f| Was genau bedeutet das? Ich habe Hinweise darauf, daß es sich um Mindestanforderungen handeln soll. Wie ist dann die Hierarchie? Sicher nicht diese Reihenfolge...}}
|-
|  {{ic | Nicht spezifiziert |dr}} ||
|-
|  {{ic | Biometric |dr}} ||
|-
|  {{ic | Irgendetwas |dr}} ||
|-
|  {{ic | Numerisch |dr}} ||
|-
|  {{ic | Numberic (complex) |dr}} ||
|-
|  {{ic | Alphabetisch |dr}} ||
|-
|  {{ic | Alphanumerisch |dr}} ||
|-
|  {{ic | Komplex |dr}} ||
|-
| {{b|Länge des Passwortverlaufs}} || {{ic | 0|c}} || Die Länge des Kennwortverlaufs. Nach dem Einstellen dieses Felds kann der Benutzer kein neues Kennwort eingeben, das mit dem Kennwort im Verlauf identisch ist. Ein Wert von 0 bedeutet, dass keine Einschränkung vorliegt.
|-
| {{b|Maximale Anzahl fehlgeschlagener Versuche}} || {{ic | 0|c}} || Anzahl der zulässigen Eingabeversuche, bevor alle Daten auf dem Gerät gelöscht werden
|-
| {{b|Ablaufzeitlimit}} || {{ic | 0s }} || Eine Dauer in Sekunden mit bis zu neun Nachkommastellen, die mit "s" abgeschlossen wird. Beispiel: <code>3.5s</code> {{f|Und was genau läuft da ab?}}
|}
----
==== {{Reiter | Sicherheit }} ====
{{pt2| MS_v1.4.8_Profile_Android-emm_Sicherheit.png| Sicherheit}}
Bei {{ButtonAn}} Aktivierung wird die {{f| es fehlt: §  Konfiguration für die Netzwerkverbindung mit der}} Securepoint Mobile Security-App hinzu gefügt bzw. entfernt.<br/>
Dies ist erforderlich, um die Sicherheitseinstellungen zu konfigurieren.
{{:MS/deployment/Profile-Sicherheit}}


{{Hinweis | ! Apps auf Geräten, die über EMM verwaltet werden, werden innerhalb der Profile konfiguriert !|gelb}}
{{Hinweis | ! Apps auf Geräten, die über EMM verwaltet werden, werden innerhalb der Profile konfiguriert !|gelb}}
Zeile 35: Zeile 568:
<p>{{ spc | suche | | Select app}} '''Auswahl der gewünschten Apps''' Für unser Beispiel: Nextcloud </p>
<p>{{ spc | suche | | Select app}} '''Auswahl der gewünschten Apps''' Für unser Beispiel: Nextcloud </p>
<p>Übernahme der App mit {{spc|Auswählen|buttongr}}
<p>Übernahme der App mit {{spc|Auswählen|buttongr}}
{{pt2|MSA_Profile_Anwendungen_Apps.png}}
{{pt2|MSA_Profile_Anwendungen_Apps.png}}<br clear=all>
{| class="sptable"
{| class="sptable"
! Beschriftung !! Vorgeschlagener Wert !! Beschreibung
! Beschriftung !! Vorgeschlagener Wert !! Beschreibung
Zeile 43: Zeile 576:
| {{b|Installationstyp}} || {{ic |Vorinstallation |dr}} || Die App wird automatisch auf dem Gerät installiert
| {{b|Installationstyp}} || {{ic |Vorinstallation |dr}} || Die App wird automatisch auf dem Gerät installiert
|-
|-
| {{b|Standardberechtigungsrichtlinie}} || {{ic |Gewähren |dr}} || Per Default erhält diese App alle gewünschten Berechtigungen
| {{b|Standardberechtigungsrichtlinie}} || {{ic |Prompt |dr}} || Werden neue, nicht explizit gewährte oder verweigerte Berechtigungen benötigt, fragt das System nach einer Berechtigung.
|-
|-
| {{b|Berechtigungen}} || {{spc |+| |Berechtigung hinzufügen}} || Einzelne Berechtigungen können anders als die zuvor konfigurierte Standardberechtigungsrichtlinie eingestellt werden und überschreiben deren Werte
| {{b|Berechtigungen}} || {{spc |+| |Berechtigung hinzufügen}} || Einzelne Berechtigungen können anders als die zuvor konfigurierte Standardberechtigungsrichtlinie eingestellt werden und überschreiben deren Werte
|-
|-
| class="Leerzeile" | Permission ||class="Leerzeile" colspan="2" | {{spc|-|o|-|c=rots}} Erweitern oder minimieren einer Berechtigung {{mobil|<br>}}{{spc|trash|o|-|c=rots}} Löschen der Berechtigung
| class="Leerzeile" | Permission ||class="Leerzeile" colspan="2" | {{spc|max|o|-|c=rots}} /{{spc|--|o|-|c=rots}} Erweitern oder minimieren einer Berechtigung {{mobil|<br>}}{{spc|trash|o|-|c=rots}} Löschen der Berechtigung
|-
| {{b|Genehmigung}} ||style="min-width: 265px;" |  {{ic |android.permission.GET_ACCOUNTS |dr|w=248px}} || Die App soll sich mit den Zugangsberechtigungen anderer Konten anmelden können.
|-
| {{b|Regel}} || {{ic | Gewähren |dr|w=248px}} || Die Richtlinie zum Erteilen der Berechtigung.
|-
| {{b|Genehmigung}} || {{ic |android.permission.INTERNET |dr|w=248px}} || Die App soll Zugriff auf vorhandene Internetverbindungen erhalten.
|-
| {{b|Regel}} || {{ic | Gewähren |dr|w=248px}} || Die Richtlinie zum Erteilen der Berechtigung.
|-
| {{b|Genehmigung}} || {{ic |com.nextcloud.client.<br>permission.C2D_MASSAGE |dr|w=248px}} || Die App soll Push-Nachrichten über Firebase Cloud Messaging (ehemals Goocle Cloud Massage) erhalten können (Cloud to Device → C2D)
|-
|-
| {{b|Genehmigung}} || {{ic | |dr}} || Die Android-Berechtigung oder -Gruppe, z. android.permission.READ_CALENDAR oder android.permission_group.CALENDAR.
| {{b|Regel}} || {{ic | Gewähren |dr|w=248px}} || Die Richtlinie zum Erteilen der Berechtigung.  
|-
|-
| {{b|Regel}} || {{ic | |dr}} || Die Richtlinie zum Erteilen der Berechtigung.
| || Hier sind ggf. weitere Berechtigungen zu gewähren oder zu verweigern
|-
|-
| {{b|Verwaltete Konfiguration}} || {{ic | |dr}} || Managed configuration applied to the app. The format for the configuration is dictated by the ManagedProperty values supported by the app. Each field name in the managed configuration must match the key field of the ManagedProperty. The field value must be compatible with the type of the ManagedProperty
| {{b|Verwaltete Konfiguration}} || {{ic | |dr}} || Managed configuration applied to the app. The format for the configuration is dictated by the ManagedProperty values supported by the app. Each field name in the managed configuration must match the key field of the ManagedProperty. The field value must be compatible with the type of the ManagedProperty

