MS/enrollment/emm: Unterschied zwischen den Versionen

Version vom 4. November 2021, 13:37 Uhr

Anbinden eines Mobile-Security-Accounts an Android Enterprise Mobility Management - EMM

Neu:

Hinweis zur Wichtigkeit der Google E-Mailadresse

Ablauf

Hier werden die erforderlichen Schritte beschrieben, um Android Geräte verbinden zu können:

Verknüpfung von Google Enterprise für Unternehmen mit Securepoint Mobile Security
Android Enterprise Profil erstellen und konfigurieren, z.B.:
1. Regeln
2. Apps
3. WiFi Konfigurationen
Registrierungs-Token für ein Profil erstellen
Gerät registrieren

Verknüpfung Google Enterprise mit Securepoint Mobile Security

Einstellungen für Apple und Android

Um Android Enterprise für Unternehmen nutzen und über Securepoint Mobile Security administrieren zu können, muss eine Verknüpfung zwischen dem Konto bei Mobile-Security und einem Google-Konto für EMM hergestellt werden.
Wichtig ist hierbei, daß es nur noch ein Google-Enterprise-Konto für alle Geräte eines Tenants (Kunde mit eigenem Mobile-Security-Konto) gibt. Ohne EMM hat jedes Gerät ein eigenes Google-Konto.

Ein Google-Konto darf jeweils mit nur einem Tenant verknüpft werden!

Andernfalls erscheinen alle einem Tenant – und damit einem Google-Konto – zugeordneten Geräte in allen weiteren Tenants, die mit dem gleichen Google-Konto verknüpft wurden!

Verknüpfung im Menü

→ → → Hinzufügen/Link

Ein Google-Konto wird durch die Verknüpfung mit Securepoint Mobile Security als EMM-Anbieter zu einem Enterprise Konto
Die Kommunikation des Securepoint Mobile Security Portals läuft hierbei komplett über dieses Google-Konto.

Um ungewollte Nebeneffekte zu vermeiden, sollte unbedingt ein neues Konto angelegt werden.

Es empfiehlt sich hierbei ein Namensschema zu verwenden: mdm.$Kundenname@gmail.com

Google-Konten sind kostenlos - auch als Enterprise-Konto!

Wird das Konto von Google gesperrt oder vom Inhaber gelöscht, werden sämtliche Geräte zurückgesetzt.
Es muss unbedingt darauf geachtet werden, daß dieses Google-Konto auf gar keinen Fall gelöscht wird, oder daß die GMail-Adresse gesperrt wird.

Google gibt Hinweise auf verschiedene Gründe, warum ein Konto gesperrt worden sein kann:
https://support.google.com/accounts/answer/40695?hl=de

Wir empfehlen dringend die Aktivierung der 2 Faktor Authentifizierung 2FA!

MS v1.4.7 Google-Enterprise-hinzufügen.png

Enterprise Benutzerkonto hinzufügen → → → Hinzufügen/Link

MS v1.4.7 Google-Enterprise-hinzufügen Schritt1.png

Weiterleitung auf https://play.google.com/work

MS v1.4.7 Google-Enterprise-hinzufügen Schritt2.png

Name des Unternehmens.
Die Verknüpfung mit Securepoint Mobile Security ist bereits vorgegeben.

MS v1.4.7 Google-Enterprise-hinzufügen Kontaktdaten.png

Es sind Angaben zum/r Datenschutzbeauftragten und EU-Bevollmächtigten erforderlich

MS v1.4.7 Google-Enterprise-hinzufügen abschliessen.png

Die Registrierung bei Google kann damit abgeschlossen werden.

MS v1.4.7 Google-Enterprise-hinzufügen abgeschlossen.png

Es erfolgt eine Weiterleitung zurück zum Securepoint Mobile Security Portal. Die Einrichtung muss mit OK abgeschlossen werden.

Die Verknüpfung ist jetzt hergestellt.

MS v1.4.7 Google-Enterprise-hinzufügen nicht registriert.png

Sollte diese Meldung beim Aufruf von https://play.google.com/work erscheinen, ist die Registrierung im Securepoint Mobile Security Portal noch nicht abgeschlossen worden und kein Token verknüpft!

Android Enterprise Profil erstellen

Unter Profile kann nun ein Profil mit der Plattform Android Enterprise erstellt werden.
Hier wiederum werden verschiedene Konfiguration vorgenommen, z.B.:

Regeln
Apps konfigurieren
WiFi Konfigurationen
Einschränkungen
Passwort-Richtlinien
Sicherheitseinstellungen

Best Practice: Beschreibung der wichtigsten Konfigurationsmöglichkeiten

Registrierungs-Token für ein Profil erstellen

Neues Gerät anmelden mit Android Enterprise

Unter Mobile Security Android Geräte lässt ich mit der so bezeichneten Schaltfläche ein Neues Gerät anmelden

Alte Geräteanmeldung (wird bei neueren Installationen nicht mehr angezeigt)

Die alte Geräteanmeldung wird bald eingestellt. Sie sollte nicht mehr verwendet werden! Geräte mit Android ≥ 10 (Q)
können ausschließlich mit Enterprise-Profilen administriert werden!

