Wechseln zu:Navigation, Suche
Wiki

Konfiguration Android-Profil

Version vom 22. Juli 2024, 17:19 Uhr von Marcels (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „{{Set_lang}} {{#vardefine:headerIcon| fa-fw fal fa-shield-alt }} {{var | display | Konfiguration Android-Profil | Configuration Android profile }} {{var | head | Verwalten von Android Profilen im Mobile Security Portal | Manage Android profiles in the Mobile Security Portal }} {{var | Konfiguration Android-Profil | Konfiguration Android-Profil | Android profile configuration }} </div>{{Select_lang}}{{TOC2|limit=2}} {{Header|1.28|new=true…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Aus Securepoint Wiki































De.png
En.png
Fr.png









Verwalten von Android Profilen im Mobile Security Portal

Neuer Artikel zur Version: 1.28

notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
-
Aufruf: portal.securepoint.cloud  Mobile Security Android  Profile









































Vorbemerkung

In einem Profil werden Berechtigungen, Einschränkungen, Passwort-Voraussetzungen, E-Mail-Einstellungen und Sicherheits-Einstellungen konfiguriert.
Einem Profil können mehrere Benutzer oder Benutzer-Gruppen (Rollen) zugeordnet werden.
Einem Profil können mehrere Geräte oder Geräte-Gruppen (durch Tags bezeichnete Geräte) zugeordnet werden.

notempty
Bei einer Vielzahl von Geräten und Benutzern ist es zu empfehlen, die Zuweisung über Gruppen abzubilden.
  • Die Geräte-Registrierung wird direkt an ein Profil gebunden
  • Es muss zuerst ein Profil angelegt (und konfiguriert) werden, bevor ein Gerät registriert werden kann

In Android Enterprise-Profilen können zahlreiche sicherheitsrelevante Einstellungen vorgenommen werden, so z.B.

  • Kamara deaktivieren
  • Mikrofon deaktivieren
  • USB-Dateiübertragung deaktivieren
  • ausgehende Anrufe deaktivieren
  • Bluetooth deaktivieren
  • Kontaktfreigabe deaktivieren
  • Tethering deaktivieren
  • sms deaktivieren
  • Netzwerk nur mit VPN ermöglichen
  • uvm.
notempty
Android Enterprise Profile werden unmittelbar angewendet und müssen nicht veröffentlicht werden!
  • Frühere Android Profile verhalten sich grundlegend anders als aktuelle Android Enterprise-Profile (EMM)
  • Es ist nicht mehr möglich ein Profil einer Rolle, einem Benutzer oder einem Tag zuzuordnen

Übersicht der Profilverwaltung

In der Profil Übersicht können neue Profile erstellt, bestehende bearbeitet und gelöscht werden. Die Ansicht der Profile kann in der Listen- oder Kachelansicht dargestellt werden. Außerdem können Details zu den bestehenden Profilen angezeigt, die Liste der Profile aktualisiert und die Profile veröffentlicht werden. MS 1.25 iOS Profile.png
Übersicht der Profilverwaltung iOS 		MS 1.25 Android Profile.png
Übersicht der Profilverwaltung Android

Allgemeine Optionen

Name Sortiert die Kacheln nach dem Profilnamen
Priorität Sortiert die Kacheln nach der Priorität des Profils
Aufsteigend Sortiert die Kacheln Aufsteigend bzw. Absteigend nach dem gewählten Kriterium
Suche Filtert auf Profilkacheln, die den Suchtext enthalten
 Profil hinzufügen Erstellt ein neues Profil. Die Einstellungen im Profil sind je nach Betriebssystem unterschiedlich.
 Profil importieren Bestehende Profile, die zuvor aus dem Securepoint Mobile Security Portal exportiert wurden, können hier importiert werden
 Generierte Profile ausblenden Blendet generierte Profile aus
Details anzeigen / verstecken: Bei sehr vielen Profilen, kann es der Übersichtlichkeit dienen, die wichtigsten Details auszublenden.
/ Wechsel zwischen Listen und Rasteransicht
Aktualisieren der Anzeige

Profil-Kachel

Profil-Optionen
Mit der Schaltfläche oben rechts in jeder Profilkachel stehen folgende Optionen zur Verfügung:
 Bearbeiten Bearbeiten der Einstellungen (s.u.)
  Kopieren Kopieren des Profils in die Zwischenablage
  Exportieren Exportieren der Einstellungen
  Löschen Das Profil wird gelöscht
notempty
Neu ab: 2.5
 Android Profile, die mind. ein zugewiesenes Gerät haben, können nicht gelöscht werden.
In der Profil-Kachel angezeigte Details:
 Aktualisiert Es wurden Änderungen am Profil vorgenommen, die noch nicht veröffentlicht wurden!
 Teilweise installiert Es konnten nicht alle Teilprofile installiert werden
Profil-Informationen
  Typ Profil-Typ (s.u.)
  Rollen Rollen
  Benutzer Benutzer
 Geräte Geräte
  tags Tags
  Teile Auflistung der Teil-Profile, die das vollständige Mobile Security Profil ergeben.

Kopieren & Einfügen von Profilen

Mit einem Klick auf das Logo der Profilkachel lassen sich eine oder mehrere Profile markieren Bei den allgemeinen Optionen erscheint nun unter der Filter-Maske ein weiteres Feld:
Aktion für ausgewählte Objekte Bitte wählen Ausführen der gewählten Aktion mit Ok
Kopieren Kopiert ein oder mehrere ausgewählte Profile in die Zwischenablage
Löschen Löscht ein oder mehrere ausgewählte Profile
notempty
Neu ab: 2.5
 Android Profile, die mind. ein zugewiesenes Gerät haben, können nicht gelöscht werden.
  Einfügen Fügt eine Kopie eines Profils aus der Zwischenablage ein
Das funktioniert auch von einem Tenant / Kunden zum Anderen, solange diese dem gleichen Reseller-Account zugeordnet sind   AnyIdeas GmbH


Konfiguration Android-Profil










Allgemein

Allgemein
Beschriftung Wert Beschreibung MS v1.18 Android Profile Allgemein.png
Allgemeine Einstellungen
Name Name Anzeige bzw. Eingabe des Profil-Namens
Geräte Geräte hinzufügen Bei bestehenden Profilen: ggfs. Anzeige der zugeordneten Geräte









































Grundeinstellungen

Grundeinstellungen
Beschriftung Wert Beschreibung MS 2.4 Android Profile Grundeinstellungen.png
Grundeinstellungen
Maximale Zeit zum Sperren
0
  • Maximale Zeit in Sekunden für die Benutzeraktivität, bis das Gerät gesperrt wird
  • Dies limitiert die vom Nutzer einstellbare Zeit
  • Ein Wert von 0 bedeutet, dass keine Einschränkung vorliegt
  • Diese Einstellung hilft dabei, die Sicherheit des Geräts zu erhöhen, indem es sich automatisch sperrt, wenn es für eine festgelegte Zeit nicht verwendet wird.
  • Nur Werte, die unter 600 Sekunden liegen werden umgesetzt.
Verschlüsselung
Deaktiviert
  • Aktiviert die Verschlüsselung
  • Verschlüsselung schützt die auf dem Gerät gespeicherten Daten
  • Dies ist eine wichtige Sicherheitsmaßnahme, um sensible Informationen vor unbefugtem Zugriff zu schützen
Deaktiviert Es wird keine Verschlüsselung verwendet.
Aktiviert ohne Passwort Verschlüsselung ist erforderlich, jedoch wird kein Passwort zum Booten benötigt.
Die Verschlüsselung erfolgt auf Dateisystemebene und verhindert das Auslesen von Daten, bei physischem Zugriff auf ein gesperrtes Gerät (ausgeschaltet bzw. noch nicht gebootet). Es verhindert nicht das lesen von Daten eines entsperrten Gerätes. Die Aktivierung dieser Option deaktivert außerdem die Möglichkeit für einen Neustart des Gerätes im "abgesichertem Modus". Zusätzlich wird als Displaysperre eine Pin oder ein Passwort mit der Option "Sicherer Start" verlangt. Dadurch muss die Pin oder das Passwort vor dem Start des Gerätes eingegeben werden. Dadurch können keine Anrufe, Nachrichten oder Benachrichtigungen (einschließlich Weckrufen) empfangen werden, bevor das Gerät entsperrt und gestartet ist.
Mit Passwort aktiviert Erfordert ein Kennwort vor dem Start des Gerätes, um die Verschlüsselung aufzuheben.
Die Verschlüsselung erfolgt auf Dateisystemebene und verhindert das Auslesen von Daten, bei physischem Zugriff auf ein gesperrtes Gerät (ausgeschaltet bzw. noch nicht gebootet). Es verhindert nicht das lesen von Daten eines entsperrten Gerätes. Die Aktivierung dieser Option deaktivert außerdem die Möglichkeit für einen Neustart des Gerätes im "abgesichertem Modus". Zusätzlich wird als Displaysperre eine Pin oder ein Passwort mit der Option "Sicherer Start" verlangt. Dadurch muss die Pin oder das Passwort vor dem Start des Gerätes eingegeben werden. Dadurch können keine Anrufe, Nachrichten oder Benachrichtigungen (einschließlich Weckrufen) empfangen werden, bevor das Gerät entsperrt und gestartet ist.
Modi in denen das Gerät an bleibt
AC-Ladegerät Kabelloses Ladegerät
  • Die Akkulade-Modi, in denen das Gerät eingeschaltet bleibt
  • Bei Verwendung dieser Einstellung wird empfohlen, die maximale Zeit zum Entsperren zu deaktivieren, damit sich das Gerät nicht selbst sperrt, solange es eingeschaltet bleibt
  • Dies kann nützlich sein, um sicherzustellen, dass der Bildschirm während des Ladevorgangs für bestimmte Aufgaben oder Überwachungsfunktionen weiterhin aktiv bleibt
    • Ignorieren: Dieser Wert wird ignoriert
    • AC-Ladegerät: Bleibt eingeschaltet, wenn die Energiequelle ein Ladegerät ist
    • USB: Bleibt eingeschaltet, wenn die Energiequelle ein USB Port ist
    • Kabelloses Ladegerät: Bleibt eingeschaltet, wenn die Energiequelle kabellos ist
Anhaltende bevorzugte Aktivitäten
Anhaltende bevorzugte Aktivitäten
 Aktivität hinzufügen
  • Standard-Intent-Handler-Aktivitäten. Diese Aktivitäten sind spezialisierte Aufgaben oder Apps, die bevorzugt werden, um bestimmte Intents (Absichten) auszuführen
  • Das Gerät bleibt in diesen bevorzugten Aktivitäten, um eine konsistente und effiziente Ausführung der entsprechenden Funktionen zu gewährleisten
Empfänger Aktivität Empfänger Aktivität Die Aktivität, die der Standard-Intent-Handler sein soll, eintragen. Entweder der Android-Komponentenname (com.android.enterprise.app/.MainActivity) oder der App-Paketname.
Android-Geräterichtlinie wählt eine geeignete Aktivität aus der App aus.
Aktionen Aktionen hinzufügen Die absichtlichen Aktionen auswählen, die im Filter abgeglichen werden sollen. Wird keine Aktion ausgewählt, wird die Absichtsaktion ignoriert.
Kategorien Kategorien hinzufügen Die Absichtskategorien auswählen, die im Filter übereinstimmen sollen.
Eine Absicht enthält die erforderlichen Kategorien, die alle im Filter enthalten sein müssen, damit sie übereinstimmen. Mit anderen Worten, das Hinzufügen einer Kategorie zum Filter hat keine Auswirkungen auf die Übereinstimmung, es sei denn, diese Kategorie ist in der Absicht angegeben.
Setup-Aktionen
Setup-Aktionen
 Aktion hinzufügen
  • Aktionen, die während des Installationsvorgangs ausgeführt werden sollen
  • Diese können Schritte wie das Einrichten von Benutzerkonten, das Konfigurieren von Netzwerkeinstellungen oder das Installieren von erforderlichen Anwendungen und Diensten umfassen
  • Dies stellt sicher, dass das Gerät nach der Installation betriebsbereit und vollständig konfiguriert ist
Titel Titel Den Titel, Namen der Aktion eintragen
Beschreibung Beschreibung Eine Beschreibung der Aktion
App starten Paketname Paketname der App, die beim Setup gestartet werden soll
Sperrbildschirm Informationen zum Gerätebesitzer
Aktiviere die Sperrbildschirm-Informationen
  