Version vom 9. September 2019, 10:18 Uhr




























Beispielhafte Konfiguration eines EMM-Profils

Neu

  • Bestpractice


Einleitung

In einem Profil werden Berechtigungen, Einschränkungen, Passwort-Voraussetzungen, E-Mail-Einstellungen und Sicherheits-Einstellungen konfiguriert.

Android Enterprise-Profile (EMM) verhalten sich grundlegend anders als herkömmliche Android Profile. Die Geräte-Registrierung wird direkt an ein Profil gebunden.
Es muss zuerst ein Profil angelegt ( und konfiguriert) werden, bevor ein Gerät registriert werden kann.
Es ist nicht mehr möglich ein Profil einer Rolle, einem Benutzer oder einem Tag zuzuordnen.

In Android Enterprise-Profilen könnn zahlreiche sicherheitsrelevante Einstellungen vorgenommen werden, so z.B.

  • Kamara deaktivieren
  • Mikrofon deaktivieren
  • USB-Dateiübertragung deaktivieren
  • ausgehende Anrufe deaktivieren
  • Bluetooth deaktivieren
  • Kontaktfreigabe deaktivieren
  • Tethering deaktivieren
  • sms deaktivieren
  • Netzwerk nur mit VPN ermöglichen
  • uvm.

Android Enterprise Profile werden unmittelbar angewendet und müssen nicht veröffentlicht werden !


Android Enterprise Profil

Allgemein

Allgemein

Allgemeine Einstellungen

Anzeige der verwendeten Plattform, des Profil-Namens und der zugeordneten Geräte.

Soll ein Android EMM-Profil neu angelegt werden, muss als Plattform Android Enterprise ausgewählt werden.


Grundeinstellungen

Grundeinstellungen

Grundeinstellungen


Beschriftung Werte Beschreibung
Maximale Zeit zum Sperren 120Link= Das Gerät wird nach 2 Min Inaktivität gesperrt.
Verschlüsselung Mit Passwort aktiviert Verschlüsselung kann nur mit Kennwort aufgehoben werden. Die Verschlüsselung erfolgt auf Dateisystemebene und verhindert das Auslesen von Daten, bei physischem Zugriff auf ein gesperrtes Gerät. Es verhindert nicht das lesen von Daten eines entsperrten Gerätes.
Automatische App-Updates Die auf einem Gerät erzwungene Richtlinie zur automatischen Aktualisierung der App. Nur für interne Prüfzwecke
Nicht spezifiziert Nur für interne Prüfzwecke
Nur für interne Prüfzwecke
Niemals
Nur für interne Prüfzwecke
Immer
Modi in denen das Gerät an bleibt Modi wählen Die Akkulade-Modi, in denen das Gerät eingeschaltet bleibt. Bei Verwendung dieser Einstellung wird empfohlen, maximumTimeToLock zu deaktivieren, damit sich das Gerät nicht selbst sperrt, solange es eingeschaltet bleibt.
Mögliche Werte:
Ignorieren Ladegerät USB Kabelloses Ladegerät
Anhaltende bevorzugte Aktivitäten + Aktivität hinzufügen Standard-Intent-Handler-Aktivitäten.
Option Beschreibung

Empfänger Aktivität

Empfänger Aktivität

Nur für interne Prüfzwecke

Aktionen

Aktionen hinzufügen

Die absichtlichen Aktionen, die im Filter abgeglichen werden sollen. Wenn der Filter Aktionen enthält, muss die Aktion einer Absicht einer dieser Werte sein, damit sie übereinstimmt. Wenn keine Aktionen enthalten sind, wird die Absichtsaktion ignoriert. Nur für interne Prüfzwecke

Kategorien

Kategorien hinzufügen
Die Absichtskategorien, die im Filter übereinstimmen sollen. Eine Absicht enthält die erforderlichen Kategorien, die alle im Filter enthalten sein müssen, damit sie übereinstimmen. Mit anderen Worten, das Hinzufügen einer Kategorie zum Filter hat keine Auswirkungen auf die Übereinstimmung, es sei denn, diese Kategorie ist in der Absicht angegeben.
Setup-Aktionen + Aktion hinzufügen Aktionen, die während des Installationsvorgangs ausgeführt werden sollen.
Option Beschreibung

Titel

Titel
Titel der Aktion.

