Sophos Mobile Control Administratorhilfe
Produktversion: 7
Inhalt 1 Über diese Hilfe..................................................................................................................6 2 Über Sophos Mobile Control..............................................................................................7 3 Über die Sophos Mobile Control Konsole...........................................................................9 3.1 Benutzeroberfläche..............................................................................................9 3.2 Tabellen-Ansichten.............................................................................................10 3.3 Voraussetzungen................................................................................................10 3.4 Benutzerrollen....................................................................................................10 3.5 An der Sophos Mobile Control Konsole anmelden.............................................11 3.6 Von der Sophos Mobile Control Konsole abmelden...........................................12 3.7 Ändern Ihres Kennworts.....................................................................................12 3.8 Kennwort wiederherstellen.................................................................................12 4 Wichtige Schritte für das Management von Geräten mit Sophos Mobile Control.............13 5 Dashboard........................................................................................................................14 6 Berichte............................................................................................................................15 7 Aufträge............................................................................................................................16 7.1 Aufträge überwachen..........................................................................................16 8 Allgemeine Einstellungen.................................................................................................20 8.1 Persönliche Einstellungen konfigurieren.............................................................20 8.2 Kennwortrichtlinien konfigurieren.......................................................................21 8.3 Einstellungen der SMC-App konfigurieren.........................................................22 8.4 Baidu Cloud Push aktivieren..............................................................................22 8.5 Einstellungen für iOS konfigurieren....................................................................23 8.6 Poll-Intervall für Windows-Geräte konfigurieren.................................................23 8.7 E-Mail konfigurieren............................................................................................24 8.8 Kontaktdetails für technische Unterstützung konfigurieren.................................24 8.9 Kundeneigenschaften definieren........................................................................24 9 Self Service Portal konfigurieren......................................................................................26 9.1 Self-Service-Portal-Gruppen bei interner Benutzerverwaltung erstellen............26 9.2 Self-Service-Portal-Einstellungen konfigurieren.................................................27 9.3 Verfügbare Self-Service-Portal-Einstellungen....................................................28 9.4 Self-Service-Portal-Benutzer verwalten..............................................................31 10 Systemeinstellungen......................................................................................................36 10.1 Ihre Lizenzen prüfen.........................................................................................36 10.2 Zertifikate für den Apple Push Notification Service..........................................36 10.3 iOS-AirPlay-Wiedergabegeräte konfigurieren...................................................40
2
10.4 Samsung-Knox-Lizenz......................................................................................41 10.5 SCEP konfigurieren..........................................................................................41 10.6 Benutzerverzeichnis konfigurieren....................................................................42 11 Compliance-Richtlinien...................................................................................................43 11.1 Compliance-Richtlinie erstellen........................................................................43 11.2 Verfügbare Compliance-Regeln........................................................................45 11.3 Compliance-Richtlinie einer Gerätegruppe zuweisen.......................................49 11.4 Geräte auf Compliance-Verstöße prüfen..........................................................50 12 Geräte............................................................................................................................51 12.1 Geräte hinzufügen............................................................................................51 12.2 Geräte registrieren............................................................................................53 12.3 Geräte deregistrieren........................................................................................57 12.4 Geräte verwalten..............................................................................................58 12.5 Apple DEP........................................................................................................63 13 Gerätegruppen...............................................................................................................71 13.1 Gerätegruppe erstellen.....................................................................................71 13.2 Gerätegruppen löschen....................................................................................71 14 Profile und Richtlinien.....................................................................................................72 14.1 Profil oder Richtlinie erstellen...........................................................................72 14.2 Mit Apple Configurator erstellte iOS-Geräteprofile importieren........................73 14.3 Provisionierungsprofile für iOS-Apps importieren............................................74 14.4 Komplexitätsregeln für Windows-Desktop-Kennwörter.....................................74 14.5 Unterstützung von Samsung Knox...................................................................75 14.6 Platzhalter in Profilen und Richtlinien...............................................................75 14.7 Profil auf Geräten installieren...........................................................................76 14.8 Eine Richtlinie Geräten zuweisen.....................................................................76 14.9 Profil entfernen.................................................................................................77 14.10 Profile und Richtlinien herunterladen.............................................................77 14.11 Konfigurationen für Android-Geräteprofile......................................................78 14.12 Konfigurationen für Android-for-Work-Richtlinien...........................................96 14.13 Konfigurationen für Sophos-Container-Richtlinien für Android.....................106 14.14 Konfigurationen für Mobile-Security-Richtlinien............................................115 14.15 Konfigurationen für Knox-Container-Profile..................................................116 14.16 Konfigurationen für iOS-Geräteprofile..........................................................120 14.17 Konfigurationen für Sophos-Container-Richtlinien für iOS...........................147 14.18 Konfigurationen für Windows-Mobile-Richtlinien..........................................157 14.19 Konfigurationen für Windows-Desktop-Richtlinien........................................166 15 Auftragspakete.............................................................................................................172 15.1 Auftragspaket erstellen...................................................................................172
3
15.2 Verfügbare Auftragstypen für Android.............................................................173 15.3 Verfügbare Auftragstypen für iOS...................................................................176 15.4 Auftragspakete duplizieren.............................................................................178 15.5 Auftragspakete an einzelne Geräte oder Gerätegruppen übertragen............179 16 Apps.............................................................................................................................180 16.1 App hinzufügen...............................................................................................180 16.2 App installieren...............................................................................................182 16.3 App deinstallieren...........................................................................................182 16.4 Verwaltete iOS-Apps.......................................................................................183 16.5 Über Apple VPP erworbene Apps verwalten..................................................184 16.6 VPN pro App und Einstellungen für iOS-Apps konfigurieren..........................189 17 App-Gruppen................................................................................................................191 17.1 App-Gruppe erstellen.....................................................................................191 17.2 App-Gruppe importieren.................................................................................192 18 Unternehmensdokumente............................................................................................193 18.1 Unternehmensdokumente hinzufügen............................................................193 19 Android for Work...........................................................................................................195 19.1 Android for Work einrichten............................................................................195 19.2 Android for Work konfigurieren.......................................................................199 19.3 Android-for-Work-Benutzer verwalten.............................................................200 19.4 Geräte bei Android for Work registrieren........................................................201 19.5 Arbeitsprofil sperren.......................................................................................201 19.6 Arbeitsprofil vom Gerät entfernen...................................................................201 19.7 Benutzerinitiiertes Entfernen des Arbeitsprofils..............................................202 19.8 Berufliche Apps..............................................................................................202 20 Administratoren erstellen..............................................................................................209 21 Nachricht an Geräte senden........................................................................................210 22 Advanced-Lizenz..........................................................................................................211 23 Sophos Mobile Security verwalten...............................................................................212 23.1 Antivirus-Einstellungen für Sophos Mobile Security konfigurieren.................212 23.2 Webfilter-Einstellungen für Sophos Mobile Security konfigurieren.................214 23.3 Compliance-Regeln für Sophos Mobile Security definieren...........................215 23.4 Scan-Resultate von Sophos Mobile Security anzeigen..................................215 24 Sophos-Container-Apps verwalten...............................................................................217 24.1 Sophos-Container-Kennwort zurücksetzen....................................................218 24.2 Sophos-Container sperren und entsperren....................................................218 24.3 Synchronisierung des Unternehmens-Schlüsselbundes................................219 25 Glossar.........................................................................................................................221 26 Technischer Support.....................................................................................................223
4
27 Rechtliche Hinweise.....................................................................................................224
5
Sophos Mobile Control
1 Über diese Hilfe Diese Hilfe beschreibt die Benutzung der Sophos Mobile Control Konsole. Weitere Informationen finden Sie in folgenden Dokumenten: ■
Eine Beschreibung der Installation von Sophos Mobile Control Installation finden Sie in der Sophos Mobile Control Installationsanleitung. Dieses Dokument ist für Sophos Mobile Control as a Service nicht relevant.
■
Informationen zur Benutzung der Sophos Mobile Control Konsole als Superadministrator für die Kundenverwaltung finden Sie im englischsprachigen Dokument Sophos Mobile Control Super Administrator Guide. Dieses Dokument ist für Sophos Mobile Control as a Service nicht relevant.
■
Eine Beschreibung der wichtigsten Schritte für die Erstkonfiguration finden Sie in der Sophos Mobile Control Schnellstart-Anleitung und in der Sophos Mobile Control as a Service Schnellstart-Anleitung.
■
Informationen zum Self Service Portal finden Sie in der Sophos Mobile Control Benutzerhilfe.
Bezeichnungen In dieser Hilfe werden folgende Bezeichnungen verwendet:
6
■
Sofern nicht anders angegeben, bezieht sich der Ausdruck Windows Mobile auf die Windows-10-Editionen Mobile und Mobile Enterprise sowie auf Windows Phone 8.1.
■
Sofern nicht anders angegeben, beziehen sich die Ausdrücke Windows Desktop und Windows 10 Desktop auf die Windows-10-Editionen Pro, Enterprise, Education und Home.
■
Sofern nicht anders angegeben, wird bei allen Prozeduren vorausgesetzt, dass Sie bereits als Administrator an der Sophos Mobile Control Konsole angemeldet sind.
Administratorhilfe
2 Über Sophos Mobile Control Sophos Mobile Control Sophos Mobile Control ist eine Verwaltungssoftware für Mobilgeräte wie Smartphones und Tablets, und für Geräte mit einem Windows-10-Desktop-Betriebssystem. Indem Sie Ihre Apps und Sicherheitseinstellungen mit Sophos Mobile Control verwalten, schützen Sie Ihre Unternehmensdaten. Sophos Mobile Control besteht aus einer Server- und einer Client-Komponente. Der Server ist die Kernkomponente von Sophos Mobile Control. Er verfügt über eine Web-Schnittstelle, mit der Sie Sophos Mobile Control und die registrierten Geräte verwalten. Die Client-Komponente ist eine App, die auf den Geräten installiert wird. Sie unterstützt eine Over-the-Air-Einrichtung und wird über die Web-Schnittstelle des Servers von Sophos Mobile Control konfiguriert. Mit dem Sophos Mobile Control Self Service Portal für Ihre Benutzer können Sie den Aufwand für die IT verringern, indem Sie die Benutzer dazu berechtigen, ihre eigenen Geräte zu registrieren und andere Aufgaben auszuführen, ohne sich an den Helpdesk wenden zu müssen. Mit Sophos Mobile Control können Sie außerdem folgende mobile Apps verwalten: Sophos Mobile Security, Sophos Secure Workspace und Sophos Secure Email. Hierfür wird eine SMC-Advanced-Lizenz benötigt.
Sophos Mobile Security Sophos Mobile Security ist eine Sicherheits-App für Geräte mit Android-Betriebssystem. Mit den neuesten Daten von SophosLabs werden Ihre Apps automatisch gescannt, wenn Sie sie installieren. Diese Antivirus-Funktionalität schützt Sie vor bösartigen Programmen, die zu Datenverlusten und unvorhergesehenen Kosten führen können.
Sophos Secure Workspace Sophos Secure Workspace ist eine App für Geräte mit Android oder iOS, die einen gesicherten Arbeitsbereich bereitstellt, um Dokumente zu verwalten, zu bearbeiten, zu teilen, zu verschlüsseln, zu entschlüsseln, oder um auf sie in einem Browser zuzugreifen. Die Dokumente können bei verschiedenen Speicheranbietern abgelegt sein oder von Ihrem Unternehmen verteilt werden. Die App ist dafür entwickelt, Sie vor jeglichem Datenverlust zu schützen, sogar, wenn Ihr Gerät gestohlen wird oder wenn Sie Dateien unabsichtlich an einen falschen Empfänger senden. Dateien können nahtlos entschlüsselt und angezeigt werden. Dateien aus anderen Apps können verschlüsselt und anschließend zu einem der unterstützen Cloud-Speicheranbietern hochgeladen oder lokal in Sophos Secure Workspace gespeichert werden. Mit Sophos Secure Workspace können Sie mit SafeGuard Cloud Storage oder SafeGuard Data Exchange verschlüsselte Dateien lesen. SafeGuard Cloud Storage und SafeGuard Data Exchange sind Module von SafeGuard Enterprise oder einer der verschiedenen Produkteditionen.
7
Sophos Mobile Control
Sophos Secure Workspace enthält auch die Komponente Corporate Browser, einen Webbrowser, mit dem Sie gesichert auf firmeninterne Intranetseiten oder auf andere erlaubte Seiten zugreifen können. Dieser Zugriff wird über Richtlinien gesteuert, die Sie in Sophos Mobile Security anlegen.
Sophos Secure Email Sophos Secure Email ist eine App für Geräte mit Android oder iOS, die einen sicheren Container zur Verwaltung Ihrer E-Mails, Ihres Kalenders und Ihrer Kontakte bereitstellt. Alle Daten sind verschlüsselt und vor dem Zugriff durch Dritte geschützt.
8
Administratorhilfe
3 Über die Sophos Mobile Control Konsole Die Sophos Mobile Control Konsole ist das zentrale Instrument für die Geräteverwaltung mit Sophos Mobile Control. Sie ist die Web-Schnittstelle für den für die Geräteverwaltung benutzten Server. Mit der Web-Konsole können Sie eine unternehmensweite Richtlinie für die Gerätenutzung implementieren und sie auf die in Sophos Mobile Control registrierten Geräte anwenden. In der Sophos Mobile Control Konsole können Sie folgende Aufgaben durchführen: ■
Das System konfigurieren, zum Beispiel persönliche oder plattformspezifische Einstellungen.
■
Compliance-Regeln konfigurieren und Aktionen festlegen, die ausgeführt werden, wenn Geräte nicht mehr den festgelegten Regeln entsprechen. Siehe Compliance-Richtlinien (Seite 43).
■
Geräte in Sophos Mobile Control registrieren. Siehe Geräte hinzufügen (Seite 51).
■
Neue Geräte provisionieren. Siehe Geräte registrieren (Seite 53).
■
App-Pakete auf registrierten Geräten installieren. Siehe Apps (Seite 180).
■
Profile und Sicherheitsrichtlinien für Geräte definieren. Siehe Profile und Richtlinien (Seite 72).
■
Auftragspakete zum Bündeln mehrerer Aufgaben erstellen und sie in einem Arbeitsschritt auf Geräte übertragen. Siehe Auftragspakete (Seite 172).
■
Einstellungen für das Self Service Portal konfigurieren. Siehe Self Service Portal konfigurieren (Seite 26).
■
administrative Aufgaben bei Geräten durchführen, zum Beispiel das Kennwort für Geräte zurücksetzen, Geräte bei Verlust oder Diebstahl sperren oder zurücksetzen, Geräte deregistrieren. Siehe Geräte verwalten (Seite 58).
■
Berichte erstellen und anzeigen. Siehe Berichte (Seite 15).
3.1 Benutzeroberfläche Die Benutzeroberfläche der Sophos Mobile Control Konsole ist unterteilt in eine Kopfleiste, einen seitlichen Menübereich und den Hauptbereich. Im Hauptbereich werden je nach gewähltem Menüpunkt unterschiedliche Seiten der Sophos Mobile Control Konsole angezeigt. ■
Kopfleiste Im rechten Teil der Kopfleiste befinden sich die folgenden Links:
■
■
Ihr Kontoname und der Kundenname.
■
Die Schaltfläche Hilfe zum Öffnen der Online-Hilfe in einem separaten Browser-Fenster.
■
Die Schaltfläche Abmelden zum Abmelden von der Sophos Mobile Control Konsole.
Menübereich Über das Hauptmenü auf der linken Seite greifen Sie auf die verschiedenen funktionalen Bereiche von Sophos Mobile Control zu.
Hinweis: Auf welche Bereiche Sie zugreifen können, hängt von Ihrer zugewiesenen Administrator-Rolle ab. Siehe Benutzerrollen (Seite 10).
9
Sophos Mobile Control
3.2 Tabellen-Ansichten Auf vielen Seiten der Sophos Mobile Control Konsole werden die Informationen in Tabellenform dargestellt. Diese Tabellen haben einheitliche, interaktive Bedienelemente. Oberhalb der Tabelle: ■
Verwenden Sie das Symbol Spalten ein- oder ausblenden, um die Sichtbarkeit einzelner Tabellenspalten zu konfigurieren.
■
Geben Sie im Feld Alle Felder durchsuchen einen Text ein, um nur Zeilen anzuzeigen, die diesen Text (in einer beliebigen Spalte) enthalten. Beachten Sie, dass Datumswerte nach ihrem internen Format yyyy-mm-dd gefiltert werden.
Innerhalb der Tabelle: ■
Klicken Sie auf eine Spaltenüberschrift, um die Tabellenzeilen nach dieser Eigenschaft zu sortieren. Klicken Sie erneut, um die Sortierreihenfolge umzukehren.
■
Klicken Sie auf das blaue Dreieck neben einem Eintrag, um Aktionen für diesen Eintrag auszuführen, wie zum Beispiel Anzeigen, Bearbeiten, Löschen.
Unterhalb der Tabelle: ■
Verwenden Sie die Navigationsschaltflächen, um eine bestimmte Tabellenseite anzuzeigen.
■
Verwenden Sie das Symbol Export, um entweder die gesamte Tabelle oder die aktuell angezeigte Tabellenseite als Microsoft-Excel-Datei oder als CSV-Datei zu exportieren. Wenn ein Filter aktiv ist, werden nur die aktuell sichtbaren Zeilen exportiert.
3.3 Voraussetzungen Um die Sophos Mobile Control Konsole verwenden zu können: ■
Sie benötigen einen mit dem Internet verbundenen Computer mit einem Webbrowser. Informationen zu den unterstützten Browsern und den relevanten Versionen finden Sie in den Sophos Mobile Control Release Notes.
■
Der Superadministrator hat einen Kunden angelegt, d.h. einen Mandant, dessen Geräte in Sophos Mobile Control verwaltet werden. Weitere Informationen finden Sie im englischsprachigen Dokument Sophos Mobile Control Super Administrator Guide. Hinweis: Für Sophos Mobile Control as a Service wird ein Kunde vordefiniert. Superadministratoren werden für Sophos Mobile Control as a Service nicht unterstützt.
■
Sie benötigen ein Sophos Mobile Control Benutzerkonto und die relevanten Anmeldedaten für die Anmeldung an der Sophos Mobile Control Konsole. Die Anmeldedaten bestehen aus Kunde, Benutzer und Kennwort. Weitere Informationen finden Sie in An der Sophos Mobile Control Konsole anmelden (Seite 11).
3.4 Benutzerrollen Benutzer in Sophos Mobile Control Control besitzen unterschiedliche Rollen. Sie weisen diese Rollen zu, wenn Sie neue Administratoren anlegen. Siehe Administratoren erstellen (Seite 209).
10
Administratorhilfe
Die in der Sophos Mobile Control Konsole verfügbaren Module und Funktionen hängen von der Rolle ab. Sie können folgende Rollen zuweisen:
Rolle
Beschreibung
Administrator
Diese Rolle hat die Berechtigung, alle verfügbaren Aktionen auszuführen.
Limited Administrator
Diese Rolle ist zur Durchführung von Aktionen berechtigt, die für die Registrierung und Verwaltung von Geräten erforderlich sind. Die Berechtigungen umfassen jedoch nicht grundlegende Einstellungen oder das Hinzufügen weiterer Administratoren.
Reporting
Diese Rolle kann die Geräteliste anzeigen und kann Berichte erstellen. Verwenden Sie diese Rolle zum Beispiel für einen Auditor oder einen Angestellten, der die Einstellungen von Sophos Mobile Control dokumentieren muss.
Content admin
Diese Rolle ist für Angestellte vorgesehen, die für das Hochladen, Aktualisieren oder Löschen von Dokumenten über die Funktion Dokumente verantwortlich sind. Diese Rolle wird üblicherweise Personen außerhalb der IT-Abteilung zugewiesen. Die Rechte sind so gesetzt, dass die Einsichtsmöglichkeiten beschränkt sind und nur der Zugriff auf das Menü Dokumente möglich ist.
Helpdesk
Diese Rolle ist nur für Support-Zwecke gedacht. Sie hat nur eingeschränkte Berechtigungen (z. B. Installation von Softwarepaketen). Diese Rolle hat keinen Zugriff auf kritische Funktionen, wie die Definition von Einstellungen und das Erstellen, Löschen oder Bearbeiten von Geräten/Gerätegruppen, Paketen und Profilen.
App Group Administrator
Diese Rolle kann App-Gruppen verwalten. Ein typischer Anwender ist ein Administrator, der auf die Webservice-Schnittstelle von Sophos Mobile Control zugreift, um App-Gruppen zu erstellen, zu aktualisieren oder zu lesen.
Wenn Sie weitere Rollen benötigen, wenden Sie sich bitte an das Sophos Support-Team.
3.5 An der Sophos Mobile Control Konsole anmelden 1. Öffnen Sie die Webadresse der Sophos Mobile Control Konsole in Ihrem Webbrowser. 2. Geben Sie im Anmeldedialog den Kundennamen und Ihre Anmeldeinformationen (Name und Kennwort) ein. Klicken Sie anschließend auf Anmeldung. Das Dashboard des Kunden wird angezeigt. Hinweis: Wenn Sie sich zum ersten Mal an der Sophos Mobile Control Konsole anmelden, werden Sie aufgefordert, Ihr Kennwort zu ändern.
11
Sophos Mobile Control
Hinweis: Ihr Administrator kann im Anmeldedialog Meldungen anzeigen, zum Beispiel, um auf Aktualisierungen oder Wartungsarbeiten hinzuweisen. Klicken Sie auf eine Meldung, um diese vollständig anzuzeigen.
3.6 Von der Sophos Mobile Control Konsole abmelden Zum Abmelden von der Sophos Mobile Control Konsole klicken Sie im Seitenkopf auf Abmelden.
3.7 Ändern Ihres Kennworts Nachdem Sie sich an der Sophos Mobile Control Konsole angemeldet haben, können Sie Ihr Kennwort jederzeit ändern: 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Allgemein und klicken Sie anschließend auf die Registerkarte Kennwort ändern. 2. Geben Sie das alte Kennwort sowie ein neues Kennwort ein und bestätigen Sie das neue Kennwort. 3. Klicken Sie auf Speichern.
3.8 Kennwort wiederherstellen Falls Sie Ihr Kennwort für die Sophos Mobile Control Konsole vergessen haben, können Sie es zurücksetzen. 1. Klicken Sie im Dialogfeld Anmeldung der Sophos Mobile Control Konsole auf Kennwort vergessen? Das Dialogfeld Kennwort zurücksetzen wird angezeigt. 2. Geben Sie Ihre Informationen in die Felder Kunde und Benutzer ein und klicken Sie auf Kennwort zurücksetzen. Sie erhalten eine E-Mail mit einem Link zum Zurücksetzen Ihres Kennworts. 3. Klicken Sie auf den Link. Das Dialogfeld Kennwort ändern wird angezeigt. 4. Geben Sie ein neues Kennwort ein, bestätigen Sie es und klicken Sie auf Kennwort ändern. Ihr Kennwort wird geändert und Sie werden an der Sophos Mobile Control Konsole angemeldet.
12
Administratorhilfe
4 Wichtige Schritte für das Management von Geräten mit Sophos Mobile Control Abhängig von den für Ihr Unternehmen relevanten Gerätetypen, Sicherheitsrichtlinien und spezifischen Anforderungen bietet Sophos Mobile Control eine breite Palette von Mobile-Device-Management-Funktionen. Die wichtigsten Schritte für das Geräte-Management mit Sophos Mobile Control sind: ■
Compliance-Regeln für Geräte konfigurieren. Siehe Compliance-Richtlinien (Seite 43).
■
Gerätegruppen erstellen. Siehe Gerätegruppe erstellen (Seite 71). Gerätegruppen dienen zur Kategorisierung von Geräten. Wir empfehlen, Geräte zu gruppieren. Da sich Aufträge auch für Gerätegruppen statt für Einzelgeräte ausführen lassen, können Sie Geräte so effizient verwalten.
■
Geräte registrieren und provisionieren. Siehe Geräte hinzufügen (Seite 51) und Geräte registrieren (Seite 53). Geräte können entweder von Administratoren über die Sophos Mobile Control Konsole, oder von Gerätebenutzern über das Self Service Portal registriert und provisioniert werden.
■
Profile und Sicherheitseinstellungen für Geräte einrichten. Siehe Profile und Richtlinien (Seite 72).
■
Auftragspakete erstellen. Siehe Auftragspakete (Seite 172).
■
Konfigurieren der im Self Service Portal verfügbaren Funktionen. Siehe Self Service Portal konfigurieren (Seite 26).
■
Neue oder aktualisierte Profile und Sicherheitseinstellungen auf registrierte Geräte anwenden.
13
Sophos Mobile Control
5 Dashboard Hinweis: Dieser Abschnitt beschreibt das Dashboard für reguläre Administratoren. Beim Superadministrator wird das Dashboard für die Verwaltung von Kunden verwendet. Siehe das englischsprachige Dokument Sophos Mobile Control Super Administrator Guide. Das konfigurierbare Dashboard ist die Startansicht von Sophos Mobile Control. Es bietet einen schnellen Überblick auf die wichtigsten Informationen. Es enthält mehrere Widgets, die Informationen liefern über: ■
Geräte, alle oder nach Gruppen unterteilt
■
Compliance-Status nach Plattform oder für alle Geräte
■
Managed-Status nach Plattform oder für alle Geräte
■
SSP-Registrierungsstatus
■
Plattformversionen, die in Verwendung sind
Außerdem gibt es ein spezielles Widget Gerät hinzufügen, mit dem der Geräteregistrierungs-Assistent aufgerufen wird. Siehe Mit dem Geräteregistrierungs-Assistent neue Geräte zuweisen und registrieren (Seite 54). Sie haben folgende Möglichkeiten, das Dashboard anzupassen:
14
■
Um ein Widget hinzuzufügen, klicken Sie auf Widget hinzufügen.
■
Um ein Widget zu entfernen, klicken Sie auf die Schaltfläche Schließen in der Titelleiste des Widgets.
■
Um die Seite auf das Standardlayout zurückzusetzen, klicken Sie auf Standard-Layout wiederherstellen.
■
Um die Position der Widgets auf der Seite zu ändern, ziehen Sie die Titelleiste eines Widgets.
Administratorhilfe
6 Berichte In Sophos Mobile Control können Sie verschiedene Berichte aus den folgenden Bereichen erstellen: ■
Geräte
■
Apps und Dokumente
■
Compliance-Verstöße
■
Malware
So erstellen Sie einen Bericht: 1. Klicken Sie im Abschnitt INFORMATION der Menüleiste auf Berichte, und klicken Sie anschließend auf den Namen des gewünschten Berichts. 2. Klicken Sie im Dialog Format auswählen auf eines der verfügbaren Symbole, um das Ausgabeformat auszuwählen: ■
Klicken Sie auf
, um den Bericht als Microsoft-Excel-Datei zu exportieren.
■
Klicken Sie auf
, um den Bericht als CSV-Datei zu exportieren.
Die Berichtdatei wird abhängig von den Download-Einstellungen Ihres Webbrowsers auf Ihrem Computer gespeichert.
15
Sophos Mobile Control
7 Aufträge Die Seite Auftragsstatus enthält eine Übersicht der von Ihnen erstellten oder gestarteten Aufträge mit ihrem aktuellen Status. Sie können alle Ihre Aufträge überwachen und bei Problemen eingreifen. Sie können beispielsweise einen Auftrag löschen, der offensichtlich nicht abgeschlossen werden kann, aber das Gerät blockiert. Um einen Auftrag zu löschen, klicken Sie auf das Löschen-Symbol neben dem Auftrag. Sie können Aufträge nach Typ und Status filtern, und sie nach Gerätenamen, Paketnamen, Ersteller und Auftragsdatum sortieren.
7.1 Aufträge überwachen In der Sophos Mobile Control Konsole können Sie alle vorhandenen Aufträge für Geräte überwachen. ■
Die Seite Aufträge zeigt alle noch nicht abgeschlossenen und fehlgeschlagenen Aufträge sowie die abgeschlossenen Aufträge der letzten Tage an. Die Seite Auftragsstatus wird automatisch aktualisiert. Sie können somit den Fortschritt der Aufträge verfolgen.
■
Die Seite Auftragsdetails zeigt allgemeine Informationen zu einem Auftrag aus der Seite Aufträge oder der Seite Auftragsarchiv.
■
Die Seite Auftragsarchiv zeigt alle Aufträge.
7.1.1 Nicht abgeschlossene, fehlgeschlagene und kürzlich abgeschlossene Aufträge anzeigen 1. Klicken Sie im Abschnitt INFORMATION der Menüleiste auf Aufträge. 2. Die Spalte Status auf der Seite Auftragsansicht zeigt den Auftragsstatus an, zum Beispiel Endgültig fehlgeschlagen. 3. Im Feld Aktualisierungsintervall (in Sek.) können Sie auswählen, wie oft die Seite Auftragsstatus aktualisiert werden soll. 4. Um weitere Details zu einem Auftrag einzusehen, klicken Sie auf das Anzeigen Lupensymbol neben den gewünschten Auftrag. Die Seite Auftragsdetails wird angezeigt. Neben allgemeinen Informationen zum Auftrag (zum Beispiel Gerätename, Paketname, Ersteller) zeigt diese Ansicht die Status, die ein bestimmter Auftrag durchlaufen hat, inklusive Zeitstempel und Fehlercodes. Wenn Kommandos vom Gerät auszuführen sind, wird auf der Seite Auftragsdetails zusätzlich eine Schaltfläche Details angezeigt.
16
Administratorhilfe
5. Falls verfügbar, klicken Sie auf Details, um die vom Gerät auszuführenden Kommandos einzusehen. Die an das Gerät geschickten Kommandos sind Teil des Auftrags. Sie werden von der SMC-App oder vom MDM-Client ausgeführt. Die Ergebnisse, die Erfolg oder Fehlschlag angeben, werden an den Server zurück gesendet. Ist kein Fehler aufgetreten, so lautet der Fehlercode "0". Ist ein Kommando fehlgeschlagen, so wird der entsprechende Fehlercode angezeigt. Meistens werden auch Informationen dazu angezeigt, was den Fehlschlag verursacht haben könnte. 6. Um zur Seite Auftragsdetails zurückzukehren, klicken Sie auf Zurück.
7.1.2 Auftragsarchiv anzeigen 1. Klicken Sie im Abschnitt INFORMATION der Menüleiste auf Aufträge. 2. Klicken Sie auf der Seite Auftragsstatus auf Auftragsarchiv. Die Seite Auftragsarchiv wird angezeigt. Sie zeigt alle abgeschlossenen und fehlgeschlagenen Aufträge im System. 3. Auf dieser Seite können Sie folgende Aufgaben durchführen: ■ ■
■
Klicken Sie auf Neu laden, um die Seite Auftragsarchiv zu aktualisieren. Löschen Sie einen Auftrag aus dem Archiv , indem Sie auf das Löschen-Symbol neben dem relevanten Auftrag klicken. Wählen Sie mehrere Aufträge aus und klicken Sie auf Gewählte löschen, um sie aus dem Archiv zu löschen.
Um zur Seite Auftragsstatus zurückzugehen, klicken Sie in der Menüleiste auf Aufträge.
7.1.3 Auftragsstatus Die folgende Tabelle bietet einen Überblick der Auftragsstatus, die auf den Seiten Auftragsstatus und Auftragsarchiv angezeigt werden. Jedem Status ist eine Farbe zugeordnet, welche die Statuskategorie anzeigt.
Farbschlüssel Status
Beschreibung
Angenommen
Auftrag wurde erstellt.
Wiederholung geplant
Auftrag wird später wiederholt.
Gestartet
Auftrag wurde gestartet.
In Bearbeitung
Auftragsausführung wird vorbereitet.
Auftragspaket wird bearbeitet Auftragspaket-Ausführung wird vorbereitet. Benachrichtigt
SMC App wurde benachrichtigt.
Befehle gesendet
SMC App hat das Paket oder die Kommandos erhalten.
17
Sophos Mobile Control
Farbschlüssel Status
Beschreibung
Ergebnisauswertung gestartet
SMC App hat geantwortet und die Auswertung des Ergebnisses wurde gestartet.
Ergebnis unvollständig
Ergebnisauswertung hat ergeben, dass noch nicht alle Ergebnisse des Kommandos empfangen wurden.
Warte auf Benutzer-Aktion
Eine Benutzer-Aktion auf dem Gerät steht aus.
Gerät ist gesperrt
Auftrag wartet darauf, dass das Gerät entsperrt wird (nur für iOS).
Erfolgreich
Paket wurde installiert oder die Kommandos wurden erfolgreich ausgeführt. Hinweis: Für die Ersteinrichtung (Provisionierung) der App „Sophos Mobile Control“ muss der Auftrag mit dem Status „Installiert“ beendet werden.
Installiert
Die App „Sophos Mobile Control“ wurde erfolgreich installiert. Das Gerät ist nun provisioniert.
Ergebnisauswertung fehlgeschlagen
Ergebnisauswertung konnte nicht durchgeführt werden.
Auftrag teilweise fehlgeschlagen
Nicht alle Kommandos des Auftrags konnten erfolgreich ausgeführt werden.
Verschoben
Auftrag wird später erneut gestartet.
Fehlgeschlagen (wird wiederholt)
Auftrag ist fehlgeschlagen und wird später wiederholt.
Auftrag fehlgeschlagen
Auftrag ist fehlgeschlagen und wird nicht wiederholt.
Endgültig fehlgeschlagen
Auftrag ist fehlgeschlagen und kann nicht wiederholt werden.
Nicht gestartet
Auftrag ist Teil eines Auftragspakets und wurde noch nicht ausgeführt.
Sitzung angefordert
Eine AirPlay-Sitzung wurde angefordert (nur für iOS).
Unbekannt
Der Server hat keine Information zum Auftragsstatus.
Farbschlüssel Kategorie Öffnen
18
Administratorhilfe
Farbschlüssel Kategorie In Bearbeitung Erfolgreich Fehlgeschlagen Sonstiges
19
Sophos Mobile Control
8 Allgemeine Einstellungen Auf der Seite Allgemeine Einstellungen können Sie einige grundlegende Einstellungen für Sophos Mobile Control konfigurieren.
8.1 Persönliche Einstellungen konfigurieren Damit Sie die Sophos Mobile Control Konsole möglichst effizient nutzen können, lässt sich die Benutzeroberfläche so anpassen, dass nur die Plattformen, mit denen Sie arbeiten möchten, angezeigt werden. Hinweis: Die Konfiguration der Plattformen ändern Sie lediglich die Ansicht des aktuell angemeldeten Benutzers. Sie können an dieser Stelle keine Funktionen deaktivieren. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Allgemein und klicken Sie anschließend auf die Registerkarte Persönlich.
20
Administratorhilfe
2. Konfigurieren Sie folgende Einstellungen: Option
Beschreibung
Sprache
Wählen Sie die Sprache für die Sophos Mobile Control Konsole aus.
Zeitzone
Wählen Sie die Zeitzone für die Datumsanzeige.
Maßsystem
Wählen Sie das Maßsystem für Längenwerte aus (Metrisch oder Imperial).
Datensätze pro Tabellenseite Wählen Sie die maximale Anzahl an Tabellenzeilen aus, die pro Seite angezeigt werden sollen. Erweiterte Gerätedetails anzeigen
Wählen Sie dieses Kontrollkästchen, um alle verfügbaren Informationen über das Gerät anzuzeigen. Die Registerkarten Benutzerdefinierte Eigenschaften und Interne Eigenschaften werden der Seite Gerät anzeigen hinzugefügt.
Aktivierte Plattformen
Wählen Sie die Plattformen aus, die Sie für den Kunden verwalten wollen: Android iOS Windows Mobile (beinhaltet Windows Phone 8.1 und Windows 10 Mobile) Windows Desktop Die Benutzeroberfläche der Sophos Mobile Control Konsole wird entsprechend der ausgewählten Plattformen angepasst. Es werden nur Ansichten und Features angezeigt, die für die ausgewählten Plattformen relevant sind. Hinweis: Die Liste der verfügbaren Plattformen richtet sich nach den Einstellungen aus der Super-Administrator-Konfiguration. Weitere Informationen finden Sie im englischsprachigen Dokument Sophos Mobile Control Super Administrator Guide.
3. Klicken Sie auf Speichern.
8.2 Kennwortrichtlinien konfigurieren Um die Sicherheit von Kennwörtern durchzusetzen, konfigurieren Sie Kennwortrichtlinien für Benutzer der Sophos Mobile Control Konsole und des Self Service Portal. Hinweis: Die Kennwortrichtlinien gelten nicht für Benutzer eines externen LDAP-Verzeichnisses. Informationen zur externen Benutzerverwaltung finden Sie im englischsprachigen Dokument Sophos Mobile Control Super Administrator Guide. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Allgemein und klicken Sie anschließend auf die Registerkarte Kennwortrichtlinien. 2. Unter Regeln können Sie Anforderungen an Kennworte definieren, zum Beispiel die Mindestanzahl der Kleinbuchstaben, Großbuchstaben oder Ziffern, damit das Kennwort gültig ist.
21
Sophos Mobile Control
3. Konfigurieren Sie unter Einstellungen folgende Einstellungen: a) Änderungsintervall (Tage): Geben Sie die Kennwort-Gültigkeitsdauer in Tagen ein (zwischen 1 und 730), oder lassen Sie das Feld leer, wenn Kennworte nicht ablaufen sollen. b) Anzahl der letzten Kennwörter, die nicht benutzt werden dürfen: Wählen Sie einen Wert zwischen 1 und 10, oder wählen Sie ---, um diese Einschränkung zu deaktivieren. c) Maximale Anzahl fehlerhafter Loginversuche: Wählen Sie die maximale Anzahl an fehlgeschlagenen Login-Versuchen bevor das Konto gesperrt wird (zwischen 1 und 10), oder wählen Sie ---, um unbegrenzt viele Login-Versuche zuzulassen. 4. Klicken Sie auf Speichern.
8.3 Einstellungen der SMC-App konfigurieren Auf der Registerkarte SMC App der Seite Allgemeine Einstellungen konfigurieren Sie Einstellungen für die App „Sophos Mobile Control“ auf Android-, iOS- und Windows-Mobile-Geräten. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Allgemein und klicken Sie anschließend auf die Registerkarte SMC App. 2. Konfigurieren Sie folgende Einstellungen: Option
Beschreibung
Deregistrierung über die App Entfernen Sie die Schaltfläche Deregistrieren in der App „Sophos deaktivieren Mobile Control“, um zu verhindern, dass Benutzer ihr Gerät aus der App heraus deregistrieren. Hinweis: Um eine Deregistrierung durch den Benutzer vollständig zu verhindern, deaktivieren Sie zusätzlich die Option Gerät deregistrieren in den Einstellungen für das Self Service Portal. Siehe Self-Service-Portal-Einstellungen konfigurieren (Seite 27).
3. Klicken Sie auf Speichern.
8.4 Baidu Cloud Push aktivieren Sophos Mobile Control verwendet den Dienst Google Cloud Messaging (GCM), um Push-Benachrichtigungen an Android-Geräte zu senden, damit diese sich mit dem Sophos Mobile Control Server verbinden. In China funktioniert GCM wahrscheinlich nicht. Sophos Mobile Control kann darum zusätzlich Baidu Cloud Push verwenden, einen chinesischen Dienst für Push-Benachrichtigungen. Falls Sie Android-Geräte verwalten, die sich in China befinden, aktivieren Sie folgendermaßen Baidu Cloud Push: 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Allgemein und klicken Sie anschließend auf die Registerkarte Android. 2. Wählen Sie im Abschnitt Baidu Cloud Push die Option Baidu Cloud Push aktivieren aus. 3. Klicken Sie auf Speichern.
22
Administratorhilfe
Wenn Baidu Cloud Push aktiviert ist, sendet Sophos Mobile Control alle Push-Benachrichtigungen sowohl über GCM als auch über Baidu Cloud Push.
8.5 Einstellungen für iOS konfigurieren Auf der Registerkarte iOS der Seite Allgemeine Einstellungen konfigurieren Sie spezielle Einstellungen für iOS-Geräte. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Allgemein und klicken Sie anschließend auf die Registerkarte iOS. 2. Konfigurieren Sie folgende Einstellungen: Option
Beschreibung
Aktivierungssperre-Umgehung Wählen Sie Aktivieren aus, um bei betreuten Geräten eine Aktivierungssperre bei Bedarf umgehen zu können. Wenn diese Option ausgewählt ist, ruft Sophos Mobile Control einen Umgehungs-Code ab, wenn es sich mit einem betreuten Gerät synchronisiert, bei dem eine Aktivierungssperre eingerichtet ist. Bei Bedarf können Sie auf der Seite Gerät anzeigen des Gerätes die Aktion Aktivierungssperre-Umgehung ausführen, um die Aktivierungssperre zu entfernen, wenn das Gerät zurückgesetzt und neu bereitgestellt werden soll. Die Aktivierungssperre ist eine Sicherheitsfunktion von iOS, um im Falle eines Geräteverlustes oder Diebstahls eine neue Geräte-Aktivierung zu verhindern. Normalerweise benötigen Sie die bei der Einrichtung angegebene Apple-ID und das Kennwort, um eine Aktivierungssperre zu entfernen. Mit Hilfe der Aktivierungssperre-Umgehung können Sie die Aktivierungssperre entfernen, indem Sie lediglich den Umgehungs-Code angeben.
Gerätenamen synchronisieren Wählen Sie Aktivieren aus, um iOS-Geräte unter dem Namen zu verwalten, der im Gerät konfiguriert ist. Wenn diese Option aktiviert ist, liest Sophos Mobile Control den Gerätenamen bei jeder Synchronisierung. Wenn diese Option deaktiviert ist, legen Sie den Gerätenamen bei der Registrierung fest.
3. Klicken Sie auf Speichern.
8.6 Poll-Intervall für Windows-Geräte konfigurieren Für Windows-Geräte können Sie das Poll-Intervall konfigurieren, in dem sich der Windows-MDM-Client mit dem Sophos Mobile Control Server verbindet. Normalerweise verwendet der Server Push-Benachrichtungen, um sich mit den Clients zu verbinden. Polling wird nur zur Sicherheit verwendet, falls der Push Notification Service nicht verfügbar ist.
23
Sophos Mobile Control
Hinweis: Die Standardwerte sind in den meisten Fällen ausreichend. Kürzere Intervalle wirken sich negativ auf Akkulaufzeit und Datenverbrauch aus und verursachen eine höhere Server-Last. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Allgemein und klicken Sie anschließend auf die Registerkarte Windows. 2. Wählen Sie Poll-Intervalle für die verschiedenen Windows-Betriebssysteme aus. Sie können individuelle Einstellungen vornehmen für: ■ ■
Geräte mit Windows 10 Mobile und Windows Phone 8.1 Geräte mit Windows 10 Desktop
3. Klicken Sie auf Speichern.
8.7 E-Mail konfigurieren Auf der Registerkarte E-Mail-Konfiguration konfigurieren Sie die Einstellungen für E-Mails, die von Sophos Mobile Control an die Benutzer verschickt werden. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Allgemein und klicken Sie anschließend auf die Registerkarte E-Mail-Konfiguration. 2. Wählen Sie in der Liste Sprache die Sprache aus, in der die E-Mails verschickt werden. 3. Geben Sie im Feld Absendername den Namen ein, der als E-Mail-Absender verwendet wird. 4. Klicken Sie auf Speichern.
8.8 Kontaktdetails für technische Unterstützung konfigurieren Um Benutzer bei Fragen oder Problemen zu unterstützen, können Sie ihnen die Kontaktinformationen für die technische Unterstützung mitteilen. Die Informationen, die Sie hier eingeben, werden in der App „Sophos Mobile Control“ und im Self Service Portal angezeigt. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Allgemein und klicken Sie anschließend auf die Registerkarte Technischer Kontakt. 2. Geben Sie die erforderlichen Informationen für den technischen Kontakt ein. 3. Klicken Sie auf Speichern.
8.9 Kundeneigenschaften definieren Sie können für jeden Kunden spezifische Eigenschaften definieren. Wenn Sie eine Eigenschaft Meine Eigenschaft festlegen, können Sie in Profilen und Richtlinien den Platzhalter %_CUSTPROP(Meine Eigenschaft)_% verwenden, um den Wert der Eigenschaft zu referenzieren. Sie können dies zum Beispiel verwenden, um Domänen zu referenzieren, die nur für den Kunden gelten. Einzelheiten finden Sie in Platzhalter in Profilen und Richtlinien (Seite 75). So definieren Sie eine Kundeneigenschaft: 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Allgemein und klicken Sie anschließend auf die Registerkarte Kundeneigenschaft. 2. Klicken Sie auf Kundeneigenschaft hinzufügen.
24
Administratorhilfe
3. Geben Sie einen Name und einen Wert für die neue Eigenschaft ein. 4. Klicken Sie auf Anwenden, um die Eigenschaft zu erstellen. 5. Klicken Sie auf Speichern, um die Kundeneinstellungen zu speichern.
25
Sophos Mobile Control
9 Self Service Portal konfigurieren Mit dem Self Service Portal können Sie IT-Aufwände reduzieren, indem Sie den Benutzern ermöglichen, eigenständig Geräte zu registrieren und andere Aufgaben auszuführen, ohne dazu den Helpdesk zu kontaktieren. Über die Menüleiste können Sie Einstellungen für die Verwendung des Self Service Portal konfigurieren. Zum Beispiel: ■
Für welche Plattformen Geräte registriert werden können.
■
Welche Funktionen verfügbar sind.
■
Welche Benutzer berechtigt sind, das Self Service Portal zu verwenden.
9.1 Self-Service-Portal-Gruppen bei interner Benutzerverwaltung erstellen Self Service Portal Konfigurationen werden auf Gruppen von Self Service Portal Benutzern angewendet. Mit der internen Benutzerverwaltung können Sie Self Service Portal Gruppen erstellen und ihnen Benutzer zuweisen. Für weitere Informationen zur Benutzerverwaltung siehe Self-Service-Portal-Benutzer verwalten (Seite 31). Hinweis: Die interne Benutzerverwaltung steht nur dann für einen Kunden zur Verfügung, wenn sie vom Superadministrator aktiviert wurde. Weitere Informationen finden Sie im englischsprachigen Dokument Sophos Mobile Control Super Administrator Guide. Beachten Sie, dass dies nicht für Sophos Mobile Control as a Service gilt. Superadministratoren werden für Sophos Mobile Control as a Service nicht unterstützt. Informationen darüber, wie Sie die Methoden für die Benutzerverwaltung für Sophos Mobile Control as a Service festlegen, finden Sie unter Self-Service-Portal-Benutzerverwaltung konfigurieren (Seite 31). So erstellen Sie eine Self Service Portal Gruppe: 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Benutzer. Die Seite Benutzer anzeigen wird angezeigt. 2. Klicken Sie auf Benutzergruppen anzeigen. Die Seite Benutzergruppen anzeigen wird angezeigt. 3. Klicken Sie auf Gruppe erstellen. Die Seite Gruppe bearbeiten wird angezeigt. 4. Geben Sie im Feld Name einen Namen für die neue Self Service Portal Gruppe ein. 5. Klicken Sie auf Speichern. Die neue Benutzergruppe für das Self Service Portal wird auf der Seite Benutzergruppen anzeigen angezeigt. Wenn Sie neue Benutzer erstellen, können Sie diese der Gruppe zuweisen. Wenn Sie Self Service Portal Einstellungen definieren, können Sie die Gruppe auswählen und Ihr die Einstellungen zuweisen.
26
Administratorhilfe
9.2 Self-Service-Portal-Einstellungen konfigurieren 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung und klicken Sie anschließend auf Self Service Portal. Die Seite Self Service Portal wird angezeigt. 2. Konfigurieren Sie auf der Registerkarte Konfiguration folgende Einstellungen: a) Wählen Sie in der Liste Maximale Anzahl an Geräten die maximale Anzahl an Geräten aus, die ein Benutzer im Self Service Portal registrieren kann. Hierdurch wird gewährleistet, dass die Anzahl verfügbarer Lizenzen nicht überschritten wird. b) Wählen Sie in der Liste Vorauswahl Gerätebesitzer aus, ob neue Geräte als Firmengeräte oder als Privatgeräte eingestuft werden, und ob die Benutzer diese Einstellung ändern dürfen, wenn sie ihre Geräte über das Self Service Portal registrieren. Sie können eine der folgenden Einstellungen auswählen: ■
Keine Vorauswahl: Der Besitzertyp wird im Self Service Portal nicht vorausgewählt. Benutzer können den Gerätetyp auswählen.
■
Firmengerät (vorausgewählt): Im Self Service Portal ist Firmengerät vorausgewählt. Benutzer können diese Einstellung in Privatgerät ändern.
■
Firmengerät (fest): Gerätetyp kann nicht ausgewählt werden. Als Besitzer wird Firma angezeigt.
■
Privatgerät (vorausgewählt): Im Self Service Portal ist Privatgerät vorausgewählt. Benutzer können diese Einstellung in Firmengerät ändern.
■
Privatgerät (fest): Gerätetyp kann nicht ausgewählt werden. Als Besitzer wird Privat angezeigt.
c) Wählen Sie unter Verfügbare Funktionen die Funktionen aus, die Benutzern im Self Service Portal zur Verfügung stehen sollen. Die Funktionen variieren je nach Geräteplattform. Siehe Verfügbare Self-Service-Portal-Einstellungen (Seite 28). 3. Konfigurieren Sie auf der Registerkarte Nutzungsbedingungen eine Mobil-Richtlinie, einen Haftungshinweis oder eine Vereinbarung. Dieser Text wird im ersten Schritt angezeigt, wenn Benutzer ihre Geräte registrieren. Benutzer müssen diesem Text zustimmen, bevor sie fortfahren können. Für den Text werden HTML-Formatierungs-Tags unterstützt. Der Text wird entsprechend im jeweiligen Browser angezeigt. 4. Konfigurieren Sie auf der Registerkarte Installations-Abschlusstext den Text, der im Self Service Portal nach der automatischen Installation angezeigt wird. Mit diesem Text können Sie den Benutzern die nächsten Schritte mitteilen, zum Beispiel die Konfiguration des Servers in der iOS-App oder die Konfiguration der E-Mail-App bei Android. Für den Text werden HTML-Formatierungs-Tags unterstützt. Der Text wird entsprechend im ausgewählten Browser angezeigt. 5. Konfigurieren Sie auf der Registerkarte Gruppeneinstellungen die Gruppeneinstellungen, zum Beispiel die Gerätegruppen, zu denen registrierte Geräte hinzugefügt werden, und das Auftragspaket, welches auf die Geräte übertragen wird. Wichtig: Aufgrund der komplexen Konfigurationsmöglichkeiten der Gruppeneinstellungen empfehlen wir, dass Sie die Geräteregistrierung mit verschiedenen Benutzergruppen testen, bevor Sie die Einstellungen Ihren Benutzern zur Verfügung stellen. a) Klicken Sie auf Hinzufügen.
27
Sophos Mobile Control
Die Seite Gruppeneinstellungen bearbeiten wird angezeigt. b) Geben Sie einen Name für die Self Service Portal Konfigurationsgruppe ein. c) Geben Sie im Feld Verzeichnisgruppe die Self Service Portal Gruppe ein, die Sie in der internen oder externen Benutzerverwaltung definiert haben, oder die Active Directory Gruppe mit ihrem vollen LDAP-Pfad oder Platzhaltern. In diesem Feld können Sie den Platzhalter * als erstes, letztes oder einziges Zeichen verwenden, um mehrere Gruppen anzugeben. Zum Beispiel: Geben Sie Dev* ein, um alle Gruppen anzugeben, die mit der Zeichenfolge Dev beginnen. Geben Sie * ein, um alle verfügbaren Gruppen anzugeben. d) Wählen Sie aus, ob die Texte, die auf den Registerkarten Nutzungsbedingungen und Installations-Abschlusstext konfiguriert sind, angezeigt werden sollen. e) Wählen Sie in den Spalten Einrichtungspaket - Firmengeräte und Einrichtungspaket - Privatgeräte das Auftragspaket (für Android und iOS) bzw. die Richtlinie (für Windows Mobile und Windows Desktop) aus, die auf Firmengeräten und Privatgeräten ausgeführt werden soll. f) Wählen Sie in der Spalte Aktiv die Plattformen aus, die im Self Service Portal verfügbar sein sollen. Damit Sie eine Plattform auswählen können, müssen Sie erst ein Einrichtungspaket auswählen. g) Wählen Sie in der Spalte Einfügen in Gerätegruppe die Gruppe, zu der das Gerät hinzugefügt werden soll. Hinweis: In der Menüleiste ist eine Gerätegruppe Default verfügbar. Wenn Sie noch keine eigenen Gerätegruppen definiert haben, können Sie Geräte zu dieser Gruppe hinzufügen. Weitere Informationen finden Sie in Gerätegruppen (Seite 71). h) Klicken Sie auf Anwenden. 6. Die Seite Self Service Portal wird angezeigt. Klicken Sie auf Speichern. Hinweis: Als Superadministrator können Sie auch einen Standard-Kunden festlegen, an dem sich die Benutzer im Self Service Portal anmelden. Weitere Informationen finden Sie im englischsprachigen Dokument Sophos Mobile Control Super Administrator Guide. Beachten Sie, dass dies nicht für Sophos Mobile Control as a Service unterstützt wird. Superadministratoren werden für Sophos Mobile Control as a Service nicht unterstützt.
9.3 Verfügbare Self-Service-Portal-Einstellungen Die folgende Tabelle zeigt die Funktionen des Self Service Portal, die Sie aktivieren oder deaktivieren können (siehe Self-Service-Portal-Einstellungen konfigurieren (Seite 27)) und die jeweils unterstützten Geräteplattformen.
28
Einstellung
Beschreibung
Gerätestandort bestimmen
Mit dieser Funktion können Benutzer ihre Geräte bei Verlust oder Diebstahl orten.
Android
iOS
Windows Mobile
Windows Desktop
Administratorhilfe
Einstellung
Beschreibung
Gerät sperren
Mit dieser Funktion können Benutzer ihre Geräte bei Verlust oder Diebstahl sperren.
Neukonfiguration
Mit dieser Funktion können Benutzer ihre Geräte neu konfigurieren, wenn Sophos Mobile Control vom Gerät entfernt wurde, das Gerät jedoch noch registriert ist.
Android
iOS
Windows Mobile
Windows Desktop
Compliance-Verstöße Mit dieser Funktion können anzeigen Benutzer die vorhandenen Compliance-Verstöße ihrer Geräte anzeigen. Daten aktualisieren
Mit dieser Funktion können Benutzer ihre Geräte manuell mit dem Sophos Mobile Control Server synchronisieren. Dies ist zum Beispiel nützlich, wenn das Gerät längere Zeit ausgeschaltet war und daher nicht mit dem Server synchronisiert wurde. In diesem Fall entspricht das Gerät möglicherweise nicht den Compliance-Regeln und muss mit dem Server synchronisiert werden, damit es die Regeln wieder erfüllt.
Kennwort zurücksetzen
Mit dieser Funktion können Benutzer das Kennwort für das Entsperren des Bildschirms zurücksetzen. Für Geräte mit Android und iOS wird ein temporäres Kennwort im Self Service Portal angezeigt. Das Gerät kann nur mit diesem Kennwort entsperrt werden. Nach dem Entsperren kann der Benutzer ein neues Kennwort festlegen. Für iOS-Geräte wird das Kennwort vollständig gelöscht. Der Benutzer muss innerhalb von 60 Minuten ein neues Kennwort definieren.
29
Sophos Mobile Control
Einstellung
Beschreibung
Zurücksetzen
Mit dieser Funktion können Benutzer Ihre registrierten Geräte bei Verlust oder Diebstahl auf den Auslieferungszustand zurücksetzen. Alle Daten auf dem Gerät werden gelöscht. Auf Geräten, die bei Android for Work registriert sind, wird nur das Arbeitsprofil entfernt. Das Gerät selber wird nicht zurückgesetzt.
Gerät deregistrieren
Mit dieser Funktion können Benutzer Geräte deregistrieren, die nicht mehr benutzt werden. Dies ist zum Beispiel nützlich, wenn die Anzahl an Geräten, die Benutzer im Self Service Portal registrieren können, begrenzt ist, oder wenn Benutzer ein neues Gerät erhalten.
Nicht verwaltetes Gerät löschen
Mit dieser Funktion können Benutzer deregistrierte Geräte löschen.
App-Protection-Kennwort Mit dieser Funktion können zurücksetzen Benutzer ihr App-Protection-Kennwort auf Android Geräten zurücksetzen. Das App-Protection-Kennwort schützt definierte Apps und muss jedes Mal eingegeben werden, wenn Benutzer diese Apps starten. Das Kennwort wird gelöscht und die Benutzer müssen ein neues Kennwort definieren. Sophos-Container-Kennwort Mit dieser Funktion können zurücksetzen Benutzer das Sophos-Container-Kennwort zurücksetzen. Das Sophos-Container-Kennwort muss jedes Mal eingegeben werden, wenn Benutzer eine der Container-Apps starten. Das Kennwort wird gelöscht und die Benutzer müssen ein neues Kennwort definieren.
30
Android
iOS
Windows Mobile
Windows Desktop
Administratorhilfe
Einstellung
Beschreibung
SMC-App neu konfigurieren
Mit dieser Funktion können Benutzer eine bereits installierte App „Sophos Mobile Control“ neu konfigurieren.
Android
iOS
Windows Mobile
Windows Desktop
9.4 Self-Service-Portal-Benutzer verwalten Sophos Mobile Control bietet verschiedene Arten der Verwaltung von Self-Service-Portal-Benutzern: ■
Interne Benutzerverwaltung: Mit der internen Benutzerverwaltung können Sie Benutzer erstellen, indem Sie diese manuell zu Sophos Mobile Control hinzufügen oder aus einer CSV-Datei importieren.
■
Externe Benutzerverwaltung: Mit der externer Benutzerverwaltung können Sie Geräte zu Gruppen und Profilen auf der Grundlage der Directory-Zugehörigkeit zuweisen.
Die Art der Benutzerverwaltung ist kundenspezifisch. Bei lokalen Installationen von Sophos Mobile Control wird sie vom Superadministrator definiert, wenn ein Kunde erstellt wird. Bei Sophos Mobile Control as a Service definieren Sie die Art, bevor Sie den ersten Benutzer hinzufügen. Siehe Self-Service-Portal-Benutzerverwaltung konfigurieren (Seite 31).
9.4.1 Self-Service-Portal-Benutzerverwaltung konfigurieren Hinweis: Bei lokalen Installationen von Sophos Mobile Control wird die Benutzerverwaltung für das Self Service Portal vom Superadministrator festgelegt, wenn ein Kunde erstellt wird. Siehe das englischsprachige Dokument Sophos Mobile Control Super Administrator Guide. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung und klicken Sie anschließend auf Systemeinstellungen. Die Seite Systemeinstellungen wird angezeigt. 2. Wechseln Sie in die Registerkarte Benutzerverzeichnis.Wählen Sie in dieser Registerkarte unter die Datenquelle für die mit Sophos Mobile Control zu verwaltenden Self Service Portal (SSP) Benutzer aus: ■
■
■
Kein Verzeichnis. SSP, benutzerspezifische Profile und LDAP-Administratoren sind nicht verfügbar. Wählen Sie Internes Verzeichnis, um die interne Benutzerverwaltung für Benutzer des Sophos Mobile Control Self Service Portal zu verwenden. Wählen Sie Externes LDAP-Verzeichnis, um externe Benutzerverwaltung für Benutzer des Sophos Mobile Control Self Service Portal zu verwenden. Klicken Sie auf Externes Benutzerverzeichnis (LDAP) konfigurieren, um die Serverdaten anzugeben. Siehe Externes Benutzerverzeichnis anbinden (Seite 32).
31
Sophos Mobile Control
3. Klicken Sie auf Speichern. Wenn Sie Internes Verzeichnis oder Externes LDAP-Verzeichnis ausgewählt haben, wird die ausgewählte Option und die Option Kein Verzeichnis. SSP, benutzerspezifische Profile und LDAP-Administratoren sind nicht verfügbar auf der Registerkarte Benutzerverzeichnis angezeigt. Wenn Sie Ihre Auswahl nachträglich ändern möchten, wählen Sie zuerst Kein Verzeichnis. SSP, benutzerspezifische Profile und LDAP-Administratoren sind nicht verfügbar, damit alle Optionen zur Verfügung stehen. Hinweis: Die Benutzerverwaltungskonfiguration kann nicht geändert werden, solange Geräte mit dem Verzeichnis verbunden sind. Wenn Sie versuchen, die Konfiguration zu ändern, während noch Geräte verbunden sind, wird eine Fehlermeldung angezeigt.
9.4.1.1 Externes Benutzerverzeichnis konfigurieren Wenn Sie ein externes LDAP-Verzeichnis für die Verwaltung der Benutzerkonten für die Sophos Mobile Control Konsole und für das Self Service Portal verwenden, müssen Sie die Verbindung zu diesem Verzeichnis konfigurieren, damit Sophos Mobile Control die Benutzerdaten vom LDAP-Server abrufen kann. Bei lokalen Installationen von Sophos Mobile Control macht dies der Superadministrator beim Erstellen eines Kunden. Hinweis: Zwischen dem LDAP-Verzeichnis und Sophos Mobile Control findet keine Synchronisierung statt. Sophos Mobile Control greift auf das LDAP-Verzeichnis nur zu, um Benutzerinformationen nachzuschlagen. Änderungen an einem LDAP-Benutzerkonto wirken sich nicht auf die Sophos Mobile Control Datenbank aus, und umgekehrt. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Systemeinstellungen, und klicken Sie anschließend auf die Registerkarte Benutzerverzeichnis. 2. Wählen Sie Externes LDAP-Verzeichnis aus. 3. Klicken Sie auf Externes Benutzerverzeichnis (LDAP) konfigurieren, um die Serverdaten anzugeben. 4. Konfigurieren Sie auf der Seite LDAP-Server-Details die folgenden Einstellungen: a) Wählen Sie den LDAP-Typ aus. Sophos Mobile Control unterstützt: ■
Active Directory
■
IBM Domino
■
NetIQ eDirectory
■
Red Hat Directory Server
■
Zimbra
b) Geben Sie im Feld Primäre URL die URL des primären Verzeichnisservers ein. Sie können die Server-IP-Adresse oder den Servernamen eingeben. Wählen Sie SSL aus, um SSL für die Serververbindung zu verwenden. Für Sophos Mobile Control as a Service kann SSL nicht deaktiviert werden. c) Optional: Geben Sie im Feld Sekundäre URL die URL eines Verzeichnisservers ein, auf den ausgewichen wird, falls der primäre Server nicht erreichbar ist. Sie können die Server-IP-Adresse oder den Servernamen eingeben. Wählen Sie SSL aus, um SSL für die Serververbindung zu verwenden. Für Sophos Mobile Control as a Service kann SSL nicht deaktiviert werden. d) Geben Sie im Feld Benutzer einen Benutzer ein, der für Nachschlage-Operationen auf dem Verzeichnisserver verwendet wird. Sophos Mobile Control verwendet dieses Konto, wenn es sich mit dem Verzeichnisserver verbindet.