  • Aktivierung der Konfiguration der Sperrbildschirm-Informationen
  • Diese Informationen können den Namen und die Kontaktinformationen des Gerätebesitzers umfassen und helfen dabei, das Gerät im Falle eines Verlusts oder Diebstahls wiederzufinden
  • Zudem können wichtige Hinweise oder Unternehmensrichtlinien angezeigt werden
Sperrbildschirm Informationen zum Gerätebesitzer Eigentum TTT-Point GmbH.
Support: 04131 - 2401-0		 Die Gerätebesitzerinformationen, die auf dem Sperrbildschirm angezeigt werden sollen. Die maximale Nachrichtenlänge beträgt 4096 Zeichen.




























































































































































































Einschränkungen

Einschränkungen
Beschriftung Wert Beschreibung MS 2.4 Android Profile Einschraenkungen Support-Meldungen.png
Support-Meldungen
Kurze Supportnachricht Kurze Supportnachricht Eine Meldung, die dem Benutzer auf dem Einstellungsbildschirm angezeigt wird, wenn die Funktionalität vom Administrator deaktiviert wurde. Die maximale Nachrichtenlänge beträgt 4096 Zeichen.
Lange Supportnachricht Lange Supportnachricht Eine Nachricht, die dem Benutzer angezeigt wird. Die maximale Nachrichtenlänge beträgt 4096 Zeichen. Abb. s.o.
Verbindungen
Deaktivieren Sie das Zurücksetzen der Netzwerkeinstellungen    Bei Aktivierung    ist das Zurücksetzen der Netzwerkeinstellungen deaktiviert.

Dies verhindert, dass Benutzer alle Netzwerkverbindungen, einschließlich WLAN, Mobilfunk und Bluetooth, zurücksetzen können, wodurch eine stabile Netzwerkumgebung gewährleistet bleibt.

MS 2.4 Android Profile Einschraenkungen Verbindungen.png
Deaktivieren Sie die Mobilfunknetzkonfiguration    Bei Aktivierung    ist die Konfiguration von Mobilfunknetzen deaktiviert.

Dies verhindert Änderungen an den Einstellungen für mobile Netzwerke, wie z.B. APN-Einstellungen, und sorgt so für eine konsistente Netzwerkverbindung.

Deaktivieren Sie die Cell Broadcast-Konfiguration    Bei Aktivierung    ist die Konfiguration von Cell Broadcast deaktiviert.

Cell Broadcast wird oft für Notfallwarnungen verwendet, und das Deaktivieren der Konfiguration verhindert, dass Benutzer diese Einstellungen ändern.

Ausgehende Anrufe deaktivieren    Bei Aktivierung    sind ausgehende Anrufe deaktiviert.

Dies kann verwendet werden, um zu verhindern, dass Benutzer unerwünschte oder nicht autorisierte Telefonanrufe tätigen.

Roaming deaktivieren    Bei Aktivierung    sind Roaming-Datendienste deaktiviert.

Dies verhindert, dass das Gerät Datenroaming-Dienste nutzt, was hilfreich sein kann, um hohe Roaming-Gebühren zu vermeiden.

SMS deaktivieren    Bei Aktivierung    ist das Senden und Empfangen von SMS-Nachrichten deaktiviert.

Dies kann genutzt werden, um die Kommunikation auf andere Kanäle zu lenken und die Kontrolle über den SMS-Verkehr zu behalten.

WLAN konfigurieren notempty
Aktualisiert
 Nicht spezifiziert Legt die Berechtigungen für die WLAN-Konfiguration fest.

Je nach ausgewählter Option kann der Nutzer die WLAN-Konfiguration entweder vollständig, nur eingeschränkt oder gar nicht steuern. Dies hilft, die Netzwerkzugänge zu kontrollieren und unautorisierte WLAN-Verbindungen zu verhindern.

Nicht spezifiziert Entspricht der Einstellung Alles erlauben
  • Wurde dieser Wert noch nicht aktiv gesetzt wird der Wert aus der veralteten Einstellung wifiConfigDisabled in das neue Feld ConfigureWifi übernommen.
  • Dessen Default Wert war false.
    Achtung: Doppelte Verneinung: »Deaktivierung der Einstellung = falsch« bedeutet: Einstellung erlaubt.
  • Das neue Feld zeigt Nicht spezifiziert an, wenn der Wert im ursprünglichen Feld nie gesetzt wurde (also noch im Default Zustand ist).
  • Wurde der ursprüngliche Wert auf wifiConfigDisabled == true gesetzt, erhält neue Feld ConfigureWifi den Weret 'DISALLOW_CONFIGURING_WIFI
Alles erlauben Die WLAN Konfiguration ist vollständig erlaubt
WLAN Konfiguration hinzufügen verbieten Das Hinzufügen neuer WLAN-Konfigurationen ist nicht zulässig, es kann nur zwischen bereits konfigurierten Netzwerken gewechselt werden
WLAN Konfiguration nicht zulassen Verhindert die Konfiguration von WLANs
Bluetooth deaktivieren    Bei Aktivierung    wird Bluetooth deaktiviert.

Diese Einstellung ist der "Bluetooth-Konfiguration deaktivieren" vorzuziehen, da Bluetooth-Konfiguration deaktivieren vom Benutzer umgangen werden kann. Dies stellt sicher, dass Bluetooth vollständig ausgeschaltet bleibt.

Bluetooth-Konfiguration deaktivieren    Bei Aktivierung    ist die Bluetooth-Konfiguration deaktiviert.

Dies verhindert, dass Benutzer die Bluetooth-Einstellungen ändern, was die Sicherheit der Geräte erhöht.

Deaktivieren der Bluetooth-Kontaktfreigabe    Bei Aktivierung    ist die Bluetooth-Kontaktfreigabe deaktiviert.

Nur für Arbeitsprofile. Dies verhindert die Freigabe von Kontakten über Bluetooth, um die Privatsphäre und Datenintegrität zu schützen.

Versenden via NFC deaktivieren    Bei Aktivierung    ist die Verwendung von NFC zum Senden von Daten aus Apps deaktiviert.

Dies kann verhindern, dass Benutzer Daten über NFC teilen, was die Sicherheit der Datenübertragung erhöht.

Deaktivieren Sie den Flugzeugmodus notempty
Neu ab 1.18
 Deaktiviert Diese Funktion steuert den aktuellen Status des Flugmodus und gibt an, ob der Nutzer ihn ein- oder ausschalten kann.

Wird unter Android 9 und höher unterstützt. Dies verhindert, dass Benutzer den Flugmodus aktivieren, was die ständige Netzwerkverbindung sicherstellt.

  • Ob eine Deaktivierung notwendig ist, hängt von den lokalen Anforderungen ab.
    • Nicht spezifiziert Der aktuelle Gerätewert wird nicht geändert. Der Nutzer kann den Flugmodus aktivieren oder deaktivieren.
    Wahl des Benutzers Der Nutzer kann den Flugmodus aktivieren oder deaktivieren.
    Deaktiviert Der Flugmodus ist deaktiviert. Der Nutzer darf den Flugmodus nicht aktivieren.
    Tethering-Einstellungen notempty
    Aktualisiert
    		 Nicht spezifiziert Mit dieser Richtlinie wird festgelegt, inwieweit der Nutzer verschiedene Formen des Tetherings (z. B. WLAN-Tethering oder Bluetooth-Tethering) verwenden darf.

    Dies hilft, die Verwendung von mobilen Daten durch andere Geräte zu kontrollieren und zu beschränken.

    Nicht spezifiziert Entspricht der Einstellung Alles erlauben
    • Wurde dieser Wert noch nicht aktiv gesetzt wird der Wert aus der veralteten Einstellung tetheringConfigDisabled in das neue Feld TetheringSettings übernommen.
    • Dessen Default Wert war false.
      Achtung: Doppelte Verneinung: »Deaktivierung der Einstellung = falsch« bedeutet: Einstellung erlaubt.
    • Das neue Feld zeigt Nicht spezifiziert an, wenn der Wert im ursprünglichen Feld nie gesetzt wurde (also noch im Default Zustand ist).
    • Wurde der ursprüngliche Wert auf tetheringConfigDisabled == true gesetzt, erhält neue Feld TetheringSettings den Weret 'DISALLOW_ALL_TETHERING
    Alles erlauben Alle Formen des Thethering sind erlaubt
    WLAN Thethering verbieten Alle Formen des Thethering, ausgenommen WLAN-Tethering, sind erlaubt
    Tethering verbieten Alle Formen des Thethering sind verboten
    Deaktivieren des Netzwerk Escape Hatch    Bei Aktivierung    ist der Netzwerk Escape Hatch deaktiviert.
    Wenn beim Booten keine Netzwerkverbindung hergestellt werden kann, fordert der Escape Hatch den Benutzer auf, vorübergehend eine Verbindung zu einem Netzwerk herzustellen, um die Geräterichtlinie zu aktualisieren. Nach dem Anwenden der Richtlinie wird das temporäre Netzwerk vergessen und das Gerät fährt mit dem Booten fort. Auf diese Weise wird verhindert, dass keine Verbindung zu einem Netzwerk hergestellt werden kann, wenn in der letzten Richtlinie kein geeignetes Netzwerk vorhanden ist und das Gerät im Task-Sperrmodus eine App startet oder der Benutzer ansonsten die Geräteeinstellungen nicht erreichen kann.
    Geräteschutz
    Konten zum Entsperren nach Zurücksetzen auf Werkseinstellung E-Mail-Adresse auswählen Factory Reset Protection (FRP): Diese Sicherheitsfunktion schützt das Gerät vor unbefugter Nutzung nach einem Zurücksetzen auf die Werkseinstellungen.

    Wenn das Gerät zurückgesetzt wurde, muss sich einer der angegebenen Administratoren mit der E-Mail-Adresse und dem Passwort des verknüpften Google-Kontos anmelden, um das Gerät zu entsperren. Ohne die Angabe von Administratoren bietet das Gerät keinen Schutz nach einem Werkseinstellungs-Reset.

    		MS 2.4 Android Profile Einschraenkungen Geraeteschutz.png
    Deaktivieren von Bereitstellung physischer Medien    Diese Option bestimmt, ob der Benutzer das Bereitstellen von physischen externen Medien wie USB-Sticks oder SD-Karten deaktivieren kann.

    Bei Aktivierung    können keine physischen Medien verwendet werden, was die Datensicherheit erhöht.

    USB-Datenzugriff notempty
    Neu ab:1.24
    		 Nicht spezifiziert Diese Einstellung kontrolliert, welche Dateien und Daten über USB übertragen werden können, ohne die Ladefunktionen des Geräts zu beeinträchtigen.

    Diese Funktion ist nur auf unternehmenseigenen Geräten verfügbar und hilft, den unbefugten Datenzugriff zu verhindern.

