Sophos Mobile Control Administratorhilfe
Produktversion: 6.1 Stand: August 2016
Inhalt 1 Über diese Hilfe..................................................................................................................5 2 Über Sophos Mobile Control..............................................................................................6 3 Über die Sophos Mobile Control Web-Konsole..................................................................8 3.1 Die Benutzeroberfläche der Web-Konsole............................................................8 3.2 Voraussetzungen..................................................................................................9 3.3 Web-Konsolen-Benutzer.......................................................................................9 3.4 An der Web-Konsole anmelden..........................................................................10 3.5 Von der Web-Konsole abmelden........................................................................10 3.6 Kennwort ändern................................................................................................11 3.7 Kennwort wiederherstellen.................................................................................11 4 Wichtige Schritte für das Management von Geräten mit der Web-Konsole......................12 5 Das Dashboard................................................................................................................13 6 Berichte............................................................................................................................14 7 Aufträge............................................................................................................................15 7.1 Aufträge überwachen..........................................................................................15 8 Allgemeine Einstellungen.................................................................................................19 8.1 Persönliche Einstellungen konfigurieren.............................................................19 8.2 Kennwortrichtlinien konfigurieren.......................................................................20 8.3 Einstellungen der SMC-App konfigurieren.........................................................21 8.4 Baidu Cloud Push aktivieren..............................................................................21 8.5 Einstellungen für iOS konfigurieren....................................................................22 8.6 Poll-Intervall für Windows-Geräte konfigurieren.................................................23 8.7 E-Mail konfigurieren............................................................................................23 8.8 Kontaktdetails für technische Unterstützung konfigurieren.................................23 8.9 Kundeneigenschaften definieren........................................................................23 9 Self Service Portal konfigurieren......................................................................................25 9.1 Self-Service-Portal-Gruppen bei interner Benutzerverwaltung erstellen............25 9.2 Self-Service-Portal-Einstellungen konfigurieren.................................................26 9.3 Verfügbare Self-Service-Portal-Einstellungen....................................................28 9.4 Self-Service-Portal-Benutzer verwalten..............................................................30 10 Systemeinstellungen......................................................................................................35 10.1 Lizenzen überprüfen.........................................................................................35 10.2 Apple Push Notification Keystore hochladen....................................................35 10.3 iOS-AirPlay-Wiedergabegeräte konfigurieren...................................................36 10.4 Samsung-KNOX-Lizenz....................................................................................36
2
10.5 SCEP konfigurieren..........................................................................................37 10.6 Benutzerverzeichnis konfigurieren....................................................................40 11 Compliance-Richtlinien...................................................................................................41 11.1 Compliance-Richtlinien erstellen......................................................................41 11.2 Verfügbare Geräterichtlinien.............................................................................43 11.3 Compliance-Richtlinien einer Gerätegruppe zuweisen.....................................47 11.4 Compliance-Prüfung von Geräten....................................................................47 12 Geräte zu Sophos Mobile Control hinzufügen................................................................49 12.1 Gerät hinzufügen..............................................................................................49 12.2 Gerät duplizieren..............................................................................................50 12.3 Geräte importieren...........................................................................................50 13 Mit Profilen und Richtlinien arbeiten...............................................................................52 13.1 Profile und Richtlinien für Android erstellen......................................................52 13.2 Unterstützung von Samsung KNOX.................................................................78 13.3 Profile und Richtlinien für iOS erstellen............................................................78 13.4 Profile und Richtlinien für Windows Mobile oder Desktop erstellen................114 13.5 Platzhalter in Profilen und Richtlinien.............................................................127 13.6 Profile übertragen...........................................................................................128 13.7 Richtlinien zuweisen.......................................................................................128 13.8 Profile und Richtlinien von der Web-Konsole herunterladen..........................129 13.9 Komplexitätsregeln für Windows-Desktop-Kennwörter...................................129 14 Mit Auftragspaketen arbeiten........................................................................................131 14.1 Auftragspakete erstellen.................................................................................131 14.2 Auftragspakete duplizieren.............................................................................132 14.3 Auftragspakete an einzelne Geräte oder Gerätegruppen übertragen............132 15 Mit Apps arbeiten.........................................................................................................134 15.1 App hinzufügen...............................................................................................134 15.2 App installieren...............................................................................................135 15.3 Apps deinstallieren.........................................................................................136 15.4 Über Apple VPP erworbene Apps verwalten..................................................136 15.5 VPN pro App und Einstellungen für iOS-Apps konfigurieren..........................141 16 Mit App-Gruppen arbeiten............................................................................................143 16.1 App-Gruppe erstellen.....................................................................................143 16.2 App-Gruppe importieren.................................................................................144 17 Unternehmensdokumente verteilen.............................................................................145 17.1 Unternehmensdokumente hinzufügen............................................................145 18 Geräte verwalten..........................................................................................................147 18.1 Geräte anzeigen.............................................................................................147 18.2 Geräte bearbeiten...........................................................................................150
3
18.3 Geräte über die Sophos Mobile Control Web-Konsole registrieren................152 18.4 Geräte deregistrieren......................................................................................155 18.5 Gerätegruppen...............................................................................................156 18.6 iOS-Geräte automatisch registrieren..............................................................157 18.7 Mit Apple DEP erworbene Geräte verwalten..................................................158 19 Administratoren erstellen..............................................................................................166 20 Nachrichten an Geräte senden....................................................................................167 20.1 Nachrichten an einzelne Geräte senden........................................................167 21 SMC-Advanced-Lizenzen.............................................................................................168 21.1 Lizenzen aktivieren für lokale Installationen...................................................168 21.2 Lizenzen aktivieren für Software-as-a-Service-Installationen.........................168 22 Sophos Mobile Security mit Sophos Mobile Control verwalten....................................169 22.1 Antivirus-Einstellungen für Sophos Mobile Security konfigurieren.................169 22.2 Webfilter-Einstellungen für Sophos Mobile Security konfigurieren.................171 22.3 Compliance-Einstellungen für Sophos Mobile Security definieren.................172 22.4 Scan-Resultate von Sophos Mobile Security anzeigen..................................173 23 Sophos-Container-Apps verwalten...............................................................................175 23.1 Sophos-Container-Apps konfigurieren...........................................................176 23.2 Kennwort für Sophos-Container-Apps zurücksetzen......................................176 23.3 Sophos-Container sperren und entsperren....................................................176 23.4 Synchronisierung des Unternehmens-Schlüsselbundes aktivieren................177 24 Glossar.........................................................................................................................179 25 Technischer Support.....................................................................................................181 26 Rechtliche Hinweise.....................................................................................................182
4
Administratorhilfe
1 Über diese Hilfe Diese Hilfe beschreibt die Benutzung der Sophos Mobile Control Web-Konsole. Weitere Informationen finden Sie in folgenden Dokumenten: ■
Eine Beschreibung der Sophos Mobile Control Installation finden Sie im Sophos Mobile Control Installationshandbuch. Dieses Handbuch ist für Sophos Mobile Control as a Service nicht relevant.
■
Informationen zur Benutzung der Sophos Mobile Control Web-Konsole als Superadministrator für die Kundenverwaltung finden Sie im englischsprachigen Dokument Sophos Mobile Control super administrator guide. Dieses Handbuch ist für Sophos Mobile Control as a Service nicht relevant.
■
Eine Beschreibung der wichtigsten Schritte für die Erstkonfiguration finden Sie in der Sophos Mobile Control Schnellstart-Anleitung und in der Sophos Mobile Control as a Service Schnellstart-Anleitung.
■
Informationen zum Self Service Portal finden Sie in der Sophos Mobile Control Benutzerhilfe.
Bezeichnungen In dieser Hilfe werden folgende Bezeichnungen verwendet: ■
Sofern nicht anders angegeben, bezieht sich der Ausdruck Windows Mobile auf die Betriebssysteme Windows Phone 8.x und Windows 10 in den Editionen Mobile und Mobile Enterprise.
■
Sofern nicht anders angegeben, bezieht sich der Ausdruck Windows Desktop oder Windows 10 Desktop auf das Betriebssystem Windows 10 in den Editionen Pro, Enterprise, Education und Home.
■
Sofern nicht anders angegeben, gehen alle Beschreibungen davon aus, dass Sie als Administrator an der Sophos Mobile Control Web-Konsole angemeldet sind.
5
Sophos Mobile Control
2 Über Sophos Mobile Control Sophos Mobile Control Sophos Mobile Control ist eine Verwaltungssoftware für Mobilgeräte wie Smartphones und Tablets, und für Geräte mit einem Windows-10-Desktop-Betriebssystem. Es verwaltet Apps und Sicherheitseinstellungen und hilft Ihnen so, Ihre Unternehmensdaten zu schützen. Sophos Mobile Control besteht aus einer Server- und einer Client-Komponente. Der Server ist die Kernkomponente von Sophos Mobile Control. Er verfügt über eine Web-Schnittstelle, mit der Sie Sophos Mobile Control und die registrierten Geräte verwalten. Die Client-Komponente ist eine App, die auf den Geräten installiert wird. Sie unterstützt eine Over-the-Air-Einrichtung und wird über die Web-Schnittstelle des Sophos Mobile Control Servers konfiguriert. Mit dem Sophos Mobile Control Self Service Portal für Ihre Benutzer können Sie den Aufwand für die IT verringern, indem Sie die Benutzer dazu berechtigen, ihre eigenen Geräte zu registrieren und andere Aufgaben auszuführen, ohne sich an den Helpdesk wenden zu müssen. Mit Sophos Mobile Control können Sie außerdem folgende mobile Apps verwalten: Sophos Mobile Security, Sophos Secure Workspace und Sophos Secure Email. Hierfür wird eine SMC-Advanced-Lizenz benötigt.
Sophos Mobile Security Sophos Mobile Security ist eine Sicherheits-App für Geräte mit Android-Betriebssystem. Mit den neuesten Daten von SophosLabs werden Ihre Apps bei der Installation automatisch gescannt. Diese Antivirus-Funktionalität schützt Sie vor Malware, die Datenverlust und unerwartete Kosten verursachen kann.
Sophos Secure Workspace Sophos Secure Workspace ist eine App für Geräte mit Android oder iOS, die einen gesicherten Arbeitsbereich bereitstellt, um Dokumente zu verwalten, zu bearbeiten, zu teilen, zu verschlüsseln, zu entschlüsseln, oder um auf sie in einem Browser zuzugreifen. Die Dokumente können bei verschiedenen Speicheranbietern abgelegt sein oder von Ihrem Unternehmen verteilt werden. Die App ist dafür entwickelt, Sie vor jeglichem Datenverlust zu schützen, sogar, wenn Ihr Gerät gestohlen wird oder wenn Sie Dateien unabsichtlich an einen falschen Empfänger senden. Dateien können nahtlos entschlüsselt und angezeigt werden. Dateien aus anderen Apps können verschlüsselt und anschließend zu einem der unterstützen Cloud-Speicheranbietern hochgeladen oder lokal in Sophos Secure Workspace gespeichert werden. Mit Sophos Secure Workspace können Sie mit SafeGuard Cloud Storage oder SafeGuard Data Exchange verschlüsselte Dateien lesen. SafeGuard Cloud Storage und SafeGuard Data Exchange sind Module von SafeGuard Enterprise oder einer der verschiedenen Produkteditionen. Sophos Secure Workspace enthält auch die Komponente Corporate Browser, einen Web-Browser, mit dem Sie gesichert auf firmeninterne Intranetseiten oder auf andere erlaubte
6
Administratorhilfe
Seiten zugreifen können. Dieser Zugriff wird über Richtlinien gesteuert, die Sie in Sophos Mobile Security anlegen.