32
Administratorhilfe
Für Active Directory müssen Sie außerdem die relevante Domäne eingeben. Folgende Formate werden unterstützt: ■
\
■
@.
Hinweis: Aus Sicherheitsgründen empfehlen wir, dass Sie einen Benutzer angeben, der nur Leserechte auf dem Verzeichnisserver hat, aber keine Schreibrechte. e) Geben Sie im Feld Kennwort das Kennwort für den Benutzer ein. Klicken Sie auf Next. 5. Geben Sie auf der Seite Suchbasis den Distinguished Name (DN) des Suchbasisobjekts ein. Das Suchbasisobjekt definiert den Ausgangspunkt im LDAP-Verzeichnis für die Suche nach einem Benutzer oder einer Benutzergruppe. 6. Definieren Sie auf der Seite Suchfelder, welche Verzeichnisfelder zum Auflösen der Platzhalter %_USERNAME_% und %_EMAILADDRESS_% in Profilen und Richtlinien verwendet werden. Geben Sie die gewünschten Feldnamen ein oder wählen Sie diese aus den Listen Benutzername und E-Mail aus. Hinweis: Die Listen enthalten nur Felder, die für den aktuell am LDAP-Verzeichnis angemeldeten Benutzer konfiguriert sind, d.h. für den zuvor in Schritt 7.d angegebenen Benutzer. Wenn zum Beispiel kein E-Mail-Feld für diesen Benutzer konfiguriert ist, müssen Sie den gewünschten Wert manuell in das Feld E-Mail eintragen. Für Active Directory gelten diese Feld-Zuordnungen: ■
Benutzername: sAMAccountName
■
Vorname: givenName
■
Nachname: sn
■
E-Mail: mail
7. Geben Sie auf der Seite SSP-Konfiguration an, welche Benutzer sich am Self Service Portal anmelden dürfen. Geben Sie die relevanten Informationen im Feld SSP-Gruppe ein. Sie haben folgende Möglichkeiten: ■
■
■
Geben Sie ein Sternchen * ein, damit sich alle authentifizierten Verzeichnisbenutzer am Self Service Portal anmelden dürfen. Geben Sie den Namen einer auf dem Verzeichnis-Server definierten Gruppe ein, damit sich alle Mitglieder dieser Gruppe am Self Service Portal anmelden dürfen. Wenn Sie die Gruppe eingegeben haben, klicken Sie auf Gruppe finden, um den Gruppennamen in einen Distinguished Name (DN) aufzulösen. Lassen Sie das Feld leer, damit sich keine Benutzer des Verzeichnis-Servers am Self Service Portal anmelden dürfen. Hierdurch wird die externe Benutzerverwaltung nur für die Sophos Mobile Control Konsole verwendet, aber nicht für das Self Service Portal.
Hinweis: Die Gruppe, die Sie hier angeben, ist unabhängig von der Verzeichnisgruppe, die Sie auf der Registerkarte Gruppeneinstellungen der Seite Self Service Portal definieren. Mit den Einstellungen dort definieren Sie Auftragspakete, Gruppenzugehörigkeit in Sophos Mobile Control und die für jede Verzeichnisgruppe verfügbaren Geräteplattformen. 8. Klicken Sie auf Anwenden. 9. Klicken Sie auf der Registerkarte Benutzerverzeichnis auf Speichern.
33
Sophos Mobile Control
9.4.2 Self-Service-Portal-Benutzer bei interner Benutzerverwaltung erstellen Voraussetzung: Die interne Benutzerverwaltung ist für den Kunden, an dem Sie angemeldet sind, aktiviert. Für lokale Installationen erfolgt dies durch den Superadministrator in der Kundenverwaltung. Weitere Informationen finden Sie im englischsprachigen Dokument Sophos Mobile Control Super Administrator Guide. Beachten Sie, dass dies nicht für Sophos Mobile Control as a Service gilt. Superadministratoren werden für Sophos Mobile Control as a Service nicht unterstützt. Informationen darüber, wie Sie die Methoden für die Benutzerverwaltung für Sophos Mobile Control as a Service festlegen, finden Sie unter Self-Service-Portal-Benutzerverwaltung konfigurieren (Seite 31). 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Benutzer. Die Seite Benutzer anzeigen wird angezeigt. 2. Klicken Sie auf Benutzer erstellen. Die Seite Benutzer bearbeiten wird angezeigt. 3. Wählen Sie das Kontrollkästchen Willkommens-E-Mail senden aus. 4. Geben Sie folgende Informationen ein: a) Benutzername b) Vorname c) Nachname d) E-Mail-Adresse e) Gruppen (optional) Klicken Sie auf Anzeigen, um alle verfügbaren Benutzergruppen anzuzeigen, und wählen Sie eine Gruppe aus. 5. Klicken Sie auf Speichern. Der neue Self Service Portal Benutzer wird auf der Seite Benutzer anzeigen angezeigt. Eine Willkommen-E-Mail wird an den neuen Benutzer gesendet. Wenn Sie auf das blaue Dreieck neben dem betreffenden Benutzer klicken, können Sie die Benutzerinformationen anzeigen (Anzeigen) oder den Benutzer Bearbeiten oder Löschen. Hinweis: Wenn Sie auf einen Benutzernamen klicken, wird die Seite Benutzer anzeigen angezeigt. Diese Seite enthält eine Schaltfläche Willkommens-E-Mail erneut senden, mit der Sie die E-Mail erneut senden können, falls der Benutzer diese nicht erhalten oder verloren hat.
9.4.3 Self-Service-Portal-Benutzer bei interner Benutzerverwaltung importieren Voraussetzung: Die interne Benutzerverwaltung ist für den Kunden, an dem Sie angemeldet sind, aktiviert.
34
■
Für lokale Installationen von Sophos Mobile Control finden Sie weitere Hinweise im englischsprachigen Dokument Sophos Mobile Control Super Administrator Guide.
■
Für Sophos Mobile Control as a Service finden Sie weitere Hinweise in Self-Service-Portal-Benutzerverwaltung konfigurieren (Seite 31).
Administratorhilfe
Bei interner Benutzerverwaltung können Sie neue Self Service Portal Benutzer hinzufügen, indem Sie Daten von bis zu 500 Benutzern aus einer UTF-8-kodierte CSV-Datei importieren. Hinweis: Verwenden Sie einen Text-Editor, um die CSV-Datei zu bearbeiten. Wenn Sie Microsoft Excel verwenden, werden die eingegebenen Werte u. U. nicht korrekt aufgelöst. Achten Sie beim Speichern darauf, dass die Datei die Endung .csv besitzt. Tipp: Auf der Seite Benutzer importieren steht eine Musterdatei mit den korrekten Spaltennamen und der richtigen Spaltenreihenfolge zum Download zur Verfügung. So importieren Sie Benutzer aus einer CSV-Datei: 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Benutzerverwaltung und dann auf Benutzer importieren. 2. Wählen Sie auf der Seite Benutzer importieren die Option Willkommens-E-Mail senden aus. 3. Klicken Sie auf Datei hochladen und navigieren Sie anschließend zu der vorbereiteten CSV-Datei. Die Einträge werden aus der Datei eingelesen und angezeigt. 4. Wenn die Daten nicht korrekt oder inkonsistent formatiert sind, kann die gesamte Datei nicht importiert werden. Beachten Sie in diesem Fall die Fehlermeldungen, die neben den betroffenen Einträgen angezeigt werden, korrigieren Sie die CSV-Datei und laden Sie sie erneut hoch. 5. Klicken Sie auf Fertigstellen, um die Benutzerkonten anzulegen. Die Benutzer werden importiert und auf der Seite Benutzer anzeigen angezeigt. Per E-Mail erhalten sie ihre Anmeldeinformationen für das Self Service Portal.
35
Sophos Mobile Control
10 Systemeinstellungen 10.1 Ihre Lizenzen prüfen Sophos Mobile Control beruht auf einer benutzerbasierten Lizenzregelung. Eine einzelne Benutzerlizenz ist für alle Geräte gültig, die dem betreffenden Benutzer zugewiesen sind. Für Geräte, die keinem Benutzer zugewiesen sind, ist jeweils eine Lizenz erforderlich. So überprüfen Sie Ihre verfügbaren Lizenzen: 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Systemeinstellungen. 2. Klicken Sie auf der Seite Systemeinstellungen auf die Registerkarte Lizenzen. Die folgenden Informationen werden angezeigt: ■
Maximale Anzahl von Lizenzen: Maximale Anzahl von Gerätebenutzern (und nicht zugewiesenen Geräten), die verwaltet werden können. Falls der Superadministrator für einen Kunden keinen Höchstwert angegeben hat, ist die Lizenzanzahl durch die Gesamtzahl für den Sophos Mobile Control Server begrenzt.
■
Genutzte Lizenzen: Anzahl der verwendeten Lizenzen.
■
Gültig bis: Das Lizenzablaufdatum.
Wenn Sie Fragen zu den Lizenzinformationen haben, oder wenn die angezeigten Informationen Ihrer Meinung nach nicht korrekt sind, wenden Sie sich an Ihren Sophos Vertriebspartner. Hinweis: Zur Benachrichtigung über den bevorstehenden Ablauf von Lizenzen sendet Sophos Mobile Control mehrere E-Mail-Erinnerungen an alle Administratoren, beginnend 30 Tage vor dem Ablaufdatum.
10.2 Zertifikate für den Apple Push Notification Service Um das integrierte Mobile Device Management (MDM) Protocol von iOS-Geräten verwenden zu können, muss Sophos Mobile Control den Apple Push Notification Service (APNs) zum Triggern der Geräten benutzen. APNs-Zertifikate haben eine Gültigkeit von einem Jahr. Zur Benachrichtigung über den bevorstehenden Ablauf des Zertifikats sendet Sophos Mobile Control mehrere E-Mail-Erinnerungen an die Administratoren, beginnend 30 Tage vor dem Ablaufdatum. Die folgenden Abschnitte beschreiben die Voraussetzungen und die nötigen Schritte, um Zugang zu den APNs-Servern mit Ihrem eigenen Client-Zertifikat zu bekommen.
10.2.1 Voraussetzungen Für die Kommunikation mit dem Apple Push Notification Service (APNs) muss TCP-Datenverkehr über folgende Ports erlaubt werden: ■
36
Der Sophos Mobile Control Server muss sich mit gateway.push.apple.com:2195 TCP (17.0.0.0/8) verbinden.
Administratorhilfe
■
Jedes iOS-Gerät, das ausschließlich über eine WLAN-Verbindung verfügt, muss sich mit *.push.apple.com:5223 TCP (17.0.0.0/8) verbinden können.
10.2.2 APNs-Zertifikat erstellen Diese Prozedur setzt voraus, dass Sie noch kein Zertifikat für den Apple Push Notification Service (APNs) zu Sophos Mobile Control hochgeladen haben. Informationen zur Erneuerung eines vorhandenen Zertifikats finden Sie in APNs-Zertifikat erneuern (Seite 37). Tipp: Sie können dasselbe Zertifikat für mehrere Kunden verwenden. Siehe APNs-Zertifikat in einen anderen Kunden kopieren (Seite 39). 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Systemeinstellungen und klicken Sie anschließend auf die Registerkarte iOS APNs. Führen Sie anhand der Anleitung auf der Registerkarte die notwendigen Schritte durch, um ein Zertifikat bei Apple anzufordern und es zu Sophos Mobile Control hochzuladen. 2. Klicken Sie im Schritt Certificate Signing Request herunterladen auf CSR herunterladen. Hierdurch wird die CSR-Datei apple.csr auf Ihrem Computer gespeichert. Die CSR-Datei gilt nur für den aktuellen Kunden. 3. Sie benötigen eine Apple-ID. Auch wenn Sie bereits eine Apple-ID haben, empfehlen wir Ihnen, für den Gebrauch mit Sophos Mobile Control eine separate ID zu verwenden. Klicken Sie im Schritt Apple-ID erstellen auf Neue Apple-ID erstellen. Hierdurch wird die Apple-Internetseite geöffnet, auf der Sie eine Apple-ID für Ihr Unternehmen erstellen können. Hinweis: Verwahren Sie die Anmeldedaten an einem sicheren Ort, auf den auch Ihre Arbeitskollegen zugreifen können. Ihr Unternehmen benötigt diese Anmeldedaten jedes Jahr, um das Zertifikat zu erneuern. 4. Als Referenz tragen Sie Ihre neue Apple-ID im Feld Apple-ID oben auf der Registerkarte iOS APNs ein. Wenn Sie das Zertifikat jährlich erneuern, müssen Sie dazu immer dieselbe Apple-ID verwenden. 5. Klicken Sie im Schritt APNs-Zertifikat erstellen oder erneuern auf Apple Push Certificates Portal. Hierdurch wird das Apple Push Certificates Portal geöffnet. 6. Melden Sie sich mit Ihrer Apple-ID an und laden Sie die CSR-Datei apple.csr hoch. 7. Laden Sie die APNs-Zertifikatdatei mit der Endung .pem herunter und speichern Sie diese. 8. Klicken Sie im Schritt APNs-Zertifikat hochladen auf Zertifikat hochladen und wählen Sie die Datei mit der Endung .pem aus, die Sie vom Apple Push Certificates Portal erhalten haben. 9. Klicken Sie auf Speichern, um das APNs-Zertifikat zu Sophos Mobile Control hinzuzufügen. Sophos Mobile Control liest das Zertifikat ein und zeigt die Zertifikatdetails auf der Registerkarte iOS APNs an.
10.2.3 APNs-Zertifikat erneuern Diese Prozedur setzt voraus, dass Sie schon ein Zertifikat für den Apple Push Notification Service (APNs) zu Sophos Mobile Control hochgeladen haben, das abläuft und erneuert werden muss.
37
Sophos Mobile Control
Informationen zum Erstellen und Hochladen eines neuen Zertifikats finden Sie in APNs-Zertifikat erstellen (Seite 37). Wichtig: Es ist wichtig, dass Sie im Apple-Portal das korrekte APNs-Zertifikat zum Erneuern auswählen. Falls Sie ein falsches Zertifikat erneuern, müssen Sie möglicherweise sämtliche iOS-Geräte erneut registrieren. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Systemeinstellungen und klicken Sie anschließend auf die Registerkarte iOS APNs. 2. Klicken Sie im Schritt Certificate Signing Request herunterladen auf CSR herunterladen. Hierdurch wird die CSR-Datei apple.csr auf Ihrem Computer gespeichert. 3. Überspringen Sie den Schritt Apple-ID erstellen. Dieser Schritt ist nur erforderlich, wenn Sie erstmalig ein APNs-Zertifikat für Sophos Mobile Control erstellen. 4. Klicken Sie im Schritt APNs-Zertifikat erstellen oder erneuern auf Apple Push Certificates Portal. Hierdurch wird das Apple Push Certificates Portal geöffnet. 5. Melden Sie sich mit Ihrer Apple ID an. Dies muss dieselbe ID sein, die Sie auch bei der erstmaligen Erstellung des Zertifikats verwendet haben. 6. Klicken Sie im Apple Push Certificates Portal auf Renew neben Ihrem Sophos Mobile Control APNs-Zertifikat. 7. Laden Sie die zuvor erzeugte CSR-Datei apple.csr hoch. 8. Laden Sie die APNs-Zertifikatdatei mit der Endung .pem herunter und speichern Sie diese. 9. Klicken Sie im Schritt APNs-Zertifikat hochladen auf Zertifikat hochladen und wählen Sie die Datei mit der Endung .pem aus, die Sie vom Apple Push Certificates Portal erhalten haben. 10. Klicken Sie auf Speichern. 11. Wenn Sie als Superadministrator angemeldet sind, werden in einem weiteren Dialog alle Kunden aufgeführt, die dasselbe APNs-Zertifikat wie der Superadministrator-Kunde verwenden, d.h. ein Zertifikat mit demselben Topic. ■
■
Klicken Sie auf Für alle betroffenen Kunden speichern, um das APNs-Zertifikat für alle diese Kunden zu erneuern. Klicken Sie auf Nur für den Superadministrator-Kunden speichern, um das APNs-Zertifikat nur für den Superadministrator-Kunden zu erneuern.
Wichtig: Falls folgende Meldung angezeigt wird, erneuern Sie nicht das richtige Zertifikat: Das Topic des neuen Zertifikats stimmt nicht mit dem alten Zertifikat überein. Wenn mit dem vorherigen Zertifikat Geräte eingerichtet worden sind, müssen diese erneut eingerichtet werden. Wollen Sie Ihre Änderungen wirklich speichern? Diese Meldung macht Sie darauf aufmerksam, dass Sie dabei sind, ein neues APNs-Zertifikat mit einer abweichenden Kennung zu erstellen. Wenn Sie die Meldung bestätigen, können alle vorhandenen iOS-Geräte nicht mehr verwaltet werden und Sie müssen diese erneut registrieren. Informationen, wie Sie das richtige Zertifikat ermitteln, finden Sie in Zu erneuerndes APNs-Zertifikat identifizieren (Seite 39).
38
Administratorhilfe
10.2.4 APNs-Zertifikat in einen anderen Kunden kopieren Sie können ein Zertifikat für den Apple Push Notification Service (APNs) in einen anderen Kunden derselben oder einer anderen Installation von Sophos Mobile Control kopieren. Wichtig: Falls am Kopierziel bereits ein APNs-Zertifikat vorhanden ist, ist es wichtig, dass die Zertifikateigenschaft Topic des zu kopierenden Zertifikats mit dem Topic des vorhandenen Zertifikats übereinstimmt. Falls Sie ein falsches Zertifikat kopieren, müssen Sie möglicherweise sämtliche iOS-Geräte des Kunden erneut registrieren. Quell-Zertifikat herunterladen: 1. Melden Sie sich an der Sophos Mobile Control Konsole an. Verwenden Sie die Zugangsdaten eines Administrators für den Kunden, dessen APNs-Zertifikat Sie kopieren wollen. 2. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Systemeinstellungen und klicken Sie anschließend auf die Registerkarte iOS APNs. 3. Notieren Sie sich den Wert für Topic, der bei den Zertifikatdetails angezeigt wird. 4. Klicken Sie auf Zertifikat als PKCS#12-Datei herunterladen. 5. Im Bestätigungsdialog wird das Kennwort für die Zertifikat-Datei angezeigt. Notieren Sie sich dieses Kennwort und klicken Sie anschließend auf Herunterladen. Die Zertifikatdatei apns_cert.p12 wird auf Ihrem Computer gespeichert. Zertifikat zum Ziel hochladen: 6. Melden Sie sich an der Sophos Mobile Control Konsole an. Verwenden Sie die Zugangsdaten eines Administrators für den Kunden, zu dem Sie das Zertifikat hochladen wollen. 7. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Systemeinstellungen und klicken Sie anschließend auf die Registerkarte iOS APNs. 8. Falls bereits ein Zertifikat vorhanden ist, überprüfen Sie, dass der Wert für Topic mit dem Wert des zu kopierenden Zertifikats übereinstimmt. 9. Klicken Sie im Schritt APNs-Zertifikat hochladen auf Zertifikat hochladen und suchen Sie nach der Datei apns_cert.p12, die Sie zuvor heruntergeladen haben. 10. Geben Sie das Kennwort ein und klicken Sie auf Anwenden. 11. Klicken Sie auf Speichern.
10.2.5 Zu erneuerndes APNs-Zertifikat identifizieren Wenn Sie, wie in APNs-Zertifikat erneuern (Seite 37) beschrieben, Ihr Zertifikat für den Apple Push Notification Service (APNs) erneuern, ist es wichtig, dass Sie im Apple-Portal das richtige APNs-Zertifikat zum Erneuern auswählen. Dieser Abschnitt beschreibt, wie Sie das aktuell auf den Sophos Mobile Control Server hochgeladene APNs-Zertifikat identifizieren. Ermitteln Sie die Zertifikat-Kennung: 1. Melden Sie sich an der Sophos Mobile Control Konsole an. Verwenden Sie die Zugangsdaten eines Administrators für den Kunden, dessen APNs-Zertifikat erneuert werden muss. 2. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Systemeinstellungen und klicken Sie anschließend auf die Registerkarte iOS APNs. 3. Im Abschnitt Inhalt des Apple Push Notification (APN) Keystores werden die Details des hochgeladenen APNs-Zertifikats angezeigt.
39
Sophos Mobile Control
4. Notieren Sie sich den für Topic angezeigten Wert. Dies ist die Zertifikat-Kennung. Identifizieren Sie das Zertifikat: 5. Öffnen Sie in Ihrem Webbrowser die URL des Apple Push Certificates Portal, https://identity.apple.com/pushcert/. Falls Sie den Microsoft Internet Explorer verwenden und Probleme mit bestimmten Funktionen des Apple-Portals haben, empfehlen wir Ihnen, stattdessen eine aktuelle Version der Webbrowser Firefox, Opera, Chrome oder Safari zu verwenden. 6. Melden Sie sich mit Ihrer Apple-ID an, die Sie auch bei der erstmaligen Erstellung des Zertifikats verwendet haben. 7. Klicken Sie in der Liste der APNs-Zertifikate auf das Symbol Zertifikat-Info neben einem Zertifikat. Die Zertifikatdetails werden angezeigt. 8. Ermitteln Sie, welcher Wert im Feld Subject DN nach der Zeichenkette UID= steht. Wenn dieser Wert mit der Kennung übereinstimmt, die Sie in der Sophos Mobile Control Konsole ermittelt haben, haben Sie das richtige Zertifikat identifiziert.
10.2.6 APNs-Verbindung von Geräten überprüfen Unter iOS können Benutzer der App „Sophos Mobile Control“ überprüfen, ob ihre Geräte sich mit dem Apple Push Notification Service (APNs) verbinden können. 1. Tippen Sie in der App „Sophos Mobile Control“ auf das Symbol Information, um die Ansicht Über zu öffnen. 2. Tippen Sie auf APNs überprüfen. Die App versucht, eine Verbindung zum Apple-APNs-Server aufzubauen. Dies kann bis zu 5 Sekunden dauern. Wenn Sie einen Hinweis erhalten, dass der APNs-Server erreicht werden konnte, kann das Gerät Kommandos vom Sophos Mobile Control Server mittels APNs erhalten. Wenn Sie einen Hinweis erhalten, dass der APNs-Server nicht erreicht werden konnte, ist die APNs-Kommunikation in Ihrem Netzwerk nicht möglich. In diesem Fall kann Sophos Mobile Control keine iOS-Geräte verwalten. Um dies zu beheben, müssen Sie sicherstellen, dass die in Voraussetzungen (Seite 36) beschriebenen Voraussetzungen erfüllt sind.
10.3 iOS-AirPlay-Wiedergabegeräte konfigurieren Mit Sophos Mobile Control können Sie das Spiegeln von Inhalten per AirPlay zwischen einem iOS-Gerät und einem vordefinierten AirPlay-Wiedergabegerät (zum Beispiel AppleTV) remote auslösen. Hinweis: AirPlay funktioniert nur innerhalb eines Netzwerks. Sie können die Wiedergabegeräte für die Spiegelung per AirPlay definieren. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung und danach auf Systemeinstellungen. Navigieren Sie anschließend zu der Registerkarte iOS AirPlay. 2. Klicken Sie im Abschnitt AirPlay-Wiedergabegeräte auf AirPlay-Wiedergabegeräte erstellen. Die Seite AirPlay-Wiedergabegerät wird angezeigt.
40
Administratorhilfe
3. Geben Sie den Gerätename (Pflichteingabe) und die MAC-Adresse (optional) ein. Falls notwendig, geben Sie das Kennwort für das AirPlay-Wiedergabegerät ein. 4. Klicken Sie auf Anwenden. Das Gerät wird unter AirPlay-Wiedergabegeräte auf der Registerkarte iOS AirPlay der Seite Systemeinstellungen angezeigt. 5. Klicken Sie auf Speichern. Sie können die Spiegelung per AirPlay zwischen einem iOS-Gerät und diesem Wiedergabegerät auslösen, indem Sie auf der Seite Gerät anzeigen für das gewünschte Gerät im Menü Aktionen auf Request AirPlay-Wiedergabe anfordern klicken.
10.4 Samsung-Knox-Lizenz Wenn Ihr Unternehmen eine Samsung-Knox-Premium-Lizenz erworben hat, geben Sie auf der Registerkarte Samsung-Knox-Lizenz den Lizenzschlüssel, die Lizenzanzahl und das Ablaufdatum ein, um den Knox-Container auf Ihren Samsung-Knox-Geräten mit Sophos Mobile Control zu verwalten.
10.5 SCEP konfigurieren Sie können Simple Certificate Enrollment Protocol (einfaches Zertifikat-Registrierungs-Protokoll, kurz SCEP) konfigurieren, um Zertifikate bereitzustellen. Auf diese Weise können Geräte Zertifikate über SCEP bei einer Zertifizierungsstelle beziehen. In der Sophos Mobile Control Konsole können Sie alle Einstellungen festlegen, die für den Zugriff auf einen CA-Server über SCEP erforderlich sind. Die für Geräte benötigten SCEP-Einstellungen legen Sie bei Android und iOS in einem Geräteprofil und bei Windows Mobile in einer Richtlinie fest.
10.5.1 Voraussetzungen Um das Simple Certificate Enrollment Protocol (SCEP) nutzen zu können, müssen die folgenden Voraussetzungen erfüllt sein: ■
In der Netzwerk-Umgebung muss eine SCEP-fähige Windows-CA vorhanden sein.
■
Die Anmeldedaten für einen Benutzer, der einen Challange-Code erstellen kann, sind verfügbar.
■
Der Sophos Mobile Control Server hat http- oder https-Zugriff auf die folgenden Adressen: ■
https://YOUR-SCEP-SERVER/CertSrv/MSCEP_ADMIN
■
https://YOUR-SCEP-SERVER/CertSrv/MSCEP
10.5.2 SCEP konfigurieren 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung und anschließend auf Systemeinstellungen. Navigieren Sie anschließend zu der Registerkarte SCEP.
41
Sophos Mobile Control
2. Machen Sie die folgenden Angaben: a) Geben Sie im Feld SCEP Server URL https://IHR-SCEP-SERVER/CertSrv/MSCEP ein. b) Geben Sie im Feld Challenge URL https://IHR-SCEP-SERVER/CertSrv/MSCEP_ADMIN ein. Hinweis: Wenn Sie einen Windows 2003-Server als SCEP-Server verwenden, geben Sie https://IHR-SCEP-SERVER/CertSrv/MSCEP ein. c) Geben Sie in den Feldern Benutzer und Kennwort die Zugangsdaten des Benutzers ein, der einen Challenge-Code erstellen kann. Hinweis: Geben Sie im Feld Benutzer einen Benutzer ein, der über die erforderlichen Berechtigungen für die Bereitstellung von Zertifikaten verfügt. Verwenden Sie das folgende Anmeldeformat: benutzername@domain d) Wählen Sie im Feld Challenge-Zeichen die Zeichenklassen aus, die für das Challenge-Kennwort verwendet werden. e) Akzeptieren Sie im Feld Challenge-Länge die Standardlänge. f) Optional: Deaktivieren Sie die Option HTTP-Proxy verwenden, damit Sophos Mobile Control für Verbindungen mit dem SCEP-Server den HTTP-Proxy umgeht. Diese Option ist nur verfügbar, wenn der HTTP-Proxy aktiviert ist. Bei lokalen Installationen kann der Superadministrator einen HTTP-Proxy konfigurieren, den Sophos Mobile Control für ausgehende HTTP- und SSL-Verbindungen verwendet. Siehe das englischsprachige Dokument Sophos Mobile Control Super Administrator Guide. Bei Sophos Mobile Control as a Service ist der HTTP-Proxy immer aktiviert. 3. Klicken Sie auf Speichern. Sophos Mobile Control testet die Verbindung zu Ihrem SCEP-Server. Um mittels SCEP ein Profil zu übertragen, müssen Sie eine Konfiguration vom Typ SCEP zu einem Geräteprofil (für Android oder iOS) oder einer Richtlinie (für Windows Mobile) hinzufügen.
10.6 Benutzerverzeichnis konfigurieren Auf der Registerkarte Benutzerverzeichnis können Sie die Einstellungen für die Benutzerverwaltung ändern. Weitere Informationen finden Sie unter Self-Service-Portal-Benutzer verwalten (Seite 31) und im englischsprachigen Dokument Sophos Mobile Control Super Administrator Guide.
42
Administratorhilfe
11 Compliance-Richtlinien Mit Compliance-Richtlinien können Sie: ■
Bestimmte Funktionen eines Gerätes erlauben, verbieten oder erzwingen.
■
Aktionen definieren, die ausgeführt werden, wenn gegen eine Compliance-Regel verstoßen wird.
Sie können mehrere Compliance-Richtlinien erstellen und unterschiedlichen Gerätegruppen zuweisen. Somit können Sie verschiedene Sicherheitsstufen auf Ihre verwalteten Geräte anwenden. Tipp: Wenn Sie sowohl Firmengeräte als auch Privatgeräte verwalten wollen, empfehlen wir, zumindest für diese beiden Gerätetypen unterschiedliche Compliance-Richtlinien zu definieren. Hinweis: Es gibt zwei vordefinierte Compliance-Richtlinien. Diese basieren auf den Sicherheitsstandards HIPAA und PCI DSS.
11.1 Compliance-Richtlinie erstellen So erstellen Sie Compliance-Richtlinien: 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Compliance-Richtlinien. 2. Klicken Sie auf der Seite Compliance-Richtlinien die Schaltfläche Compliance-Richtlinie erstellen. 3. Geben Sie einen Name und eine optionale Beschreibung für die neue Compliance-Richtlinie ein. Die Seite Compliance-Richtlinien enthält einzelne Registerkarten für jede Geräteplattform, die für den Kunden aktiviert ist. Wiederholen Sie die folgenden Schritte für alle benötigten Plattformen. 4. Stellen Sie sicher, dass das Kontrollkästchen Plattform aktivieren aktiviert ist. Wenn dieses Kontrollkästchen nicht aktiviert ist, werden die Geräte der Plattform nicht auf Compliance überprüft. 5. Konfigurieren Sie unter Regel die Compliance-Regeln für die ausgewählte Plattform. Jede Compliance-Regel hat ein festgelegtes Schwere-Level (hoch, mittel, niedrig), das durch blaue Balken dargestellt wird. Die erlaubt Ihnen, die Wichtigkeit jeder Regel zu beurteilen und so eine angemessene Aktion für den Fall eines Regelverstoßes zu definieren. Wenn Sie App-Gruppen definiert haben, können Sie diese den Regeln Erlaubte Apps, Unzulässige Apps und Vorgeschriebene Apps zuweisen.
43
Sophos Mobile Control
6. Definieren Sie unter Wenn gegen die Regel verstoßen wird, welche Aktionen bei einem Regelverstoß ausgeführt werden: Option
Beschreibung
E-Mail verbieten
E-Mail-Zugriff verweigern. Diese Aktion kann nur ausgeführt werden, wenn der Superadministrator eine Verbindung zum internen oder zum externen EAS-Proxy konfiguriert hat. Siehe das englischsprachige Dokument Sophos Mobile Control Super Administrator Guide.
Container sperren
Sophos Secure Workspace und Secure Email deaktivieren. Dies wirkt sich auf den durch diese Apps verwalteten Zugang zu Dokumenten, E-Mails und Internet aus. Diese Aktion kann nur ausgeführt werden, wenn Sie eine Lizenz vom Typ SMC Advanced aktiviert haben. Diese Option ist nur für Android-Geräte und Apple-iOS-Geräte relevant.
Netzwerkzugriff verbieten
Netzwerkzugriff verbieten. Diese Aktion kann nur ausgeführt werden, wenn der Superadministrator Network Access Control konfiguriert hat. Siehe das englischsprachige Dokument Sophos Mobile Control Super Administrator Guide.
Admin benachrichtigen
Compliance-E-Mails an ausgewählte Empfänger senden. Die Liste der Empfänger und der Zeitplan sind gemeinsam für alle Compliance-Richtlinien definiert. Siehe weiter unten in diesem Abschnitt.
Auftragspaket übertragen
Übermitteln Sie ein bestimmtes Auftragspaket an das Gerät (optional). Wählen Sie ein Auftragspaket aus der Liste aus oder wählen Sie Keine aus, um kein Auftragspaket zu übertragen, wenn ein Regelverstoß festgestellt wird. Wichtig: Bei falscher Anwendung werden durch Auftragspakete unter Umständen Geräte falsch konfiguriert oder sogar auf den Auslieferungszustand zurückgesetzt. Für die Zuweisung der richtigen Auftragspakete zu Compliance-Richtlinien ist weitreichende Erfahrung mit dem System notwendig.
7. Wenn Sie alle Einstellungen für alle erforderlichen Plattformen vorgenommen haben klicken Sie Speichern um die Compliance-Richtlinie zu speichern. Die neue Richtlinie wird auf der Seite Compliance-Richtlinien angezeigt.
44
Administratorhilfe
8. Wenn Sie die Aktion Admin benachrichtigen für eine der Compliance-Regeln ausgewählt haben, klicken Sie Einstellungen für Compliance-E-Mails um Empfänger und Zeitplan für die Compliance-E-Mails anzugeben. Als Empfänger können Sie entweder den Namen eines Administrators oder eine gültige E-Mail-Adresse eingeben. Hinweis: Dies sind allgemeine Einstellungen, die für alle Compliance-Regeln gelten, bei denen Admin benachrichtigen ausgewählt ist. 9. Klicken Sie auf Speichern, um die Compliance-E-Mail-Einstellungen zu speichern.
11.2 Verfügbare Compliance-Regeln Die folgende Tabelle zeigt die Compliance-Regeln, die Sie für die einzelnen Plattformen unter Regel auf der betreffenden Registerkarte Geräterichtlinien auswählen können.
Einstellung
Beschreibung
Status „Verwaltet“ erforderlich
Legen Sie fest, welche Aktionen ausgeführt werden, wenn ein Gerät nicht mehr den Status „Verwaltet“ hat.
Android
iOS
Windows Mobile
Windows Desktop
Minimale Version der Geben Sie die SMC-App Mindestversion der App „Sophos Mobile Control“ ein, die auf dem Gerät installiert sein muss. Rootrechte erlaubt
Wählen Sie aus, ob Geräte mit Root-Rechten zulässig sind. Hinweis: Bei Sony-Geräten mit Enterprise API 4 oder höher und bei Samsung-Geräten mit Knox 5.5 oder niedriger beinhaltet das auch Geräte, die von der jeweiligen MDM-API als Insecure klassifiziert werden, zum Beispiel, weil der Bootloader entsperrt ist.
Apps aus Wählen Sie aus, ob Apps aus unbekannten Quellen unbekannten Quellen erlaubt erlaubt sind. Android Debug Wählen Sie aus, ob ADB Bridge (ADB) erlaubt (Android Debug Bridge) erlaubt ist.
45
Sophos Mobile Control
Einstellung
Beschreibung
Jailbreak erlauben
Wählen Sie aus, ob Jailbroken-Geräte zulässig sind.
Kennwort erforderlich
Wählen Sie aus, ob ein Gerätekennwort oder eine andere Art der Displaysperre (zum Beispiel Muster oder PIN) erforderlich ist. Bei Android umfasst dies die Displaysperre-Arten Muster, PIN und Passwort, aber nicht Wischen.
Min. OS-Version
Wählen Sie die kleinste erforderliche Betriebssystemversion aus.
Max. OS-Version
Wählen Sie die größte erlaubte Betriebssystemversion aus.
Max. Geben Sie das maximale Synchronisierungsabstand Intervall zwischen Synchronisierungsvorgängen für Geräte an. Maximales Geben Sie das maximale Synchronisierungsintervall Zeitintervall für die der SMC-App Synchronisierung der App „Sophos Mobile Control“ an. Max. Dieses Feld wird nur dann SMSec-Scanintervall angezeigt, wenn für den Kunden Sophos Mobile Security verfügbar ist. Für weitere Informationen siehe Sophos Mobile Security verwalten (Seite 212). In diesem Feld können Sie den Höchstabstand zwischen Malware Scans angeben, die von der App „Sophos Mobile Security“ auf dem Gerät durchgeführt werden. Ablehnung von Sophos Mobile Security SMSec-Berechtigungen benötigt auf dem Gerät erlaubt bestimmte Berechtigungen, um korrekt zu funktionieren. Der Benutzer muss diese Berechtigungen bei der App-Installation gewähren.
46
Android
iOS
Windows Mobile
Windows Desktop
Administratorhilfe
Einstellung
Beschreibung
Android
iOS
Windows Mobile
Windows Desktop
Wählen Sie aus, ob die Verweigerung der benötigten Berechtigungen ein Compliance-Verstoß ist.
Malware-Apps erlaubt
Dieses Feld wird nur dann angezeigt, wenn für den Kunden Sophos Mobile Security verfügbar ist. Wählen Sie aus, ob Malware-Apps erlaubt sind.
Verdächtige Apps erlaubt
Dieses Feld wird nur dann angezeigt, wenn für den Kunden Sophos Mobile Security verfügbar ist. Wählen Sie aus, ob verdächtige Apps erlaubt sind.
PUAs erlaubt
Dieses Feld wird nur dann angezeigt, wenn für den Kunden Sophos Mobile Security verfügbar ist. Wählen Sie aus, ob PUAs (Potentially Unwanted Apps) auf Geräten zulässig sind.
Verschlüsselung erforderlich
Wählen Sie aus, ob für Geräte Verschlüsselung erforderlich ist. Benutzer mit Android 5 oder höher müssen bei der Einrichtung einer Displaysperre zusätzlich die Einstellung PIN zum Starten des Gerätes erforderlich oder Passwort zum Starten des Gerätes erforderlich aktivieren. Siehe den Sophos Knowledgebase-Artikel 123947.
Daten-Roaming erlauben
Wählen Sie aus, ob für Geräte Daten-Roaming zulässig ist.
Berechtigung für Diese Einstellung bezieht Standortbestimmung sich auf die Lokalisieren erforderlich Funktion. Legen Sie fest, ob der Benutzer der App
47
Sophos Mobile Control
Einstellung
Beschreibung
„Sophos Mobile Control“ bei der Installation gestatten muss, Ortsdaten abzurufen, damit das Gerät richtlinienkonform ist. Ablehnung von Die App „Sophos Mobile SMC-Berechtigungen Control“ benötigt auf dem erlaubt Gerät bestimmte Berechtigungen, um korrekt zu funktionieren. Der Benutzer muss diese Berechtigungen bei der App-Installation gewähren. Wählen Sie aus, ob die Verweigerung der benötigten Berechtigungen ein Compliance-Verstoß ist.
App kann Standortdienste müssen Standortbestimmung aktiviert sein und von der ausführen App „Sophos Mobile Control“ verwendet werden dürfen. Für Windows Mobile betrifft diese Regel nur Geräte mit Windows Phone 8.1.
Berechtigung für Prozesskontrolle erforderlich
Sophos Mobile Security benötigt Nutzungsdatenzugriff, um sicherzustellen, dass blockierte Apps nicht geöffnet werden können und geschützte Apps nach einem Kennwort fragen. Wählen Sie aus, ob die Verweigerung des Nutzungsdatenzugriffs ein Compliance-Verstoß ist.
Erlaubte Apps / Unzulässige Apps
48
Sie können entweder Erlaubte Apps oder Unzulässige Apps angeben. Wählen Sie zunächst aus der ersten Liste die gewünschte Option aus, und wählen Sie anschließend aus der zweiten Liste die App-Gruppe aus, welche die erlaubten oder unzulässigen Apps enthält. Informationen zur Erstellung von App-Gruppen
Android
iOS
Windows Mobile
Windows Desktop
Administratorhilfe
Einstellung
Beschreibung
Android
iOS
Windows Mobile
Windows Desktop
finden Sie in App-Gruppen (Seite 191). Wenn Sie Erlaubte Apps angeben, sind nur die aufgeführten Apps erlaubt. Wenn andere Apps erkannt werden, ist das Gerät nicht mehr richtlinienkonform. Hinweis: Android-System-Apps sind automatisch erlaubt. Wenn Sie Unzulässige Apps angeben, ist das Gerät nicht mehr richtlinienkonform, falls diese Apps erkannt werden.
Vorgeschriebene Apps
Geben Sie Apps an, die installiert sein müssen. Wählen Sie die App-Gruppe mit den erforderlichen Apps aus der Liste aus. Informationen zur Erstellung von App-Gruppen finden Sie in App-Gruppen (Seite 191).
Windows Defender muss eingeschaltet sein
Die Windows-Defender-Einstellung Echtzeitschutz muss eingeschaltet sein.
Windows Defender darf keine Probleme melden
Das Gerät ist nicht richtlinienkonform, wenn Windows Defender Warnungen anzeigt.
Windows-Defender-Definitionen Windows Defender muss die müssen aktuell sein neuesten Antispyware-Definitionen verwenden.
11.3 Compliance-Richtlinie einer Gerätegruppe zuweisen 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Gerätegruppen. Die Seite Gerätegruppen wird angezeigt. 2. Klicken Sie auf das blaue Dreieck neben der Gerätegruppe, der Sie eine Geräte-Richtlinie zuweisen wollen, und klicken Sie anschließend auf Bearbeiten. Die Gerätegruppe Default ist standardmäßig vorhanden. Für weitere Informationen zum Erstellen eigener Gerätegruppen siehe Gerätegruppe erstellen (Seite 71).
49
Sophos Mobile Control
3. Wählen Sie unter Compliance-Richtlinien in den Feldern Firmengeräte und Privatgeräte die Compliance-Richtlinie aus, die angewendet werden sollen. 4. Klicken Sie auf Speichern. Die ausgewählten Geräterichtlinien werden auf der Seite Gerätegruppen für die jeweilige Gerätegruppe unter Compliance-Richtlinie (Firmengeräte) und Compliance-Richtlinie (Privatgeräte) angezeigt.
11.4 Geräte auf Compliance-Verstöße prüfen Wenn Sie Compliance-Regeln konfiguriert haben, können Sie prüfen, ob registrierte Geräte die Regeln erfüllen. 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Compliance-Richtlinien. Die Seite Compliance-Richtlinien wird angezeigt. 2. Klicken Sie auf Jetzt prüfen. Alle registrierten Geräte werden nach den unter Compliance-Richtlinie definierten Regeln geprüft. Die festgelegten Aktionen werden ausgeführt. Das Tortendiagramm auf der Seite Dashboard wird entsprechend aktualisiert.
50
Administratorhilfe
12 Geräte 12.1 Geräte hinzufügen Sie können Geräte auf folgende Weisen zu Sophos Mobile Control hinzufügen: ■
Geräte manuell hinzufügen. Siehe Gerät hinzufügen (Seite 51).
■
Geräte aus einer CSV-Datei importieren. Siehe Geräte importieren (Seite 52).
■
Mit dem Geräteregistrierungs-Assistent ein Gerät zu Sophos Mobile Control hinzufügen, es einem Benutzer zuweisen, es registrieren, und ein Registrierungs-Auftragspaket übertragen. Siehe Mit dem Geräteregistrierungs-Assistent neue Geräte zuweisen und registrieren (Seite 54).
■
Benutzern ermöglichen, Geräte eigenständig über das Self Service Portal zu registrieren. Siehe Self Service Portal konfigurieren (Seite 26). Dieses Portal verringert den Aufwand für die IT, weil die Benutzer Aufgaben ausführen können, ohne sich an das Helpdesk wenden zu müssen. Die Geräte werden durch das Ausführen vordefinierter Auftragspakete provisioniert. Siehe Auftragspakete (Seite 172).
Zur Vereinfachung der Geräteverwaltung empfehlen wir Ihnen, Geräte in Gerätegruppen zu organisieren. Siehe Gerätegruppen (Seite 71).
12.1.1 Gerät hinzufügen Wir empfehlen, dass Sie eine oder mehrere Gerätegruppen erstellen, bevor Sie das erste Gerät zu Sophos Mobile Control hinzufügen. Um die Geräteverwaltung zu vereinfachen, können Sie jedes Gerät einer Gerätegruppe zuweisen. Siehe Gerätegruppe erstellen (Seite 71). So fügen Sie ein neues Gerät zu Sophos Mobile Control hinzu: 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. Die Seite Geräte wird angezeigt. 2. Klicken Sie auf Hinzufügen und wählen Sie anschließend im Menüabschnitt Gerät manuell hinzufügen die Plattform aus. Die Seite Gerät bearbeiten wird angezeigt. 3. Geben Sie auf der Seite Gerät bearbeiten die folgenden Gerätedetails an: a) Geben Sie im Feld Name einen eindeutigen Namen für das neue Gerät ein. b) Geben Sie im Feld Beschreibung eine Beschreibung für das neue Gerät ein. c) Wählen Sie unter Besitzer die Option Firma oder Privat. d) Geben Sie im Feld E-Mail-Adresse eine E-Mail-Adresse ein. e) Geben Sie im Feld Telefonnummer die Telefonnummer des neuen Gerätes ein. Geben Sie die Telefonnummer in internationalem Format ein, zum Beispiel +491701234567. f) Wählen Sie unter Gerätegruppe die Gerätegruppe, zu der das Gerät hinzugefügt werden soll.
51
Sophos Mobile Control
Hinweis: Hier steht eine Default Gerätegruppe zur Verfügung. Wenn Sie noch keine eigenen Gerätegruppen definiert haben, können Sie Geräte zu dieser Gruppe hinzufügen. Für weitere Informationen zum Erstellen eigener Gerätegruppen siehe Gerätegruppe erstellen (Seite 71). 4. Um dem Gerät einen Benutzer zuzuweisen, klicken Sie auf das Symbol Benutzerzuweisung bearbeiten neben dem Feld Benutzer und klicken Sie anschließend auf Benutzer zuweisen. Weitere Informationen finden Sie unter Benutzer einem Gerät zuweisen (Seite 61). 5. Um benutzerdefinierte Eigenschaften zum Gerät hinzuzufügen, wechseln Sie auf die Registerkarte Benutzerdefinierte Eigenschaften und klicken Sie auf Benutzerdefinierte Eigenschaft hinzufügen. Für weitere Informationen siehe Benutzerdefinierte Geräteeigenschaften (Seite 62). 6. Wenn Sie alle erforderlichen Gerätedetails angegeben haben, klicken Sie auf Speichern. Das neue Gerät wird zu Sophos Mobile Control hinzufügt und auf der Seite Geräte unter VERWALTEN angezeigt. Sie können das Gerät nun provisionieren und verwalten. Hinweis: Wenn Sie konfiguriert haben, dass Sophos Mobile Control den Gerätenamen von iOS-Geräten mit dem Gerät synchronisiert (siehe Einstellungen für iOS konfigurieren (Seite 23)), wird der Name, den Sie im Feld Name eingegeben haben, durch den auf dem Gerät konfigurierten Namen ersetzt.
12.1.2 Gerät duplizieren Sie können in Sophos Mobile Control neue Geräte durch Duplizieren bereits vorhandener Geräte anlegen. Hinweis: Sie können nur Geräte duplizieren, die nicht gerade bearbeitet werden. Die Kopien werden mit „Copy of“ und dem Namen des Originalprofils benannt. Sie können die Namen der Geräte nach Ihren Anforderungen ändern. 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. Die Seite Geräte wird angezeigt. 2. Klicken Sie auf das Gerät, das Sie duplizieren wollen. Die Seite Gerät anzeigen wird angezeigt. 3. Klicken Sie auf Aktionen und anschließend auf Dieses Gerät duplizieren. Das Gerät wird dupliziert und auf der Seite Geräte angezeigt. Sie können das duplizierte Gerät nun bearbeiten. Um das Gerät zu bearbeiten, klicken Sie auf das daneben stehende blaue Dreieck und dann auf Bearbeiten.
12.1.3 Geräte importieren Sie können neue Geräte hinzufügen, indem Sie die Daten von bis zu 500 Geräten aus einer UTF-8-kodierte CSV-Datei importieren. Hinweis: Verwenden Sie einen Text-Editor, um die CSV-Datei zu bearbeiten. Wenn Sie Microsoft Excel verwenden, werden die eingegebenen Werte u. U. nicht korrekt aufgelöst. Achten Sie beim Speichern darauf, dass die Datei die Endung .csv besitzt. Hinweis: Die in der CSV-Datei enthaltenen Benutzer müssen schon in Sophos Mobile Control angelegt worden sein.
52
Administratorhilfe
Tipp: Auf der Seite Geräte importieren steht eine Musterdatei mit den korrekten Spaltennamen und der richtigen Spaltenreihenfolge zum Download zur Verfügung. So importieren Sie Geräte aus einer CSV-Datei: 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. 2. Klicken Sie auf der Seite Geräte auf Hinzufügen > Geräte importieren. 3. Klicken Sie auf der Seite Geräte importieren auf Datei hochladen und navigieren Sie anschließend zu der vorbereiteten CSV-Datei. Die Einträge werden aus der Datei eingelesen und angezeigt. 4. Wenn die Daten nicht korrekt oder inkonsistent formatiert sind, kann die gesamte Datei nicht importiert werden. Beachten Sie in diesem Fall die Fehlermeldungen, die neben den betroffenen Einträgen angezeigt werden, korrigieren Sie die CSV-Datei und laden Sie sie erneut hoch. 5. Klicken Sie auf Fertigstellen, um die Geräte anzulegen. Die in der CSV-Datei aufgeführten Geräte werden importiert und auf der Seite Devices angezeigt. Anschließend können Sie die Geräte registrieren und konfigurieren.
12.2 Geräte registrieren Nachdem Sie in der Sophos Mobile Control Konsole neue Geräte hinzugefügt haben, müssen diese bei Sophos Mobile Control registriert werden. Sie haben folgende Möglichkeiten: ■
Sie können einzelne, nicht verwaltete Geräte mit der Funktion Geräte registrieren. Weitere Informationen finden Sie unter Einzelne Geräte registrieren (Seite 54).
■
Sie können den Geräteregistrierungs-Assistent verwenden, um ein Gerät zu Sophos Mobile Control hinzuzufügen, es einem Benutzer zuzuweisen, es zu registrieren, und ein Registrierungs-Auftragspaket zu übertragen. Siehe Mit dem Geräteregistrierungs-Assistent neue Geräte zuweisen und registrieren (Seite 54). Hinweis: Bei Bedarf können Sie den Geräteregistrierungs-Assistent oder die Methode der automatischen Registrierung verwenden, um iOS-Geräte zu registrieren, auf denen keine Apple-ID eingerichtet ist. Dies ist zum Beispiel nützlich, um ein Gerät vor der Übergabe an einen Endbenutzer vorzukonfigurieren. See iOS-Geräte ohne Apple-ID registrieren (Seite 56).
Für eine effiziente Registrierung und Konfiguration mehrerer Geräte empfehlen wir folgende Methoden: ■
Sie können die Aufträge zusammenfassen, die erforderlich sind, Geräte zu registrieren, erforderliche Richtlinien zuzuweisen und Apps zu installieren (zum Beispiel verwaltete Apps im Falle von iOS-Geräten). Weitere Informationen finden Sie in Auftragspakete (Seite 172).
■
Sie können Benutzern ermöglichen, Geräte im Self Service Portal zu registrieren. Nehmen Sie hierzu bei der Konfiguration der Einstellungen für die Benutzung des Self Service Portal ein Auftragspaket für die Registrierung auf. Weitere Informationen dazu, wie Sie die für die Registrierung erforderlichen Auftragspakete erstellen, finden Sie in der Sophos Mobile Control Schnellstart-Anleitung bzw. in der Sophos Mobile Control as a Service Schnellstart-Anleitung. Für weitere Informationen zum Auswählen des Auftragspakets in den Self Service Portal Einstellungen siehe Self-Service-Portal-Einstellungen konfigurieren (Seite 27).
53
Sophos Mobile Control
12.2.1 Einzelne Geräte registrieren 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. Die Seite Geräte wird angezeigt. 2. Wählen Sie das gewünschte Gerät aus, klicken Sie auf Aktionen und dann auf Einrichten. Hinweis: Sie können mehrere Geräte zum Einrichten auswählen. 3. Klicken Sie auf Ja, wenn Sie gefragt werden, ob Sie die ausgewählten Geräte einrichten möchten. Der Einrichtungsauftrag wird gestartet und auf der Seite Auftragsansicht angezeigt. Eine E-Mail mit Registrierungsanweisungen wird an den Benutzer verschickt.
12.2.2 Verwenden des Geräteregistrierungs-Assistent, um neue Geräte zuzuweisen und zu registrieren Mit dem Geräteregistrierungs-Assistent können Sie auf einfache Weise neue Geräte registrieren. Er führt Sie durch die folgenden Arbeitsschritte: ■
Neues Gerät zu Sophos Mobile Control hinzufügen.
■
Optional: Dem Gerät einen Benutzer zuweisen.
■
Gerät registrieren.
■
Optional: Ein Auftragspaket an das Gerät übermitteln.
So starten Sie den Geräteregistrierungs-Assistent: 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte und klicken Sie anschließend auf Hinzufügen > Registrierungs-Assistent. Tipp: Alternativ können Sie den Geräteregistrierungs-Assistent auch starten, indem Sie im Dashboard auf das Widget Gerät hinzufügen klicken. 2. Auf der Seite Suchparameter für Benutzer eingeben können Sie entweder Suchkriterien für den Benutzer eingeben, dem das Gerät zugewiesen werden soll, oder Benutzerzuweisung überspringen auswählen, um ein Gerät vorerst ohne Benutzerzuweisung zu registrieren. Klicken Sie Weiter um fortzufahren. 3. Wenn Sie Suchparameter eingegeben haben, zeigt der Assistent eine Liste passender Benutzer an. Wählen Sie den gewünschten Benutzer aus und klicken Sie auf Weiter.
54
Administratorhilfe
4. Konfigurieren Sie auf der Seite Gerätedetails die folgenden Einstellungen: Option
Beschreibung
Plattform
Das Betriebssystem des Gerätes. Sie können nur eine Plattform auswählen, die für den Kunden, an den Sie angemeldet sind, aktiviert ist.
Name
Ein eindeutiger Name, unter dem das Gerät in Sophos Mobile Control verwaltet werden soll.
Beschreibung
Eine optionale Beschreibung des Gerätes.
Telefonnummer
Eine optionale Telefonnummer. Geben Sie die Telefonnummer in internationalem Format an, zum Beispiel +491701234567.
E-Mail-Adresse
Die E-Mail-Adresse, an welche die Registrierungsanleitung gesendet wird.
Besitzer
Wählen Sie den Gerätebesitzer: entweder Firma oder Privat.
Gerätegruppe
Wählen Sie die Gerätegruppe, zu der das Gerät hinzugefügt werden soll. Wenn Sie noch keine Gerätegruppe erstellt haben, können Sie die Gerätegruppe Default wählen, die immer verfügbar ist.
Wenn Sie fertig sind, klicken Sie auf Weiter. 5. Wählen Sie auf der Seite Paketauswahl ein Auftragspaket, das nach der Registrierung an das Gerät übermittelt werden soll, oder wählen Sie Nur Gerät registrieren um das Gerät zu registrieren ohne ein Paket zu senden. Hinweis: Es werden nur Auftragspakete angezeigt, die einen Auftrag Registrierung enthalten. Wenn Sie fertig sind, klicken Sie auf Weiter. Das Gerät wird zu Sophos Mobile Control hinzugefügt. 6. Folgen Sie den Anweisungen auf der Seite Registrierung, um die App „Sophos Mobile Control“ auf dem Gerät zu installieren und die Registrierung abzuschließen. 7. Wach dem erfolgreichen Abschluss der Registrierung klicken Sie auf Fertigstellen, um den Geräteregistrierungs-Assistent zu schließen. Hinweis: ■
■
■
Nachdem Sie alle Einstellungen vorgenommen haben, können Sie den Geräteregistrierungs-Assistent schließen, ohne darauf warten zu müssen, dass die Schaltfläche Fertigstellen erscheint. Ein Registrierungsauftrag wird erstellt und im Hintergrund ausgeführt. Wenn Sie ein Auftragspaket ausgewählt haben, dass nach der Registrierung auf das Gerät übertragen wird, können Sie auf der Seite Auftragsstatus den Auftragsstatus überwachen. Siehe Nicht abgeschlossene, fehlgeschlagene und kürzlich abgeschlossene Aufträge anzeigen (Seite 16). Wenn Sie konfiguriert haben, dass Sophos Mobile Control den Gerätenamen von iOS-Geräten mit dem Gerät synchronisiert (siehe Einstellungen für iOS konfigurieren (Seite
55
Sophos Mobile Control
23)), wird der Name, den Sie im Feld Name eingegeben haben, durch den auf dem Gerät konfigurierten Namen ersetzt.
12.2.3 iOS-Geräte automatisch registrieren Sie können iOS-Geräte so konfigurieren, dass sie sich während der Geräteaktivierung automatisch bei Sophos Mobile Control registrieren. Dazu müssen Sie die Geräte mit Hilfe der Software Apple Configurator 2 dem MDM-Server von Sophos Mobile Control zuweisen. Wenn die Benutzer die Geräte erstmalig einschalten, startet der iOS-Einrichtungsassistent. Während der Einrichtung werden die Geräte automatisch bei Sophos Mobile Control registriert. Hinweis: Detaillierte Informationen zu Apple Configurator 2 finden Sie in der Apple Configurator 2 Hilfe. So konfigurieren Sie die automatische Registrierung von iOS-Geräten bei Sophos Mobile Control: 1. Zur Vorbereitung der automatischen Registrierung müssen Sie einmalig eine Gerätegruppe erstellen, die Geräten zugewiesen wird, die sich automatisch bei Sophos Mobile Control registrieren. Wählen Sie in den Eigenschaften der Gerätegruppe die Option iOS-Auto-Registrierung aktivieren aus. Siehe Gerätegruppe erstellen (Seite 71). 2. Notieren Sie sich die URL, die im Feld URL für Auto-Registrierung angezeigt wird. Sie benötigen diese URL bei der Konfiguration von Geräten mit Apple Configurator 2. 3. Verbinden Sie das iOS-Gerät, das Sie für die automatische Registrierung konfigurieren wollen, mit einem USB-Anschluss eines Mac-Computers, auf dem Apple Configurator 2 installiert ist. 4. Verwenden Sie in Apple Configurator 2 den Vorbereitungsassistent, um die Gerätekonfiguration einzurichten. 5. Wählen Sie Manuelle Registrierung aus und geben Sie anschließend die Registrierungs-URL der Gerätegruppe ein. 6. Folgen Sie den weiteren Schritten des Vorbereitungsassistent. Optional können Sie folgende Bereiche der Geräteaktivierung konfigurieren: ■ ■ ■
■
Gerät als betreut definieren (Supervision mode). Computer festlegen, mit denen sich das Gerät per USB koppeln darf. Bei betreuten Geräten eine Betreuungsidentität (Supervision Identity) erstellen oder auswählen. Schritte des iOS-Einrichtungsassistent deaktivieren.
Nachdem Sie die Konfiguration abgeschlossen haben, übergeben Sie das Gerät an den Benutzer. Wenn der Benutzer das Gerät erstmalig einschalten, wird die iOS-Einrichtung und die Registrierung bei Sophos Mobile Control so durchgeführt, wie Sie es konfiguriert haben. Tipp: Standardmäßig verwaltet Sophos Mobile Control die automatisch registrierten Geräte unter einem Namen, der aus der Geräte-ID und dem Gerätetyp gebildet wird. Alternativ kann Sophos Mobile Control den Namen verwenden, der auf dem Gerät konfiguriert ist. Siehe die Option Gerätename synchronisieren in Einstellungen für iOS konfigurieren (Seite 23).
12.2.4 iOS-Geräte ohne Apple-ID registrieren Sie können ein iOS-Gerät bei Sophos Mobile Control registrieren, auf dem noch keine Apple-ID eingerichtet ist. Dies ist zum Beispiel nützlich, um Geräte vor der Übergabe an einen Endbenutzer vorzukonfigurieren.
56
Administratorhilfe
Das Standard-Registrierungsverfahren beinhaltet die Installation der App „Sophos Mobile Control“ auf dem Gerät. Da die App aus dem App Store installiert wird und für den Zugriff auf den App Store eine Apple-ID erforderlich ist, müssen Sie vor der Registrierung das Gerät mit einer Apple-ID verknüpfen. Alternativ können Sie ein iOS-Gerät auch registrieren, ohne die App „Sophos Mobile Control“ zu installieren. In diesem Fall müssen Sie das Gerät nicht mit einer Apple-ID verknüpfen. Dies ist auf folgende Weisen möglich: ■
Mit der automatischen Registrierung. Siehe iOS-Geräte automatisch registrieren (Seite 56).
■
Mit dem Geräteregistrierungs-Assistent. Siehe Mit dem Geräteregistrierungs-Assistent neue Geräte zuweisen und registrieren (Seite 54).
Gehen Sie im Geräteregistrierungs-Assistent folgendermaßen vor: 1. Wählen Sie auf der Seite Registrierung die Registerkarte Registrierung ohne Apple-ID aus. 2. Öffnen Sie im Webbrowser des Gerätes die Registrierungs-URL. Dies öffnet das Registrierungsformular von Sophos Mobile Control. 3. Geben Sie in diesem Formular das Token ein und klicken Sie anschließend auf Registrieren. 4. Folgen Sie den auf dem Gerät angezeigten Anweisungen, um das Registrierungs-Auftragspaket zu installieren.
12.3 Geräte deregistrieren Sie können Geräte deregistrieren, wenn sie nicht mehr benutzt werden, z. B. wenn der Benutzer ein neues Gerät erhält. Dies ist zum Beispiel nützlich, wenn Sie die Anzahl an Geräten, die ein Benutzer über das Self Service Portal registrieren kann, begrenzt haben. 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. Die Seite Geräte wird angezeigt. Diese zeigt alle Geräte, die für diesen Kunden bei Sophos Mobile Control registriert sind. 2. Wählen Sie das gewünschte Gerät aus, klicken Sie auf Aktionen und klicken Sie anschließend auf Deregistrieren. Eine Meldung wird angezeigt, die Sie zur Bestätigung des Deregistrierungsvorgangs auffordert. Hinweis: Sie können mehrere Geräte auswählen, die deregistriert werden. 3. Klicken Sie auf Ja. Das Gerät ist deregistriert. Dadurch werden folgende Vorgänge ausgelöst: Android-Geräte: ■
Der Sophos Mobile Control Geräteadministrator wird deaktiviert.
■
Die Server-Anmeldedaten und alle weiteren erhaltenen Daten werden entfernt.
■
Die Container-Apps (Sophos Secure Workspace und Sophos Secure Email) sowie die App „Sophos Mobile Security“ werden zurückgesetzt.
iOS-Geräte: ■
Alle Profile werden entfernt.