    Nicht spezifiziert Nicht angegeben Die Standardeinstellung ist "Dateiübertragung verbieten"
    Alles erlauben Alle Arten der USB-Datenübertragung sind zulässig
    Dateiübertragung verbieten Die Übertragung von Dateien über USB ist nicht zulässig. Andere USB-Datenverbindungen, z. B. Maus und Tastatur, sind zulässig
    Alle Dateiübertragungen verbieten Wenn die Richtlinie konfiguriert ist, sind alle Arten der USB-Datenübertragung unzulässig. Wird für Geräte mit Android 12 oder höher und USB HAL 1.3 oder höher unterstützt.
    Tastensperre deaktivieren    Bei Aktivierung    ist die Tastensperre des Geräts deaktiviert.

    Eine deaktivierte Tastensperre kann die Sicherheit des Geräts beeinträchtigen, da es ohne eine Form der Authentifizierung entsperrt werden kann.

    Deaktivieren der Keyguard-Funktionen Funktionen auswählen Hiermit können bestimmte Keyguard-Anpassungen, wie Widgets und andere auf dem Sperrbildschirm angezeigte Informationen, deaktiviert werden.

    Dies kann die Sicherheit des Geräts erhöhen, indem potenziell sensible Informationen vom Sperrbildschirm entfernt werden.

    Aktiviere Auswahl privater Schlüssel    Bei Aktivierung    ist es den Benutzern erlaubt, auf einem Gerät die Benutzeroberfläche anzuzeigen, um einen privaten Schlüsselalias auszuwählen, wenn keine übereinstimmenden Regeln in den "Regeln für private Schlüssel" vorhanden sind.

    Bei Geräten unter Android P besteht das Risiko, dass Unternehmensschlüssel durch diese Funktion angegriffen werden könnten.

    Regeln für private Schlüssel  Regel hinzufügen
    • Diese Regeln legen fest, wie ein privater Schlüssel und ein Zertifikat automatisch ausgewählt werden, um das Gerät bei einem Server zu authentifizieren
    • Die Regeln sind nach Priorität geordnet
    • Wenn eine ausgehende Anforderung mehr als einer Regel entspricht, bestimmt die zuletzt definierte Regel, welcher private Schlüssel verwendet werden soll
    • Diese Priorisierung sorgt für eine sichere und konsistente Authentifizierung
    URL-Muster URL-Muster Das URL-Muster, das mit der URL der ausgehenden Anforderung abgeglichen werden soll. Das Muster kann Platzhalter mit Sternchen (*) enthalten. Jede URL stimmt überein, wenn sie nicht angegeben ist.
    Paketnamen Paketnamen hinzufügen Die Paketnamen, für die ausgehende Anforderungen dieser Regel unterliegen. Wenn keine Paketnamen angegeben sind, gilt die Regel für alle Pakete. Für jeden aufgelisteten Paketnamen gilt die Regel für dieses Paket und alle anderen Pakete, die dieselbe Android-UID verwendet haben. Der SHA256-Hash der Signaturschlüsselsignaturen jedes Paketnamens wird mit den von Play bereitgestellten verglichen
    Alias für privaten Schlüssel Alias Der Alias des zu verwendenden privaten Schlüssels.
    Sicherheitsrichtlinien
    Richtlinie für nicht vertrauenswürdige Apps Nicht spezifiziert Diese Einstellung legt fest, ob Benutzer die Installation von Apps aus unbekannten Quellen zulassen können.

    Das Verbot solcher Apps schützt das Gerät vor potenziell schädlicher Software, die nicht aus dem offiziellen App Store stammt.

    		MS 2.4 Android Profile Einschraenkungen Sicherheitsrichtlinien.png
    Nicht spezifiziert Nicht spezifiziert. Standardmäßig nicht erlaubt.
    Nur in persönlichen Profilen zulassen For devices with work profiles, allow untrusted app installs in the device's personal profile only.
    Nicht erlauben Standard. Nicht vertrauenswürdige App-Installationen auf dem gesamten Gerät verbieten.
    Erlauben Nicht vertrauenswürdige App-Installationen auf dem gesamten Gerät zulassen.
    App-Überprüfung durch 'Google Play Protect' erzwingen Nicht spezifiziert Diese Option sorgt dafür, dass alle auf dem Gerät installierten Apps regelmäßig durch "Google Play Protect" gescannt und überprüft werden.

    "Google Play Protect" hilft dabei, schädliche Apps zu erkennen und zu entfernen, wodurch die Sicherheit und Integrität des Geräts gewährleistet wird.

    Nicht spezifiziert Unspecified. Defaults to enforced.
    Erzwungen Standard. App-Überprüfung erzwingen.
    Wahl des Benutzers Erlaubt dem Benutzer zu wählen, ob die App-Überprüfung aktiviert werden soll.
    Entwicklereinstellungen Nicht spezifiziert
    • Steuert den Zugriff auf Entwicklereinstellungen: Entwickleroptionen und sicherer Start
    • Diese Einstellung kontrolliert, ob Benutzer auf die Entwicklereinstellungen des Geräts zugreifen können
    • Dazu gehören Optionen wie USB-Debugging und andere Entwickleroptionen, die normalerweise für die App-Entwicklung verwendet werden
    • Durch die Deaktivierung dieser Einstellungen wird verhindert, dass Benutzer Änderungen vornehmen, die die Sicherheit oder Leistung des Geräts beeinträchtigen könnten
    Nicht spezifiziert Nicht spezifiziert. Standardmäßig deaktiviert.
    Deaktiviert Standard. Deaktiviert alle Entwicklereinstellungen und verhindert, dass der Benutzer darauf zugreift.
    Erlaubt Erlaubt alle Entwicklereinstellungen. Der Benutzer kann auf die Einstellungen zugreifen und diese optional konfigurieren.
    Common Criteria Modus Nicht spezifiziert Kontrolliert den Common Criteria Modus: Diese Einstellung aktiviert Sicherheitsstandards, die in den Common Criteria for Information Technology Security Evaluation (CC) definiert sind. Das Aktivieren dieses Modus erhöht bestimmte Sicherheitskomponenten auf dem Gerät, wie z.B. die AES-GCM-Verschlüsselung von Bluetooth-Langzeitschlüsseln und die Wi-Fi-Konfiguration.notempty
    Der Common Criteria Modus erzwingt ein strenges Sicherheitsmodell, das normalerweise nur für IT-Produkte erforderlich ist, die in nationalen Sicherheitssystemen und anderen hochsensiblen Organisationen verwendet werden. Dies kann die Nutzung von Standardgeräten beeinträchtigen oder sogar alle Daten löschen und sollte nur bei Bedarf aktiviert werden.
    Nicht spezifiziert Nicht spezifiziert. Standardmäßig deaktiviert.
    Deaktiviert Standard. Deaktiviert den Common Criteria-Modus.
    Aktiviert Aktiviert den Common Criteria-Modus.
    Updates
    Systemaktualisierung    Bei Aktivierung    wird die Konfiguration der Systemaktualisierungen aktiviert.

    Diese Option ermöglicht es Administratoren, zu steuern, wann und wie Systemupdates auf dem Gerät installiert werden, um sicherzustellen, dass das Gerät immer auf dem neuesten Stand und sicher bleibt.

    		MS 2.4 Android Profile Einschraenkungen Updates.png
    Aktualisierungsart Nicht spezifiziert Die Art der zu konfigurierenden Systemaktualisierung.
    Nicht spezifiziert Befolgen Sie das Standard-Update-Verhalten für das Gerät, für das der Benutzer normalerweise System-Updates akzeptieren muss.
    Automatisch Automatisch installieren, sobald ein Update verfügbar ist.
    Im Fenster Automatische Installation innerhalb eines täglichen Wartungsfensters. Dadurch wird auch konfiguriert, dass Play-Apps innerhalb des Fensters aktualisiert werden. Dies wird für Kioskgeräte dringend empfohlen, da nur so Apps, die dauerhaft im Vordergrund bleiben, von Play aktualisiert werden können.
    Verschieben Verschieben Sie die automatische Installation auf maximal 30 Tage.
    Einfrierperioden  Periode hinzufügen
    • Ein sich jährlich wiederholender Zeitraum, in dem OTA-Systemaktualisierungen (Over-the-Air) verschoben werden, um die auf einem Gerät ausgeführte Betriebssystemversion einzufrieren
    • Um ein unbegrenztes Einfrieren des Geräts zu verhindern, muss jede Einfrierperiode mindestens 60 Tage voneinander entfernt sein
    • Diese Einstellung ist besonders nützlich, um in bestimmten Geschäftszeiten oder während wichtiger Projekte Systemänderungen zu vermeiden, die die Stabilität oder Kompatibilität beeinflussen könnten
    Start     Beginn der Periode
    Ende     Ende der Periode
    Eingabemethoden
    Zulässige Eingabemethoden Paketnamen hinzufügen
    • Falls vorhanden, sind nur die Eingabemethoden zulässig, die von Paketen in dieser Liste bereitgestellt werden
    • Wenn dieses Feld vorhanden ist, die Liste jedoch leer ist, sind nur Systemeingabemethoden zulässig
    • Diese Option beschränkt die Verwendung von Tastaturen und anderen Eingabemethoden auf eine vorgegebene Liste, um die Sicherheit und Kontrolle über die Datenverarbeitung und -eingabe zu erhöhen
    		 MS 2.4 Android Profile Einschraenkungen Eingabemethoden.png
    Zugelassene Eingabehilfedienste Paketnamen hinzufügen
    • Gibt die zulässigen Eingabehilfedienste an. Wenn das Feld nicht gesetzt ist, kann jeder Eingabehilfedienst verwendet werden
    • Wenn das Feld festgelegt ist, können nur die in dieser Liste enthaltenen Eingabehilfedienste und die im System integrierten Eingabehilfedienste verwendet werden
    • Insbesondere wenn das Feld leer ist, können nur die integrierten Eingabehilfedienste des Systems verwendet werden
    • Diese Einstellung hilft dabei, die Nutzung von Eingabehilfediensten zu steuern und zu überwachen, um die Sicherheit und Integrität des Systems zu gewährleisten und gleichzeitig die Barrierefreiheit für Benutzer zu unterstützen
    Systemeinstellungen
    Deaktivieren Sie das Ändern von Konten    Bei Aktivierung    ist das Hinzufügen oder Entfernen von Konten deaktiviert. Dies verhindert, dass Benutzer persönliche oder berufliche Konten hinzufügen oder entfernen, was zur Sicherung der Datenintegrität beiträgt.notempty
    Wird dieser Punkt nicht aktiviert, kann der Benutzer ein weiteres Google-Konto erstellen, sich damit im Playstore anmelden und beliebige Software installieren.
         		MS 2.4 Android Profile Einschraenkungen Systemeinstellungen.png
    Kontotypen mit deaktivierter Verwaltung     Kontotypen, die vom Benutzer nicht verwaltet werden können.

    Hierdurch kann das Hinzufügen verschiedener Konten von definierten Anbietern unterbunden werden um einen ungewollten Datenabfluss zu verhindern.

    Deaktivieren Sie das Hinzufügen von Benutzern    Bei Aktivierung    ist das Hinzufügen neuer Benutzer und Profile deaktiviert.

    Dies kann nützlich sein, um sicherzustellen, dass keine zusätzlichen Benutzer oder Gastprofile auf dem Gerät erstellt werden.

    Deaktivieren Sie das Entfernen von Benutzern    Bei Aktivierung    ist das Entfernen anderer Benutzer deaktiviert.

    Dies verhindert, dass bestehende Benutzer oder Gastprofile, insbesondere administrative oder geschäftskritische, entfernt werden.

    Benutzersymbol deaktivieren    Bei Aktivierung    ist das Ändern des Benutzersymbols deaktiviert.

    Dies sorgt für eine einheitliche Darstellung der Benutzerprofile und kann dazu beitragen, Verwechslungen zu vermeiden.