Sophos Secure Email Sophos Secure E-Mail ist eine App für Geräte mit Android oder iOS, die einen sicheren Container zur Verwaltung Ihrer E-Mails, Ihres Kalenders und Ihrer Kontakte bereitstellt. Alle Daten sind verschlüsselt und vor dem Zugriff durch Dritte geschützt.
7
Sophos Mobile Control
3 Über die Sophos Mobile Control Web-Konsole Die Sophos Mobile Control Web-Konsole ist das zentrale Instrument für die Geräteverwaltung mit Sophos Mobile Control. Sie ist die Web-Schnittstelle für den für die Geräteverwaltung benutzten Server. Mit der Web-Konsole können Sie eine unternehmensweite Richtlinie für die Gerätenutzung implementieren und sie auf die in Sophos Mobile Control registrierten Geräte anwenden. Mit der Sophos Mobile Control Web-Konsole können Sie: ■
Das System konfigurieren, zum Beispiel persönliche oder plattformspezifische Einstellungen.
■
Geräterichtlinien konfigurieren und Aktionen festlegen, die ausgeführt werden, wenn Geräte nicht mehr den festgelegten Regeln entsprechen. Siehe Compliance-Richtlinien (Seite 41).
■
Geräte in Sophos Mobile Control registrieren. Siehe Geräte zu Sophos Mobile Control hinzufügen (Seite 49).
■
Neue Geräte provisionieren. Siehe Geräte über die Sophos Mobile Control Web-Konsole registrieren (Seite 152).
■
App-Pakete auf registrierten Geräten installieren. Siehe Mit Apps arbeiten (Seite 134).
■
Profile und Sicherheitsrichtlinien für Geräte definieren. Siehe Mit Profilen und Richtlinien arbeiten (Seite 52).
■
Auftragspakete zum Bündeln mehrerer Aufgaben erstellen und sie in einem Arbeitsschritt auf Geräte übertragen. Siehe Mit Auftragspaketen arbeiten (Seite 131).
■
Einstellungen für das Self Service Portal konfigurieren. Siehe Self Service Portal konfigurieren (Seite 25).
■
administrative Aufgaben bei Geräten durchführen, zum Beispiel das Kennwort für Geräte zurücksetzen, Geräte bei Verlust oder Diebstahl sperren oder zurücksetzen, Geräte deregistrieren. Siehe Geräte verwalten (Seite 147).
■
Berichte erstellen und anzeigen. Siehe Berichte (Seite 14).
3.1 Die Benutzeroberfläche der Web-Konsole Die Benutzeroberfläche von Sophos Mobile Control besteht aus einer Systeminformationsleiste, einer Menüleiste und dem Hauptbereich. Im Hauptbereich werden je nach gewähltem Menüpunkt die unterschiedlichen Seiten der Web-Konsole angezeigt. ■
Systeminformationsleiste Die Systeminformationsleiste enthält:
■
8
■
Den Benutzernamen des aktuell eingeloggten Benutzers und den Kunden.
■
Die Schaltfläche Hilfe zum Öffnen der Online-Hilfe in einem separaten Browser-Fenster.
■
Die Schaltfläche Abmelden zum Abmelden des aktuellen Benutzers von der Web-Konsole.
Menüleiste
Administratorhilfe
Über die Menüleiste im linken Fensterbereich greifen Sie auf die einzelnen Seiten der Sophos Mobile Control Web-Konsole zu. Hinweis: Welche Web-Konsole-Seiten verfügbar sind, hängt von der Rolle des angemeldeten Benutzers ab. Siehe Web-Konsolen-Benutzer (Seite 9). Bei einer lokalen Installation von Sophos Mobile Control gibt es eine spezielle Ansicht der Web-Konsole für den Superadministrator-Kunden.Weitere Informationen finden Sie im englischsprachigen Dokument Sophos Mobile Control super administrator guide. Bei Sophos Mobile Control as a Service gibt es keinen Superadministrator.
3.2 Voraussetzungen Damit Sie die Sophos Mobile Control Web-Konsole benutzen können, müssen folgende Voraussetzungen erfüllt sein: ■
Sie benötigen einen mit dem Internet verbundenen Computer mit einem Web-Browser. Informationen zu den unterstützten Browsern und den relevanten Versionen finden Sie in den Sophos Mobile Control Release Notes.
■
In der Web-Konsole muss ein Kunde (ein Mandant, dessen Geräte in Sophos Mobile Control verwaltet werden) vorhanden sein. Kunden werden von Superadministratoren erstellt. Weitere Informationen finden Sie im englischsprachigen Dokument Sophos Mobile Control super administrator guide. Hinweis: Für Sophos Mobile Control as a Service wird ein Kunde vordefiniert. Superadministratoren werden für Sophos Mobile Control as a Service nicht unterstützt.
■
Sie benötigen ein Sophos Mobile Control Benutzerkonto und die relevanten Anmeldedaten für die Anmeldung an der Web-Konsole. Die Anmeldedaten bestehen aus Kunde, Benutzer und Kennwort. Weitere Informationen finden Sie in An der Web-Konsole anmelden (Seite 10).
3.3 Web-Konsolen-Benutzer Die Benutzer der Web-Konsole können unterschiedliche Rollen haben. Sie können diese Rollen zuweisen, wenn Sie neue Administratoren in der Web-Konsole anlegen. Siehe Administratoren erstellen (Seite 166). Die in der Web-Konsole verfügbaren Module und Funktionen hängen von der Rolle ab. Sie können folgende Rollen zuweisen:
Rolle
Beschreibung
Administrator
Diese Rolle hat die Berechtigung, alle verfügbaren Aktionen auszuführen.
Limited Administrator
Diese Rolle ist zur Durchführung von Aktionen berechtigt, die für die Registrierung und Verwaltung von Geräten erforderlich sind. Die Berechtigungen umfassen jedoch nicht grundlegende Einstellungen oder das Hinzufügen weiterer Administratoren.
9
Sophos Mobile Control
Rolle
Beschreibung
Reporting
Diese Rolle kann die Geräteliste anzeigen und kann Berichte erstellen. Ein typischer Anwender ist ein Auditor oder ein Angestellter, der die Einstellungen von Sophos Mobile Control dokumentieren muss.
Content admin
Diese Rolle ist für Angestellte vorgesehen, die für das Hochladen, Aktualisieren oder Löschen von Dokumenten über die Funktion Dokumente verantwortlich sind. Diese Rolle wird üblicherweise Personen außerhalb der IT-Abteilung zugewiesen. Die Rechte sind so gesetzt, dass die Einsichtsmöglichkeiten beschränkt sind und nur der Zugriff auf das Menü Dokumente möglich ist.
Helpdesk
Diese Rolle ist nur für Support-Zwecke gedacht. Sie hat nur eingeschränkte Berechtigungen (z. B. Installation von Softwarepaketen). Diese Rolle hat keinen Zugriff auf kritische Funktionen, zum Beispiel die Definition von Einstellungen und das Erstellen, Löschen oder Bearbeiten von Geräten/Gerätegruppen, Paketen und Profilen.
App Group Administrator
Diese Rolle kann App-Gruppen verwalten. Ein typischer Anwender ist ein Administrator, der auf die Webservice-Schnittstelle von Sophos Mobile Control zugreift, um App-Gruppen zu erstellen, zu aktualisieren oder zu lesen.
Wenn Sie weitere Rollen benötigen, wenden Sie sich bitte an das Sophos Support-Team.
3.4 An der Web-Konsole anmelden 1. Öffnen Sie die URL für die Web-Konsole in Ihrem Webbrowser. 2. Geben Sie im Anmeldedialog den Kundennamen und Ihre Anmeldeinformationen (Name und Kennwort) ein. Klicken Sie anschließend auf Anmeldung. Sie werden an der Web-Konsole angemeldet. Die Startseite Ansicht des Kunden, an dem Sie sich angemeldet haben, wird angezeigt. Hinweis: Wenn Sie sich zum ersten Mal an der Web-Konsole anmelden, werden Sie aufgefordert, Ihr Kennwort zu ändern. Hinweis: Ihr Administrator kann im Anmeldedialog Meldungen anzeigen, zum Beispiel, um auf Aktualisierungen oder Wartungsarbeiten hinzuweisen. Klicken Sie auf eine Meldung, um diese vollständig anzuzeigen.
3.5 Von der Web-Konsole abmelden Zum Abmelden von der Web-Konsole klicken Sie in der Systeminformationsleiste auf Abmelden.
10
Administratorhilfe
3.6 Kennwort ändern Sie können nach der Anmeldung an der Web-Konsole Ihr Kennwort jederzeit ändern. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen > Allgemein und klicken Sie anschließend auf die Registerkarte Kennwort ändern. 2. Geben Sie das alte Kennwort sowie ein neues Kennwort ein und bestätigen Sie das neue Kennwort. 3. Klicken Sie auf Speichern.
3.7 Kennwort wiederherstellen Wenn Sie Ihr Kennwort für die Anmeldung an der Web-Konsole vergessen haben, können Sie es zurücksetzen, um ein neues Kennwort zu erhalten. 1. Klicken Sie im Dialog Anmeldung der Web-Konsole auf Kennwort vergessen?. Der Dialog Kennwort zurücksetzen wird angezeigt. 2. Geben Sie Ihre Informationen in die Felder Kunde und Benutzer ein und klicken Sie auf Kennwort zurücksetzen. Sie erhalten eine E-Mail mit einem Link zum Zurücksetzen Ihres Kennworts. 3. Klicken Sie auf den Link. Der Dialog Kennwort ändern wird angezeigt. 4. Geben Sie ein neues Kennwort ein, bestätigen Sie es und klicken Sie auf Kennwort ändern. Ihr Kennwort wird geändert und Sie werden an der Web-Konsole angemeldet.
11
Sophos Mobile Control
4 Wichtige Schritte für das Management von Geräten mit der Web-Konsole Abhängig von den für Ihr Unternehmen relevanten Gerätetypen, Sicherheitsrichtlinien und spezifischen Anforderungen bietet Sophos Mobile Control eine breite Palette von Mobile-Device-Management-Funktionen. Die wichtigsten Schritte für das Geräte-Management mit Sophos Mobile Control sind: ■
Compliance-Regeln für Geräte konfigurieren. Siehe Compliance-Richtlinien (Seite 41).