Beschreibung

Beschreibung
Beschreibung der Aktion.

App starten

Paketnamen
Paketname der app die gestartet werden soll. Nur für interne Prüfzwecke

Device Owner lockscreen info
Aktiviere die Sperrbildschirm-Informationen Nachdem Sie dies aktiviert haben, können Sie die Sperrbildschirminformationen einstellen
Device Owner lockscreen info Device owner lockscreen info Die Gerätebesitzerinformationen, die auf dem Sperrbildschirm angezeigt werden sollen. Die maximale Nachrichtenlänge beträgt 4096 Zeichen.

  Speichern

Compliance

Compliance

MS v1.4.8 Profile Android-emm Compliance.png

Es können Regeln definiert werden, wann das Telefon bzw das Arbeitsprofil gesperrt und wann es gelöscht (in Werkszustand zurückgesetzt) wird. Der Anwender wird aufgefordert, die ausgewählte Richtlinie auf dem Gerät zu aktivierten. Andernfalls wird das Gerät / Arbeitsprofil geblockt bzw. auf die Werkseinstellungen zurückgesetzt / gelöscht.Nur für interne Prüfzwecke

Beschriftung Werte Beschreibung
Einstellungsname     Die zu erzwingende Richtlinie der obersten Ebene. Zum Beispiel Anwendungen oder Passwortrichtlinien.
Regelname Beschreibung
Anwendungen Nur für interne Prüfzwecke
Maximale Zeit zum Sperren Nur für interne Prüfzwecke
keyguardDisabledFeatures Nur für interne Prüfzwecke
defaultPermissionPolicy Nur für interne Prüfzwecke
persistentPreferredActivities Nur für interne Prüfzwecke
openNetworkConfiguration Nur für interne Prüfzwecke
systemUpdate Nur für interne Prüfzwecke
accountTypesWithManagementDisabled Nur für interne Prüfzwecke
addUserDisabled Nur für interne Prüfzwecke
adjustVolumeDisabled Nur für interne Prüfzwecke
factoryResetDisabled Nur für interne Prüfzwecke
installAppsDisabled Nur für interne Prüfzwecke
mountPhysicalMediaDisabled Nur für interne Prüfzwecke
modifyAccountsDisabled Nur für interne Prüfzwecke
safeBootDisabled Nur für interne Prüfzwecke
uninstallAppsDisabled Nur für interne Prüfzwecke
statusBarDisabled Nur für interne Prüfzwecke
keyguardDisabled Nur für interne Prüfzwecke
minimumApiLevel Nur für interne Prüfzwecke
statusReportingSettings Nur für interne Prüfzwecke
bluetoothConfigDisabled Nur für interne Prüfzwecke
cellBroadcastsConfigDisabled Nur für interne Prüfzwecke
credentialsConfigDisabled Nur für interne Prüfzwecke
mobileNetworksConfigDisabled Nur für interne Prüfzwecke
tetheringConfigDisabled Nur für interne Prüfzwecke
vpnConfigDisabled Nur für interne Prüfzwecke
wifiConfigDisabled Nur für interne Prüfzwecke
createWindowsDisabled Nur für interne Prüfzwecke
networkResetDisabled Nur für interne Prüfzwecke
outgoingBeamDisabled Nur für interne Prüfzwecke
outgoingCallsDisabled Nur für interne Prüfzwecke
removeUserDisabled Nur für interne Prüfzwecke
shareLocationDisabled Nur für interne Prüfzwecke
smsDisabled Nur für interne Prüfzwecke
unmuteMicrophoneDisabled Nur für interne Prüfzwecke
usbFileTransferDisabled Nur für interne Prüfzwecke
ensureVerifyAppsEnabled Nur für interne Prüfzwecke
permittedInputMethods Nur für interne Prüfzwecke
stayOnPluggedModes Nur für interne Prüfzwecke
recommendedGlobalProxy Nur für interne Prüfzwecke
choosePrivateKeyRules Nur für interne Prüfzwecke
alwaysOnVpnPackage Nur für interne Prüfzwecke
frpAdminEmails Nur für interne Prüfzwecke
dataRoamingDisabled Nur für interne Prüfzwecke
locationMode Nur für interne Prüfzwecke
networkEscapeHatchEnabled Nur für interne Prüfzwecke
installUnknownSourcesAllowed Nur für interne Prüfzwecke
debuggingFeaturesAllowed Nur für interne Prüfzwecke
autoTimeRequired Nur für interne Prüfzwecke
appAutoUpdatePolicy Nur für interne Prüfzwecke
kioskCustomLauncherEnabled Nur für interne Prüfzwecke
privateKeySelectionEnabled Nur für interne Prüfzwecke
encryptionPolicy Nur für interne Prüfzwecke
permissionGrants Nur für interne Prüfzwecke
playStoreMode Nur für interne Prüfzwecke
setupActions Nur für interne Prüfzwecke
passwordPolicies Nur für interne Prüfzwecke

Blockieren
Blockieren nach x Tagen 3Link= Anzahl der Tage, an denen die Richtlinie nicht konform ist, bevor das Gerät oder das Arbeitsprofil blockiert wird. Um den Zugriff sofort zu blockieren, setzen Sie den Wert auf 0. Blockieren muss kleiner als Löschen sein.