    Deaktivieren Sie den Werksreset    Bei Aktivierung    ist das Zurücksetzen auf Werkseinstellungen deaktiviert.

    Dies schützt vor Datenverlust und verhindert, dass das Gerät ohne Administratorberechtigung auf die Werkseinstellungen zurückgesetzt wird.

    Deaktivieren Sie die Konfiguration der Anmeldeinformationen    Bei Aktivierung    ist die Konfiguration von Benutzeranmeldeinformationen deaktiviert.notempty
    Wenn deaktiviert, können keine Zertifikate mehr installiert werden. Sollen die Sicherheitseinstellungen verwendet werden, empfehlen wir die Konfiguration der Anmeldeinformationen erst zu deaktivieren, nachdem die Sicherheitseinstellungen auf allen Geräten umgesetzt wurden. Dies sichert die Geräte vor unbefugtem Zugriff durch falsche Zertifikate.
    Deaktivieren Sie die Hintergrundeinstellungen    Bei Aktivierung    ist das Ändern des Hintergrundbilds deaktiviert.

    Dies kann dazu beitragen, eine einheitliches Erscheinungsbild für alle Geräte in einem Unternehmen aufrechtzuerhalten.

    Deaktivieren des Erstellens von Fenstern    Bei Aktivierung    ist das Erstellen von Fenstern neben App-Fenstern deaktiviert.

    Dies kann dazu beitragen, die Benutzeroberfläche zu vereinfachen und sicherzustellen, dass keine zusätzlichen Fenster die Benutzererfahrung stören.

    Ortungsmodus Nicht spezifiziert Bestimmt den Grad der Standorterkennung.

    Der Benutzer kann den Wert ändern, es sei denn, der Benutzer kann nicht auf Geräteeinstellungen zugreifen. Dies ermöglicht es, zwischen verschiedenen Ortungsmodi zu wechseln.

    Nicht spezifiziert Der aktuelle Gerätewert wird nicht geändert. Der Benutzer kann den Wert ändern, es sei denn, der Benutzer kann nicht auf Geräteeinstellungen zugreifen.
    Wahl des Benutzers Die Standorteinstellung ist auf dem Gerät nicht eingeschränkt. Es wird kein bestimmtes Verhalten festgelegt oder erzwungen.
    Erzwungen Aktiviert die Standorteinstellung auf dem Gerät
    Deaktiviert Deaktiviert die Standorteinstellung auf dem Gerät
    Deaktivieren der Standortfreigabe    Bei Aktivierung    ist die Standortfreigabe deaktiviert.

    Dies schützt die Privatsphäre der Benutzer und verhindert die unbefugte Weitergabe von Standortdaten.

    Hinweise zum ersten Benutzer überspringen    Bei Aktivierung    werden Teile des Ersteinrichtungsassistenten übersprungen.

    Der Unternehmensadministrator kann die Systemempfehlung für Apps deaktivieren, um das Benutzer-Tutorial und andere einführende Hinweise beim ersten Start zu überspringen. Dies erleichtert eine schnellere Inbetriebnahme der Geräte.

    Kioskmodus & Kioskstarter
    Kioskstarter MS 2.4 Android Profile Einschraenkungen Kioskmodus&Kioskstarter.png
    Aktivieren Sie den benutzerdefinierten Kiosk-Starter    Bei Aktivierung    ist der benutzerdefinierte Kiosk-Starter aktiviert.
    Dadurch wird der Home-Bildschirm durch einen Starter ersetzt, der das Gerät für die Anwendungseinstellung installierten Apps sperrt. Die Apps werden auf einer einzelnen Seite in alphabetischer Reihenfolge angezeigt. Es wird empfohlen, die Statusleiste zu deaktivieren, um den Zugriff auf Geräteeinstellungen zu blockieren. Diese Einstellung ermöglicht es, das Gerät auf eine spezifische Anwendung oder einen bestimmten Satz von Anwendungen zu beschränken, was besonders nützlich für öffentliche Terminals oder Einzelzweckgeräte ist.
    Kioskmodus
    Power-Button-Aktionen Nicht spezifiziert Legt das Verhalten eines Geräts im Kioskmodus fest, wenn ein Benutzer die Ein- / Aus-Taste drückt und gedrückt hält.

    Dies kann genutzt um sicherzustellen, dass Benutzer den Kioskmodus nicht durch Neustarten oder Ausschalten des Geräts umgehen können.

    Nicht spezifiziert Nicht angegeben, standardmäßig verfügbar.
    Verfügbar Das Ein- / Ausschaltmenü (z. B. Ausschalten, Neustart) wird angezeigt, wenn ein Benutzer im Kioskmodus die Ein- / Aus-Taste eines Geräts lange drückt.
    Blockiert Das Ein / Aus-Menü (z. B. Ausschalten, Neustart) wird nicht angezeigt, wenn ein Benutzer im Kioskmodus lange auf die Ein- / Aus-Taste eines Geräts drückt. Hinweis: Dies kann Benutzer daran hindern, das Gerät auszuschalten.
    Systemfehlerwarnungen Nicht spezifiziert Gibt an, ob Systemfehlerdialoge für abgestürzte oder nicht reagierende Apps im Kioskmodus blockiert werden.

    Diese Einstellung verhindert, dass Benutzer Systemfehlerwarnungen sehen, und stellt sicher, dass das Gerät auch bei Fehlern im vorgesehenen Modus bleibt.

    Nicht spezifiziert Nicht angegeben, standardmäßig stummgeschaltet.
    Aktiviert Alle Systemfehlerdialoge wie Absturz und App reagiert nicht (ANR) werden angezeigt.
    Stumm Alle Systemfehlerdialoge wie Absturz und nicht reagierende App (ANR) werden blockiert. Wenn es blockiert ist, stoppt das System die App zwangsweise, als ob der Benutzer die App über die Benutzeroberfläche schließt.
    Systemnavigation Nicht spezifiziert Gibt an, welche Navigationsfunktionen im Kioskmodus aktiviert sind (z. B. Home, Übersichtstasten).

    Diese Option steuert, ob Benutzer auf die Systemnavigationstasten zugreifen können, um sicherzustellen, dass sie nicht aus dem Kioskmodus heraus navigieren oder auf andere Apps zugreifen können.

    Nicht spezifiziert Nicht angegeben, standardmäßig deaktiviert.
    Aktiviert Home- und Übersichtsschaltflächen sind aktiviert.
    Deaktiviert Auf die Schaltflächen Home und Übersicht kann nicht zugegriffen werden.
    Nur Home-Taste Nur die Home-Taste ist aktiviert.
    Statusleiste Nicht spezifiziert Gibt an, ob Systeminformationen und Benachrichtigungen im Kioskmodus deaktiviert sind.

    Diese Einstellung verbirgt die Statusleiste, um zu verhindern, dass Benutzer auf Systeminformationen und Benachrichtigungen zugreifen, die sie aus dem Kioskmodus herausführen oder ablenken könnten.

    Nicht spezifiziert Nicht angegeben, standardmäßig Benachrichtigungen und Systeminformationen deaktiviert.
    Benachrichtigungen und Systeminformationen aktiviert Systeminformationen und Benachrichtigungen werden im Kioskmodus in der Statusleiste angezeigt
    Benachrichtigungen und Systeminformationen deaktiviert Systeminformationen und Benachrichtigungen sind im Kioskmodus deaktiviert.
    Nur Systeminformationen In der Statusleiste werden nur Systeminformationen angezeigt.
    Geräteeinstellungen Nicht spezifiziert Diese Option ermöglicht oder verhindert den Zugriff auf die Geräteeinstellungen, um sicherzustellen, dass Benutzer die Geräteeinstellungen des Geräts nicht ändern können.
    Nicht spezifiziert Nicht angegeben, standardmäßig zulässig.
    Erlaubt Der Zugriff auf die Einstellungen-App ist im Kioskmodus zulässig.
    Blockiert Der Zugriff auf die Einstellungen-App ist im Kioskmodus nicht zulässig.
    Verschiedenes
    Automatisches Datums & Zeitzone Nicht spezifiziert Gibt an, ob auf einem firmeneigenen Gerät automatisches Datum, Uhrzeit und Zeitzone aktiviert sind.

    Diese Einstellung sorgt dafür, dass das Gerät automatisch die richtige Zeit und Zeitzone basierend auf dem Standort einstellt, um sicherzustellen, dass alle Zeitanzeigen korrekt und synchronisiert sind, insbesondere bei Reisen oder Standortwechseln.

    		MS 2.4 Android Profile Einschraenkungen Verschiedenes.png
    Nicht spezifiziert Dieser Wert wird ignoriert. Standardmäßig wird die Wahl des Benutzers verwendet.
    Wahl des Benutzers Das automatische Datum, die Uhrzeit und die Zeitzone bleiben der Wahl des Benutzers überlassen.
    Automatisch erzwingen Erzwingen Sie das automatische Datum, die Uhrzeit und die Zeitzone auf dem Gerät.
    Deaktivieren der Bildschirmaufnahme    Bei Aktivierung    ist die Screenshot-Funktion deaktiviert.

    Diese Einstellung verhindert, dass Benutzer den Bildschirm des Geräts aufnehmen, um sensible Informationen vor unbefugter Aufzeichnung und Verbreitung zu schützen. Sie ist besonders wichtig für die Einhaltung von Datenschutz- und Sicherheitsrichtlinien.

    Kamera deaktivieren    Bei Aktivierung    ist die Kamera deaktiviert.

    Diese Einstellung ermöglicht es, die Kamera des Geräts vollständig zu deaktivieren, um die Privatsphäre und Sicherheit zu erhöhen, insbesondere in sensiblen Umgebungen, in denen keine Bild- oder Videoaufnahmen gestattet sind.

    Deaktivieren der Einstellung der Lautstärke    Bei Aktivierung    ist das Anpassen der Hauptlautstärke deaktiviert.

    Diese Option schränkt Benutzer darin ein, die Hauptlautstärke des Geräts zu ändern, um eine einheitliche Lautstärkeeinstellung zu gewährleisten. Dies kann in bestimmten Umgebungen wie Schulen oder Konferenzräumen nützlich sein, um Störungen zu minimieren.

    Mikrofon einschalten verhindern    Bei Aktivierung    ist das Mikrofon stummgeschaltet und die Mikrofonlautstärke kann nicht eingestellt werden.

    Diese Einstellung sorgt dafür, dass das Mikrofon des Geräts stumm bleibt, um unbefugtes Mithören oder Aufzeichnen von Gesprächen und Umgebungsgeräuschen zu verhindern, was besonders in sicherheitskritischen Bereichen wichtig ist.

    Eastereggs deaktivieren    Bei Aktivierung    ist das Easteregg-Spiel in den Einstellungen deaktiviert.