■
Gerätegruppen erstellen. Siehe Gerätegruppen erstellen (Seite 156). Gerätegruppen dienen zur Kategorisierung von Geräten. Wir empfehlen, Geräte zu gruppieren. Da sich Aufträge auch für Gerätegruppen statt für Einzelgeräte ausführen lassen, können Sie Geräte so effizient verwalten.
■
Geräte registrieren und provisionieren. Siehe Geräte zu Sophos Mobile Control hinzufügen (Seite 49) und Geräte über die Sophos Mobile Control Web-Konsole registrieren (Seite 152). Geräte können entweder von Administratoren über die Web-Konsole, oder von Geräteendbenutzern über das Self Service Portal registriert und provisioniert werden. In der Web-Konsole können Sie Einstellungen für das Self Service Portal konfigurieren und Self Service Portal Benutzer verwalten.
12
■
Profile und Sicherheitseinstellungen für Geräte einrichten. Siehe Mit Profilen und Richtlinien arbeiten (Seite 52).
■
Erstellen von Auftragspaketen für die Self Service Portal Konfiguration Siehe Mit Auftragspaketen arbeiten (Seite 131).
■
Konfigurieren der Benutzung des Self Service Portal für Endbenutzer Siehe Self Service Portal konfigurieren (Seite 25).
■
Neue oder aktualisierte Profile und Sicherheitseinstellungen auf registrierte Geräte anwenden.
Administratorhilfe
5 Das Dashboard Hinweis: Dieser Abschnitt beschreibt das Dashboard für reguläre Administratoren. Beim Superadministrator wird das Dashboard für die Verwaltung von Kunden verwendet. Siehe das englischsprachige Dokument Sophos Mobile Control super administrator guide. Das konfigurierbare Dashboard ist die Startansicht von Sophos Mobile Control. Es bietet einen schnellen Überblick auf die wichtigsten Informationen. Es enthält mehrere Widgets, die Informationen liefern über: ■
Geräte, alle oder nach Gruppen unterteilt
■
Compliance-Status nach Plattform oder für alle Geräte
■
Managed-Status nach Plattform oder für alle Geräte
■
SSP-Registrierungsstatus
■
Plattformversionen, die in Verwendung sind
Außerdem gibt es ein spezielles Widget Gerät hinzufügen, mit dem der Geräteregistrierungs-Assistent aufgerufen wird. Siehe Mit dem Geräteregistrierungs-Assistent neue Geräte zuweisen und registrieren (Seite 153). Sie können das Dashboard auf folgende Arten anpassen: ■
Um ein Widget hinzuzufügen, klicken Sie auf Widget hinzufügen.
■
Um ein Widget zu entfernen, klicken Sie auf die Schaltfläche Schließen in der Titelleiste des Widgets.
■
Um die Seite auf das Standardlayout zurückzusetzen, klicken Sie auf Standard-Layout wiederherstellen.
■
Um die Position der Widgets auf der Seite zu ändern, ziehen Sie die Titelleiste eines Widgets.
13
Sophos Mobile Control
6 Berichte In Sophos Mobile Control können Sie verschiedene Berichte aus den folgenden Bereichen erstellen: ■
Geräte
■
Apps und Dokumente
■
Compliance-Verletzungen
■
Malware
So erstellen Sie einen Bericht: 1. Klicken Sie im Abschnitt INFORMATION der Menüleiste auf Berichte, und klicken Sie anschließend auf den Namen des gewünschten Berichts. 2. Klicken Sie im Dialog Format auswählen auf eines der verfügbaren Symbole, um das Ausgabeformat auszuwählen: ■
Klicken Sie auf
, um den Bericht als Microsoft-Excel-Datei zu exportieren.
■
Klicken Sie auf
, um den Bericht als CSV-Datei zu exportieren.
Die Berichtdatei wird abhängig von den Download-Einstellungen Ihres Web-Browsers auf Ihrem Rechner gespeichert.
14
Administratorhilfe
7 Aufträge Die Seite Auftragsstatus enthält eine Übersicht der von Ihnen erstellten oder gestarteten Aufträge mit ihrem aktuellen Status. Sie können alle Ihre Aufträge überwachen und bei Problemen eingreifen. Sie können beispielsweise einen Auftrag löschen, der offensichtlich nicht abgeschlossen werden kann, aber das Gerät blockiert. Um einen Auftrag zu löschen, klicken Sie auf das Löschen-Symbol neben dem Auftrag. Sie können Aufträge nach Typ und Status filtern, und sie nach Gerätenamen, Paketnamen, Ersteller und Auftragsdatum sortieren.
7.1 Aufträge überwachen Über die Sophos Mobile Control Web-Konsole können Sie alle vorhandenen Aufträge für Geräte überwachen. ■
Die Seite Aufträge zeigt alle noch nicht abgeschlossenen und fehlgeschlagenen Aufträge sowie die abgeschlossenen Aufträge der letzten Tage an. Die Seite Auftragsstatus wird automatisch aktualisiert. Sie können somit den Fortschritt der Aufträge verfolgen.
■
Die Seite Auftragsdetails zeigt allgemeine Informationen zu einem Auftrag aus der Seite Aufträge oder der Seite Auftragsarchiv.
■
Die Seite Auftragsarchiv zeigt alle Aufträge.
7.1.1 Nicht abgeschlossene, fehlgeschlagene und zuletzt abgeschlossene Aufträge anzeigen 1. Klicken Sie im Abschnitt INFORMATION der Menüleiste auf Aufträge. 2. Die Spalte Status auf der Seite Auftragsansicht zeigt den Auftragsstatus an, zum Beispiel Endgültig fehlgeschlagen. 3. Im Feld Aktualisierungsintervall (in Sek.) können Sie auswählen, wie oft die Seite Auftragsstatus aktualisiert werden soll. 4. Um weitere Details zu einem Auftrag einzusehen, klicken Sie auf das Anzeigen Lupensymbol neben den gewünschten Auftrag. Die Seite Auftragsdetails wird angezeigt. Neben allgemeinen Informationen zum Auftrag (zum Beispiel Gerätename, Paketname, Ersteller) zeigt diese Ansicht die Status, die ein bestimmter Auftrag durchlaufen hat, inklusive Zeitstempel und Fehlercodes. Wenn Kommandos vom Gerät auszuführen sind, wird auf der Seite Auftragsdetails zusätzlich eine Schaltfläche Details angezeigt.
15
Sophos Mobile Control
5. Falls verfügbar, klicken Sie auf Details, um die vom Gerät auszuführenden Kommandos einzusehen. Die an das Gerät geschickten Kommandos sind Teil des Auftrags. Sie werden von der SMC-App oder vom MDM-Client ausgeführt. Die Ergebnisse, die Erfolg oder Fehlschlag angeben, werden an den Server zurück gesendet. Ist kein Fehler aufgetreten, so lautet der Fehlercode "0". Ist ein Kommando fehlgeschlagen, so wird der entsprechende Fehlercode angezeigt. Meistens werden auch Informationen dazu angezeigt, was den Fehlschlag verursacht haben könnte. 6. Um zur Seite Auftragsdetails zurückzukehren, klicken Sie auf Zurück. 7. Um fehlgeschlagene Aufträge manuell erneut auszuführen, klicken Sie auf Jetzt ausführen. Hinweis: Die Schaltfläche Jetzt ausführen ist nur für fehlgeschlagene Aufträge verfügbar. Sie können nur Aufträge erneut ausführen, die noch nicht vollständig fehlgeschlagen sind.
7.1.2 Auftragsarchiv anzeigen 1. Klicken Sie im Abschnitt INFORMATION der Menüleiste auf Aufträge. 2. Klicken Sie auf der Seite Auftragsstatus auf Auftragsarchiv. Die Seite Auftragsarchiv wird angezeigt. Sie zeigt alle abgeschlossenen und fehlgeschlagenen Aufträge im System. 3. Auf dieser Seite können Sie folgende Aufgaben durchführen: ■ ■
■
Klicken Sie auf Neu laden, um die Seite Auftragsarchiv zu aktualisieren. Löschen Sie einen Auftrag aus dem Archiv , indem Sie auf das Löschen-Symbol neben dem relevanten Auftrag klicken. Wählen Sie mehrere Aufträge aus und klicken Sie auf Gewählte löschen, um sie aus dem Archiv zu löschen.
Um zur Seite Auftragsstatus zurückzugehen, klicken Sie in der Menüleiste auf Aufträge.
7.1.3 Auftragsstatus Die folgende Tabelle bietet einen Überblick der Auftragsstatus, die auf den Seiten Auftragsstatus und Auftragsarchiv angezeigt werden. Jedem Status ist eine Farbe zugeordnet, welche die Statuskategorie anzeigt.
Farbschlüssel Status
Beschreibung
Angenommen
Auftrag wurde erstellt.
Wiederholung geplant
Auftrag wird später wiederholt.
Gestartet
Auftrag wurde gestartet.
In Bearbeitung
Auftragsausführung wird vorbereitet.
Auftragspaket wird bearbeitet Auftragspaket-Ausführung wird vorbereitet.
16
Administratorhilfe
Farbschlüssel Status
Beschreibung
Benachrichtigung
SMC App wurde benachrichtigt.
Befehle gesendet
SMC App hat das Paket oder die Kommandos erhalten.
Ergebnisauswertung gestartet.
SMC App hat geantwortet und die Auswertung des Ergebnisses wurde gestartet.
Ergebnis unvollständig
Ergebnisauswertung hat ergeben, dass noch nicht alle Ergebnisse des Kommandos empfangen wurden.
Warte auf Benutzer-Aktion
Eine Benutzer-Aktion auf dem Gerät steht aus.
Gerät ist gesperrt
Auftrag wartet darauf, dass das Gerät entsperrt wird (nur für iOS).
Erfolgreich
Paket wurde installiert oder die Kommandos wurden erfolgreich ausgeführt. Hinweis: Für die Ersteinrichtung (Provisionierung) der Sophos Mobile Control App muss der Auftrag mit dem Status "Installiert " beendet werden.
Installiert
Die Sophos Mobile Control App wurde erfolgreich installiert. Das Gerät ist nun provisioniert.
Ergebnisauswertung fehlgeschlagen
Ergebnisauswertung konnte nicht durchgeführt werden.
Auftrag teilweise fehlgeschlagen
Nicht alle Kommandos des Auftrags konnten erfolgreich ausgeführt werden.
Verschoben
Auftrag wird später erneut gestartet.
Fehlgeschlagen (wird wiederholt)
Auftrag ist fehlgeschlagen und wird später wiederholt.
Auftrag fehlgeschlagen
Auftrag ist fehlgeschlagen und wird nicht wiederholt.