Löschen
Werkeinstellungs-Reset-Schutz erhalten    Wenn aktiviert, wird der Werkeinstellungs-Reset-Schutz im Profil erhalten. Nur für interne Prüfzwecke Diese Einstellung funtktioniert nicht mit Arbeitsprofilen.
Löschen nach x Tagen 7Link= Anzahl der Tage, bevor das Gerät oder das Arbeitsprofil gelöscht wird. Löschen muss größer als sein als Blockieren.



Anwendungen

Apps die über   (Apps) Managed Google Play genehmigt wurden erscheinen unter   Profile Anwendungen Profil hinzufügen  Suche → »Apps verwalten« als App-Sammlung

Nur für interne Prüfzwecke



Netzwerke

Netzwerke
Beschriftung Default-Einstellung Beschreibung

VPN immer aktiv
Aktiviere "VPN immer aktiv"    Nur für interne Prüfzwecke
Bei    Aktivierung lassen sich die Einstellungen für "VPN immer aktiv" bearbeiten
Paketnamen
Nur für interne Prüfzwecke
Paketnamen Der Paketname der VPN-App.
Sperre aktiviert Bei    Aktivierung wird jede Netzwerkverbindung verhindert, wenn das VPN nicht verbunden ist. Nur für interne Prüfzwecke

Empfohlener globaler Proxy
Aktivieren Sie den globalen Proxy Bei    Aktivierung, kann ein globaler Proxy konfiguriert werden
Host Hostname Der Host des direkten Proxys. Nur für interne Prüfzwecke
Port Port NummerLink= Der Port des direkten Proxys.
Ausgeschlossener Host Exclude Hosts Bei einem direkten Proxy die Hosts, für die der Proxy umgangen wird. Die Hostnamen können Platzhalter wie * .example.com enthalten. Nur für interne Prüfzwecke
PAC URI URL Der URI des PAC-Skripts, mit dem der Proxy konfiguriert wurde.Vorlage:Was ist ein PAC-Skript?

Offene Netzwerkkonfiguration Nur für interne Prüfzwecke
Netzwerkkonfigurationen + Konfiguration hinzufügen Zugangsprofile für WiFi-Netzwerke konfigurieren
Netzwerk
Name     Der Name der Konfiguration
Typ     Der Konfigurationstyp

Wifi

SSID     Die SSID des Netzwerks
Sicherheit Keine Wählen Sie die Sicherheitsstufe
Versteckte SSID Legt fest ob die SSID versteckt ist.
Automatisch verbinden