    Diese Option sperrt versteckte Spiele oder Gimmicks, die als "Eastereggs" in Betriebssystemen eingebaut sind.




































































































































































































    Persönlicher Gebrauch

    Persönlicher Gebrauch
    Beschriftung Wert Beschreibung MS 2.5 Android Profile Persoenlicher Gebrauch.png
    Persönlicher Gebrauch
    Persönliche Apps, die Arbeitsbenachrichtigungen lesen können Paketnamen hinzufügen
    • Persönliche Apps, die Benachrichtigungen zu Arbeitsprofilen mit einem NotificationListenerService lesen können
    • Standardmäßig können keine persönlichen Apps (außer System-Apps) Arbeitsbenachrichtigungen lesen
    • Jeder Wert in der Liste muss ein Paketname sein
    Persönlichen Gebrauch aktivieren    Erst durch die Aktivierung    lässt sich der persönliche Gebrauch des Android-Gerätes konfigurieren
    Persönlicher Play Store-Modus Nicht spezifiziert Wird zusammen mit "Persönliche Anwendungen" verwendet, um zu steuern, wie Apps im persönlichen Profil zugelassen oder blockiert werden.
    Nicht spezifiziert Nicht spezifiziert. Standardmäßig Blockliste.
    Allowlist Im persönlichen Profil dürfen nur Apps installiert werden, die explizit in "Persönliche Anwendungen" angegeben sind und deren "Installationstyp" auf "Verfügbar" eingestellt ist.
    Blockliste Alle Play Store-Apps können im persönlichen Profil installiert werden, mit Ausnahme derjenigen, deren Installationstyp unter "Persönliche Anwendungen" "Blockiert" ist.
    Persönliche Anwendungen  Anwendungen hinzufügen Richtlinien für Apps im persönlichen Profil eines unternehmenseigenen Geräts mit einem Arbeitsprofil.
    Jeder Klick auf die Schaltfläche fügt einen Abschnitt Anwendung hinzu, indem eine App angepasst wird.
    Paketname com.google.android.youtube Anwendung auswählen Der Paketname der App. Zum Beispiel com.google.android.youtube für die YouTube-App.
    Per Klick auf die Schaltfläche  Anwendung auswählen öffnet sich der Google-Play Store, um die App auszuwählen.
    Installationstyp
    Wird erst eingeblendet, wenn eine App in Paketname ausgewählt wurde.    		 Nicht spezifiziert Die Art wie die Installation durchgeführt wird.
    Nicht spezifiziert Nicht definiert. Gleichzusetzen mit Verfügbar.
    Blockieren Die App wird blockiert und kann nicht installiert werden. Wenn die App über ein altes Profil installiert wurde, wird diese deinstalliert.
    Verfügbar Die App steht zur Installation bereit.
    Max. Tage ohne Arbeitsprofil 0 Steuert, wie lange das Arbeitsprofil ausgeschaltet bleiben kann.
    Kontotypen mit deaktivierter Verwaltung     Kontotypen, die vom Benutzer nicht verwaltet werden können
    Deaktivieren Sie die Bildschirmaufnahme    Bei Aktivierung    ist die Screenshotfunktion deaktiviert.

    Diese Einstellung verhindert, dass Benutzer den Bildschirm des Geräts aufnehmen, um sensible Informationen vor unbefugter Aufzeichnung und Verbreitung zu schützen. Sie ist besonders wichtig für die Einhaltung von Datenschutz- und Sicherheitsrichtlinien.

    Kamera deaktivieren    Bei Aktivierung    ist die Kamera des Geräts vollständig deaktivieren.

    Dies erhöht die Privatsphäre und die Sicherheit, insbesondere in sensiblen Umgebungen, in denen keine Bild- oder Videoaufnahmen gestattet sind.

    Profilübergreifende Richtlinien
    Aktivieren    Bei Aktivierung    werden auf dem Gerät profilübergreifende Richtlinien angewendet
    Arbeitskontakte im persönlichen Profil anzeigen Erlaubt
    • Legt fest, ob Kontakte, die im Arbeitsprofil gespeichert sind, in der Kontaktsuche im persönlichen Profil und bei eingehenden Anrufen angezeigt werden können
    • Diese Einstellung ermöglicht die Anzeige von Arbeitskontakten im persönlichen Profil, um die Erreichbarkeit und Kommunikation zu verbessern, während gleichzeitig die Sicherheit und Privatsphäre gewahrt bleiben
    Nicht spezifiziert Nicht angegeben. Standardmäßig zulässig.
    Nicht erlaubt Verhindert, dass Kontakte aus dem Arbeitsprofil bei der Suche nach persönlichen Profilkontakten und eingehenden Anrufen angezeigt werden.
    Erlaubt Standard. Erlaubt das Erscheinen von Arbeitsprofilkontakten bei der Suche nach persönlichen Profilkontakten und eingehenden Anrufen.
    Profilübergreifendes Kopieren & Einfügen Nicht erlaubt
    • Konfiguriert, ob Text, der aus einem Profil (persönlich oder geschäftlich) kopiert wurde, in das andere Profil eingefügt werden kann
    • Diese Funktion kontrolliert, ob Benutzer Inhalte zwischen ihren persönlichen und geschäftlichen Profilen austauschen können, um potenzielle Sicherheitsrisiken durch unkontrollierte Datenübertragungen zu minimieren
    Nicht spezifiziert Nicht angegeben. Standardmäßig nicht zulässig.
    Nicht erlaubt Standard. Verhindert, dass Benutzer aus dem Arbeitsprofil kopierten Text in das persönliche Profil einfügen. Aus dem persönlichen Profil kopierter Text kann in das Arbeitsprofil eingefügt werden und aus dem Arbeitsprofil kopierter Text kann in das Arbeitsprofil eingefügt werden.
    Erlaubt Text, der in einem der Profile kopiert wurde, kann in das andere Profil eingefügt werden.
    Profilübergreifende Datenfreigabe Von der Arbeit zum persönlichen Profil verweigern
    • Legt fest, ob Daten aus einem Profil (persönlich oder geschäftlich) mit Apps im anderen Profil geteilt werden können
    • Steuert gezielt den einfachen Datenaustausch über Intents. Die Verwaltung anderer profilübergreifender Kommunikationskanäle (wie Kontaktsuche, Kopieren/Einfügen oder verbundene Arbeits- & persönliche Apps) wird separat konfiguriert
    • Diese Einstellung ermöglicht die Kontrolle über die Freigabe von Daten zwischen den Profilen, um sicherzustellen, dass sensible Informationen nicht unautorisiert übertragen werden
    Nicht spezifiziert Nicht angegeben. Standardmäßig nicht zulässig.
    Nicht erlaubt Verhindert, dass Daten sowohl vom persönlichen Profil an das Arbeitsprofil als auch vom Arbeitsprofil an das persönliche Profil weitergegeben werden.
    Von der Arbeit zum persönlichen Profil verweigern Standard. Verhindert, dass Benutzer Daten aus dem Arbeitsprofil für Apps im persönlichen Profil freigeben. Persönliche Daten können mit Arbeits-Apps geteilt werden.
    Erlaubt Daten von einem der Profile können mit dem anderen Profil geteilt werden.












































































    Passcode

    Passcode
    Beschriftung Wert Beschreibung MS v2.4 Android Profile Passcode.png
    Passwortrichtlinien
    Passwortrichtlinien  Richtlinie hinzufügen Es können verschiedene Passwortrichtlinien für Arbeitsprofile und vollständig verwaltete Geräte verwendet werden.
    Geltungsbereich Der Bereich, für den die Passwortanforderung gilt. Diese Einstellung definiert, ob die Passwortanforderungen für das gesamte Gerät oder nur für spezifische Profile (z.B. Arbeitsprofil) gelten. Dies hilft, die Sicherheitsrichtlinien differenziert anzuwenden, je nach den Bedürfnissen der Organisation oder des Nutzers.
    Gerät Die Richtlinie gilt nur für vollständig verwaltete Geräte
    Work Profile Die Richtlinie gilt nur für Arbeitsprofile
    Beide Die Richtlinie gilt sowohl für vollständig verwaltet Geräte, als auch für Geräte mit Arbeitsprofil
    Passcode-Qualität Komplex Die erforderliche Passcode-Qualität. Diese Option legt die Komplexität des erforderlichen Passworts fest, wie z.B. einfache PIN, alphanumerische Passwörter oder komplexe Passwörter mit speziellen Zeichen. Sie stellt sicher, dass die gewählte Passcode-Qualität den Sicherheitsanforderungen des Unternehmens entspricht.
    Alphabetisch Das Passwort darf nur aus alphabetischen Zeichen (oder Symbolen) bestehen.
    Alphanumerisch Das Passwort muss sowohl aus Ziffern als auch aus alphabetischen Zeichen (oder Symbolen) bestehen.
    Biometrisch Das Gerät muss mindestens mit einer biometrischen Niedersicherheits-Erkennungstechnologie gesichert sein. Dazu gehören Technologien, die die Identität einer Person erkennen können, die in etwa einer dreistelligen PIN entsprechen (Falscherkennung ist weniger als 1 zu 1.000).
    Einfach Ein Passwort ist erforderlich, aber es gibt keine Einschränkungen, was das Passwort enthalten muss.
    Komplex Das Passwort muss mindestens einen Buchstaben, eine Ziffer und ein spezielles Symbol enthalten. Andere Passwortbeschränkungen, wie z.B. passwordMinimumLetters, werden erzwungen.
    Nicht spezifiziert Es gibt keine Passwortanforderungen.
    Numerisch Das Passwort darf nur aus Ziffern bestehen.
    Numerisch (Komplex) Das Passwort darf nur aus Ziffern bestehen, die keine sich wiederholenden (4444) oder geordneten (1234, 4321, 2468) Sequenzen enthalten.
    Gültigkeit 0 Die Dauer in Tagen bis das Passwort geändert werden muss. Diese Einstellung zwingt den Benutzer, das Passwort regelmäßig zu ändern, um die Sicherheit zu erhöhen und das Risiko zu verringern, dass ein kompromittiertes Passwort über einen längeren Zeitraum verwendet wird.
    Mindestlänge 0 Ein Wert von 0 bedeutet, dass es keine Einschränkung gibt.
    Nur angewendet, wenn Passcode-Qualität Numerisch, Numerisch (Komplex), Alphabetisch, Alphanumerisch oder Komplex ist.
    Mindestanzahl an Buchstaben 0 Mindestanzahl der Buchstaben im Passwort
    Wird nur erzwungen, wenn die Passwort-Qualität Komplex ist.
    Mindestanzahl an Kleinbuchstaben 0 Minimale Anzahl an Kleinbuchstaben im Passwort erforderlich
    Wird nur erzwungen, wenn die Passwort-Qualität Komplex ist.
    Mindestanzahl an Großbuchstaben 0 Mindestanzahl an Großbuchstaben im Passwort
    Wird nur erzwungen, wenn die Passwort-Qualität Komplex ist.
    Mindestanzahl an Nichtbuchstaben 0 Minimale Anzahl an Nichtbuchstaben (numerische Ziffern oder Symbole), die im Passwort erforderlich sind.
    Wird nur erzwungen, wenn die Passwort-Qualität Komplex ist.
    Mindestanzahl an numerischen Zeichen 0 Minimale Anzahl an Ziffern im Passwort
    Wird nur erzwungen, wenn die Passwort-Qualität Komplex ist.
    Mindestanzahl an Symbolen 0 Minimale Anzahl an Symbolen im Passwort
    Wird nur erzwungen, wenn die Passwort-Qualität Komplex ist.
    Länge des Passwortverlaufs 0 Die Länge des Kennwortverlaufs. Nach dem Einstellen dieses Felds kann der Benutzer kein neues Kennwort eingeben, das mit dem Kennwort im Verlauf identisch ist. Ein Wert von 0 bedeutet, dass keine Einschränkung vorliegt.
    Maximale Anzahl fehlgeschlagener Versuche 10 Anzahl der zulässigen Eingabeversuche, bevor alle Daten auf dem Gerät gelöscht werden. Ein Wert von 0 bedeutet, dass keine Einschränkung vorliegt. Diese Sicherheitsmaßnahme schützt sensible Daten.
    notempty
    Wird diese Anzahl erreicht, wird das Gerät automatisch auf Werkseinstellungen zurückgesetzt.
    Passwort entsperren erforderlich Die Zeitspanne nach dem Entsperren eines Geräts oder Arbeitsprofils mithilfe einer starken Authentifizierungsform (Kennwort, PIN, Muster), die mit einer anderen Authentifizierungsmethode (z. B. Fingerabdruck, Vertrauensagenten, Gesicht) entsperrt werden kann. Nach Ablauf des angegebenen Zeitraums können nur noch starke Authentifizierungsformen zum Entsperren des Geräts oder des Arbeitsprofils verwendet werden.
    Nicht spezifiziert Nicht spezifiziert. Standardmäßig wird das Geräte-Timeout verwendet.
    Geräte-Timeout Die Zeitüberschreitung ist auf die Standardeinstellung des Geräts eingestellt.
    Täglich Die Zeitüberschreitung beträgt 24 Stunden.





















































