Android Enterprise

Beschriftung	Option	Beschreibung
Möchten Sie ein vorhandenes Registrierungstoken verwenden?	Erstellen Sie ein neues Registrierungstoken	Sollte bereits ein Registrierungstoken erstellt worden, das noch nicht abgelaufen ist, kann es hier ausgewählt und angezeigt werden. (Abb. s.u.)
Profil	Android Enterprise Profil	Dieses Profil soll auf das zu registrierende Gerät angewendet werden.
Lizenz	TTT-Point AG \| MDM [0/10] (aaaa)	Auswahl der Lizenz, die für neu angemeldete Geräte verwendet werden soll. MDM-Lizenzen beinhalten die vollständige Administration von Geräten. Mobile Security-Lizenzen beinhalten u.a. zusätzlichen Schutz in offenen Netzwerken durch Sicherheitsfunktionen der Securepoint Cyber Defense-Cloud Es ist möglich, Geräte nach Ablauf einer Laufzeit-Lizenz einer neuen Lizenz zuzuordnen.
Dauer	30 Tage	Legt fest, wie lange dieses Token verwendet werden kann Danach ist eine Geräteregistrierung mit diesem Token nicht mehr möglich. Mögliche Werte: 30 Minuten Eine Stunde Ein Tag Eine Woche 15 Tage 30 Tage
Zusätzliche Daten		Mit dem Registrierungstoken verknüpfte beliebige Daten. Wird angezeigt unter Geräte in der Geräteübersicht
Nur einmal		Gibt an, ob das Registrierungstoken nur einmal verwendet werden darf.

MS v1.4.7 Geräte Gerät-Anmelden EMM2.png

+ Registrierungstoken erstellen Erstellt einen Registrierungstoken mit QR-Code und einem Wert, der über die Tastatur eingetragen werden kann.
Es wird der Name des zugehörigen Profils angezeigt, sowie das Datum, an dem es ausläuft und nicht mehr verwendet werden kann.

Gerät registrieren

Vollständig verwaltete Geräte (COBO, COSU)

Vollständig verwaltete Geräte (COBO: Company Owned, business only oder COSU: Company owned single use) werden bei der Ersteinrichtung oder nach einem Geräte-Reset direkt mit dem Android Enterprise Profil verbunden. Die Verknüpfung mit einem Googlekonto und damit mit einem App-Store wird durch das zugeordnete Profil definiert.

Erstmaliges Anschalten oder Geräte-Reset (Werkseinstellungen)
Auswahl der Ländereinstellungen
7-maliges schnelles Tippen auf das Display öffnet einen QR-Code-Scanner
Einscannen des Profil-QR-Codes (siehe oben)
Das Gerät wird als vollständig verwaltetes Gerät eingerichtet.
- Alle im Profil gespeicherten Richtlinien, Apss und Einschränkungen werden auf das Gerät unmittelbar angewendet
  Dieser Vorgang kann bei der Erstinstallation einige Minuten dauern!

Auswahl der Ländereinstellung
7-maliges schnelles Tippen auf das Display öffnet einen QR-Code-Scanner
Geräte mit Android ≤ 9 (Pie) benötigen bereits jetzt eine temporäre WLAN-Verbindung, um einen QR-Code-Scanner zu laden.

QR-Code einscannen

Um die Profileinstellungen empfangen zu können wird eine Temporäre Verbindung zu einem WLAN aufgebaut. Die Zugangsdaten werden dabei nicht gespeichert!

Hinweis darauf, daß dieses Gerät von einer Organisation verwaltet wird

Arbeitsprofil wird vorbereitet
(Das Gesamte Gerät, wird vom Arbeitsprofil erfasst!)

Das Gerät wird als Arbeitsgerät eingerichtet

MSA Full Managed Device Einrichtung Arbeitsprofil3.png

Datenschutzhinweis

Google-Dienste sollen zugelassen werden (nach Bedarf)

Geräteaktualisierung. Durch das Update des Play Store erhalten wichtige Betriebssytem-Teile ebenfalls ein Update. Dadurch erreicht Android eine schnellere Versorgung aller Geräte mit sicherheitsrelevanten Updates, als wenn das über die angepassten Geräteherstellerversionen erfolge nwürde.

Abschluss der Geräteaktualisierung

Im Profil konfigurierte Apss werden installiert.
Dieser Vorgang kann etliche Minuten dauern!