Endgültig fehlgeschlagen
Auftrag ist fehlgeschlagen und kann nicht wiederholt werden.
Nicht gestartet
Auftrag ist Teil eines Auftragspakets und wurde noch nicht ausgeführt.
Sitzung angefordert
Eine AirPlay-Sitzung wurde angefordert (nur für iOS).
Unbekannt
Der Server hat keine Information zum Auftragsstatus.
17
Sophos Mobile Control
Farbschlüssel Kategorie Öffnen In Bearbeitung Erfolgreich Fehlgeschlagen Sonstiges
18
Administratorhilfe
8 Allgemeine Einstellungen Auf der Seite Allgemeine Einstellungen können Sie einige grundlegende Einstellungen für Sophos Mobile Control konfigurieren.
8.1 Persönliche Einstellungen konfigurieren Damit Sie die Sophos Mobile Control Web-Konsole möglichst effizient nutzen können, lässt sich die Benutzeroberfläche so anpassen, dass nur die Plattformen, mit denen Sie arbeiten möchten, angezeigt werden. Hinweis: Die Konfiguration der Plattformen ändern Sie lediglich die Ansicht des aktuell angemeldeten Benutzers. Sie können an dieser Stelle keine Funktionen deaktivieren. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen > Allgemein und klicken Sie anschließend auf die Registerkarte Persönlich.
19
Sophos Mobile Control
2. Konfigurieren Sie folgende Einstellungen: Option
Beschreibung
Sprache
Wählen Sie die Sprache für die Sophos Mobile Control Web-Konsole.
Zeitzone
Wählen Sie die Zeitzone für die Datumsanzeige.
Längeneinheit
Wählen Sie, ob Längeneinheiten Metrisch oder Imperial dargestellt werden sollen.
Datensätze pro Tabellenseite Wählen Sie die maximale Anzahl an Tabellenzeilen aus, die in der Web-Konsole pro Seite angezeigt werden sollen. Erweiterte Gerätedetails anzeigen
Wählen Sie dieses Kontrollkästchen, um alle verfügbaren Informationen über das Gerät anzuzeigen. Die Registerkarten Benutzerdefinierte Eigenschaften und Interne Eigenschaften werden der Seite Gerät anzeigen hinzugefügt.
Aktivierte Plattformen
Wählen Sie die Plattformen aus, die Sie für den Kunden verwalten wollen: Android iOS Windows Mobile (beinhaltet Windows Phone 8.x und Windows 10 Mobile) Windows Desktop Die Auswahl der Plattformen wirkt sich auch auf die Benutzeroberfläche der Web-Konsole aus. Es werden nur Ansichten und Features angezeigt, die für die ausgewählten Plattformen relevant sind. Hinweis: Die Liste der verfügbaren Plattformen richtet sich nach den Einstellungen aus der Super-Administrator-Konfiguration. Weitere Informationen finden Sie im englischsprachigen Dokument Sophos Mobile Control super administrator guide.
3. Klicken Sie auf Speichern.
8.2 Kennwortrichtlinien konfigurieren Konfigurieren Sie zur Durchsetzung der Sicherheit von Kennwörtern Kennwortrichtlinien für Benutzer der Sophos Mobile Control Web-Konsole und des Self Service Portal. Hinweis: Die Kennwortrichtlinien gelten nicht für Benutzer eines externen LDAP-Verzeichnisses. Informationen zur externen Benutzerverwaltung finden Sie im englischsprachigen Dokument Sophos Mobile Control super administrator guide. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen > Allgemein und klicken Sie anschließend auf die Registerkarte Kennwortrichtlinien. 2. Unter Regeln können Sie Anforderungen an Kennworte definieren, zum Beispiel die Mindestanzahl der Kleinbuchstaben, Großbuchstaben oder Ziffern, damit das Kennwort gültig ist.
20
Administratorhilfe
3. Konfigurieren Sie unter Einstellungen folgende Einstellungen: a) Änderungsintervall (Tage): Geben Sie die Kennwort-Gültigkeitsdauer in Tagen ein (zwischen 1 und 730), oder lassen sie das Feld leer, wenn Kennworte nicht ablaufen sollen. b) Anzahl der letzten Kennwörter, die nicht benutzt werden dürfen: Wählen Sie einen Wert zwischen 1 und 10, oder wählen Sie ---, um diese Einschränkung zu deaktivieren. c) Maximale Anzahl fehlerhafter Loginversuche: Wählen Sie die maximale Anzahl an fehlgeschlagenen Login-Versuchen bevor das Konto gesperrt wird (zwischen 1 und 10), oder wählen Sie ---, um unbegrenzt viele Login-Versuche zuzulassen. 4. Klicken Sie auf Speichern.
8.3 Einstellungen der SMC-App konfigurieren Auf der Registerkarte SMC App der Seite Allgemeine Einstellungen konfigurieren Sie Einstellungen für die App Sophos Mobile Control auf Android-, iOS- und Windows-Mobile-Geräten. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen > Allgemein und klicken Sie anschließend auf die Registerkarte SMC App. 2. Konfigurieren Sie folgende Einstellungen: Option
Beschreibung
Deregistrierung über die App Dies entfernt die Schaltfläche Deregistrieren in der App Sophos deaktivieren Mobile Control, um zu verhindern, dass Benutzer ihr Gerät aus der App heraus deregistrieren. Hinweis: Um eine Deregistrierung durch den Benutzer vollständig zu verhindern, deaktivieren sie zusätzlich die Option Gerät deregistrieren in den Einstellungen für das Self Service Portal. Siehe Self-Service-Portal-Einstellungen konfigurieren (Seite 26).
3. Klicken Sie auf Speichern.
8.4 Baidu Cloud Push aktivieren Sophos Mobile Control verwendet den Dienst Google Cloud Messaging (GCM), um Push-Benachrichtigungen an Android-Geräte zu senden, damit diese sich mit dem Sophos Mobile Control Server verbinden. In China funktioniert GCM wahrscheinlich nicht. Sophos Mobile Control kann darum zusätzlich Baidu Cloud Push verwenden, einen chinesischen Dienst für Push-Benachrichtigungen. Falls Sie Android-Geräte verwalten, die sich in China befinden, aktivieren Sie folgendermaßen Baidu Cloud Push: 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen > Allgemein und klicken Sie anschließend auf die Registerkarte Android. 2. Wählen Sie im Abschnitt Baidu Cloud Push die Option Baidu Cloud Push aktivieren aus. 3. Klicken Sie auf Speichern.
21
Sophos Mobile Control
Wenn Baidu Cloud Push aktiviert ist, sendet Sophos Mobile Control alle Push-Benachrichtigungen sowohl über GCM als auch über Baidu Cloud Push.
8.5 Einstellungen für iOS konfigurieren Auf der Registerkarte iOS der Seite Allgemeine Einstellungen konfigurieren Sie spezielle Einstellungen für iOS-Geräte. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen > Allgemein und klicken Sie anschließend auf die Registerkarte iOS. 2. Konfigurieren Sie folgende Einstellungen: Option
Beschreibung
Standortbestimmungs-Methode Wählen Sie Dauerhafte Standortbestimmung erzwingen aus, damit die Geräte ihren Standort in festen Zeitabständen übermitteln. Dieses Verfahren wurde in älteren Versionen von Sophos Mobile Control verwendet. In der aktuellen Version können Sie den Gerätestandort zu beliebigen Zeiten bestimmen und darstellen. Hinweis: Wenn Sie diese Funktion aktivieren, verringert sich die Akkulaufzeit.
Aktivierungssperre-Umgehung Wählen Sie Aktivieren aus, um bei betreuten Geräten eine Aktivierungssperre bei Bedarf umgehen zu können. Wenn diese Option ausgewählt ist, ruft Sophos Mobile Control einen Umgehungs-Code ab, wenn es sich mit einem betreuten Gerät synchronisiert, bei dem eine Aktivierungssperre eingerichtet ist. Bei Bedarf können Sie auf der Seite Gerät anzeigen des Gerätes die Aktion Aktivierungssperre-Umgehung ausführen, um die Aktivierungssperre zu entfernen, wenn das Gerät zurückgesetzt und neu bereitgestellt werden soll. Die Aktivierungssperre ist eine Sicherheitsfunktion von iOS, um im Falle eines Geräteverlustes oder Diebstahls eine neue Geräte-Aktivierung zu verhindern. Normalerweise benötigen Sie die bei der Einrichtung angegebene Apple-ID und das Kennwort, um eine Aktivierungssperre zu entfernen. Mit Hilfe der Aktivierungssperre-Umgehung können Sie die Aktivierungssperre entfernen, indem Sie lediglich den Umgehungs-Code angeben.
Gerätenamen synchronisieren Wählen Sie Aktivieren aus, um iOS-Geräte unter dem Namen zu verwalten, der im Gerät konfiguriert ist. Wenn diese Option aktiviert ist, liest Sophos Mobile Control den Gerätenamen bei jeder Synchronisierung. Wenn diese Option deaktiviert ist, legen Sie den Gerätenamen bei der Registrierung fest.
3. Klicken Sie auf Speichern.
22
Administratorhilfe
8.6 Poll-Intervall für Windows-Geräte konfigurieren Für Windows-Geräte können Sie das Poll-Intervall konfigurieren, in dem sich der Windows-MDM-Client mit dem Sophos Mobile Control Server verbindet. In den meisten Fällen kann der MDM-Client auch MDM-Push-Benachrichtigungen vom Server empfangen. Bei Windows Phone 8.0 ist dies jedoch nicht möglich. Diese Geräte sind allein auf Poll-Verbindungen angewiesen. Hinweis: Die Standardwerte sind in den meisten Fällen ausreichend. Kürzere Intervalle wirken sich negativ auf Akkulaufzeit und Datenverbrauch aus und verursachen eine höhere Server-Last. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen > Allgemein und klicken Sie anschließend auf die Registerkarte Windows. 2. Wählen Sie Poll-Intervalle für die verschiedenen Windows-Betriebssysteme aus. Sie können individuelle Einstellungen vornehmen für: ■ ■ ■
Geräte mit Windows Phone 8.0 Geräte mit Windows Phone 8.1 oder Windows 10 Mobile Geräte mit Windows 10 Desktop
3. Klicken Sie auf Speichern.
8.7 E-Mail konfigurieren Auf der Registerkarte E-Mail-Konfiguration konfigurieren Sie die Einstellungen für E-Mails, die von Sophos Mobile Control an die Benutzer verschickt werden. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen > Allgemein und klicken Sie anschließend auf die Registerkarte E-Mail-Konfiguration. 2. Wählen Sie im Feld Sprache die Sprache aus, in der die E-Mails verschickt werden. 3. Geben Sie im Feld Absendername den Namen ein, der als E-Mail-Absender verwendet wird. 4. Klicken Sie auf Speichern.