■
Alle verwalteten Apps werden entfernt.
57
Sophos Mobile Control
■
■
Alle über Mobile Device Management erhaltenen Zertifikate werden entfernt. Die Container-Apps (Sophos Secure Workspace und Sophos Secure Email) werden zurückgesetzt.
12.4 Geräte verwalten In der Menüleiste können Sie unter VERWALTUNG > Geräte und Gerätegruppen Geräte und Gerätegruppen verwalten und eine Reihe von administrativen Aufgaben ausführen. Nachdem Sie Geräte zu Sophos Mobile Control hinzugefügt haben, können Sie zum Beispiel: ■
Gerätedetails anzeigen und bearbeiten.
■
E-Mail-Zugriff für Geräte erlauben oder verbieten.
■
Geräte per Fernzugriff sperren oder entsperren.
■
Geräte-Kennwörter zurücksetzen.
■
Geräte bei Verlust oder Diebstahl per Fernzugriff in den Auslieferungszustand zurücksetzen.
■
Geräte deregistrieren (Android und iOS).
■
Geräte löschen.
12.4.1 Geräte anzeigen 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. Die Seite Geräte wird angezeigt. Diese zeigt alle Geräte, die für diesen Kunden bei Sophos Mobile Control registriert sind. 2. Klicken Sie auf den Namen des gewünschten Gerätes. Die Seite Gerät anzeigen für das ausgewählte Gerät wird angezeigt. Tipp: Auf der Seite Geräte können Sie sich zusätzliche Informationen anzeigen lassen, indem Sie auf bestimmte Elemente zeigen: ■
■
Zeigen Sie auf das Symbol "Nicht verwaltet" eines Gerätes, um den genauen Status wie Deregistriert oder Abgemeldet anzuzeigen. Zeigen Sie auf das Symbol "Nicht richtlinienkonform“ eines Gerätes, um den Schweregrad (hoch, mittel, niedrig) anzuzeigen.
12.4.1.1 Die Seite „Gerät anzeigen“ Auf der Seite Gerät anzeigen werden alle relevanten Informationen für ein einzelnes Gerät angezeigt. Im oberen Teil der Seite können Sie auf einen Blick die wichtigsten Geräteinformationen sehen. Im unteren Teil der Seite werden in mehreren Registerkarten detaillierte Geräteinformationen angezeigt. Die angezeigten Registerkarten und Informationen hängen von der Geräteplattform ab. ■
Profile (Android, iOS) Zeigt die auf dem Gerät installierten Profile an (inklusive Provisionierungsprofile).
58
Administratorhilfe
Die Registerkarte enthält auch Befehle für die Installation oder Deinstallation von Profilen auf Geräten. ■
Richtlinien Zeigt die dem Gerät zugewiesenen Richtlinien an. Auf dieser Registerkarte steht die Schaltfläche Richtlinie zuweisen zur Verfügung, um eine Richtlinie einem Gerät zuzuweisen.
■
Geräteeigenschaften Zeigt die Geräteeigenschaften wie z. B. Eigenschaften für Modell, Modellname oder Betriebssystemversion an. Bei Android-Geräten werden Smartphones ermittelt, die „rooted“ sind, und die relevante Eigenschaft wird angezeigt. Bei iOS-Geräten werden Smartphones mit „Jailbreak“ ermittelt. Die relevante Eigenschaft wird in der Ansicht angezeigt.
■
Benutzerdefinierte Eigenschaften Zeigt benutzerdefinierte Geräteeigenschaften an. Dies sind die Eigenschaften, die Sie selbst anlegen können. Benutzerdefinierte Geräteeigenschaften können zum Beispiel in Platzhaltern verwendet werden, wenn kein Active Directory zur Verfügung steht. Wenn Sie ein Gerät bearbeiten, können Sie hier auch benutzerspezifische Informationen hinzufügen.
■
Interne Eigenschaften Zeigt interne Geräteeigenschaften, z. B. die IMEI, oder ob Active-Sync-Datenverkehr erlaubt ist.
■
Compliance-Verstöße Diese Registerkarte wird nur für Geräte angezeigt, die gegen Compliance-Regeln verstoßen. Angezeigt werden die Compliance-Verstöße des Gerätes und die deshalb ausgeführten Maßnahmen. Diese Maßnahmen werden bei der Konfiguration von Compliance-Richtlinien festgelegt. Siehe Compliance-Richtlinie erstellen (Seite 43).
■
Installierte Apps (Android, iOS) Zeigt die auf dem Gerät installierte Software. Für iOS-Geräte werden in der Spalte Verwaltet auf der Registerkarte Installierte Apps die verwalteten Apps angezeigt. Mit Sophos Mobile Control können Sie solche Apps auf iOS-Geräte übertragen und sie auch stillschweigend, d.h. ohne Benutzerinteraktion, wieder entfernen. Für Android-Geräte unterscheidet Sophos Mobile Control zwischen System-Apps und Apps, die der Benutzer auf dem Gerät installiert hat. In der Spalte Größe wird der Speicherbedarf für die App selber angezeigt. In der Spalte Daten wird der zusätzliche Speicherbedarf der App anzeigt, zum Beispiel für Nutzerdaten, Konfigurationen oder Ähnliches. Mit der Schaltfläche App installieren können Sie Software auf dem Gerät installieren. Sie können auch verwaltete Apps von iOS-Geräten entfernen, indem Sie auf das Löschen Symbol neben der relevanten App klicken.
■
System-Apps (Android) Zeigt die Android-System-Apps auf dem Gerät an.
59
Sophos Mobile Control
Hinweis: System-Apps können nicht vom Gerät entfernt werden. ■
Knox-Apps (Android) Diese Registerkarte enthält die Apps, die vom Benutzer im Samsung-Knox-Container installiert wurden.
■
Knox-System-Apps (Android) Diese Registerkarte enthält die System-Apps, die im Samsung-Knox-Container installiert sind.
■
Scan-Ergebnisse (Android) Diese Registerkarte ist nur dann verfügbar, wenn für den Kunden, bei dem Sie angemeldet sind, die Sophos Mobile Security-Funktionalität zur Verfügung steht. Die Registerkarte zeigt die Ergebnisse des letzten Sophos Mobile Security Scan-Vorgangs auf dem Gerät. Sophos Mobile Security ist eine Sicherheits-App für Android-Geräte, die Geräte vor schädlichen Apps schützt und Benutzer beim Erkennen von App-Berechtigungen unterstützt, die möglicherweise ein Sicherheitsrisiko darstellen. Die App kann mit Sophos Mobile Control verwaltet werden. Für weitere Informationen siehe Sophos Mobile Security verwalten (Seite 212).
■
Zertifikate Zeigt die auf dem Gerät benutzten Zertifikate an.
■
Aufträge Diese Registerkarte zeigt alle noch nicht abgeschlossenen und fehlgeschlagenen Aufträge sowie die abgeschlossenen Aufträge der letzten Tage an. Diese Aufträge werden Ihnen auch auf der Seite Auftragsstatus angezeigt, zusammen mit den Aufträgen aller anderen Geräte. Siehe Aufträge überwachen (Seite 16).
Von der Seite Gerät anzeigen können Sie direkt auf die Seite Gerät bearbeiten wechseln. Um das angezeigte Gerät zu bearbeiten, klicken Sie auf Bearbeiten.
12.4.1.2 Erweiterten Gerätefilter verwenden Mit dem erweiterten Gerätefilter können Sie die Gerätelisten nach Ihren Anforderungen filtern. So wenden Sie den Gerätefilter an: 1. Klicken Sie im Titelbereich der Seite Geräte auf die Schaltfläche Erweiterter Filter (Lupensymbol). Das Dialogfeld Gerätefilter: Filter ist nicht aktiv wird angezeigt. 2. Legen Sie die Filterkriterien fest. 3. Wenn Sie die erforderlichen Kriterien ausgewählt haben, klicken Sie auf Filtern. Der Filter wird aktiviert und die Geräteliste wird neu geladen. Das Lupensymbol im Titelbereich ändert seine Farbe von Blau zu Grün. Dadurch wird angezeigt, dass der Filter aktiv ist. Um den Filter aufzuheben, klicken Sie erneut auf Erweiterter Filter und dann im Filterdialog auf Aufheben. Hinweis: Denken Sie daran, Filter manuell wieder aufzuheben, wenn sie nicht mehr benötigt werden. Andernfalls enthalten Listen oder Berichte unter Umständen nicht die erwarteten Ergebnisse.
60
Administratorhilfe
12.4.2 Geräte bearbeiten 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. Die Seite Geräte wird angezeigt. Diese zeigt alle Geräte, die für diesen Kunden bei Sophos Mobile Control registriert sind. 2. Klicken Sie auf das blaue Dreieck neben dem gewünschten Gerät und dann auf Bearbeiten. Die Seite Gerät bearbeiten für das ausgewählte Gerät wird angezeigt. 3. Nehmen Sie die notwendigen Änderungen vor (zum Beispiel Installation oder Entfernen von Software auf der Registerkarte Installierte Apps). Klicken Sie anschließend auf Speichern. Ihre Änderungen werden auf das bearbeitete Gerät angewendet. Hinweis: An Eigenschaften vorgenommene Änderungen treten erst in Kraft, nachdem Sie auf Speichern geklickt haben. Wenn Sie die vorgenommenen Änderungen nicht speichern, haben sie keinerlei Auswirkungen.
12.4.2.1 Benutzer einem Gerät zuweisen 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. 2. Klicken Sie auf der Seite Geräte auf das blaue Dreieck neben dem gewünschten Gerät und dann auf Bearbeiten. 3. Klicken Sie auf der Seite Gerät bearbeiten auf das Symbol Benutzerzuweisung bearbeiten neben dem Feld Benutzer und klicken Sie anschließend auf den gewünschten Eintrag in der Auswahlliste: ■
■
Um einem Gerät ohne Benutzerzuweisung einen Benutzer zuzuweisen, klicken Sie auf Gerät einem Benutzer zuweisen. Um einem Gerät mit bestehender Benutzerzuweisung einen anderen Benutzer zuzuweisen, klicken Sie auf Gerät einem anderen Benutzer zuweisen.
4. Geben Sie im Schritt Suchparameter für Benutzer eingeben des Zuweisungsdialogs einen oder mehrere Suchparameter ein, um die im nächsten Schritt angezeigte Liste der Benutzer zu filtern. Geben Sie zum Beispiel einen Namen oder Teilnamen ein. 5. Wählen Sie im Schritt Benutzer auswählen den gewünschten Benutzer aus und klicken Sie anschließend auf Anwenden. 6. Klicken Sie auf der Seite Gerät bearbeiten auf Speichern.
12.4.2.2 Benutzerzuweisung für ein Gerät aufheben 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. 2. Klicken Sie auf der Seite Geräte auf das blaue Dreieck neben dem gewünschten Gerät und dann auf Bearbeiten. 3. Klicken Sie auf der Seite Gerät bearbeiten auf das Symbol Benutzerzuweisung bearbeiten neben dem Feld Benutzer und klicken Sie anschließend auf Zuweisung des Benutzers zum Gerät aufheben. 4. Klicken Sie im Bestätigungsdialog auf Ja. 5. Klicken Sie auf Speichern.
61
Sophos Mobile Control
12.4.2.3 Benutzerdefinierte Geräteeigenschaften Sie können für einzelne Geräte benutzerdefinierte Eigenschaften festlegen. Wenn Sie eine Eigenschaft Meine Eigenschaft festlegen, können Sie in Profilen und Richtlinien den Platzhalter %_DEVPROP(Meine Eigenschaft)_% verwenden, um den Wert der Eigenschaft zu referenzieren. Mit einer benutzerdefinierten Geräteeigenschaft können Sie zum Beispiel den Benutzer referenzieren, der dem Gerät zugewiesen ist. Einzelheiten finden Sie in Platzhalter in Profilen und Richtlinien (Seite 75). Hinweis: ■
Sie können keine benutzerdefinierte Geräteeigenschaft mit dem gleichen Namen wie eine Standard-Geräteeigenschaft erstellen.
■
Wenn Sie ein Gerät wie in Gerät duplizieren (Seite 52) beschrieben duplizieren, besitzt das neue Gerät dieselben benutzerdefinierten Eigenschaften wie das Ausgangsgerät.
■
Neben den hier beschriebenen benutzerdefinierten Geräteeigenschaften können Sie auch benutzerdefinierte Kundeneigenschaften festlegen. Siehe Kundeneigenschaften definieren (Seite 24).
So definieren Sie eine benutzerdefinierte Geräteeigenschaft: 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Allgemein. Stellen Sie sicher, dass auf der Registerkarte Persönlich die Option Erweiterte Gerätedetails anzeigen aktiviert ist. 2. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. Die Seite Geräte wird angezeigt. Diese zeigt alle Geräte, die für diesen Kunden bei Sophos Mobile Control registriert sind. 3. Klicken Sie auf das blaue Dreieck neben dem gewünschten Gerät und dann auf Bearbeiten. 4. Wechseln Sie auf der Seite Gerät bearbeiten auf die Registerkarte Benutzerdefinierte Eigenschaften und klicken Sie auf Benutzerdefinierte Eigenschaft hinzufügen. 5. Geben Sie einen Name und einen Wert für die neue benutzerdefinierte Geräteeigenschaft ein. 6. Klicken Sie auf Anwenden, um die Eigenschaft zu erstellen. 7. Klicken Sie auf Speichern, um die Änderungen für das Gerät zu speichern.
12.4.2.4 Netzwerkzugriff konfigurieren Damit Sie den Netzwerkzugriff für ein Gerät konfigurieren können, muss Network Access Control (NAC) in Sophos Mobile Control aktiviert werden. Bei lokalen Installation wird NAC vom Superadministrator aktiviert. Siehe das englischsprachige Dokument Sophos Mobile Control Super Administrator Guide. Bei Sophos Mobile Control as a Service ist NAC immer aktiviert. Sie können den Netzwerkzugriff für ein Gerät auf zwei Weisen konfigurieren: 1. Netzwerkzugriff immer erlauben oder sperren. 2. Netzwerkzugriff grundsätzlich erlauben, aber sperren, wenn das Gerät nicht richtlinienkonform ist. Hinweis: Sophos Mobile Control schränkt den Netzwerkzugriff nicht selbst ein. Stattdessen stellt es einen Status Netzwerk verbieten zur Verfügung, der von einer externen NAC-Software wie zum Beispiel Sophos UTM verwendet werden kann, um die Netzwerkkommunikation zu blockieren.
62
Administratorhilfe
So konfigurieren Sie den Netzwerkzugriff für ein Gerät: 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. 2. Wählen Sie auf der Seite Geräte die Geräte aus, für die Sie den Netzwerkzugriffsmodus einstellen wollen. 3. Klicken Sie auf Aktionen und anschließend auf Netzwerkzugriff. 4. Wählen Sie den Netzwerkzugriffsmodus aus: ■ ■ ■
Erlauben: Netzwerkzugriff ist für die ausgewählten Geräte erlaubt. Sperren: Netzwerkzugriff ist für die ausgewählten Geräte gesperrt. Automatischer Modus: Netzwerkzugriff für die ausgewählten Geräte wird durch den Compliance-Status der Geräte festgelegt.
5. Klicken Sie auf Ja, um die Änderungen zu speichern. Informationen, wie Sie den Netzwerkzugriff in Compliance-Richtlinien konfigurieren, finden Sie in Compliance-Richtlinie erstellen (Seite 43).
12.4.3 Gerät sperren Sie können Geräte, die von Sophos Mobile Control verwaltet werden, sperren. Dadurch wird die Bildschirmsperre aktiviert. 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. 2. Klicken Sie auf der Seite Geräte auf das blaue Dreieck neben dem Gerät, das Sie sperren oder entsperren wollen, und klicken Sie anschließend auf Anzeigen. 3. Klicken Sie auf der Seite Gerät anzeigen auf Aktionen > Sperren. Ein Auftrag zum Aktiveren der Bildschirmsperre wird erstellt und an das Gerät übertragen. Benutzer müssen ihr Gerätekennwort eingeben (bzw. PIN oder Muster), um das Gerät zu entsperren. Sie können den Auftragsstatus auf der Seite Auftragsstatus anzeigen.
12.5 Apple DEP Mit dem Apple-Programm zur Geräteregistrierung (Device Enrollment Program, kurz DEP) können Sie iOS-Geräte (und OS-X-Geräte) in größeren Mengen kaufen und in Ihrem Unternehmen bereitstellen. DEP vereinfacht mit folgenden Funktionen die Bereitstellung von Mobilgeräten: ■
Konfigurierbarer Aktivierungsprozess.
■
Drahtlose Aktivierung des Betreuungsmodus (Supervision mode).
■
Over-The-Air-Konfiguration.
■
Automatische Registrierung von iOS-Geräten bei Sophos Mobile Control während der Geräteaktivierung.
Tipp: Detaillierte Informationen zu DEP finden Sie auf der Apple-Website unter http://www.apple.com/de/business/programs/.
Vorbereitungsschritte Um die Verwaltung von DEP-Geräten mit Sophos Mobile Control einzurichten, führen Sie einmalig die folgenden Schritte aus:
63
Sophos Mobile Control
1. Erstellen Sie im Apple-DEP-Web-Portal einen virtuellen MDM-Server und verknüpfen Sie diesen mit Sophos Mobile Control. Siehe Virtuellen MDM-Server einrichten (Seite 64). 2. Erstellen Sie in Sophos Mobile Control ein oder mehrere DEP-Profile, mit denen verschiedene, DEP-spezifische Geräteeigenschaften konfiguriert werden. Mit einem DEP-Profil können Sie außerdem den iOS-Einrichtungsassistent anpassen, der nach dem ersten Einschalten eines Gerätes startet. Siehe DEP-Profil erstellen (Seite 65).
Bereitstellungsschritte Der typische Ablauf zur Bereitstellung gekaufter DEP-Geräte beinhaltet die folgenden Schritte: 1. Kaufen Sie die Geräte von Apple oder einem zugelassenen DEP-Händler. 2. Weisen Sie im Apple-DEP-Portal die Geräte dem Sophos Mobile Control MDM-Server zu. Informationen zu diesem und dem folgenden Schritt finden Sie in DEP-Geräte bereitstellen (Seite 68). 3. Weisen Sie in der Sophos Mobile Control Konsole den Geräten ein DEP-Profil zu. 4. Verteilen Sie die Geräte an Ihre Benutzer. 5. Wenn die Benutzer die Geräte erstmalig einschalten, startet der angepasste iOS-Einrichtungsassistent. Während der Einrichtung werden die Geräte bei Sophos Mobile Control registriert und der Benutzer wird dem Gerät zugewiesen. 6. Bei Bedarf können Sie zusätzliche Auftragspakete auf die Geräte übertragen, um die Provisionierung zu vervollständigen.
12.5.1 Virtuellen MDM-Server einrichten Voraussetzung: Diese Prozedur setzt voraus, dass Sie sich bereits für das Apple-Programm zur Geräteregistrierung (DEP) registriert haben und ein Administratorkonto für das Apple-DEP-Webportal eingerichtet haben. Hinweis: Detaillierte Informationen zur DEP-Registrierung finden Sie auf der Apple-DEP-Website unter http://www.apple.com/de/business/programs/ oder in der Hilfe zu den Apple Bereitstellungsprogrammen. Tipp: Wenn Sie sich bereits für das Apple-Programm für Volumenlizenzen (VPP) registriert haben, können Sie dieselbe Apple-ID auch für DEP verwenden. Um Apple DEP mit Sophos Mobile Control verwenden zu können, müssen Sie im Apple-DEP-Webportal einen virtuellen MDM-Server erstellen und mit dem Sophos Mobile Control Server verknüpfen. Dies beinhaltet einen Verifizierungsprozess, um eine sichere Verbindung zwischen Sophos Mobile Control und dem Apple-DEP-Webservice herzustellen. So richten Sie einen virtuellen MDM-Server für Sophos Mobile Control ein: 1. Melden Sie sich an der Sophos Mobile Control Konsole an. Verwenden Sie die Zugangsdaten eines Administrators für den Kunden, für den Sie DEP-Geräte verwalten wollen. 2. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Systemeinstellungen und klicken Sie anschließend auf die Registerkarte Apple DEP. 3. Klicken Sie auf Öffentlichen Schlüssel herunterladen, um den öffentlichen Schlüssel von Sophos Mobile Control für Apple DEP herunterzuladen. Die Datei wird abhängig von den Download-Einstellungen Ihres Webbrowsers auf Ihrem Computer gespeichert. 4. Rufen Sie in einem Browser-Fenster das Apple-DEP-Webportal unter https://deploy.apple.com auf. Sie können hierzu den Link Apple-DEP-Webportal in Sophos Mobile Control klicken.
64
Administratorhilfe
5. Melden Sie sich am Apple-DEP-Webportal mit der Apple-ID Ihres Unternehmens an. 6. Navigieren Sie zu Device Enrollment Program > Server verwalten und klicken Sie anschließend auf MDM-Server hinzufügen. 7. Geben Sie einen Namen für den MDM-Server ein, zum Beispiel Sophos Mobile Control. 8. Laden Sie im nächsten Schritt die Datei mit dem öffentlichen Schlüssel hoch, die Sie zuvor von Sophos Mobile Control heruntergeladen haben. 9. Laden Sie im nächsten Schritt das Server-Token herunter. Anschließend können Sie sich vom DEP-Portal abmelden. 10. Klicken Sie in Sophos Mobile Control auf der Registerkarte Apple DEP auf Datei hochladen und wählen Sie das Server-Token aus, das Sie vom Apple-DEP-Portal heruntergeladen haben. Die Details Ihres virtuellen MDM-Servers werden angezeigt. 11. Klicken Sie auf Speichern, um Ihre Änderungen zu speichern. Das DEP-Server-Token ist ein Jahr gültig. Zur Benachrichtigung über den bevorstehenden Ablauf des Tokens sendet Sophos Mobile Control mehrere E-Mail-Erinnerungen an alle Administratoren, beginnend 30 Tage vor dem Ablaufdatum. Wichtig: Wenn Sie im Apple-DEP-Webportal ein neues Server-Token erstellen, müssen Sie dieselbe Apple-ID verwenden, die Sie für die Erstausstellung des Tokens verwendet haben.
12.5.2 DEP-Profil erstellen Bevor Sie DEP-Profile erstellen können, müssen Sie das Apple-Programm zur Geräteregistrierung (DEP) einrichten. Siehe Virtuellen MDM-Server einrichten (Seite 64). Ein DEP-Profil wird einem DEP-Gerät zugewiesen und vom Apple-Server während der Geräteaktivierung ausgewertet. Es enthält folgende Informationen: ■
Den MDM-Server (also Sophos Mobile Control), mit dem das Gerät verwaltet wird.
■
Konfigurationseinstellungen für die Registrierung bei Sophos Mobile Control.
■
Eine Liste der Host-Geräte, mit denen das Gerät gekoppelt werden darf.
■
Benutzerdefinierte Einstellungen für den iOS-Einrichtungsassistent, der nach dem ersten Einschalten eines Gerätes startet.
Bei Bedarf können Sie mehrere DEP-Profile erstellen, um verschiedene Einrichtungs- und Konfigurations-Einstellungen für Ihre DEP-Geräte zu verwenden. So erstellen Sie ein DEP-Profil: 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Allgemein und klicken Sie anschließend auf die Registerkarte Apple-DEP-Profile. 2. Klicken Sie auf Hinzufügen. 3. Geben Sie im Dialog DEP-Profil bearbeiten einen Namen und optional eine Beschreibung für das DEP-Profil ein. 4. Optional: Wählen Sie in der Liste Gerätegruppe eine Gerätegruppe aus, die Geräten zugewiesen wird, wenn diese bei Sophos Mobile Control registriert werden. Informationen zu Gerätegruppen finden Sie in Gerätegruppen (Seite 71). Hinweis: Wir empfehlen, zur Vereinfachung der Geräteverwaltung eine eigene Gerätegruppe für DEP-Geräte zu verwenden.
65
Sophos Mobile Control
5. Optional: Wählen Sie in der Liste Auftragspaket ein Auftragspaket aus, das an Geräte übertragen wird, wenn diese bei Sophos Mobile Control registriert werden. Die Liste enthält alle iOS-Auftragspakete, die keinen Registrierungsauftrag enthalten. Informationen zu Auftragspaketen finden Sie in Auftragspakete (Seite 172). 6. Auf der Registerkarte Registrierung können Sie folgende Einstellungen vornehmen: Option
Beschreibung
Gerät betreuen
Das Gerät ist betreut (Supervision mode).
Benutzer kann MDM-Profil entfernen
Der Benutzer kann das Sophos Mobile Control Registrierungsprofil über die iOS-Benutzeroberfläche entfernen. Diese Option kann nur für betreute Geräte deaktiviert werden.
SMC-App installieren
Die App „Sophos Mobile Control“ wird auf dem Gerät installiert. Wenn Sie diese Option aktivieren, müssen Sie außerdem auf der Registerkarte iOS-Einrichtung die Option „Apple-ID“ überspringen deaktivieren. Dies stellt sicher, dass Sophos Mobile Control die App aus dem App Store installieren kann. Hinweis: Alternativ, falls Sie sich für das Apple-Programm für Volumenlizenzen (VPP) registriert haben, kann die App „Sophos Mobile Control“ als VPP-App installiert werden, auch wenn das Gerät nicht mit einer Apple-ID verknüpft ist. Die Geräte müssen den Status Verwaltet haben und iOS 9 oder höher verwenden. Siehe VPP-Apps automatisch zuweisen (Seite 187).
Benutzer kann Zuweisung des Der Benutzer kann den Einrichtungsschritt überspringen, in dem MDM-Profils überspringen das Sophos Mobile Control Registrierungsprofil angewendet wird. Gerätebenutzer zuweisen
Während der Registrierung bei Sophos Mobile Control wird der Benutzer nach seinen Anmeldeinformationen für das Self Service Portal gefragt und anschließend dem Gerät zugewiesen. Mit dieser Option können Sie eine automatische Zuweisung des Benutzers zum Gerät vornehmen.
66
Administratorhilfe
7. Auf der Registerkarte iOS-Einrichtung können Sie Schritte des iOS-Einrichtungsassistent deaktivieren, der nach dem ersten Einschalten eines Gerätes startet. Hinweis: Diese Einstellungen wirken sich nur auf die iOS-Einrichtung aus. Wenn Sie einen Konfigurationsschritt deaktivieren, kann der Benutzer trotzdem die jeweilige Einstellung nachträglich vornehmen. Um eine Funktion vollständig zu deaktivieren, verwenden Sie eine Konfiguration Einschränkungen. Siehe Konfiguration „Einschränkungen“ (iOS-Geräteprofil) (Seite 122). Option
Beschreibung
„Apps & Daten“ überspringen Der Einrichtungsschritt Apps & Daten wird nicht angezeigt. Der Benutzer kann keine Daten aus einem iCloud- oder iTunes-Backup wiederherstellen, oder Daten von einem Android-Gerät übertragen.
„Daten von Android übertragen“ deaktivieren
Im Einrichtungsschritt Apps & Daten ist die Option Daten von Android übertragen nicht verfügbar. Der Benutzer kann keine Daten von einem Android-Gerät übertragen. Sie können diese Option nur aktivieren, wenn Sie auch „Apps & Daten“ überspringen aktivieren.
„Diagnostics“ überspringen
Der Einrichtungsschritt Diagnostics wird nicht angezeigt. Die Übermittlung von Diagnose- und Nutzungsdaten an Apple ist deaktiviert.
„Ortungsdienste“ überspringen
Der Einrichtungsschritt Ortungsdienste wird nicht angezeigt. Der Benutzer kann keine Ortungsdienste aktivieren.
„Siri“ überspringen
Der Einrichtungsschritt Siri wird nicht angezeigt. Der Benutzer kann Siri nicht einrichten.
„Anzeigezoom“ überspringen Der Einrichtungsschritt Anzeigezoom wird nicht angezeigt. Der Benutzer kann die Bildschirmansicht nicht ändern. „Apple-ID“ überspringen
Der Einrichtungsschritt Apple-ID wird nicht angezeigt. Der Benutzer kann sich nicht mit seiner Apple-ID an Apple-Diensten anmelden.
„Apple Pay“ überspringen
Der Einrichtungsschritt Apple Pay wird nicht angezeigt. Der Benutzer kann keine Kreditkarten- oder Guthabenkarten-Informationen für das Bezahlen mit Apple Pay in Stores oder Apps hinzufügen.
„Touch ID“ überspringen
Der Einrichtungsschritt Touch ID wird nicht angezeigt. Der Benutzer kann keinen Fingerabdruck als Passcode-Ersatz einrichten.
„Code erstellen“ überspringen
Der Einrichtungsschritt Code erstellen wird nicht angezeigt. Der Benutzer kann keinen Passcode zum Entsperren des Gerätes einrichten.
„Nutzungsbedingungen“ überspringen
Der Einrichtungsschritt Nutzungsbedingungen wird nicht angezeigt.
67
Sophos Mobile Control
8. Auf der Registerkarte Support-Informationen können Sie folgende Einstellungen vornehmen: Option
Beschreibung
Abteilung
Der Name der Abteilung oder des Standorts, der mit dem Profil verbunden ist. Dieser Name wird mit weiteren Informationen angezeigt, wenn der Benutzer während der Geräteeinrichtung auf Über Konfiguration klickt.
Telefonnummer
Die Support-Telefonnummer für Ihr Unternehmen. Das Feld ist mit der Telefonnummer aus den Kontaktdetails für technische Unterstützung vorausgefüllt. Siehe Kontaktdetails für technische Unterstützung konfigurieren (Seite 24). Hinweis: Die Telefonnummer wird im DEP-Profil gespeichert, ist aber für den Gerätebenutzer nicht verfügbar.
E-Mail
Die Support-E-Mail-Adresse für Ihr Unternehmen. Das Feld ist mit der E-Mail-Adresse aus den Kontaktdetails für technische Unterstützung vorausgefüllt. Siehe Kontaktdetails für technische Unterstützung konfigurieren (Seite 24). Hinweis: Die E-Mail-Adresse wird im DEP-Profil gespeichert, ist aber für den Gerätebenutzer nicht verfügbar.
9. Auf der Registerkarte USB-Kopplung legen Sie Computer fest, mit denen sich das Gerät per USB koppeln darf. Dies kann verwendet werden, um das Gerät mit iTunes zu synchronisieren oder es mit Apple Configurator zu verwalten. ■
■
Um USB-Verbindungen mit beliebigen Host-Computern zuzulassen, wählen Sie USB-Kopplung mit beliebigen Host-Computern erlauben aus. Um USB-Verbindungen zu verbieten oder auf bestimmte Computer zu beschränken, deaktivieren Sie USB-Kopplung mit beliebigen Host-Computern erlauben und laden Sie anschließend für jeden Computer, für den Sie die USB-Kopplung erlauben wollen, eine Zertifikatdatei hoch.
10. Nachdem Sie alle Registerkarten im Dialog DEP-Profil bearbeiten konfiguriert haben, klicken Sie auf Anwenden, um das DEP-Profil zu speichern. 11. Um das Profil allen neuen DEP-Geräten zuzuweisen, denen kein Profil manuell zugewiesen wurde, wählen Sie es in der Liste Standard-DEP-Profil für neue Geräte aus. Wenn Sie Keine auswählen, müssen Sie neuen DEP-Geräten ein DEP-Profil manuell zuweisen wie in DEP-Geräte bereitstellen (Seite 68) beschrieben. Andernfalls werden DEP-Geräte bei der Aktivierung nicht bei Sophos Mobile Control registriert. 12. Klicken Sie auf Speichern, um Ihre Änderungen zu speichern.
12.5.3 DEP-Geräte bereitstellen Führen Sie diese Prozedur aus, um Ihre Geräte mit Apple DEP zu verbinden und bei Sophos Mobile Control zu registrieren.
68
Administratorhilfe
Sie können Geräte verwalten, die Sie entweder bei Apple oder bei einem zugelassenen DEP-Händler erworben haben. Bevor Sie Geräte mit Apple DEP verbinden können, müssen Sie den Händler am Apple-DEP-Portal einrichten. Hinweis: Normalerweise führen Sie diese Prozedur aus, bevor Sie die DEP-Geräte an Ihre Benutzer übergeben und diese die Geräte aktivieren und verwenden. Hinweis: Detaillierte Informationen zum Apple-DEP-Portal finden Sie in der Hilfe zu den Apple Bereitstellungsprogrammen. So weisen Sie Ihre Geräte Sophos Mobile Control zu und weisen ihnen ein DEP-Profil zu: 1. Geben Sie in Ihrem Webbrowser die URL https://deploy.apple.com ein, um das Webportal für die Apple-Bereitstellungsprogramme zu öffnen, und melden Sie sich anschließend mit der Apple-ID Ihres Unternehmens an. 2. Navigieren Sie zu Device Enrollment Program > Geräte verwalten. 3. Wählen Sie im Punkt Geräte auswählen nach Ihre neuen Geräte über die Seriennummer oder die Bestellnummer aus, oder laden Sie eine CSV-Datei mit den Seriennummern hoch. Hinweis: Falls Sie die Geräte bei einem Händler erworben haben, sind diese innerhalb von 24 Stunden, nachdem der Händler Ihre Bestellung an Apple übermittelt hat, im DEP-Portal verfügbar. 4. Wählen Sie im Punkt Aktion auswählen die Option Server zuweisen aus und wählen Sie anschließend den virtuellen MDM-Server aus, den Sie für Sophos Mobile Control eingerichtet haben, wie in Virtuellen MDM-Server einrichten (Seite 64) beschrieben. 5. Klicken Sie auf OK, um die Zuweisung auszuführen. Anschließend können Sie sich vom DEP-Portal abmelden. Wenn Sie ein Standard-DEP-Profil eingerichtet haben wie in DEP-Profil erstellen (Seite 65) beschrieben, können Sie die weiteren Schritte überspringen. 6. Melden Sie sich an der Sophos Mobile Control Konsole an. Verwenden Sie die Zugangsdaten eines Administrators für den Kunden, für den Sie DEP-Geräte verwalten wollen. 7. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte und klicken Sie anschließend auf Apple DEP. Auf der Seite Apple-DEP-Geräte sind alle Geräte aufgelistet, denen Sie Sophos Mobile Control im Apple-DEP-Webportal zugewiesen haben. 8. Falls Geräte nicht angezeigt werden, die Sie erst vor Kurzem zugewiesen haben, klicken Sie auf Mit dem Apple-DEP-Portal synchronisieren. Hinweis: Um die Belastung des Apple-DEP-Servers zu begrenzen, müssen Sie nach jeder Synchronisierung eine kurze Zeit warten, bevor Sie erneut synchronisieren können. 9. Wählen Sie die neuen Geräte aus und klicken Sie anschließend auf Aktionen > Profil zuweisen. 10. Wählen Sie im Bestätigungsdialog das DEP-Profil aus, das Sie den Geräten zuweisen wollen, und klicken Sie anschließend auf OK. Wenn die erworbenen Geräte in Ihrem Unternehmen eintreffen, können Sie sie an Ihre Benutzer übergeben. Es ist keine weitere Konfiguration erforderlich. Wenn die Benutzer die Geräte erstmalig einschalten, werden die iOS-Einrichtung und die Registrierung bei Sophos Mobile Control so durchgeführt, wie Sie es im zugewiesenen DEP-Profil konfiguriert haben. Wenn Sie im Profil die Option Benutzer zuweisen ausgewählt haben wie in DEP-Profil erstellen (Seite 65) beschrieben, werden die Benutzer automatisch ihren Geräten zugewiesen.
69
Sophos Mobile Control
12.5.4 DEP-Geräte verwalten DEP-Geräte werden in Sophos Mobile Control genauso wie Nicht-DEP-Geräte verwaltet. Siehe Geräte verwalten (Seite 58). DEP-Geräten können Sie zusätzlich ein DEP-Profil zuweisen. Das DEP-Profil wird vom Apple-Server während der Geräteaktivierung ausgewertet. Siehe DEP-Profil erstellen (Seite 65). Hinweis: Da ein DEP-Profil nur für die Geräteaktivierung verwendet wird, wirkt sich eine Änderung des zugewiesenen DEP-Profils erst aus, wenn das Gerät zurückgesetzt und neu aktiviert wird. So ändern Sie das DEP-Profil eines Gerätes: 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte und klicken Sie anschließend auf Apple DEP. Auf der Seite Apple-DEP-Geräte sind alle Geräte aufgelistet, denen Sie Sophos Mobile Control im Apple-DEP-Webportal zugewiesen haben. 2. Klicken Sie auf Mit dem Apple-DEP-Portal synchronisieren, um die DEP-Informationen zu aktualisieren. Hinweis: Um die Belastung des Apple-DEP-Servers zu begrenzen, wird die Option Mit dem Apple-DEP-Portal synchronisieren nach jeder Synchronisierung deaktiviert und steht erst nach ein paar Minuten wieder zur Verfügung. 3. Wählen Sie die Geräte aus, denen Sie ein anderes DEP-Profil zuweisen wollen. 4. Klicken Sie auf Aktionen > Profil zuweisen. 5. Wählen Sie im Bestätigungsdialog das DEP-Profil aus, das Sie den Geräten zuweisen wollen, und klicken Sie anschließend auf OK.
70
Administratorhilfe
13 Gerätegruppen Gerätegruppen dienen zur Kategorisierung von Geräten. Da sich Aufgaben auch für Gerätegruppen statt für Einzelgeräte ausführen lassen, können Sie Geräte so effizient verwalten. Ein Gerät gehört jeweils immer exakt zu einer Gerätegruppe. Sie weisen ein Gerät einer Gerätegruppe zu, wenn Sie es in Sophos Mobile Control anlegen. Tipp: Gruppieren Sie nur Geräte mit demselben Betriebssystem. Gruppen lassen sich dadurch leichter für Installationen und andere betriebssystemspezifische Aufgaben verwenden.
13.1 Gerätegruppe erstellen 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Gerätegruppen und klicken Sie anschließend auf Gerätegruppe anlegen. 2. Geben Sie auf der Seite Gerätegruppe bearbeiten Name und Beschreibung für die neue Gerätegruppe ein. 3. Wählen Sie unter Compliance-Richtlinien in den Listen Firmengeräte und Privatgeräte die Compliance-Richtlinie aus, die angewendet werden soll. 4. Klicken Sie auf Speichern. Hinweis: Die Einstellungen für die Gerätegruppen enthalten die Option iOS-Auto-Registrierung aktivieren. Mit dieser Option können Sie iOS-Geräte mit dem Apple Configurator bereitstellen. Siehe iOS-Geräte automatisch registrieren (Seite 56) Die neue Gerätegruppe wird angelegt und auf der Seite Gerätegruppen angezeigt.
13.2 Gerätegruppen löschen 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Gerätegruppen. 2. Klicken Sie auf der Seite Gerätegruppen auf das blaue Dreieck neben der zu löschenden Gerätegruppe, und klicken Sie anschließend auf Löschen. 3. Wählen Sie im Bestätigungsdialog eine der verbleibenden Gerätegruppen aus, der die Geräte der aktuellen Gerätegruppe zugewiesen werden. Diese Auswahl ist nur verfügbar, wenn der aktuellen Gerätegruppe Geräte zugewiesen sind. 4. Klicken Sie auf Ja, um die Gerätegruppe zu löschen. Hinweis: Wenn nur eine Gerätegruppe vorhanden ist und dieser Geräte zugewiesen sind, können Sie die Gerätegruppe nicht löschen.
71
Sophos Mobile Control
14 Profile und Richtlinien Profile Profile sind Einstellungen, die Sie festlegen und anschließend auf einem Gerät oder einer Gerätegruppe installieren. Für die Installation eines Profils auf einem oder mehreren Geräten erstellt Sophos Mobile Control einen Auftrag und führt ihn zu einem festgelegten Zeitpunkt aus. Wenn Sie ein Profil aktualisieren, müssen Sie es erneut installieren, damit die geänderten Einstellungen auf dem Gerät wirksam werden. Es gibt folgende Arten von Profilen: Konfigurationen für Android-Geräteprofile (Seite 78) Konfigurationen für Android-for-Work-Richtlinien (Seite 96) Konfigurationen für Knox-Container-Profile (Seite 116) Konfigurationen für iOS-Geräteprofile (Seite 120)
Richtlinien Richtlinien sind Einstellungen, die Sie festlegen und anschließend einem Gerät oder einer Gerätegruppe zuweisen. Sie können einem Gerät nicht zwei Richtlinien desselben Typs zuweisen. Wenn Sie einem Gerät eine Richtlinie zuweisen, löst dies eine Synchronisierung aus und die Einstellungen werden sofort angewendet. Zugewiesene Richtlinien werden jedes Mal aktualisiert, wenn sich ein Gerät mit dem Sophos Mobile Control Server verbindet. Daher muss eine Richtlinie nicht explizit erneut angewendet werden, wenn Sie diese aktualisieren. Es gibt folgende Arten von Richtlinien: Konfigurationen für Sophos-Container-Richtlinien für Android (Seite 106) Konfigurationen für Mobile-Security-Richtlinien (Seite 115) Konfigurationen für Sophos-Container-Richtlinien für iOS (Seite 147) Konfigurationen für Windows-Mobile-Richtlinien (Seite 157) Konfigurationen für Windows-Desktop-Richtlinien (Seite 166)
14.1 Profil oder Richtlinie erstellen Profile und Richtlinien bestehen aus einer oder mehrerer Konfigurationen. Indem Sie Konfigurationen hinzufügen, definieren Sie den Aufgabenbereich des Profils bzw. der Richtlinie, d.h. die auf den Geräten verwalteten Bereiche. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Profile, Richtlinien und klicken Sie anschließend auf die Plattform, für die Sie ein Profil oder eine Richtlinie erstellen wollen.
72
Administratorhilfe
2. Klicken Sie auf der Seite Profile und Richtlinien auf Erstellen. Wenn es für eine Plattform mehrere Arten von Profilen oder Richtlinien gibt, öffnet Erstellen ein Menü, aus dem Sie die gewünschte Option auswählen können. Eine Liste der verfügbaren Profile und Richtlinien finden Sie in Profile und Richtlinien (Seite 72). 3. Geben Sie einen Namen, eine Version und eine Beschreibung ein. Pflichtfelder sind mit einem roten Sternchen (*) markiert. 4. Sophos-Container-Richtlinien enthalten immer eine Konfiguration Allgemein. Diese wird automatisch hinzugefügt. Klicken Sie auf der Seite Richtlinie bearbeiten auf Allgemein, um die Konfiguration anzuzeigen und bei Bedarf anzupassen. 5. Android-for-Work-Richtlinien enthalten immer eine Konfiguration Einschränkungen. Diese wird automatisch der Richtlinie hinzugefügt. Klicken Sie auf der Seite Richtlinie bearbeiten auf Einschränkungen, um die Konfiguration anzuzeigen und bei Bedarf anzupassen. 6. Um weitere Konfiguration zu dem Profil oder der Richtlinie hinzuzufügen, klicken Sie auf Konfiguration hinzufügen und wählen Sie anschließend die gewünschte Konfiguration aus. Hinweis: Einige Konfigurationen werden nur für bestimmte Betriebssystemversionen oder Gerätemerkmale unterstützt. Solche Einschränkungen sind in Sophos Mobile Control durch blaue Label gekennzeichnet. 7. Konfigurieren Sie auf der Einstellungsseite der Konfiguration die gewünschten Einstellungen. 8. Optional: Wiederholen Sie die vorhergehenden Schritte, um weitere Konfigurationen hinzuzufügen. 9. Wenn Sie alle erforderlichen Konfigurationen hinzugefügt haben, klicken Sie auf Speichern. Das Profil oder die Richtlinie wird erstellt. Informationen, wie Sie das Profil oder die Richtlinie auf Geräte anwenden, finden Sie in Profil auf Geräten installieren (Seite 76) bzw. Richtlinie Geräten zuweisen (Seite 76).
14.2 Mit Apple Configurator erstellte iOS-Geräteprofile importieren Sie können mit dem Apple Configurator erstellte Profile in Sophos Mobile Control importieren. Der Apple Configurator kann vom App Store heruntergeladen werden. Hinweis: Geräteprofile werden auf dieselbe Weise importiert wie Provisionierungsprofile für selbstentwickelte iOS-Apps. Wenn Sie eine Profildatei hochladen, analysiert Sophos Mobile Control den Inhalt und verarbeitet die beiden Profilarten entsprechend. 1. Nachdem Sie ein Profil im Apple Configurator erstellt haben, exportieren Sie es (unverschlüsselt und unsigniert) und speichern Sie es auf Ihrem Computer. 2. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Profile, Richtlinien > Apple iOS. 3. Klicken Sie auf der Seite Profile und Richtlinien auf Erstellen > Profil importieren. Die Seite Profil bearbeiten wird angezeigt. 4. Geben Sie in den jeweiligen Feldern einen Namen, eine Beschreibung und optional eine Version für das neue Profil ein. 5. Klicken Sie auf Datei hochladen und navigieren Sie zu der Datei, die Sie auf Ihrem Computer gespeichert haben. Wählen Sie diese aus und klicken Sie auf Öffnen.
73
Sophos Mobile Control
6. Klicken Sie auf Speichern. Das Profil wird erstellt. Es kann auf Geräten installiert werden. Siehe Profil auf Geräten installieren (Seite 76).
14.3 Provisionierungsprofile für iOS-Apps importieren Wenn Sie eigene iOS-Apps entwickeln, erstellen Sie Provisionierungsprofile, um Ihre Apps über eine IPA-Datei installieren zu können anstatt über den App Store. Sie können diese Provisionierungsprofile auf den Sophos Mobile Control Server hochladen, um sie anschließend an Ihre Geräte zu verteilen. Details zu Provisionierungsprofilen finden Sie in der iOS Developer Library. Hinweis: Sie importieren Provisionierungsprofile auf dieselbe Weise wie mit dem Apple Configurator erstellte Geräteprofile. Wenn Sie eine Profildatei hochladen, analysiert Sophos Mobile Control den Inhalt und verarbeitet die beiden Profilarten entsprechend. 1. Nachdem Sie in Ihrer iOS-Entwicklungsumgebung ein Provisionierungsprofil erstellt haben, speichern Sie dieses auf Ihrem Computer. 2. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Profile, Richtlinien > Apple iOS. 3. Klicken Sie auf der Seite Profile und Richtlinien auf Erstellen > Profil importieren. Die Seite Profil bearbeiten wird angezeigt. 4. Geben Sie in den jeweiligen Feldern einen Namen, eine Beschreibung und optional eine Version für das neue Profil ein. 5. Klicken Sie auf Datei hochladen und navigieren Sie zu der Datei, die Sie auf Ihrem Computer gespeichert haben. Wählen Sie diese aus und klicken Sie auf Öffnen. 6. Klicken Sie auf Speichern. Das Profil wird erstellt. Es kann auf Geräten installiert werden. Siehe Profil auf Geräten installieren (Seite 76).
14.4 Komplexitätsregeln für Windows-Desktop-Kennwörter Bei Windows-Desktop-Geräten gelten feste Regeln für die Kennwortkomplexität (z.B. Länge, Anzahl von Groß- oder Kleinbuchstaben), die nicht über eine Richtlinie in Sophos Mobile Control festgelegt werden können. Es gelten unterschiedlicher Regeln für lokale und für Microsoft-Konten.
Lokale Konten
74
■
Kennwort darf nicht den Anmeldenamen oder mehr als zwei aufeinanderfolgende Zeichen des Benutzernamens enthalten.
■
Kennwort muss sechs oder mehr Zeichen lang sein.
■
Kennwort muss Zeichen aus drei der folgenden vier Kategorien enthalten: ■
Großbuchstaben A-Z (Lateinisches Alphabet)
■
Kleinbuchstaben a-z (Lateinisches Alphabet)
■
Ziffern 0-9
■
Sonderzeichen (!, $, #, %, etc.)
Administratorhilfe
Microsoft-Konten ■
Kennwort muss acht oder mehr Zeichen lang sein.
■
Kennwort muss Zeichen aus zwei der folgenden vier Kategorien enthalten: ■
Großbuchstaben A-Z (Lateinisches Alphabet)
■
Kleinbuchstaben a-z (Lateinisches Alphabet)
■
Ziffern 0-9
■
Sonderzeichen (!, $, #, %, etc.)
14.5 Unterstützung von Samsung Knox Sie können Ihre Samsung-Knox-Geräte mit Sophos Mobile Control verwalten. Hinweis: Um Samsung-Knox-Geräte verwalten zu können, müssen Sie in Sophos Mobile Control unter Systemeinstellungen einen von Samsung ausgestellten Knox-Advanced-Lizenzschlüssel eingeben. Information zur Konfiguration des Knox-Containers auf Samsung-Geräten finden Sie in Konfigurationen für Knox-Container-Profile (Seite 116). Informationen zur Installation von Apps in einen Samsung-Knox-Container finden Sie in App hinzufügen (Seite 180). Zur Verwaltung Ihrer Samsung-Knox-Geräte können Sie Auftragspakete für die folgenden Aktionen erstellen: ■
Knox-Container: sperren
■
Knox-Container: entsperren
■
Knox-Container: Kennwort zurücksetzen
■
Knox-Container: entfernen (entfernt den Container und alle zugehörigen Einstellungen vom Gerät)
Informationen zum Erstellen eines Auftragspakets für Samsung-Knox-Geräte finden Sie in Auftragspaket erstellen (Seite 172).
14.6 Platzhalter in Profilen und Richtlinien Profile und Richtlinien können Platzhalter enthalten, die zum Zeitpunkt der Auftragsausführung durch die eigentlichen Daten ersetzt werden. Sie können folgende Platzhalter in Profilen verwenden: ■
■
Platzhalter für Benutzerinformationen: ■
%_EMAILADDRESS_%
■
%_USERNAME_%
Platzhalter für Geräteeigenschaften: ■
%_DEVPROP(Eigenschaftsname)_%
75
Sophos Mobile Control
Eigenschaftsname ist entweder eine Standardeigenschaft oder eine benutzerdefinierte Eigenschaft des Gerätes. Siehe Benutzerdefinierte Geräteeigenschaften (Seite 62). ■
Platzhalter für Kundeneigenschaften: ■
%_CUSTPROP(Eigenschaftsname)_% Siehe Kundeneigenschaften definieren (Seite 24).
14.7 Profil auf Geräten installieren 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Profile, Richtlinien und klicken Sie anschließend auf eine Geräteplattform, die Profile unterstützt: ■ ■
Android Apple iOS
Die Seite Profile und Richtlinien für die ausgewählte Plattform wird angezeigt. 2. Klicken Sie auf das blaue Dreieck neben dem Profil, das installiert werden soll, und danach auf Installieren. Die Seite Geräte auswählen wird angezeigt. 3. Auf dieser Seite können Sie folgende Aufgaben durchführen: ■ ■
Wählen Sie einzelne Geräte aus, auf denen Sie die App installieren wollen. Klicken Sie auf Gerätegruppen auswählen und wählen Sie anschließend eine oder mehrere Gerätegruppen aus.
4. Wenn Sie Ihre Auswahl getroffen haben, klicken Sie auf Weiter. Die Seite Ausführungszeit wählen wird angezeigt. 5. Wählen Sie unter Datum die Option Sofort oder geben Sie ein Datum und eine Uhrzeit für die Ausführung des Auftrags an. 6. Klicken Sie auf Fertigstellen. Die Auftragsstatus Ansicht wird angezeigt. Das Profil wird zum angegebenen Zeitpunkt auf den ausgewählten Geräten installiert. Hinweis: Sie können ein Profil auch folgendermaßen installieren: ■
Erstellen Sie ein Auftragspaket, das einen Auftrag Profil installieren oder Richtlinie zuweisen enthält und übertragen Sie dieses Auftragspaket an die gewünschten Geräte oder Gerätegruppen.
■
Öffnen Sie auf der Seite Gerät anzeigen des Gerätes die Registerkarte Profile und klicken Sie auf Profil installieren.
14.8 Eine Richtlinie Geräten zuweisen 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Profile, Richtlinien und klicken Sie anschließend auf eine Geräteplattform, die Richtlinien unterstützt: ■
76
Android
Administratorhilfe
■ ■ ■
Apple iOS Windows Mobile Windows Desktop
Die Seite Profile und Richtlinien für die ausgewählte Plattform wird angezeigt. 2. Klicken Sie auf das blaue Dreieck neben der Richtlinie, die zugewiesen werden soll, und danach auf Zuweisen. Die Seite Geräte auswählen wird angezeigt. 3. Auf dieser Seite können Sie folgende Aufgaben durchführen: ■ ■
Wählen Sie einzelne Geräte aus, denen die Richtlinie zugewiesen werden soll. Klicken Sie auf Gerätegruppen auswählen und wählen Sie eine oder mehrere Gerätegruppen für die Zuweisung der Richtlinie aus.
4. Wenn Sie Ihre Auswahl getroffen haben, klicken Sie auf Fertigstellen. Die Richtlinie wird den ausgewählten Geräten zugewiesen und ein Synchronisierungsvorgang wird ausgelöst. Hinweis: Sie können eine Richtlinie auch folgendermaßen zuweisen: ■
Erstellen Sie ein Auftragspaket, das einen Auftrag Profil installieren oder Richtlinie zuweisen enthält und übertragen Sie dieses Auftragspaket an die gewünschten Geräte oder Gerätegruppen.
■
Öffnen Sie auf der Seite Gerät anzeigen des Gerätes die Registerkarte Richtlinien und klicken Sie auf Richtlinie zuweisen.
Hinweis: Richtlinien können nicht von einem Gerät entfernt werden. Um eine Richtlinie zu deaktivieren, müssen Sie dem Gerät eine andere Richtlinie zuweisen.
14.9 Profil entfernen Sie können ein Profil auf eine der beiden folgenden Weisen von einem Gerät entfernen: ■
Öffnen Sie auf der Seite Gerät anzeigen des Gerätes die Registerkarte Profile. Klicken Sie auf das blaue Dreieck neben dem Profil, das Sie entfernen wollen, und klicken Sie anschließend auf Entfernen.
■
Erstellen Sie ein Auftragspaket mit einem Auftrag Profil entfernen und übertragen Sie dieses an die gewünschten Geräte oder Gerätegruppen.
14.10 Profile und Richtlinien herunterladen Sie können Profile und Richtlinien, die Sie in der Sophos Mobile Control Konsole konfiguriert haben, herunterladen. Dies ist zum Beispiel nützlich, wenn Sie die definierten Einstellungen an den Sophos Support weitergeben möchten. 1. Gehen Sie in der Menüleiste zu Profile, Richtlinien und klicken Sie auf eine Geräteplattform. Die Seite Profile und Richtlinien für die ausgewählte Plattform wird angezeigt. 2. Klicken Sie auf den Namen des gewünschten Profils bzw. der gewünschten Richtlinie. Die Seite Profil anzeigen bzw. die Seite Richtlinie anzeigen wird angezeigt. 3. Klicken Sie auf Herunterladen.
77
Sophos Mobile Control
Das Profil bzw. die Richtlinie wird folgendermaßen auf Ihrem lokalen Computer gespeichert: ■
iOS-Profile werden als XML-Plist-Dateien mit der Endung .mobileconfig gespeichert.
■
Android-Profile werden als XML-Dateien mit der Endung .smcprofile gespeichert.
■
Android- und iOS-Richtlinien werden als JSON-Dateien gespeichert.
■
■
Windows-Mobile-Richtlinien werden als XML-Dateien mit der Endung .windowsphoneconfig gespeichert. Windows-Desktop-Richtlinien werden als XML-Dateien mit der Endung .windowsdesktopconfig gespeichert.
14.11 Konfigurationen für Android-Geräteprofile Mit einem Android-Geräteprofil konfigurieren Sie verschiedene Bereiche von Android-Geräten, wie zum Beispiel Kennwortrichtlinien, Einschränkungen oder WLAN-Einstellungen. Informationen zur Erstellung eines Geräteprofils finden Sie in Profil oder Richtlinie erstellen (Seite 72).
14.11.1 Konfiguration „Kennwortrichtlinien“ (Android-Geräteprofil) Mit der Konfiguration „Kennwortrichtlinien“ definieren Sie Kennwortregeln für Geräte. Hinweis: Einige Einstellungen werden nur für bestimmte Betriebssystemversionen oder Gerätemerkmale unterstützt. Solche Einschränkungen sind in Sophos Mobile Control durch blaue Label gekennzeichnet.
Kennworttyp Wenn Sie die Konfiguration Kennwortrichtlinien auswählen, wird die Liste Kennworttyp angezeigt. Wählen Sie in dieser Liste die Art des Kennworts, dass Sie definieren wollen:
78
Einstellung/Feld
Beschreibung
Beliebig
Benutzer müssen eine Displaysperre einrichten. Für die Displaysperre sind die Typen Muster, PIN und Passwort erlaubt. Weitere Einschränkungen bestehen nicht.
Alphabetisch
Benutzer müssen eine Displaysperre vom Typ Passwort einrichten. Zahlen sind erlaubt, aber es muss mindestens auch ein Buchstabe enthalten sein. Sie können eine Mindestzeichenanzahl festlegen. Siehe die nachfolgende Tabelle.
PIN
Benutzer müssen eine Displaysperre vom Typ PIN oder Passwort einrichten. Sie können eine Mindestzeichenanzahl festlegen. Siehe die nachfolgende Tabelle.
Administratorhilfe
Einstellung/Feld
Beschreibung
Alphanumerisch
Benutzer müssen eine Displaysperre vom Typ Passwort einrichten. Das Kennwort muss sowohl Buchstaben als auch Ziffern enthalten. Sie können eine Mindestzeichenanzahl festlegen. Siehe die nachfolgende Tabelle.
Komplex
Benutzer müssen eine Displaysperre vom Typ Passwort einrichten. Das Kennwort muss sowohl Buchstaben als auch Ziffern enthalten. Sie können eine Mindest-Gesamtzeichenanzahl und eine Mindestanzahl an Ziffern, Klein- und Großbuchstaben und Sonderzeichen festlegen. Siehe die nachfolgenden beiden Tabellen.
Wenn Sie Alphabetisch, PIN, Alphanumerisch oder Komplex auswählen, werden die folgenden Felder angezeigt:
Einstellung/Feld
Beschreibung
Minimale Länge des Kennworts
Die Mindestanzahl an Zeichen, die ein Kennwort enthalten muss.
Inaktivitätsdauer bis zur Abfrage des Kennworts
Die Zeit (in Minuten), nach der das Gerät gesperrt wird, wenn es nicht benutzt wird. Das Gerät lässt sich durch Eingabe des Kennworts entsperren.
Gültigkeitsdauer des Kennworts in Tagen
Fordert eine Änderung des Kennworts im angegebenen Intervall. Wertebereich: 0 (keine Kennwortänderung erforderlich) bis 730 Tage.
Maximale Anzahl fehlerhafter Loginversuche, bis das Gerät zurückgesetzt wird
Die maximale Anzahl fehlgeschlagener Kennwort-Eingabeversuche, nach der das Gerät zurückgesetzt wird.
Anzahl der letzten Kennwörter, die nicht benutzt werden dürfen
Die Anzahl alter Kennwörter, die vom System gespeichert werden. Wenn ein Benutzer ein neues Kennwort festlegt, wird es nicht akzeptiert, falls es mit einem bereits benutzten Kennwort übereinstimmt. Wertebereich: 1 bis 5 oder kein Wert.
Wenn Sie Komplex auswählen, werden zusätzlich die folgenden Felder angezeigt:
79
Sophos Mobile Control
Einstellung/Feld
Beschreibung
Minimale Anzahl von Buchstaben
Die Mindestanzahl an Buchstaben, die ein Kennwort enthalten muss.
Minimale Anzahl von Kleinbuchstaben
Die Mindestanzahl Kleinbuchstaben, die ein Kennwort enthalten muss.
Minimale Anzahl von Großbuchstaben
Die Mindestanzahl Großbuchstaben, die ein Kennwort enthalten muss.
Minimale Anzahl von Zeichen, die kein Buchstabe sind
Die Mindestanzahl nicht-alphabetischer Zeichen (zum Beispiel & oder !), die ein Kennwort mindestens enthalten muss.
Minimale Anzahl von Ziffern
Die Mindestanzahl an Ziffern, die ein Kennwort enthalten muss.
Minimale Anzahl von Sonderzeichen
Die Mindestanzahl an Sonderzeichen (zum Beispiel !"§$%&/()=,.-;:_@) ein Kennwort mindestens enthalten muss.
14.11.2 Konfiguration „Einschränkungen“ (Android-Geräteprofil) Mit der Konfiguration „Einschränkungen“ definieren Sie Einschränkungen für Geräte.
Sicherheit
Einstellung/Feld
Beschreibung
Verschlüsselung erzwingen
Benutzer müssen ihre Geräte verschlüsseln.
Verschlüsselung von SD-Karten erzwingen
Nachdem das Profil auf einem Gerät installiert wurde, wird der Benutzer aufgefordert, die SD-Karte zu verschlüsseln. Hinweis: Bei manchen Geräten kann der Benutzer den Verschlüsselungsvorgang abbrechen. In diesem Fall wird er beim nächsten Einbinden der SD-Karte erneut aufgefordert.
Schnellverschlüsselung erlauben
80
Wenn das Kontrollkästchen deaktiviert ist, sind in den Geräteeinstellungen die Optionen zur schnellen Verschlüsselung nicht verfügbar.
Administratorhilfe
Einstellung/Feld
Beschreibung
Auf Werkseinstellungen zurücksetzen erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer ihre Geräte nicht auf die Werkseinstellungen zurücksetzen.
Entwickleroptionen erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer die Entwickleroptionen nicht ändern.
Safe-Modus erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer ihre Geräte nicht im Safe-Modus starten.
USB-Debuggen erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist USB-Debugging deaktiviert. Hinweis: Für Sony-Geräte mit Enterprise API Version 9 oder höher gilt: Wenn das Kontrollkästchen USB-Debuggen erlauben deaktiviert ist, sind keine Entwickleroptionen verfügbar.
Firmware-Wiederherstellung erlauben
Wenn das Kontrollkästchen deaktiviert ist, sind alle Arten von Firmware-Updates (wie Over-The-Air, Download etc.) deaktiviert.
Sicherung erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer keine Systemsicherung durchführen. Google Backup ist deaktiviert. Andere Backup-Verfahren (zum Beispiel Sophos Mobile Control Backups) sind weiterhin verfügbar.
Einstellungen ändern erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer keine Geräteeinstellungen ändern. Je nach Gerät wird das Symbol für die Einstellungen entfernt.
Zwischenablage erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer die Zwischenablage nicht verwenden. Hinweis: Diese Einstellung gilt nur für Geräte mit Android 4.2.2 oder höher.
Gemeinsame Zwischenablage aktivieren Benutzer können Inhalte aus einer App kopieren und in eine andere App einfügen. Wenn das Kontrollkästchen deaktiviert ist, verwendet jede App eine eigene Zwischenablage. Diese Einstellung ist nur verfügbar, wenn Sie Zwischenablage erlauben aktivieren.