    s






























    Anwendungen|Anwendungen







    Anwendungen

    Anwendungen
    Beschriftung Wert Beschreibung MS v2.4 Android Profile Anwendungen.png
    Anwendungen  Anwendungen hinzufügen Fügt Apps diesem Profil hinzu notempty
    Apps auf EMM-verwalteten Geräten, werden innerhalb der Profile konfiguriert!
    Paketname com.google.android.youtube Anwendung auswählen Paketname der Anwendung
    Installationstyp Vorinstallation Die Art wie die Installation durchgeführt wird.
    Vorinstallation Die App wird automatisch installiert, kann aber vom Benutzer entfernt werden.
    Installation erzwingen Die App wird automatisch installiert und kann nicht vom Benutzer gelöscht werden.
    Blockieren Die App wird blockiert und kann nicht installiert werden. Wenn die App über ein altes Profil installiert wurde, wird diese deinstalliert.
    Verfügbar Die App steht zur Installation bereit.
    Für die Einrichtung erforderlich Die App wird automatisch installiert, kann nicht vom Benutzer gelöscht werden und verhindert die Einrichtung des Geräts, bis die App installiert wurde.
    Kiosk Die App wird automatisch im Kiosk-Modus installiert: Sie wird als bevorzugte Home-Intention festgelegt und für den Lock-Task-Modus auf die weiße Liste gesetzt. Die Geräteeinrichtung wird erst nach der Installation der App abgeschlossen. Nach der Installation können Benutzer ausschließlich diese App verwenden. Sie startet automatisch und lässt sich nicht mehr entfernen. Sie können diesen installType nur für eine Anwendung pro Richtlinie festlegen. Wenn dies in der Richtlinie vorhanden ist, wird die Statusleiste automatisch deaktiviert.
    Standardberechtigungsrichtlinie Nachfragen Die Standardrichtlinie für alle von der App angeforderten Berechtigungen. Wenn angegeben, wird die für alle Apps geltende Standardberechtigungsrichtlinie auf Richtlinienebene außer Kraft gesetzt. Es überschreibt nicht die globale Erlaubnisgewährung, die für alle Apps gilt.
    Nicht spezifiziert Richtlinie nicht angegeben. Wenn für eine Berechtigung auf keiner Ebene eine Richtlinie angegeben ist, wird standardmäßig 'Nachfragen' verwendet.
    Nachfragen Fordert den Benutzer auf, eine Berechtigung zu erteilen.
    Gewähren Berechtigung automatisch erteilen
    Verweigern Berechtigung automatisch verweigern
    Berechtigungen  Berechtigung hinzufügen Erteilt explizite Erlaubnis oder Verweigerung für die App. Diese Werte überschreiben die Standardberechtigungsrichtlinie und die globalen Berechtigungsbeschränkungen, die für alle Apps gelten.
    Berechtigung     Die Android-Berechtigung oder -Gruppe, zum Beispiel android.permission.READ_CALENDAR oder android.permission_group.CALENDAR.
    Nicht spezifiziert Richtlinie nicht angegeben. Wenn für eine Berechtigung auf keiner Ebene eine Richtlinie angegeben ist, wird standardmäßig 'Nachfragen' verwendet.
    Nachfragen Fordern Sie den Benutzer auf, eine Berechtigung zu erteilen.
    Gewähren Berechtigung automatisch erteilen
    Verweigern Berechtigung automatisch verweigern
    Richtlinie Nicht spezifiziert Die Richtlinie zum Erteilen der Berechtigung.
    Hier sind ggf. weitere Berechtigungen zu gewähren oder zu verweigern.
    Zu beachten: Im Feld »Genehmigung« erscheinen jeweils nur die Berechtigungen, die die jeweilige App fordert und in der Regel auch für einen einwandfreien Betrieb benötigt. Es empfiehlt sich hier unbedingt notwendige Berechtigungen vorab zu gewähren und alle weiteren Berechtigungen nur auf Nachfrage (Prompt) zuzulassen. Die Option »verweigern« sollte nur bei ausgewählten Berechtigungen verwendet werden, bei denen eindeutig ist, daß die gewünschte Funktion der App dadurch nicht beeinträchtigt wird.
    Verwaltete Konfiguration  Konfiguration verwalten Verwaltete Konfiguration, die auf die App angewendet wird. Das Format für die Konfiguration richtet sich nach den von der App unterstützten ManagedProperty-Werten. Jeder Feldname in der verwalteten Konfiguration muss mit dem Schlüsselfeld der verwalteten Eigenschaft übereinstimmen. Der Feldwert muss mit dem Typ der ManagedProperty kompatibel sein.
    Verwaltete Konfigurationsvorlage  Konfigurationsvorlage verwalten Dieses Feld wird ignoriert, wenn die verwaltete Konfiguration festgelegt ist.
    Ruft eine Vorlage des App-Herstellers auf, in der - je nach dem was der Hersteller vorgibt - verschiedene Parameter an die App übergeben werden können. Das können z.B. in E-Mail-Apps feste Parameter und Variablen sein:
    Beispiel für Gmail-App:
    Email Address $emailaddress$ Variable
    Hostname or Host m.google.com Fester Parameter
  • Beispiel: Hostname des Mail-Servers für Gmail-Accounts
    • Username $emailaddress$ Variable (bei Gmail-Accounts entspricht der Username der E-Mailadresse.)
    Für andere Accounts /Apps kann hier die Variable $username$ verwendet werden.
    notempty
    Für eine korrekte Funktion muss die Schaltfläche Benutzer-Variablen verwenden (s.u.) aktiviert    werden!