Einschränkungen

Nur für interne Prüfzwecke
Beschriftung Eingabe Beschreibung

Support-Meldungen
Kurze Supportnachricht     Eine Meldung, die dem Benutzer auf dem Einstellungsbildschirm angezeigt wird, wenn die Funktionalität vom Administrator deaktiviert wurde. Die maximale Nachrichtenlänge beträgt 4096 Zeichen.
Lange Supportnachricht     Eine Nachricht, die dem Nur für interne Prüfzwecke angezeigt wird. Die maximale Nachrichtenlänge beträgt 4096 Zeichen.
Zulässige Eingabemethoden     Falls vorhanden, sind nur die Eingabemethoden zulässig, die von Paketen in dieser Liste bereitgestellt werden. Wenn dieses Feld vorhanden ist, die Liste jedoch leer ist, sind nur Systemeingabemethoden zulässig.
E-Mail für Werkseinstellung Zurücksetzung     E-Mail-Adressen von Geräteadministratoren zum Schutz vor Zurücksetzen auf die Werkseinstellungen. Wenn das Gerät auf die Werkseinstellungen zurückgesetzt wird, muss sich einer dieser Administratoren mit der E-Mail-Adresse und dem Passwort des Google-Kontos anmelden, um das Gerät zu entsperren. Wenn keine Administratoren angegeben sind, bietet das Gerät keinen Schutz vor Zurücksetzen auf die Werkseinstellungen.
Standardberechtigungsrichtlinie Unspecified (Prompt) Die Standardberechtigungsrichtlinie, wenn Apps neue Berechtigungen bei der Ausführung fordernNur für interne Prüfzwecke
Unspecified (Prompt) Nachfrage
Gewähren
Verweigern
Deaktivieren Sie die Installation von Apps Gibt an, ob die Benutzerinstallation von Apps deaktiviert ist. Bei    Aktivierung kann der Benutzer keine Apps installieren.
Deaktivieren Sie die Deinstallation von Apps Gibt an, ob die Deinstallation von Anwendungen durch den Benutzer deaktiviert ist. Bei    Aktivierung kann der Benutzer keine Apps deinstallieren.
Ortungsmodus Nicht spezifiziert Der Grad der Standorterkennung Nur für interne Prüfzwecke Der Benutzer kann den Wert ändern, es sei denn, der Benutzer kann nicht auf Geräteeinstellungen zugreifen. Weitere Werte:
Hohe Genauigkeit Nur für interne Prüfzwecke
Nur Sensoren
Batterieschonung Nur für interne Prüfzwecke
Off
Deaktivieren Sie die Bildschirmaufnahme Bei    Aktivierung, ist keine Bildschirmaufnahme möglich.Nur für interne Prüfzwecke
Kamera deaktivieren Bei    Aktivierung, ist die Kamera deaktiviert.
Kontotypen mit deaktivierter Verwaltung     Kontotypen, die vom Benutzer nicht verwaltet werden können. Nur für interne Prüfzwecke
Deaktivieren Sie das Hinzufügen von Benutzern Bei    Aktivierung, ist das Hinzufügen neuer Benutzer und Profile deaktiviert.
Deaktivieren Sie die Einstellung der Lautstärke Nur für interne Prüfzweckeb das Anpassen der Hauptlautstärke deaktiviert ist.
Deaktivieren Sie den Werksreset Gibt an, ob das Zurücksetzen auf Werkseinstellungen deaktiviert ist. Nur für interne Prüfzwecke
Deaktivieren Sie die Bereitstellung physischer Medien Gibt an, ob der Benutzer, der physische externe Medien bereitstellt, deaktiviert ist. Nur für interne Prüfzwecke
Deaktivieren Sie das Ändern von Konten Gibt an, ob das Hinzufügen oder Entfernen von Konten deaktiviert ist.
Deaktivieren Sie den sicheren Start Gibt an, ob der Neustart des Geräts im sicheren Startmodus deaktiviert ist.
Statusleiste deaktivieren Gibt an, ob die Statusleiste deaktiviert ist. Dadurch werden Benachrichtigungen, Schnelleinstellungen und andere Bildschirmüberlagerungen deaktiviert, die das Verlassen des Vollbildmodus ermöglichen.
Tastensperre deaktivieren Gibt an, ob die Tastensperre deaktiviert ist.
Deaktivieren Sie die Bluetooth-Kontaktfreigabe Gibt an, ob die Bluetooth-Kontaktfreigabe deaktiviert ist.
Deaktivieren Sie die Bluetooth-Konfiguration Gibt an, ob die Bluetooth-Konfiguration deaktiviert ist.
Deaktivieren Sie die Cell Broadcast-Konfiguration Gibt an, ob die Konfiguration von Cell Broadcast deaktiviert ist.
Deaktivieren Sie die Konfiguration der Anmeldeinformationen Gibt an, ob die Konfiguration von Benutzeranmeldeinformationen deaktiviert ist.
Deaktivieren Sie die Mobilfunknetzkonfiguration Gibt an, ob die Konfiguration von Mobilfunknetzen deaktiviert ist.
Deaktivieren Sie die Tethering-Konfiguration Gibt an, ob die Konfiguration von Tethering und portablen Hotspots deaktiviert ist.
Deaktivieren Sie die VPN-Konfiguration Gibt an, ob die Konfiguration von VPN deaktiviert ist.
Deaktivieren Sie die Wi-Fi-Konfiguration Gibt an, ob die Konfiguration von Wi-Fi-Zugangspunkten deaktiviert ist.
Deaktivieren Sie das Erstellen von Fenstern Gibt an, ob das Erstellen von Fenstern neben App-Fenstern deaktiviert ist.
Deaktivieren Sie das Zurücksetzen der Netzwerkeinstellungen Gibt an, ob das Zurücksetzen der Netzwerkeinstellungen deaktiviert ist.
Datei per NFC versenden deaktivieren Nur für interne Prüfzwecke Gibt an, ob die Verwendung von NFC zum Übertragen von Daten aus Apps deaktiviert ist.