Bildschirmaufnahme erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer keine Aufnahmen des Bildschirminhalts machen.
81
Sophos Mobile Control
Einstellung/Feld
Beschreibung
Simulierte Standorte erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer in den Android-Entwickleroptionen keine App für simulierte Standorte einrichten.
Over-The-Air Firmware-Aktualisierung erlauben
Wenn das Kontrollkästchen deaktiviert ist, sind keine Over-The-Air Firmware-Updates möglich.
Audioaufnahmen erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer keine Audioaufnahmen durchführen.
Videoaufnahmen erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer keine Videoaufnahmen durchführen. Fotoaufnahmen sowie das Abspielen von Videos sind möglich.
Aktivierungssperre erlauben
Wenn das Kontrollkästchen deaktiviert ist, sind in den Geräteeinstellungen die Optionen zur Aktivierungssperre nicht verfügbar.
S Beam erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist die Samsung-App „S Beam“ nicht verfügbar.
S Voice erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist die Samsung-App „S Voice“ nicht verfügbar.
„Teilen über“ erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist die Funktion Teilen über deaktiviert.
Konten
Einstellung/Feld
Beschreibung
Mehrere Benutzerkonten erlauben
Wenn das Kontrollkästchen deaktiviert ist, kann auf den Geräten nur ein einzelnes Benutzerkonto eingerichtet werden. Benutzer oder andere Apps können keine weiteren Benutzerkonten erstellen.
Hinzufügen neuer E-Mail-Konten erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer keine E-Mail-Konten hinzufügen. Dies betrifft nicht das Erstellen von Konten über ein Geräteprofil.
Entfernen des Google-Kontos erlauben Wenn das Kontrollkästchen deaktiviert ist, können Benutzer nicht das Google-Konto von ihren Geräten entfernen.
82
Administratorhilfe
Einstellung/Feld
Beschreibung
Auto-Sync für Google-Konten erlauben
Wenn das Kontrollkästchen deaktiviert ist, werden Google-Konten nicht automatisch synchronisiert. Benutzer können aber weiterhin eine manuelle Synchronisierung durchführen, zum Beispiel über die App Gmail.
Netzwerk und Kommunikation
Einstellung/Feld
Beschreibung
Flugmodus erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer nicht den Flugmodus aktivieren.
Synchronisierung bei Roaming erlauben Wenn das Kontrollkästchen deaktiviert ist, ist die Synchronisierung bei Mobilfunk-Roaming deaktiviert. Nur Notrufe erlauben
Es sind nur Notrufe möglich. Sonstige Anrufe werden gesperrt.
Bei Roaming nur manuell synchronisieren
Bei Roaming ist die automatische Datensynchronisierung deaktiviert. Dies gilt für alle eingerichteten Konten, wie zum Beispiel Google oder Exchange.
Mobile Datenverbindung erzwingen
Benutzer können mobile Datenverbindungen nicht deaktivieren.
SMS erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer keine SMS senden.
Datenverbindungen bei Roaming erlauben
Wenn das Kontrollkästchen deaktiviert ist, sind bei Roaming keine mobilen Datenverbindungen möglich.
Sprachanrufe bei Roaming erlauben
Wenn das Kontrollkästchen deaktiviert ist, sind bei Roaming keine Sprachanrufe möglich.
Mobildatenlimit für Benutzer erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer kein Limit für mobile Daten einstellen.
VPN erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer keine VPN-Verbindungen verwenden.
Wi-Fi Direct erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist keine Datenübertragung über „Wi-Fi Direct“ möglich.
83
Sophos Mobile Control
Einstellung/Feld
Beschreibung
Android Beam erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist keine Datenübertragung über „Android Beam“ möglich. Dies betrifft auch die Samsung-App „S Beam“.
Miracast-Richtlinie erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist keine Datenübertragung über Miracast möglich.
Bluetooth erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist Bluetooth deaktiviert.
NFC erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist NFC (Near Field Communication) deaktiviert.
WLAN erlauben
Wenn das Kontrollkästchen deaktiviert ist, sind keine WLAN-Verbindungen möglich.
Tethering
Einstellung/Feld
Beschreibung
Tethering erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist kein Tethering möglich. Dies beinhaltet Tethering über WLAN, USB und Bluetooth. Hinweis: Wenn das Kontrollkästchen deaktiviert ist, haben die Einstellungen WLAN-Tethering erlauben, USB-Tethering erlauben und Bluetooth-Tethering erlauben keine Wirkung.
84
WLAN-Tethering erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist kein WLAN-Tethering (WLAN-Hotspot) möglich.
USB-Tethering erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist kein USB-Tethering möglich.
Bluetooth-Tethering erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist kein Bluetooth-Tethering möglich.
Konfigurieren von WLAN-Tethering erlauben
Der Benutzer kann die Einstellungen des WLAN-Hotspots konfigurieren.
Administratorhilfe
Hardware
Einstellung/Feld
Beschreibung
Kamera erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist die Kamera nicht verfügbar.
GPS für Standortabfragen erzwingen
Für Standortabfragen werden GPS-Informationen verwendet.
SD-Karte erlauben
Wenn das Kontrollkästchen deaktiviert ist, können in den Geräten keine SD-Karten verwendet werden.
Verschieben von Apps auf SD-Karte erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer keine Apps vom internen Speicher auf die SD-Karte verschieben.
Schreiben auf SD-Karte erlauben
Wenn das Kontrollkästchen deaktiviert ist, kann nicht auf eine unverschlüsselte SD-Karte geschrieben werden.
Mikrofon erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist das Mikrofon nicht verfügbar.
USB erlauben
USB-Speichermodus und USB-Media-Player sind auf den Geräten verfügbar.
USB-Media-Player erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist das MTPO (Media Transfer Protocol) nicht verfügbar. Da Android MTP für die Datenübertragung per USB verwendet, ist auch keine Datenübertragungen per USB möglich.
Anwendungen
Einstellung/Feld
Beschreibung
Installation von Apps erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer keine Apps installieren.
Deinstallation von Apps erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer keine Apps deinstallieren.
Installation unsignierter Apps erlauben Wenn das Kontrollkästchen deaktiviert ist, können Benutzer nur signierte APK-Dateien installieren.
85
Sophos Mobile Control
Einstellung/Feld
Beschreibung
Play Store erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist die App Google Play Store nicht verfügbar. Hinweis: Diese Einstellung gilt nur für Geräte mit Android 4.2.2 oder höher.
Apps aus unbekannten Quellen erlauben Wenn das Kontrollkästchen deaktiviert ist, können Benutzer Apps nur über die App Google Play Store installieren. Nativen Browser erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist der native Browser nicht verfügbar. Browser-Apps von Drittanbietern sind nicht betroffen.
App-Absturzberichte erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Apps keine Absturzberichte senden.
Hintergrundbild-Wechsel erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer nicht den Display-Hintergrund ändern.
Kamera auf Sperrbildschirm erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist die Kamera bei aktiver Displaysperre nicht verfügbar.
Widgets auf Sperrbildschirm erlauben
Wenn das Kontrollkästchen deaktiviert ist, sind bei aktiver Displaysperre keine Widgets verfügbar.
Knox-Kontaktinformationen für private Anrufe erlauben
Auf einem Samsung-Knox-Gerät werden standardmäßig Kontaktinformationen angezeigt, wenn der Benutzer im privaten Modus einen Anruf von einem Knox-Kontakt erhält. Wenn das Kontrollkästchen deaktiviert ist, werden im privaten Modus keine Knox-Kontaktinformationen angezeigt.
Autovervollständigung im Browser erlauben
Der Benutzer kann für den nativen Browser die Autovervollständigung aktivieren. Wenn die Autovervollständigung aktiviert ist, können Webseiten Vorschläge für das Ausfüllen von Formularen machen. Wenn das Kontrollkästchen deaktiviert ist, ist die Autovervollständigung deaktiviert und die entsprechende Browser-Einstellung ist nicht verfügbar.
Cookies im Browser erlauben
Der Benutzer kann für den nativen Browser Cookies aktivieren.Wenn Cookies aktiviert sind, können Webseiten Cookies auf dem Gerät speichern. Wenn das Kontrollkästchen deaktiviert ist, sind Cookies deaktiviert und die entsprechende Browser-Einstellung ist nicht verfügbar.
86
Administratorhilfe
Einstellung/Feld
Beschreibung
JavaScript im Browser erlauben
Der Benutzer kann für den nativen Browser JavaScript aktivieren. Wenn JavaScript aktiviert ist, können Webseiten JavaScript-Code auf dem Gerät ausführen. Wenn das Kontrollkästchen deaktiviert ist, ist JavaScript deaktiviert und die entsprechende Browser-Einstellung ist nicht verfügbar.
Popups im Browser erlauben
Der Benutzer kann für den nativen Browser Popups aktivieren. Wenn Popups aktiviert sind, können Webseiten neue Browserfenster öffnen. Wenn das Kontrollkästchen deaktiviert ist, sind Popups deaktiviert und die entsprechende Browser-Einstellung ist nicht verfügbar.
Ändern von Datums- und Zeiteinstellungen erlauben
Der Benutzer kann Datums- und Zeiteinstellungen ändern.
Erlaubte Apps / Unzulässige Apps
Sie können entweder Erlaubte Apps oder Unzulässige Apps konfigurieren. Wählen Sie zunächst aus der ersten Liste die gewünschte Option aus, und wählen Sie anschließend aus der zweiten Liste die App-Gruppe aus, welche die erlaubten oder unzulässigen Apps enthält. Diese Einschränkungen betreffen nicht die App-Installationen, die vom Sophos Mobile Control Server initiiert werden. Informationen zur Erstellung von App-Gruppen finden Sie in App-Gruppen (Seite 191).
14.11.3 Konfiguration „Knox-Premium-Einschränkungen“ (Android-Geräteprofil) Mit der Konfiguration „Knox-Premium-Einschränkungen“ definieren Sie Einschränkungen für Samsung-Knox-Geräte. Diese Einschränkungen gelten für das Gerät, nicht für den Knox-Container.
Option
Beschreibung
Optionen für automatische Firmware-Updates Das Gerät prüft automatisch, ob Firmware-Updates erlauben verfügbar sind. Benutzer können dies nicht in den Geräteeinstellungen ändern. ODE-Trusted-Boot-Verifizierung aktivieren
Beim Starten des Gerätes wird die Datenpartition nur entschlüsselt, wenn Binary und Kernel offizielle Versionen des Geräteherstellers sind, d.h., wenn das Gerät nicht „rooted“ ist.
87
Sophos Mobile Control
Option
Beschreibung Wenn das Kontrollkästchen deaktiviert ist, wird beim Starten die Datenpartition immer entschlüsselt.
Installation einer anderen Administrations-App Es können keine Apps installiert werden, die verhindern Geräteadministrator-Rechte benötigen. Dies betrifft nicht die Apps, die von Sophos Mobile Control installiert werden. Aktivierung einer anderen Administrations-App Geräteadministrator-Rechte für Apps können nicht verhindern aktiviert werden. Common-Criteria-Modus erlauben
Auf den Geräten wird der Common-Criteria-Modus (CC Mode) aktiviert. Dies stellt sicher, dass die Geräte die im Mobile Device Fundamentals Protection Profile (MDFPP) festgelegten Sicherheitseinstellungen erfüllen. Hinweis: Der CC Mode wird nur angewendet, wenn folgende Bedingungen erfüllt sind: Die Geräteverschlüsselung ist aktiviert. Die Schnellverschlüsselung ist deaktiviert. Die Verschlüsselung des externen Speichers ist aktiviert. Eine maximale Anzahl fehlerhafter Anmeldeversuche ist festgelegt, nach der das Gerät zurückgesetzt wird. Der Zertifikat-Widerruf ist aktiviert. Kennworthistorie (d.h., Verwendung desselben Kennworts nach Ablauf der Gültigkeit) ist deaktiviert.
14.11.4 Konfiguration „App Protection“ (Android-Geräteprofil) Mit der Konfiguration „App Protection“ definieren Sie Anforderungen an Kennwörter, um Apps zu schützen. Wenn App Protection aktiv ist, muss der Benutzer ein Kennwort definieren, wenn er eine geschützte App zum ersten Mal starten. Nach einem fehlgeschlagenen Anmeldeversuch kann der nächste Versuch erst nach einer Wartezeit erfolgen. Wenn App Protection auf einem Gerät aktiv ist, steht im Menü Aktionen der Seite Gerät anzeigen das Kommando App-Protection-Kennwort zurücksetzen zur Verfügung. Außerdem kann der Benutzer das Kennwort für App Protection im Self Service Portal zurücksetzen.
88
Administratorhilfe
Einstellung/Feld
Beschreibung
Komplexität des Kennworts
Die minimalen Anforderungen an das vom Benutzer zu definierende Kennwort, zum Beispiel 6-Zeichen Kennwort.
Gültigkeitsdauer in Minuten
Nach Ablauf der Toleranzfrist können Apps nur noch durch Eingabe eines Kennworts entsperrt werden.
App-Gruppe
Wählen Sie die App-Gruppe aus, welche die Apps enthält, die mit einem Kennwort geschützt werden. Informationen zur Erstellung von App-Gruppen finden Sie in App-Gruppen (Seite 191).
14.11.5 Konfiguration „App Control“ (Android-Geräteprofil) Mit der Konfiguration „App Control“ legen Sie fest, welche Apps auf einem Gerät nicht gestartet werden dürfen. Hiermit können Sie zum Beispiel unerwünschte Apps blockieren, die vom Gerätehersteller vorinstalliert worden sind und nicht deinstalliert werden können.
Einstellung/Feld
Beschreibung
App-Gruppe
Wählen Sie die App-Gruppe aus, welche die blockierten Apps enthält. Informationen zur Erstellung von App-Gruppen finden Sie in App-Gruppen (Seite 191).
14.11.6 Konfiguration „Exchange ActiveSync“ (Android-Geräteprofil) Mit der Konfiguration „Exchange ActiveSync“ definieren Sie Benutzereinstellungen für Ihren Microsoft Exchange Server.
Einstellung/Feld
Beschreibung
Kontoname
Der Kontoname.
Exchange-ActiveSync-Host
Die Adresse des Microsoft Exchange Servers. Hinweis: Wenn Sie den SMC-EAS-Proxy verwenden, geben Sie die URL des SMC-Proxy-Servers ein.
Domäne
Die Domäne für dieses Konto.
89
Sophos Mobile Control
Einstellung/Feld
Beschreibung
Benutzer
Der Benutzername für dieses Konto. Wenn Sie die Variable %_USERNAME_% verwenden, wird diese durch den jeweiligen Benutzernamen ersetzt.
E-Mail-Adresse
Die E-Mail-Adresse des Kontos. Wenn Sie die Variable %_EMAILADDRESS_% verwenden, wird diese durch die jeweilige E-Mail-Adresse ersetzt.
Absender
Ein Absendername für das Konto. Wenn Sie die Variable %_EMAILADDRESS_% verwenden, wird diese durch die jeweilige E-Mail-Adresse ersetzt.
Kennwort
Das Kennwort für dieses Konto. Wenn Sie dieses Feld leer lassen, müssen Benutzer das Kennwort auf ihren Geräten eingeben.
Synchronisierungszeitraum
Der Zeitraum, für den E-Mails synchronisiert werden. Wenn Sie einen Zeitraum angeben, werden nur E-Mail-Nachrichten innerhalb dieses Zeitraums mit dem Posteingang auf den Geräten synchronisiert.
Synchronisierungsintervall
Der zeitliche Abstand zwischen zwei Synchronisierungsvorgängen.
SSL
Die gesamte Kommunikation erfolgt über SSL (Secure Socket Layer). Wir empfehlen, dieses Kontrollkästchen zu aktivieren.
90
Standardkonto
Das Konto wird als Standard-E-Mail-Konto verwendet.
Alle Zertifikate erlauben
Für die Kommunikation mit dem E-Mail-Server sind alle Zertifikate zugelassen.
Client-Zertifikat
Das Client-Zertifikat für die Verbindung zu ActiveSync.
E-Mail-Weiterleitung erlauben
E-Mail-Weiterleitung erlauben.
HTML-Format erlauben
E-Mails im HTML-Format sind zugelassen.
Max. Größe von Anhängen in MB
Die maximale Größe einer einzelnen E-Mail-Nachricht (1, 3, 5, 10, Unbegrenzt).
Administratorhilfe
Einstellung/Feld
Beschreibung
Inhalte
Die zu synchronisierenden Inhalte.
Hinweis: Bei Sony-Geräten mit Enterprise API Version 6.x oder niedriger ist es wichtig, dass die Benutzerinformation des Exchange-ActiveSync-Kontos mit dem Benutzer übereinstimmt, der dem Gerät zugewiesen ist. Auf diesen Geräten ist der SMC-Client nicht in der Lage, die ActiveSync-ID an den Server zu schicken. Wenn ein Gerät zum ersten Mal eine Anfrage an den EAS-Proxy von Sophos Mobile Control sendet, ist die vom E-Mail-Client übermittelte ActiveSync-ID in Sophos Mobile Control nicht bekannt. Um die Benutzerdaten zu verifizieren, sucht der EAS-Proxy in Sophos Mobile Control nach einem Gerät mit unbekannter ActiveSync-ID, dem ein Benutzer zugeordnet ist, der mit dem vom E-Mail-Client übermittelten Benutzer übereinstimmt. Wird ein solches Gerät gefunden, wird ihm die ActiveSync-ID zugewiesen und die E-Mail-Anfrage wird an den Exchange-Server weitergeleitet. Andernfalls wird die Anfrage abgewiesen. Einzelheiten hierzu finden Sie im Sophos Knowledgebase-Artikel 121360.
14.11.7 Konfiguration „WLAN“ (Android-Geräteprofil) Mit der Konfiguration „WLAN“ legen Sie Einstellungen für die Verbindung mit WLAN-Netzwerken fest.
Einstellung/Feld
Beschreibung
SSID
Die ID des WLAN-Netzwerks.
Sicherheitstyp
Der Sicherheitstyp des WLAN-Netzwerks: Keine WEP WPA/WPA2 EAP/PEAP EAP/TLS EAP/TTLS Wenn Sie WEP oder WPA/WPA2 auswählen, wird ein Feld Kennwort angezeigt. Geben Sie das relevante Kennwort ein. Wenn Sie eine der EAP-Einstellungen auswählen, werden die Felder Identität, Anonyme Identität und Kennwort angezeigt. Geben Sie die erforderlichen EAP-Informationen ein. Wenn Sie EAP/PEAP oder EAP/TTLS auswählen, wird zusätzlich das Feld Phase 2-Autorisierung angezeigt. Wählen Sie die Art der Autorisierung: PAP CHAP
91
Sophos Mobile Control
Einstellung/Feld
Beschreibung MSCHAP MSCHAPv2
14.11.8 Konfiguration „VPN“ (Android-Geräteprofil) Mit der Konfiguration „VPN“ definieren Sie VPN-Einstellungen für Netzwerkverbindungen.
Einstellung/Feld
Beschreibung
Verbindungsname
Der Name der Verbindung, der auf dem Gerät angezeigt wird.
Server
Der Host-Name oder die IP-Adresse des Servers.
Verbindungstyp
Der Typ der VPN-Verbindung: L2TP/IPsec (PSK) Wenn Sie diesen Typ auswählen, werden die Felder Benutzer, Kennwort und L2TP/IPsec (PSK) angezeigt. Geben Sie den Benutzer und das Kennwort ein. Geben Sie im Feld L2TP/IPsec (PSK) den Pre-shared Key für die Authentisierung ein. L2TP/IPsec (Zertifikat) Wenn Sie diesen Typ auswählen, werden die Felder Client-Zertifikat, Root-Zertifikat, Benutzer und Kennwort angezeigt. Wählen Sie in den Feldern Client-Zertifikat und Root-Zertifikat die relevanten Zertifikate. Geben Sie außerdem den Benutzer und das zugehörige Kennwort ein.
14.11.9 Konfiguration „Root-Zertifikat“ (Android-Geräteprofil) Mit der Konfiguration „Root-Zertifikat“ installieren Sie ein Root-Zertifikat auf Geräten. Navigieren Sie im Feld Datei zu dem relevanten Zertifikat und klicken Sie auf Datei hochladen. Der Name des Zertifikats wird im Feld Zertifikatsname angezeigt. Hinweis: Das hier hochgeladene Zertifikat ist nur für dieses Profil verfügbar. Wenn Sie Zertifikate in anderen Profilen benötigen, müssen Sie diese erneut hochladen.
14.11.10 Konfiguration „Client-Zertifikat“ (Android-Geräteprofil) Mit der Konfiguration „Client-Zertifikat“ installieren Sie ein Client-Zertifikat auf Android-Geräten. Navigieren Sie im Feld Datei zu dem relevanten Zertifikat und klicken Sie auf Datei hochladen. Der Name des Zertifikats wird im Feld Zertifikatsname angezeigt. Geben Sie das Kennwort für das ausgewählte Zertifikat ein. Hinweis: Das hier hochgeladene Zertifikat ist nur für dieses Profil verfügbar. Wenn Sie Zertifikate in anderen Profilen benötigen, müssen Sie diese erneut hochladen.
92
Administratorhilfe
14.11.11 Konfiguration „SCEP“ (Android-Geräteprofil) Mit der Konfiguration „SCEP“ ermöglichen Sie es Geräten, mittels SCEP (Simple Certificate Enrollment Protocol) Zertifikate von einer CA (Certificate Authority) anzufordern. Hinweis: Bevor Sie eine Konfiguration vom Typ SCEP hinzufügen können, müssen Sie zunächst mit einer Konfiguration vom Typ Root-Zertifikat das CA-Zertifikat des SCEP-Servers hochladen.
Einstellung/Feld
Beschreibung
URL
Die Webadresse des CA-Servers. Verwenden Sie die Variable %_SCEPPROXYURL_%, um auf die Server-URL zu verweisen, die auf der Registerkarte SCEP der Seite Systemeinstellungen konfiguriert ist.
Aliasname
Der Name, unter dem das Zertifikat in Auswahldialogen angezeigt wird. Dies sollte ein einprägsamer Name sein, über den das Zertifikat identifiziert werden kann. Zum Beispiel können Sie denselben Wert wie für das Feld Betreff verwenden, nur ohne den Vorsatz CN=.
Betreff
Der Name des Zertifikatempfängers (Entity), zum Beispiel eine Person oder ein Gerät. Sie können Platzhalter für Benutzerdaten und Geräteeigenschaften verwenden. Der eingegebene Wert - nach Ersetzung der Platzhalter -, muss ein gültiger Namenswert gemäß X.500-Standard sein. Zum Beispiel: Geben Sie CN=%_USERNAME_% ein, um einen Benutzer zu spezifizieren. Geben Sie CN=%_DEVPROP(serial_number)_% ein, um ein Gerät zu spezifizieren. Einzelheiten zu den verfügbaren Platzhaltern finden Sie in Platzhalter in Profilen und Richtlinien (Seite 75).
Typ des Subject Alternative Name (SAN)
Konfigurieren Sie bei Bedarf einen Subject Alternative Name (SAN). Wählen Sie einen der verfügbaren SAN-Typen aus.
Wert des Subject Alternative Name (SAN)
Falls Sie einen SAN-Typ ausgewählt haben, geben Sie den SAN-Wert ein.
NT-Benutzeranmeldename
93
Sophos Mobile Control
Einstellung/Feld
Beschreibung
Challenge
Die Webadresse, unter der das Challenge-Kennwort vom SCEP-Server angefordert wird. Verwenden Sie die Variable %_CACHALLENGE_%, um auf die Challenge-URL zu verweisen, die auf der Registerkarte SCEP der Seite Systemeinstellungen konfiguriert ist.
Root-Zertifikat
Das CA-Zertifikat. Wählen Sie das Zertifikat aus der Liste aus. Die Liste enthält alle Zertifikate aus Konfigurationen vom Typ Root-Zertifikat im aktuellen Profil.
Schlüsselgröße
Die Größe des öffentlichen Schlüssels im ausgestellten Zertifikat. Stellen Sie sicher, dass der Wert mit dem Wert übereinstimmt, der auf dem SCEP-Server konfiguriert ist.
Als digitale Signatur verwenden
Wenn Sie dieses Kontrollkästchen aktivieren, kann der öffentliche Schlüssel als digitale Signatur verwendet werden.
Für Verschlüsselung verwenden
Wenn Sie dieses Kontrollkästchen aktivieren, kann der öffentliche Schlüssel zur Datenverschlüsselung verwendet werden.
14.11.12 Konfiguration „Zugangspunkt (APN)“ (Android-Geräteprofil) Mit der Konfiguration „Zugangspunkt (APN)“ konfigurieren Sie einen Zugangspunkt (Access Point Name) für Mobilgeräte. Eine APN-Konfiguration legt fest, wie sich Geräte mit einem Mobilfunknetz verbinden. Wichtig: Wir empfehlen, die benötigten Einstellungen von Ihrem Netzbetreiber zu erfragen. Wenn Sie Als Standard-Zugangspunkt verwenden auswählen und die Einstellungen fehlerhaft sind, kann das Gerät keine mobilen Daten empfangen. Hinweis: Außer dem Feld APN sind alle Einstellungen optional. Sie sollten nur jene Einstellungen konfigurieren, die von Ihrem Mobilfunkbetreiber benötigt werden.
Einstellung/Feld
Beschreibung
APN
Der Zugangspunkt, den das Gerät angibt, wenn es sich mit dem Mobilfunknetz verbindet. Dies muss ein vom Netzbetreiber akzeptierter Zugangspunkt sein. Andernfalls kann die Verbindung nicht aufgebaut werden.
94
Administratorhilfe
Einstellung/Feld
Beschreibung
Benutzerfreundlicher Name
Ein optionaler Name, der auf dem Gerät zusätzlich zum APN angezeigt wird.
Proxy-Server und -Port
Adresse und Portnummer des HTTP-Servers, der für Web-Datenverkehr verwendet wird.
Benutzername, Benutzer-Kennwort
Ein Benutzername und Kennwort für die Verbindung mit dem Zugangspunkt.
Server
Der WAP-Gateway-Server.
MMSC
Das Multimedia Messaging Service Center (MMSC).
MMS-Proxy-Server und -Port
Adresse und Portnummer des HTTP-Servers, der für die Kommunikation mit dem MMSC verwendet wird.
Mobile Country Code (MCC), Mobile Network Code (MNC)
Mit MCC und MNC legen Sie einen Netzbetreiber fest. Der Zugangspunkt wird nur für diesen Netzbetreiber verwendet.
Authentifizierung-Typ
Die Authentifizierungsmethode für PPP-Verbindungen.
APN-Typ
Die Datenarten für diesen APN. Um den APN für alle Datenarten zu verwenden, tragen Sie * ein oder lassen das Feld leer.
Träger
Die vom Netzbetreiber verwendete Radio Access Technology (RAT).
Protokoll
Das vom Netzbetreiber unterstützte Netzwerkprotokoll.
Roaming-Protokoll
Das vom Netzbetreiber unterstützte Netzwerkprotokoll bei Roaming in fremden Mobilfunknetzen.
Als Standard-Zugangspunkt verwenden
Wählen Sie diese Option aus, um den APN als Standard zu verwenden. Wenn Sie mehrere Konfigurationen Zugangspunkt (APN) verwenden, dürfen Sie diese Option nur in einer Konfiguration auswählen.
95
Sophos Mobile Control
14.11.13 Konfiguration „Kiosk-Modus“ (Android-Geräteprofil) Mit der Konfiguration „Kiosk-Modus“ definieren Sie Einschränkungen für Geräte, um einen Kiosk-Modus zu realisieren. Um eine App festzulegen, die ausgeführt wird, wenn das Profil auf ein Gerät übertragen wird, klicken Sie auf Quelle auswählen und gehen Sie anschließend auf eine der folgenden Weisen vor: ■
Wählen Sie Benutzerdefiniert aus und geben Sie eine App-Kennung ein.
■
Wählen Sie App-Liste aus und wählen Sie anschließend in der Liste Kennung eine App aus. Die Liste enthält alle Apps, die Sie auf der Seite Apps konfiguriert haben. Siehe App hinzufügen (Seite 180).
■
Wählen Sie Keine aus, um keine festgelegte App im Kiosk-Modus auszuführen. Die Kiosk-Modus-Einschränkungen werden auf das Gerät übertragen, aber es wird keine App gestartet.
Unter Optionen deaktivieren Sie Hardware- und Software-Funktionen, die im Kiosk-Modus deaktiviert sein sollen. Wenn das Profil auf ein Gerät übertragen wird, wird die festgelegte App gestartet. Der Benutzer kann jedoch die App verlassen und das Gerät normal verwenden, falls Sie keine der verfügbaren Hardware- oder Software-Funktionen deaktiviert haben. Um tatsächlich einen Kiosk-Modus zu realisieren, müssen Sie mindestens die Kontrollkästchen Schaltfläche Startbildschirm erlauben und Task-Manager erlauben deaktivieren. Hinweis: ■
Die festgelegte App muss auf dem Gerät vorhanden sein. Ist dies nicht der Fall, verbleiben die zu übertragenden Aufträge im Status Unvollständig, bis die App installiert worden ist. Um die App zu installieren, erstellen Sie zum Beispiel ein Auftragspaket mit einem Auftrag App installieren und übertragen dieses an Ihre Geräte.
■
Wenn Sie für Samsung-Knox-Geräte eine App angeben wollen, muss dies eine Launcher App sein. Launcher Apps stellen einen alternativen Android-Desktop bereit.
■
Für Sony-Geräte mit Enterprise API Version 9 oder niedriger gilt: Wenn Sie eines der Kontrollkästchen Lautstärke erhöhen erlauben, Lautstärke verringern erlauben oder Stummschalten erlauben deaktivieren, werden alle Gerätetasten zum Steuern der Lautstärke deaktiviert.
14.12 Konfigurationen für Android-for-Work-Richtlinien Mit einer Android-for-Work-Richtlinie konfigurieren Sie das Arbeitsprofil eines Gerätes. Informationen zur Erstellung einer Android-for-Work-Richtlinie finden Sie in Profil oder Richtlinie erstellen (Seite 72).
14.12.1 Konfiguration „Kennwortrichtlinien“ (Android-for-Work-Richtlinie) Mit der Konfiguration „Kennwortrichtlinien“ definieren Sie Kennwortregeln für das Arbeitsprofil. Hinweis: Einige Einstellungen werden nur für bestimmte Betriebssystemversionen oder Gerätemerkmale unterstützt. Solche Einschränkungen sind in Sophos Mobile Control durch blaue Label gekennzeichnet.
96
Administratorhilfe
Kennworttyp Wenn Sie die Konfiguration Kennwortrichtlinien auswählen, wird die Liste Kennworttyp angezeigt. Wählen Sie in dieser Liste die Art des Kennworts, dass Sie definieren wollen:
Einstellung/Feld
Beschreibung
Beliebig
Benutzer müssen eine Displaysperre einrichten. Für die Displaysperre sind die Typen Muster, PIN und Passwort erlaubt. Weitere Einschränkungen bestehen nicht.
Alphabetisch
Benutzer müssen eine Displaysperre vom Typ Passwort einrichten. Zahlen sind erlaubt, aber es muss mindestens auch ein Buchstabe enthalten sein. Sie können eine Mindestzeichenanzahl festlegen. Siehe die nachfolgende Tabelle.
PIN
Benutzer müssen eine Displaysperre vom Typ PIN oder Passwort einrichten. Sie können eine Mindestzeichenanzahl festlegen. Siehe die nachfolgende Tabelle.
Alphanumerisch
Benutzer müssen eine Displaysperre vom Typ Passwort einrichten. Das Kennwort muss sowohl Buchstaben als auch Ziffern enthalten. Sie können eine Mindestzeichenanzahl festlegen. Siehe die nachfolgende Tabelle.
Komplex
Benutzer müssen eine Displaysperre vom Typ Passwort einrichten. Das Kennwort muss sowohl Buchstaben als auch Ziffern enthalten. Sie können eine Mindest-Gesamtzeichenanzahl und eine Mindestanzahl an Ziffern, Klein- und Großbuchstaben und Sonderzeichen festlegen. Siehe die nachfolgenden beiden Tabellen.
Wenn Sie Alphabetisch, PIN, Alphanumerisch oder Komplex auswählen, werden die folgenden Felder angezeigt:
Einstellung/Feld
Beschreibung
Minimale Länge des Kennworts
Die Mindestanzahl an Zeichen, die ein Kennwort enthalten muss.
Inaktivitätsdauer bis zur Abfrage des Kennworts
Die Zeit (in Minuten), nach der das Gerät gesperrt wird, wenn es nicht benutzt wird. Das Gerät lässt sich durch Eingabe des Kennworts entsperren.
97
Sophos Mobile Control
Einstellung/Feld
Beschreibung
Gültigkeitsdauer des Kennworts in Tagen
Fordert eine Änderung des Kennworts im angegebenen Intervall. Wertebereich: 0 (keine Kennwortänderung erforderlich) bis 730 Tage.
Maximale Anzahl fehlerhafter Loginversuche, bis das Gerät zurückgesetzt wird
Die maximale Anzahl fehlgeschlagener Kennwort-Eingabeversuche, nach der das Gerät zurückgesetzt wird.
Anzahl der letzten Kennwörter, die nicht benutzt werden dürfen
Die Anzahl alter Kennwörter, die vom System gespeichert werden. Wenn ein Benutzer ein neues Kennwort festlegt, wird es nicht akzeptiert, falls es mit einem bereits benutzten Kennwort übereinstimmt. Wertebereich: 1 bis 5 oder kein Wert.
Wenn Sie Komplex auswählen, werden zusätzlich die folgenden Felder angezeigt:
Einstellung/Feld
Beschreibung
Minimale Anzahl von Buchstaben
Die Mindestanzahl an Buchstaben, die ein Kennwort enthalten muss.
Minimale Anzahl von Kleinbuchstaben
Die Mindestanzahl Kleinbuchstaben, die ein Kennwort enthalten muss.
Minimale Anzahl von Großbuchstaben
Die Mindestanzahl Großbuchstaben, die ein Kennwort enthalten muss.
Minimale Anzahl von Zeichen, die kein Buchstabe sind
Die Mindestanzahl nicht-alphabetischer Zeichen (zum Beispiel & oder !), die ein Kennwort mindestens enthalten muss.
Minimale Anzahl von Ziffern
Die Mindestanzahl an Ziffern, die ein Kennwort enthalten muss.
Minimale Anzahl von Sonderzeichen
Die Mindestanzahl an Sonderzeichen (zum Beispiel !"§$%&/()=,.-;:_@) ein Kennwort mindestens enthalten muss.
14.12.2 Konfiguration „Einschränkungen“ (Android-for-Work-Richtlinie) Mit der Konfiguration „Einschränkungen“ konfigurieren Sie Einschränkungen und zugehörige Einstellungen für Android for Work.
98
Administratorhilfe
Sicherheit
Einstellung/Feld
Beschreibung
Bildschirmaufnahme erlauben
Benutzer können den Bildschirminhalt von beruflichen Apps aufnehmen.
Benutzer dürfen Anmeldeinformation bearbeiten
Benutzer können im Arbeitsprofil Zertifikate installieren oder deinstallieren.
Arbeits-Zwischenablage darf in private Apps kopiert werden
Benutzer können Text aus einer beruflichen App kopieren und in eine private App einfügen. Das Einfügen von Text aus einer privaten App in eine berufliche App ist immer möglich.
Smart Lock erlauben
Benutzer können die Android-Funktion „Smart Lock“ aktivieren, durch die das Gerät in bestimmten Situationen automatisch entsperrt wird.
„Standort teilen“ erlauben
Berufliche Apps können auf die Ortungsdienste des Gerätes zugreifen. Wenn das Kontrollkästchen deaktiviert ist, können berufliche Apps selbst dann nicht auf Ortungsdienste zugreifen, wenn der Benutzer die Einstellung „Standort teilen“ aktiviert hat.
Internet-Links dürfen in privaten Apps geöffnet werden
Internet-Links, auf die der Benutzer in einer beruflichen App tippt, können in einer privaten App geöffnet werden.
Debuggen erlauben
Benutzer können die Debugging-Funktionen in den Android-Entwicklereinstellungen aktivieren.
Entsperren mit Fingerabdruck erlauben Benutzer können das Gerät mit ihrem Fingerabdruck entsperren.
Konten
Einstellung/Feld
Beschreibung
Kontenverwaltung erlauben
Benutzer können im Arbeitsprofil Konten hinzufügen oder entfernen, zum Beispiel App-Konten. Benutzer können in keinem Fall das Google-Konto aus dem Arbeitsprofil entfernen.
99
Sophos Mobile Control
Netzwerk und Kommunikation
Einstellung/Feld
Beschreibung
Android Beam erlauben
Benutzer können Android Beam (NFC-Datenübertragung) verwenden, um Daten aus beruflichen Apps zu senden.
VPN erlauben
Benutzer können für berufliche Apps VPN-Verbindungen verwenden.
Hardware
Einstellung/Feld
Beschreibung
Kamera erlauben
Berufliche Apps können auf die Kamera zugreifen.
Anwendungen
Einstellung/Feld
Beschreibung
Deinstallation von Apps erlauben
Benutzer können berufliche Apps deinstallieren.
Installation von Apps aus unbekannten Wenn das Kontrollkästchen deaktiviert ist, können Quellen erlauben Benutzer berufliche Apps nur aus dem Google Play Store installieren, nicht aus unbekannten Quellen oder über Android Debug Bridge (ADB). App-Verwaltung erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer für berufliche Apps folgende Aufgaben nicht ausführen: Apps deinstallieren Apps deaktivieren Apps beenden App-Cache leeren App-Daten löschen Einstellung Standardmäßig öffnen löschen
100
Administratorhilfe
Einstellung/Feld
Beschreibung
Hinweis (kurz)
Ein unternehmensspezifischer Hinweis, der dem Benutzer bei Funktionen angezeigt wird, die Sie deaktiviert haben. Hinweis: Wenn der Text länger als 200 Zeichen ist, wird er möglicherweise abgeschnitten.
Hinweis (lang)
Zusätzlicher Hinweistext. Der Text wird angezeigt, wenn der Benutzer bei Anzeige des kurzen Hinweistextes auf Weitere Informationen tippt. Hinweis: Dieser Text wird außerdem auf der Seite Geräteadministrator für die App Sophos Mobile Control angezeigt.
14.12.3 Konfiguration „App Protection“ (Android-for-Work-Richtlinie) Mit der Konfiguration „App Protection“ definieren Sie Anforderungen an Kennwörter, mit denen berufliche Apps geschützt werden, d.h. Apps, die im Arbeitsprofil installiert sind. Wenn App Protection aktiv ist, muss der Benutzer ein Kennwort definieren, wenn er eine geschützte App zum ersten Mal starten. Nach einem fehlgeschlagenen Anmeldeversuch kann der nächste Versuch erst nach einer Wartezeit erfolgen. Wenn App Protection auf einem Gerät aktiv ist, steht im Menü Aktionen der Seite Gerät anzeigen das Kommando App-Protection-Kennwort zurücksetzen zur Verfügung. Außerdem kann der Benutzer das Kennwort für App Protection im Self Service Portal zurücksetzen.
Einstellung/Feld
Beschreibung
Komplexität des Kennworts
Die minimalen Anforderungen an das vom Benutzer zu definierende Kennwort, zum Beispiel 6-Zeichen Kennwort.
Gültigkeitsdauer in Minuten
Nach Ablauf der Toleranzfrist können Apps nur noch durch Eingabe eines Kennworts entsperrt werden.
App-Gruppe
Wählen Sie die App-Gruppe aus, welche die Apps enthält, die mit einem Kennwort geschützt werden. Informationen zur Erstellung von App-Gruppen finden Sie in App-Gruppen (Seite 191).
14.12.4 Konfiguration „App Control“ (Android-for-Work-Richtlinie) Mit der Konfiguration „App Control“ legen Sie fest, welche beruflichen Apps auf einem Gerät nicht gestartet werden dürfen.
101
Sophos Mobile Control
Einstellung/Feld
Beschreibung
App-Gruppe
Wählen Sie die App-Gruppe aus, welche die blockierten Apps enthält. Informationen zur Erstellung von App-Gruppen finden Sie in App-Gruppen (Seite 191).
14.12.5 Konfiguration „App-Berechtigungen“ (Android-for-Work-Richtlinie) Mit der Konfiguration „App-Berechtigungen“ legen Sie fest, was passiert, wenn eine berufliche App während der Ausführung eine Berechtigung anfordert.
Einstellung/Feld
Beschreibung
Standard-Einstellungen für Berechtigungen
Die Standard-Reaktion auf zukünftige Berechtigungsanforderungen von beruflichen Apps während der Ausführung: Abfragen: Apps fordern den Benutzer auf, die Berechtigung zu gewähren. Auto-Bestätigen: Alle Berechtigungsanforderungen während der App-Ausführung werden automatisch gewährt. Auto-Verweigern: Alle Berechtigungsanforderungen während der App-Ausführung werden automatisch verweigert. Der Benutzer kann die Berechtigung nicht nachträglich ändern.
App-spezifische Berechtigungsanfragen Sie können bestimmte Berechtigungen für einzelne Apps zur Laufzeit gewähren oder verweigern. Klicken Sie auf Hinzufügen und konfigurieren Sie anschließend die Einstellungen für eine App: Geben Sie im Feld Kennung die interne App-Kennung ein. Wählen Sie für jede Berechtigung das gewünschte Verhalten aus: Auswählbar: Der Benutzer kann die Berechtigung gewähren oder verweigern. Zugelassen: Die Berechtigung wird zugelassen und kann vom Benutzer nicht verweigert werden. Verweigert: Die Berechtigung wird verweigert und kann vom Benutzer nicht zugelassen werden.
102
Administratorhilfe
14.12.6 Konfiguration „Exchange ActiveSync“ (Android-for-Work-Richtlinie) Mit der Konfiguration „Exchange ActiveSync“ definieren Sie Benutzereinstellungen für Ihren Microsoft Exchange Server. Diese Einstellungen gelten für die App Gmail im Arbeitsprofil.
Einstellung/Feld
Beschreibung
Kontoname
Der Kontoname.
Exchange-ActiveSync-Host
Die Adresse des Microsoft Exchange Servers. Hinweis: Wenn Sie den SMC-EAS-Proxy verwenden, geben Sie die URL des SMC-Proxy-Servers ein.
Domäne
Die Domäne für dieses Konto.
Benutzer
Der Benutzername für dieses Konto. Wenn Sie die Variable %_USERNAME_% verwenden, wird diese durch den jeweiligen Benutzernamen ersetzt.
E-Mail-Adresse
Die E-Mail-Adresse des Kontos. Wenn Sie die Variable %_EMAILADDRESS_% verwenden, wird diese durch die jeweilige E-Mail-Adresse ersetzt.
Absender
Ein Absendername für das Konto. Wenn Sie die Variable %_EMAILADDRESS_% verwenden, wird diese durch die jeweilige E-Mail-Adresse ersetzt.
Kennwort
Das Kennwort für dieses Konto. Wenn Sie dieses Feld leer lassen, müssen Benutzer das Kennwort auf ihren Geräten eingeben.
Synchronisierungszeitraum
Der Zeitraum, für den E-Mails synchronisiert werden. Wenn Sie einen Zeitraum angeben, werden nur E-Mail-Nachrichten innerhalb dieses Zeitraums mit dem Posteingang auf den Geräten synchronisiert.
SSL
Die gesamte Kommunikation erfolgt über SSL (Secure Socket Layer). Wir empfehlen, dieses Kontrollkästchen zu aktivieren.
Alle Zertifikate erlauben
Für die Kommunikation mit dem E-Mail-Server sind alle Zertifikate zugelassen.
103
Sophos Mobile Control
Einstellung/Feld
Beschreibung
Client-Zertifikat
Das Client-Zertifikat für die Verbindung zu ActiveSync.
14.12.7 Konfiguration „Root-Zertifikat“ (Android-for-Work-Richtlinie) Mit der Konfiguration „Root-Zertifikat“ installieren Sie ein Root-Zertifikat auf Geräten. Das Zertifikat steht beruflichen Apps zur Verfügung, d.h. Apps, die im Arbeitsprofil installiert sind. Navigieren Sie im Feld Datei zu dem relevanten Zertifikat und klicken Sie auf Datei hochladen. Der Name des Zertifikats wird im Feld Zertifikatsname angezeigt. Hinweis: Das hier hochgeladene Zertifikat ist nur für dieses Profil verfügbar. Wenn Sie Zertifikate in anderen Profilen benötigen, müssen Sie diese erneut hochladen.
14.12.8 Konfiguration „Client-Zertifikat“ (Android-for-Work-Richtlinie) Mit der Konfiguration „Client-Zertifikat“ installieren Sie ein Client-Zertifikat auf Android-Geräten. Das Zertifikat steht beruflichen Apps zur Verfügung, d.h. Apps, die im Arbeitsprofil installiert sind. Navigieren Sie im Feld Datei zu dem relevanten Zertifikat und klicken Sie auf Datei hochladen. Der Name des Zertifikats wird im Feld Zertifikatsname angezeigt. Geben Sie das Kennwort für das ausgewählte Zertifikat ein. Hinweis: Das hier hochgeladene Zertifikat ist nur für dieses Profil verfügbar. Wenn Sie Zertifikate in anderen Profilen benötigen, müssen Sie diese erneut hochladen.
14.12.9 Konfiguration „SCEP“ (Android-for-Work-Richtlinie) Mit der Konfiguration „SCEP“ ermöglichen Sie es Geräten, mittels SCEP (Simple Certificate Enrollment Protocol) Zertifikate von einer CA (Certificate Authority) anzufordern. Diese Zertifikate stehen beruflichen Apps zur Verfügung, d.h. Apps, die im Arbeitsprofil installiert sind. Hinweis: Bevor Sie eine Konfiguration vom Typ SCEP hinzufügen können, müssen Sie zunächst mit einer Konfiguration vom Typ Root-Zertifikat das CA-Zertifikat des SCEP-Servers hochladen.
Einstellung/Feld
Beschreibung
URL
Die Webadresse des CA-Servers. Verwenden Sie die Variable %_SCEPPROXYURL_%, um auf die Server-URL zu verweisen, die auf der Registerkarte SCEP der Seite Systemeinstellungen konfiguriert ist.
Aliasname
Der Name, unter dem das Zertifikat in Auswahldialogen angezeigt wird. Dies sollte ein einprägsamer Name sein, über den das Zertifikat identifiziert werden kann. Zum
104
Administratorhilfe
Einstellung/Feld
Beschreibung Beispiel können Sie denselben Wert wie für das Feld Betreff verwenden, nur ohne den Vorsatz CN=.
Betreff
Der Name des Zertifikatempfängers (Entity), zum Beispiel eine Person oder ein Gerät. Sie können Platzhalter für Benutzerdaten und Geräteeigenschaften verwenden. Der eingegebene Wert - nach Ersetzung der Platzhalter -, muss ein gültiger Namenswert gemäß X.500-Standard sein. Zum Beispiel: Geben Sie CN=%_USERNAME_% ein, um einen Benutzer zu spezifizieren. Geben Sie CN=%_DEVPROP(serial_number)_% ein, um ein Gerät zu spezifizieren. Einzelheiten zu den verfügbaren Platzhaltern finden Sie in Platzhalter in Profilen und Richtlinien (Seite 75).
Typ des Subject Alternative Name (SAN)
Konfigurieren Sie bei Bedarf einen Subject Alternative Name (SAN). Wählen Sie einen der verfügbaren SAN-Typen aus.
Wert des Subject Alternative Name (SAN)
Falls Sie einen SAN-Typ ausgewählt haben, geben Sie den SAN-Wert ein.
NT-Benutzeranmeldename Challenge
Die Webadresse, unter der das Challenge-Kennwort vom SCEP-Server angefordert wird. Verwenden Sie die Variable %_CACHALLENGE_%, um auf die Challenge-URL zu verweisen, die auf der Registerkarte SCEP der Seite Systemeinstellungen konfiguriert ist.
Root-Zertifikat
Das CA-Zertifikat. Wählen Sie das Zertifikat aus der Liste aus. Die Liste enthält alle Zertifikate aus Konfigurationen vom Typ Root-Zertifikat im aktuellen Profil.
Schlüsselgröße
Die Größe des öffentlichen Schlüssels im ausgestellten Zertifikat. Stellen Sie sicher, dass der Wert mit dem Wert übereinstimmt, der auf dem SCEP-Server konfiguriert ist.
105
Sophos Mobile Control
Einstellung/Feld
Beschreibung
Als digitale Signatur verwenden
Wenn Sie dieses Kontrollkästchen aktivieren, kann der öffentliche Schlüssel als digitale Signatur verwendet werden.
Für Verschlüsselung verwenden
Wenn Sie dieses Kontrollkästchen aktivieren, kann der öffentliche Schlüssel zur Datenverschlüsselung verwendet werden.
14.13 Konfigurationen für Sophos-Container-Richtlinien für Android Mit einer Sophos-Container-Richtlinie konfigurieren Sie Einstellungen für die Sophos-Container-Apps Sophos Secure Email und Sophos Secure Workspace. Informationen zur Erstellung einer Sophos-Container-Richtlinie finden Sie in Profil oder Richtlinie erstellen (Seite 72).
14.13.1 Konfiguration „Allgemein“ (Sophos-Container-Richtlinie für Android) Mit der Konfiguration „Allgemein“ definieren Sie Einstellungen für alle Sophos-Container-Apps, sofern anwendbar.
Einstellung/Feld
Beschreibung
Sophos-Container-Kennwort aktivieren
Benutzer müssen ein zusätzliches Kennwort eingeben, um eine Sophos-Container-App zu starten. Sobald die erste Container-App gestartet wird nachdem die Konfiguration angewendet wurde, muss das Kennwort definiert werden. Dieses Kennwort gilt für alle Container-Apps.
Komplexität des Kennworts
Die minimale Komplexität des Kennworts für den Sophos-Container. Sicherere Kennwörter sind immer erlaubt. Kennwörter (eine Kombination numerischer und alphanumerischer Zeichen) werden generell als sicherer angesehen als PINs (nur numerische Zeichen). Beliebig: Sophos-Container-Kennwörter unterliegen keinen Einschränkungen. 4-Ziffern-PIN 6-Ziffern-PIN 4-Zeichen-Kennwort 6-Zeichen-Kennwort 8-Zeichen-Kennwort 10-Zeichen-Kennwort
106
Administratorhilfe
Einstellung/Feld
Beschreibung
Gültigkeitsdauer des Kennworts in Tagen
Die Anzahl an Tagen, die ein Kennwort verwendet werden kann, bevor der Benutzer aufgefordert wird, es zu ändern.
Fehlgeschlagene Anmeldungen bis Sperre
Die erlaubte Anzahl fehlgeschlagener Anmeldeversuche, bevor die Container-Apps gesperrt werden. Gesperrte Apps müssen von einem Administrator entsperrt werden. Falls konfiguriert, können die Apps auch vom Benutzer im Self Service Portal entsperrt werden.
Fingerabdruck erlauben
Benutzer können die App mit ihrem Fingerabdruck entsperren.
Gültigkeitsdauer in Minuten
Die Zeitspanne, während der kein Sophos-Container-Kennwort eingegeben werden muss, wenn eine Container-App wieder im Vordergrund angezeigt wird. Die Toleranzfrist gilt für alle Container-Apps. Während der Toleranzfrist können Sie zwischen den Apps wechseln, ohne das Kennwort erneut eingeben zu müssen. Sie können 1, 2, 5, 10, 15 Minuten auswählen.
Mit Gerät sperren
Wenn das Gerät gesperrt wird, wird auch der Sophos-Container gesperrt. Wenn das Kontrollkästchen deaktiviert ist, wird der Sophos-Container nur nach Ablauf der Toleranzfrist gesperrt.
Letzte Verbindung zum Server
Die Zeitspanne, innerhalb derer Benutzer eine Sophos-Container-App verwenden können, ohne dass eine Verbindung zum Sophos Mobile Control Server aufgebaut wurde. Wenn eine Sophos-Container-App aktiviert wird und innerhalb der definierten Zeitspanne keinen Kontakt mit dem Server hatte, wird ein Sperrbildschirm angezeigt. Der Benutzer kann die App durch Tippen auf Wiederholen entsperren. Hierdurch verbindet sich die App mit dem Server. Kann die Verbindung aufgebaut werden, wird die App entsperrt. Falls nicht, wird der Zugriff verweigert. Bei jedem Zugriff: Eine Serververbindung ist immer notwendig und die App wird gesperrt, wenn der Server nicht erreichbar ist. 1 Stunde: Eine Serververbindung ist notwendig, wenn die App eine Stunde oder später nach der letzten erfolgreichen Serververbindung aktiviert wird. 3 Stunden
107
Sophos Mobile Control
Einstellung/Feld
Beschreibung 6 Stunden 12 Stunden 1 Tag 3 Tage 1 Woche Ohne: Keine regelmäßige Verbindung ist notwendig.
Offline-Starts ohne Serververbindung
In diesem Feld definieren Sie, wie oft Benutzer eine der Sophos-Container-Apps starten können, ohne dass eine Serververbindung aufgebaut wurde. Hinweis: Diese Einstellung setzt voraus, dass ein Sophos-Container-Kennwort eingerichtet ist. Es wird mitgezählt, wie oft Benutzer das Sophos-Container-Kennwort eingeben. Wenn der Zähler die definierte Anzahl überschreitet, wird derselbe Sperrbildschirm wie für die Letzte Verbindung zum Server Einstellung angezeigt. Der Zähler wird zurückgesetzt, wenn eine Verbindung zum Sophos Mobile Control Server hergestellt wird. Unbegrenzt: Es ist keine Serververbindung notwendig. 0: Das Starten der App ohne Serververbindung ist nicht möglich. 1: Nach einem Start der App ist eine erfolgreiche Serververbindung notwendig. 3 5 10 20
Rootrechte erlaubt
Die Container-Apps können auf Geräten laufen, die „rooted“ sind, d.h. bei denen der Root-Zugriff aktiviert wurde.
App-Nutzungs-Beschränkungen Hier können Sie Beschränkungen für die Nutzung der Sophos-Container-Apps festlegen. Klicken Sie auf Hinzufügen, um Beschränkungen einzugeben.
Räumliche Beschränkungen
108
Spezifizieren Sie über Längen- und Breitengrad einen Ausgangspunkt sowie einen Abstand, innerhalb dessen die Sophos-Container-Apps verwendet werden können.
Administratorhilfe
Einstellung/Feld
Beschreibung
Zeitliche Beschränkungen
Geben Sie über eine Anfangs- und eine Endzeit eine Zeitspanne an, innerhalb derer die Sophos-Container-Apps verwendet werden können. Sie können auch spezifizieren, an welchen Wochentagen die Apps verwendet werden können.
WLAN-Beschränkungen
Geben Sie WLAN-Netzwerke an, mit denen das Gerät verbunden sein muss, damit die Sophos-Container-Apps verwendet werden können. Das Gerät muss tatsächlich mit einem der aufgeführten Netzwerke verbunden sein. Es reicht nicht aus, dass eines der aufgeführten Netzwerke vom Gerät gefunden wird. Wichtig: Wir empfehlen, sich nicht auf WLAN-Beschränkungen als einzigen Sicherheitsmechanismus zu verlassen, da WLAN-Namen sehr leicht gefälscht werden können (Wi-Fi Spoofing).
14.13.2 Konfiguration „Corporate Email“ (Sophos-Container-Richtlinie für Android) Mit der Konfiguration „Corporate Email“ definieren Sie Benutzereinstellungen für Ihren Microsoft Exchange Server. Diese Einstellungen gelten für die App Sophos Secure Email, wenn diese im Sophos-Container installiert ist.
Einstellung/Feld
Beschreibung
Exchange-ActiveSync-Host
Die Adresse des Microsoft Exchange Servers. Hinweis: Wenn Sie den SMC-EAS-Proxy verwenden, geben Sie die URL des SMC-Proxy-Servers ein.
Benutzer
Der Benutzername für dieses Konto. Wenn Sie die Variable %_USERNAME_% verwenden, wird diese durch den jeweiligen Benutzernamen ersetzt.
E-Mail-Adresse
Die E-Mail-Adresse des Kontos. Wenn Sie die Variable %_EMAILADDRESS_% verwenden, wird diese durch die jeweilige E-Mail-Adresse ersetzt.
Domäne
Die Domäne für dieses Konto.
109
Sophos Mobile Control
Einstellung/Feld
Beschreibung
Support-E-Mail-Kontakt
Die Adresse für E-Mails, die über die Funktion „Kontaktiere Support“ gesendet werden.
Kontakte auf das Gerät exportieren
Benutzer können Exchange-Kontakte inklusive Telefonnummer als lokale Kontakte auf das Gerät übertragen. Diese Kontakte werden von Sophos Secure Email synchronisiert. Es wird der Name und die Telefonnummer übertragen. Auf diese Weise kann der Benutzer bei eingehenden Anrufen Firmenkontakte identifizieren. Beachten Sie, dass auch nach einem Zurücksetzen der App „Sophos Secure Email“ per Fernzugriff diese Informationen im lokalen Gerätespeicher verfügbar bleiben.
Benachrichtigungseinstellungen anzeigen
Diese Einstellung regelt die Anzeige von E-Mail-Benachrichtigungen und Terminerinnerungen in Sophos Secure Email. Wenn das Kontrollkästchen aktiviert ist: Der Benutzer kann E-Mail-Benachrichtigungen ein- und ausschalten. Terminerinnerungen sind ausgeschaltet. Wenn das Kontrollkästchen deaktiviert ist: E-Mail-Benachrichtigungen und Terminerinnerungen sind deaktiviert. Hinweis: Falls Sie die Anzeige von Benachrichtigungen auf verlorenen oder gestohlenen Geräten als Sicherheitsrisiko betrachten, sollten Sie das Kontrollkästchen deaktivieren.
Anhänge öffnen
Wenn Sie das Kontrollkästchen aktivieren, sind unterhalb von Anhängen die Schaltflächen Speichern und Öffnen verfügbar. Speichern leitet den Anhang an Sophos Secure Workspace weiter, Öffnen öffnet die Datei in Sophos Secure Email. Wenn Sophos Secure Email die Datei nicht öffnen kann, kann der Benutzer auswählen, an welche App sie weitergeleitet wird. Wenn Sie das Kontrollkästchen deaktivieren, können Anhänge weder geöffnet noch an andere Apps weitergeleitet werden.
Hinzufügen
Klicken Sie auf Hinzufügen, um Einstellungen für eine zukünftige Version von Sophos Secure Email zu konfigurieren. Wichtig: Konfigurieren Sie diese Einstellungen nur, wenn Sie vom Sophos-Support dazu aufgefordert werden.
110
Administratorhilfe
14.13.3 Konfiguration „Corporate Documents“ (Sophos-Container-Richtlinie für Android) Mit der Konfiguration „Corporate Documents“ konfigurieren Sie Einstellung für die Funktion Corporate Documents der App Sophos Secure Workspace.
Online-Speicher konfigurieren Für jeden Speicheranbieter können Sie die folgenden Einstellungen separat definieren:
Einstellung/Feld
Beschreibung
Aktivieren
Der Speicheranbieter ist in der App verfügbar.
Offline
Benutzer können Dateien vom Speicheranbieter zur Liste Favoriten der App hinzufügen, um sie offline zu verwenden.
Verschlüsselt teilen
Benutzer können die Funktion Teilen für verschlüsselte Dateien verwenden, um sie mit anderen Apps zu teilen.
Unverschlüsselt teilen
Benutzer können die Funktion Teilen für unverschlüsselte Dateien verwenden, um sie mit anderen Apps zu teilen.
Zwischenablage
Benutzer können Teile aus Dokumenten kopieren und in anderen Apps einfügen.
Einstellungen für Unternehmens-Anbieter Für Speicheranbieter vom Typ WebDAV, auch als Unternehmens-Anbieter bezeichnet, können Sie zentral die Server-Einstellungen und Anmeldeinformationen definieren. Diese können von den Benutzern nicht geändert werden. Einstellungen, die Sie nicht zentral definieren, können vom Benutzer im entsprechenden App-Dialog eingegeben werden. Beispielsweise können Sie den Server und das Benutzerkonto zentral einstellen, aber das Kennwort-Feld undefiniert lassen. Benutzer müssen dann das Kennwort eingeben, um Zugriff auf den Speicheranbieter zu bekommen.
Einstellung/Feld
Beschreibung
Name
Der Anbietername, wie er in der App Sophos Secure Workspace angezeigt wird.
111
Sophos Mobile Control
Einstellung/Feld
Beschreibung
Server
Geben Sie in diesem Feld Folgendes ein: Die URL des Root-Ordners auf dem WebDAV-Server für Corporate Documents. Die URL des Root-Ordners auf dem WebDAV-Server. Verwenden Sie das folgende Format: https://server.company.com Nur das Protokoll https wird unterstützt.
Benutzername
Der Anmeldename für den Server. Sie können auch die Variable %_USERNAME_% verwenden.
Kennwort
Das Anmeldekennwort.
Zielordner
Der Ordner, in den Dokumente hochgeladen werden.
Weitere Einstellungen
Einstellung/Feld
Beschreibung
Dokumente aktivieren
Aktiviert die Funktion Dokumente, um Unternehmensdokumente auf sichere Weise auszutauschen.
Komplexität des Kennworts
Die minimale Komplexität von Passphrasen für Verschlüsselungsschlüssel. Sicherere Passphrasen sind immer erlaubt. Sie können folgende Einstellungen auswählen: 4-Zeichen-Kennwort 6-Zeichen-Kennwort 8-Zeichen-Kennwort 10-Zeichen-Kennwort
14.13.4 Konfiguration „Corporate Browser“ (Sophos-Container-Richtlinie für Android) Mit der Konfiguration „Corporate Browser“ konfigurieren Sie Einstellung für die Funktion Corporate Browser der App Sophos Secure Workspace.
112
Administratorhilfe
Mit Corporate Browser können Sie auf sichere Weise auf Intranetseiten Ihres Unternehmens und andere erlaubte Seiten zugreifen. Sie definieren Domänen sowie Lesezeichen innerhalb von Domänen. Jedes Lesezeichen gehört zu einer bestimmten Domäne. Wenn Sie mit dem Befehl Lesezeichen hinzufügen ein Lesezeichen definieren, wird automatisch ein Domäneneintrag erstellt, falls dieser nicht existiert.
Einstellungen für Domänen
Einstellung/Feld
Beschreibung
URL
Die Domäne, die Sie erlauben wollen.
Kopieren/Einfügen erlauben
Benutzer können Text aus Corporate Browser kopieren und in anderen Apps einfügen.
„Öffnen mit“ erlauben
Benutzer können Anhänge herunterladen oder an andere Apps weiterleiten.