    Die Werte werden aus den Benutzereinstellungen desjenigen Benutzers ausgelesen, dem das jeweilige Gerät zugeordnet ist
    Variablenname in Profilen Beschreibung Beispiel MS 1.25 Allgemein Benutzer Variablen.png
    $username$
    alternative Namen:
    %device_user%
    %device_user_username%
    		Benutzername mmueller
    $emailaddress$
    alternativer Name:
    %device_email%
    		E-Mail Adresse mmueller@ttt-point.de
    $firstname$
    alternativer Name:
    %device_user_firstname%
    		Vorname Markus
    $lastname$
    alternativer Name:
    %device_user_lastname%
    		Nachname Mueller
    $name$
    alternativer Name:
    %device_user_name%
    		Vorname und Nachname Markus Mueller
    $variable1$
    alternativer Name:
    %variable1%
    		benutzerdefinierter Wert mmueller/ttt-point.local
    $variable2$
    alternativer Name:
    %variable2%
    		benutzerdefinierter Wert
    $variable3$
    alternativer Name:
    %variable3%
    		benutzerdefinierter Wert
    $device_name$
    alternativer Name:
    %device_name%
    		Nur für   iOS: Der auf dem Telefon vergebene Name (siehe: Einstellungen → Allgemein → Info → Name)
  • Diese Variable lässt sich auch in iOS-Profilen im Abschnitt Gemeinsam genutztes Gerät verwenden
    		•  Handy von Markus Müller
    $device_alias$
    alternativer Name:
    %device_alias%
    		Nur für   iOS: Der im Portal vergebene Alias.
    Ist der Alias nicht vergeben, wird der device_name angezeigt.
  • Diese Variable lässt sich auch in iOS-Profilen im Abschnitt Gemeinsam genutztes Gerät verwenden
    		•  Tablet Lager1
    Festlegung der Werte in der Benutzerverwaltung im Portal unter:  Allgemein  Benutzer bzw. für den Geräte-Alias in der Gerätekachel
    Um Eingabefehler zu vermeiden sind aus Kompatibilitätsgründen verschiedene Variablennamen möglich.
    Eine Unterscheidung zwischen Android und iOS ist nicht mehr erforderlich.
    Deaktiviert    Ob die App deaktiviert ist. Bei Deaktivierung bleiben die App-Daten weiterhin erhalten.
    Minimaler Versionscode 0 Die Mindestversion der App, die auf dem Gerät ausgeführt wird.
    Wenn festgelegt, versucht das Gerät, die App mindestens auf diesen Versionscode zu aktualisieren. Wenn die App nicht auf dem neuesten Stand ist, enthält das Gerät ein Nicht-Konformitätsdetail mit dem Nicht-Konformitätsgrund APP_NOT_UPDATED. Die App muss bereits mit einem Versionscode größer oder gleich diesem Wert in Google Play veröffentlicht sein. Maximal 20 Apps können einen Mindestversionscode pro Richtlinie festlegen.
    Bereiche delegieren     Die hier ausgewählten Berechtigungen werden vom Device Policy Controller an die App delegiert.
    Nicht spezifiziert Kein Delegierungsbereich angegeben.
    Zertifikatinstallation Gewährt Zugriff auf die Installation und Verwaltung von Zertifikaten.
    Verwaltete Konfigurationen Gewährt Zugriff auf die Verwaltung verwalteter Konfigurationen.
    Deinstallation blockieren Gewährt Zugriff auf das Blockieren der Deinstallation.
    Erlaubnis erteilen Gewährt Zugriff auf die Berechtigungsrichtlinie und den Berechtigungsstatus.
    Paketzugriff Gewährt Zugriff auf den Paketzugriffsstatus.
    System-Apps aktivieren Erteilt den Zugriff zum Aktivieren von System-Apps.
    Zugängliche Track IDs     Liste der Track-IDs der App, auf die ein Gerät des Unternehmens zugreifen kann. Wenn die Liste mehrere Track-IDs enthält, erhalten Geräte die neueste Version unter allen zugänglichen Tracks. Enthält die Liste keine Track-IDs, haben Geräte nur Zugriff auf den Produktionstrack der App.
    Connected Work & Personal App Nicht spezifiziert Steuert, ob die App mit Zustimmung des Benutzers über die Arbeits- und persönlichen Profile eines Geräts mit sich selbst kommunizieren kann.
    Nicht spezifiziert Standardmäßig nicht erlaubt
    Nicht erlaubt Standard. Verhindert eine profilübergreifende Kommunikation der App.
    Erlaubt Ermöglicht der App die profilübergreifende Kommunikation nach Erhalt der Zustimmung des Benutzers.
    Anmeldedatenanbieter notempty
    Neu ab 2.1
    		 Anmeldedatenanbieter-Standardrichtlinie benutzen Diese Funktion steuert, ob eine App auf Android 14 und höher als Anmeldedatenanbieter für die Verwaltung von Anmeldedaten fungieren darf. Sie ist sinnvoll für Apps, die Authentifizierungs- oder Anmeldedaten verwalten, wie z.B. Passwortmanager oder Apps zur Multi-Faktor-Authentifizierung.
    Anmeldedatenanbieter-Standardrichtlinie benutzen Die Anmeldedatenanbieter-Standardrichtlinie ( siehe unten) bestimmt, ob diese App als Standardanmeldedatenanbieter genutzt werden darf.
    Diese App darf als Anmeldedatenanbieter fungieren Diese App kann unabhängig von den globalen App-Einstellungen als Anmeldedatenanbieter genutzt werden.
    Benutzer-Variablen verwenden
    		   (Default) Bei Aktivierung    werden die Benutzer-Variablen in den verwalteten Konfigurationsvorlagen verwendet, um spezifische Einstellungen und Werte für einzelne Benutzer anzupassen. Diese Variablen ermöglichen eine flexible und dynamische Konfiguration von Richtlinien basierend auf den jeweiligen Benutzeranforderungen und -rollen.
  • Es wird für jeden Nutzer ein automatisch generiertes Profil angelegt, es lässt sich aber nur die Profilvorlage bearbeiten.
    Wird die Schaltfläche wieder deaktiviert, werden die generierten Benutzer-Profile zu bearbeitbaren Profilen.
    Weitere Informationen dazu im Wiki-Artikel Generierte Profile.
  • notempty
    Neu ab: 2.5
    Diese Option lässt sich nur aktivieren, wenn bei mindestens einer hinterlegten Anwendung in der Option Verwaltete Konfigurationsvorlage (siehe oben) mindestens eine Benutzer-Variable hinzugefügt wurde.
    • Play Store Modus Zulassungsliste Nur Apps, die hier in der Richtlinie konfiguriert werden, sind verfügbar. Jede App, die nicht in dieser Richtlinie enthalten ist, wird automatisch vom Gerät deinstalliert.
    Blocklist bedeutet: Alle Apps im Play Store sind verfügbar, bis auf solche, die hier mit Installationstyp Blockieren konfiguriert werden!
    Automatische App-Updates Immer Die auf einem Gerät erzwungene Richtlinie zur automatischen Aktualisierung von Apps in Abhängigkeit der Netzwerkverbindung: Auch bei Geräten, die selten oder nie in ein WLAN zurückkehren, sollen die Apps aktualisiert werden. Das Datenvolumen wirkt sich bei üblichen Volumentarifen in der Regel kaum aus.
    Nicht spezifiziert Die Auto-Update-Richtlinie ist nicht festgelegt. Entspricht der Benutzerauswahl.
    Benutzerauswahl Der Benutzer kann die automatischen Updates steuern.
    Niemals Apps werden niemals automatisch aktualisiert
    Nur über WLAN Apps werden nur über WLAN automatisch aktualisiert.
    Immer Apps werden jederzeit automatisch aktualisiert. Datengebühren können anfallen.
    Installation von Apps deaktivieren    notempty
    Bei Aktivierung    sind keinerlei Installationen oder Updates möglich. Auch nicht über das Portal!
    Deinstallation von Apps deaktivieren    Es sollen keine Apps durch den Benutzer deinstalliert werden können.
    Globale Standardberechtigungsrichtlinie Nicht spezifiziert (Eingabeaufforderung) Die Standardberechtigungsrichtlinie für Laufzeitberechtigungsanforderungen.
    Nicht spezifiziert (Eingabeaufforderung) Richtlinie nicht angegeben. Wenn für eine Berechtigung auf keiner Ebene eine Richtlinie angegeben ist, wird standardmäßig 'Nachfragen' verwendet.
    Nachfragen Fordern Sie den Benutzer auf, eine Berechtigung zu erteilen.
    Gewähren Berechtigung automatisch erteilen
    Verweigern Berichtigung automatisch verweigern
    Globale Erlaubnisgewährung  Berechtigung hinzufügen Explizite Erlaubnis oder Gruppengewährung oder -verweigerung für alle Apps. Diese Werte überschreiben die Standardberechtigungsrichtlinie.
    Berechtigung     Die Android-Berechtigung oder -Gruppe, zum Beispiel android.permission.READ_CALENDAR oder android.permission_group.CALENDAR.
    Richtlinie Nicht spezifiziert Die Richtlinie zum Erteilen der Berechtigung.
    Nicht spezifiziert Richtlinie nicht angegeben. Wenn für eine Berechtigung auf keiner Ebene eine Richtlinie angegeben ist, wird standardmäßig 'Nachfragen' verwendet.
    Nachfragen Fordern Sie den Benutzer auf, eine Berechtigung zu erteilen.
    Gewähren Berechtigung automatisch erteilen
    Verweigern Berechtigung automatisch verweigern
    Anmeldedatenanbieter-Standardrichtlinie Nicht spezifiziert (Nur Apps mit Anmeldedatenanbieter-Richtlinie) Diese Funktion steuert, ob eine App auf Android 14 und höher als Anmeldedatenanbieter für die Verwaltung von Anmeldedaten fungieren darf. Sie ist sinnvoll für Apps, die Authentifizierungs- oder Anmeldedaten verwalten, wie z.B. Passwortmanager oder Apps zur Multi-Faktor-Authentifizierung.
    Nicht spezifiziert (Nur Apps mit Anmeldedatenanbieter-Richtlinie) Nicht spezifiziert. Nur Apps, die eine Anmeldedatenanbieter-Richtlinie angegeben haben.
    Nur Apps mit Anmeldedatenanbieter-Richtlinie Nur Apps, die eine Anmeldedatenanbieter-Richtlinie angegeben haben.
    Nur Apps mit Anmeldedatenanbieter-Richtlinie oder OEM-Standardanmeldedatenanbieter Nur Apps, die eine Anmeldedatenanbieter-Richtlinie angegeben haben, oder OEM-Standardanmeldedatenanbieter-Apps.
    Hinweise zur Nutzung von Anmeldedatenanbieter
    Je nach ausgewählten Einstellungen in den Optionen AnwendungenAnmeldedatenanbieter und Anmeldedatenanbieter-Standardrichtlinie entstehen verschiedene Verhaltensweisen:
    • Anmeldedatenanbieter Diese App darf als Anmeldedatenanbieter fungieren : Dann kann der Benutzer des Androidgerätes diese App als Passwort-Manager nutzen
    • Anmeldedatenanbieter Anmeldedatenanbieter-Standardrichtlinie benutzen und Anmeldedatenanbieter-Standardrichtlinie Nicht spezifiziert (Nur Apps mit Anmeldedatenanbieter-Richtlinie) oder Nur Apps mit Anmeldedatenanbieter-Richtlinie : Dann kann der Benutzer die App nicht verwenden
    • Anmeldedatenanbieter Anmeldedatenanbieter-Standardrichtlinie benutzen (und die App entspricht dem OEM-Standard) und Anmeldedatenanbieter-Standardrichtlinie Nur Apps mit Anmeldedatenanbieter-Richtlinie oder OEM-Standardanmeldedatenanbieter : Dann kann die ausgewählte App und auch noch von Google als Anmeldedatenanbieter klassifizierte Apps genutzt werden
















































    s






























    Anwendungen|Anwendungen


































    Netzwerke

    Netzwerke
    Beschriftung Wert Beschreibung MS v2.5 Android Profile Netzwerke.png
    Netzwerke
    VPN immer aktiv
    Aktiviere "Always-On-VPN"    Aktiviert die "Always-On-VPN"-Konfiguration, was bedeutet, dass das VPN dauerhaft aktiv und verbunden bleibt, um eine kontinuierliche und sichere Netzwerkverbindung zu gewährleisten. Diese Option ist besonders nützlich, um sicherzustellen, dass alle Datenübertragungen über eine verschlüsselte Verbindung erfolgen und keine ungeschützten Verbindungen zugelassen werden. Vernachlässigbar für Mobile Security, da diese Option von der App implizit gesetzt wird.
    Paketname de.securepoint.ms.agent Der Paketname der VPN-App.
    Sperre aktiviert    Diese Option unterbindet alle Netzwerkverbindungen, wenn das VPN nicht verbunden ist. Sie stellt sicher, dass keine Daten übertragen werden können, wenn das VPN aus irgendeinem Grund ausfällt oder getrennt wird, wodurch die Sicherheit der Daten gewährleistet bleibt.
    Empfohlener globaler Proxy
    Aktivieren Sie den globalen Proxy    Ermöglicht die Festlegung eines globalen Proxys, der für alle Netzwerkverbindungen auf dem Gerät verwendet wird. Nach der Aktivierung dieser Option können Details des globalen Proxys konfiguriert werden, um den gesamten Datenverkehr durch einen festgelegten Proxy-Server zu leiten, was zusätzliche Sicherheit und Kontrolle über die Netzwerkverbindungen bietet.
    Host Hostname Der Hostname oder die IP-Adresse des direkten Proxys, der für die Weiterleitung des Netzwerkverkehrs verwendet wird. Diese Einstellung definiert, wohin die Verbindungen weitergeleitet werden sollen, bevor sie das Ziel erreichen.
    Port Port Nummer Der Netzwerkport des direkten Proxys, der zusammen mit dem Host verwendet wird, um den Datenverkehr zu leiten.
    Ausgeschlossener Host Hostnamen Bei Verwendung eines direkten Proxys können bestimmte Hosts angegeben werden, für die der Proxy umgangen wird. Diese Hosts, oft als Platzhalter wie *.example.com definiert, werden direkt kontaktiert, ohne durch den Proxy zu gehen. Dies kann für lokale oder vertrauenswürdige Domänen nützlich sein, bei denen der Proxy nicht erforderlich ist.
    PAC URI URI Der URI (Uniform Resource Identifier) des PAC (Proxy Auto-Configuration)-Skripts, das zur Konfiguration des Proxys verwendet wird. Ein PAC-Skript ist eine Datei, die regelt, wie Webbrowser und andere User-Agents einen geeigneten Proxy für die Verbindung zu einer bestimmten URL auswählen. Der PAC URI gibt den Speicherort dieses Skripts an, das vom Gerät abgerufen und verwendet wird, um die Proxy-Einstellungen dynamisch anzuwenden.
    Netzwerkkonfiguration
    Netzwerkkonfigurationen  Konfiguration hinzufügen Zugangsprofile für WiFi-Netzwerke konfigurieren
    Name ttt-point Zentrale Der Name der Konfiguration gibt der spezifischen Netzwerkkonfiguration einen eindeutigen und aussagekräftigen Bezeichner.
    Typ WiFi Der Konfigurationstyp ist vorgegeben
    Wifi
    SSID ttt-point-zentrale-WLAN Die SSID (Service Set Identifier) des Netzwerks ist der eindeutige Name, der einem WLAN-Netzwerk zugewiesen ist. Dieser Name wird bei der Suche nach verfügbaren Netzwerken angezeigt und ermöglicht es Geräten, das gewünschte Netzwerk zur Verbindung auszuwählen.
    Sicherheit WPA-PSK Diese Option ermöglicht die Auswahl der Sicherheitsstufe für das Netzwerk. Zu den gängigen Sicherheitsstufen gehören WEP, WPA, WPA2 und WPA3. Die Sicherheitsstufe bestimmt, wie die Datenübertragungen im Netzwerk verschlüsselt und geschützt werden, um unbefugten Zugriff zu verhindern.
    Passwort •••••••••• Sicheres Kennwort
    Auch wenn es trivial klingt: WLAN.MeineFirma.123 oder Standort.Hausnummer sind keine sicheren Kennwörter! Ebenfalls zählen 1234 und abcd oder qwertz nicht zu wirklich sicheren Kennwörtern!
    Versteckte SSID    Legt fest, ob die SSID des Netzwerks versteckt ist. Wenn diese Option aktiviert ist, wird die SSID nicht in der Liste der verfügbaren Netzwerke angezeigt und Geräte müssen die SSID manuell eingeben, um eine Verbindung herzustellen. Dies kann die Netzwerksicherheit erhöhen, indem es das Auffinden des Netzwerks durch unbefugte Benutzer erschwert.
    Automatisch verbinden    Das Gerät soll sich automatisch mit dem Netzwerk verbinden.














































    Statusmeldung

    Statusmeldung
    Beschriftung Wert Beschreibung MS v2.5 Android Profile Statusmeldung.png
    Statusmeldung
    Aktivieren Sie die Statusmeldung    Diese Einstellung aktiviert die Übermittlung von Statusmeldungen, die verschiedene Aspekte und Metriken des Geräts oder der Anwendung betreffen. Nach der Aktivierung können die spezifischen Konfigurationen für die Art der zu sendenden Statusberichte festgelegt werden. Beachten Sie, dass bei Aktivierung von Mobile Security diese Option automatisch aktiviert wird und nicht deaktiviert werden kann.
    Hardwarestatus
    		  