8.8 Kontaktdetails für technische Unterstützung konfigurieren Für die technische Unterstützung im Falle von Benutzerfragen oder -problemen können Sie Kontaktdetails bereitstellen. Die Informationen, die Sie hier eingeben, werden in der Sophos Mobile Control App und im Self Service Portal angezeigt. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen > Allgemein und klicken Sie anschließend auf die Registerkarte Technischer Kontakt. 2. Geben Sie die erforderlichen Informationen für den technischen Kontakt ein. 3. Klicken Sie auf Speichern.
8.9 Kundeneigenschaften definieren Sie können für jeden Kunden spezifische Eigenschaften definieren.
23
Sophos Mobile Control
Wenn Sie eine Eigenschaft Meine Eigenschaft festlegen, können Sie in Profilen und Richtlinien den Platzhalter %_CUSTPROP(Meine Eigenschaft)_% verwenden, um den Wert der Eigenschaft zu referenzieren. Sie können dies zum Beispiel verwenden, um Domänen zu referenzieren, die nur für den Kunden gelten. Einzelheiten finden Sie in Platzhalter in Profilen und Richtlinien (Seite 127). So definieren Sie eine Kundeneigenschaft: 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen > Allgemein und klicken Sie anschließend auf die Registerkarte Kundeneigenschaft. 2. Klicken Sie auf Kundeneigenschaft hinzufügen. 3. Geben Sie einen Namen und einen Wert für die neue Eigenschaft ein. 4. Klicken Sie auf Anwenden, um die Eigenschaft zu erstellen. 5. Klicken Sie auf Speichern, um die Kundeneinstellungen zu speichern.
24
Administratorhilfe
9 Self Service Portal konfigurieren Mit dem Self Service Portal können Sie IT-Aufwände reduzieren, indem Sie den Endbenutzern ermöglichen, eigenständig Geräte zu registrieren und andere Aufgaben auszuführen, ohne dazu den Helpdesk zu kontaktieren. Weitere Informationen zur Benutzung des Self Service Portal finden Sie in der Sophos Mobile Control Benutzerhilfe. Über die Menüleiste können Sie Einstellungen für die Verwendung des Self Service Portal konfigurieren. Zum Beispiel: ■
Für welche Plattformen Geräte registriert werden können.
■
Welche Funktionen verfügbar sind.
■
Welche Benutzer berechtigt sind, das Self Service Portal zu verwenden.
9.1 Self-Service-Portal-Gruppen bei interner Benutzerverwaltung erstellen Self Service Portal Konfigurationen werden auf Gruppen von Self Service Portal Benutzern angewendet. Mit der internen Benutzerverwaltung können Sie Self Service Portal Gruppen erstellen und ihnen Benutzer zuweisen. Für weitere Informationen zur Benutzerverwaltung siehe Self-Service-Portal-Benutzer verwalten (Seite 30). Hinweis: Die interne Benutzerverwaltung steht nur dann für einen Kunden zur Verfügung, wenn sie vom Superadministrator aktiviert wurde. Weitere Informationen finden Sie im englischsprachigen Dokument Sophos Mobile Control super administrator guide. Beachten Sie, dass dies nicht für Sophos Mobile Control as a Service gilt. Superadministratoren werden für Sophos Mobile Control as a Service nicht unterstützt. Informationen darüber, wie Sie die Methoden für die Benutzerverwaltung für Sophos Mobile Control as a Service festlegen, finden Sie unter Self-Service-Portal-Benutzerverwaltung konfigurieren (Seite 30). So erstellen Sie eine Self Service Portal Gruppe: 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Benutzer. Die Seite Benutzer anzeigen wird angezeigt. 2. Klicken Sie auf Benutzergruppen anzeigen. Die Seite Benutzergruppen anzeigen wird angezeigt. 3. Klicken Sie auf Gruppe erstellen. Die Seite Gruppe bearbeiten wird angezeigt. 4. Geben Sie im Feld Name einen Namen für die neue Self Service Portal Gruppe ein. 5. Klicken Sie auf Speichern. Die neue Benutzergruppe für das Self Service Portal wird auf der Seite Benutzergruppen anzeigen angezeigt. Wenn Sie neue Benutzer erstellen, können Sie diese der Gruppe zuweisen. Wenn Sie Self Service Portal Einstellungen definieren, können Sie die Gruppe auswählen und Ihr die Einstellungen zuweisen.
25
Sophos Mobile Control
9.2 Self-Service-Portal-Einstellungen konfigurieren 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen und klicken Sie anschließend auf Self Service Portal. Die Seite Self Service Portal wird angezeigt. 2. Konfigurieren Sie auf der Registerkarte Konfiguration folgende Einstellungen: a) Wählen Sie im Feld Maximale Anzahl an Geräten die maximale Anzahl an Geräten aus, die ein Benutzer im Self Service Portal registrieren kann. Indem Sie hier eine maximale Anzahl festlegen können Sie eine Überschreitung der verfügbaren Lizenzen vermeiden. b) Wählen Sie im Feld Vorauswahl Geräteeigentümer aus, ob neue Geräte als Firmengeräte oder als Privatgeräte eingestuft werden, und ob die Benutzer diese Einstellung ändern dürfen, wenn sie ihre Geräte über das Self Service Portal registrieren. Sie können eine der folgenden Einstellungen auswählen: ■
Keine Vorauswahl: Der Besitzertyp wird im Self Service Portal nicht vorausgewählt. Benutzer können den Gerätetyp auswählen.
■
Firmengerät (vorausgewählt): Im Self Service Portal ist Firmengerät vorausgewählt. Benutzer können diese Einstellung in Privatgerät ändern.
■
Firmengerät (fest): Gerätetyp kann nicht ausgewählt werden. Als Besitzer wird Firma angezeigt.
■
Privatgerät (vorausgewählt): Im Self Service Portal ist Privatgerät vorausgewählt. Benutzer können diese Einstellung in Firmengerät ändern.
■
Privatgerät (fest): Gerätetyp kann nicht ausgewählt werden. Als Besitzer wird Privat angezeigt.
c) Wählen Sie unter Verfügbare Funktionen die Funktionen aus, die Benutzern im Self Service Portal zur Verfügung stehen sollen. Die Funktionen variieren je nach Geräteplattform. Siehe Verfügbare Self-Service-Portal-Einstellungen (Seite 28). 3. Konfigurieren Sie auf der Registerkarte Nutzungsbedingungen eine Mobil-Richtlinie, einen Haftungshinweis oder eine Vereinbarung. Dieser Text wird im ersten Schritt angezeigt, wenn Endbenutzer Geräte registrieren. Benutzer müssen diesem Text zustimmen, bevor sie fortfahren können. Für den Text werden HTML-Formatierungs-Tags unterstützt. Der Text wird entsprechend im jeweiligen Browser angezeigt. 4. Konfigurieren Sie auf der Registerkarte Installations-Abschlusstext den Text, der im Self Service Portal nach der automatischen Installation angezeigt wird. Mit diesem Text können Sie den Benutzern die nächsten Schritte mitteilen, zum Beispiel die Konfiguration des Servers in der iOS-App oder die Konfiguration der E-Mail-App bei Android. Für den Text werden HTML-Formatierungs-Tags unterstützt. Der Text wird entsprechend im ausgewählten Browser angezeigt. 5. Konfigurieren Sie auf der Registerkarte Gruppeneinstellungen die Gruppeneinstellungen, zum Beispiel die Gerätegruppen, zu denen registrierte Geräte hinzugefügt werden, und das Auftragspaket, das auf Geräten ausgeführt wird. Wenn Sie externe Benutzerverwaltung verwenden, können Sie Geräte basierend auf der Zugehörigkeit zu einem externen Benutzerverzeichnis zu Gruppen und Profilen zuweisen.
26
Administratorhilfe
Hinweis: Die externe Benutzerverwaltung muss für den relevanten Kunden in der Kundenveraltung konfiguriert werden. Informationen hierzu finden Sie im englischsprachigen Dokument Sophos Mobile Control super administrator guide. Beachten Sie, dass dies nicht für Sophos Mobile Control as a Service gilt. Informationen darüber, wie Sie die Methoden für die Benutzerverwaltung für Sophos Mobile Control as a Service festlegen, finden Sie unter Self-Service-Portal-Benutzerverwaltung konfigurieren (Seite 30). Wichtig: Aufgrund der komplexen Konfigurationsmöglichkeiten der Gruppeneinstellungen empfehlen wir, dass Sie die Geräteregistrierung mit verschiedenen LDAP-Gruppen testen, bevor Sie die Einstellungen Ihren Benutzern zur Verfügung stellen. a) Klicken Sie auf Hinzufügen. Die Seite Gruppeneinstellungen bearbeiten wird angezeigt. b) Geben Sie einen Namen für die Self Service Portal Konfigurationsgruppe ein. c) Geben Sie im Feld Verzeichnisgruppe die Self Service Portal Gruppe ein, die Sie in der internen oder externen Benutzerverwaltung definiert haben, oder die Active Directory Gruppe mit ihrem vollen LDAP-Pfad oder Platzhaltern. In diesem Feld können Sie mit einem Asterisk (*) als erstes, letztes oder einziges Zeichen mehrere Gruppen angeben. Zum Beispiel: Geben Sie Dev* ein, um alle Gruppen anzugeben, die mit der Zeichenfolge „Dev“ beginnen. Geben Sie * ein, um alle verfügbaren Gruppen anzugeben. d) Wählen Sie aus, ob die Texte, die auf den Registerkarten Nutzungsbedingungen und Installations-Abschlusstext konfiguriert sind, angezeigt werden sollen. e) Wählen Sie in den Spalten Einrichtungspaket - Firmengeräte und Einrichtungspaket - Privatgeräte das Auftragspaket (für Android und iOS) bzw. die Richtlinie (für Windows Mobile und Windows Desktop) aus, die auf Firmengeräten und Privatgeräten ausgeführt werden soll. f) Wählen Sie in der Spalte Aktiv die Plattformen aus, die im Self Service Portal verfügbar sein sollen. Damit Sie eine Plattform auswählen können, müssen Sie erst ein Einrichtungspaket auswählen. g) Wählen Sie in der Spalte Einfügen in Gerätegruppe die Gruppe, zu der das Gerät hinzugefügt werden soll. Hinweis: In der Menüleiste ist eine Gerätegruppe Default verfügbar. Wenn Sie noch keine eigenen Gerätegruppen definiert haben, können Sie Geräte zu dieser Gruppe hinzufügen. Weitere Informationen finden Sie in Gerätegruppen (Seite 156). h) Klicken Sie auf Anwenden. 6. Die Seite Self Service Portal wird angezeigt. Klicken Sie auf Speichern. Hinweis: Als Superadministrator können Sie auch einen Standard-Kunden festlegen, an dem sich die Endbenutzer im Self Service Portal anmelden. Weitere Informationen finden Sie im englischsprachigen Dokument Sophos Mobile Control super administrator guide. Beachten Sie, dass dies nicht für Sophos Mobile Control as a Service unterstützt wird. Superadministratoren werden für Sophos Mobile Control as a Service nicht unterstützt.