Kennwort-Speichern erlauben
Benutzer können ihre Kennwörter in Corporate Browser speichern.
Einstellungen für Lesezeichen
Einstellung/Feld
Beschreibung
Name
Der Name für das Lesezeichen.
URL
Die Webadresse für das Lesezeichen.
14.13.5 Konfiguration „Client-Zertifikat“ (Sophos-Container-Richtlinie für Android) Mit der Konfiguration „Client-Zertifikat“ installieren Sie ein Client-Zertifikat auf Geräten. Das Zertifikat steht den Apps „Sophos Secure Email“ und „Sophos Secure Workspace“ zur Verfügung, wenn diese im Sophos-Container installiert sind. Navigieren Sie im Feld Datei zu dem relevanten Zertifikat und klicken Sie auf Datei hochladen. Der Name des Zertifikats wird im Feld Zertifikatsname angezeigt. Geben Sie das Kennwort für das ausgewählte Zertifikat ein. Hinweis: Das hier hochgeladene Zertifikat ist nur für dieses Profil verfügbar. Wenn Sie Zertifikate in anderen Profilen benötigen, müssen Sie diese erneut hochladen.
113
Sophos Mobile Control
14.13.6 Konfiguration „Root-Zertifikat“ (Sophos-Container-Richtlinie für Android) Mit der Konfiguration „Root-Zertifikat“ installieren Sie ein Root-Zertifikat auf Geräten. Das Zertifikat steht den Apps „Sophos Secure Email“ und „Sophos Secure Workspace“ zur Verfügung, wenn diese im Sophos-Container installiert sind. Navigieren Sie im Feld Datei zu dem relevanten Zertifikat und klicken Sie auf Datei hochladen. Der Name des Zertifikats wird im Feld Zertifikatsname angezeigt. Hinweis: Das hier hochgeladene Zertifikat ist nur für dieses Profil verfügbar. Wenn Sie Zertifikate in anderen Profilen benötigen, müssen Sie diese erneut hochladen.
14.13.7 Konfiguration „SCEP“ (Sophos-Container-Richtlinie für Android) Mit der Konfiguration „SCEP“ ermöglichen Sie es Geräten, mittels SCEP (Simple Certificate Enrollment Protocol) Zertifikate von einer CA (Certificate Authority) anzufordern. Diese Zertifikate stehen der App Sophos Secure Workspace zur Verfügung, wenn diese im Sophos-Container installiert ist. Hinweis: Bevor Sie eine Konfiguration vom Typ SCEP hinzufügen können, müssen Sie zunächst mit einer Konfiguration vom Typ Root-Zertifikat das CA-Zertifikat des SCEP-Servers hochladen.
Einstellung/Feld
Beschreibung
URL
Die Webadresse des CA-Servers. Verwenden Sie die Variable %_SCEPPROXYURL_%, um auf die Server-URL zu verweisen, die auf der Registerkarte SCEP der Seite Systemeinstellungen konfiguriert ist.
Aliasname
Der Name, unter dem das Zertifikat in Auswahldialogen angezeigt wird. Dies sollte ein einprägsamer Name sein, über den das Zertifikat identifiziert werden kann. Zum Beispiel können Sie denselben Wert wie für das Feld Betreff verwenden, nur ohne den Vorsatz CN=.
Betreff
Der Name des Zertifikatempfängers (Entity), zum Beispiel eine Person oder ein Gerät. Sie können Platzhalter für Benutzerdaten und Geräteeigenschaften verwenden. Der eingegebene Wert - nach Ersetzung der Platzhalter -, muss ein gültiger Namenswert gemäß X.500-Standard sein. Zum Beispiel: Geben Sie CN=%_USERNAME_% ein, um einen Benutzer zu spezifizieren.
114
Administratorhilfe
Einstellung/Feld
Beschreibung Geben Sie CN=%_DEVPROP(serial_number)_% ein, um ein Gerät zu spezifizieren. Einzelheiten zu den verfügbaren Platzhaltern finden Sie in Platzhalter in Profilen und Richtlinien (Seite 75).
Typ des Subject Alternative Name (SAN)
Konfigurieren Sie bei Bedarf einen Subject Alternative Name (SAN). Wählen Sie einen der verfügbaren SAN-Typen aus.
Wert des Subject Alternative Name (SAN)
Falls Sie einen SAN-Typ ausgewählt haben, geben Sie den SAN-Wert ein.
NT-Benutzeranmeldename Challenge
Die Webadresse, unter der das Challenge-Kennwort vom SCEP-Server angefordert wird. Verwenden Sie die Variable %_CACHALLENGE_%, um auf die Challenge-URL zu verweisen, die auf der Registerkarte SCEP der Seite Systemeinstellungen konfiguriert ist.
Root-Zertifikat
Das CA-Zertifikat. Wählen Sie das Zertifikat aus der Liste aus. Die Liste enthält alle Zertifikate aus Konfigurationen vom Typ Root-Zertifikat im aktuellen Profil.
Schlüsselgröße
Die Größe des öffentlichen Schlüssels im ausgestellten Zertifikat. Stellen Sie sicher, dass der Wert mit dem Wert übereinstimmt, der auf dem SCEP-Server konfiguriert ist.
Als digitale Signatur verwenden
Wenn Sie dieses Kontrollkästchen aktivieren, kann der öffentliche Schlüssel als digitale Signatur verwendet werden.
Für Verschlüsselung verwenden
Wenn Sie dieses Kontrollkästchen aktivieren, kann der öffentliche Schlüssel zur Datenverschlüsselung verwendet werden.
14.14 Konfigurationen für Mobile-Security-Richtlinien Mit einer Mobile-Security-Richtlinie konfigurieren Sie Einstellungen für die App „Sophos Mobile Security“. Detaillierte Informationen zu Mobile-Security-Richtlinien finden Sie in folgenden Abschnitten:
115
Sophos Mobile Control
Antivirus-Einstellungen für Sophos Mobile Security konfigurieren (Seite 212) Webfilter-Einstellungen für Sophos Mobile Security konfigurieren (Seite 214)
14.15 Konfigurationen für Knox-Container-Profile Mit einem Knox-Container-Profil konfigurieren Sie Einstellungen für den Knox-Container auf Samsung-Geräten. Informationen zur Erstellung eines Knox-Container-Profils finden Sie in Profil oder Richtlinie erstellen (Seite 72).
14.15.1 Konfiguration „Kennwortrichtlinien“ (Knox-Container-Profil) Kennworttyp Wenn Sie die Konfiguration Kennwortrichtlinien auswählen, wird die Liste Kennworttyp angezeigt. Wählen Sie in dieser Liste die Art des Kennworts, dass Sie definieren wollen:
116
Einstellung/Feld
Beschreibung
Beliebig
Benutzer müssen eine Displaysperre einrichten. Für die Displaysperre sind die Typen Muster, PIN und Passwort erlaubt. Weitere Einschränkungen bestehen nicht.
Alphabetisch
Benutzer müssen eine Displaysperre vom Typ Passwort einrichten. Zahlen sind erlaubt, aber es muss mindestens auch ein Buchstabe enthalten sein. Sie können eine Mindestzeichenanzahl festlegen. Siehe die nachfolgende Tabelle.
PIN
Benutzer müssen eine Displaysperre vom Typ PIN oder Passwort einrichten. Sie können eine Mindestzeichenanzahl festlegen. Siehe die nachfolgende Tabelle.
Alphanumerisch
Benutzer müssen eine Displaysperre vom Typ Passwort einrichten. Das Kennwort muss sowohl Buchstaben als auch Ziffern enthalten. Sie können eine Mindestzeichenanzahl festlegen. Siehe die nachfolgende Tabelle.
Komplex
Benutzer müssen eine Displaysperre vom Typ Passwort einrichten. Das Kennwort muss sowohl Buchstaben als auch Ziffern enthalten. Sie können eine Mindest-Gesamtzeichenanzahl und eine Mindestanzahl an Ziffern, Klein- und Großbuchstaben und Sonderzeichen festlegen. Siehe die nachfolgenden beiden Tabellen.
Administratorhilfe
Wenn Sie Alphabetisch, PIN, Alphanumerisch oder Komplex auswählen, werden die folgenden Felder angezeigt:
Einstellung/Feld
Beschreibung
Minimale Länge des Kennworts
Die Mindestanzahl an Zeichen, die ein Kennwort enthalten muss.
Inaktivitätsdauer bis zur Abfrage des Kennworts
Die Zeit (in Minuten), nach der das Gerät gesperrt wird, wenn es nicht benutzt wird. Das Gerät lässt sich durch Eingabe des Kennworts entsperren.
Gültigkeitsdauer des Kennworts in Tagen
Fordert eine Änderung des Kennworts im angegebenen Intervall. Wertebereich: 0 (keine Kennwortänderung erforderlich) bis 730 Tage.
Maximale Anzahl fehlerhafter Loginversuche, bis das Gerät zurückgesetzt wird
Die maximale Anzahl fehlgeschlagener Kennwort-Eingabeversuche, nach der das Gerät zurückgesetzt wird.
Anzahl der letzten Kennwörter, die nicht benutzt werden dürfen
Die Anzahl alter Kennwörter, die vom System gespeichert werden. Wenn ein Benutzer ein neues Kennwort festlegt, wird es nicht akzeptiert, falls es mit einem bereits benutzten Kennwort übereinstimmt. Wertebereich: 1 bis 5 oder kein Wert.
Wenn Sie Komplex auswählen, werden zusätzlich die folgenden Felder angezeigt:
Einstellung/Feld
Beschreibung
Minimale Anzahl von Buchstaben
Die Mindestanzahl an Buchstaben, die ein Kennwort enthalten muss.
Minimale Anzahl von Kleinbuchstaben
Die Mindestanzahl Kleinbuchstaben, die ein Kennwort enthalten muss.
Minimale Anzahl von Großbuchstaben
Die Mindestanzahl Großbuchstaben, die ein Kennwort enthalten muss.
Minimale Anzahl von Zeichen, die kein Buchstabe sind
Die Mindestanzahl nicht-alphabetischer Zeichen (zum Beispiel & oder !), die ein Kennwort mindestens enthalten muss.
Minimale Anzahl von Ziffern
Die Mindestanzahl an Ziffern, die ein Kennwort enthalten muss.
117
Sophos Mobile Control
Einstellung/Feld
Beschreibung
Minimale Anzahl von Sonderzeichen
Die Mindestanzahl an Sonderzeichen (zum Beispiel !"§$%&/()=,.-;:_@) ein Kennwort mindestens enthalten muss.
Biometrische Authentisierung
Einstellung/Feld
Beschreibung
Fingerabdruck-Authentisierung erlauben Falls vom Gerät unterstützt, kann der Benutzer den Knox-Container mittels Fingerabdruck-Authentisierung entsperren. Iris-Authentisierung erlauben
Falls vom Gerät unterstützt, kann der Benutzer den Knox-Container mittels Iris-Authentisierung entsperren.
14.15.2 Konfiguration „Einschränkungen“ (Knox-Container-Profil)
118
Einstellung/Feld
Beschreibung
Bildschirmaufnahme erlauben
Benutzer können den Bildschirminhalt von Apps im Samsung-Knox-Container aufnehmen.
Kamera erlauben
Apps im Samsung-Knox-Container können auf die Kamera zugreifen.
Zwischenablage erlauben
Das Kopieren von Inhalten in die Zwischenablage ist nicht eingeschränkt.
„Teilen über“ erlauben
Die von manchen Apps verwendete Funktion Teilen über ist verfügbar.
Mikrofon erlauben
Apps im Samsung-Knox-Container können auf das Mikrofon zugreifen.
Verwendung der sicheren Tastatur erzwingen
Benutzer müssen die sichere Tastatur verwenden.
Hinzufügen neuer E-Mail-Konten erlauben
Benutzer können zusätzlich zu den über ein Sophos Mobile Control Profil konfigurierten Konten weitere E-Mail-Konten hinzufügen.
Daten-Export erlauben
Private Apps können auf Daten aus dem Samsung-Knox-Container zugreifen.
Administratorhilfe
Einstellung/Feld
Beschreibung
Kopieren von Dateien in den Container erlauben
Private Dateien können in den Samsung-Knox-Container kopiert oder verschoben werden.
Erlaubte Apps / Unzulässige Apps
Sie können entweder Erlaubte Apps oder Unzulässige Apps konfigurieren. Wählen Sie zunächst aus der ersten Liste die gewünschte Option aus, und wählen Sie anschließend aus der zweiten Liste die App-Gruppe aus, welche die erlaubten oder unzulässigen Apps enthält. Diese Einschränkungen betreffen nicht die App-Installationen, die vom Sophos Mobile Control Server initiiert werden. Informationen zur Erstellung von App-Gruppen finden Sie in App-Gruppen (Seite 191).
14.15.3 Konfiguration „Exchange ActiveSync“ (Knox-Container-Profil) Einstellung/Feld
Beschreibung
Kontoname
Der Kontoname.
Exchange-ActiveSync-Host
Die Adresse des Microsoft Exchange Servers. Hinweis: Wenn Sie den SMC-EAS-Proxy verwenden, geben Sie die URL des SMC-Proxy-Servers ein.
Domäne
Die Domäne für dieses Konto.
Benutzer
Der Benutzername für dieses Konto. Wenn Sie die Variable %_USERNAME_% verwenden, wird diese durch den jeweiligen Benutzernamen ersetzt.
E-Mail-Adresse
Die E-Mail-Adresse des Kontos. Wenn Sie die Variable %_EMAILADDRESS_% verwenden, wird diese durch die jeweilige E-Mail-Adresse ersetzt.
Absender
Ein Absendername für das Konto. Wenn Sie die Variable %_EMAILADDRESS_% verwenden, wird diese durch die jeweilige E-Mail-Adresse ersetzt.
119
Sophos Mobile Control
Einstellung/Feld
Beschreibung
Kennwort
Das Kennwort für dieses Konto. Wenn Sie dieses Feld leer lassen, müssen Benutzer das Kennwort auf ihren Geräten eingeben.
Synchronisierungszeitraum
Der Zeitraum, für den E-Mails synchronisiert werden. Wenn Sie einen Zeitraum angeben, werden nur E-Mail-Nachrichten innerhalb dieses Zeitraums mit dem Posteingang auf den Geräten synchronisiert.
Synchronisierungsintervall
Der zeitliche Abstand zwischen zwei Synchronisierungsvorgängen.
SSL
Die gesamte Kommunikation erfolgt über SSL (Secure Socket Layer). Wir empfehlen, dieses Kontrollkästchen zu aktivieren.
Standardkonto
Das Konto wird als Standard-E-Mail-Konto verwendet.
Alle Zertifikate erlauben
Für die Kommunikation mit dem E-Mail-Server sind alle Zertifikate zugelassen.
E-Mail-Weiterleitung erlauben
E-Mail-Weiterleitung erlauben.
HTML-Format erlauben
E-Mails im HTML-Format sind zugelassen.
Max. Größe von Anhängen in MB
Die maximale Größe einer einzelnen E-Mail-Nachricht (1, 3, 5, 10, Unbegrenzt).
Inhalte
Die zu synchronisierenden Inhalte.
14.16 Konfigurationen für iOS-Geräteprofile Mit einem iOS-Geräteprofil konfigurieren Sie verschiedene Bereiche von iOS-Geräten, wie zum Beispiel Kennwortrichtlinien, Einschränkungen oder WLAN-Einstellungen. Informationen zur Erstellung eines Geräteprofils finden Sie in Profil oder Richtlinie erstellen (Seite 72).
14.16.1 Konfiguration „Kennwortrichtlinien“ (iOS-Geräteprofil) Mit der Konfiguration „Kennwortrichtlinien“ definieren Sie Kennwortregeln für Geräte.
120
Administratorhilfe
Einstellung/Feld
Beschreibung
Einfache Werte erlauben
Benutzer dürfen aufeinanderfolgende oder wiederholte Zeichen in ihrem Kennwort verwenden, zum Beispiel 1111 oder abcde.
Alphanumerische Werte erforderlich
Kennwort muss mindestens einen Buchstaben oder eine Ziffer enthalten.
Minimale Länge des Kennworts
Gibt an, wie viele Zeichen ein Kennwort mindestens enthalten muss.
Mindestanzahl von komplexen Zeichen
Gibt an, wie viele nicht-alphanumerische Zeichen (zum Beispiel & oder !) ein Kennwort mindestens enthalten muss.
Gültigkeitsdauer des Kennworts in Tagen
Fordert eine Änderung des Kennworts im angegebenen Intervall. Wertebereich: 0 (keine Kennwortänderung erforderlich) bis 730 Tage.
Automatische Sperre (Minuten)
In diesem Feld können Sie den Höchstwert festlegen, den der Benutzer auf dem Gerät konfigurieren darf. Mit der automatischen Sperre wird festgelegt, wann (in Minuten) das Gerät nach Nichtbenutzung gesperrt werden soll.
Anzahl der letzten Kennwörter, die nicht benutzt In diesem Feld können Sie festlegen, wie viele werden dürfen alte Kennwörter gespeichert und mit neu definierten Kennwörtern verglichen werden. Wenn ein Benutzer ein neues Kennwort festlegt, wird es nicht akzeptiert, falls es mit einem bereits benutzten Kennwort übereinstimmt. Wertebereich: 1 bis 50 oder 0 (keine Kennworthistorie). Toleranzfrist für Gerätesperrung
In diesem Feld können Sie den Höchstwert festlegen, den der Benutzer auf dem Gerät konfigurieren darf. Mit der Toleranzfrist für die Gerätesperrung legen Sie fest, wie lange nach einer Sperre das Gerät ohne Kennwort entsperrt werden kann. Wenn Sie Ohne auswählen, kann der Benutzer einen beliebigen verfügbaren Zeitraum wählen. Wenn Sie Sofort auswählen, müssen Benutzer immer, wenn sie ihre Geräte entsperren, ein Kennwort eingeben.
Maximale Anzahl fehlerhafter Loginversuche, bis das Gerät zurückgesetzt wird
In diesem Feld können Sie die Höchstanzahl an fehlgeschlagenen Eingabeversuchen für das Kennwort eingeben. Nach Erreichen der Höchstanzahl wird das Gerät zurückgesetzt. Nach sechs fehlgeschlagenen Versuchen wird eine Zeitverzögerung verhängt. Ein erneuter Versuch kann erst nach Ablauf der Verzögerung unternommen werden. Diese Verzögerung wird mit jedem fehlgeschlagenen Versuch größer. Nach dem letzten fehlgeschlagenen Versuch werden alle Daten und Einstellungen sicher vom Gerät entfernt. Die Zeitverzögerung startet nach dem
121
Sophos Mobile Control
Einstellung/Feld
Beschreibung sechsten Versuch. Wenn Sie also diesen Wert auf 6 oder einen niedrigeren Wert setzen, wird keine Verzögerung ausgelöst. In diesem Fall wird das Gerät zurückgesetzt, sobald die maximale Anzahl an Fehlversuchen überschritten ist.
14.16.2 Konfiguration „Einschränkungen“ (iOS-Geräteprofil) Mit der Konfiguration „Einschränkungen“ definieren Sie Einschränkungen für Geräte.
Gerät
122
Einstellung/Feld
Beschreibung
Installation von Apps erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist der App Store nicht verfügbar und sein Symbol wird vom Home-Bildschirm entfernt. Benutzer können keine Apps über den App Store, über iTunes oder Apple Configurator installieren oder aktualisieren.
App-Installation über die Benutzeroberfläche erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist der App Store nicht verfügbar und sein Symbol wird vom Home-Bildschirm entfernt. Benutzer können weiterhin Apps über iTunes oder Apple Configurator installieren oder aktualisieren.
Verwendung der Kamera erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist die Kamera nicht verfügbar und das Symbol der Kamera-App wird vom Home-Bildschirm entfernt. Benutzer können weder Fotos machen noch Videos aufzeichnen oder FaceTime benutzen.
FaceTime erlauben
Benutzer können Videotelefonie über FaceTime durchführen.
Bildschirmaufnahme erlauben
Benutzer können Aufnahmen des Bildschirminhalts machen.
Automatische Synchronisierung bei Roaming erlauben
Wenn das Kontrollkästchen deaktiviert ist, synchronisieren sich Geräte bei Mobilfunk-Roaming nur dann, wenn der Benutzer auf ein Konto zugreift.
Siri erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer Siri, Sprachbefehle oder die Diktierfunktion nicht verwenden.
Administratorhilfe
Einstellung/Feld
Beschreibung
Siri erlauben, während das Gerät gesperrt ist
Wenn das Kontrollkästchen deaktiviert ist, müssen Benutzer ihre Geräte durch Eingabe ihres Kennworts entsperren, damit sie Siri benutzen können.
Websuche für Siri erlauben
Wenn das Kontrollkästchen deaktiviert ist, führt Siri keine Websuche durch.
Filtern von anstößiger Sprache für Siri erzwingen
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer das Filtern von anstößiger Sprache für Siri deaktivieren.
Sprachwahl bei gesperrtem Gerät erlauben
Wenn das Kontrollkästchen deaktiviert ist, sind Anrufe mittels Sprachkommandos nicht möglich, wenn das Gerät mit einem Kennwort gesperrt ist. Hinweis: Falls kein Gerätekennwort konfiguriert ist, sind Anrufe mittels Sprachkommandos immer möglich.
Passbook bei Gerätesperre erlauben
Passbook-Benachrichtigungen werden auch bei gesperrtem Gerät angezeigt.
In-App-Käufe erlauben
Benutzer können In-App-Käufe durchführen.
Benutzer muss für alle Einkäufe das Store-Kennwort eingeben
Benutzer müssen für Käufe ihr Apple-ID-Kennwort eingeben. Wenn das Kontrollkästchen deaktiviert ist, können Benutzer innerhalb einer kurzen Toleranzfrist mehrere Käufe durchführen, ohne ihr Kennwort jedes Mal neu einzugeben.
Mehrspielermodus erlauben
Benutzer können im Game Center Multiplayer-Spiele spielen.
Game Center erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist Game Center nicht verfügbar.
Hinzufügen von Game-Center-Freunden Benutzer können im Game Center Freunde hinzufügen. erlauben Änderung der „Freunde suchen“-Einstellungen erlauben
Wenn das Kontrollkästchen deaktiviert ist, können die Einstellungen der App „Meine Freunde suchen“ nicht geändert werden.
USB-Kopplung erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist ein Datenaustausch per Kabel (Host Pairing) deaktiviert, außer mit dem „Supervision Host“. Wenn kein Supervision-Host-Zertifikat konfiguriert ist, ist kein Host Pairing möglich.
123
Sophos Mobile Control
Einstellung/Feld
Beschreibung
Kopplung mit Apple Watch erlauben
Wenn das Kontrollkästchen deaktiviert ist, kann das Geräte nicht mit einer Apple Watch gekoppelt werden. Für bereits gekoppelte Apple-Watch-Geräte wird die Kopplung aufgehoben.
AirDrop erlauben
Inhalte können mittels AirDrop geteilt werden.
Zugriff auf das Kontrollzentrum im Sperrbildschirm erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist das Kontrollzentrum bei aktiver Displaysperre nicht verfügbar.
Zugriff auf die Mitteilungszentrale im Sperrbildschirm erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist die Mitteilungszentrale bei aktiver Displaysperre nicht verfügbar.
Zugriff auf die Heute-Ansicht im Sperrbildschirm erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist die Heute-Ansicht bei aktiver Displaysperre nicht verfügbar.
News erlauben
Die App „News“ ist verfügbar.
Over-the-air PKI Updates erlauben
PKI-Aktualisierungen sind „Over-the-Air“ möglich.
Einkauf von Büchern in iBooks erlauben Benutzer können in iBooks Bücher kaufen. Einkauf von Büchern mit anstößigen Inhalten in iBooks erlauben
Wenn das Kontrollkästchen deaktiviert ist, sind iBooks mit anstößigem Inhalt gesperrt.
Installation von Konfigurationsprofilen durch den Benutzer erlauben
Benutzer können Konfigurationsprofile installieren.
iMessage erlauben
Benutzer können mit iMessage SMS senden oder empfangen.
Deinstallation von Apps erlauben
Benutzer können Apps vom Gerät entfernen.
Löschen aller Inhalte und Einstellungen Wenn das Kontrollkästchen deaktiviert ist, ist auf der Seite erlauben „Zurücksetzen“ die Option Inhalte und Einstellungen löschen nicht verfügbar.
124
Internetsuchergebnis für Spotlight erlauben
Wenn das Kontrollkästchen deaktiviert ist, führt Spotlight keine Internetsuche durch.
Aktivierung der Beschränkungsoption erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist auf der Seite „Zurücksetzen“ die Option Einschränkungen aktivieren nicht verfügbar.
Handoff erlauben
Die Apple-Integrations-Funktion „Handoff“ ist verfügbar. Mit „Handoff“ können Benutzer die Bearbeitung von Dokumenten, E-Mails oder Nachrichten, die sie auf einem
Administratorhilfe
Einstellung/Feld
Beschreibung Gerät begonnen haben, auf einem anderen Gerät fortsetzen.
Ändern des Gerätenamens erlauben
Benutzer können den Gerätenamen ändern.
Hintergrundbild-Änderung erlauben
Benutzer können das Hintergrundbild ändern.
Tastenkürzel erlauben
Benutzer können Tastenkürzel verwenden.
Automatisches Herunterladen von Apps Wenn das Kontrollkästchen deaktiviert ist, werden Apps, erlauben die auf anderen Geräten erworben wurden, nicht automatisch heruntergeladen. Dies betrifft nicht die Aktualisierung bereits vorhandener Apps. Apple Music erlauben
Der Dienst „Apple Music“ ist verfügbar.
Apple Music Radio erlauben
Der Dienst „Apple Music Radio“ ist verfügbar.
Ändern der Bluetooth-Einstellungen erlauben
Benutzer können die Bluetooth-Einstellungen ändern.
Firmendaten
Einstellung/Feld
Beschreibung
Öffnen von Dokumenten nur innerhalb von verwalteten Apps/Konten erlauben
Mit dieser Einstellungen definieren Sie eine Einschränkung für das Öffnen von Dokumenten mit Apps/Konten (zum Beispiel einem Firmen-E-Mail-Konto), die von Sophos Mobile Control verwaltet werden. Wenn Benutzer über ein von Sophos Mobile Control verwaltetes E-Mail-Konto und von Sophos Mobile Control verwaltete Apps auf Ihren Geräten verfügen, können die Anhänge aus dem verwalteten E-Mail-Konto nur mit verwalteten Apps geöffnet werden. Auf diese Weise können Sie verhindern, dass Unternehmensdokumente mit nicht verwalteten Apps geöffnet werden.
Öffnen von Dokumenten nur innerhalb von nicht verwalteten Apps/Konten erlauben
Mit dieser Einstellungen definieren Sie eine Einschränkung für das Öffnen von Dokumenten mit Apps/Konten (zum Beispiel einem privaten E-Mail-Konto), die nicht von Sophos Mobile Control verwaltet werden. Wenn Benutzer über ein nicht durch Sophos Mobile Control verwalteten E-Mail-Konto und nicht Sophos Mobile Control verwaltete Apps auf Ihren Geräten verfügen, können die Anhänge aus dem nicht verwalteten E-Mail-Konto nur mit nicht verwalteten Apps geöffnet
125
Sophos Mobile Control
Einstellung/Feld
Beschreibung werden. Auf diese Weise können Sie verhindern, dass persönliche Dokumente mit verwalteten Apps geöffnet werden.
Verwendung von AirDrop-Dokumenten als nicht verwaltete Dokumente erzwingen
Mittels AirDrop geteilte Dokumente sind keine verwalteten Dokumente.
Verwalteten Apps die Synchronisierung Verwaltete Apps können iCloud für die Synchronisierung mit iCloud erlauben verwenden. Sicherung für Enterprise-Books erlauben Enterprise-Books werden gesichert. Enterprise Books Notes und Highlights-Sync erlauben
Notizen und Hervorhebungen in Enterprise-Books werden synchronisiert.
Anwendungen
Einstellung/Feld
Beschreibung
Verwendung des iTunes Store erlauben Wenn das Kontrollkästchen deaktiviert ist, ist der iTunes Store nicht verfügbar und sein Symbol wird vom Home-Bildschirm entfernt. Benutzer können Inhalte weder in der Vorschau ansehen, noch kaufen oder herunterladen. Verwendung von Safari erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist der Browser Safari nicht verfügbar und sein Symbol wird vom Home-Bildschirm entfernt. Dies verhindert auch, dass Benutzer Webclips öffnen.
Automatisches Ausfüllen aktivieren
Wenn das Kontrollkästchen deaktiviert ist, werden in Safari Webformulare nicht automatisch ausgefüllt.
Pop-Up-Fenster blockieren
Safari blockiert Popups.
JavaScript im Browser erlauben
Webseiten können JavaScript-Code auf dem Gerät ausführen.
Cookies akzeptieren
In diesem Feld legen Sie fest, ob Cookies akzeptiert werden: Immer Nie Von besuchten Webseiten
126
Administratorhilfe
Einstellung/Feld
Beschreibung
Änderung der Einstellungen für mobile Datenverbindungen pro App erlauben
Benutzer können für einzelne Apps die Einstellungen für mobile Datenverbindungen ändern.
Erlaubte Apps / Unzulässige Apps
Sie können entweder Erlaubte Apps oder Unzulässige Apps angeben. Wählen Sie zunächst aus der ersten Liste die gewünschte Option aus, und wählen Sie anschließend aus der zweiten Liste die App-Gruppe aus, welche die erlaubten oder unzulässigen Apps enthält. Informationen zur Erstellung von App-Gruppen finden Sie in App-Gruppen (Seite 191).
iCloud
Einstellung/Feld
Beschreibung
Sicherung erlauben
Benutzer können ein Geräte-Backup in iCloud machen.
Dokumentensynchronisierung erlauben Benutzer können Dokumente in iCloud speichern. Fotostream erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer den iCloud-Dienst „Fotostream“ nicht aktivieren. Hinweis: Wenn Sie ein Konfigurationsprofil installieren, dass die Benutzung von Fotostream einschränkt, werden Fotostream-Fotos vom Gerät entfernt. Fotos werden nicht aus dem Fotoordner an Fotostream gesendet. Wenn keine anderen Kopien dieser Fotos existieren, gehen diese verloren.
iCloud-Fotomediathek erlauben
Benutzer können die iCloud-Fotomediathek verwenden.
Freigegebene Fotostreams erlauben
Benutzer können ihre Fotostreams anderen Benutzern zur Betrachtung freigeben und freigegebene Fotostreams anderer Benutzer betrachten.
Schlüsselbundsynchronisierung erlauben
Die iCloud-Funktion für die Synchronisierung von Kennwörtern über verschiedene iOS- und OS-X-Geräte hinweg ist verfügbar.
127
Sophos Mobile Control
Sicherheit und Privatsphäre
Einstellung/Feld
Beschreibung
Senden von Diagnosedaten an Apple erlauben
Wenn das Kontrollkästchen deaktiviert ist, werden keine iOS-Diagnosedaten an Apple gesendet.
Annehmen nicht vertrauenswürdiger Wenn das Kontrollkästchen deaktiviert ist, werden TLS-Zertifikate durch Benutzer erlauben Benutzer nicht gefragt, ob sie einem Zertifikat vertrauen möchten, das nicht verifiziert werden kann. Diese Einstellung gilt für Safari, Mail-Kontakte und Kalender-Konten. Enterprise-Apps vertrauen
Enterprise-Apps wird vertraut.
Kennwort-Änderung erlauben
Benutzer können ein Gerätekennwort definieren, ändern und löschen.
Kontoänderungen erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer keine Konten bearbeiten. Das Menü Konten ist nicht verfügbar.
Touch ID zum Entsperren des Gerätes erlauben
Wenn das Kontrollkästchen deaktiviert ist, kann das Gerät nicht per Touch ID entsperrt werden.
Beschränken von Ad-Tracking erzwingen Apps für anonyme Benutzerdaten, die für die Adressierung von Werbung verwendet werden, sind nicht mehr verfügbar. Verschlüsselte Sicherungen erzwingen
Benutzer müssen iTunes-Backups verschlüsseln.
Inhaltsbewertung
Einstellung/Feld
Beschreibung
Anstößige Musik und Podcasts erlauben Wenn das Kontrollkästchen deaktiviert ist, werden im iTunes Store keine anstößigen Musik- oder Video-Inhalte angezeigt. Anstößige Inhalte werden von den jeweiligen Anbietern, zum Beispiel Plattenfirmen, bei der Auflistung im iTunes Store entsprechend gekennzeichnet.
14.16.3 Konfiguration „Roaming-/Hotspot-Einstellungen“ (iOS-Geräteprofil) Mit der Konfiguration „Roaming-/Hotspot-Einstellungen“ definieren Sie Einstellungen für Roaming-Verbindungen und für persönliche Hotspots.
128
Administratorhilfe
Hinweis: Benutzer können diese Einstellungen auf ihren Geräten jederzeit ändern.
Einstellung/Feld
Beschreibung
Sprach-Roaming aktivieren
Sprach-Roaming ist verfügbar.
Daten-Roaming aktivieren
Daten-Roaming ist verfügbar.
Persönlichen Hotspot aktivieren
Der Benutzer kann das Gerät als persönlichen Hotspot konfigurieren.
14.16.4 Konfiguration „Exchange ActiveSync“ (iOS-Geräteprofil) Mit der Konfiguration „Exchange ActiveSync“ definieren Sie Benutzereinstellungen für Ihren Microsoft Exchange Server.
Einstellung/Feld
Beschreibung
Kontoname
Der Kontoname.
Exchange-ActiveSync-Host
Die Adresse des Microsoft Exchange Servers. Hinweis: Wenn Sie den SMC-EAS-Proxy verwenden, geben Sie die URL des SMC-Proxy-Servers ein.
Domäne
Die Domäne für dieses Konto.
Benutzer
Der Benutzername für dieses Konto. Wenn Sie die Variable %_USERNAME_% verwenden, wird diese durch den jeweiligen Benutzernamen ersetzt.
E-Mail-Adresse
Die E-Mail-Adresse des Kontos. Wenn Sie die Variable %_EMAILADDRESS_% verwenden, wird diese durch die jeweilige E-Mail-Adresse ersetzt.
Kennwort
Das Kennwort für dieses Konto. Wenn Sie dieses Feld leer lassen, müssen Benutzer das Kennwort auf ihren Geräten eingeben.
Synchronisierungszeitraum
Der Zeitraum, für den E-Mails synchronisiert werden. Wenn Sie einen Zeitraum angeben, werden nur E-Mail-Nachrichten innerhalb dieses Zeitraums mit dem Posteingang auf den Geräten synchronisiert.
129
Sophos Mobile Control
Einstellung/Feld
Beschreibung
SSL
Die gesamte Kommunikation erfolgt über SSL (Secure Socket Layer). Wir empfehlen, dieses Kontrollkästchen zu aktivieren.
Verschieben erlauben
Der Benutzer kann E-Mails von diesem Konto in ein anderes verschieben. Dies erlaubt Benutzern außerdem, ein anderes Konto für das Antworten auf oder das Weiterleiten von Nachrichten aus diesem Konto zu verwenden.
Synchronisierung letzter Adressen erlauben Das Konto wird in die iCloud-Synchronisierung kürzlich verwendeter Adressen mit anderen Geräten einbezogen. Nur mit Mail verwenden
Für das Senden von Nachrichten mit diesem Konto kann nur die App „Mail“ verwendet werden. Das Konto kann nicht als Absender-Konto für mit anderen Apps erstellten Nachrichten (zum Beispiel Fotos oder Safari) verwendet werden.
Identitätszertifikat
Das Identitäts-Zertifikat für die Verbindung zu ActiveSync. Die Liste enthält alle Zertifikate aus Konfigurationen vom Typ Client-Zertifikat im aktuellen Profil.
14.16.5 Konfiguration „WLAN“ (iOS-Geräteprofil) Mit der Konfiguration „WLAN“ legen Sie Einstellungen für die Verbindung mit WLAN-Netzwerken fest.
Einstellung/Feld
Beschreibung
SSID
Die ID des WLAN-Netzwerks.
Automatisch verbinden
Automatisch mit dem Zielnetzwerk verbinden.
Unsichtbares Netzwerk
Das Zielnetzwerk ist nicht offen oder ist unsichtbar.
Sicherheitstyp
Der Sicherheitstyp des WLAN-Netzwerks: Keine WEP WPA/WPA2 Beliebig (persönlich) Firmen-WEP
130
Administratorhilfe
Einstellung/Feld
Beschreibung Firmen-WPA/WPA2 Beliebig (firmenweit) Wenn Sie WEP, WPA/WPA2 oder Beliebig (persönlich) auswählen, wird ein Feld Kennwort angezeigt. Geben Sie das relevante Kennwort ein. Wenn Sie Firmenweiter WEP, Firmenweiter WPA/WPA2 oder Beliebig (firmenweit) auswählen, werden die Registerkarten Protokolle, Authentifizierung und Vertrauen angezeigt. Konfigurieren Sie auf der Registerkarte Protokolle folgende Einstellungen: Geben Sie unter Akzeptierte EAP-Typen die EAP-Verfahren an, die für die Authentisierung verwendet werden sollen. Je nach den hier ausgewählten Typen lassen sich die Werte im Feld Innere Identität (TTLS) auswählen. Konfigurieren Sie unter EAP-FAST die Einstellungen für die EAP-FAST-Protected-Access-Anmeldedaten. Konfigurieren Sie auf der Registerkarte Authentifizierung Einstellungen für die Client-Authentifizierung: Geben Sie im Feld Benutzer den Benutzernamen für die Verbindung zu dem WLAN-Netzwerk ein. Wählen Sie Kennwort bei jedem Verbinden abfragen aus, wenn das Kennwort für jede Verbindung abgefragt und mit der Authentifizierung übertragen werden soll. Geben Sie im Feld Kennwort das relevante Kennwort ein. Wählen Sie in der Liste Identitätszertifikat das Zertifikat für die Verbindung zu dem WLAN-Netzwerk aus. Hinweis: Das Zertifikat, das verwendet werden soll, muss in einer Client-Zertifikat-Konfiguration angegeben werden. Geben Sie im Feld Externe Identität die extern sichtbare ID (für TTLS, PEAP und EAP-FAST) ein. Konfigurieren Sie auf der Registerkarte Vertrauen Einstellungen für die Server-Authentifizierung: Wählen Sie die vertrauenswürdigen Zertifikate aus der Liste aus. Hinweis: Sie müssen die Zertifikate in einer Konfiguration Root-Zertifikat angeben.
Proxy
Wählen Sie in dieser Liste die Proxy-Einstellungen für die WLAN-Verbindung aus: Keine
131
Sophos Mobile Control
Einstellung/Feld
Beschreibung Manuell Automatisch Wenn Sie Manuell auswählen, werden die Felder Server und Port, Authentifizierung und Kennwort angezeigt. Geben Sie die erforderlichen Proxy-Informationen ein. Wenn Sie Automatisch auswählen, wird das Feld Proxy-Server-URL angezeigt. Geben Sie die URL des Proxy-Servers ein.
14.16.6 Konfiguration „VPN“ (iOS-Geräteprofil) Mit der Konfiguration „VPN“ definieren Sie VPN-Einstellungen für Netzwerkverbindungen.
Einstellung/Feld
Beschreibung
Verbindungsname
Der Name der Verbindung, der auf dem Gerät angezeigt wird.
Verbindungstyp
Der Typ der VPN-Verbindung: Cisco AnyConnect IPSec (Cisco) F5 Check Point SSL (benutzerdefiniert) Je nach hier gewähltem Verbindungstyp werden auf der Seite VPN unterschiedliche Eingabefelder angezeigt.
Identifier (Reverse-DNS-Format) (Verbindungstyp SSL (benutzerdefiniert))
Die benutzerdefinierte Kennung im Reverse-DNS-Format.
Server (alle Verbindungstypen)
Der Host-Name oder die IP-Adresse des Servers.
Konto (alle Verbindungstypen)
Das Benutzer-Konto für die Authentisierung der Verbindung.
Benutzerdefinierte Daten (Verbindungstyp SSL Falls Ihr Anbieter benutzerdefinierte (benutzerdefiniert)) Verbindungseinstellungen spezifiziert hat, geben Sie diese hier ein. Um eine Eigenschaft einzugeben, klicken Sie auf Hinzufügen und geben Sie anschließend im Dialogfeld den Schlüssel und den Wert der Eigenschaft ein.
132
Administratorhilfe
Einstellung/Feld
Beschreibung
Alle Daten über VPN übertragen
Die VPN-Verbindung wird für den gesamten Datenverkehr verwendet.
Gruppe (Verbindungstyp Cisco AnyConnect)
Geben Sie die Gruppe ein, die für die Authentisierung der Verbindung erforderlich sein kann.
Benutzer-Authentifizierung (Verbindungstyp Cisco AnyConnect, F5, Custom SSL)
Wählen Sie die Art der Benutzer-Authentisierung für die Verbindung aus: Wenn Sie Kennwort auswählen, wird unterhalb des Feldes Benutzer-Authentifizierung ein Feld Kennwort angezeigt. Geben Sie das Kennwort für die Authentisierung ein. Wenn Sie Zertifikat auswählen, wird unterhalb des Feldes Benutzer-Authentifizierung ein Feld Zertifikat angezeigt. Wählen Sie ein Zertifikat aus.
Geräte-Authentifizierung (Verbindungstyp IPSec Die Art der Geräte-Authentifizierung: (Cisco)) Schlüssel (Shared Secret)/Gruppenname Wenn Sie diese Option auswählen, werden die Felder Gruppenname, Schlüssel (Shared Secret), Hybrid-Authentifizierung verwenden und Kennwort verlangen unter dem Feld Geräte-Authentifizierung angezeigt. Geben Sie die erforderlichen Authentisierungsinformationen in den Feldern Gruppenname und Schlüssel (Shared Secret) ein. Wählen Sie je nach Anforderung Hybrid-Authentifizierung verwenden und Kennwort verlangen. Zertifikat Wenn Sie diese Option auswählen, werden die Felder Zertifikat und Inklusive Benutzer-PIN unter dem Feld Geräte-Authentifizierung angezeigt. Wählen Sie in der Liste Zertifikat das erforderliche Zertifikat aus. Wählen Sie Inklusive Benutzer-PIN aus, um die Benutzer-PIN in die Geräteauthentisierung einzubeziehen.
Proxy (alleVerbindungstypen)
Die Proxy-Einstellungen für die Verbindung: Keine Manuell Wenn Sie diese Option wählen, werden die Felder Server und Port, Authentifizierung und Kennwort angezeigt. Geben Sie im Feld Server und Port die gültige Adresse und den Port des Proxy-Servers ein. Geben Sie im Feld
133
Sophos Mobile Control
Einstellung/Feld
Beschreibung Authentifizierung den Benutzernamen für die Verbindung zum Proxy-Server ein. Geben Sie im Feld Kennwort das Kennwort für die Verbindung zum Proxy-Server ein. Automatisch Wenn Sie diese Option wählen, wird das Feld Proxyserver-URL angezeigt. Geben Sie die URL des Servers mit der Proxy-Einstellung in diesem Feld ein.
14.16.7 Konfiguration „VPN pro App“ (iOS-Geräteprofil) Mit der Konfiguration „VPN pro App“ definieren Sie VPN-Einstellungen für die Unterstützung des iOS-Features „VPN pro App“. Sie können konfigurieren, dass bestimmte Apps beim Starten automatisch eine VPN-Verbindung verwenden. Somit können Sie zum Beispiel sicherstellen, das von verwalteten Apps übermittelte Daten über VPN übertragen werden. Wenn Sie Konfigurationen „VPN pro App“ eingerichtet haben, können Sie auf der Seite Paket bearbeiten einer Applikation eine Konfiguration auswählen. Siehe VPN pro App und Einstellungen für iOS-Apps konfigurieren (Seite 189).
Einstellung/Feld
Beschreibung
Verbindungsname
Der Name der Verbindung, der auf dem Gerät angezeigt wird.
Verbindungstyp
Der Typ der VPN-Verbindung: Cisco AnyConnect F5 Check Point SSL (benutzerdefiniert) Je nach hier gewähltem Verbindungstyp werden auf der Seite VPN unterschiedliche Eingabefelder angezeigt.
Identifier (Reverse-DNS-Format) (Verbindungstyp Die benutzerdefinierte Kennung im SSL (benutzerdefiniert)) Reverse-DNS-Format.
134
Server (alle Verbindungstypen)
Der Host-Name oder die IP-Adresse des Servers.
Konto (alle Verbindungstypen)
Das Benutzer-Konto für die Authentisierung der Verbindung.
Administratorhilfe
Einstellung/Feld
Beschreibung
Benutzerdefinierte Daten (Verbindungstyp SSL (benutzerdefiniert))
Falls Ihr Anbieter benutzerdefinierte Verbindungseinstellungen spezifiziert hat, geben Sie diese hier ein. Um eine Eigenschaft einzugeben, klicken Sie auf Hinzufügen und geben Sie anschließend im Dialogfeld den Schlüssel und den Wert der Eigenschaft ein.
Gruppe (Verbindungstyp Cisco AnyConnect)
Geben Sie in diesem Feld die Gruppe ein, die für die Authentisierung der Verbindung erforderlich sein kann.
Alle Daten über VPN übertragen
Die VPN-Verbindung wird für den gesamten Datenverkehr verwendet.
Benutzer-Authentifizierung (Verbindungstyp Cisco AnyConnect, F5, Custom SSL)
Wählen Sie in dieser Liste die Art der Benutzer-Authentisierung für die Verbindung aus: Kennwort Wenn Sie diese Option auswählen, wird unter dem Feld Benutzer-Authentifizierung ein Feld Kennwort angezeigt. Geben Sie das Kennwort für die Authentisierung ein. Zertifikat Wenn Sie diese Option auswählen, wird unter dem Feld Benutzer-Authentifizierung ein Feld Zertifikat angezeigt. Wählen Sie ein Zertifikat aus.
Wählen Sie in dieser Liste die Art der Geräte-Authentifizierung (Verbindungstyp IPSec Geräte-Authentisierung aus: (Cisco)) Schlüssel (Shared Secret)/Gruppenname Wenn Sie diese Option auswählen, werden die Felder Gruppenname, Schlüssel (Shared Secret), Hybrid-Authentifizierung verwenden und Kennwort verlangen unter dem Feld Geräte-Authentifizierung angezeigt. Geben Sie die erforderlichen Authentisierungsinformationen in den Feldern Gruppenname und Schlüssel (Shared Secret) ein. Wählen Sie je nach Anforderung Hybrid-Authentifizierung verwenden und Kennwort verlangen. Zertifikat Wenn Sie diese Option auswählen, werden die Felder Zertifikat und Inklusive Benutzer-PIN unter dem Feld Geräte-Authentifizierung angezeigt. Wählen Sie in der Liste Zertifikat das erforderliche Zertifikat aus. Wählen Sie Inklusive Benutzer-PIN aus, um die
135
Sophos Mobile Control
Einstellung/Feld
Beschreibung Benutzer-PIN in die Geräteauthentisierung einzubeziehen.
Proxy (alleVerbindungstypen)
Wählen Sie in dieser Liste die Proxy-Einstellungen für die Verbindung aus: Keine Manuell Wenn Sie diese Option wählen, werden die Felder Server und Port, Authentifizierung und Kennwort angezeigt. Geben Sie im Feld Server und Port die gültige Adresse und den Port des Proxy-Servers ein. Geben Sie im Feld Authentifizierung den Benutzernamen für die Verbindung zum Proxy-Server ein. Geben Sie im Feld Kennwort das Kennwort für die Verbindung zum Proxy-Server ein. Automatisch Wenn Sie diese Option wählen, wird das Feld Proxyserver-URL angezeigt. Geben Sie die URL des Servers mit der Proxy-Einstellung in diesem Feld ein.
Provider-Typ
Der VPN-Verbindungstyp. App-Proxy: Netzwerkdatenverkehr wird durch einen VPN-Tunnel in der Applikationsschicht gesendet. Paket-Tunnel: Netzwerkdatenverkehr wird durch einen VPN-Tunnel in der Netzwerkschicht gesendet.
Safari-Domänen
In diesem Feld können Sie eine Liste von Zeichenfolgen eingeben, um Domänen zu spezifizieren. Wenn eine Domäne, auf die eine der Zeichenfolgen passt, in Safari oder in einer anderen Browser-App geöffnet wird, wird die VPN-Verbindung verwendet. Verwenden Sie eine neue Zeile für jede Domänen-Zeichenfolge. Domänen werden gemäß der folgenden Regeln mit den Zeichenfolgen verglichen: Punkte am Anfang und Ende werden ignoriert. Beispiel: Die Zeichenfolge .beispiel.com passt auf dieselben Domänen wie die Zeichenfolge beispiel.com. Jeder Namensteil einer Zeichenfolge muss auf einen vollständigen Namensteil einer Domäne passen. Beispiel: Die Zeichenfolge
136
Administratorhilfe
Einstellung/Feld
Beschreibung beispiel.com passt auf die Domäne www.beispiel.com, aber nicht auf www.mein-beispiel.com. Zeichenfolgen, die aus einem einzelnen Namensteil bestehen, passen nur auf genau diese Domäne. Beispiel: Die Zeichenfolge beispiel passt auf die Domäne beispiel, aber nicht auf www.beispiel.com.
14.16.8 Konfiguration „Single-Sign-On“ (iOS-Geräteprofil) Mit der Konfiguration „Single-Sign-On“ definieren Sie Einstellungen für das Single-Sign-On für Drittanbieter-Apps.
Einstellung/Feld
Beschreibung
Name
Eine Bezeichnung für das Konto.
Kerberos-Principal-Name
Der „Kerberos Principal“-Name. Wenn Sie keinen Wert eingeben, muss der Benutzer den Namen eingeben, wenn das Profil auf dem Gerät installiert wird.
Realm
Der „Kerberos Realm“-Name. Sie müssen den Namen in Großbuchstaben eingeben.
14.16.9 Konfiguration „Kioskmodus“ (iOS-Geräteprofil) Mit der Konfiguration „Kioskmodus“ definieren Sie Einstellungen für den Kioskmodus. In diesem Modus kann nur eine einzige App verwendet werden.
Einstellung/Feld
Beschreibung
Quelle auswählen
Wählen Sie aus, wie Sie die App für den Kioskmodus festlegen wollen: App-Liste: Wählen Sie die App aus einer Liste der für den Kunden verfügbaren iOS-Apps aus. Benutzerdefiniert: Geben Sie manuell die Bundle-ID der App ein.
137
Sophos Mobile Control
Einstellung/Feld
Beschreibung
Kennung
Die App für den Kioskmodus. Wählen Sie entweder eine App aus der Liste aus oder geben Sie eine Bundle-ID ein.
Touchscreen deaktivieren
Touch-Gesten sind nicht verfügbar.
Bildschirmrotation deaktivieren
Die Bildschirmorientierung kann nicht geändert werden.
Lautstärketasten deaktivieren
Die Gerätetasten zur Lautstärkesteuerung sind nicht verfügbar.
Lautlos-Schalter deaktivieren
Der Lautlos-Modus kann nicht aktiviert werden.
Standby-Taste deaktivieren
Die Standby-Taste ist nicht verfügbar.
Automatische Bildschirmsperre deaktivieren
Die automatische Bildschirmsperre, mit der das Gerät nach einer bestimmten Inaktivitätsdauer in den Standbymodus wechselt, ist deaktiviert.
VoiceOver aktivieren
Die Funktion „VoiceOver“ ist verfügbar.
Zoom aktivieren
Die Funktion „Zoom“ ist verfügbar.
„Farben umkehren“ aktivieren
Die Funktion „Farben umkehren“ ist verfügbar.
AssistiveTouch aktivieren
Die Funktion „AssistiveTouch“ ist verfügbar.
„Auswahl sprechen“ aktivieren
Die Funktion „Auswahl sprechen“ ist verfügbar.
Mono-Audio aktivieren
Die Funktion „Mono-Audio“ ist verfügbar.
VoiceOver
Der Benutzer kann die Funktion „VoiceOver“ anpassen.
Zoom
Der Benutzer kann die Funktion „Zoom“ anpassen.
Farben umkehren
Der Benutzer kann die Funktion „Farben umkehren“ anpassen.
AssistiveTouch
Der Benutzer kann die Funktion „AssistiveTouch“ anpassen.
14.16.10 Konfiguration „Webclip“ (iOS-Geräteprofil) Mit der Konfiguration „Webclip“ definieren Sie Webclips, die zum Home-Bildschirm hinzugefügt werden. Webclips bieten schnellen Zugriff auf favorisierte Webseiten. Sie können jedoch zum Beispiel auch einen Webclip mit einer Support-Telefonnummer hinzufügen, damit die Benutzer schnell den Helpdesk kontaktieren können.
138
Administratorhilfe
Einstellung/Feld
Beschreibung
Beschreibung
Eine Beschreibung des Webclips.
URL
Die Webadresse des Webclips.
Darf entfernt werden
Wenn das Kontrollkästchen deaktiviert ist, kann der Benutzer den Webclip nicht entfernen. Der Webclip kann nur durch Entfernen des Profils, das den Webclip installiert hat, entfernt werden.
Bildschirmfüllend
Der Webclip wird auf dem Gerät bildschirmfüllend geöffnet. Ein bildschirmfüllender Webclip öffnet die URL als Web App.
14.16.11 Konfiguration „Zugangspunkt (APN)“ (iOS-Geräteprofil) Mit der Konfiguration „Zugangspunkt (APN)“ konfigurieren Sie einen Zugangspunkt (Access Point Name) für iOS-Geräte. Eine APN-Konfiguration legt fest, wie sich Geräte mit einem Mobilfunknetz verbinden. Hinweis: Die Konfiguration Zugangspunkt (APN) ist veraltet. Stattdessen sollten Sie die Konfiguration Mobilfunk verwenden. Siehe Konfiguration „Mobilfunk“ (iOS-Geräteprofil) (Seite 143). Wichtig: Wenn diese Einstellungen nicht korrekt sind, kann das Gerät nicht auf Daten über ein Mobilnetzwerk zugreifen. Wenn Sie die Einstellungsänderungen rückgängig machen wollen, müssen Sie das Profil vom Gerät entfernen.
Einstellung/Feld
Beschreibung
APN
Der Zugangspunkt, den das Gerät angibt, wenn es sich mit dem Mobilfunknetz mittels GPRS verbindet. Dies muss ein vom Netzbetreiber akzeptierter Zugangspunkt sein. Andernfalls kann die Verbindung nicht aufgebaut werden.
Benutzername für Zugangspunkt
Der Nutzername für den Zugangspunkt. Hinweis: iOS unterstützt für Zugangspunkte Benutzernamen mit bis zu 64 Zeichen.
Kennwort für Zugangspunkt
Das Kennwort für den Zugangspunkt. Hinweis: iOS unterstützt für Zugangspunkte Kennwörter mit bis zu 64 Zeichen.
Proxy-Server und -Port
Die Adresse und die Portnummer des Proxy-Servers.
139
Sophos Mobile Control
14.16.12 Konfiguration „Webfilter“ (iOS-Geräteprofil) Mit der Konfiguration „Webfilter“ definieren Sie unzulässige URLs und erlaubte URLs mit Lesezeichen.
Einstellung/Feld
Beschreibung
Unzulässige URLs
Wenn Sie das Kontrollkästchen aktivieren, können Sie eine Liste mit blockierten URLs definieren, auf die nicht zugegriffen werden kann. Klicken Sie auf Weiter, um die Seite Typ des Webfilters auswählen anzuzeigen. Auf dieser Seite können Sie einzelne URLs hinzufügen. Verwenden Sie eine neue Zeile für jede URL.
Erlaubte URLs mit Lesezeichen
Wenn Sie das Kontrollkästchen aktivieren, können Sie erlaubte URLs mit Lesezeichen definieren, die im Browser Safari verfügbar sind. Alle anderen Websites werden blockiert. Klicken Sie auf Weiter, um die Seite Webfilter anzuzeigen. Klicken Sie auf Hinzufügen, um individuelle URLs als Lesezeichen zu definieren.
14.16.13 Konfiguration „Globaler HTTP-Proxy“ (iOS-Geräteprofil) Mit der Konfiguration „Globaler HTTP-Proxy“ definieren Sie einen Unternehmens-Proxy-Server.
Einstellung/Feld
Beschreibung
Globaler HTTP-Proxy
Wählen Sie die Proxy-Einstellungen für die Verbindung aus: Manuell Wenn Sie diese Option wählen, werden die Felder Server und Port, Authentifizierung und Kennwort angezeigt. Geben Sie im Feld Server und Port die gültige Adresse und den Port des Proxy-Servers ein. Geben Sie im Feld Authentifizierung den Benutzernamen für die Verbindung zum Proxy-Server ein. Geben Sie im Feld Kennwort das Kennwort für die Verbindung zum Proxy-Server ein. Automatisch Wenn Sie diese Option wählen, wird das Feld Proxyserver-URL angezeigt. Geben Sie die URL des Servers mit der Proxy-Einstellung in diesem Feld ein.
140
Administratorhilfe
14.16.14 Konfiguration „Root-Zertifikat“ (iOS-Geräteprofil) Mit der Konfiguration „Root-Zertifikat“ installieren Sie ein Root-Zertifikat auf Geräten. Navigieren Sie im Feld Datei zu dem relevanten Zertifikat und klicken Sie auf Datei hochladen. Der Name des Zertifikats wird im Feld Zertifikatsname angezeigt. Hinweis: Das hier hochgeladene Zertifikat ist nur für dieses Profil verfügbar. Wenn Sie Zertifikate in anderen Profilen benötigen, müssen Sie diese erneut hochladen.
14.16.15 Konfiguration „Client-Zertifikat“ (iOS-Geräteprofil) Mit der Konfiguration „Client-Zertifikat“ installieren Sie ein Client-Zertifikat auf iOS-Geräten. Navigieren Sie im Feld Datei zu dem relevanten Zertifikat und klicken Sie auf Datei hochladen. Der Name des Zertifikats wird im Feld Zertifikatsname angezeigt. Geben Sie das Kennwort für das ausgewählte Zertifikat ein. Hinweis: Das hier hochgeladene Zertifikat ist nur für dieses Profil verfügbar. Wenn Sie Zertifikate in anderen Profilen benötigen, müssen Sie diese erneut hochladen.
14.16.16 Konfiguration „SCEP“ (iOS-Geräteprofil) Mit der Konfiguration „SCEP“ ermöglichen Sie es Geräten, mittels SCEP (Simple Certificate Enrollment Protocol) Zertifikate von einer CA (Certificate Authority) anzufordern.
Einstellung/Feld
Beschreibung
URL
Die Webadresse des CA-Servers. Verwenden Sie die Variable %_SCEPPROXYURL_%, um auf die Server-URL zu verweisen, die auf der Registerkarte SCEP der Seite Systemeinstellungen konfiguriert ist.
CA-Name
Ein Name, der von der Zertifizierungsstelle verstanden wird. Der Name kann zum Beispiel zur Unterscheidung zwischen Instanzen verwendet werden.
Betreff
Der Name des Zertifikatempfängers (Entity), zum Beispiel eine Person oder ein Gerät. Sie können Platzhalter für Benutzerdaten und Geräteeigenschaften verwenden. Der eingegebene Wert - nach Ersetzung der Platzhalter -, muss ein gültiger Namenswert gemäß X.500-Standard sein. Zum Beispiel: Geben Sie CN=%_USERNAME_% ein, um einen Benutzer zu spezifizieren. Geben Sie CN=%_DEVPROP(serial_number)_% ein, um ein Gerät zu spezifizieren.
141
Sophos Mobile Control
Einstellung/Feld
Beschreibung Einzelheiten zu den verfügbaren Platzhaltern finden Sie in Platzhalter in Profilen und Richtlinien (Seite 75).
Typ des Subject Alternative Name (SAN)
Konfigurieren Sie bei Bedarf einen Subject Alternative Name (SAN). Wählen Sie einen der verfügbaren SAN-Typen aus.
Wert des Subject Alternative Name (SAN)
Falls Sie einen SAN-Typ ausgewählt haben, geben Sie den SAN-Wert ein.
NT-Benutzeranmeldename Challenge
Die Webadresse, unter der das Challenge-Kennwort vom SCEP-Server angefordert wird. Verwenden Sie die Variable %_CACHALLENGE_%, um auf die Challenge-URL zu verweisen, die auf der Registerkarte SCEP der Seite Systemeinstellungen konfiguriert ist.
Wiederholungen
Die Anzahl an Wiederholungsversuchen, falls der Server mit dem Status Pending antwortet.
Wiederholungsverzögerung
Die Zeit in Sekunden zwischen zwei Wiederholungsversuchen.
Schlüsselgröße
Die Größe des öffentlichen Schlüssels im ausgestellten Zertifikat. Stellen Sie sicher, dass der Wert mit dem Wert übereinstimmt, der auf dem SCEP-Server konfiguriert ist.
Als digitale Signatur verwenden
Wenn Sie dieses Kontrollkästchen aktivieren, kann der öffentliche Schlüssel als digitale Signatur verwendet werden.
Für Verschlüsselung verwenden
Wenn Sie dieses Kontrollkästchen aktivieren, kann der öffentliche Schlüssel zur Datenverschlüsselung verwendet werden.
14.16.17 Konfiguration „Verwaltete Domänen“ (iOS-Geräteprofil) Mit der Konfiguration „Verwaltete Domänen“ definieren Sie verwaltete Domänen für iOS-Geräte. Wenn Domänen verwaltet werden, können Dateien, die in Safari von bestimmten Webseiten heruntergeladen werden, nur in Apps geöffnet werden, die mittels MDM auf dem Gerät installiert worden sind. Sie können verwaltete E-Mail-Domänen und Web-Domänen eingeben. Geben Sie eine Domäne pro Zeile ein.
142
Administratorhilfe
Hinweis: Wenn ein Eintrag für eine verwaltete Web-Domäne eine Portnummer enthält, werden nur Adressen mit dieser Portnummer als verwaltet berücksichtigt. Andernfalls werden nur die Standardports als verwaltet berücksichtigt (Port 80 für http und 443 für https).
14.16.18 Konfiguration „Mobilfunk“ (iOS-Geräteprofil) Mit der Konfiguration „Mobilfunk“ definieren Sie Einstellungen auf iOS-Geräten für Mobilfunknetze. Hinweis: Eine Konfiguration vom Typ „Mobilfunk“ kann nicht auf Geräten installiert werden, auf denen bereits eine Konfiguration „Access Point Name (APN)“ vorhanden ist.
Einstellung/Feld
Beschreibung
Authentifizierung
PAP CHAP
APN
Der Zugangspunkt, den das Gerät angibt, wenn es sich mit dem Mobilfunknetz mittels GPRS verbindet. Dies muss ein vom Netzbetreiber akzeptierter Zugangspunkt sein. Andernfalls kann die Verbindung nicht aufgebaut werden.