Es wurde die App »Android Device Policy« installiert, die zur Verwaltung des Gerätes mit dem Profil benötigt wird. Sie wird nur Angezeigt, wenn man den App-Store öffnet und sich die installierten Apps anzeigen lässt. (App-Store Menü → »Meine Apps für die Arbeit« → »Installiert«)

Private Geräte mit zusätzlichem Arbeitsprofil (BYOD)

Um private von geschäftlichen Apps unterscheiden zu können, wird die App Android Device Policy benötigt.
Auf privaten Geräten, in denen nur das Arbeitsprofil von einer Organisation - und damit durch das Securepoint Mobile Security Profil - verwaltet wird, muss diese App manuell aus dem Android App-Store installiert werden.
Mit dieser App wird der Registrierungstoken gescannt oder über die Tastatur eingegeben und die Geräte können im Portal registriert und konfiguriert werden.

Installation der App Android Device Policy aus dem Google Play Store

Diese App erscheint nicht auf dem Homescreen oder im App Launcher.
Der Aufruf der App erfolgt über die Liste der installierten Apps im Google Play Store

Scannen des QR-Codes oder Eingabe des des Registrierungstokens über Tastatur
- Für das Enterprise Profil wird auf dem Gerät ein Arbeitsprofil erstellt
- Alle konfigurierten Anwendungen, Einschränkungen etc. werden innerhalb des Arbeitsprofils erstellt und angewendet

Installation der App [Android Device Policy]

Installierte ADP-App öffnen

Starten der App Weiter

Soll der QR-Code abfotografiert werden, ist die Zugriffsberechtigung für Bilder und Videos erforderlich

Code über Tastatur eingeben oder scannen

QR-Code scannen

gescannter Code wird überprüft

Arbeitsprofil Akzeptieren & weiter

Arbeitsprofil wird eingerichtet

Arbeitsprofil wird registriert

Für Arbeitsprofile ist eine Displaysperre erforderlich

ggf. muss eine Displaysperre eingerichtet werden

Die im Profil konfigurierten Apps müssen installiert werden

Anzeige der Apps, die installiert werden

Nach der Installation ist das Arbeitsprofil fertig eingerichtet.

Geräte aus der Verwaltung durch Mobile Security entfernen

Unter Geräte / Löschen in der jeweiligen Geräte-Kachel kann die Verwaltung von den Geräten entfernt werden

Vollständig verwaltete Geräte (COBO / COSU)

Alle Daten werden gelöscht.
Die Geräte werden automatisch und unverzüglich auf ihren Werkszustand zurückgesetzt!

Private Geräte mit Arbeitsprofil (BYOD)

Alle Apps und Daten innerhalb des Arbeitsprofils werden gelöscht
Das Arbeitsprofil auf diesen Geräten wird entfernt.