Ausgehende Anrufe deaktivieren Gibt an, ob ausgehende Anrufe deaktiviert sind. Nur für interne Prüfzwecke
Deaktivieren Sie das Entfernen von Benutzern Ob das Entfernen anderer Benutzer deaktiviert ist.
Deaktivieren Sie die Standortfreigabe Gibt an, ob die Standortfreigabe deaktiviert ist.
SMS deaktivieren Gibt an, ob das Senden und Empfangen von SMS-Nachrichten deaktiviert ist.
Mikrofon einschalten verhindern Gibt an, ob das Mikrofon stummgeschaltet ist und die Mikrofonlautstärke nicht eingestellt werden kann.
Deaktivieren Sie die USB-Datenübertragung Gibt an, ob die Übertragung von Dateien über USB deaktiviert ist.
App-Überprüfung erzwingen Gibt an, ob die App-Überprüfung erzwungen wird. Nur für interne Prüfzwecke
Einstellungsbenutzersymbol deaktivieren Gibt an, ob das Ändern des Benutzersymbols deaktiviert ist.
Deaktivieren Sie die Hintergrundeinstellungen Gibt an, ob das Ändern des Hintergrundbilds deaktiviert ist.
Roaming deaktivieren Gibt an, ob Roaming-Datendienste deaktiviert sind.
Deaktivieren Sie den Netzwerk Escape Hatch Gibt an, ob der Netzwerk Escape Hatch aktiviert ist. Wenn beim Booten keine Netzwerkverbindung hergestellt werden kann, fordert der Escape Hatch den Benutzer auf, vorübergehend eine Verbindung zu einem Netzwerk herzustellen, um die Geräterichtlinie zu aktualisieren. Nach dem Anwenden der Richtlinie wird das temporäre Netzwerk vergessen und das Gerät fährt mit dem Booten fort. Auf diese Weise wird verhindert, dass keine Verbindung zu einem Netzwerk hergestellt werden kann, wenn in der letzten Richtlinie kein geeignetes Netzwerk vorhanden ist und das Gerät im Task-Sperrmodus eine App startet oder der Benutzer ansonsten die Geräteeinstellungen nicht erreichen kann.
Bluetooth deaktivieren Gibt an, ob Bluetooth deaktiviert ist. Ziehen Sie diese Einstellung bluetooth_config_disabled vor, da bluetooth_config_disabled vom Benutzer umgangen werden kann.Nur für interne Prüfzwecke
Aktivieren Sie die Blockierung anderer Apps Gibt an, ob andere als die in Anwendungen konfigurierten Anwendungen für die Installation gesperrt sind. Wenn diese Option aktiviert ist, werden Anwendungen, die unter einer früheren Richtlinie installiert wurden, jedoch nicht mehr in der Richtlinie angezeigt werden, automatisch deinstalliert. Nur für interne Prüfzwecke
Erlaube unbekannte Quellen Gibt an, ob der Benutzer die Einstellung "Unbekannte Quellen" aktivieren darf, mit der Apps aus unbekannten Quellen installiert werden können.
Debugging-Funktionen zulassen Gibt an, ob der Benutzer Debugging-Funktionen aktivieren darf.
"Spaß" deaktivieren Gibt an, ob das Easteregg-Spiel in den Einstellungen deaktiviert ist.
Benötige automatische Zeit Gibt an, ob die Zeit automatisch ermittelt (aus den Datenpaketen des Netzbetreibers) wird, sodass der Benutzer Datum und Uhrzeit nicht manuell einstellen kann.
Aktivieren Sie den benutzerdefinierten Kiosk-Starter Gibt an, ob der benutzerdefinierte Kiosk-Starter aktiviert ist. Dadurch wird der Startbildschirm durch einen Starter ersetzt, der das Gerät für die über die Anwendungseinstellung installierten Apps sperrt. Die Apps werden auf einer einzelnen Seite in alphabetischer Reihenfolge angezeigt. Es wird empfohlen, status_bar_disabled auch zu verwenden, um den Zugriff auf Geräteeinstellungen zu blockieren.
Hinweise zum ersten Benutzer überspringen Flag, um Hinweise zur ersten Verwendung zu überspringen. Der Unternehmensadministrator kann die Systemempfehlung für Apps aktivieren, um das Benutzer-Tutorial und andere einführende Hinweise beim ersten Start zu überspringen.Nur für interne Prüfzwecke
Flag, um Hinweise zur ersten Verwendung zu überspringen. Der Unternehmensadministrator kann die Systemempfehlung für Apps aktivieren, um das Benutzer-Tutorial und andere einführende Hinweise beim ersten Start zu überspringen. Nur für interne Prüfzwecke Ermöglicht die Anzeige der Benutzeroberfläche auf einem Gerät, damit ein Benutzer einen privaten Schlüsselalias auswählen kann, wenn in ChoosePrivateKeyRules keine übereinstimmenden Regeln vorhanden sind. Bei Geräten unter Android P können durch diese Einstellung Unternehmensschlüssel angegriffen werden.
Play-Store-Modus Nur für interne Prüfzwecke In diesem Modus wird gesteuert, welche Apps dem Benutzer im Play Store zur Verfügung stehen und wie sich das Gerät verhält, wenn Apps aus der Richtlinie entfernt werden.
Mögliche Werte: Default:
Nicht spezifiziert
Whitelist Nur für interne Prüfzwecke
Blacklist Nur für interne Prüfzwecke
Deaktivieren Sie die Keyguard-Funktionen     Deaktivierte Keyguard-Anpassungen, z. B. Widgets.
Option Beschreibung
Kamera ?
Benachrichtigungen ?
Nicht umgesetzte Benachrichtigungen Vertrauensagenten ignorieren Fingerabdruck Remote-Eingang Alles