Benutzername für Zugangspunkt
Der Nutzername für den Zugangspunkt. Hinweis: iOS unterstützt für Zugangspunkte Benutzernamen mit bis zu 64 Zeichen.
Kennwort für Zugangspunkt
Das Kennwort für den Zugangspunkt. Hinweis: iOS unterstützt für Zugangspunkte Kennwörter mit bis zu 64 Zeichen.
Proxy-Server und -Port
Die Adresse und die Portnummer des Proxy-Servers.
14.16.19 Konfiguration „CalDAV“ (iOS-Geräteprofil) Mit der Konfiguration „CalDAV“ konfigurieren Sie die Synchronisierung von Kalenderdaten mit einem CalDAV-Server. Sie können so zum Beispiel Google Kalender mit einem iOS-Gerät synchronisieren.
Einstellung/Feld
Beschreibung
Kontoname
Der auf dem Gerät angezeigte Name des CalDAV-Kontos.
143
Sophos Mobile Control
Einstellung/Feld
Beschreibung
Konto-Host-Name und -Port
Hostname oder IP-Adresse und (optional) der Port des CalDAV-Servers. Geben Sie zum Beispiel für Google Kalender folgendes ein: calendar.google.com:443
Principal URL
Falls vom CalDAV-Server benötigt, geben Sie die Principal URL der Kalender-Ressource ein. Geben Sie zum Beispiel folgendes ein, um einen anderen als den Haupt-Kalender eines Google-Kontos zu synchronisieren: https://apidata.googleusercontent.com/caldav/ v2/calendar_id/user wobei calendar_id die ID des Kalenders ist, den Sie synchronisieren wollen. Wenn Sie Google Kalender in Ihrem Webbrowser öffnen, wird die Kalender-ID in den Kalendereinstellungen angezeigt. Einzelheiten finden Sie in der Hilfe zu Google Kalender.
Benutzername, Kennwort
Die Anmeldeinformationen des CalDAV-Kontos. Geben Sie zum Beispiel für Google Kalender die Anmeldeinformationen des Google-Kontos ein.
14.16.20 Konfiguration „CardDAV“ (iOS-Geräteprofil) Mit der Konfiguration „CardDAV“ konfigurieren Sie die Synchronisierung von Kontaktdaten mit einem CardDAV-Server. Sie können so zum Beispiel Google Kontakte mit einem iOS-Gerät synchronisieren.
Einstellung/Feld
Beschreibung
Kontoname
Der auf dem Gerät angezeigte Name des CardDAV-Kontos.
Konto-Host-Name und -Port
Hostname oder IP-Adresse und (optional) der Port des CardDAV-Servers. Geben Sie zum Beispiel für Google Kontakte folgendes ein: google.com
Principal URL
Falls vom CardDAV-Server benötigt, geben Sie die Principal URL der Kontakte-Ressource ein. Zum Beispiel unterstützt die Google-CardDAV-API folgende Principal URL: https://www.googleapis.com/carddav/ v1/principals/
[email protected]
144
Administratorhilfe
Einstellung/Feld
Beschreibung wobei account_name der Name des Google-Kontos ist.
Benutzername, Kennwort
Die Anmeldeinformationen des CardDAV-Kontos. Geben Sie zum Beispiel für Google Kontakte die Anmeldeinformationen des Google-Kontos ein.
14.16.21 Konfiguration „IMAP/POP“ (iOS-Geräteprofil) Mit der Konfiguration „IMAP/POP“ fügen Sie ein E-Mail-Konto für IMAP oder POP auf dem iOS-Gerät hinzu.
Einstellung/Feld
Beschreibung
Kontoname
Der auf dem Gerät angezeigte Name des E-Mail-Kontos.
Typ des Accounts
Der Typ des E-Mail-Servers für eingehende E-Mails. Entweder IMAP oder POP.
Angezeigter Benutzername
Der für ausgehende E-Mails verwendete Benutzername. Wenn Sie die Variable %_USERNAME_% verwenden, wird diese durch den jeweiligen Benutzernamen ersetzt.
E-Mail-Adresse
Die E-Mail-Adresse des Kontos. Wenn Sie die Variable %_EMAILADDRESS_% verwenden, wird diese durch die jeweilige E-Mail-Adresse ersetzt.
Verschieben erlauben
Der Benutzer kann E-Mails von diesem Konto in ein anderes verschieben. Dies erlaubt Benutzern außerdem, ein anderes Konto für das Antworten auf oder das Weiterleiten von Nachrichten aus diesem Konto zu verwenden.
Synchronisierung letzter Adressen erlauben
Das Konto wird in die Synchronisierung der Liste zuletzt verwendeter Adressen einbezogen.
Nur mit Mail verwenden
Für das Senden von Nachrichten mit diesem Konto kann nur die App „Mail“ verwendet werden. Das Konto kann nicht als Absender-Konto für mit anderen Apps erstellten Nachrichten (zum Beispiel Fotos oder Safari) verwendet werden.
Mail Drop erlauben
Apple Mail Drop für dieses Konto erlauben.
S/MIME aktivieren
Unterstützung des Verschlüsselungsstandards S/MIME.
145
Sophos Mobile Control
Einstellung/Feld
Beschreibung
Signaturzertifikat
Die für E-Mail-Signierung und -Verschlüsselung verwendeten Zertifikate.
Verschlüsselungszertifikat
Um ein Zertifikat auszuwählen, müssen Sie dieses zunächst in einer Konfiguration Client-Zertifikat des aktuellen Profils hochladen.
Benutzer darf unverschlüsselte E-Mails senden
Der Benutzer bei jeder ausgehenden E-Mail entscheiden, ob sie verschlüsselt gesendet werden soll oder nicht.
Eingehende E-Mail E-Mail-Server und -Port
Hostname oder IP-Adresse und Port des Posteingangsservers.
Benutzername
Der Benutzername für die Verbindung mit dem Posteingangsserver.
Authentifizierung-Typ
Die Authentisierungsmethode für die Verbindung mit dem Posteingangsserver.
Kennwort
Das Kennwort für die Verbindung mit dem Posteingangsserver (falls erforderlich).
SSL
Secure Sockets Layer für eingehende E-Mails verwenden.
Ausgehende E-Mail E-Mail-Server und -Port
Hostname oder IP-Adresse und Port des Postausgangsservers.
Benutzername
Der Benutzername für die Verbindung mit dem Postausgangsserver.
Authentifizierung-Typ
Die Authentisierungsmethode für die Verbindung mit dem Postausgangsserver.
Kennwort
Das Kennwort für die Verbindung mit dem Postausgangsserver (falls erforderlich).
Das selbe Kennwort wie für eingehende E-Mail verwenden
Das selbe Kennwort wie für den Posteingangsserver verwenden.
SSL
Secure Sockets Layer für ausgehende E-Mails verwenden.
14.16.22 Konfiguration „Netzwerk-Nutzungsregeln“ (iOS-Geräteprofil) Mit der Konfiguration „Netzwerk-Nutzungsregeln“ legen Sie für verwaltete Apps fest, wie Datenverbindungen in Mobilfunknetzen verwendet werden dürfen.
146
Administratorhilfe
Allgemeine Regeln Unter Regeln für alle verwalteten Apps legen Sie Einstellungen für verwaltete Apps im Allgemeinen fest.
Einstellung/Feld
Beschreibung
Mobilfunkdaten erlauben
Verwaltete Apps dürfen Datenverbindungen in Mobilfunknetzen verwenden.
Daten-Roaming erlauben
Verwaltete Apps dürfen Datenverbindungen bei Roaming in fremden Mobilfunknetzen verwenden.
Ausnahmen Ausnahmen überschreiben die allgemeinen Regeln. Verwenden Sie Ausnahme hinzufügen, um Regeln zu definieren, die für eine bestimmte App-Gruppe gelten.
Einstellung/Feld
Beschreibung
App-Gruppe
Wählen Sie eine App-Gruppe aus. Die abweichenden Einstellungen gelten für alle in der Gruppe enthaltenen Apps.
Mobilfunkdaten erlauben
Verwaltete Apps in der ausgewählten App-Gruppe dürfen Datenverbindungen in Mobilfunknetzen verwenden.
Daten-Roaming erlauben
Verwaltete Apps in der ausgewählten App-Gruppe dürfen Datenverbindungen bei Roaming in fremden Mobilfunknetzen verwenden.
Hinweis: Für jede App-Gruppe können Sie nur eine Ausnahmeregel anlegen.
14.17 Konfigurationen für Sophos-Container-Richtlinien für iOS Mit einer Sophos-Container-Richtlinie konfigurieren Sie Einstellungen für die Sophos-Container-Apps Sophos Secure Email und Sophos Secure Workspace. Informationen zur Erstellung einer Sophos-Container-Richtlinie finden Sie in Profil oder Richtlinie erstellen (Seite 72).
14.17.1 Konfiguration „Allgemein“ (Sophos-Container-Richtlinie für iOS) Mit der Konfiguration „Allgemein“ definieren Sie Einstellungen für alle Sophos-Container-Apps, sofern anwendbar.
147
Sophos Mobile Control
Einstellung/Feld
Beschreibung
Sophos-Container-Kennwort aktivieren
Benutzer müssen ein zusätzliches Kennwort eingeben, um eine Sophos-Container-App zu starten. Sobald die erste Container-App gestartet wird nachdem die Konfiguration angewendet wurde, muss das Kennwort definiert werden. Dieses Kennwort gilt für alle Container-Apps.
Komplexität des Kennworts
Die minimale Komplexität des Kennworts für den Sophos-Container. Sicherere Kennwörter sind immer erlaubt. Kennwörter (eine Kombination numerischer und alphanumerischer Zeichen) werden generell als sicherer angesehen als PINs (nur numerische Zeichen). Beliebig: Sophos-Container-Kennwörter unterliegen keinen Einschränkungen. 4-Ziffern-PIN 6-Ziffern-PIN 4-Zeichen-Kennwort 6-Zeichen-Kennwort 8-Zeichen-Kennwort 10-Zeichen-Kennwort
Gültigkeitsdauer des Kennworts in Tagen
Die Anzahl an Tagen, die ein Kennwort verwendet werden kann, bevor der Benutzer aufgefordert wird, es zu ändern.
Fehlgeschlagene Anmeldungen bis Sperre
Die erlaubte Anzahl fehlgeschlagener Anmeldeversuche, bevor die Container-Apps gesperrt werden. Gesperrte Apps müssen von einem Administrator entsperrt werden. Falls konfiguriert, können die Apps auch vom Benutzer im Self Service Portal entsperrt werden.
Fingerabdruck erlauben
Benutzer können die App mit ihrem Fingerabdruck entsperren.
Gültigkeitsdauer in Minuten
Die Zeitspanne, während der kein Sophos-Container-Kennwort eingegeben werden muss, wenn eine Container-App wieder im Vordergrund angezeigt wird. Die Toleranzfrist gilt für alle Container-Apps. Während der Toleranzfrist können Sie zwischen den Apps wechseln, ohne das Kennwort erneut eingeben zu müssen. Sie können 1, 2, 5, 10, 15 Minuten auswählen.
148
Administratorhilfe
Einstellung/Feld
Beschreibung
Mit Gerät sperren
Wenn das Gerät gesperrt wird, wird auch der Sophos-Container gesperrt. Wenn das Kontrollkästchen deaktiviert ist, wird der Sophos-Container nur nach Ablauf der Toleranzfrist gesperrt.
Letzte Verbindung zum Server
Die Zeitspanne, innerhalb derer Benutzer eine Sophos-Container-App verwenden können, ohne dass eine Verbindung zum Sophos Mobile Control Server aufgebaut wurde. Wenn eine Sophos-Container-App aktiviert wird und innerhalb der definierten Zeitspanne keinen Kontakt mit dem Server hatte, wird ein Sperrbildschirm angezeigt. Der Benutzer kann die App durch Tippen auf Wiederholen entsperren. Hierdurch verbindet sich die App mit dem Server. Kann die Verbindung aufgebaut werden, wird die App entsperrt. Falls nicht, wird der Zugriff verweigert. Bei jedem Zugriff: Eine Serververbindung ist immer notwendig und die App wird gesperrt, wenn der Server nicht erreichbar ist. 1 Stunde: Eine Serververbindung ist notwendig, wenn die App eine Stunde oder später nach der letzten erfolgreichen Serververbindung aktiviert wird. 3 Stunden 6 Stunden 12 Stunden 1 Tag 3 Tage 1 Woche Ohne: Keine regelmäßige Verbindung ist notwendig.
Offline-Starts ohne Serververbindung
In diesem Feld definieren Sie, wie oft Benutzer eine der Sophos-Container-Apps starten können, ohne dass eine Serververbindung aufgebaut wurde. Hinweis: Diese Einstellung setzt voraus, dass ein Sophos-Container-Kennwort eingerichtet ist. Es wird mitgezählt, wie oft Benutzer das Sophos-Container-Kennwort eingeben. Wenn der Zähler die definierte Anzahl überschreitet, wird derselbe Sperrbildschirm wie für die Letzte Verbindung zum Server Einstellung angezeigt. Der Zähler wird zurückgesetzt, wenn eine Verbindung zum Sophos Mobile Control Server hergestellt wird.
149
Sophos Mobile Control
Einstellung/Feld
Beschreibung Unbegrenzt: Es ist keine Serververbindung notwendig. 0: Das Starten der App ohne Serververbindung ist nicht möglich. 1: Nach einem Start der App ist eine erfolgreiche Serververbindung notwendig. 3 5 10 20
Jailbreak erlaubt
Die Container-Apps können auf Geräten mit Jailbreak laufen.
App-Nutzungs-Beschränkungen Hier können Sie Beschränkungen für die Nutzung der Sophos-Container-Apps festlegen. Klicken Sie auf Hinzufügen, um Beschränkungen einzugeben.
Räumliche Beschränkungen
Spezifizieren Sie über Längen- und Breitengrad einen Ausgangspunkt sowie einen Abstand, innerhalb dessen die Sophos-Container-Apps verwendet werden können.
Zeitliche Beschränkungen
Geben Sie über eine Anfangs- und eine Endzeit eine Zeitspanne an, innerhalb derer die Sophos-Container-Apps verwendet werden können. Sie können auch spezifizieren, an welchen Wochentagen die Apps verwendet werden können.
WLAN-Beschränkungen
Geben Sie WLAN-Netzwerke an, mit denen das Gerät verbunden sein muss, damit die Sophos-Container-Apps verwendet werden können. Das Gerät muss tatsächlich mit einem der aufgeführten Netzwerke verbunden sein. Es reicht nicht aus, dass eines der aufgeführten Netzwerke vom Gerät gefunden wird. Wichtig: Wir empfehlen, sich nicht auf WLAN-Beschränkungen als einzigen Sicherheitsmechanismus zu verlassen, da WLAN-Namen sehr leicht gefälscht werden können (Wi-Fi Spoofing).
150
Administratorhilfe
14.17.2 Konfiguration „Corporate Email“ (Sophos-Container-Richtlinie für iOS) Mit der Konfiguration „Corporate Email“ definieren Sie Benutzereinstellungen für Ihren Microsoft Exchange Server. Diese Einstellungen gelten für die App Sophos Secure Email, wenn diese im Sophos-Container installiert ist.
Einstellung/Feld
Beschreibung
Exchange-ActiveSync-Host
Die Adresse des Microsoft Exchange Servers. Hinweis: Wenn Sie den SMC-EAS-Proxy verwenden, geben Sie die URL des SMC-Proxy-Servers ein.
Benutzer
Der Benutzername für dieses Konto. Wenn Sie die Variable %_USERNAME_% verwenden, wird diese durch den jeweiligen Benutzernamen ersetzt.
E-Mail-Adresse
Die E-Mail-Adresse des Kontos. Wenn Sie die Variable %_EMAILADDRESS_% verwenden, wird diese durch die jeweilige E-Mail-Adresse ersetzt.
Domäne
Die Domäne für dieses Konto.
Support-E-Mail-Kontakt
Die Adresse für E-Mails, die über die Funktion „Kontaktiere Support“ gesendet werden.
Sichere Textfelder verwenden
Der Inhalt von Eingabefeldern wird geschützt. Auto-Vervollständigung und Auto-Korrektur werden in der App „Sophos Secure Email“ deaktiviert, um zu verhindern, dass sensible Daten im Gerätespeicher abgelegt werden.
Kontakte auf das Gerät exportieren
Benutzer können Exchange-Kontakte inklusive Telefonnummer als lokale Kontakte auf das Gerät übertragen. Diese Kontakte werden von Sophos Secure Email synchronisiert. Es wird der Name und die Telefonnummer übertragen. Auf diese Weise kann der Benutzer bei eingehenden Anrufen Firmenkontakte identifizieren. Beachten Sie, dass auch nach einem Zurücksetzen der App „Sophos Secure Email“ per Fernzugriff diese Informationen im lokalen Gerätespeicher verfügbar bleiben.
Benachrichtigungsdetails anzeigen
Diese Option regelt die Anzeige von E-Mail-Benachrichtigungen und Terminerinnerungen in Sophos Secure Email. Wenn die Option aktiviert ist:
151
Sophos Mobile Control
Einstellung/Feld
Beschreibung E-Mail-Benachrichtigungen werden mit Absender und Betreff angezeigt. Terminerinnerungen werden mit Uhrzeit, Ort und Titel angezeigt. Wenn die Option deaktiviert ist: E-Mail-Benachrichtigungen sind deaktiviert. Terminerinnerungen werden nur mit Uhrzeit angezeigt. Hinweis: Falls Sie die Anzeige von Benachrichtigungen auf verlorenen oder gestohlenen Geräten als Sicherheitsrisiko betrachten, sollten Sie Benachrichtigungsdetails deaktivieren.
In Zwischenablage kopieren verbieten
Benutzer können Texte aus Sophos Secure Email weder kopieren noch ausschneiden.
Externe Viewer erlauben
Benutzer können E-Mail-Anhänge speichern oder in anderen Apps öffnen.
Maximale E-Mail-Größe
Wählen Sie bei Bedarf die maximale E-Mail-Größe für Sophos Secure Email aus der Liste aus.
Anhänge öffnen
Wenn Sie diese Option aktivieren, sind unterhalb von Anhängen die Schaltflächen Speichern und Öffnen verfügbar. Speichern leitet den Anhang an Sophos Secure Workspace weiter, Öffnen öffnet die Datei in Sophos Secure Email. Wenn Sophos Secure Email die Datei nicht öffnen kann, kann der Benutzer auswählen, an welche App sie weitergeleitet wird. Wenn Sie die Option deaktivieren, können Anhänge weder geöffnet noch an andere Apps weitergeleitet werden.
Hinzufügen
Klicken Sie auf Hinzufügen, um Einstellungen für eine zukünftige Version von Sophos Secure Email zu konfigurieren. Wichtig: Konfigurieren Sie diese Einstellungen nur, wenn Sie vom Sophos-Support dazu aufgefordert werden.
152
Administratorhilfe
14.17.3 Konfiguration „Corporate Documents“ (Sophos-Container-Richtlinie für iOS) Online-Speicher konfigurieren Für jeden Speicheranbieter können Sie die folgenden Einstellungen separat definieren:
Einstellung/Feld
Beschreibung
Aktivieren
Der Speicheranbieter ist in der App verfügbar.
Offline
Benutzer können Dateien vom Speicheranbieter zur Liste Favoriten der App hinzufügen, um sie offline zu verwenden.
Verschlüsselt teilen
Benutzer können die Funktion Teilen für verschlüsselte Dateien verwenden, um sie mit anderen Apps zu teilen.
Unverschlüsselt teilen
Benutzer können die Funktion Teilen für unverschlüsselte Dateien verwenden, um sie mit anderen Apps zu teilen.
Zwischenablage
Benutzer können Teile aus Dokumenten kopieren und in anderen Apps einfügen.
Einstellungen für Unternehmens-Anbieter Für Speicheranbieter vom Typ Egnyte und WebDAV, auch als Unternehmens-Anbieter bezeichnet, können Sie zentral die Server-Einstellungen und Anmeldeinformationen definieren. Diese können von den Benutzern nicht geändert werden. Einstellungen, die Sie nicht zentral definieren, können vom Benutzer im entsprechenden App-Dialog eingegeben werden. Beispielsweise können Sie den Server und das Benutzerkonto zentral einstellen, aber das Kennwort-Feld undefiniert lassen. Benutzer müssen dann das Kennwort eingeben, um Zugriff auf den Speicheranbieter zu bekommen.
Einstellung/Feld
Beschreibung
Name
Der Anbietername, wie er in der App Sophos Secure Workspace angezeigt wird.
153
Sophos Mobile Control
Einstellung/Feld
Beschreibung
Server
Geben Sie in diesem Feld Folgendes ein: Die URL des Root-Ordners auf dem WebDAV-Server für Corporate Documents. Die URL des Root-Ordners auf dem Egnyte-Server. Die URL des Root-Ordners auf dem WebDAV-Server. Verwenden Sie das folgende Format: https://server.company.com
Benutzername
Geben Sie in diesem Feld den Benutzernamen für den entsprechenden Server ein.
Kennwort
Geben Sie in diesem Feld das Kennwort für das entsprechende Konto ein.
Zielordner
Geben Sie in diesem Feld den Zielordner für das entsprechende Konto ein.
Weitere Einstellungen
Einstellung/Feld
Beschreibung
Dokumente aktivieren
Aktiviert die Funktion Dokumente, um Unternehmensdokumente auf sichere Weise auszutauschen.
Komplexität des Kennworts
Die minimale Komplexität von Passphrasen für Verschlüsselungsschlüssel. Sicherere Passphrasen sind immer erlaubt. Sie können folgende Einstellungen auswählen: 4-Zeichen-Kennwort 6-Zeichen-Kennwort 8-Zeichen-Kennwort 10-Zeichen-Kennwort
14.17.4 Konfiguration „Corporate Browser“ (Sophos-Container-Richtlinie für iOS) Mit der Konfiguration „Corporate Browser“ konfigurieren Sie Einstellung für die Funktion Corporate Browser der App Sophos Secure Workspace.
154
Administratorhilfe
Mit Corporate Browser können Sie auf sichere Weise auf Intranetseiten Ihres Unternehmens und andere erlaubte Seiten zugreifen. Sie definieren Domänen sowie Lesezeichen innerhalb von Domänen. Jedes Lesezeichen gehört zu einer bestimmten Domäne. Wenn Sie mit dem Befehl Lesezeichen hinzufügen ein Lesezeichen definieren, wird automatisch ein Domäneneintrag erstellt, falls dieser nicht existiert.
Einstellungen für Domänen
Einstellung/Feld
Beschreibung
URL
Die Domäne, die Sie erlauben wollen.
Kopieren/Einfügen erlauben
Benutzer können Text aus Corporate Browser kopieren und in anderen Apps einfügen.
„Öffnen mit“ erlauben
Benutzer können Anhänge herunterladen oder an andere Apps weiterleiten.
Kennwort-Speichern erlauben
Benutzer können ihre Kennwörter in Corporate Browser speichern.
Einstellungen für Lesezeichen
Einstellung/Feld
Beschreibung
Name
Der Name für das Lesezeichen.
URL
Die Webadresse für das Lesezeichen.
14.17.5 Konfiguration „Client-Zertifikat“ (Sophos-Container-Richtlinie für iOS) Mit der Konfiguration „Client-Zertifikat“ installieren Sie ein Client-Zertifikat auf Geräten. Das Zertifikat steht den Apps „Sophos Secure Email“ und „Sophos Secure Workspace“ zur Verfügung, wenn diese im Sophos-Container installiert sind. Navigieren Sie im Feld Datei zu dem relevanten Zertifikat und klicken Sie auf Datei hochladen. Der Name des Zertifikats wird im Feld Zertifikatsname angezeigt. Geben Sie das Kennwort für das ausgewählte Zertifikat ein. Hinweis: Das hier hochgeladene Zertifikat ist nur für dieses Profil verfügbar. Wenn Sie Zertifikate in anderen Profilen benötigen, müssen Sie diese erneut hochladen.
155
Sophos Mobile Control
14.17.6 Konfiguration „Root-Zertifikat“ (Sophos-Container-Richtlinie für iOS) Mit der Konfiguration „Root-Zertifikat“ installieren Sie ein Root-Zertifikat auf Geräten. Das Zertifikat steht den Apps „Sophos Secure Email“ und „Sophos Secure Workspace“ zur Verfügung, wenn diese im Sophos-Container installiert sind. Navigieren Sie im Feld Datei zu dem relevanten Zertifikat und klicken Sie auf Datei hochladen. Der Name des Zertifikats wird im Feld Zertifikatsname angezeigt. Hinweis: Das hier hochgeladene Zertifikat ist nur für dieses Profil verfügbar. Wenn Sie Zertifikate in anderen Profilen benötigen, müssen Sie diese erneut hochladen.
14.17.7 Konfiguration „SCEP“ (Sophos-Container-Richtlinie für iOS) Mit der Konfiguration „SCEP“ ermöglichen Sie es Geräten, mittels SCEP (Simple Certificate Enrollment Protocol) Zertifikate von einer CA (Certificate Authority) anzufordern. Diese Zertifikate stehen der App Sophos Secure Workspace zur Verfügung, wenn diese im Sophos-Container installiert ist. Hinweis: Bevor Sie eine Konfiguration vom Typ SCEP hinzufügen können, müssen Sie zunächst mit einer Konfiguration vom Typ Root-Zertifikat das CA-Zertifikat des SCEP-Servers hochladen.
Einstellung/Feld
Beschreibung
URL
Die Webadresse des CA-Servers. Verwenden Sie die Variable %_SCEPPROXYURL_%, um auf die Server-URL zu verweisen, die auf der Registerkarte SCEP der Seite Systemeinstellungen konfiguriert ist.
Aliasname
Der Name, unter dem das Zertifikat in Auswahldialogen angezeigt wird. Dies sollte ein einprägsamer Name sein, über den das Zertifikat identifiziert werden kann. Zum Beispiel können Sie denselben Wert wie für das Feld Betreff verwenden, nur ohne den Vorsatz CN=.
Betreff
Der Name des Zertifikatempfängers (Entity), zum Beispiel eine Person oder ein Gerät. Sie können Platzhalter für Benutzerdaten und Geräteeigenschaften verwenden. Der eingegebene Wert - nach Ersetzung der Platzhalter -, muss ein gültiger Namenswert gemäß X.500-Standard sein. Zum Beispiel: Geben Sie CN=%_USERNAME_% ein, um einen Benutzer zu spezifizieren. Geben Sie CN=%_DEVPROP(serial_number)_% ein, um ein Gerät zu spezifizieren.
156
Administratorhilfe
Einstellung/Feld
Beschreibung Einzelheiten zu den verfügbaren Platzhaltern finden Sie in Platzhalter in Profilen und Richtlinien (Seite 75).
Typ des Subject Alternative Name (SAN)
Konfigurieren Sie bei Bedarf einen Subject Alternative Name (SAN). Wählen Sie einen der verfügbaren SAN-Typen aus.
Wert des Subject Alternative Name (SAN)
Falls Sie einen SAN-Typ ausgewählt haben, geben Sie den SAN-Wert ein.
NT-Benutzeranmeldename Challenge
Die Webadresse, unter der das Challenge-Kennwort vom SCEP-Server angefordert wird. Verwenden Sie die Variable %_CACHALLENGE_%, um auf die Challenge-URL zu verweisen, die auf der Registerkarte SCEP der Seite Systemeinstellungen konfiguriert ist.
Root-Zertifikat
Das CA-Zertifikat. Wählen Sie das Zertifikat aus der Liste aus. Die Liste enthält alle Zertifikate aus Konfigurationen vom Typ Root-Zertifikat im aktuellen Profil.
Schlüsselgröße
Die Größe des öffentlichen Schlüssels im ausgestellten Zertifikat. Stellen Sie sicher, dass der Wert mit dem Wert übereinstimmt, der auf dem SCEP-Server konfiguriert ist.
Als digitale Signatur verwenden
Wenn Sie dieses Kontrollkästchen aktivieren, kann der öffentliche Schlüssel als digitale Signatur verwendet werden.
Für Verschlüsselung verwenden
Wenn Sie dieses Kontrollkästchen aktivieren, kann der öffentliche Schlüssel zur Datenverschlüsselung verwendet werden.
14.18 Konfigurationen für Windows-Mobile-Richtlinien Mit einer Windows-Mobile-Richtlinien konfigurieren Sie verschiedene Bereiche von Windows-Mobile-Geräten, wie zum Beispiel Kennwortrichtlinien, Einschränkungen oder WLAN-Einstellungen. Informationen zur Erstellung einer Windows-Mobile-Richtlinie finden Sie in Profil oder Richtlinie erstellen (Seite 72).
157
Sophos Mobile Control
14.18.1 Konfiguration „Kennwortrichtlinien“ (Windows-Mobile-Richtlinie) Mit der Konfiguration „Kennwortrichtlinien“ definieren Sie Kennwortregeln für Geräte.
Einstellung/Feld
Beschreibung
Kennworttyp
Wählen Sie die Art des Kennworts, dass Sie definieren wollen: Alphanumerisch Alphanumerisch oder numerisch
Einfache Werte erlauben
Kennwörter dürfen aufeinanderfolgende oder wiederholte Zeichnen enthalten, zum Beispiel abcde oder 1111.
Minimale Länge des Kennworts
Die Mindestanzahl an Zeichen, die ein Kennwort enthalten muss.
Maximale Anzahl an Fehlversuchen
Die maximale Anzahl fehlgeschlagener Anmeldeversuche, nach der das Gerät zurückgesetzt wird. Geben Sie einen Wert zwischen 1 und 999 ein, oder geben Sie 0 ein, um diese Einschränkung zu deaktivieren.
Inaktivitätszeit in Minuten bis zur Abfrage des Die Zeit (in Minuten), nach der das Gerät gesperrt Kennworts wird, wenn es nicht benutzt wird. Der Benutzer kann das Gerät entsperren. Geben Sie einen Wert zwischen 1 und 999 ein, oder geben Sie 0 ein, um diese Einschränkung zu deaktivieren.
Anzahl der letzten Kennwörter, die nicht benutzt werden dürfen
Die Anzahl alter Kennwörter, die vom System gespeichert werden. Wenn ein Benutzer ein neues Kennwort festlegt, wird es nicht akzeptiert, falls es mit einem bereits benutzten Kennwort übereinstimmt. Geben Sie einen Wert zwischen 1 und 999 ein, oder geben Sie 0 ein, um diese Einschränkung zu deaktivieren.
Gültigkeitsdauer des Kennworts in Tagen
Die Anzahl an Tagen, nach denen Benutzer ihr Kennwort ändern müssen. Geben Sie einen Wert zwischen 1 und 730 ein, oder geben Sie 0 ein, um diese Einschränkung zu deaktivieren.
Minimale Anzahl verschiedener Zeichentypen Die Mindestanzahl nicht-alphanumerischer Zeichen (zum Beispiel & oder !), die ein Kennwort enthalten muss.
158
Administratorhilfe
Einstellung/Feld
Beschreibung
Festlegen der Toleranzfrist bis zur erneuten Kennworteingabe erlauben
Benutzer dürfen die Toleranzfrist festlegen, innerhalb derer keine erneute Kennworteingabe erfolgen muss.
14.18.2 Konfiguration „Einschränkungen“ (Windows-Mobile-Richtlinie) Mit der Konfiguration „Einschränkungen“ definieren Sie Einschränkungen für Geräte.
Gerät
Einstellung/Feld
Beschreibung
SD-Karte verbieten
Benutzer können nicht auf die SD-Karte zugreifen. Dies betrifft nicht den Zugriff durch Apps.
Unverschlüsseltes Gerät verbieten
Die Verschlüsselung des internen Speichers ist aktiviert. Wichtig: Wenn auf einem Gerät die Verschlüsselung des internen Speichers aktiviert ist, können Sie dies nicht mehr über eine Richtlinie deaktivieren. Hinweis: Auf dem Gerät muss zuvor BitLocker aktiviert worden sein, damit die Richtlinie angewendet werden kann.
Action-Center-Benachrichtigungen auf dem Sperrbildschirm verbieten
Auf dem Sperrbildschirm des Gerätes werden keine Action-Center-Benachrichtigungen angezeigt.
Manuelles Hinzufügen von Nicht-Microsoft-E-Mail-Konten verbieten
Hinzufügen aller Arten von E-Mail-Konten sowie von Exchange-, Office 365- und Outlook.com-Konten nicht erlauben.
Microsoft-Konto-Verbindung verbieten
Das Microsoft-Konto ist das Systemkonto, das für Synchronisierung, Backup und den Store verwendet wird.
Entwicklerfunktionen verbieten
Der Windows-Entwicklermodus ist deaktiviert.
Windows Store verbieten
Der Windows-App-Store ist nicht verfügbar.
Nativen Browser verbieten
Der Browser Microsoft Edge ist nicht verfügbar.
159
Sophos Mobile Control
Einstellung/Feld
Beschreibung
Kamera verbieten
Die Datenschutz-Einstellung Apps die Verwendung meiner Kamera erlauben ist deaktiviert.
Telemetrie
Wählen Sie aus, ob das Gerät Diagnose- und Telemetriedaten senden kann: Erlaubt Erlaubt, außer für sekundäre Datenanforderungen Nicht erlaubt
Verschiedenes
Einstellung/Feld
Beschreibung
Kopieren und Einfügen verbieten
Die Zwischenablage ist nicht verfügbar.
Cortana verbieten
Cortana ist deaktiviert.
Als Office-Dateien speichern verbieten
Benutzer können Dateien auf dem Gerät nicht als Office-Dateien speichern.
Bildschirmaufnahme verbieten
Bildschirmaufnahmen sind deaktiviert.
Teilen von Office-Dateien verbieten
Office-Dateien können nicht geteilt werden.
„Einstellungen synchronisieren“ verbieten
Geräteeinstellungen können nicht mit anderen Windows-Geräten synchronisiert werden.
Audioaufzeichnungen verbieten
Audioaufzeichnungen sind deaktiviert.
WLAN
160
Einstellung/Feld
Beschreibung
WLAN verbieten
WLAN-Verbindungen sind deaktiviert.
Tethering verbieten
ICS (Internet Connection Sharing) ist deaktiviert.
Administratorhilfe
Einstellung/Feld
Beschreibung
WLAN-Optimierung (Hotspot-Autoverbindung) Das Gerät verbindet sich nicht automatisch mit verbieten WLAN-Hotspots. Hotspot-Reporting verbieten
Das Gerät sendet keine Informationen bezüglich WLAN-Verbindungen.
Manuelle Konfiguration verbieten
Benutzer können keine WLAN-Verbindungen konfigurieren. Dies betrifft nicht die von Sophos Mobile Control konfigurierten Verbindungen.
Konnektivität
Einstellung/Feld
Beschreibung
NFC verbieten
NFC (Near Field Communication) ist deaktiviert.
Bluetooth verbieten
Bluetooth ist deaktiviert.
USB-Verbindung verbieten
USB-Verbindungen zwischen dem Gerät und einem Computer zur Synchronisierung von Dateien oder zur Verwendung von Entwicklertools für die Installation oder das Debugging von Apps sind nicht verfügbar. Dies betrifft nicht das Laden des Geräteakkus über USB.
Roaming und Kosten
Einstellung/Feld
Beschreibung
Daten-Roaming verbieten
Datenverbindungen über fremde Mobilfunknetze sind deaktiviert.
VPN über Mobilfunk verbieten
VPN-Verbindungen über Mobilfunknetze sind deaktiviert.
VPN-Roaming über Mobilfunk verbieten
VPN-Verbindungen über fremde Mobilfunknetze sind deaktiviert.
161
Sophos Mobile Control
Sicherheit und Privatsphäre
Einstellung/Feld
Beschreibung
Bing Vision das Speichern von Bildern aus der Bing Vision speichert nicht die Bilder, die es bei Suche verbieten Suchvorgängen anfertigt. Standortbestimmung bei der Suche verbieten Für die Suche werden keine Standortinformationen verwendet. Manuelle Installation von Root-Zertifikaten verbieten
Benutzer können nicht manuell Root-Zertifikate oder vorläufige CA-Zertifikate installieren.
Standortbestimmung verbieten
Alle Datenschutzeinstellungen in der Kategorie „Standort“ sind deaktiviert. Apps können nicht den Standortdienst verwenden. Wenn diese Option aktiviert ist, kann auch Sophos Mobile Control keine Standortbestimmung durchführen.
SafeSearch-Einstellung
Wählen Sie den Grad der Suchergebnis-Filterung auf den Geräten aus: Moderat: Moderates Filtern von erotischen Inhalten. Gültige Suchergebnisse werden nicht gefiltert. Streng: Maximales Filtern von erotischen Inhalten.
Deregistrierung
Einstellung/Feld
Beschreibung
Auf Werkseinstellungen zurücksetzen verbieten Benutzer können das Gerät nicht über die Systemsteuerung oder über Tastenkombinationen auf den Auslieferungszustand zurücksetzen. Manuelle MDM-Deregistrierung verbieten
Benutzer können das Arbeitsplatzkonto nicht löschen.
14.18.3 Konfiguration „Exchange ActiveSync“ (Windows-Mobile-Richtlinie) Mit der Konfiguration „Exchange ActiveSync“ definieren Sie Benutzereinstellungen für Ihren Microsoft Exchange Server.
162
Administratorhilfe
Einstellung/Feld
Beschreibung
Kontoname
Der Kontoname.
Exchange-ActiveSync-Host
Die Adresse des Microsoft Exchange Servers. Hinweis: Wenn Sie den SMC-EAS-Proxy verwenden, geben Sie die URL des SMC-Proxy-Servers ein.
Domäne
Die Domäne für dieses Konto.
Benutzer
Der Benutzername für dieses Konto. Wenn Sie die Variable %_USERNAME_% verwenden, wird diese durch den jeweiligen Benutzernamen ersetzt.
E-Mail-Adresse
Die E-Mail-Adresse des Kontos. Wenn Sie die Variable %_EMAILADDRESS_% verwenden, wird diese durch die jeweilige E-Mail-Adresse ersetzt.
Kennwort
Das Kennwort für dieses Konto. Wenn Sie dieses Feld leer lassen, müssen Benutzer das Kennwort auf ihren Geräten eingeben.
Synchronisierungszeitraum
Der Zeitraum, für den E-Mails synchronisiert werden. Wenn Sie einen Zeitraum angeben, werden nur E-Mail-Nachrichten innerhalb dieses Zeitraums mit dem Posteingang auf den Geräten synchronisiert.
Synchronisierungsintervall
Der zeitliche Abstand zwischen zwei Synchronisierungsvorgängen.
SSL
Die gesamte Kommunikation erfolgt über SSL (Secure Socket Layer). Wir empfehlen, dieses Kontrollkästchen zu aktivieren.
Inhalte
Die zu synchronisierenden Inhalte.
14.18.4 Konfiguration „WLAN“ (Windows-Mobile-Richtlinie) Mit der Konfiguration „WLAN“ legen Sie Einstellungen für die Verbindung mit WLAN-Netzwerken fest.
163
Sophos Mobile Control
Einstellung/Feld
Beschreibung
SSID
Geben Sie in diesem Feld die ID des WLAN-Netzwerks ein.
Automatisch verbinden
Die Verbindung wird automatisch hergestellt.
Unsichtbares Netzwerk
Das Zielnetzwerk ist nicht offen oder ist unsichtbar.
Sicherheitstyp
Wählen Sie den Sicherheitstyp aus der Liste aus. Wenn Sie WPA-PSK oder WPA2-PSK auswählen, müssen Sie das Kennwort angeben.
Proxy
Wenn Sie Manuell aus der Liste auswählen, müssen Sie einen Server und einen Port angeben.
14.18.5 Konfiguration „App-Einschränkungen“ (Windows-Mobile-Richtlinie) Mit der Konfiguration „App-Einschränkungen“ legen Sie Apps fest, die auf den Geräten erlaubt sind oder blockiert werden.
Einstellung/Feld
Beschreibung
Erlaubte Apps
Enthält eine Liste bestimmter Apps, die vom Benutzer auf dem Gerät installiert und verwendet werden dürfen. Benutzer können keine Apps installieren oder verwenden, die nicht explizit aufgeführt sind. Verwenden Sie Erlaubte Apps, wenn die Apps bekannt sind, die erlaubt werden sollen, und alle anderen Apps blockiert werden sollen.
Unzulässige Apps
Enthält eine Liste bestimmter Apps, die vom Benutzer auf dem Gerät nicht installiert werden dürfen. Benutzer können alle Apps installieren, die nicht explizit aufgeführt sind. Verwenden Sie Unzulässige Apps, wenn die Apps bekannt sind, die blockiert werden sollen, und alle anderen Apps erlaubt werden sollen.
App-Gruppe
Wählen Sie die App-Gruppe aus, welche die Apps enthält, die erlaubt oder blockiert werden sollen. Hinweis: Die App-Gruppe muss zuvor erstellt worden sein. Siehe App-Gruppen (Seite 191).
14.18.6 Konfiguration „Root-Zertifikat“ (Windows-Mobile-Richtlinie) Mit der Konfiguration „Root-Zertifikat“ installieren Sie ein Root-Zertifikat auf Geräten.
164
Administratorhilfe
Navigieren Sie im Feld Datei zu dem relevanten Zertifikat und klicken Sie auf Datei hochladen. Der Name des Zertifikats wird im Feld Zertifikatsname angezeigt. Hinweis: Das hier hochgeladene Zertifikat ist nur für dieses Profil verfügbar. Wenn Sie Zertifikate in anderen Profilen benötigen, müssen Sie diese erneut hochladen.
14.18.7 Konfiguration „SCEP“ (Windows-Mobile-Richtlinie) Mit der Konfiguration „SCEP“ ermöglichen Sie es Geräten, mittels SCEP (Simple Certificate Enrollment Protocol) Zertifikate von einer CA (Certificate Authority) anzufordern.
Einstellung/Feld
Beschreibung
Beschreibung
Eine Beschreibung der Konfiguration.
URL
Die Webadresse des CA-Servers. Verwenden Sie die Variable %_SCEPPROXYURL_%, um auf die Server-URL zu verweisen, die auf der Registerkarte SCEP der Seite Systemeinstellungen konfiguriert ist.
Betreff
Der Name des Zertifikatempfängers (Entity), zum Beispiel eine Person oder ein Gerät. Sie können Platzhalter für Benutzerdaten und Geräteeigenschaften verwenden. Der eingegebene Wert - nach Ersetzung der Platzhalter -, muss ein gültiger Namenswert gemäß X.500-Standard sein. Zum Beispiel: Geben Sie CN=%_USERNAME_% ein, um einen Benutzer zu spezifizieren. Geben Sie CN=%_DEVPROP(serial_number)_% ein, um ein Gerät zu spezifizieren. Einzelheiten zu den verfügbaren Platzhaltern finden Sie in Platzhalter in Profilen und Richtlinien (Seite 75).
Subject Alternative Name
Konfigurieren Sie bei Bedarf einen oder mehrere Werte für den Subject Alternative Name (SAN). Klicken Sie auf Hinzufügen und geben Sie anschließend einen SAN-Typ und einen SAN-Wert ein.
Challenge
Die Webadresse, unter der das Challenge-Kennwort vom SCEP-Server angefordert wird. Verwenden Sie die Variable %_CACHALLENGE_%, um auf die Challenge-URL zu verweisen, die auf der Registerkarte SCEP der Seite Systemeinstellungen konfiguriert ist.
165
Sophos Mobile Control
Einstellung/Feld
Beschreibung
Root-Zertifikat
Das CA-Zertifikat. Wählen Sie das Zertifikat aus der Liste aus. Die Liste enthält alle Zertifikate aus Konfigurationen vom Typ Root-Zertifikat im aktuellen Profil.
Wiederholungen
Die Anzahl an Wiederholungsversuchen, falls der Server mit dem Status Pending antwortet.
Wiederholungsverzögerung
Die Zeit in Sekunden zwischen zwei Wiederholungsversuchen.
Schlüsselgröße
Die Größe des öffentlichen Schlüssels im ausgestellten Zertifikat. Stellen Sie sicher, dass der Wert mit dem Wert übereinstimmt, der auf dem SCEP-Server konfiguriert ist.
Als digitale Signatur verwenden
Wenn Sie dieses Kontrollkästchen aktivieren, kann der öffentliche Schlüssel als digitale Signatur verwendet werden.
Für Verschlüsselung verwenden
Wenn Sie dieses Kontrollkästchen aktivieren, kann der öffentliche Schlüssel zur Datenverschlüsselung verwendet werden.
Hash-Algorithmus
Wählen Sie einen oder mehrere Hash-Algorithmen aus, die vom SCEP-Server unterstützt werden.
14.19 Konfigurationen für Windows-Desktop-Richtlinien Mit einer Windows-Desktop-Richtlinie konfigurieren Sie verschiedene Bereiche von Windows-Desktop-Geräten, wie zum Beispiel Kennwortrichtlinien, Einschränkungen oder WLAN-Einstellungen. Informationen zur Erstellung einer Windows-Desktop-Richtlinie finden Sie in Profil oder Richtlinie erstellen (Seite 72).
14.19.1 Konfiguration „Kennwortrichtlinien“ (Windows-Desktop-Richtlinie) Mit der Konfiguration „Kennwortrichtlinien“ definieren Sie Kennwortregeln für Geräte. Hinweis: Bei Windows-Desktop-Geräten gelten feste Regeln für die Kennwortkomplexität (z.B. Länge, Anzahl von Groß- oder Kleinbuchstaben), die nicht über eine Richtlinie in Sophos Mobile Control festgelegt werden können. Einzelheiten hierzu finden Sie in Komplexitätsregeln für Windows-Desktop-Kennwörter (Seite 74). Hinweis: Kennwortrichtlinien können einem Windows-Desktop-Gerät nicht zugewiesen werden, wenn weitere lokale Benutzer auf dem Gerät eingerichtet sind (zusätzlich zu dem bei Sophos Mobile Control registrierten Benutzer), von denen mindestens einer nicht berechtigt ist, sein Kennwort zu ändern.
166
Administratorhilfe
Einstellung/Feld
Beschreibung
Maximale Anzahl an Fehlversuchen
Die maximale Anzahl fehlgeschlagener Anmeldeversuche, nach der das Gerät zurückgesetzt wird. Geben Sie einen Wert zwischen 1 und 999 ein, oder geben Sie 0 ein, um diese Einschränkung zu deaktivieren.
Inaktivitätszeit in Minuten bis zur Abfrage des Die Zeit (in Minuten), nach der das Gerät gesperrt Kennworts wird, wenn es nicht benutzt wird. Der Benutzer kann das Gerät entsperren. Geben Sie einen Wert zwischen 1 und 999 ein, oder geben Sie 0 ein, um diese Einschränkung zu deaktivieren.
Anzahl der letzten Kennwörter, die nicht benutzt werden dürfen
Die Anzahl alter Kennwörter, die vom System gespeichert werden. Wenn ein Benutzer ein neues Kennwort festlegt, wird es nicht akzeptiert, falls es mit einem bereits benutzten Kennwort übereinstimmt. Geben Sie einen Wert zwischen 1 und 999 ein, oder geben Sie 0 ein, um diese Einschränkung zu deaktivieren.
Gültigkeitsdauer des Kennworts in Tagen
Die Anzahl an Tagen, nach denen Benutzer ihr Kennwort ändern müssen. Geben Sie einen Wert zwischen 1 und 730 ein, oder geben Sie 0 ein, um diese Einschränkung zu deaktivieren.
14.19.2 Konfiguration „Einschränkungen“ (Windows-Desktop-Richtlinie) Mit der Konfiguration „Einschränkungen“ definieren Sie Einschränkungen für Geräte.
Gerät
Einstellung/Feld
Beschreibung
SD-Karte verbieten
Benutzer können nicht auf die SD-Karte zugreifen. Dies betrifft nicht den Zugriff durch Apps.
Manuelles Hinzufügen von Nicht-Microsoft-E-Mail-Konten verbieten
Hinzufügen aller Arten von E-Mail-Konten sowie von Exchange-, Office 365- und Outlook.com-Konten nicht erlauben.
Entwicklerfunktionen verbieten
Der Windows-Entwicklermodus ist deaktiviert.
167
Sophos Mobile Control
Einstellung/Feld
Beschreibung
Kamera verbieten
Die Datenschutz-Einstellung Apps die Verwendung meiner Kamera erlauben ist deaktiviert.
Auto-Ausfüllen in Edge deaktivieren
Die Einstellung Formulareinträge speichern im Webbrowser Edge ist deaktiviert und kann vom Benutzer nicht aktiviert werden. Wenn das Kontrollkästchen deaktiviert ist, ist die Einstellung aktiviert und kann vom Benutzer nicht deaktiviert werden.
Edge-F12-Entwicklertools deaktivieren
Die F12-Entwicklertools im Webbrowser Edge sind nicht verfügbar.
Edge-Popupblocker deaktivieren
Die Einstellung Popups blockieren im Webbrowser Edge ist deaktiviert und kann vom Benutzer nicht aktiviert werden. Wenn das Kontrollkästchen deaktiviert ist, ist die Einstellung aktiviert und kann vom Benutzer nicht deaktiviert werden.
Einstellungen „AutoPlay“ deaktivieren
Die relevanten Bereiche in der Windows-Systemsteuerung sind nicht verfügbar. Einstellungen „Datum und Uhrzeit“ deaktivieren Der Benutzer kann diese Einstellungen nicht ändern, nachdem die Richtlinie dem Gerät zugewiesen wurde. Einstellungen „Sprachen“ deaktivieren Hinweis: Einstellungen „AutoPlay“ deaktivieren wirkt sich nicht auf angeschlossene Einstellungen „Netzbetrieb und Energiesparen“ Geräte wie zum Beispiel Mobiltelefone aus. deaktivieren Einstellungen „Region“ deaktivieren Einstellungen „Anmeldeoptionen“ deaktivieren Einstellungen „VPN“ deaktivieren Einstellungen „Arbeitsplatzzugriff“ deaktivieren Einstellungen „Konten“ deaktivieren Telemetrie
Wählen Sie aus, ob das Gerät Diagnose- und Telemetriedaten senden kann: Erlaubt Erlaubt, außer für sekundäre Datenanforderungen Nicht erlaubt
168
Administratorhilfe
Verschiedenes
Einstellung/Feld
Beschreibung
Cortana verbieten
Cortana ist deaktiviert.
„Einstellungen synchronisieren“ verbieten
Geräteeinstellungen können nicht mit anderen Windows-Geräten synchronisiert werden.
Windows-Tipps deaktivieren
Die Windows-Einstellung Tipps zu Windows anzeigen ist deaktiviert und nicht verfügbar.
WLAN
Einstellung/Feld
Beschreibung
Tethering verbieten
ICS (Internet Connection Sharing) ist deaktiviert.
WLAN-Optimierung (Hotspot-Autoverbindung) Das Gerät verbindet sich nicht automatisch mit verbieten WLAN-Hotspots.
Konnektivität
Einstellung/Feld
Beschreibung
Bluetooth verbieten
Bluetooth ist deaktiviert.
Sicherheit und Privatsphäre
Einstellung/Feld
Beschreibung
Standortbestimmung bei der Suche verbieten Für die Suche werden keine Standortinformationen verwendet.
169
Sophos Mobile Control
Deregistrierung
Einstellung/Feld
Beschreibung
Manuelle MDM-Deregistrierung verbieten
Benutzer können das Arbeitsplatzkonto nicht löschen.
14.19.3 Konfiguration „Exchange ActiveSync“ (Windows-Desktop-Richtlinie) Mit der Konfiguration „Exchange ActiveSync“ definieren Sie Benutzereinstellungen für Ihren Microsoft Exchange Server. Wichtig: Wenn Sie mehrere Exchange-ActiveSync-Konten einrichten, können die Geräte möglicherweise nur E-Mails von einem dieser Konten abrufen. Dies passiert typischerweise, wenn die Konten auf unterschiedlichen ActiveSync-Servern liegen und auf diesen Servern unterschiedliche Postfachrichtlinien definiert sind. Da Windows-Desktop-Geräte nur eine einzelne Postfachrichtlinie erzwingen können, schlägt die Verbindung zu Konten fehl, die eine abweichende Richtlinie verwenden.
Einstellung/Feld
Beschreibung
Kontoname
Der Kontoname.
Exchange-ActiveSync-Host
Die Adresse des Microsoft Exchange Servers. Hinweis: Wenn Sie den SMC-EAS-Proxy verwenden, geben Sie die URL des SMC-Proxy-Servers ein.
Domäne
Die Domäne für dieses Konto.
Benutzer
Der Benutzername für dieses Konto. Wenn Sie die Variable %_USERNAME_% verwenden, wird diese durch den jeweiligen Benutzernamen ersetzt.
E-Mail-Adresse
Die E-Mail-Adresse des Kontos. Wenn Sie die Variable %_EMAILADDRESS_% verwenden, wird diese durch die jeweilige E-Mail-Adresse ersetzt.
Kennwort
Das Kennwort für dieses Konto. Wenn Sie dieses Feld leer lassen, müssen Benutzer das Kennwort auf ihren Geräten eingeben.
170
Administratorhilfe
Einstellung/Feld
Beschreibung
Synchronisierungszeitraum
Der Zeitraum, für den E-Mails synchronisiert werden. Wenn Sie einen Zeitraum angeben, werden nur E-Mail-Nachrichten innerhalb dieses Zeitraums mit dem Posteingang auf den Geräten synchronisiert.
Synchronisierungsintervall
Der zeitliche Abstand zwischen zwei Synchronisierungsvorgängen.
SSL
Die gesamte Kommunikation erfolgt über SSL (Secure Socket Layer). Wir empfehlen, dieses Kontrollkästchen zu aktivieren.
Inhalte
Die zu synchronisierenden Inhalte.
14.19.4 Konfiguration „WLAN“ (Windows-Desktop-Richtlinie) Einstellung/Feld
Beschreibung
SSID
Geben Sie in diesem Feld die ID des WLAN-Netzwerks ein.
Automatisch verbinden
Die Verbindung wird automatisch hergestellt.
Unsichtbares Netzwerk
Das Zielnetzwerk ist nicht offen oder ist unsichtbar.
14.19.5 Konfiguration „Root-Zertifikat“ (Windows-Desktop-Richtlinie) Mit der Konfiguration „Root-Zertifikat“ installieren Sie ein Root-Zertifikat auf Geräten. Navigieren Sie im Feld Datei zu dem relevanten Zertifikat und klicken Sie auf Datei hochladen. Der Name des Zertifikats wird im Feld Zertifikatsname angezeigt. Hinweis: Das hier hochgeladene Zertifikat ist nur für dieses Profil verfügbar. Wenn Sie Zertifikate in anderen Profilen benötigen, müssen Sie diese erneut hochladen.
171
Sophos Mobile Control
15 Auftragspakete Mit Auftragspaketen können Sie mehrere Aufträge in einer Transaktion bündeln. Somit können Sie alle Aufträge bündeln, die für die Registrierung und Konfiguration eines Gerätes notwendig sind: ■
Gerät registrieren.
■
Erforderliche Richtlinien anwenden.
■
Erforderliche Apps installieren (zum Beispiel verwaltete Apps bei iOS-Geräten).
■
Erforderliche Profile anwenden.
Sie können auch Wipe-Befehle in Auftragspakete einbeziehen, um Geräte, die gegen Compliance-Regeln verstoßen (zum Beispiel wegen Jailbreak oder Root-Zugriff), auf den Auslieferungszustand zurückzusetzen. Weitere Informationen finden Sie in Compliance-Richtlinien (Seite 43).
15.1 Auftragspaket erstellen 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Auftragspakete und wählen Sie Android oder Apple iOS aus. 2. Klicken Sie auf der Seite Auftragspakete auf Auftragspaket erstellen. Die Seite Auftragspaket bearbeiten wird angezeigt. 3. Geben Sie in den jeweiligen Feldern einen Namen und, optional, eine Version und eine Beschreibung für das neue Auftragspaket ein. 4. Wenn Sie die Option Auswählbar als Compliance-Aktion auswählen, kann das Auftragspaket auf ein Mobilgerät übertragen werden, wenn gegen eine Compliance-Regel verstoßen wird. Siehe Compliance-Richtlinien (Seite 43). Hinweis: Diese Option ist deaktiviert, wenn Sie ein vorhandenes Auftragspaket bearbeiten, das bereits als Compliance-Aktion verwendet wird. 5. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Auftragspakete und wählen Sie Android oder Apple iOS aus. 6. Klicken Sie auf Auftrag erstellen. 7. Wählen Sie den Auftragstyp und klicken Sie auf Weiter. Die nächste Ansicht hängt vom gewählten Auftragstyp ab. In jeder Ansicht können Sie eigene aussagekräftige Auftragsnamen angeben. Diese Auftragsnamen werden während der Installation im Self Service Portal angezeigt. 8. Folgen Sie den Schritten im Assistent, um den gewünschten Auftrag hinzuzufügen. Klicken Sie auf Anwenden, um den Auftrag zu erstellen. Eine Beschreibung der verfügbaren Auftragstypen finden Sie in Verfügbare Auftragstypen für Android (Seite 173) und Verfügbare Auftragstypen für iOS (Seite 176). 9. Optional: Fügen Sie weitere Aufgaben zu dem Auftragspaket hinzu. Tipp: Mit den Sortier-Pfeilsymbolen auf der rechten Seite der Aufträge Liste können Sie die Installationsreihenfolge für die Aufträge festlegen.
172
Administratorhilfe
10. Wenn Sie alle erforderlichen Aufträge zum Auftragspaket hinzugefügt haben, klicken Sie auf der Seite Auftragspaket bearbeiten auf Speichern. Das Auftragspaket steht für die Übertragung zur Verfügung. Es wird auf der Seite Auftragspakete angezeigt. Hinweis: Wenn Sie ein vorhandenes Auftragspaket bearbeiten, das als Einrichtungspaket in den Self Service Portal-Einstellungen verwendet wird, kann der Einrichtungsauftrag nicht gelöscht werden. Siehe Self-Service-Portal-Einstellungen konfigurieren (Seite 27).
15.2 Verfügbare Auftragstypen für Android Für Android-Auftragspakete sind die folgenden Auftragstypen verfügbar:
Registrieren Wenn der Auftrag an Geräte übertragen wird, wird eine Registrierungs-E-Mail an die E-Mail-Adressen gesendet, die für die einzelnen Geräte konfiguriert sind. Benutzer müssen die in der E-Mail beschriebenen Schritte ausführen, um ihr Gerät zu registrieren. Wenn der Auftrag an ein Gerät übertragen wird, das bereits registriert ist, wird keine Registrierungs-E-Mail gesendet.
Profil installieren oder Richtlinie zuweisen Wählen Sie aus der Liste der verfügbaren Profile und Richtlinien ein Profil oder eine Richtlinie aus. Informationen, wie Sie Profile oder Richtlinien zu dieser Liste hinzufügen, finden Sie in Profile und Richtlinien (Seite 72). Wenn der Auftrag an Geräte übertragen wird, wird das Profil stillschweigend installiert, d.h. ohne Benutzerinteraktion, bzw. die Richtlinie wird stillschweigend zugewiesen. Sie können einem Auftragspaket mehrere Aufträge dieses Typs hinzufügen.
Profil entfernen Wählen Sie unter Quelle auswählen den Eintrag Profile und wählen Sie anschließend ein Profil aus der Liste aus. Neben den Profilen, die auf dem Sophos Mobile Control Server verfügbar sind, werden in der Liste auch Profile angezeigt, die auf einem verwalteten Gerät in Verwendung sind. Sie können auch Profile entfernen, die nicht in der Liste enthalten sind. Wählen Sie Kennung aus und geben Sie anschließend die Kennung eines Profils ein, das Sie von Geräten entfernen wollen. Wenn der Auftrag an Geräte übertragen wird, wird das Profil stillschweigend entfernt. Sie können einem Auftragspaket mehrere Aufträge dieses Typs hinzufügen. Hinweis: Eine Sophos-Container-Richtlinie oder eine Mobile-Security-Richtlinie kann nicht auf diese Weise von Geräten entfernt werden. Verwenden Sie stattdessen die Geräteaktion Sophos-Container deregistrieren bzw. SMSec deregistrieren. Dadurch wird auch die jeweils zugehörige Richtlinie vom Gerät entfernt.
173
Sophos Mobile Control
App installieren Wählen Sie eine App aus der Liste der verfügbaren Apps aus. Informationen, wie Sie Apps zu dieser Liste hinzufügen, finden Sie in App hinzufügen (Seite 180). Wenn der Auftrag an Geräte übertragen wird, erhalten die Benutzer auf ihren Geräten eine Benachrichtigung darüber, dass Sophos Mobile Control eine App installieren möchte. Benutzer können auf OK tippen, um die Installation durchzuführen, oder auf Nicht jetzt, um nach Ablauf einer kurzen Zeitspanne erneut aufgefordert zu werden. Falls Benutzer auf OK tippen, aber dann im nächsten Schritt auf Abbrechen tippen, schlägt der Auftrag fehl. Falls die App bereits auf einem Gerät installiert ist, das den Auftrag erhält, wird sie aktualisiert. Sie können einem Auftragspaket mehrere Aufträge dieses Typs hinzufügen.
Berufliche App installieren Dieser Auftragstyp ist verfügbar, wenn Sie Android for Work für den Kunden konfiguriert haben. Wählen Sie eine App aus der Liste der verfügbaren beruflichen Apps aus. Informationen, wie Sie Apps zu dieser Liste hinzufügen, finden Sie in Berufliche App bearbeiten (Seite 203). Der Installationsauftrag wird an Google gesendet. Die eigentliche Installation der App auf dem Gerät wird von Google verwaltet. Auf der Seite Auftragsstatus wird der Auftragsstatus als erfolgreich angezeigt, sobald er an Google gesendet wurde. Sie können einem Auftragspaket mehrere Aufträge dieses Typs hinzufügen. Alternativ können Sie berufliche Apps auch über die Seite Apps für Android for Work installieren. Siehe Berufliche App installieren (Seite 206). Informationen zur Deinstallation von beruflichen Apps von Geräten finden Sie in Berufliche App deinstallieren (Seite 206).
App entfernen Wählen Sie in Quelle auswählen den Eintrag Apps, um aus der Liste der verfügbaren Apps eine App auszuwählen, die entfernt werden soll. Neben den Apps, die auf dem Sophos Mobile Control Server verfügbar sind, werden in der Liste auch Apps angezeigt, die auf einem verwalteten Gerät in Verwendung sind ausgenommen Android-System-Apps und vom Gerätehersteller vorinstallierte Apps. Sie können auch Apps entfernen, die nicht in der Liste enthalten sind. Wählen Sie Kennung aus und geben Sie anschließend den Paketnamen der App ein, die Sie von Geräten entfernen wollen. Wenn Sie Knox-Container-App auswählen, wird die App aus dem Samsung-Knox-Container entfernt. Wenn der Auftrag an Geräte übertragen wird, erhalten die Benutzer auf ihren Geräten eine Benachrichtigung darüber, dass Sophos Mobile Control eine App entfernen möchte. Benutzer können auf OK tippen, um die Installation durchzuführen, oder auf Nicht jetzt, um nach Ablauf einer kurzen Zeitspanne erneut aufgefordert zu werden. Falls Benutzer auf OK tippen, aber dann im nächsten Schritt auf Abbrechen tippen, schlägt der Auftrag fehl.