27
Sophos Mobile Control
9.3 Verfügbare Self-Service-Portal-Einstellungen Die folgende Tabelle zeigt die Funktionen des Self Service Portal, die Sie aktivieren oder deaktivieren können (siehe Self-Service-Portal-Einstellungen konfigurieren (Seite 26)) und die jeweils unterstützten Geräteplattformen.
Einstellung
Beschreibung
Gerätestandort bestimmen
Mit dieser Funktion können Benutzer Ihre Geräte bei Verlust oder Diebstahl orten.
Gerät sperren
Mit dieser Funktion können Benutzer Ihre Geräte bei Verlust oder Diebstahl sperren. Diese Funktion wird für Geräte mit Windows Phone 8.0 nicht unterstützt.
Neukonfiguration
Mit dieser Funktion können Benutzer ihre Geräte neu konfigurieren, wenn Sophos Mobile Control vom Gerät entfernt wurde, das Gerät jedoch noch registriert ist.
Compliance-Verletzungen Mit dieser Funktion können anzeigen Benutzer die vorhandenen Compliance-Verletzungen ihrer Geräte anzeigen. Daten aktualisieren
28
Mit dieser Funktion können Benutzer Ihre Geräte manuell mit dem Sophos Mobile Control Server synchronisieren. Dies ist zum Beispiel nützlich, wenn das Gerät längere Zeit ausgeschaltet war und daher nicht mit dem Server synchronisiert wurde. In diesem Fall entspricht das Gerät möglicherweise nicht den Compliance-Richtlinien und muss mit dem Server synchronisiert werden, damit es die Richtlinien wieder erfüllt.
Android
iOS
Windows Mobile
Windows Desktop
Administratorhilfe
Einstellung
Beschreibung
Kennwort zurücksetzen
Mit dieser Funktion können Benutzer das Kennwort für das Entsperren des Bildschirms zurücksetzen. Für Geräte mit Android und iOS wird ein temporäres Kennwort im Self Service Portal angezeigt. Das Gerät kann nur mit diesem Kennwort entsperrt werden. Nach dem Entsperren kann der Benutzer ein neues Kennwort festlegen. Für iOS-Geräte wird das Kennwort vollständig gelöscht. Der Benutzer muss innerhalb von 60 Minuten ein neues Kennwort definieren.
Android
iOS
Windows Mobile
Windows Desktop
Diese Funktion wird für Geräte mit Windows Phone 8.0 nicht unterstützt.
Gerät zurücksetzen
Mit dieser Funktion können Benutzer Ihre registrierten Geräte bei Verlust oder Diebstahl auf den Werkszustand zurücksetzen. Alle Daten auf dem Gerät werden gelöscht.
Gerät deregistrieren
Mit dieser Funktion können Benutzer Geräte deregistrieren, die nicht mehr benutzt werden. Dies ist zum Beispiel nützlich, wenn die Anzahl an Geräten, die Benutzer im Self Service Portal registrieren können, begrenzt ist, oder wenn Benutzer ein neues Gerät erhalten.
Nicht registriertes Gerät löschen
Mit dieser Funktion können Benutzer deregistrierte Geräte löschen.
App-Protection-Kennwort Mit dieser Funktion können zurücksetzen Benutzer ihr App-Protection-Kennwort auf Android Geräten zurücksetzen. Das App Kennwort schützt definierte Apps und muss jedes Mal eingegeben werden, wenn Benutzer diese Apps starten.
29
Sophos Mobile Control
Einstellung
Beschreibung
Android
iOS
Windows Mobile
Windows Desktop
Das Kennwort wird gelöscht und die Benutzer müssen ein neues Kennwort definieren. Kennwort für Mit dieser Funktion können Sophos-Container-Apps Benutzer das Kennwort für zurücksetzen die Sophos-Container-Apps zurücksetzen. Das Sophos-Container-Apps-Kennwort muss jedes Mal eingegeben werden, wenn Benutzer eine der Container-Apps starten. Das Kennwort wird gelöscht und die Benutzer müssen ein neues Kennwort definieren. SMC-App neu konfigurieren
Mit dieser Funktion können Benutzer eine bereits installierte App Sophos Mobile Control neu konfigurieren.
9.4 Self-Service-Portal-Benutzer verwalten Sophos Mobile Control bietet verschiedene Arten der Verwaltung von Self-Service-Portal-Benutzern: ■
Interne Benutzerverwaltung Mit der internen Benutzerverwaltung können Sie Benutzer durch manuelles Hinzufügen in der Web-Konsole oder durch Importieren aus einer CSV-Datei erstellen.
■
Externe Benutzerverwaltung Mit der externer Benutzerverwaltung können Sie Geräte zu Gruppen und Profilen auf der Grundlage der Directory-Zugehörigkeit zuweisen.
Die Art der Benutzerverwaltung ist kundenspezifisch. Bei lokalen Installationen von Sophos Mobile Control wird sie vom Superadministrator definiert, wenn ein Kunde erstellt wird. Bei Sophos Mobile Control as a Service definieren Sie die Art, bevor Sie den ersten Benutzer hinzufügen. Siehe Self-Service-Portal-Benutzerverwaltung konfigurieren (Seite 30).
9.4.1 Self-Service-Portal-Benutzerverwaltung konfigurieren Hinweis: Bei lokalen Installationen von Sophos Mobile Control wird die Benutzerverwaltung für das Self Service Portal vom Superadministrator festgelegt, wenn ein Kunde erstellt wird. Siehe das englischsprachige Dokument Sophos Mobile Control super administrator guide. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen und klicken Sie anschließend auf Systemeinstellungen. Die Seite Systemeinstellungen wird angezeigt.
30
Administratorhilfe
2. Wechseln Sie in die Registerkarte Benutzerverzeichnis.Wählen Sie in dieser Registerkarte unter die Datenquelle für die mit Sophos Mobile Control zu verwaltenden Self Service Portal (SSP) Benutzer aus: ■
■
■
Kein Verzeichnis. SSP, benutzerspezifische Profile und LDAP-Administratoren sind nicht verfügbar. Wählen Sie Internes Verzeichnis, um die interne Benutzerverwaltung für Benutzer des Sophos Mobile Control Self Service Portal zu verwenden. Wählen Sie Externes LDAP-Verzeichnis, um externe Benutzerverwaltung für Benutzer des Sophos Mobile Control Self Service Portal zu verwenden. Klicken Sie auf Externes Benutzerverzeichnis (LDAP) konfigurieren, um die Serverdaten anzugeben. Siehe Externes Benutzerverzeichnis anbinden (Seite 31).
3. Klicken Sie auf Speichern. Wenn Sie Internes Verzeichnis oder Externes LDAP-Verzeichnis ausgewählt haben, wird die ausgewählte Option und die Option Kein Verzeichnis. SSP, benutzerspezifische Profile und LDAP-Administratoren sind nicht verfügbar auf der Registerkarte Benutzerverzeichnis angezeigt. Wenn Sie Ihre Auswahl nachträglich ändern möchten, wählen Sie zuerst Kein Verzeichnis. SSP, benutzerspezifische Profile und LDAP-Administratoren sind nicht verfügbar, damit alle Optionen zur Verfügung stehen. Hinweis: Die Benutzerverwaltungskonfiguration kann nicht geändert werden, solange Geräte mit dem Verzeichnis verbunden sind. Wenn Sie versuchen, die Konfiguration zu ändern, während noch Geräte verbunden sind, wird eine Fehlermeldung angezeigt.
9.4.1.1 Externes Benutzerverzeichnis anbinden Wenn Sie ein externes LDAP-Verzeichnis verwenden, um Benutzerkonten für die Web-Konsole und das Self Service Portal zu verwalten, müssen Sie die Verzeichnisanbindung konfigurieren, damit Sophos Mobile Control die Benutzerdaten vom LDAP-Server abrufen kann. Bei lokalen Installationen von Sophos Mobile Control macht dies der Superadministrator beim Erstellen eines Kunden. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen > Systemeinstellungen und klicken Sie anschließend auf die Registerkarte Benutzerverzeichnis. 2. Wählen Sie Externes LDAP-Verzeichnis aus. 3. Klicken Sie auf Externes Benutzerverzeichnis (LDAP) konfigurieren, um die Serverdaten anzugeben. 4. Konfigurieren Sie auf der Seite LDAP-Server-Details die folgenden Einstellungen: a) Wählen Sie den LDAP-Typ aus. Sophos Mobile Control unterstützt: ■
Active Directory
■
IBM Domino
■
NetIQ eDirectory
■
Red Hat Directory Server
■
Zimbra
b) Geben Sie im Feld Primäre URL die URL des primären Verzeichnisservers ein. Sie können die Server-IP-Adresse oder den Servernamen eingeben. Wählen Sie SSL aus,
31
Sophos Mobile Control
um SSL für die Serververbindung zu verwenden. Für Sophos Mobile Control as a Service kann SSL nicht deaktiviert werden. c) Geben Sie im Feld Sekundäre URL optional die URL eines Verzeichnisservers ein, auf den ausgewichen wird, falls der primäre Server nicht erreichbar ist. Sie können die Server-IP-Adresse oder den Servernamen eingeben. Wählen Sie SSL aus, um SSL für die Serververbindung zu verwenden. Für Sophos Mobile Control as a Service kann SSL nicht deaktiviert werden. d) Geben Sie im Feld Benutzer einen Benutzer ein, der für Nachschlage-Operationen auf dem Verzeichnisserver verwendet wird. Sophos Mobile Control verwendet dieses Konto, wenn es sich mit dem Verzeichnisserver verbindet. Für Active Directory müssen Sie außerdem die relevante Domäne eingeben. Folgende Formate werden unterstützt: ■
\
■
@.