Statusmeldung
Aktivieren Sie die Statusmeldung Nachdem Sie dies aktiviert haben, können Sie die Konfiguration der Statusberichte festlegen
Hardware Status Gibt an, ob die Hardware-Statusmeldung aktiviert ist.
Anwendungsberichte Gibt an, ob App-Berichte aktiviert sind.
Softwareinfo Gibt an, ob die Software-Info-Berichterstattung aktiviert ist.
Speicherinfo Gibt an, ob die Speicherberichterstattung aktiviert ist.
Anzeigen Informationen Gibt an, ob die Anzeige von Berichten aktiviert ist.
Netzwerk information Gibt an, ob die Netzwerkinfomeldung aktiviert ist.
Geräteeinstellungen Gibt an, ob die Berichterstellung für Geräteeinstellungen aktiviert ist.
Energieverwaltungsereignisse Gibt an, ob die Energieverwaltungsereignisberichterstattung aktiviert ist.

Systemaktualisierung
Aktivieren Sie die Statusmeldung Nachdem Sie dies aktiviert haben, können Sie die Systemaktualisierungskonfiguration einstellen
Energieverwaltungsereignisse Die Art der zu konfigurierenden Systemaktualisierung.
Nicht spezifiziert
AutNur für interne Prüfzweckeomatisch Nur für interne Prüfzwecke
Im Fenster
Start minutes 0Link= If the type is windowed, the start of the maintenance window, measured as the number of minutes after midnight in the device's local time. This value must be between 0 and 1439, inclusive.
End minutes 0Link= If the type is WINDOWED, the end of the maintenance window, measured as the number of minutes after midnight in device's local time. This value must be between 0 and 1439, inclusive. If this value is less than start_minutes, then the maintenance window spans midnight. If the maintenance window specified is smaller than 30 minutes, the actual window is extended to 30 minutes beyond the start time.
Verschieben Nur für interne Prüfzwecke
Regeln für private Schlüssel  Regel hinzufügen Regeln für die automatische Auswahl eines privaten Schlüssels und Zertifikats zur Authentifizierung des Geräts bei einem Server. Die Regeln sind nach Priorität geordnet. Wenn also eine ausgehende Anforderung mehr als einer Regel entspricht, definiert die letzte Regel, welcher private Schlüssel verwendet werden soll.
URL-Muster
URL-Muster
Das URL-Muster, das mit der URL der ausgehenden Anforderung abgeglichen werden soll. Das Muster kann Platzhalter mit Sternchen (*) enthalten. Jede URL stimmt überein, wenn sie nicht angegeben ist.
Paketnamen
Paketnamen hinzufügen
Die Paketnamen, für die ausgehende Anforderungen dieser Regel unterliegen. Wenn keine Paketnamen angegeben sind, gilt die Regel für alle Pakete. Für jeden aufgelisteten Paketnamen gilt die Regel für dieses Paket und alle anderen Pakete, die dieselbe Android-UID verwendet haben. Der SHA256-Hash der Signaturschlüsselsignaturen jedes Paketnamens wird mit den von Play bereitgestellten verglichen
Alias für privaten Schlüssel
Alias
Der Alias des zu verwendenden privaten Schlüssels.
Globale Erlaubnisgewährung  Berechtigung hinzufügen Explizite Erlaubnis oder Gruppengewährung oder -verweigerung für alle Apps. Diese Werte überschreiben die defaultPermissionPolicy.
Genehmigung
   
Die Android-Berechtigung oder -Gruppe, z. android.permission.READ_CALENDAR oder android.permission_group.CALENDAR.
Regel
Nicht spezifiziert
Die Richtlinie zum Erteilen der Berechtigung. Nur für interne Prüfzwecke

Passwort

Passwortrichtlinien

Passwortrichtlinien können für Arbeitsprofile und komplett verwaltete Geräte verwendet werden.

Beschrifung Werte Beschreibung
Umfang Der Bereich, für den die Kennwortanforderung gilt.
Gerät Die Richtlinie gilt nur für komplett verwaltete Geräte Nur für interne Prüfzwecke
Workprofile Die Richtlinie gilt nur für Arbeitsprofile auf BYOD-Geräten Nur für interne Prüfzwecke
Beide Die Richtlinie gilt für komplett verwaltete Geräte und Arbeitsprofile auf BYOD-Geräten Nur für interne Prüfzwecke
Passcode-Qualität Die erforderliche Passwortqualität.Nur für interne Prüfzwecke
Nicht spezifiziert
Biometric
Irgendetwas
Numerisch
Numberic (complex)
Alphabetisch
Alphanumerisch
Komplex
Länge des Passwortverlaufs 0Link= Die Länge des Kennwortverlaufs. Nach dem Einstellen dieses Felds kann der Benutzer kein neues Kennwort eingeben, das mit dem Kennwort im Verlauf identisch ist. Ein Wert von 0 bedeutet, dass keine Einschränkung vorliegt.
Maximale Anzahl fehlgeschlagener Versuche 0Link= Anzahl der zulässigen Eingabeversuche, bevor alle Daten auf dem Gerät gelöscht werden
Ablaufzeitlimit 0s Eine Dauer in Sekunden mit bis zu neun Nachkommastellen, die mit "s" abgeschlossen wird. Beispiel: 3.5s Nur für interne Prüfzwecke

Sicherheit

Sicherheit

Bei    Aktivierung wird die Nur für interne Prüfzwecke Securepoint Mobile Security-App hinzu gefügt bzw. entfernt.
Dies ist erforderlich, um die Sicherheitseinstellungen zu konfigurieren.


Es werden zahlreiche Einstellungen konfiguriert, die die Sicherheit bei Web-Anwendungen steuern.
Konfiguration mit Klick auf Sicherheit aktivieren

Aktion Default Beschreibung
Protokoll TCP Das Protokoll, das für den VPN Tunnel verwendet wird: TCP oder UDP
Portfilter-Typ Offen Netzwerkverkehr filtern aufgrund von Netzwerk Ports:alle Ports sind freigegeben
Geschlossen Lediglich Port 80 (http) und 443 (https) sind freigegeben
Auswahl Portfilter-Regelauswahl: Festlegen, welche Port-Collections für den Netzwerkverkehr geöffnet sind:





Port-Collection Port Protokoll Anwendung
Administrative Tools 21 TCP ftp
3389 TCP ms-rdp
23 TCP telnet
5900 TCP vnc
22 TCP ssh
5938 TCP/UDP teamviewer
Communication 3478-3481 UDP Skype
49152-65535 UDP
49152-65535 TCP
5222 TCP Google Push-Notifications
5223 UDP
5228 TCP
VOIP 5060 UDP SIP/RTP
7070-7089 UDP
VPN 1194 TCP OpenVPN
1194 UDP
500 UDP IPSec
4500 UDP & ESP
1701 UDP L2TP
Mail 25 TCP smtp
587 TCP
465 TCP smtps
110 TCP pop3
995 TCP
143 TCP imap
993 TCP
SSL-Interception Standard Definiert, ob SSL-Datenverkehr abgefangen wird oder nicht. Der Standardwert ist das Abfangen von Datenverkehr basierend auf der Antwort des Content-Filters.
Content-Filter Allowlist Einträge hinzufügen Klick-Box: Webseiten, die auf einer Allowlist eingetragen werden sollen. Mögliche Einträge: Contentfilter
Content-Filter Blocklist Einträge hinzufügen Klick-Box: Webseiten, die auf einer Blocklist eingetragen werden sollen.
VPN für SSIDs deaktivieren SSIDs hinzufügen Eingabe von WLAN-SSIDs, für die die Sicherheitsfunktionen deaktiviert werden sollen.
IP-Adressen von VPN ausschließen IPs hinzufügen Es können IP-Adressen oder Netzwerke eingegeben werden, für die die Sicherheitsfunktionen deaktiviert werden sollen, d.h. Der einzelne Host 192.0.2.192/32 oder das gesamte Subnetz 192.0.2.0/24. Bei Adressblöcken mit weniger als drei Stellen muss ein Punkt eingegeben oder mit den Cursortasten innerhalb der Maske navigiert werden.
Erlaube das Unterbrechen von Always-On-VPN    Erlaubt es dem Benutzer das VPN vorübergehend zu deaktivieren. Wenn der Benutzer es nicht selbst wieder aktiviert, geschieht dies um die vom Benutzer gewählte Uhrzeit.
Andere VPN Profile erlauben    Erlaubt das Hinzufügen von anderen VPN Profilen, zusätzlich zu dem Security-Profil
Lokales WLAN vom VPN ausnehmen Wenn aktiviert, wird eine Route hinzugefügt, die den lokalen WLAN-IP-Bereich vom Tunnel ausschließt.









Apps auf Geräten, die über EMM verwaltet werden, werden innerhalb der Profile konfiguriert !

MSP Profile Anwendungen BP.png

Konfiguration unter   Profile / Profil auswählen / Anwendungen Die hier gezeigten Einstellungen sind Beispiele, die einen möglichst Umfassenden Schutz bieten. Eine Anpassung an lokale Anforderungen ist unbedingt vorzunehmen !

Beschriftung Vorgeschlagener Wert Beschreibung
Automatische App-Updates Immer Auch bei Geräten, die selten oder nie in ein WLAN zurückkehren, sollen die Apps aktualisiert werden. Das Datenvolumen wirkt sich bei üblichen Volumentarifen in der Regel kaum aus.
Standardberechtigungsrichtlinie Gewähren Es werden ohnehin nur vorher geprüfte Apps erlaubt, die dann auch alles dürfen, was nicht explizit verboten wird
Deaktivieren Sie die Installation von Apps    Es dürfen keine Apps durch den Benutzer installiert werden
Deaktivieren Sie die Deinstallation von Apps    Es dürfen keine Apps durch den Benutzer deinstalliert werden
App-Überprüfung erzwingen    Nur für interne Prüfzwecke


  Speichern

 Anwendung hinzufügen

  Select app Auswahl der gewünschten Apps Für unser Beispiel: Nextcloud

Übernahme der App mit Auswählen

MSA Profile Anwendungen Apps.png


Beschriftung Vorgeschlagener Wert Beschreibung
Paketnamen com.nextcloud.client Der Paketname der App, die zuvor ausgewählt wurde
Installationstyp Vorinstallation Die App wird automatisch auf dem Gerät installiert
Standardberechtigungsrichtlinie Prompt Werden neue, nicht explizit gewährte oder verweigerte Berechtigungen benötigt, fragt das System nach einer Berechtigung.
Berechtigungen  Berechtigung hinzufügen Einzelne Berechtigungen können anders als die zuvor konfigurierte Standardberechtigungsrichtlinie eingestellt werden und überschreiben deren Werte
Permission / Erweitern oder minimieren einer Berechtigung
Löschen der Berechtigung
Genehmigung android.permission.GET_ACCOUNTS Die App soll sich mit den Zugangsberechtigungen anderer Konten anmelden können.
Regel Gewähren Die Richtlinie zum Erteilen der Berechtigung.
Genehmigung android.permission.INTERNET Die App soll Zugriff auf vorhandene Internetverbindungen erhalten.
Regel Gewähren Die Richtlinie zum Erteilen der Berechtigung.
Genehmigung com.nextcloud.client.
permission.C2D_MASSAGE
Die App soll Push-Nachrichten über Firebase Cloud Messaging (ehemals Goocle Cloud Massage) erhalten können (Cloud to Device → C2D)
Regel Gewähren Die Richtlinie zum Erteilen der Berechtigung.
Hier sind ggf. weitere Berechtigungen zu gewähren oder zu verweigern
Verwaltete Konfiguration     Managed configuration applied to the app. The format for the configuration is dictated by the ManagedProperty values supported by the app. Each field name in the managed configuration must match the key field of the ManagedProperty. The field value must be compatible with the type of the ManagedProperty
Verwaltete Konfigurationsvorlage     This field is ignored if managedConfiguration is set.
Deaktiviert     Whether the app is disabled. When disabled, the app data is still preserved.
Minimaler Versionscode     The minimum version of the app that runs on the device. If set, the device attempts to update the app to at least this version code. If the app is not up-to-date, the device will contain a NonComplianceDetail with nonComplianceReason set to APP_NOT_UPDATED. The app must already be published to Google Play with a version code greater than or equal to this value. At most 20 apps may specify a minimum version code per policy.
Bereiche delegieren     Die Richtlinie zum Erteilen der Berechtigung.