    Default    		 Diese Option gibt an, ob die Meldungen über den aktuellen Zustand und die Leistung der Hardware des Geräts aktiviert sind. Typische Informationen umfassen CPU-Auslastung, Temperatur, Batteriestatus und andere hardwarebezogene Metriken.
    Anwendungsberichte
    		  
    Default    		 Diese Option bestimmt, ob Berichte über installierte Anwendungen auf dem Gerät gesendet werden. Dies umfasst Informationen wie Namen von Apps und deren Versionen.
    Softwareinformationen
    		  
    Default    		 Diese Einstellung gibt an, ob Berichte über die installierte Software und deren Konfigurationen auf dem Gerät gesendet werden. Dazu gehören Versionen von Betriebssystemen, installierten Updates und anderen relevanten Softwaredetails.
    Arbeitsspeicherinformationen    Diese Option bestimmt, ob Berichte über die Nutzung und Auslastung des Arbeitsspeichers auf dem Gerät gesendet werden. Diese Informationen sind wichtig für die Überwachung der Geräteleistung und die Optimierung der Ressourcennutzung.
    Anzeigeinformationen    Diese Einstellung gibt an, ob Berichte über die Anzeige- und Bildschirmeinstellungen des Geräts gesendet werden. Dazu gehören Auflösung, Helligkeitseinstellungen und andere relevante Anzeigeinformationen.
    Netzwerkinformation
    		  
    Default    		 Diese Option bestimmt, ob Berichte über Netzwerkaktivitäten und Verbindungen des Geräts gesendet werden. Dies kann Informationen über verwendete Netzwerke, APN Einstellungen und Hardwareadressen umfassen.
    Geräteeinstellungen
    		  
    Default    		 Diese Einstellung gibt an, ob Berichte über die Konfigurationen und Einstellungen des Geräts gesendet werden. Dazu gehören Informationen über WLAN-, Bluetooth-, und andere Geräteeinstellungen, die zur Konfiguration und Verwendung des Geräts relevant sind.
    Energieverwaltungsereignisse    Diese Option bestimmt, ob Berichte über Ereignisse und Aktivitäten im Zusammenhang mit der Energieverwaltung des Geräts gesendet werden. Dies umfasst Informationen über Batterienutzung, Energiesparmodi und andere relevante Energieverwaltungsaspekte.
































    Compliance

    Compliance
    Es können Regeln definiert werden, wann das Telefon bzw das Arbeitsprofil gesperrt und wann es gelöscht (in Werkszustand zurückgesetzt) wird. Der Anwender wird aufgefordert, die ausgewählte Richtlinie auf dem Gerät zu aktivierten. Andernfalls wird das Gerät / Arbeitsprofil geblockt bzw. auf die Werkseinstellungen zurückgesetzt / gelöscht.
    Beschriftung Wert Beschreibung MS v1.18 Android Profile Compliance.png
    Compliance
    Regeln zum Erzwingen des Profils  Regel hinzufügen Eine Regel, die die auszuführenden Aktionen definiert, wenn ein Gerät oder ein Arbeitsprofil nicht der in "Einstellungsname" angegebenen Richtlinie entspricht
    Einstellungsname Passwortrichtlinien Die Kennwortrichtlinien müssen auf dem Telefon angewendet werden.
    Blockieren
    Blockieren nach x Tagen 1 Anzahl der Tage, an denen die Richtlinie nicht konform ist, bevor das Gerät oder das Arbeitsprofil blockiert wird. Um den Zugriff sofort zu blockieren, wird der Wert auf 0 gesetzt.
    Blockumfang Nicht spezifiziert Gibt den Umfang der Blockierungsaktion an. Gilt nur für Geräte, die im Besitz des Unternehmens sind.
    Nicht spezifiziert Nicht angegeben. Standardmäßig Arbeitsprofil.
    Arbeitsprofil Die Blockierungsaktion wird nur auf Apps im Arbeitsprofil angewendet. Apps im persönlichen Profil sind nicht betroffen.
    Gerät Die Blockierungsaktion wird auf das gesamte Gerät angewendet, einschließlich der Apps im persönlichen Profil.
    Löschen
    Werkeinstellungs-Reset-Schutz erhalten    Wenn aktiviert, wird der Werkeinstellungs-Reset-Schutz im Profil erhalten. Bei Diebstahl oder Verlust muss man sich erst in das Google-Konto einloggen, bevor sich das Gerät auf Werkseinstellungen zurücksetzen lässt. Diese Einstellung funktioniert nicht mit Arbeitsprofilen.
    Löschen nach x Tagen 7 Anzahl der Tage, bevor das Gerät oder das Arbeitsprofil gelöscht wird, wenn die Richtlinie (hier: Passwortrichtlinien) auf dem Gerät nicht umgesetzt wurde. Löschen muss größer als sein als Blockieren.



















































    Sicherheit / VPN

    Sicherheit / VPN
    notempty
    Der Reiter Sicherheit ist nur bei Vorliegen einer Mobile Security-Lizenz verfügbar.
    EMM-Lizenzen verfügen über keine VPN-Funktionalität, die diese Sicherheitsfunktionen ermöglicht.
    Beschriftung Wert Beschreibung MS 2.3 Android Profil Sicherheit.png
    Sicherheit / VPN
    Erlaube das Unterbrechen von Always-On-VPN    Erlaube das Unterbrechen von Always-On-VPN
    Andere VPN Profile erlauben    Das Hinzufügen von anderen VPN Profilen, zusätzlich zu dem Securepoint Security-Profil soll nicht erlaubt sein.
    Authentifizierung nach App-Start erforderlich notempty
    Neu ab 2.1
  • Voraussetzung für dieses Feature: App-Version 3.1
    		•     Wenn aktiviert, ist eine Authentifizierung (PIN oder biometrisch) beim App-Start erforderlich. Diese muss der User festlegen.
    Aktivieren Sie Securepoint Mobile Security
    		    Bei    Aktivierung wird die Securepoint Mobile Security-App im Reiter Anwendungen hinzu gefügt und kann hier konfiguriert werden.
    Bei Deaktivierung    wird die App entfernt

    Dies ist erforderlich, um die Sicherheitseinstellungen zu konfigurieren.
    notempty
    Neu ab: 2.3.13
    • Falls Securepoint Mobile Security aktiv    ist, kann Cloud Shield bei Cloud Shield (Link zum Wiki-Artikel) solange nicht aktiviert werden
    • Falls Cloud Shield bei Cloud Shield aktiviert wird, wird automatisch Securepoint Mobile Security deaktiviert und lässt sich solange nicht aktivieren
    • Bei Profilen, welche vor Version 2.3 angelegt wurden sind und bei denen Securepoint Mobile Security und Cloud Shield aktiv sind, werden diese Schaltflächen als inaktiv dargestellt
      Kann gelöst werden, wenn unter Anwendungen eine der beiden Apps entfernt wird
      notempty
      Auf Android-Geräten kann Mobile Security nicht gleichzeitig mit Cloud Shield aktiviert werden, da nur ein VPN-Dienst gleichzeitig aktiv sein kann.
    Protokoll TCP Das Protokoll TCP oder UDP, das für den VPN Tunnel verwendet wird
    Portfilter-Typ Offen Netzwerkverkehr filtern aufgrund von Netzwerkports:
    Geschlossen Offen Auswahl
    Portfilter-Regelauswahl
    Wird eingeblendet, wenn bei Portfilter-Typ Auswahl ausgewählt wird    		 Kommunikation VPN Festlegen, welche Port-Collections für den Netzwerkverkehr geöffnet sind





    Port-Collection Port Protokoll Anwendung
    Administrative Tools 21 TCP ftp
    3389 TCP ms-rdp
    23 TCP telnet
    5900 TCP vnc
    22 TCP ssh
    5938 TCP/UDP teamviewer
    Communication 3478-3481 UDP Skype
    49152-65535 UDP
    49152-65535 TCP
    5222 TCP Google Push-Notifications
    5223 UDP
    5228 TCP
    VOIP 5060 UDP SIP/RTP
    7070-7089 UDP
    VPN 1194 TCP OpenVPN
    1194 UDP
    500 UDP IPSec
    4500 UDP & ESP
    1701 UDP L2TP
    Mail 25 TCP smtp
    587 TCP
    465 TCP smtps
    110 TCP pop3
    995 TCP
    143 TCP imap
    993 TCP
    SSL-Interception Standard SSL-Datenverkehr von Webseiten, die in der Content-Filter-Allowlist aufgeführt sind, werden nicht abgefangen, andere Seiten werden mittels SSL-Interception überprüft.
    Content-Filter Allowlist Updates und wichtige Dienste Klick-Box: Webseiten, die auf einer Allowlist eingetragen werden sollen. Mögliche Einträge: Contentfilter
    Content-Filter Blocklist HackingProxyThreat Intelligence Feed Klick-Box: Webseiten, die auf einer Blocklist eingetragen werden sollen.
    Lokales WLAN vom VPN ausnehmen    Wenn aktiviert   , wird eine Route hinzugefügt, die den lokalen WLAN-IP-Bereich vom Tunnel ausschließt
    VPN für SSIDs deaktivieren SSIDs hinzufügen Eingabe von WLAN-SSIDs, für die die Sicherheitsfunktionen deaktiviert werden sollen.
    IP-Adressen von VPN ausschließen IPs hinzufügen IP-Adressen oder Netzwerke eingeben, für die die Sicherheitsfunktionen umgangen werden sollen, d.h. der einzelne Host 222.222.222.222/32 oder das gesamte Subnetz 123.123.123.0/24. Verwenden Sie die Cursortasten, um innerhalb der Maske zu navigieren
    Apps von VPN ausschließen Paketnamen hinzufügen Die Paketnamen der Apps eintragen, die den VPN-Dienst umgehen sollen
    VPN-Konfigurationen
    notempty
    Neu ab: 1.32

    Zeigt eine Auflistung sämtlicher Roadwarrior-Verbindungen an, die mit diesem Profil verbunden sind.
    Über  Unified Network Console VPN-Konfigurationen können neue Verbindungen erstellt werden.
    Weitere Informationen sind im folgendem Wiki-Artikel zu finden.
    Roadwarrior: Aliasname der Roadwarrior-Verbindung, das Transfernetz, die Core-UTM und die benutzten IPs.
    Per Klick auf den Aliasnamen erfolgt eine Weiterleitung auf die entsprechende VPN-Konfiguration.
    Autostart:
    		   Bei Aktivierung    wird diese Verbindung sofort gestartet, wenn sie als aktive Verbindung ausgewählt wird.
    Bei einem Verbindungsabbruch wird sie automatisch neu gestartet.
    Diese Einstellung kann auf dem Gerät vom Benutzer selbst anschließend verändert werden.
    notempty
    Neu ab: 2.3
    notempty
    Auf Android-Geräten kann Mobile Security nicht gleichzeitig mit Cloud Shield aktiviert werden, da nur ein VPN-Dienst gleichzeitig aktiv sein kann.






































    Lokalisieren

    Lokalisieren
    Beschriftung Wert Beschreibung MS v1.18 Android Profile Lokalisieren.png
    Lokalisieren
    Aktiviere Lokalisierungsfunktion    Fügt Funktionen zum Auffinden der Geräte hinzu, die dieser Richtlinie zugewiesen sind. Diese Funktionalität ist nur auf voll verwaltete Geräte beschränkt.







    Abgerufen von „https://wiki.securepoint.de/index.php?title=MS/deployment/profile/android&oldid=92657