Hinweis: Aus Sicherheitsgründen empfehlen wir, dass Sie einen Benutzer angeben, der nur Leserechte auf dem Verzeichnisserver hat, aber keine Schreibrechte. e) Geben Sie im Feld Kennwort das Kennwort für den Benutzer ein. Klicken Sie auf Next. 5. Geben Sie auf der Seite Suchbasis den Distinguished Name (DN) des Suchbasisobjekts ein. Das Suchbasisobjekt definiert den Ausgangspunkt im LDAP-Verzeichnis für die Suche nach einem Benutzer oder einer Benutzergruppe. 6. Definieren Sie auf der Seite Suchfelder, welche Verzeichnisfelder zum Auflösen der Platzhalter %_USERNAME_% und %_EMAILADDRESS_% in Profilen und Richtlinien verwendet werden. Geben Sie die gewünschten Feldnamen ein oder wählen Sie diese aus den Listen Benutzername und E-Mail aus. Hinweis: Die Listen enthalten nur Felder, die für den aktuell am LDAP-Verzeichnis angemeldeten Benutzer konfiguriert sind, d.h. für den zuvor in Schritt 7.d angegebenen Benutzer. Wenn zum Beispiel kein E-Mail-Feld für diesen Benutzer konfiguriert ist, müssen Sie den gewünschten Wert manuell in das Feld E-Mail eintragen. Für Active Directory gelten diese Feld-Zuordnungen: ■
Benutzername: sAMAccountName
■
Vorname: givenName
■
Nachname: sn
■
E-Mail: mail
7. Geben Sie auf der Seite SSP-Konfiguration die Benutzer an, die sich am Self Service Portal anmelden dürfen. Geben Sie die relevanten Daten im Feld SSP-Gruppe auf eine der folgenden Arten ein: ■
■
32
Wenn Sie ein Sternchen * eingeben, dürfen sich alle authentifizierten LDAP-Benutzer am Self Service Portal anmelden. Wenn Sie den Namen einer Benutzergruppe eingeben, die auf dem LDAP-Server definiert ist, dürfen sich alle Mitglieder dieser Gruppe am Self Service Portal anmelden. Wenn Sie die Gruppe eingegeben haben, klicken Sie auf Gruppe finden, um den Gruppennamen in einen Distinguished Name (DN) aufzulösen.
Administratorhilfe
■
Wenn Sie das Feld leer lassen, dürfen sich keine LDAP-Benutzer am Self Service Portal anmelden. Verwenden Sie diese Option, um eine externe Benutzerverwaltung für die Web-Konsole, aber nicht für das Self Service Portal zu aktivieren.
Hinweis: Die Gruppe, die Sie hier angeben, ist unabhängig von der Verzeichnisgruppe, die Sie auf der Registerkarte Gruppeneinstellungen der Seite Self Service Portal definieren. Mit den Einstellungen dort definieren Sie Auftragspakete, Gruppenzugehörigkeit in Sophos Mobile Control und die für jede Verzeichnisgruppe verfügbaren Geräteplattformen. 8. Klicken Sie auf Anwenden. 9. Klicken Sie auf der Registerkarte Benutzerverzeichnis auf Speichern.
9.4.2 Self-Service-Portal-Benutzer bei interner Benutzerverwaltung erstellen Voraussetzung: Die interne Benutzerverwaltung ist für den Kunden, an dem Sie angemeldet sind, aktiviert. Für lokale Installationen erfolgt dies durch den Superadministrator in der Kundenverwaltung. Weitere Informationen finden Sie im englischsprachigen Dokument Sophos Mobile Control super administrator guide. Beachten Sie, dass dies nicht für Sophos Mobile Control as a Service gilt. Superadministratoren werden für Sophos Mobile Control as a Service nicht unterstützt. Informationen darüber, wie Sie die Methoden für die Benutzerverwaltung für Sophos Mobile Control as a Service festlegen, finden Sie unter Self-Service-Portal-Benutzerverwaltung konfigurieren (Seite 30). 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Benutzer. Die Seite Benutzer anzeigen wird angezeigt. 2. Klicken Sie auf Benutzer erstellen. Die Seite Benutzer bearbeiten wird angezeigt. 3. Wählen Sie das Kontrollkästchen Willkommens-E-Mail senden aus. 4. Geben Sie folgende Informationen ein: a) Benutzername b) Vorname c) Nachname d) E-Mail-Adresse e) Gruppen (optional) Klicken Sie auf Anzeigen, um alle verfügbaren Benutzergruppen anzuzeigen, und wählen Sie eine Gruppe aus. 5. Klicken Sie auf Speichern. Der neue Self Service Portal Benutzer wird auf der Seite Benutzer anzeigen angezeigt. Eine Willkommen-E-Mail wird an den neuen Benutzer gesendet. Wenn Sie auf das blaue Dreieck neben dem betreffenden Benutzer klicken, können Sie die Benutzerinformationen anzeigen (Anzeigen) oder den Benutzer Bearbeiten oder Löschen. Hinweis: Wenn Sie auf einen Benutzernamen klicken, wird die Seite Benutzer anzeigen angezeigt. Diese Seite enthält eine Schaltfläche Willkommens-E-Mail erneut senden, mit der Sie die E-Mail erneut senden können, falls der Benutzer diese nicht erhalten oder verloren hat.
33
Sophos Mobile Control
9.4.3 Self-Service-Portal-Benutzer bei interner Benutzerverwaltung importieren Voraussetzung: Die interne Benutzerverwaltung ist für den Kunden, an dem Sie angemeldet sind, aktiviert. ■
Für lokale Installationen von Sophos Mobile Control finden Sie weitere Hinweise im englischsprachigen Dokument Sophos Mobile Control super administrator guide.
■
Für Sophos Mobile Control as a Service finden Sie weitere Hinweise in Self-Service-Portal-Benutzerverwaltung konfigurieren (Seite 30).
Bei interner Benutzerverwaltung können Sie neue Self Service Portal Benutzer hinzufügen, indem Sie Daten von bis zu 500 Benutzern aus einer UTF-8-kodierte CSV-Datei importieren. Hinweis: Verwenden Sie einen Text-Editor, um die CSV-Datei zu bearbeiten. Wenn Sie Microsoft Excel verwenden, werden die eingegebenen Werte u. U. nicht korrekt aufgelöst. Achten Sie beim Speichern darauf, dass die Datei die Endung .csv besitzt. Tipp: Auf der Seite Benutzer importieren steht eine Musterdatei mit den korrekten Spaltennamen und der richtigen Spaltenreihenfolge zum Download zur Verfügung. So importieren Sie Benutzer aus einer CSV-Datei: 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Benutzerverwaltung und dann auf Benutzer importieren. 2. Wählen Sie auf der Seite Benutzer importieren die Option Willkommens-E-Mail senden aus. 3. Klicken Sie auf Datei hochladen und navigieren Sie anschließend zu der vorbereiteten CSV-Datei. Die Einträge werden aus der Datei eingelesen und angezeigt. 4. Wenn die Daten nicht korrekt oder inkonsistent formatiert sind, kann die gesamte Datei nicht importiert werden. Beachten Sie in diesem Fall die Fehlermeldungen, die neben den betroffenen Einträgen angezeigt werden, korrigieren Sie die CSV-Datei und laden Sie sie erneut hoch. 5. Klicken Sie auf Fertigstellen, um die Benutzerkonten anzulegen. Die Benutzer werden importiert und auf der Seite Benutzer anzeigen angezeigt. Per E-Mail erhalten sie ihre Anmeldeinformationen für das Self Service Portal.
34
Administratorhilfe
10 Systemeinstellungen 10.1 Lizenzen überprüfen Sophos Mobile Control beruht auf einer benutzerbasierten Lizenzregelung. Eine einzelne Benutzerlizenz ist für alle Geräte gültig, die dem betreffenden Benutzer zugewiesen sind. Für Geräte, die keinem Benutzer zugewiesen sind, ist jeweils eine Lizenz erforderlich. So überprüfen Sie Ihre verfügbaren Lizenzen: 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen > Systemeinstellungen. 2. Klicken Sie auf der Seite Systemeinstellungen auf die Registerkarte Lizenzen. Die folgenden Informationen werden angezeigt: ■
Maximale Anzahl von Lizenzen: Maximale Anzahl von Endbenutzern (und nicht zugewiesenen Geräten), die über die Web-Konsole verwaltet werden können. Falls der Superadministrator für einen Kunden keinen Höchstwert angegeben hat, ist die Lizenzanzahl durch die Gesamtzahl für den Sophos Mobile Control Server begrenzt.
■
Genutzte Lizenzen: Anzahl der verwendeten Lizenzen.
■
Gültig bis: Das Lizenzablaufdatum.
Wenn Sie Fragen zu den Lizenzinformationen haben, oder wenn die angezeigten Informationen Ihrer Meinung nach nicht korrekt sind, wenden Sie sich an Ihren Sophos Vertriebspartner. Hinweis: Zur Benachrichtigung über den bevorstehenden Ablauf von Lizenzen sendet Sophos Mobile Control mehrere E-Mail-Erinnerungen an alle Administratoren, beginnend 30 Tage vor dem Ablaufdatum.
10.2 Apple Push Notification Keystore hochladen Sophos Mobile Control verwendet den Apple Push-Benachrichtigungsdienst (APNs), um Push-Benachrichtigungen an iOS-Geräte zu senden, damit diese sich mit dem Sophos Mobile Control Server verbinden. Um den Apple Push Notification Service zu aktivieren, müssen Sie den Apple Push Notification Keystore in die Web-Konsole hochladen. Informationen dazu, wie Sie Ihr APNs-Zertifikat für Sophos Mobile Control erhalten, finden Sie in der Sophos Mobile Control Schnellstart-Anleitung bzw. in der Sophos Mobile Control as a Service Schnellstart-Anleitung. Informationen zum Erneuern Ihres APNs-Zertifikats finden Sie unter http://www.sophos.com/de-de/support/knowledgebase/118926.aspx. Voraussetzung: Sie haben Ihr APNs Zertifikat für Sophos Mobile Control erhalten. 1. Klicken Sie in der Menüleiste im Abschnitt EINSTELLUNGEN auf Einstellungen und danach auf Systemeinstellungen. Navigieren Sie anschließend zu der Registerkarte iOS APNS.
35
Sophos Mobile Control
2. Klicken Sie auf Datei hochladen. Navigieren Sie zu der P12-Zertifikatdatei, die Sie erstellt haben und geben Sie Ihr Kennwort ein. Nach Wunsch können Sie Ihre Apple-ID eingeben, falls Sie diese später benötigen. Wenn die Datei erfolgreich hochgeladen wurde, wird eine Bestätigungsmeldung angezeigt. Außerdem werden die Informationen zu Topic, Typ und Ablaufdatum Ihres APNs-Zertifikats angezeigt. 3. Klicken Sie auf Speichern. 4. Wenn Sie als Superadministrator angemeldet sind, werden in einem weiteren Dialog alle Kunden aufgeführt, die dasselbe APNs-Zertifikat wie der Superadministrator-Kunde verwenden, d.h. ein Zertifikat mit demselben Topic. ■
■
Klicken Sie auf Für alle betroffenen Kunden speichern, um das APNs-Zertifikat für alle diese Kunden zu erneuern. Klicken Sie auf Nur für den Superadministrator-Kunden speichern, um das APNs-Zertifikat nur für den Superadministrator-Kunden zu erneuern.