@@ Zeile 1: / Zeile 1: @@
 {{Set_lang}}
 {{#vardefine:headerIcon|fab fa-android }}
 {{:MS/enrollment/emm.lang}}
 </div>{{DISPLAYTITLE:{{#var:display|Enterprise Mobility Management for Android - EMM}} }}{{Select_lang}}{{TOC2}}
 <p>{{#var:1|Anbinden eines Mobile-Security-Accounts an Android Enterprise Mobility Management - EMM}}
 <br>
-<p>{{cl| {{#var:neu|Bemerkung:}} |
+<p>{{cl| {{#var:neu}} |
-* {{#var:neu--mdm-only}} {{#var:neu--Lizenz-wechsel}}
+* {{#var:neu--Google-Konto--Hinweis}}
-* {{#var:4|Einführung Android Enterprise Mobile Management}}
+}}
-| }}
 </p>
 <br>
@@ Zeile 31: / Zeile 28: @@
 ----
-=== {{#var:16|Vorbereitungen für EMM}} ===
+{{:MS/enrollment/connecting-emm}}
-{{pt2 | {{#var:16b|MS_v1.4.7_Infos.png}} | {{#var:17|Konto-Informationen}} }}
-{{#var:18|Mit Android '''Enterprise Mobility Management''' - Profilen lassen sich '''wesentlich umfangreichere''' Konfigurationen vornehmen, als dies mit einem normalen Profil oder aber auch direkt am Gerät möglich ist.
-* mehr als 25 verschiedene Berechtigungsarten, z.B.:
-** Zugriff auf  Internet-Verbindungen
-** Zugriff auf lokale Konten
-** Zugriff auf Fingerabdrucksensor
-* Vorgabe für Kennwörter, z.B.:
-** Numerisch
-** Biometrisch
-** Komplex
-* Einschränkungen, z.B.:
-** Keine Kontakdaten per Bluetooth versenden
-** Nur vorkonfigurierte WLANs zulassen
-** Keine Screenshots zulassen
-** Nur eine einzige App im Kioskmodus zulassen (Kein Zugriff auf andere Bereiche des Gerätes)
-* Nur zuvor freigegebene Apps zulassen bzw. vorinstallieren
-* Firmeneigene Apps ohne Google App-Store (vor-)installieren}}
-----
-==== {{#var:19|Verknüpfung Google Enterprise mit Securepoint Mobile Security}} ====
-<p>{{#var:20|Um den vollen Funktionsumfang Android Enterprise für Unternehmen nutzen und über Securepoint Mobile Security administrieren zu können, muss eine Verknüpfung zwischen dem Konto bei Mobile-Security und einem Google-Konto für EMM hergestellt werden.<br>
-Wichtig ist hierbei, daß es nur noch '''ein''' Google-Enterprise-Konto  für '''alle''' Geräte eines Tenants (Kunde mit eigenem Mobile-Security-Konto) gibt' (Ohne EMM hat ''jedes Gerät'' ein eigenes Google-Konto.) Zu beachten: Google-Konten sind kostenlos - auch als Enterprise-Konto!)}}</p>
-<div class="einrücken">
-{{spc|k|m|{{#var:21|Konto}} {{spc|dr|o|-}} }} → {{spc|k|m|{{#var:22|Infos}} }} → {{spc|{{#var:23|Enterprise Benutzerkonto hinzufügen}} }}<br>{{a|3}}
-{{#var:24|Ein neues Google-Konto wird erstellt, als Google-Enterprise-Konto registriert und mit Securepoint Mobile Security verknüpft.<br>Es ist ebenfalls möglich eine bestehendes Google-Konto zu verwenden.}}
-<!--{{#var:25|Ein so verknüpftes Konto wird zum ''Inhaber'' des ''Managed Google Play'' Accounts.}}-->
-{{Gallery2 | {{#var:26|MS_v1.4.7_Google-Enterprise-hinzufügen.png}} | <br>{{#var:27|Start im Menü}} {{spc|k|m|{{#var:21|Konto}} {{spc|dr|o|-}} }} / {{spc|Info|m| {{#var:22|Infos}} }} /
-		{{spc | {{#var:27|Enterprise Benutzerkonto hinzufügen}} }}
-	| {{#var:28|MS_v1.4.7_Google-Enterprise-hinzufügen_Schritt1.png}}  | {{#var:29|Weiterleitung auf}} https://play.google.com/work
-	| {{#var:30|MS_v1.4.7_Google-Enterprise-hinzufügen_Schritt2.png}} | {{#var:31|Name des Unternehmens.<br>Die Verknüpfung mit
-		Securepoint Mobile Security ist bereits vorgegeben.}}
-	| {{#var:32|MS_v1.4.7_Google-Enterprise-hinzufügen_Kontaktdaten.png}} | {{#var:33|Es sind Angaben zum/r Datenschutzbeauftragten und
-		[https://support.google.com/googleplay/work/answer/7681629 EU-Bevollmächtigten] erforderlich}}
-	| {{#var:34|MS_v1.4.7_Google-Enterprise-hinzufügen_abschliessen.png}} | {{#var:35|Die Registrierung bei Google kann damit
-		abgeschlossen werden.}}
-	| {{#var:36|MS_v1.4.7_Google-Enterprise-hinzufügen_abgeschlossen.png}} | {{#var:37|Es erfolgt eine Weiterleitung zurück zum
-		Securepoint Mobile Security Portal. Die Einrichtung muss mit {{spc |check| b| OK }} abgeschlossen werden.}}
-	| {{#var:38|MS_v1.4.7_Infos_Android-Token.png}} | {{#var:39|Die Verknüpfung ist jetzt hergestellt.}}
-	| {{#var:40|MS_v1.4.7_Google-Enterprise-hinzufügen_nicht_registriert.png}} | {{#var:41|Sollte diese Meldung beim Aufruf von
-		[[play.google.com/work]] erscheinen, ist die Registrierung im Securepoint Mobile Security Portal noch
-		nicht abgeschlossen worden und kein Token verknüpft!}}
-<!--	| {{#var:42|MS_v1.4.7_Google_Adminstratoren.png}} | {{#var:43|Unter {{ic|Administratoreinstellungen|w=x}} lassen sich weitere [https://support.google.com/googleplay/work/answer/7040932 Administratoren] einrichten}} -->
-|i=3 | collapsed=true | ausklappen={{#var:44|Schritt für Schritt Anleitung anzeigen: Verknüpfung mit Google Enterprise}} | einklappen= {{#var:45|Ausblenden}} }}
-</div>
-----
 <!--
 ==== {{#var:46|Apps im individuellem Play Store genehmigen}} ====