174
Administratorhilfe
Falls die App nicht auf einem Gerät installiert ist, das den Auftrag erhält, wird keine Benachrichtigung angezeigt. Sie können einem Auftragspaket mehrere Aufträge dieses Typs hinzufügen.
Nachricht senden Geben Sie einen Text ein, der auf den Geräten angezeigt werden soll. Wenn der Auftrag an Geräte übertragen wird, wird der Hinweistext in einem Benachrichtigungsfenster angezeigt. Benutzer können frühere Nachrichten auf der Seite Nachrichten der App „Sophos Mobile Control“ anzeigen. Sie können einem Auftragspaket mehrere Aufträge dieses Typs hinzufügen.
Deregistrieren Wenn der Auftrag an Geräte übertragen wird, werden diese von Sophos Mobile Control deregistriert. Siehe Geräte deregistrieren (Seite 57). Die Gerätebenutzer müssen der Aktion nicht zustimmen. Sie können in einem Auftragspaket einen Auftrag Deregistrieren nicht zusammen mit einem Auftrag Zurücksetzen verwenden.
Zurücksetzen Wenn der Auftrag an Geräte übertragen wird, werden diese auf den Auslieferungszustand zurückgesetzt. Die Gerätebenutzer müssen der Aktion nicht zustimmen. Wichtig: Verwenden Sie diesen Auftragstyp mit Bedacht. Auf den Geräten, die den Auftrag erhalten, werden sämtliche Daten ohne Benutzerzustimmung gelöscht. Hinweis: Wenn ein Auftrag vom Typ Zurücksetzen an ein Gerät übertragen wird, das bei Android for Work registriert ist, werden nur das Arbeitsprofil und alle beruflichen Apps entfernt. Sie können in einem Auftragspaket einen Auftrag Deregistrieren nicht zusammen mit einem Auftrag Zurücksetzen verwenden.
Knox-Container: sperren Wenn der Auftrag an ein Samsung-Gerät übertragen wird, das Samsung Knox unterstützt, wird der Knox-Container gesperrt. Wenn der Auftrag an ein Gerät übertragen wird, das Samsung Knox nicht unterstützt, schlägt der Auftrag fehl.
Knox-Container: entsperren Wenn der Auftrag an ein Samsung-Gerät übertragen wird, das Samsung Knox unterstützt, wird der Knox-Container entsperrt. Wenn der Auftrag an ein Gerät übertragen wird, das Samsung Knox nicht unterstützt, schlägt der Auftrag fehl.
175
Sophos Mobile Control
Knox-Container: Kennwort zurücksetzen Wenn der Auftrag an ein Samsung-Gerät übertragen wird, das Samsung Knox unterstützt, wird das Knox-Container-Kennwort zurückgesetzt. Benutzer müssen ein neues Kennwort festlegen, um den Knox-Container zu entsperren. Wenn der Auftrag an ein Gerät übertragen wird, das Samsung Knox nicht unterstützt, schlägt der Auftrag fehl.
Knox-Container: entfernen Wenn der Auftrag an ein Samsung-Gerät übertragen wird, das Samsung Knox unterstützt, wird der Knox-Container (inklusive aller zugehörigen Einstellungen) entfernt. Wenn der Auftrag an ein Gerät übertragen wird, das Samsung Knox nicht unterstützt, schlägt der Auftrag fehl.
SMSec-Scan auslösen Wenn der Auftrag an Geräte übertragen wird, wird die App „Sophos Mobile Security“ stillschweigend angewiesen, das Gerät auf Malware und PUAs (Potentially Unwanted Apps) zu scannen. Dieser Auftrag kann nur ausgeführt werden, wenn Sophos Mobile Security von Sophos Mobile Control verwaltet wird, d.h., wenn dem Gerät eine Mobile-Security-Richtlinie zugewiesen ist. Siehe Sophos Mobile Security verwalten (Seite 212). Falls der Auftrag an ein Gerät übertragen wird, auf dem Sophos Mobile Security nicht von Sophos Mobile Control verwaltet wird, d.h., wenn dem Gerät keine Mobile-Security-Richtlinie zugewiesen ist, verbleibt der Auftrag im Status Wiederholung geplant.
15.3 Verfügbare Auftragstypen für iOS Für iOS-Auftragspakete sind die folgenden Auftragstypen verfügbar:
Registrieren Wenn der Auftrag an Geräte übertragen wird, wird eine Registrierungs-E-Mail an die E-Mail-Adressen gesendet, die für die einzelnen Geräte konfiguriert sind. Benutzer müssen die in der E-Mail beschriebenen Schritte ausführen, um ihr Gerät zu registrieren. Wenn der Auftrag an ein Gerät übertragen wird, das bereits registriert ist, wird keine Registrierungs-E-Mail gesendet.
Profil installieren oder Richtlinie zuweisen Wählen Sie aus der Liste der verfügbaren Profile und Richtlinien ein Profil oder eine Richtlinie aus. Informationen, wie Sie Profile oder Richtlinien zu dieser Liste hinzufügen, finden Sie in Profile und Richtlinien (Seite 72). Wenn der Auftrag an Geräte übertragen wird, wird das Profil stillschweigend installiert, d.h. ohne Benutzerinteraktion, bzw. die Richtlinie wird stillschweigend zugewiesen. Sie können einem Auftragspaket mehrere Aufträge dieses Typs hinzufügen.
176
Administratorhilfe
Profil entfernen Wählen Sie unter Quelle auswählen den Eintrag Profile und wählen Sie anschließend ein Profil aus der Liste aus. Neben den Profilen, die auf dem Sophos Mobile Control Server verfügbar sind, werden in der Liste auch Profile angezeigt, die auf einem verwalteten Gerät in Verwendung sind. Sie können auch Profile entfernen, die nicht in der Liste enthalten sind. Wählen Sie Kennung aus und geben Sie anschließend die Kennung eines Profils ein, das Sie von Geräten entfernen wollen. Wenn der Auftrag an Geräte übertragen wird, wird das Profil stillschweigend entfernt. Sie können einem Auftragspaket mehrere Aufträge dieses Typs hinzufügen. Hinweis: Eine Sophos-Container-Richtlinie kann nicht auf diese Weise von Geräten entfernt werden. Verwenden Sie stattdessen die Geräteaktion Sophos-Container deregistrieren. Dadurch wird auch die zugehörige Richtlinie vom Gerät entfernt.
Provisionierungsprofil installieren Wählen Sie ein App-Provisionierungsprofil aus der Liste der verfügbaren Profile aus. Informationen, wie Sie Profile zu dieser Liste hinzufügen, finden Sie in Provisionierungsprofile für iOS-Apps importieren (Seite 74). Wenn der Auftrag an Geräte übertragen wird, wird das Provisionierungsprofil stillschweigend installiert.
Provisionierungsprofil entfernen Wählen Sie unter Quelle auswählen den Eintrag Profile und wählen Sie anschließend ein Provisionierungsprofil aus der Liste aus. Neben den Profilen, die auf dem Sophos Mobile Control Server verfügbar sind, werden in der Liste auch Profile angezeigt, die auf einem verwalteten Gerät in Verwendung sind. Sie können auch Provisionierungsprofile entfernen, die nicht in der Liste enthalten sind. Wählen Sie Kennung aus und geben Sie anschließend die Kennung eines Profils ein, das Sie von Geräten entfernen wollen. Wenn der Auftrag an Geräte übertragen wird, wird das Provisionierungsprofil stillschweigend entfernt.
App installieren Wählen Sie eine App aus der Liste der verfügbaren Apps aus. Informationen, wie Sie Apps zu dieser Liste hinzufügen, finden Sie in App hinzufügen (Seite 180). Wenn der Auftrag an Geräte übertragen wird, erhalten die Benutzer auf ihren Geräten eine Benachrichtigung darüber, dass Sophos Mobile Control eine App installieren möchte. Benutzer können auf Installieren tippen, um die Installation durchzuführen, oder auf Abbrechen, um die Installation abzulehnen. Falls Benutzer die Installation ablehnen, schlägt der Auftrag fehl. Falls die App bereits auf einem Gerät installiert ist, das den Auftrag erhält, wird sie aktualisiert. Sie können einem Auftragspaket mehrere Aufträge dieses Typs hinzufügen.
177
Sophos Mobile Control
App entfernen Wählen Sie in Quelle auswählen den Eintrag Apps, um aus der Liste der verfügbaren Apps eine App auszuwählen, die entfernt werden soll. Neben den Apps, die auf dem Sophos Mobile Control Server verfügbar sind, werden in der Liste auch Apps angezeigt, die auf einem verwalteten Gerät in Verwendung sind ausgenommen iOS-System-Apps. Sie können auch Apps entfernen, die nicht in der Liste enthalten sind. Wählen Sie Kennung aus und geben Sie anschließend die Bundle-ID der App ein, die Sie von Geräten entfernen wollen. Wenn der Auftrag an Geräte übertragen wird, wird die App stillschweigend entfernt. Sie können einem Auftragspaket mehrere Aufträge dieses Typs hinzufügen.
Nachricht senden Geben Sie einen Text ein, der auf den Geräten angezeigt werden soll. Wenn der Auftrag an Geräte übertragen wird, wird der Hinweistext in einem Benachrichtigungsfenster angezeigt. Benutzer können frühere Nachrichten auf der Seite Nachrichten der App „Sophos Mobile Control“ anzeigen. Sie können einem Auftragspaket mehrere Aufträge dieses Typs hinzufügen.
Deregistrieren Wenn der Auftrag an Geräte übertragen wird, werden diese von Sophos Mobile Control deregistriert. Siehe Geräte deregistrieren (Seite 57). Die Gerätebenutzer müssen der Aktion nicht zustimmen. Sie können in einem Auftragspaket einen Auftrag Deregistrieren nicht zusammen mit einem Auftrag Zurücksetzen verwenden.
Zurücksetzen Wenn der Auftrag an Geräte übertragen wird, werden diese auf den Auslieferungszustand zurückgesetzt. Die Gerätebenutzer müssen der Aktion nicht zustimmen. Wichtig: Verwenden Sie diesen Auftragstyp mit Bedacht. Auf den Geräten, die den Auftrag erhalten, werden sämtliche Daten ohne Benutzerzustimmung gelöscht. Sie können in einem Auftragspaket einen Auftrag Deregistrieren nicht zusammen mit einem Auftrag Zurücksetzen verwenden.
15.4 Auftragspakete duplizieren Da das Erstellen eines Auftragspakets zeitaufwändig sein kann, können Sie bereits vorhandene Auftragspakete duplizieren. Diese Funktion ist hilfreich, wenn mehrere umfangreiche Auftragspakete mit ähnlichen Aufträgen erforderlich sind. Es müssen dann nur wenige Aufträge gelöscht oder hinzugefügt werden.
178
Administratorhilfe
Hinweis: Sie können Auftragspakete nur dann duplizieren, wenn sie nicht gleichzeitig bearbeitet werden. Die Kopien werden mit „Copy of“ und dem Namen des Originalprofils benannt. Sie können die Namen der Pakete nach Ihren Anforderungen ändern. 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Auftragspakete und wählen Sie Android oder Apple iOS aus. Die Seite Auftragspakete wird angezeigt. 2. Klicken Sie auf das blaue Dreieck neben dem Auftragspaket, das Sie duplizieren möchten, und dann auf Duplizieren. Das Auftragspaket wird dupliziert und auf der Seite Auftragspakete angezeigt. Sie können das duplizierte Auftragspaket nun bearbeiten. Um das Auftragspaket zu bearbeiten, klicken Sie auf das daneben stehende blaue Dreieck und dann auf Bearbeiten.
15.5 Auftragspakete an einzelne Geräte oder Gerätegruppen übertragen 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Auftragspakete und wählen Sie Android oder Apple iOS aus. Die Seite Auftragspakete wird angezeigt. 2. Klicken Sie auf das blaue Dreieck neben dem betreffenden Auftrag und dann auf Übertragen. Die Seite Geräte auswählen wird angezeigt. 3. Auf dieser Seite können Sie folgende Aufgaben durchführen: ■ ■
Wählen Sie einzelne Geräte aus, an die das Auftragspaket übertragen werden soll. Klicken Sie auf Gerätegruppen auswählen, um die Seite Gerätegruppen auswählen zu öffnen. Wählen Sie dann eine oder mehrere Gerätegruppen für die Übertragung des Auftragspakets aus.
4. Wenn Sie Ihre Auswahl getroffen haben, klicken Sie auf Weiter. Die Seite Ausführungszeit wählen wird angezeigt. 5. Wählen Sie unter Datum die Option Sofort oder geben Sie ein Datum und eine Uhrzeit für die Ausführung dieses Auftrags an. 6. Klicken Sie auf Fertigstellen. Die Auftragsstatus Ansicht wird angezeigt. Das Auftragspaket wird zum angegebenen Zeitpunkt auf die ausgewählten Geräte übertragen.
179
Sophos Mobile Control
16 Apps Sie konfigurieren Apps in Sophos Mobile Control, damit diese von der Sophos Mobile Control Konsole aus (Administrator-initiiert) oder von der App „Sophos Mobile Control“ aus (Benutzer-initiiert) installiert werden können. Sie haben folgende Möglichkeiten, eine App in Sophos Mobile Control verfügbar machen: ■
Sie laden das App-Paket auf den Sophos Mobile Control Server hoch. Diese Option ist nicht für Windows-Mobile-Apps verfügbar.
■
Sie geben den Link zu der App im jeweiligen App Store an.
Eine Beschreibung beider Verfahren finden Sie im Abschnitt App hinzufügen (Seite 180). Um eine App auf einem Gerät zu installieren, erstellen Sie ein Auftragspaket, das einen Auftrag App installieren enthält. Für Android- und iOS-Geräte können Sie ein solches Auftragspaket direkt auf der Seite Apps erstellen. Siehe App installieren (Seite 182). Hinweis: Damit App-Pakete, die auf dem Sophos Mobile Control Server gespeichert sind, installiert werden können, im Gegensatz zur Installation aus dem jeweiligen App-Store, müssen die folgenden Bedingungen erfüllt sein: ■
Android: Auf den Geräten muss die Android-Sicherheitseinstellung Unbekannte Herkunft aktiviert sein. Falls Unbekannte Herkunft deaktiviert ist während Sie versuchen, eine APK-Datei zu installieren, erhalten die Benutzer von der App „Sophos Mobile Control“ einen Hinweis, wie sie diese Einstellung aktivieren können. Diese Einschränkung gilt nicht für Geräte mit LG GATE, Samsung Knox oder Sony Enterprise API.
■
iOS: Die App-Installation über IPA-Dateien ist nur für selbstentwickelte Apps möglich. Wenn die App fertiggestellt ist und verteilt werden kann, müssen Sie ein Provisionierungsprofil für die App erstellen dieses auf den Geräten verfügbar machen, entweder, indem Sie es vorab separat installieren, oder, indem Sie es in die IPA-Datei der App integrieren. Sie können Sophos Mobile Control verwenden, um Provisionierungsprofile an Ihre iOS-Geräte zu verteilen. Siehe Provisionierungsprofile für iOS-Apps importieren (Seite 74). Details zu Provisionierungsprofilen finden Sie in der iOS Developer Library.
16.1 App hinzufügen Sie stellen eine App für die Installation zur Verfügung, indem Sie entweder das App-Paket hochladen oder den App-Link im jeweiligen App Store angeben. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Apps und wählen Sie anschließend die Plattform aus, für die Sie eine App hinzufügen wollen. 2. Klicken Sie auf der Seite Apps auf App hinzufügen und wählen Sie dann folgendes aus: ■
■
Android-Paket oder iOS-Paket, um die App durch Hochladen der APK-Datei (für Android) oder der IPA-Datei (für iOS) hinzuzufügen. Android-Link, iOS-Link oder Windows Mobile-Link, um die App durch Angabe des Links im jeweiligen App Store hinzuzufügen.
Auf der nächsten Seite konfigurieren Sie die App-Details. Hinweis: Für iOS-Links können Sie auf In iTunes suchen klicken, um in der iTunes-Datenbank nach der App zu suchen. Wenn Sie in den Suchergebnissen eine App
180
Administratorhilfe
auswählen, werden die relevanten Felder auf der Seite iOS-Link bearbeiten mit den entsprechenden Werten aus iTunes ausgefüllt. 3. Geben Sie einen Name für die neue App ein. 4. Optional: Geben Sie für App-Pakete eine Version ein, die im Enterprise App Store angezeigt wird. Für App-Links für als Version Google Play Store bzw. App Store angezeigt. Im Enterprise App Store wird die jeweilige Versionsnummer aus dem App-Store angezeigt. 5. Optional: Geben Sie im Feld Kennung die interne App-Kennung ein. Lassen Sie dieses Feld leer, falls Sie die genaue App-Kennung nicht kennen. In den meisten Fällen kann Sophos Mobile Control den Wert aus der App ermitteln und füllt dieses Feld automatisch aus. 6. Optional: Geben Sie im Feld App-Kategorie eine Kategorie ein, zum Beispiel Empfohlen. Wen Sie die App, wie im nächsten Schritt beschrieben, im Enterprise App Store verfügbar machen, wird die App in einem Abschnitt mit diesem Titel aufgeführt. 7. Sie können die App im Enterprise App Store verfügbar machen, damit die Installation vom Benutzer initiiert werden kann. Klicken Sie neben Verfügbar für Gerätegruppen auf Anzeigen und wählen Sie eine oder mehrere Gerätegruppen aus, für welche die App im Enterprise App Store aufgeführt wird. 8. Wenn Sie für iOS-Geräte SMC-verwaltete Installation auswählen, wird die App als verwaltete App installiert. Einige Einstellungen in Geräteprofilen sind nur für verwaltete Apps verfügbar. Hinweis: Die Einstellung SMC-verwaltete Installation beeinflusst nur Apps, die vom Benutzer über den Enterprise App Store installiert werden. Apps, die Sie von der Sophos Mobile Control Konsole aus installieren, sind immer verwaltet. Informationen zu verwalteten Apps finden Sie in Verwaltete iOS-Apps (Seite 183). 9. Optional: Geben Sie im Feld Beschreibung eine Beschreibung ein, die im Enterprise App Store angezeigt wird. Hinweis: Innerhalb Ihres Beschreibungstextes können Sie den Platzhalter %_appstoretext_% verwenden. Im Enterprise App Store wird dann die jeweilige App-Beschreibung aus Google Play oder dem App Store angezeigt. 10. Klicken Sie neben Betriebssysteme auf Anzeigen und wählen Sie die Betriebssystemversionen aus, für welche die App aufgeführt wird. 11. Wenn Sie für Samsung-Knox-Geräte In Knox-Container installieren auswählen, wird die App im Knox-Container installiert. Diese Option ist nur verfügbar, wenn auf der Seite Systemeinstellungen ein Samsung-Knox-Premium-Lizenzschlüssel konfiguriert ist. 12. Konfigurieren Sie die App-Quelle. ■
Für App-Links geben Sie im Feld Link die URL der App im jeweiligen App Store ein. Um die URL zu bestimmen, klicken Sie auf den Link unterhalb des Feldes Link, um den App Store in einer neuen Browser-Registerkarte zu öffnen, und navigieren Sie zu der gewünschten App. Kopieren Sie anschließend die URL aus der Adresszeile in das Feld Link.
181
Sophos Mobile Control
■
Für App-Pakete klicken Sie auf Datei hochladen, um die App auf den Sophos Mobile Control Server hochzuladen. Navigieren Sie zu der APK-Datei (für Android) oder der IPA-Datei (für iOS) und klicken Sie auf Öffnen. Hinweis: Die Dateigröße des Pakets darf einen festgelegten Wert nicht übersteigen. Bei lokalen Installation wird dieser Wert von Ihrem Superadministrator festgelegt. Bei Sophos Mobile Control as a Service beträgt der Wert 100 MB pro Paket.
13. Nachdem Sie die App-Details konfiguriert haben, klicken Sie auf Speichern, um die App-Einstellungen zu speichern und auf die Seite Apps zurückzukehren. Die App steht für die Installation zur Verfügung. Sie wird auf der Seite Apps angezeigt. Falls Sie das Feld Verfügbar für Gerätegruppen konfiguriert haben, wird die App auch im Enterprise App Store der App „Sophos Mobile Control“ angezeigt und kann von dort von den Benutzern installiert werden. Der Installationsvorgang läuft ohne oder nur mit sehr geringer Benutzerinteraktion.
16.2 App installieren Hinweis: Dieser Abschnitt gilt nur für Android- und iOS-Geräte. Eine App, die Sie wie in App hinzufügen (Seite 180) beschrieben zu Sophos Mobile Control hinzugefügt haben, können Sie manuell auf ausgewählten Geräten oder Gerätegruppen installieren. 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Apps und klicken Sie anschließend auf Android oder Apple iOS. 2. Klicken Sie auf der Seite Apps auf das blaue Dreieck neben der gewünschten App und dann auf Installieren. 3. Wählen Sie die Geräte aus, auf denen Sie die App installieren wollen. Gehen Sie auf eine der folgenden Weisen vor: ■ ■
Wählen Sie einzelne Geräte aus. Klicken Sie auf Gerätegruppen auswählen und wählen Sie anschließend eine oder mehrere Gerätegruppen aus.
Wenn Sie fertig sind, klicken Sie auf Weiter. 4. Geben Sie auf der Seite Ausführungszeit wählen den Zeitpunkt an, zu dem die App installiert wird: ■ ■
Für eine sofortige Ausführung wählen Sie Sofort aus. Für eine geplante Ausführung wählen Sie Datum aus und geben Sie anschließend Datum und Uhrzeit ein.
5. Klicken Sie auf Fertigstellen. Die ausgewählte App wird zum festgelegten Zeitpunkt auf den ausgewählten Geräten installiert. Auf betreuten (supervised) iOS-Geräten und auf Android-Geräten, auf denen die App „Sophos Samsung Plugin“ installiert ist, werden Apps stillschweigend, d.h. ohne Benutzer-Interaktion, installiert.
16.3 App deinstallieren Hinweis: Dieser Abschnitt gilt nur für Android- und iOS-Geräte.
182
Administratorhilfe
Eine App, die Sie wie in App hinzufügen (Seite 180) beschrieben zu Sophos Mobile Control hinzugefügt haben, können Sie manuell von ausgewählten Geräten oder Gerätegruppen deinstallieren. 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Apps und klicken Sie anschließend auf Android oder Apple iOS. 2. Klicken Sie auf der Seite Apps auf Deinstallieren. 3. Wählen Sie die Geräte aus, von denen Sie die App deinstallieren wollen. Gehen Sie auf eine der folgenden Weisen vor: ■ ■
Wählen Sie einzelne Geräte aus. Klicken Sie auf Gerätegruppen auswählen und wählen Sie anschließend eine oder mehrere Gerätegruppen aus.
Wenn Sie fertig sind, klicken Sie auf Weiter. 4. Wählen Sie auf der Seite App auswählen die gewünschte App aus. 5. Geben Sie auf der Seite Ausführungszeit wählen den Zeitpunkt an, zu dem die App deinstalliert wird: ■ ■
Für eine sofortige Ausführung wählen Sie Sofort aus. Für eine geplante Ausführung wählen Sie Datum aus und geben Sie anschließend Datum und Uhrzeit ein.
6. Klicken Sie auf Fertigstellen. Die ausgewählte App wird zum festgelegten Zeitpunkt von den ausgewählten Geräten deinstalliert. Auf betreuten (supervised) iOS-Geräten werden verwaltete Apps stillschweigend, d.h. ohne Benutzer-Interaktion, deinstalliert. Tipp: Alternativ können Sie mit der folgenden Methode eine App von einem einzelnen Gerät deinstallieren: Öffnen Sie die Seite Gerät anzeigen für das gewünschte Gerät, wechseln Sie auf die Registerkarte Installierte Apps und klicken Sie auf das Mülleimer-Symbol neben dem App-Namen.
16.4 Verwaltete iOS-Apps Wenn Sie iOS-Apps zu Sophos Mobile Control hinzufügen, können Sie einstellen, ob diese auf den Geräten der Benutzer verwaltet oder nicht verwaltet installiert werden. Verwaltete Apps haben folgende Eigenschaften: ■
Wenn Benutzer eine verwaltete App im Enterprise App Store auswählen, wird ein Installationsauftrag erstellt, der von Sophos Mobile Control bearbeitet wird. Wenn Benutzer dagegen eine nicht verwaltete App auswählen, werden Sie für die Installation zum Apple App Store weitergeleitet.
■
Sie können verwaltete Apps von der Sophos Mobile Control Konsole aus deinstallieren. Für nicht verwaltete Apps ist dies nicht möglich.
■
Auf betreuten (supervised) iOS-Geräten werden verwaltete Apps stillschweigend, d.h. ohne Benutzer-Interaktion, installiert und deinstalliert.
■
In iOS-Geräteprofilen sind einige Einstellungen nur für verwaltete Apps verfügbar.
■
Wenn ein iOS-Gerät bei Sophos Mobile Control deregistriert wird, werden alle verwalteten Apps automatisch vom Gerät entfernt. Nicht verwaltete Apps bleiben auf dem Gerät.
183
Sophos Mobile Control
Ob eine App verwaltet oder nicht verwaltet installiert wird, ergibt sich aus folgenden Regeln: ■
Apps, die Sie von der Sophos Mobile Control Konsole aus installieren, sind immer verwaltet.
■
Apps, die der Benutzer über den App Store installiert, sind immer nicht verwaltet.
■
Apps, die der Benutzer über den Enterprise App Store installiert, sind verwaltet, wenn Sie in den App-Eigenschaften die Einstellung SMC-verwaltete Installation aktiviert haben. Siehe App hinzufügen (Seite 180).
Um den Status einer App auf einem Gerät festzustellen, öffnen Sie die Seite Gerät anzeigen für das Gerät und wechseln Sie zu der Registerkarte Installierte Apps. Siehe Die Seite „Gerät anzeigen“ (Seite 58). Tipp: Sie können Apps, die vom Benutzer nicht verwaltet installiert wurden, in verwaltete Apps umwandeln. Konfigurieren Sie hierzu die App in Sophos Mobile Control als verwaltet und erstellen Sie anschließend einen Installationsauftrag. Da die App bereits installiert ist, wird sie nicht erneut installiert. Allerdings ändert sich der Status von nicht verwaltet in verwaltet.
16.5 Über Apple VPP erworbene Apps verwalten Mit dem Apple-Programm für Volumenlizenzen (Volume Purchase Program, kurz VPP) können Sie iOS-Apps in großen Mengen kaufen und diese im Unternehmen bereitstellen. Wenn eine über Apple VPP abgewickelte Bestellung abgeschlossen ist, können Sie ein sToken (Service-Token) herunterladen, das die Lizenzen für die erworbenen Apps enthält. In Sophos Mobile Control können Sie die im sToken enthaltenen Lizenzen Ihren Benutzern zur Verfügung stellen, indem Sie diese dazu einladen, autorisierte Apple-VPP-Benutzer zu werden. Nachdem die Benutzer die Einladung akzeptiert haben, sind sie autorisierte VPP-Benutzer und Sie können ihnen VPP-Apps zuweisen. Benutzer können zugewiesene Apps mittels iTunes auf ihren Geräten installieren. Sie können VPP-Apps auch Geräten zuweisen. Dazu muss auf den Geräten iOS 9 oder höher installiert sein. Geräte müssen nicht zu VPP eingeladen werden. Sie installieren eine zugewiesene VPP-App auf einem Gerät mittels Sophos Mobile Control. Für die Einladung von Benutzern zur VPP-Autorisierung gibt es unterschiedliche Vorgehensweisen, je nachdem, ob Sie in Sophos Mobile Control eine interne oder externe Benutzerverwaltung verwenden. Die Anleitungen in diesem Abschnitt gelten für beide Fälle. Informationen zur internen und externen Benutzerverwaltung finden Sie im englischsprachigen Dokument Sophos Mobile Control Super Administrator Guide. Detaillierte Informationen zur Registrierung und zur Benutzung von Apple VPP finden Sie unter http://www.apple.com/de/business/vpp/. Detaillierte Informationen, wie Sie VPP-Apps Benutzern oder Geräten zuweisen, finden Sie in VPP-Apps automatisch zuweisen (Seite 187) und VPP-Apps manuell zuweisen (Seite 188).
16.5.1 VPP sToken einrichten Um in Sophos Mobile Control Lizenzen für Apps bereitzustellen, die Sie über das Apple-Programm für Volumenlizenzen (VPP) erworben haben, müssen Sie ein sToken (Service-Token) einrichten. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Systemeinstellungen. 2. Klicken Sie auf der Seite Systemeinstellungen auf die Registerkarte Apple VPP.
184
Administratorhilfe
3. Klicken Sie auf den Link Apple iTunes VPP Portal. Dies öffnet das Apple-VPP-Webportal in einem neuen Browser-Fenster. 4. Wählen Sie auf dieser Webseite den Punkt Unternehmen aus. 5. Geben Sie im Dialog Store für Unternehmen: Anmeldung Ihre Apple-ID und Ihr Kennwort ein. 6. Navigieren Sie zu der Seite Account Summary und klicken Sie auf Download Token. Das sToken wird generiert und, abhängig von den Download-Einstellungen Ihres Webbrowsers, auf Ihrem lokalen Computer in einer Textdatei mit Endung .vpptoken gespeichert. 7. Optional: Verschieben Sie die sToken-Datei an einen Ort, auf den Sie von der Sophos Mobile Control Konsole aus zugreifen können. 8. Gehen Sie in der Sophos Mobile Control Konsole zurück zu der Registerkarte Apple VPP, klicken Sie auf Datei hochladen, wählen Sie die sToken-Datei aus und klicken Sie anschließend auf Öffnen. Sophos Mobile Control liest die Datei ein und füllt die Felder Organisation und Ablaufdatum mit den Angaben aus dem sToken. 9. In der Liste VPP-Apps automatisch bei der Installation zuweisen können Sie die automatische Zuweisung von VPP-Apps konfigurieren. Siehe VPP-Apps automatisch zuweisen (Seite 187). 10. Optional: Füllen Sie die weiteren Felder auf der Registerkarte Apple VPP aus. Im Feld Country (Land) geben Sie Ihren zweistelligen Landescode ein, zum Beispiel DE für Deutschland. 11. Klicken Sie auf Speichern. Hinweis: Zur Benachrichtigung über den bevorstehenden Ablauf des sToken sendet Sophos Mobile Control mehrere E-Mail-Erinnerungen an alle Administratoren, beginnend 30 Tage vor dem Ablaufdatum.
16.5.2 Benutzer zu Apple VPP einladen Bevor Sie Benutzer zum Apple-Programm für Volumenlizenzen (VPP) einladen können, müssen Sie ein sToken einrichten. Siehe VPP sToken einrichten (Seite 184). 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Benutzer. 2. Auf der Seite Benutzer anzeigen können Sie alle oder einzelne Benutzer zu Apple VPP einladen: ■
Um alle Benutzter einzuladen: 1. Klicken Sie oben auf der Seite Benutzer anzeigen auf Benutzer zu Apple VPP einladen. 2. Klicken Sie im Bestätigungsdialog auf Ja.
■
Um einen einzelnen Benutzer einzuladen: 1. Klicken Sie auf den gewünschten Benutzernamen. 2. Klicken Sie auf der Seite Benutzer anzeigen auf Benutzer zum VPP einladen. 3. Klicken Sie im Bestätigungsdialog auf Ja.
185
Sophos Mobile Control
■
Um einen einzelnen Benutzer einzuladen, wenn Sie eine externe Benutzerverwaltung verwenden und der Benutzer noch keine Geräte registriert hat: 1. Klicken Sie oben auf der Seite Benutzer anzeigen auf Benutzer suchen und zu Apple VPP einladen. 2. Geben Sie im Dialog Benutzer suchen entweder einen Namen oder eine E-Mail-Adresse ein, um nach dem Benutzer zu suchen. 3. Wählen Sie in der Liste der Suchergebnisse den Benutzer aus, den Sie zu Apple VPP einladen wollen. 4. Klicken Sie auf Anwenden.
Sophos Mobile Control schickt eine Einladungs-E-Mail an alle betroffenen Benutzer. Die Benutzer müssen den Link aus der Einladungs-E-Mail verwenden, um ihr Apple-iTunes-Konto mit Apple VPP zu verknüpfen. Danach können sie die von Ihrem Unternehmen lizenzierten Apps installieren und verwenden. Hinweis: Wenn Sie ein externes Benutzerverzeichnis verwenden und alle Benutzer zu Apple VPP einladen, werden Benutzer, für die keine E-Mail-Adresse hinterlegt ist, zwar für Apple VPP registriert. Sie erhalten aber nicht den Link, mit dem sie ihr Apple-iTunes-Konto mit Apple VPP verknüpfen können. Information, wie Sie in diesem Fall den Registrierungsprozess für Apple VPP abschließen können, finden Sie in Benutzer ohne E-Mail-Adresse zu Apple VPP einladen (Seite 186).
16.5.3 Benutzer ohne E-Mail-Adresse zu Apple VPP einladen Voraussetzung: Diese Prozedur setzt ein Superadministrator-Konto voraus und gilt daher nicht für Sophos Mobile Control as a Service. Wenn Sie Benutzer aus einem externen Benutzerverzeichnis wie in Benutzer zu Apple VPP einladen (Seite 185) beschrieben zu Apple VPP einladen, werden Benutzer, für die keine E-Mail-Adresse hinterlegt ist, zwar für Apple VPP registriert. Sie erhalten aber nicht den Link, mit dem sie ihr Apple-iTunes-Konto mit Apple VPP verknüpfen können. Führen Sie in diesem Fall die folgenden Schritte aus, um die Apple-VPP-Registrierung abzuschließen. 1. Melden Sie sich als Sophos Mobile Control Superadministrator an und laden Sie die Logdateien des Servers herunter. Siehe das englischsprachige Dokument Sophos Mobile Control Super Administrator Guide. 2. Ermitteln Sie anhand der Logdateien die betroffenen Benutzerkonten. 3. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste der Sophos Mobile Control Konsole auf Benutzer. 4. Klicken Sie auf der Seite Benutzer anzeigen auf den Namen eines der betroffenen Benutzer. 5. Klicken Sie auf der Seite Benutzer anzeigen auf Einladungslink anzeigen. Bei externen Benutzern ohne E-Mail-Adresse wird hierdurch keine Einladungs-E-Mail verschickt, sondern es wird der Einladungslink in einem Benachrichtigungsfenster angezeigt. 6. Teilen Sie diesen Link dem Benutzer mit. 7. Wiederholen Sie dies für alle betroffenen Benutzer. Die Benutzer müssen den Link verwenden, um ihr Apple-iTunes-Konto mit Apple VPP zu verknüpfen.
186
Administratorhilfe
16.5.4 Apple-VPP-Benutzer verwalten Wenn Sie wie in VPP sToken einrichten (Seite 184) beschrieben ein Apple VPP sToken eingerichtet haben, enthält die Seite Benutzer anzeigen einen Abschnitt Apple Programm für Volumenlizenzen (VPP). In diesem Abschnitt können Sie die folgenden Aufgaben ausführen, um den VPP-Status eines Benutzers anzuzeigen oder zu bearbeiten: ■
Apple-VPP-Benutzerstatus anzeigen. Mögliche Werte sind: ■
Nicht registriert: Der Benutzer wurde noch nicht zu Apple VPP eingeladen.
■
Registriert: Der Benutzer wurde zu Apple VPP eingeladen, hat sein Apple-iTunes-Konto aber noch nicht mit Apple VPP verknüpft.
■
Verbunden: Der Benutzer hat sein Apple-iTunes-Konto mit Apple VPP verknüpft und kann VPP-Apps installieren.
■
Vom Benutzer installierte VPP-Apps anzeigen.
■
Den Benutzer zu Apple VPP einladen, indem Sie auf Benutzer zu VPP einladen klicken. In der Regel wird eine E-Mail mit einem Einladungslink an den Benutzer verschickt. Wenn im Benutzerkonto keine E-Mail-Adresse hinterlegt ist, wird der Einladungslink in einem Hinweisfenster angezeigt.
■
Eine erneute Einladungs-E-Mail verschicken, falls der Benutzer die initiale E-Mail nicht erhalten oder verloren hat, indem Sie auf Einladungs-E-Mail erneut senden klicken.
■
Die Registrierung des Benutzers zu Apple VPP aufheben, indem Sie auf VPP-Registrierung löschen klicken.
16.5.5 VPP-Apps automatisch zuweisen Standardmäßig werden Apps, die Sie über das Apple-Programm für Volumenlizenzen (VPP) erworben haben, automatisch dem Gerät zugewiesen, auf dem die App installiert wird. Wenn das Gerät die Zuweisung von VPP-Apps nicht unterstützt, wird die App dem Benutzer zugewiesen, der dem Gerät zugewiesen ist. Hinweis: Die Zuweisung von VPP-Apps unterstützen nur Geräte, die den Status Verwaltet haben und iOS 9 oder höher verwenden. Sie können diese Reihenfolge umkehren und Benutzerzuweisungen gegenüber Gerätezuweisungen bevorzugen. Sie können auch die automatische Zuweisung deaktivieren und VPP-Apps stattdessen manuell zuweisen. Siehe VPP-Apps manuell zuweisen (Seite 188). Die automatische Zuweisung von VPP-Apps wird pro Kunde konfiguriert. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Systemeinstellungen. 2. Klicken Sie auf der Seite Systemeinstellungen auf die Registerkarte Apple VPP. 3. Wählen Sie in der Liste VPP-Apps automatisch bei der Installation zuweisen die gewünschte Option aus: ■
Bevorzugt an Gerät: Sofern das Gerät dies unterstützt, wird die VPP-App dem Gerät zugewiesen. Andernfalls wird die App dem Benutzer zugewiesen, der dem Gerät zugewiesen ist. Falls kein Benutzer dem Gerät zugewiesen ist, schlägt die App-Zuweisung fehl.
187
Sophos Mobile Control
■
■
Bevorzugt an Benutzer: Sofern dem Gerät ein Benutzer zugewiesen ist, wird die VPP-App dem Benutzer zugewiesen. Andernfalls wird die App dem Gerät zugewiesen. Wenn das Gerät die Zuweisung von VPP-Apps nicht unterstützt, schlägt die Zuweisung fehl. Deaktiviert: VPP-Apps werden nicht automatisch zugewiesen. Wenn Sie diese Option auswählen, müssen Sie VPP-Apps manuell zuweisen.
16.5.6 VPP-Apps manuell zuweisen Dieser Abschnitt beschreibt die manuelle Zuweisung einzelner VPP-Apps. Standardmäßig werden Apps, die Sie über das Apple-Programm für Volumenlizenzen (VPP) erworben haben, automatisch dem Gerät zugewiesen, auf dem die App installiert wird. Siehe VPP-Apps automatisch zuweisen (Seite 187). Sie können Apps, die Sie über das Apple-Programm für Volumenlizenzen (VPP) erworben haben, Benutzern oder Geräten zuweisen. Nachdem Sie eine VPP-App einem Benutzer zugewiesen haben, der mit Apple VPP verbundenen ist, kann dieser die App auf allen iOS-Geräten installieren, die mit seiner Apple-ID verbunden sind. Nachdem Sie eine VPP-App einem Gerät zugewiesen haben, können Sie Sophos Mobile Control verwenden, um die App auf dieses Gerät zu übertragen. So weisen Sie eine VPP-App Benutzern oder Geräten zu: 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Apps > Apple iOS. Dies öffnet die Seite Apps, auf der alle Apps aufgelistet sind, die Sie zu Sophos Mobile Control hinzugefügt haben. 2. Um Apps hinzuzufügen, die Sie über Apple VPP erworben haben, klicken Sie auf VPP-Apps importieren. Hierdurch werden vom Apple-VPP-Server Informationen zu Ihren Apps abgerufen und, falls erforderlich, neue App-Einträge in Sophos Mobile Control erstellt. 3. Klicken Sie auf das blaue Dreieck neben der VPP-App, die Sie Benutzern oder Geräten zuweisen wollen, und klicken Sie anschließend auf Bearbeiten. 4. Klicken Sie auf der Seite iOS-Link bearbeiten auf Anzeigen neben der Option VPP-Lizenzen. Dies öffnet den Dialog VPP-Lizenzen. 5. Um die App einem oder mehreren Benutzern zuzuweisen, klicken Sie auf VPP-Benutzer und wählen Sie anschließend die gewünschten Benutzer aus. Die Liste enthält alle Benutzer mit dem VPP-Status Registriert oder Verbunden. 6. Um die App einem oder mehreren Geräten zuzuweisen, klicken Sie auf Geräte und wählen Sie anschließend die gewünschten Geräte aus. Die Liste enthält alle Geräte mit iOS 9 oder höher und dem Status Verwaltet. 7. Klicken Sie auf Anwenden, um die Änderungen zu bestätigen und den Dialog VPP-Lizenzen zu schließen. 8. Klicken Sie auf Speichern, um die Änderungen zu speichern und um die App-Zuweisung mit dem Apple-VPP-Server zu synchronisieren. Tipp: Um Änderungen, die Sie im Dialogfeld VPP-Lizenzen gemacht haben, zu verwerfen, klicken Sie auf Anwenden, um das Dialogfeld zu schließen, und klicken Sie anschließend auf Zurück, um die Seite iOS-Link bearbeiten zu verlassen, ohne die Änderungen in die Datenbank zu speichern.
188
Administratorhilfe
Zugewiesene App auf einem Gerät installieren: ■
Nachdem die App einem Benutzer zugewiesen ist, wird Sie auf allen seinen Geräten in der iTunes-Ansicht Einkäufe aufgeführt. Von dort kann der Benutzer die App installieren.
■
Nachdem die App einem Gerät zugewiesen ist, können Sie sie mit Sophos Mobile Control installieren. Siehe App installieren (Seite 182).
App-Zuweisung aufheben: ■
Öffnen Sie wie zuvor beschrieben das Dialogfeld VPP-Lizenzen und deaktivieren Sie die Auswahl für die gewünschten Benutzer oder Geräte.
Hinweis: Da der Status von VPP-Apps durch den Apple-VPP-Server verwaltet wird, dauert es möglicherweise einige Zeit, bis Änderungen, die Sie in Sophos Mobile Control machen, auf den Geräten sichtbar werden.
16.5.7 VPP-Lizenzinformationen synchronisieren Aus Gründen der Leistungsfähigkeit verwaltet Sophos Mobile Control eine lokale Kopie der VPP-Lizenzinformationen. Sie können Sophos Mobile Control anweisen, die VPP-Informationen vom Apple-VPP-Server neu zu laden. Hinweis: Sie müssen die VPP-Informationen nur dann neu laden, wenn die für eine App angezeigten Lizenz-Informationen falsch sind. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Systemeinstellungen und klicken Sie anschließend auf die Registerkarte Apple VPP. 2. Klicken Sie auf VPP-Cache löschen. Sophos Mobile Control verwirft die lokalen VPP-Informationen für den Kunden und synchronisiert die Daten mit dem VPP-Server von Apple. Hinweis: Informationen, wie Sie die Lizenzinformationen für eine VPP-App anzeigen, finden Sie in VPP-Apps manuell zuweisen (Seite 188).
16.6 VPN pro App und Einstellungen für iOS-Apps konfigurieren Für iOS-Apps können Sie zur Unterstützung der iOS Funktion Per App VPN ein VPN pro App auswählen. Mit diesem Feature lassen sich Apps so konfigurieren, dass sie beim Starten automatisch eine VPN-Verbindung herstellen. Sie können außerdem Einstellungen für die App konfigurieren, die auf dem Gerät während der App-Installation bereitgestellt werden. Voraussetzungen: ■
Damit Sie ein App-spezifisches VPN auswählen können, müssen Sie eine Konfiguration vom Typ VPN pro App in einem iOS-Konfigurationsprofil definieren. Siehe Konfiguration „VPN pro App“ (iOS-Geräteprofil) (Seite 134).
■
Damit Sie Einstellungen definieren können, müssen Ihnen der erforderliche Parameter und der Parametertyp bekannt sein.
1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Apps und klicken Sie anschließend auf Apple iOS. 2. Klicken Sie auf der Seite Apps auf das blaue Dreieck neben der gewünschten App und klicken Sie anschließend auf Installieren. 3. Klicken Sie auf der Seite iOS-Link bearbeiten bzw. iOS-Paket bearbeiten auf Anzeigen neben dem Feld Einstellungen und VPN.
189
Sophos Mobile Control
4. Wählen Sie auf der Seite Einstellungen und VPN bearbeiten die gewünschte Konfiguration aus der Liste VPN pro App aus, um zu definieren, mit welchem VPN sich die App verbinden soll. 5. Um Managed Einstellungen hinzuzufügen, klicken Sie auf Parameter anlegen. 6. Konfigurieren Sie im Dialog Konfigurationsparameter folgende Einstellungen: a) Geben Sie im Feld Parameter den erforderlichen Parameter ein, zum Beispiel SMC_URL. b) Geben Sie im Feld Wert den Parameterwert ein, zum Beispiel smc.sophos.com. c) Wählen Sie in der Liste Typ den Parametertyp aus: String, Bool, Integer oder Real. d) Klicken Sie auf Anwenden. Die verwalteten Einstellungen werden auf der Seite Einstellungen und VPN bearbeiten angezeigt. 7. Klicken Sie auf der Seite Einstellungen und VPN bearbeiten auf Anwenden. 8. Klicken Sie auf Speichern. Das ausgewählte VPN pro App wird angewendet, wenn sich die App mit VPN verbindet. Die Einstellungen werden während der App-Installation auf die Geräte übertragen.
190
Administratorhilfe
17 App-Gruppen In Sophos Mobile Control können Sie App-Gruppen erstellen, um Listen von Apps für Profile, Geräte-Richtlinien und Compliance-Richtlinien zu definieren. App-Gruppen werden in den folgenden Bereichen verwendet: ■
In der Konfiguration App Protection von Android-Geräteprofilen.
■
In der Konfiguration App Control von Android-Geräteprofilen.
■
In der Konfiguration Einschränkungen von Android-Geräteprofilen, iOS-Geräteprofilen und Knox-Container-Profilen.
■
In der Konfiguration App-Einschränkungen von Windows Mobile Richtlinien.
■
In Compliance-Richtlinien zur Angabe von Listen für erlaubte, unzulässige und erforderliche Apps.
17.1 App-Gruppe erstellen 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf App-Gruppen und wählen Sie anschließend die Plattform aus, für die Sie eine Gruppe anlegen wollen. 2. Klicken Sie auf der Seite App-Gruppen auf App-Gruppe erstellen. 3. Geben Sie auf der Seite App-Gruppe bearbeiten im Feld Name einen Namen für die neue App-Gruppe ein und klicken Sie anschließend auf App hinzufügen. 4. Im Dialogfeld App bearbeiten können Sie entweder eine App aus einer Liste auswählen, oder benutzerdefinierte App-Daten eingeben. ■
■
Um eine App aus einer Liste auszuwählen, klicken Sie auf App-Liste und wählen Sie anschließend eine App aus der Liste aller Apps aus, die auf den Geräten installiert sind, die für die ausgewählte Plattform verwaltet werden. Um benutzerdefinierte App-Daten für eine Android-App einzugeben, klicken Sie auf Benutzerdefiniert und konfigurieren Sie anschließend folgende Informationen: ■
■
■
Name: Ein beliebiger Name, um die App identifizieren zu können. Kennung: Der Paketname der App. Sie können den Paketnamen anhand der URL der App in Google Play ermitteln. Zum Beispiel hat die Android-App „Sophos Mobile Control“ im deutschen Google Play Store die URL https://play.google.com/store/apps/details?id=com.sophos.mobilecontrol.client.android&hl=de und der Paketname lautet com.sophos.mobilecontrol.client.android.
Um benutzerdefinierte App-Daten für eine iOS-App einzugeben, klicken Sie auf Benutzerdefiniert und konfigurieren Sie anschließend folgende Informationen: ■
Name: Ein beliebiger Name, um die App identifizieren zu können.
■
Kennung: Die Bundle-ID der App.
191
Sophos Mobile Control
■
Um benutzerdefinierte App-Daten für eine Windows-Mobile-App einzugeben, klicken Sie auf Benutzerdefiniert und konfigurieren Sie anschließend folgende Informationen: ■
■
■
Name: Ein beliebiger Name, um die App identifizieren zu können. Link: Die URL der App im Windows Store. Zum Beispiel hat die Windows-App „Sophos Mobile Control“ im deutschen Windows Store die URL https://www.microsoft.com/de-de/store/apps/mobile-control/9nblggh0g04v. GUID: Falls Sie die GUID der App kennen, können Sie diese anstatt des Links eingeben. Andernfalls lassen Sie dieses Feld leer.
5. Nachdem Sie eine App aus der Liste ausgewählt haben oder benutzerdefinierte App-Daten eingegeben haben, klicken Sie auf Hinzufügen, um sie zu der App-Gruppe hinzuzufügen. 6. Optional: Fügen Sie weitere Apps zu der App-Gruppe hinzu. 7. Wenn Sie fertig sind, klicken Sie auf Speichern, um die App-Gruppe zu speichern.
17.2 App-Gruppe importieren Sie können eine App-Gruppe erstellen, indem Sie die Daten von bis zu 10.000 Apps aus einer UTF-8-kodierte CSV-Datei importieren. Hinweis: Verwenden Sie einen Text-Editor, um die CSV-Datei zu bearbeiten. Wenn Sie Microsoft Excel verwenden, werden die eingegebenen Werte u. U. nicht korrekt aufgelöst. Achten Sie beim Speichern darauf, dass die Datei die Endung .csv besitzt. Tipp: Auf der Seite Apps importieren steht eine Musterdatei mit den korrekten Spaltennamen und der richtigen Spaltenreihenfolge zum Download zur Verfügung. So importieren Sie Apps aus einer CSV-Datei und fügen sie einer App-Gruppe hinzu: 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf App-Gruppen und wählen Sie anschließend die Plattform aus, für die Sie eine Gruppe anlegen wollen. 2. Klicken Sie auf der Seite App-Gruppen auf App-Gruppe erstellen. 3. Geben Sie auf der Seite App-Gruppe bearbeiten im Feld Name einen Namen für die neue App-Gruppe ein und klicken Sie anschließend auf App importieren. 4. Klicken Sie auf der Seite Apps importieren auf Datei hochladen und navigieren Sie anschließend zu der vorbereiteten CSV-Datei. Die Einträge werden aus der Datei eingelesen und angezeigt. 5. Wenn die Daten nicht korrekt oder inkonsistent formatiert sind, kann die gesamte Datei nicht importiert werden. Beachten Sie in diesem Fall die Fehlermeldungen, die neben den betroffenen Einträgen angezeigt werden, korrigieren Sie die CSV-Datei und laden Sie sie erneut hoch. 6. Klicken Sie auf Fertigstellen, um die Apps zu der App-Gruppe hinzuzufügen. 7. Klicken Sie auf der Seite App-Gruppe bearbeiten auf Speichern.
192
Administratorhilfe
18 Unternehmensdokumente Hinweis: Für diese Funktion benötigen Sie eine Lizenz vom Typ SMC Advanced. In Sophos Mobile Control können Sie Dateien hochladen, damit diese an die Geräte Ihrer Benutzer verteilt werden. ■
In Sophos Mobile Control verwaltete Dokumente werden automatisch dem Bereich Unternehmensdokumente von Sophos Secure Workspace hinzugefügt.
■
Im Unternehmensdokumente-Store auf dem Gerät wird die Kategorie, die für jedes Dokument definiert werden kann, als Ordner angezeigt.
■
Wenn Sophos Secure Workspace nicht von Sophos Mobile Control verwaltet wird, ist der Unternehmensdokumente-Store nicht sichtbar.
■
Auf Dokumente in Unternehmensdokumente besteht nur Lesezugriff. Diese können in Sophos Secure Workspace nicht bearbeitet und erneut hochgeladen werden.
So verteilen Sie Unternehmensdokumente: 1. Installieren Sie die App „Sophos Secure Workspace“ auf den Geräten. Siehe Apps (Seite 180). 2. Weisen Sie eine Sophos-Container-Richtlinie mit einer Konfiguration Corporate Documents zu. 3. Laden Sie Dokumente zu Sophos Mobile Control hoch.
18.1 Unternehmensdokumente hinzufügen Voraussetzung: Sie haben eine Lizenz vom Typ SMC Advanced aktiviert. So verteilen Sie Dokumente an Geräte: 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Dokumente. Die Seite Dokumente wird angezeigt. 2. Klicken Sie auf Dokument hinzufügen. Die Seite Dokument bearbeiten wird angezeigt. 3. Geben Sie eine Kategorie für das Dokument ein. ■
Die Kategorie ist der Name des Ordners, in dem das Dokument im Unternehmensdokumente-Store auf dem Gerät angezeigt wird.
■
Es können mehrere Dateien derselben Kategorie zugewiesen sein.
■
Wenn Sie dieses Feld leer lassen, wird die Datei im Root-Ordner von Unternehmensdokumente angezeigt.
193
Sophos Mobile Control
4. Legen Sie die Einstellungen für das Dokument fest: ■
Wählen Sie In die Zwischenablage kopieren aus, um Benutzern zu erlauben, das Dokument in die Zwischenablage zu kopieren.
■
Wählen Sie Dokument teilen aus, um Benutzern zu erlauben, das Dokument zu teilen.
■
Wählen Sie Dokument offline verwenden aus, um Benutzern zu erlauben, einen Favorit für das Dokument zu erstellen. Wenn ein Klartext-Dokument aus Unternehmensdokumente als Favorit markiert ist, wird es verschlüsselt in der App „Sophos Secure Workspace“ gespeichert. Wenn das Teilen des Dokuments erlaubt ist, wird die verschlüsselte Favoriten-Datei automatisch entschlüsselt, bevor sie an andere Apps weitergeleitet wird. Wenn Sie das Kontrollkästchen Dokument offline verwenden aktivieren, werden Offline-Kopien, die sich bereits in der Liste Favoriten von Sophos Secure Workspace befinden, automatisch bei der nächsten Synchronisierung entfernt.
5. Klicken Sie auf Anzeigen neben Zugewiesene Gruppen und wählen Sie die Gruppe aus, die Zugriff auf das Dokument haben soll. 6. Fügen Sie eine Beschreibung für das Dokument hinzu. 7. Klicken Sie auf Datei hochladen und navigieren Sie zu dem Dokument. Wählen Sie es aus und klicken Sie auf Öffnen. Die Dateigröße des Dokuments darf einen festgelegten Wert nicht übersteigen. Bei lokalen Installation wird dieser Wert von Ihrem Superadministrator festgelegt. Bei Sophos Mobile Control as a Service beträgt der Wert 5 MB pro Dokument. 8. Wiederholen Sie diesen Schritt für alle Dokumente, die Sie verteilen möchten. Das Dokument wird der Dokumentenliste hinzugefügt. Es wird an die Benutzer verteilt, die es sich in der App „Sophos Secure Workspace“ anschauen können.
194
Administratorhilfe
19 Android for Work Android for Work ist ein Programm von Google, das dazu dient, private und berufliche Daten auf einem Android-Gerät zu trennen. Wenn Sie Ihr Unternehmen für Android for Work registriert haben, können Sie Sophos Mobile Control als externen EMM-Anbieter (Enterprise-Mobility-Management-Anbieter) für Ihre Android-for-Work-Domäne einrichten. Android for Work unterstützt unterschiedliche Bereitstellungs-Szenarien. Sophos Mobile Control verwendet das Szenario BYOD (Bring Your Own Device): ■
Die Benutzer müssen auf Ihren Geräten ein Arbeitsprofil erstellen.
■
Das Arbeitsprofil wird mit dem primären Geräteprofil, d.h. dem privaten Profil, verknüpft. Das private Profil kann dann auf den Inhalt des Arbeitsprofils zugreifen.
■
Sophos Mobile Control verwaltet den Inhalt des Arbeitsprofils. Es registriert sich auf dem Gerät als Profilbesitzer (Profile Owner).
■
Wenn ein Gerät bei Android for Work registriert ist, sind alle Apps im Arbeitsprofil (inklusive der App „Sophos Mobile Control“) mit einem Aktentaschensymbol gekennzeichnet.
■
Benutzer verwenden die mit dem Aktentaschensymbol gekennzeichnete Version der App „Google Play Store“, um berufliche Apps aus Google Play for Work zu installieren.
■
Mit Sophos Mobile Control können Sie Inhalt und Layout von Google Play for Work konfigurieren.
Verwandte Links Android for Work Help Center (externer Link)
19.1 Android for Work einrichten Sie müssen Android for Work zunächst für einen Kunden einrichten, um die Funktionen für Android for Work zu aktivieren. 1. Registrieren Sie eine Android-for-Work-Domäne bei Google. 2. Erstellen Sie ein Unternehmens-Dienstkonto und konfigurieren Sie die APIs, die für die Kommunikation mit den Google-Diensten benötigt werden. 3. Verbinden Sie Sophos Mobile Control mit Ihrer Android-for-Work-Domäne.
19.1.1 Domäne bei Google registrieren Als erste Phase der Einrichtung von Android for Work registrieren Sie eine Domäne bei Google (Managed Google Domain), erstellen einen Domänen-Administrator (Managed Google Account) und bestätigen Ihre Domänen-Inhaberschaft. Hinweis: Falls Sie bereits eine Managed Google Domain registriert haben, zum Beispiel, weil Sie sich für „G Suite“ (vormals „Google Apps“) angemeldet haben, können Sie diesen
195
Sophos Mobile Control
Abschnitt überspringen. Aktivieren Sie Android for Work für Ihre Domäne stattdessen in der Google-Admin-Konsole. 1. Klicken Sie auf den nachfolgenden Link https://www.google.com/a/signup/?enterprise_product=ANDROID_WORK&hl=de, um sich für Android for Work anzumelden. 2. Tragen Sie im Webformular die erforderlichen Informationen ein. ■
Im Abschnitt Über Ihr Unternehmen tragen Sie in Geschäftliche Domainadresse die Domäne ein, die als Managed Google Domain verwendet wird. Verwenden Sie zum Beispiel die Domäne Ihres Sophos Mobile Control Servers. Hinweis: Falls Sie Android for Work für mehrere Kunden in Sophos Mobile Control konfigurieren wollen, müssen Sie für jeden Kunden eine eigene Domäne verwenden.
■
Im Abschnitt Ihr Google Admin-Konto tragen Sie die Anmeldedaten für einen neuen Domänen-Administrator ein. Hinweis: Notieren Sie sich die Anmeldedaten. Sie benötigen diese im weiteren Verlauf der Einrichtung von Android for Work.
3. Klicken Sie die Schaltfläche zum Erstellen eines neuen Kontos. Es öffnet sich die Google-Admin-Konsole mit der Seite zum Einrichten von Android for Work. Tipp: Sie können diese Seite auch manuell öffnen: Öffnen Sie die nachfolgende Webadresse https://admin.google.com und melden Sie sich mit den Anmeldeinformationen des Domänen-Administrators an, den Sie erstellt haben. 4. Starten Sie in der Google-Admin-Konsole die Prozedur zur Bestätigung Ihrer Domänen-Inhaberschaft. Folgen Sie den Anweisungen von Google, um Ihre Domäne zu bestätigen. Nachdem Sie Ihre Domänen-Inhaberschaft bestätigt haben, erhalten Sie ein Token, mit dem Sie Ihre Android-for-Work-Domäne mit Ihrem EMM-Anbieter (also mit Sophos Mobile Control) verbinden. Als nächstes müssen Sie ein Google-Dienstkonto erstellen und die für Android for Work benötigten APIs konfigurieren. Siehe Google-Dienstkonto konfigurieren (Seite 196).
19.1.2 Google-Dienstkonto konfigurieren Als zweite Phase der Einrichtung von Android for Work erstellen und konfigurieren Sie ein Google-Dienstkonto. Voraussetzung: Sie haben ein Administratorkonto für Ihre Android-for-Work-Domäne. Ein Google-Dienstkonto ist ein spezielles Google-Konto, das von Anwendungen benutzt wird. Dieses Konto wird von Sophos Mobile Control verwendet, um mit den Android-for-Work-Diensten von Google zu kommunizieren. Erstellen Sie ein Projekt: 1. Klicken Sie auf den nachfolgenden Link https://console.developers.google.com/apis/library, um die Google-API-Konsole zu öffnen. Melden Sie sich mit den Anmeldeinformationen Ihres Domänen-Administratorkontos an. 2. Klicken Sie in der Titelzeile der Google-API-Konsole auf Projekt > Projekt erstellen. Wenn Sie zuvor bereits ein Projekt erstellt haben, wird in der Titelzeile der Projektname angezeigt anstatt das Wort Projekt.
196
Administratorhilfe
3. Geben Sie im Dialogfeld Neues Projekt einen Projektnamen ein, zum Beispiel Android for Work und klicken Sie anschließend auf Erstellen. Benötigte APIs aktivieren: 4. Klicken Sie in der seitlichen Menüleiste auf Bibliothek und geben Sie anschließend admin sdk im Suchfeld ein. 5. Klicken Sie in der Ergebnisliste auf Admin SDK. 6. Klicken Sie oben auf der Seite Admin SDK auf Aktivieren. 7. Klicken Sie erneut auf Bibliothek und wiederholen Sie die vorherigen drei Schritte für die Google Play EMM API. Geben Sie dieses Mal emm im Suchfeld ein. Dienstkonto erstellen: 8. Klicken Sie auf der Seite Google Play EMM API auf Zu den Anmeldedaten. 9. Klicken Sie in Schritt 1 der Seite Anmeldedaten zu Projekt hinzufügen auf den Link Dienstkonto. 10. Klicken Sie auf der Seite Dienstkonten auf Dienstkonto erstellen. 11. Geben Sie im Dialogfeld Dienstkonto erstellen die folgenden Einstellungen ein: a) Geben Sie in Name des Dienstkontos einen Namen ein, um das Konto zu identifizieren, zum Beispiel Android for Work. b) Wählen Sie Neuen privaten Schlüssel bereitstellen aus und wählen Sie anschließend JSON aus. c) Wählen Sie Domainweite G Suite-Delegation aktivieren aus. d) Geben Sie in Produktname für den Zustimmungsbildschirm zum Beispiel Android for Work ein. Wenn Sie auf Erstellen klicken, wird der private Schlüssel für Ihr Dienstkonto erzeugt und auf Ihrem Computer in einer JSON-Datei gespeichert. Hinweis: Verwahren Sie die JSON-Datei an einem sicheren Ort. Sie benötigen die Datei, um Sophos Mobile Control mit Ihrer Android-for-Work-Domäne zu verbinden. API-Zugriff konfigurieren: 12. Klicken Sie auf den nachfolgenden Link https://admin.google.com, um die Google-Admin-Konsole zu öffnen. Melden Sie sich mit den Zugangsdaten Ihres Domänen-Administrators an. 13. Klicken Sie auf Sicherheit und anschließend auf Erweiterte Einstellungen. Tipp: Sie müssen möglicherweise zunächst auf Mehr anzeigen klicken, um Erweiterte Einstellungen anzuzeigen. 14. Klicken Sie auf API-Client-Zugriff verwalten. 15. Öffnen Sie in einem Texteditor die JSON-Datei und kopieren Sie den Wert von client_id in das Feld Client-Name. Beispiel: Ihre JSON-Datei enthält die Zeile "client_id": "123456789", Geben Sie 123456789 im Feld Client-Name ein.
197
Sophos Mobile Control
16. Geben Sie im Feld Ein oder mehrere API-Bereiche die folgenden beiden URLs ein, mit Komma getrennt: https://www.googleapis.com/auth/admin.directory.user, https://www.googleapis.com/auth/androidenterprise 17. Klicken Sie auf Autorisieren. Sie können nun Sophos Mobile Control mit Ihrer Android-for-Work-Domäne verbinden. Siehe Sophos Mobile Control mit Ihrer Domäne verbinden (Seite 198).
19.1.3 Sophos Mobile Control mit Ihrer Domäne verbinden Als dritte Phase der Einrichtung von Android for Work verbinden Sie Sophos Mobile Control mit Ihrer Android-for-Work-Domäne. Voraussetzungen: ■
Sie haben ein Administratorkonto für Ihre Android-for-Work-Domäne.
■
Sie haben Ihre Domänen-Inhaberschaft bestätigt.
■
Sie haben die APIs für Android for Work aktiviert.
■
Sie haben ein Dienstkonto für Android for Work erstellt.
1. Melden Sie sich an der Sophos Mobile Control Konsole an. Verwenden Sie die Zugangsdaten eines Administrators für den Kunden, für den Sie Android for Work einrichten wollen. 2. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Allgemein und klicken Sie anschließend auf die Registerkarte Android. 3. Klicken Sie unter Android for Work auf Konfigurieren. 4. Dies öffnet ein Dialogfeld. Konfigurieren Sie folgende Einstellungen: Unternehmens-Domäne
Ihre bei Google bestätigte Android-for-Work-Domäne.
Domänen-Administrator
Der Name Ihres Domänen-Administratorkontos. Dies ist der Administrator, den Sie erstellt haben, als Sie Ihre Android-for-Work-Domäne bei Google registriert haben.
EMM-Token
Das Token, das Sie von Google erhalten haben, nachdem Sie Ihre Domänen-Inhaberschaft bestätigt haben. Das Token wird Ihnen angezeigt, wenn Sie sich an der Google-Admin-Konsole (https://admin.google.com) mit den Zugangsdaten des Domänen-Administrators anmelden und Sicherheit > Android for Work Einstellungen aufrufen.
5. Klicken Sie auf Datei hochladen und suchen Sie die JSON-Datei, die Sie von Google heruntergeladen haben, als Sie das Dienstkonto für Android for Work erstellt haben. 6. Klicken Sie auf Verbinden. 7. Klicken Sie auf der Registerkarte Android auf Speichern.
198
Administratorhilfe
Sophos Mobile Control kontaktiert den Google-Webservice, um sich als EMM-Anbieter mit Ihrer Android-for-Work-Domäne zu verbinden. Als letzte Phase der Einrichtung von Android for Work müssen Sie die Google-EMM-Einstellungen konfigurieren. Siehe EMM-Einstellungen konfigurieren (Seite 199).
19.1.4 EMM-Einstellungen konfigurieren Als letzte Phase der Einrichtung von Android for Work konfigurieren Sie die Google-EMM-Einstellungen. Voraussetzung: Sie haben Sophos Mobile Control mit Ihrer Android-for-Work-Domäne verbunden. 1. Klicken Sie auf den nachfolgenden Link https://admin.google.com, um die Google-Admin-Konsole zu öffnen. Melden Sie sich mit den Zugangsdaten Ihres Domänen-Administrators an. 2. Klicken Sie auf Sicherheit und danach auf EMM-Anbieter für Android verwalten. Tipp: Sie müssen möglicherweise zunächst auf Mehr anzeigen klicken, um EMM-Anbieter für Android verwalten anzuzeigen. 3. Wählen Sie unter Allgemeine Einstellungen die Option EMM-Richtlinien auf Android-Geräten erzwingen aus. Damit ist die Einrichtung von Android for Work abgeschlossen.
19.2 Android for Work konfigurieren Damit Ihre Benutzer ihre Geräte bei Android for Work registrieren können, müssen Sie die folgenden Konfigurationsaufgaben durchführen: 1. Erstellen Sie eine Android-for-Work-Richtlinie und konfigurieren Sie mindestens die Konfiguration Einschränkungen. Siehe Konfigurationen für Android-for-Work-Richtlinien (Seite 96). 2. Erstellen Sie ein Auftragspaket, das auf ein Gerät übertragen wird, wenn ein Benutzer es im Self Service Portal bei Android for Work registriert. Das Auftragspaket muss mindestens einen Auftrag Registrieren und einen Auftrag Profil installieren oder Richtlinie zuweisen für eine Android-for-Work-Richtlinie enthalten. Sie können unterschiedliche Auftragspakete für Firmengeräte und Privatgeräte verwenden. Siehe Auftragspaket erstellen (Seite 172). 3. Legen Sie in den Einstellungen für das Self Service Portal fest, ob die Registrierung bei Android for Work optional oder vorgeschrieben ist, wenn Benutzer ein Gerät bei Sophos Mobile Control registrieren. Siehe Geräteregistrerung bei Android for Work konfigurieren (Seite 199).
19.2.1 Geräteregistrierung bei Android for Work konfigurieren Ihre Benutzer verwenden das Self Service Portal, um ihre Geräte bei Android for Work zu registrieren. Als Administrator konfigurieren Sie in Sophos Mobile Control, ob die Registrierung bei Android for Work optional oder vorgeschrieben ist, und welche Auftragspakete an die Geräte übertragen werden. Voraussetzungen ■
Sie haben Android for Work für den Kunden eingerichtet.
■
Sie haben ein Auftragspaket für die Geräteregistrierung bei Android for Work erstellt. Das Auftragspaket muss mindestens einen Auftrag Registrieren und einen Auftrag Profil
199
Sophos Mobile Control
installieren oder Richtlinie zuweisen für eine Android-for-Work-Richtlinie enthalten. Sie können unterschiedliche Auftragspakete für Firmengeräte und Privatgeräte verwenden. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Self Service Portal und klicken Sie anschließend auf die Registerkarte Gruppeneinstellungen. 2. Klicken Sie auf das blaue Dreieck neben der Self-Service-Portal-Gruppe, für die Sie die Geräteregistrierung bei Android for Work konfigurieren wollen, und klicken Sie anschließend auf Bearbeiten. Oder erstellen Sie eine neue Gruppe. Die Self-Service-Portal-Gruppe muss für die Plattform „Android“ konfiguriert sein. Details zur Self-Service-Portal-Konfiguration finden Sie in Self-Service-Portal-Einstellungen konfigurieren (Seite 27). 3. Wählen Sie zumindest in einer der Spalten Einrichtungspaket - Firmengeräte und Einrichtungspaket - Privatgeräte ein Auftragspaket aus, das auf Firmen- bzw. Privatgeräten ausgeführt wird. 4. Wählen Sie in Android for Work - Firmengeräte und Android for Work - Privatgeräte aus, ob die Registrierung erforderlich oder optional ist. ■
■
Optional: Benutzer können wählen, ob sie ihr Gerät nur bei Sophos Mobile Control registrieren, oder zusätzlich bei Android for Work. Erforderlich: Die Registrierung bei Android for Work ist zwingend erforderlich.
5. Klicken Sie auf Anwenden. 6. Klicken Sie auf der Registerkarte Gruppeneinstellungen auf Speichern.
19.3 Android-for-Work-Benutzer verwalten Ein Benutzer benötigt ein Konto vom Typ Managed Google Account, um ein Gerät bei Android for Work zu registrieren. Dieses Konto ist mit der Android-for-Work-Domäne verknüpft, die Sie bei Google registriert haben. Kontonamen für Android for Work haben die Form von E-Mail-Adressen, zum Beispiel benutzer@ihre_android_for_work_domain. Wenn ein Benutzer im Self Service Portal ein Gerät bei Android for Work registriert, prüft Sophos Mobile Control, ob auf dem Google-Server bereits ein Android-for-Work-Konto für diesen Benutzer existiert. Dazu wird der linke Teil der E-Mail-Adresse, die für den Benutzer in Sophos Mobile Control angelegt ist, mit Ihrer Android-for-Work-Domäne kombiniert. Falls ein Konto mit diesem Namen nicht existiert, erstellt Sophos Mobile Control es. Beispiel: Die E-Mail-Adresse des Benutzers in Sophos Mobile Control lautet benutzer@ihre_firma.com und Ihre Android-for-Work-Domäne lautet ihre_android_for_work_domain. In diesem Fall sucht Sophos Mobile Control auf dem Google-Server nach einem Konto benutzer@ihre_android_for_work_domain. Abgesehen von dem Anlegen eines Android-for-Work-Kontos bei der Registrierung verwaltet Sophos Mobile Control nicht den Lebenszyklus von Konten. Wenn Sie ein Benutzerkonto in Sophos Mobile Control löschen, bleibt das Android-for-Work-Konto des Benutzers erhalten. Sie können die Android-for-Work-Konten für Ihre Domäne in der Google-Admin-Konsole verwalten. Falls erforderlich, können Sie GADS (Google Apps Directory Sync) verwenden, um Android-for-Work-Konten auf Basis Ihres LDAP-Verzeichnisses zu erstellen.
Verwandte Links Google-Admin-Konsole (externer Link) Über Google Apps Directory Sync (externer Link)
200
Administratorhilfe
19.4 Geräte bei Android for Work registrieren Ihre Benutzer registrieren ihre Geräte bei Android for Work im Self Service Portal, zusammen mit der Registrierung bei Sophos Mobile Control. Eine Registrierung bei Android for Work über die Sophos Mobile Control Konsole ist nicht möglich. Allerdings können Sie in der Sophos Mobile Control Konsole das Gerät eines Benutzers von Android for Work deregistrieren, zum Beispiel, um Unternehmensdaten vom Gerät zu entfernen, wenn es verloren gegangen ist oder gestohlen wurde. Hinweis: Sophos Mobile Control unterstützt die Registrierung bei Android for Work für Geräte mit Android 6 oder höher.
19.5 Arbeitsprofil sperren Auf Geräten, die bei Android for Work registriert sind, können Sie das Arbeitsprofil sperren oder entsperren. Wenn Sie ein Arbeitsprofil sperren, sind keine beruflichen Apps mehr verfügbar und es werden auch keine Benachrichtigungen von beruflichen Apps angezeigt. Tipp: Benutzer können das Arbeitsprofil über die Schnelleinstellungsleiste ihres Gerätes sperren, zum Beispiel im Urlaub. 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. 2. Klicken Sie auf das blaue Dreieck neben dem Gerät, auf dem Sie das Arbeitsprofil sperren oder entsperren wollen, und klicken Sie anschließend auf Anzeigen. 3. Klicken Sie auf Aktionen > Container-Zugriff festlegen. 4. Wählen Sie die Zugriffsrechte aus. ■
■ ■
Sperren: Das Arbeitsprofil ist gesperrt. Benutzer können nicht mehr auf Apps oder Daten innerhalb des Arbeitsprofils zugreifen. Erlauben: Das Arbeitsprofil ist entsperrt. Automatischer Modus: Das Arbeitsprofil ist gesperrt, wenn das Gerät gegen eine Compliance-Regel verstößt, bei der die Aktion Container sperren aktiviert ist. Dies ist das Standardverhalten, wenn Sie keine Zugriffsrechte festgelegt haben.
5. Klicken Sie auf Ja. Das Gerät wird mit dem Sophos Mobile Control Server synchronisiert. Dadurch wird die Einstellung auf dem Gerät angewendet.
19.6 Arbeitsprofil vom Gerät entfernen Auf Geräten, die bei Android for Work registriert sind, können Sie das Arbeitsprofil entfernen. So können Sie zum Beispiel Unternehmensdaten vom Gerät entfernen, falls es verloren geht oder gestohlen wird. Wenn Sie das Arbeitsprofil von einem Gerät entfernen, werden auch alle Work-Apps, inklusive der App „Sophos Mobile Control“, entfernt. In der Sophos Mobile Control Konsole wird das Gerät mit dem Status Deregistriert angezeigt. 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. 2. Klicken Sie auf das blaue Dreieck neben dem Gerät, von dem Sie das Arbeitsprofil entfernen wollen, und klicken Sie anschließend auf Anzeigen. 3. Klicken Sie auf Aktionen > Android for Work zurücksetzen.
201
Sophos Mobile Control
Ein Auftrag zum Entfernen des Arbeitsprofils wird erstellt und an das Gerät übertragen. Sie können den Auftragsstatus auf der Seite Auftragsstatus anzeigen. Hinweis: Falls der Benutzer das Arbeitsprofil bereits manuell entfernt hat, schlägt der Auftrag fehl, da das Gerät ihn nicht mehr empfangen kann. Um das Gerät erneut bei Android for Work zu registrieren, muss der Benutzer die Registrierungsprozedur im Self Service Portal wiederholen.
19.7 Benutzerinitiiertes Entfernen des Arbeitsprofils Benutzer sind in der Lage, das Arbeitsprofil von ihren Geräten entfernen. Dies kann absichtlich als auch versehentlich geschehen. Wenn das Arbeitsprofil auf diese Weise entfernt wird, kann Sophos Mobile Control dies nicht erkennen. Der Gerätestatus wird weiterhin als Verwaltet (Android for Work) angezeigt. Nachdem der Benutzer das Arbeitsprofil entfernt hat, kann sich das Gerät nicht mehr mit dem Sophos Mobile Control Server synchronisieren. Tipp: Sie können den Bericht Geräte, die sich in den letzten 7 Tagen nicht synchronisiert haben verwenden, um potentiell betroffene Geräte zu identifizieren. Falls das Arbeitsprofil versehentlich entfernt wurde, können Sie das Gerät erneut bei Android for Work registrieren: 1. Sie löschen das Gerät aus Sophos Mobile Control. 2. Der Benutzer führt im Self Service Portal eine erneute Registrierung durch.
19.8 Berufliche Apps Berufliche Apps sind Apps, die mit Android for Work kompatibel sind. Sie verwenden Google Play for Work, um die beruflichen Apps auszuwählen, die Ihren Android-for-Work-Benutzern zur Verfügung stehen. Ihre Benutzer installieren diese Apps über die App „Google Play Store“ in ihrem Arbeitsprofil. Um Ihren Benutzern berufliche Apps zur Verfügung zu stellen, müssen Sie die folgenden Aufgaben in Google Play for Work und in Sophos Mobile Control durchführen: 1. In Google Play for Work wählen Sie die Apps für Ihre Android-for-Work-Domäne aus. Dies beinhaltet: ■
Die App genehmigen.
■
App-Lizenzen erwerben.
■
App-Berechtigungen akzeptieren.
Siehe Berufliche App genehmigen (Seite 203). 2. In Sophos Mobile Control konfigurieren Sie die App. Dies beinhaltet: ■
Den Ort festlegen, an dem die App in der App „Google Play Store“ auf den Geräten der Benutzer angezeigt wird.
■
Benutzerdefinierte App-Einstellungen konfigurieren, falls die App dies unterstützt.
■
Für kostenpflichtige Apps Benutzern eine Lizenz für die App zuweisen.
Siehe Berufliche App bearbeiten (Seite 203).
202
Administratorhilfe
19.8.1 Berufliche App genehmigen 1. Öffnen Sie den Google Play for Work Store (https://play.google.com/work) und melden Sie sich mit Ihrem Google-Administratorkonto an. 2. Wählen Sie im Google Play for Work Store die App aus, die Sie für Ihre Benutzer einrichten wollen. 3. Klicken Sie auf Genehmigen (bei kostenlosen Apps) bzw. auf Kaufen (bei kostenpflichtigen Apps). Hinweis: Kostenpflichtige Apps für Android for Work sind derzeit nur in den USA und in Kanada verfügbar. 4. Wenn die App Berechtigungen erfordert, müssen Sie diese für Ihr Unternehmen akzeptieren. Wenn Ihre Benutzer die App installieren, werden sie nicht aufgefordert, Berechtigungen zuzulassen. 5. Für kostenpflichtige Apps geben Sie die Lizenz-Anzahl und die Bezahlmethode ein. Hinweis: Falls Sie während des Kaufvorgangs eine Fehlermeldung erhalten, überprüfen Sie in der Google-Admin-Konsole, ob die Google-Bezahldienste für Ihre Domäne oder Ihr Konto aktiviert sind. Die App ist nun für Ihre Domäne genehmigt. Benutzer sind aber noch nicht in der Lage, die App zu installieren. Sie müssen erst noch den Zuweisungsvorgang in Sophos Mobile Control fertigstellen. Siehe Berufliche App bearbeiten (Seite 203). Hinweis: Wenn durch die Aktualisierung einer beruflichen App zusätzliche Berechtigungen erforderlich werden, müssen Sie diesen zustimmen, bevor Ihre Benutzer die App aktualisieren können. Klicken Sie im Menü von Google Play for Work auf Aktualisierungen, um neue Berechtigungen anzuzeigen und zu akzeptieren.
Verwandte Links Google Play for Work (externer Link) Google-Admin-Konsole (externer Link) Google Play for Work Help Center (externer Link)
19.8.2 Berufliche App bearbeiten Nachdem Sie eine App in Google Play for Work genehmigt haben, müssen Sie die App in Sophos Mobile Control konfigurieren, um sie Ihren Benutzern zur Verfügung zu stellen. 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Apps und klicken Sie anschließend auf Android. 2. Klicken Sie auf der Seite Apps auf Apps für Android for Work. Dies öffnet die Seite Apps für Android for Work, auf der die beruflichen Apps angezeigt werden, die Sie in Google Play for Work genehmigt haben. 3. Klicken Sie auf App-Liste von Google abrufen, um Änderungen zu laden, die Sie in Google Play for Work gemacht haben. Nach der Synchronisierung können Benutzer die Apps über die in Ihrem Arbeitsprofil befindliche App Google Play Store installieren. 4. Klicken Sie auf das blaue Dreieck neben der gewünschten App und dann auf Bearbeiten.
203
Sophos Mobile Control
5. Definieren Sie in den Feldern Seite und App-Kategorie die Position der App in der App „Google Play Store“ auf den Geräten der Benutzer: a) Wählen Sie in der Liste Seite aus, auf welcher Seite die App angezeigt wird. Die Werte sind von Sophos Mobile Control vorkonfiguriert und können nicht geändert werden. b) Geben Sie im Feld App-Kategorie den Namen einer Kategorie ein, unter der die App angezeigt wird. Sobald Sie im Feld App-Kategorie die ersten Zeichen eintippen, wird Ihnen eine Liste passender Kategorien angezeigt. Wenn Sie eine nicht vorhandene Kategorie eingeben, wird diese erstellt. 6. Bei kostenpflichtigen Apps enthält die Seite Berufliche App bearbeiten ein Feld Lizenzen. Klicken Sie neben dem Feld Lizenzen auf Anzeigen, um die Lizenzinformationen für die App anzuzeigen oder zu bearbeiten. Es dauert möglicherweise einige Sekunden, bis Sophos Mobile Control die Lizenzinformationen von Google abgerufen hat. a) Im Dialogfeld Lizenzen wird die Anzahl der zugewiesenen und verfügbaren Lizenzen angezeigt, sowie die Android-for-Work-Benutzer, denen eine Lizenz zugewiesen ist. b) Wählen Sie Benutzer aus, um ihnen eine Lizenz für die App zuzuordnen, oder entfernen Sie Benutzer, um ihnen die Lizenz zu entziehen. Klicken Sie auf Anwenden, um den Dialog Lizenzen zu schließen. 7. Bei Apps, die eine verwaltete Konfiguration bieten, enthält die Seite Berufliche App bearbeiten eine Schaltfläche App-Einstellungen. Klicken Sie auf diese Schaltfläche, um die verfügbaren Einstellungen anzuzeigen oder zu bearbeiten. Informationen zu den verfügbaren Einstellungen finden Sie in der Dokumentation, die vom jeweiligen Entwickler der App bereitgestellt wird. 8. Klicken Sie auf der Seite Berufliche App bearbeiten auf Speichern, um Ihre Änderungen zu speichern. 9. Klicken Sie auf der Seite Apps für Android for Work auf Konfiguration an Google senden, um die geänderten Layouteinstellungen und App-Einstellungen an Google zu senden. Hinweis: Wenn Sie diesen letzten Schritt überspringen, wird die App-Konfiguration nur lokal in Sophos Mobile Control gespeichert. Die Konfiguration wird nicht an Google übertragen und steht Ihren Benutzern nicht zur Verfügung. Nachdem die Daten an den Google-Server gesendet worden sind, steht die berufliche App in der App „Google Play Store“ im Arbeitsprofil zur Verfügung. Kostenlose Apps stehen allen Ihren Benutzern zur Verfügung, kostenpflichtige Apps nur Benutzern, denen Sie eine Lizenz zugeordnet haben.
19.8.3 Einstellungen für berufliche Apps
204
Einstellung/Feld
Beschreibung
Titel
Der externe Name der App, wie er im Google Play for Work Store angezeigt wird.
Product ID
Der interne Name der App.
Administratorhilfe
Einstellung/Feld
Beschreibung
Preismodell
Der Kostentyp: Kostenlos Kostenlos mit In-App-Käufen Kostenpflichtig
Verteilungsart
Öffentlich (über Google bereitgestellt): Die App ist im Google Play for Work Store öffentlich verfügbar. Privat (über Google bereitgestellt): Eine von Ihnen entwickelte App, die nur für Benutzer in Ihrer Android-for-Work-Domäne verfügbar ist. Die APK-Datei ist zu Google Play for Work hochgeladen. Privat (intern bereitgestellt): Wie Privat (über Google bereitgestellt), aber die APK-Datei wird von Ihrem lokalen Server installiert. Google Play for Work verwaltet nur die Verteilung der App.
Google Play for Work URL, Google Play URL
Die Webadresse der App in Google Play for Work beziehungsweise in Google Play. Klicken Sie auf den Link, um die jeweilige Seite in einem neuen Browserfenster zu öffnen.
Seite
Die Seite, auf der die App auf dem Gerät in der App „Google Play Store“ erscheint. Die Werte sind von Sophos Mobile Control vorkonfiguriert und können nicht geändert werden.
App-Kategorie
Der Name der Kategorie, unter der die App auf dem Gerät in der App „Google Play Store“ erscheint.
Lizenzen
Klicken Sie neben Lizenzen auf Anzeigen, um die Lizenzinformationen für die App anzuzeigen oder zu bearbeiten. Diese Einstellung ist nur für kostenpflichtige Apps verfügbar.
App-Einstellungen
Klicken Sie auf App-Einstellungen, um App-spezifische Einstellungen anzuzeigen oder zu bearbeiten. Informationen zu den verfügbaren Einstellungen finden Sie in der Dokumentation, die vom jeweiligen Entwickler der App bereitgestellt wird. Diese Einstellung ist nur verfügbar, wenn die App eine verwaltete Konfiguration unterstützt.
205
Sophos Mobile Control
19.8.4 Berufliche App installieren Nachdem Sie in Google Play for Work eine berufliche App genehmigt haben und Ihren Benutzern Lizenzen zugewiesen haben, können Sie die App auf einzelnen Geräten oder Gerätegruppen installieren. Hinweis: Benutzer können genehmigte Apps über die App „Google Play Store“ in ihrem Arbeitsprofil installieren. 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Apps und klicken Sie anschließend auf Android. 2. Klicken Sie auf der Seite Apps auf Apps für Android for Work. 3. Klicken Sie auf das blaue Dreieck neben der gewünschten App und dann auf Installieren. 4. Wählen Sie die Geräte aus, auf denen Sie die App installieren wollen. Gehen Sie auf eine der folgenden Weisen vor: ■ ■
Wählen Sie einzelne Geräte aus. Klicken Sie auf Gerätegruppen auswählen und wählen Sie anschließend eine oder mehrere Gerätegruppen aus.
Wenn Sie fertig sind, klicken Sie auf Weiter. 5. Geben Sie auf der Seite Ausführungszeit wählen den Zeitpunkt an, zu dem die App installiert wird: ■ ■
Für eine sofortige Ausführung wählen Sie Sofort aus. Für eine geplante Ausführung wählen Sie Datum aus und geben Sie anschließend Datum und Uhrzeit ein.
6. Klicken Sie auf Fertigstellen. Der Installationsauftrag wird an Google gesendet. Die eigentliche Installation der App auf dem Gerät wird von Google verwaltet. Auf der Seite Auftragsstatus wird der Auftragsstatus als erfolgreich angezeigt, sobald er an Google gesendet wurde.
19.8.5 Berufliche App deinstallieren Sie können eine berufliche App von ausgewählten Geräten oder Gerätegruppen deinstallieren. 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Apps und klicken Sie anschließend auf Android. 2. Klicken Sie auf der Seite Apps auf Apps für Android for Work. 3. Klicken Sie auf der Seite Apps für Android for Work auf Deinstallieren. 4. Wählen Sie die Geräte aus, von denen Sie die App deinstallieren wollen. Gehen Sie auf eine der folgenden Weisen vor: ■ ■
Wählen Sie einzelne Geräte aus. Klicken Sie auf Gerätegruppen auswählen und wählen Sie anschließend eine oder mehrere Gerätegruppen aus.
Wenn Sie fertig sind, klicken Sie auf Weiter. 5. Wählen Sie auf der Seite App auswählen die gewünschte App aus. 6. Geben Sie auf der Seite Ausführungszeit wählen den Zeitpunkt an, zu dem die App deinstalliert wird: ■
206
Für eine sofortige Ausführung wählen Sie Sofort aus.
Administratorhilfe
■
Für eine geplante Ausführung wählen Sie Datum aus und geben Sie anschließend Datum und Uhrzeit ein.
7. Klicken Sie auf Fertigstellen. Ein Auftrag zur Deinstallation der App wird an einen Google-Dienst gesendet. Das eigentliche Entfernen der App vom Gerät wird von Google verwaltet. Auf der Seite Auftragsstatus wird der Auftragsstatus als erfolgreich angezeigt, sobald er an Google gesendet wurde. Tipp: Alternativ können Sie mit der folgenden Methode eine App von einem einzelnen Gerät deinstallieren: Öffnen Sie die Seite Gerät anzeigen für das gewünschte Gerät, wechseln Sie auf die Registerkarte Installierte Apps und klicken Sie auf das Mülleimer-Symbol neben dem App-Namen.
19.8.6 Lizenzen für berufliche Apps Indem Sie Benutzern Lizenzen für kostenpflichtige berufliche Apps zuweisen, definieren Sie, welche Apps für einen Benutzer zur Verfügung stehen. Sie weisen Benutzern nur Lizenzen für kostenpflichtige Apps zu. Kostenlose Apps, die Sie in Google Play for Work genehmigt haben, stehen automatisch allen Ihren Benutzern zur Verfügung, sobald Sie die Liste Ihrer Apps von Google nach Sophos Mobile Control synchronisiert haben. Tipp: Für App-Installationen, die vom Administrator initiiert werden, brauchen Sie keine Lizenzen zuzuordnen. Wenn Sie eine berufliche App wie in Berufliche App installieren (Seite 206) beschrieben installieren, wird eine Lizenz aus Ihrem Lizenzpool automatisch den jeweiligen Benutzern zugewiesen. Sie konfigurieren die Zuordnung von Lizenzen auf der Seite Berufliche App bearbeiten. Siehe Berufliche App bearbeiten (Seite 203).
19.8.7 Layout von Google Play for Work Sie können festlegen, an welcher Position in der App „Google Play Store“ eine berufliche App angezeigt wird. Die konfigurierbaren Layout-Elemente sind Seiten und Kategorien. ■
Seiten sind benannte, vertikal scrollbare Ansichten. Seiten und Seitennamen sind von Sophos Mobile Control vordefiniert.
■
Kategorien sind benannte, horizontal scrollbare Unterabschnitte einer von Ihnen definierten Seite. Google bezeichnet diese Kategorien auch als Cluster.
■
Jede Kategorie gehört zu einer bestimmten Seite und jede App gehört zu einer bestimmten Kategorie.
■
Seiten, auf denen sich keine App befindet, werden nicht angezeigt.
■
Sie können maximal 30 Kategorien pro Seite und 100 Apps pro Kategorie konfigurieren.
Für jede App definieren Sie die Seite und optional die Kategorie, in der die App in der App „Google Play Store“ auf den Geräten angezeigt wird. Standardmäßig werden Apps auf der Seite Sonstiges angezeigt. Sie konfigurieren das Layout von Google Play for Work auf der Seite Berufliche App bearbeiten. Siehe Berufliche App bearbeiten (Seite 203).
207
Sophos Mobile Control
19.8.8 Konfigurierbare berufliche Apps Eine berufliche App kann eine verwaltete Konfiguration anbieten. Diese Funktion wird vom jeweiligen Entwickler der App bereitgestellt und erlaubt Ihnen, benutzerdefinierte Einstellungen für die App zu konfigurieren. Wenn die App eine verwaltete Konfiguration unterstützt, wird in Google Play for Work auf der Seite App ein Hinweis Diese App bietet eine verwaltete Konfiguration angezeigt. Sie konfigurieren die Einstellungen der App auf der Seite Berufliche App bearbeiten. Siehe Berufliche App bearbeiten (Seite 203).
19.8.9 Private und selbst gehostete Apps Alle beruflichen Apps, die Ihren Benutzern zur Verfügung stehen sollen, müssen über Google Play for Work bereitgestellt werden. ■
Öffentliche berufliche Apps sind Apps, die allen Benutzer mit einem Google-Play-for-Work-Konto zur Verfügung stehen.
■
Private berufliche Apps sind Apps, die Sie selbst entwickelt haben und die nur den Benutzern in Ihrer Domäne zur Verfügung stehen.
■
Selbst gehostete berufliche Apps sind private Apps, deren Paketdatei (d.h. die APK-Datei) auf einem Server Ihres Unternehmens liegt anstatt auf dem Google-Server. Allerdings müssen bei selbst gehosteten Apps die Store-Metadaten der App zu Google hochgeladen werden, damit die App über Google Play for Work bereitgestellt werden kann.
Informationen zu privaten beruflichen Apps finden Sie auf der Website Android for Work Developer (externer Link).
208
Administratorhilfe
20 Administratoren erstellen 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Administratoren, um die Seite Administratoren anzeigen zu öffnen, und klicken Sie anschließend auf Administrator erstellen. 2. Konfigurieren Sie auf der Seite Administrator bearbeiten die Kontodaten für den Administrator. ■
■
Wenn für den Kunden Externes LDAP-Verzeichnis als Benutzerverzeichnis eingestellt ist, können Sie auf Benutzer mittels LDAP nachschlagen klicken, um ein vorhandenes LDAP-Konto auszuwählen. Wenn Sie kein externes Benutzerverzeichnis verwenden, geben Sie die relevanten Informationen für Anmeldename, Vorname, Nachname, E-Mail-Adresse und Kennwort ein.
Das Kennwort, das Sie angeben, ist nur einmal gültig. Der Administrator muss das Kennwort bei der ersten Anmeldung ändern. Hinweis: Der Anmeldename darf nur folgende Zeichen enthalten: ■
Großbuchstaben A-Z (Lateinisches Alphabet)
■
Kleinbuchstaben a-z (Lateinisches Alphabet)
■
Ziffern 0-9
■
Die Zeichen !._-#
3. Wählen Sie aus der Liste Rolle eine der vorhandenen Rollen aus. Über die Rolle werden die Zugriffsrechte des neuen Administrators in Sophos Mobile Control definiert. Siehe Benutzerrollen (Seite 10). 4. Klicken Sie auf Speichern, um das Administrator-Konto anzulegen. Der neue Administrator wird angelegt und auf der Seite Administratoren anzeigen angezeigt. Geben Sie die Benutzeranmeldedaten (Benutzer, Kunde und einmal zu verwendendes Kennwort) an den neuen Benutzer weiter. Der neue Benutzer kann sich an der Sophos Mobile Control Konsole anmelden und wird zum Ändern seines Kennworts aufgefordert.
209
Sophos Mobile Control
21 Nachricht an Geräte senden Sie können eine selbstdefinierte Nachricht an verwaltete Geräte senden. Hinweis: Sie können keine Nachrichten an Windows-Desktop-Geräte senden. 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. Die Seite Geräte wird angezeigt. 2. Wählen Sie ein oder mehrere Geräte aus, klicken Sie auf Aktionen und anschließend auf Nachricht senden. 3. Geben Sie im Dialog Mitteilungstext eingeben den zu sendenden Text ein. Die Nachricht kann bis zu 500 Zeichen enthalten. Unterhalb des Textfeldes wird die verbleibende Zeichenanzahl angezeigt. 4. Klicken Sie auf Fertigstellen.
210
Administratorhilfe
22 Advanced-Lizenz Wenn Sie eine Lizenz vom Typ SMC Advanced aktivieren, können Sie folgende zusätzlichen Funktionen verwenden: ■
Die Apps Sophos Secure Workspace und Secure Email verwalten. Siehe Sophos-Container-Apps verwalten (Seite 217).
■
Die App „Sophos Mobile Security“ auf Android-Geräten verwalten. Siehe Sophos Mobile Security verwalten (Seite 212).
Nachdem Sie Ihren Lizenzschlüssel erhalten haben, müssen Sie die Lizenz aktivieren.
Eine Lizenz vom Typ SMC Advanced für lokale Installationen aktivieren Für lokale Installationen von Sophos Mobile Control werden die Lizenzen vom Superadministrator in der Kundenverwaltung verwaltet. Weitere Informationen finden Sie im englischsprachigen Dokument Sophos Mobile Control Super Administrator Guide.
Eine Lizenz vom Typ SMC Advanced für Sophos Mobile Control as a Service aktivieren Navigieren Sie in der Sophos Mobile Control Konsole zu EINSTELLUNGEN > Einrichtung > Systemeinstellungen > Lizenz und geben Sie im Feld Advanced-Lizenzschlüssel Ihren Lizenzschlüssel ein.
211
Sophos Mobile Control
23 Sophos Mobile Security verwalten Hinweis: Für diese Funktion benötigen Sie eine Lizenz vom Typ SMC Advanced. Sophos Mobile Security ist eine Sicherheits-App für Android-Geräte, die Geräte vor schädlichen Apps schützt und Benutzer beim Erkennen von App-Berechtigungen unterstützt, die möglicherweise ein Sicherheitsrisiko darstellen. Seine Webfilter-Funktion erlaubt Ihnen, Websites nach Kategorien zu filtern und unpassende Inhalte zu blockieren. So verwalten Sie die App „Sophos Mobile Security“ auf Geräten, die bei Sophos Mobile Control registriert sind: ■
Sie können Einstellungen für die App „Sophos Mobile Security“ auf allen verwalteten Geräten ferngesteuert und zentral konfigurieren.
■
Sie können sicherstellen, dass die Sophos Mobile Security App auf den Geräten installiert ist und in festgelegten Intervallen Scans durchführt. Sie können dies als Compliance-Regel definieren.
■
Sie können Scans bei bestimmten Geräten auslösen.
■
Sie können die Scan-Ergebnisse für Geräte anzeigen.
Weitere Informationen zu Sophos Mobile Security finden Sie in der Sophos Mobile Security Hilfe.
23.1 Antivirus-Einstellungen für Sophos Mobile Security konfigurieren Voraussetzung: Sie haben eine Lizenz vom Typ SMC Advanced aktiviert. 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Profile, Richtlinien und klicken Sie anschließend auf Android. Die Seite Profile und Richtlinien wird angezeigt. 2. Klicken Sie auf Erstellen und wählen Sie Mobile-Security-Richtlinie aus. Die Seite Richtlinie bearbeiten wird angezeigt. 3. Geben Sie einen Name und eine Version für das neue Profil ein. 4. Geben Sie im Feld Beschreibung eine Beschreibung für das Profil ein. 5. Klicken Sie auf Konfiguration hinzufügen. Die Seite Verfügbare Konfigurationen wird angezeigt. 6. Wählen Sie Antivirus und klicken Sie auf Weiter. Die Einstellungen-Ansicht der Konfiguration wird angezeigt. 7. Wechseln Sie in die Antivirus Registerkarte. 8. Unter Allgemein können Sie folgende Einstellungen festlegen: a) Legen Sie im Feld Cloud Scan-Modus fest, wann Sophos Mobile Security einen Scan nach den aktuellen Malware-Informationen durchführen soll. Wählen Sie eine der
212
Administratorhilfe
folgenden Optionen, um festzulegen, wann die Anwendung eine Cloud-Abfrage nutzen soll: ■
Immer
■
Nicht bei Roaming
■
Nur WLAN
Mit dieser Einstellung lässt sich der Datenverkehr der Anwendung steuern. Wenn Sie den Cloud Scan-Modus auf Nur WLAN einstellen, wird die Cloud-Abfrage nur dann durchgeführt, wenn das Gerät eine WLAN-Verbindung hat. Wenn Sie den Cloud Scan-Modus auf Nicht beim Roaming einstellen, wird keine Cloud-Abfrage durchgeführt, während das Gerät einen Roaming-Vorgang in einem fremden Netzwerk durchführt. b) Wählen Sie in der Liste Scan-Intervall aus, wie oft Scans ausgeführt werden sollen. 9. Unter Ziele können Sie folgende Einstellungen festlegen: a) Wählen Sie System Apps scannen, um System Apps in die Scan-Vorgänge einzubeziehen. System Apps werden standardmäßig nicht gescannt, da diese durch das Android-Betriebssystem geschützt sind und nicht vom Benutzer entfernt werden können. Sie können jedoch hier das Scannen von System Apps aktivieren. b) Wenn Sie Speichermedien werden gescannt wählen, werden neben dem standardmäßigen Scan aller installierten Anwendungen auch alle Dateien auf SD-Karten, USB und anderen Speichermedien gescannt. 10. Unter PUAs können Sie Folgendes auswählen: a) Wenn Sie PUAs erkennen wählen, wird ein Scan-Vorgang nach PUAs (Potentially Unwanted Applications) durchgeführt. Potenziell unerwünschte Apps (PUAs) sind Apps, die zwar nicht schädlich sind, jedoch für Unternehmensnetzwerke als ungeeignet angesehen werden. Dazu gehören beispielsweise Adware, Dialer (Einwahlprogramme), Systemmonitore, Remote-Verwaltungs- und Hacking-Tools. Einige Apps, die unter PUAs fallen, können für manche Benutzer jedoch hilfreich sein. Wenn Sie diese Option wählen, erkennt Sophos Mobile Security potenziell unerwünschte Apps im Rahmen von Scan-Vorgängen und benachrichtigt den Benutzer entsprechend. b) Wählen Sie Benutzer darf Apps erlauben, damit die Benutzer Apps erlauben können, obwohl diese als PUAs erkannt wurden. Der Benutzer kann diese Apps als ignoriert kennzeichnen. In nachfolgenden Scans werden diese Apps nicht als PUAs angezeigt. 11. Unter Apps mit niedriger Reputation können Sie definieren, wie mit derartigen Apps umgegangen werden soll. Die Klassifizierung von Apps basiert auf Sophos Live Protection Daten. Unter Modus können Sie Folgendes auswählen: a) Wählen Sie Erlauben, um das Scannen nach Apps niedriger Reputation auszuschalten. b) Wählen Sie Warnen, um eine Warnung am Gerät anzuzeigen, wenn eine App niedriger Reputation erkannt wurde. Die Benutzer können dann wählen, wie die App behandelt werden soll. Sie können sie zu einer Liste von erlaubten Apps hinzufügen, so dass keine weiteren Warnungen angezeigt werden, wenn diese App erkannt wird. c) Wählen Sie Blockieren aus, um zu verhindern, dass Apps niedriger Reputation gestartet werden. Eine Warnung wird angezeigt, und der Benutzer kann die App nicht starten.
213
Sophos Mobile Control
12. Unter Echtzeitschutz können Sie Folgendes auswählen: a) Wählen Sie Scan-Benachrichtigungen, um Scan-Benachrichtigungen auf dem Gerät zu erhalten. b) Wählen Sie SD-Karte überwachen, um die SD-Karte auf Änderungen zu überprüfen. Wenn neue Dateien auf der SD-Karte gespeichert werden, werden diese gescannt. 13. Wenn die Scanergebnisse Apps enthalten, die gestartet werden dürfen, können Sie diese zur Liste der erlaubten Apps hinzufügen. Apps auf dieser Liste dürfen immer gestartet werden. Die Apps werden nicht gemeldet. Um eine solche App zu identifizieren, können Sie die Scan-Ergebnisse von Sophos Mobile Security verwenden. Informationen hierzu finden Sie in Scan-Resultate von Sophos Mobile Security anzeigen (Seite 215). Bevor Sie erlauben können, dass diese Apps auf den Geräten gestartet werden dürfen, müssen Sie sie zu einer App-Gruppe hinzufügen, wie in App-Gruppen (Seite 191) beschrieben. 14. Um erlaubte Apps hinzuzufügen, wählen Sie die App-Gruppe aus, welche die erlaubten Apps enthält. 15. Klicken Sie auf Anwenden.
23.2 Webfilter-Einstellungen für Sophos Mobile Security konfigurieren Voraussetzung: Sie haben eine Lizenz vom Typ SMC Advanced aktiviert. Die App „Sophos Mobile Security“ schützt Sie vor Internetseiten mit schädlichem, unerwünschtem oder illegalem Inhalt. Hinweis: Web Filtering funktioniert nur mit dem Android-Webbrowser, dem Samsung-Webbrowser, dem ASUS-Webbrowser oder mit Google Chrome. Auf Geräten mit Android 6.0 oder höher werden außerdem Firefox, Opera und Opera Mini unterstützt. 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Profile, Richtlinien und klicken Sie anschließend auf Android. Die Seite Profile und Richtlinien wird angezeigt. 2. Klicken Sie auf Erstellen und wählen Sie Mobile-Security-Richtlinie aus. Die Seite Richtlinie bearbeiten wird angezeigt. 3. Geben Sie einen Name und eine Version für das neue Profil ein. 4. Geben Sie im Feld Beschreibung eine Beschreibung für das Profil ein. 5. Klicken Sie auf Konfiguration hinzufügen. Die Seite Verfügbare Konfigurationen wird angezeigt. 6. Wählen Sie Webfilter und klicken Sie auf Weiter. Die Seite Web-Filter wird angezeigt. 7. Geben Sie im Feld Schädliche Websites filtern an, ob Sie schädliche Websites Erlauben wollen, ob Sie den Benutzer vor schädlichen Websites Warnen wollen, oder ob Sie diese Sites Blockieren wollen.
214
Administratorhilfe
8. Unter Websites nach Kategorien filtern geben Sie für jede Kategorie an, ob Sie Zugriff auf Websites dieser Kategorie Erlauben wollen, ob Sie den Benutzer vor möglicherweise schädlichem, unerwünschtem oder illegalen Inhalt Warnen wollen, oder ob Sie Websites dieser Kategorie Blockieren wollen. Websites werden basierend auf Daten von SophosLabs kategorisiert. Die Daten werden laufend aktualisiert. 9. Unter Website-Ausschlüsse können Sie Folgendes festlegen: a) Erlaubte Domänen: Fügen Sie Domänen oder IP-Adressen hinzu, die auch dann erlaubt sind, wenn die Kategorie, der sie angehören, blockiert wird. b) Blockierte Domänen: Fügen Sie Domänen oder IP-Adressen hinzu, die auch dann blockiert sind, wenn die Kategorie, der sie angehören, erlaubt wird. Sie können Domänen-Namen oder IP-Adressen eingeben. Beispiel: www.firma.de, *.firma.de, 10.2.0.1, 10.2.0.1/24 10. Klicken Sie auf Anwenden. Benutzer können die Einstellungen, die Sie in Sophos Mobile Control machen, nicht ändern.
23.3 Compliance-Regeln für Sophos Mobile Security definieren Voraussetzung: Sie haben eine Lizenz vom Typ SMC Advanced aktiviert. Sie können Compliance-Regeln konfigurieren, die sich auf Sophos Mobile Security beziehen. 1. Fügen Sie eine neue Geräterichtlinie hinzu oder öffnen Sie eine bereits vorhandene zum Bearbeiten. Weitere Informationen finden Sie in Compliance-Richtlinien (Seite 43). 2. Wechseln Sie in die Android Registerkarte. 3. Im Feld Max. SMSec-Scanintervall können Sie das maximale Scanintervall zwischen Malware-Scans angeben, die von der App „Sophos Mobile Security“ durchgeführt werden. 4. Wählen Sie in der Liste Ablehnung von SMSec-Berechtigungen erlaubt aus, ob die Ablehnung der erforderlichen Berechtigungen ein Compliance-Verstoß ist. 5. Wählen Sie in der Liste Malware Apps zugelassen aus, ob Malware-Apps erlaubt sind. 6. Wählen Sie in der Liste Verdächtige Apps zugelassen aus, ob verdächtige Apps erlaubt sind. 7. Wählen Sie in der Liste PUA zugelassen aus, ob PUAs (Potentially Unwanted Apps) erlaubt sind. 8. Wenn Sie alle erforderlichen Einstellungen konfiguriert haben, klicken Sie auf Speichern.
23.4 Scan-Resultate von Sophos Mobile Security anzeigen Voraussetzung: Sie haben eine Lizenz vom Typ SMC Advanced aktiviert. 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. Die Seite Geräte wird angezeigt. Diese zeigt alle Geräte, die für diesen Kunden bei Sophos Mobile Control registriert sind. 2. Klicken Sie auf das blaue Dreieck neben dem gewünschten Gerät und dann auf Bearbeiten, oder klicken Sie auf dessen Namen. Die Seite Gerät anzeigen oder die Seite Gerät bearbeiten wird angezeigt.
215
Sophos Mobile Control
3. Wechseln Sie in die Scan-Ergebnisse Registerkarte. Diese Registerkarte zeigt die Sophos Mobile Security Scan-Ergebnisse. Die unsauberen Pakete, zum Beispiel PUAs (Potentially Unwanted Apps), werden in einer Tabelle angezeigt. Unter Threat-Name können Sie auf die Links klicken, um weitere Informationen von Sophos Labs zur den einzelnen Bedrohungen anzuzeigen. 4. Wechseln Sie auf die Registerkarte Compliance-Verstöße, um die mit den Scan-Ergebnissen verbundenen Compliance-Verstöße zu sehen. Welche Verstöße angezeigt werden, richtet sich nach den Sophos Mobile Security Compliance-Regeln.
23.4.1 Liste erlaubter PUAs und Apps mit niedriger Reputation erstellen Sie können die Scan-Ergebnisse verwenden, um eine Liste der erlaubten Apps zu erstellen. Die Liste gilt für alle Android-Geräte, auf denen die App „Sophos Mobile Security“ installiert ist, in dem Kunden, an dem Sie angemeldet sind. 1. Wechseln Sie zur Registerkarte Scan-Ergebnisse eines Ihrer gescannten Geräte. Die unsauberen Pakete werden in einer Tabelle angezeigt. Die Spalte Threat-Name zeigt an, ob das angezeigte Paket eine App niedriger Reputation, eine PUA oder Malware ist. Sie können auf die Links klicken, um weitere Informationen zur den einzelnen Bedrohungen von SophosLabs abzurufen. Gefundene Apps mit niedriger Reputation und PUAs haben ein blaues Häkchen-Symbol links vom Paketnamen. Nur diese Apps können zur Liste der erlaubten Apps hinzugefügt werden. 2. Klicken Sie auf das blaue Häkchen-Symbol, um die App zur Liste der erlaubten Apps hinzuzufügen. 3. Klicken Sie im Dialogfeld auf Ja, um die Aktion zu bestätigen. Die App wird zur Liste der erlaubten Apps hinzugefügt. 4. Wiederholen Sie diesen Schritt für alle Apps, die Sie hinzufügen möchten. 5. Um die Liste anzuzeigen, gehen Sie auf Einstellungen und klicken Sie auf Allgemein. 6. Klicken Sie auf Liste der erlaubten Apps anzeigen. Alle Apps, die Sie hinzugefügt haben, werden angezeigt. Apps auf dieser Liste dürfen auf allen verwalteten Geräten gestartet werden. Die Apps werden nicht mehr gemeldet. Wenn Sie auf Liste der erlaubten Apps löschen klicken, werden alle Listeneinträge gelöscht.
216
Administratorhilfe
24 Sophos-Container-Apps verwalten Hinweis: Für diese Funktion benötigen Sie eine Lizenz vom Typ SMC Advanced. Für eine bessere Trennung der Daten auf den mit Sophos Mobile Control verwalteten Geräten stehen die Sophos-Container-Apps Sophos Secure Email und Sophos Secure Workspace zur Verfügung: ■
Sophos Secure Email ist eine App für Geräte mit Android oder iOS, die einen sicheren Container zur Verwaltung Ihrer E-Mails, Ihres Kalenders und Ihrer Kontakte bereitstellt.
■
Sophos Secure Workspace ist eine App für Geräte mit Android oder iOS, die es Benutzern erlaubt, auf verschlüsselte Dateien zuzugreifen, die in der Cloud gespeichert sind. Dateien können nahtlos entschlüsselt und angezeigt werden. Verschlüsselte Dateien können von anderen Apps übergeben und zu einem der unterstützten Cloud-Speicheranbieter hochgeladen werden. Alternativ können die Dokumente lokal innerhalb der App gespeichert werden. Mit Sophos Secure Workspace können Sie mit SafeGuard Cloud Storage oder SafeGuard Data Exchange verschlüsselte Dateien lesen. SafeGuard Cloud Storage und SafeGuard Data Exchange sind Module von SafeGuard Enterprise oder einer der verschiedenen Produkteditionen. Mit diesen Modulen lassen sich Dateien mit einem lokalen Schlüssel verschlüsseln. Diese lokalen Schlüssel werden aus einer Passphrase abgeleitet, die von einem Benutzer eingegeben wird. Sie können eine Datei nur dann entschlüsseln, wenn Sie die Passphrase kennen, mit der die Datei verschlüsselt wurde.
Durch den Sophos-Container wird folgendes verwaltet: ■
Zentral festgelegte Kennwort-Regeln
■
Kennwort-Regeln für alle Container-Apps
■
Single-Sign-On für alle Container-Apps
■
Dokumenteinstellungen für Sophos Secure Workspace
■
Browser-Einstellungen für Sophos Secure Workspace
■
Einstellungen für Sophos Secure Email
So verwalten Sie die Sophos-Apps mit Sophos Mobile Control: ■
Sie können die Einstellungen für die Sophos-Container-Apps auf allen verwalteten Geräten zentral und per Fernzugriff in Sophos Mobile Control konfigurieren. Siehe Konfigurationen für Sophos-Container-Richtlinien für Android (Seite 106) und Konfigurationen für Sophos-Container-Richtlinien für iOS (Seite 147).
■
Sie können sicherstellen, dass die Sophos-Container-Apps auf den Geräten installiert sind. Sie können dies als Compliance-Regel definieren.
■
Sie können die sichere Verteilung von Dokumenten aktivieren, indem Sie den Speicheranbieter Unternehmensdokumente verwenden. Siehe Unternehmensdokumente (Seite 193).
■
Sie können die Synchronisierung des Unternehmens-Schlüsselbundes zwischen Sophos Secure Workspace und Sophos SafeGuard Enterprise aktivieren. Dadurch haben Benutzer in ihrem Schlüsselbund in Sophos Secure Workspace auch Zugriff auf die Schlüssel ihres SafeGuard-Schlüsselbundes. Siehe Synchronisierung des Unternehmens-Schlüsselbundes aktivieren (Seite 219).
217
Sophos Mobile Control
Hinweis: Um die Sophos-Container-Apps verwalten zu können, müssen diese mit Sophos Mobile Control verteilt worden sein. Falls Benutzer bereits eine nicht verwaltete Version von Sophos Secure Workspace auf ihren Geräten installiert haben, müssen Sie diese zunächst deinstallieren und anschließend die verwaltete Version installieren. Weitere Informationen zu Sophos Secure Workspace finden Sie in der Hilfe zu Sophos Secure Workspace.
24.1 Sophos-Container-Kennwort zurücksetzen Voraussetzung: Sie haben eine Lizenz vom Typ SMC Advanced aktiviert. Hinweis: Dieser Abschnitt gilt nur für Geräte, denen eine Sophos-Container-Richtlinie zugewiesen ist. Sie können das Sophos-Container-Kennwort zurücksetzen. Das ist zum Beispiel hilfreich, wenn Benutzer ihr Kennwort vergessen haben. Wenn Sie ein Sophos-Container-Kennwort zurücksetzen, werden die Benutzer aufgefordert, ein neues Container-Kennwort festzulegen. 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. Die Seite Geräte wird angezeigt. 2. Klicken Sie auf das Gerät, für das Sie das Sophos-Container-Kennwort zurücksetzen wollen. Die Seite Gerät anzeigen wird angezeigt. 3. Klicken Sie auf Aktionen. Das Aktionen Menü wird angezeigt. 4. Klicken Sie auf Sophos-Container-Kennwort zurücksetzen. 5. Klicken Sie im Dialogfeld auf Ja, um die Aktion zu bestätigen. Das Sophos-Container-Kennwort wird zurückgesetzt. Der Benutzer muss ein neues Sophos-Container-Kennwort eingeben.
24.2 Sophos-Container sperren und entsperren Voraussetzung: Sie haben eine Lizenz vom Typ SMC Advanced aktiviert. Hinweis: Dieser Abschnitt gilt nur für Geräte, denen eine Sophos-Container-Richtlinie zugewiesen ist. Sie können den Sophos-Container sperren oder entsperren, d.h. die Zugriffsrechte für die Sophos-Container-Apps und für im Container vorhandene Daten festlegen. 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. 2. Klicken Sie auf der Seite Geräte auf das blaue Dreieck neben dem Gerät, auf dem Sie den Sophos-Container sperren oder entsperren wollen, und klicken Sie anschließend auf Anzeigen. 3. Klicken Sie auf der Seite Gerät anzeigen auf Aktionen > Sophos-Container-Zugriff festlegen. 4. Im Dialogfeld zum Festlegen der Zugriffsrechte wählen Sie eine der folgenden Einstellungen aus: ■
218
Sperren: Der Sophos-Container wird gesperrt. Benutzer können den Sophos-Container nicht mehr verwenden.
Administratorhilfe
■ ■
Erlauben: Der Sophos-Container wird entsperrt. Automatischer Modus: Der Sophos-Container ist gesperrt, solange das Gerät gegen eine Compliance-Regel verstößt, bei der die Aktion Container sperren aktiviert ist. Dies ist das Standardverhalten, wenn Sie keine Zugriffsrechte festgelegt haben.
5. Klicken Sie auf Ja. Dies weist das Gerät an, sich mit dem Sophos Mobile Control Server zu synchronisieren. Bei der Synchronisierung wird die Einstellung auf dem Gerät angewendet.
24.3 Synchronisierung des Unternehmens-Schlüsselbundes Durch die Synchronisierung des Unternehmens-Schlüsselbundes sind folgende zusätzliche Funktionen in der App „Sophos Secure Workspace“ verfügbar: ■
Benutzer haben in ihrem Schlüsselbund in Sophos Secure Workspace (SSW-Schlüsselbund) auch Zugriff auf die Schlüssel ihres Schlüsselbundes aus SafeGuard Enterprise.
■
Benutzer der App können diese Schlüssel verwenden, um Dokumente zu entschlüsseln und zu betrachten, oder um Dokumente zu verschlüsseln.
■
Nachdem Sie die Schlüsselbund-Synchronisierung aktiviert haben, können Benutzer weiterhin lokale Schlüssel aus ihrem SSW-Schlüsselbund verwenden.
■
Benutzer können keine neuen lokale Schlüssel erstellen.
■
Aus Sicherheitsgründen werden beim Sperren des Sophos-Containers alle Schlüssel vom Gerät entfernt, die aus dem SafeGuard-Schlüsselbund stammen.
24.3.1 Synchronisierung des Unternehmens-Schlüsselbundes aktivieren Voraussetzungen: ■
Sie verwenden Sophos SafeGuard Enterprise 8.0.
■
Sie haben eine externe Benutzerverwaltung für das Self Service Portal konfiguriert, mit derselben Active-Directory-Benutzerdatenbank wie für SafeGuard Enterprise.
■
Sophos Secure Workspace wird von Sophos Mobile Control verwaltet. Hierfür wird eine SMC-Advanced-Lizenz benötigt.
Um die Synchronisierung des Unternehmens-Schlüsselbundes zu aktivieren, richten Sie eine Verbindung zwischen Sophos Mobile Control und Sophos SafeGuard Enterprise ein: 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Systemeinstellungen und klicken Sie anschließend auf die Registerkarte SGN. 2. Klicken Sie auf den Link Zertifikat, um das Zertifikat des Sophos Mobile Control Servers herunterzuladen. 3. Öffnen Sie das SafeGuard Management Center und navigieren Sie zu Extras > Konfigurationspakete. 4. Klicken Sie auf der Registerkarte Server auf Hinzufügen, wählen Sie die Zertifikatdatei aus und klicken Sie auf OK. Ändern Sie nicht den Wert im Feld Servername. 5. Optional: Wählen Sie Recovery via mobile aus, um die Synchronisierung von BitLocker und FileVault Wiederherstellungsschlüsseln mit der App „Sophos Secure Workspace“ zu aktivieren.
219
Sophos Mobile Control
6. Konfigurieren Sie auf der Registerkarte Pakete für Managed Clients folgende Einstellungen: ■
■ ■
Wählen Sie im Feld Name des Konfigurationspakets die Option Managed Client (Default) aus. Wählen Sie im Feld Primärer Server Ihren SGN-Server aus. Wählen Sie im Feld Transportverschlüsselung die Option SSL aus.
7. Klicken Sie auf Konfigurationspaket erstellen. 8. Klicken Sie in der Sophos Mobile Control Konsole, auf der Registerkarte SGN, auf Datei hochladen, um das im SafeGuard Management Center erstellte Konfigurationspaket nach Sophos Mobile Control hochzuladen. 9. Klicken Sie auf Speichern, um die Einstellungen für die SafeGuard-Integration zu speichern.
220
Administratorhilfe
25 Glossar Auftragspaket
Sie erstellen ein Auftragspaket, um mehrere Aufträge zu einem Vorgang zu bündeln. Sie können alle Aufträge bündeln, die zur vollständigen Bereitstellung eines Gerätes notwendig sind.
Ersteinrichtung
Der Installationsvorgang der App „Sophos Mobile Control“ auf einem Gerät.
Gerät
Das zu verwaltende Gerät (zum Beispiel ein Smartphone oder Tablet, oder ein Gerät mit Windows 10).
Kunde
Der Mandant, der Geräte verwaltet.
Lizenz SMC Advanced
Mit einer Lizenz vom Typ SMC Advanced können Sie die Apps „Sophos Mobile Security“, „Sophos Secure Workspace“ und „Sophos Secure Email“ mit Sophos Mobile Control verwalten.
Enterprise App Store Ein App-Archiv auf dem Sophos Mobile Control Server. Der Administrator kann in der Sophos Mobile Control Konsole Apps zum Enterprise App Store hinzufügen. Endbenutzer können diese Apps dann mit der App „Sophos Mobile Control“ auf ihren Geräten installieren. Self Service Portal
Die Web-Benutzeroberfläche, über die Benutzer ihre eigenen Geräte registrieren und andere Aufgaben ausführen können. Hierzu ist keine Unterstützung durch den Helpdesk erforderlich.
SMSec
Abkürzung für Sophos Mobile Security.
Sophos Mobile Control Client
Die App „Sophos Mobile Control“, die auf dem Gerät installiert ist.
Sophos Mobile Control Konsole
Die Web-Oberfläche, mit der Sie Geräte verwalten.
Sophos Mobile Security
Eine Sicherheits-App für Android-Geräte. Sie können diese App mit Sophos Mobile Control verwalten, vorausgesetzt, eine Lizenz vom Typ SMC Advanced ist aktiviert.
Sophos Secure Email Eine App für Geräte mit Android oder iOS, die eine geschützte Arbeitsumgebung für die Verwaltung Ihrer E-Mails, Kontakte und Kalender bereitstellt. Sie können diese App mit Sophos Mobile Control verwalten, vorausgesetzt, eine Lizenz vom Typ SMC Advanced ist aktiviert. Sophos Secure Workspace
Eine App für Geräte mit Android oder iOS, die einen gesicherten Arbeitsbereich bereitstellt, um Dokumente zu verwalten, zu bearbeiten, zu teilen, zu verschlüsseln, zu entschlüsseln, oder um
221
Sophos Mobile Control
auf sie in einem Browser zuzugreifen. Die Dokumente können bei verschiedenen Speicheranbietern abgelegt sein oder von Ihrem Unternehmen verteilt werden. Sie können diese App mit Sophos Mobile Control verwalten, vorausgesetzt, eine Lizenz vom Typ SMC Advanced ist aktiviert.
222
Administratorhilfe
26 Technischer Support Technischen Support zu Sophos Produkten können Sie wie folgt abrufen: ■
Besuchen Sie die Sophos Community unter community.sophos.com/ und suchen Sie Benutzer mit dem gleichen Problem.
■
Durchsuchen Sie die Sophos Support Knowledgebase unter http://www.sophos.com/de-de.aspx.
■
Laden Sie die Produktdokumentation herunter unter www.sophos.com/de-de/support/documentation.aspx.
■
Öffnen Sie ein Ticket bei unserem Support Team unterhttps://secure2.sophos.com/support/contact-support/support-query.aspx.
223
Sophos Mobile Control
27 Rechtliche Hinweise Copyright © 2011-2017 Sophos Limited. Alle Rechte vorbehalten. Diese Publikation darf weder elektronisch oder mechanisch reproduziert, elektronisch gespeichert oder übertragen, noch fotokopiert oder aufgenommen werden, es sei denn, Sie verfügen entweder über eine gültige Lizenz, gemäß der die Dokumentation in Übereinstimmung mit dem Lizenzvertrag reproduziert werden darf, oder Sie verfügen über eine schriftliche Genehmigung des Urheberrechtsinhabers. Sophos ist eine eingetragene Marke von Sophos Limited und Sophos Group. Alle anderen erwähnten Produkt- und Unternehmensnamen sind Marken oder eingetragene Marken der jeweiligen Inhaber. Letzte Aktualisierung: 20170223
224