10.3 iOS-AirPlay-Wiedergabegeräte konfigurieren Mit Sophos Mobile Control können Sie das Spiegeln von Inhalten per AirPlay zwischen einem iOS-Gerät und einem vordefinierten AirPlay-Wiedergabegerät (zum Beispiel AppleTV) remote auslösen. Hinweis: AirPlay funktioniert nur innerhalb eines Netzwerks. Sie können die Wiedergabegeräte für die Spiegelung per AirPlay in der Web-Konsole definieren. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen und danach auf Systemeinstellungen. Navigieren Sie anschließend zu der Registerkarte iOS AirPlay. 2. Klicken Sie im Abschnitt AirPlay-Wiedergabegeräte auf AirPlay-Wiedergabegeräte erstellen. Die Seite AirPlay-Wiedergabegerät wird angezeigt. 3. Geben Sie den Gerätenamen (Pflichteingabe) und die MAC-Adresse (optional) ein. Falls notwendig, geben Sie das Kennwort für das AirPlay-Wiedergabegerät ein. 4. Klicken Sie auf Anwenden. Das Gerät wird unter AirPlay-Wiedergabegeräte auf der Registerkarte iOS AirPlay der Seite Systemeinstellungen angezeigt. 5. Klicken Sie auf Speichern. Sie können die Spiegelung per AirPlay zwischen einem iOS-Gerät und diesem Wiedergabegerät auslösen, indem Sie auf der Seite Gerät anzeigen für das gewünschte Gerät im Menü Aktionen auf Request AirPlay-Wiedergabe anfordern klicken.
10.4 Samsung-KNOX-Lizenz Wenn Ihr Unternehmen eine gültige Lizenz für Samsung KNOX besitzt, geben Sie auf der Registerkarte Samsung KNOX-Lizenz den Lizenzschlüssel, die Lizenzanzahl und das Ablaufdatum ein, um Ihre KNOX-Geräte mit Sophos Mobile Control zu verwalten.
36
Administratorhilfe
10.5 SCEP konfigurieren Sie können Simple Certificate Enrollment Protocol (einfaches Zertifikat-Registrierungs-Protokoll, kurz SCEP) konfigurieren, um Zertifikate bereitzustellen. Auf diese Weise können Geräte Zertifikate über SCEP bei einer Zertifizierungsstelle beziehen. Sie können alle Einstellungen festlegen, die für den Zugriff auf einen CA-Server über SCEP in der Web-Konsole erforderlich sind. Die für Geräte benötigten SCEP-Einstellungen legen Sie bei Android und iOS in einem Geräteprofil und bei Windows Mobile in einer Richtlinie fest. Hinweis: Die Verwendung von SCEP für die Bereitstellungen von Zertifikaten ist bei Geräten mit Windows Phone 8 nicht möglich.
10.5.1 Voraussetzungen Um das Simple Certificate Enrollment Protocol (SCEP) nutzen zu können, müssen die folgenden Voraussetzungen erfüllt sein: ■
In der Netzwerk-Umgebung muss eine SCEP-fähige Windows-CA vorhanden sein.
■
Die Anmeldedaten für einen Benutzer, der einen Challange-Code erstellen kann, sind verfügbar.
■
Der Sophos Mobile Control Server hat http- oder https-Zugriff auf die folgenden Adressen: ■
https://YOUR-SCEP-SERVER/CertSrv/MSCEP_ADMIN
■
https://YOUR-SCEP-SERVER/CertSrv/MSCEP
10.5.2 SCEP konfigurieren 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen und danach auf Systemeinstellungen. Navigieren Sie anschließend zu der Registerkarte SCEP. 2. Machen Sie die folgenden Angaben: a) Geben Sie im Feld SCEP Server URL https://IHR-SCEP-SERVER/CertSrv/MSCEP ein. b) Geben Sie im Feld Challenge URL https://IHR-SCEP-SERVER/CertSrv/MSCEP_ADMIN ein. Hinweis: Wenn Sie einen Windows 2003-Server als SCEP-Server verwenden, geben Sie https://IHR-SCEP-SERVER/CertSrv/MSCEP ein. c) Geben Sie in den Feldern Benutzer und Kennwort die Zugangsdaten des Benutzers ein, der einen Challenge-Code erstellen kann. Hinweis: Geben Sie im Feld Benutzer einen Benutzer ein, der über die erforderlichen Berechtigungen für die Bereitstellung von Zertifikaten verfügt. Verwenden Sie das folgende Anmeldeformat: benutzername@domain d) Akzeptieren Sie im Feld Challenge-Länge die Standardlänge. e) Optional können Sie die Option HTTP-Proxy verwenden deaktivieren, damit Sophos Mobile Control für Verbindungen mit dem SCEP-Server den HTTP-Proxy umgeht.
37
Sophos Mobile Control
Bei lokalen Installationen kann der Superadministrator einen HTTP-Proxy konfigurieren, den Sophos Mobile Control für ausgehende HTTP- und SSL-Verbindungen verwendet. Siehe das englischsprachige Dokument Sophos Mobile Control super administrator guide. 3. Klicken Sie auf Speichern. Sophos Mobile Control testet die Verbindung zu Ihrem SCEP-Server. Um mittels SCEP ein Profil zu übertragen, müssen Sie ein SCEP-Geräteprofil erstellen.
10.5.2.1 SCEP-Geräteprofil für iOS erstellen Informationen zur Erstellung eines iOS-Geräteprofils finden Sie in Profile und Richtlinien für iOS erstellen (Seite 78). 1. Erstellen Sie ein neues Geräteprofil für iOS und geben Sie die gewünschten allgemeinen Informationen ein. 2. Klicken Sie auf Konfiguration hinzufügen. Die Seite Verfügbare Konfigurationen wird angezeigt. 3. Wählen Sie in der Liste der verfügbaren Konfigurationen SCEP aus. Die Seite SCEP wird angezeigt. 4. Übernehmen Sie im Feld URL den vorgegebenen Wert. Dies sollte %_SCEPPROXYURL_% sein. 5. Geben Sie in das Feld CA-Name den Namen der Zertifizierungsstelle ein. 6. Für das Feld Betreff können Sie den Namen der Person verwenden, die das Zertifikat erhalten wird. Setzen Sie „CN=“ vor den eigentlichen Namen bzw. Wert. Sie können die verfügbaren LDAP-Variablen verwenden, zum Beispiel „CN=%_DEVPROP(UDID)_%“. 7. Wenn Sie einen Subject Alternative Name (SAN) mit dem Zertifikat verbinden wollen, wählen Sie den SAN-Typ im Feld Typ des Subject Alternative Name (SAN) aus. 8. Wenn Sie einen SAN-Typ ausgewählt haben, geben Sie den SAN-Wert im Feld Wert des Subject Alternative Name (SAN) ein. 9. Ändern Sie nicht den Wert des Feldes Challenge. 10. Stellen Sie sicher, dass der im Feld Schlüsselgröße festgelegte Wert mit dem Wert übereinstimmt, der auf dem SCEP-Server konfiguriert ist. 11. Konfigurieren Sie bei Bedarf die weiteren Felder und klicken Sie auf Anwenden. Die Seite Profil bearbeiten wird wieder angezeigt. 12. Klicken Sie auf Speichern. Wenn Sie weitere Konfigurationen, zum Beispiel für WLAN oder VPN, hinzufügen, können Sie das Zertifikat bzw. die Zertifizierungsstelle als Authentifizierungsmethode auswählen. Das Zertifikat für Ihr Gerät wird erstellt, sobald das Profil bereitgestellt worden ist.
10.5.2.2 SCEP-Geräteprofil für Android erstellen Wenn Sie ein CA-Zertifikat zu der SCEP-Konfiguration hinzufügen wollen, müssen Sie eine Root-Zertifikat-Konfiguration für das aktuelle Geräteprofil, in das Sie die Zertifikatdatei hochladen, erstellen.
38
Administratorhilfe
Informationen zur Erstellung eines Android-Geräteprofils finden Sie in Profile und Richtlinien für Android erstellen (Seite 52). 1. Erstellen Sie ein neues Geräteprofil für Android und geben Sie die gewünschten allgemeinen Informationen ein. 2. Klicken Sie auf Konfiguration hinzufügen. Die Seite Verfügbare Konfigurationen wird angezeigt. 3. Wählen Sie in der Liste der verfügbaren Konfigurationen SCEP aus. Die Seite SCEP wird angezeigt. 4. Übernehmen Sie im Feld URL den vorgegebenen Wert. Dies sollte %_SCEPPROXYURL_% sein. 5. Geben Sie im Feld Aliasname den Namen ein, unter dem das Zertifikat in Auswahldialogen angezeigt wird. Dies sollte ein einprägsamer Name sein, über den das Zertifikat identifiziert werden kann. Zum Beispiel können Sie denselben Wert wie für das nachfolgend beschriebene Feld Betreff verwenden, nur ohne den Vorsatz CN=. 6. Für das Feld Betreff können Sie den Namen der Person verwenden, die das Zertifikat erhalten wird. Setzen Sie „CN=“ vor den eigentlichen Namen bzw. Wert. Sie können die verfügbaren LDAP-Variablen verwenden, zum Beispiel „CN=%_DEVPROP(serial_number)_%“. 7. Wenn Sie einen Subject Alternative Name (SAN) mit dem Zertifikat verbinden wollen, wählen Sie den SAN-Typ im Feld Typ des Subject Alternative Name (SAN) aus. 8. Wenn Sie einen SAN-Typ ausgewählt haben, geben Sie den SAN-Wert im Feld Wert des Subject Alternative Name (SAN) ein. 9. Ändern Sie nicht den Wert des Feldes Challenge. 10. Wenn Sie in einer Root-Zertifikat-Konfiguration für das aktuelle Geräteprofil ein CA-Zertifikat hochgeladen haben, können Sie dieses im Feld Root-Zertifikat auswählen. 11. Stellen Sie sicher, dass der im Feld Schlüsselgröße festgelegte Wert mit dem Wert übereinstimmt, der auf dem SCEP-Server konfiguriert ist. 12. Konfigurieren Sie bei Bedarf die weiteren Felder und klicken Sie auf Anwenden. Die Seite Profil bearbeiten wird wieder angezeigt. 13. Klicken Sie auf Speichern. Wenn Sie weitere Konfigurationen, zum Beispiel für WLAN oder VPN, hinzufügen, können Sie das Zertifikat bzw. die Zertifizierungsstelle als Authentifizierungsmethode auswählen. Das Zertifikat für Ihr Gerät wird erstellt, sobald das Profil bereitgestellt worden ist.
10.5.2.3 SCEP-Geräteprofil für Windows Mobile erstellen Wenn Sie ein CA-Zertifikat zu der SCEP-Konfiguration hinzufügen wollen, müssen Sie eine Root-Zertifikat-Konfiguration für das aktuelle Geräteprofil, in das Sie die Zertifikatdatei hochladen, erstellen. Informationen zur Erstellung einer Windows-Mobile-Richtlinie finden Sie in Profile und Richtlinien für Windows Mobile oder Desktop erstellen (Seite 39). 1. Erstellen Sie ein neues Geräteprofil für Windows Mobile und geben Sie die gewünschten allgemeinen Informationen ein. 2. Klicken Sie auf Konfiguration hinzufügen. Die Seite Verfügbare Konfigurationen wird angezeigt.
39
Sophos Mobile Control
3. Wählen Sie in der Liste der verfügbaren Konfigurationen SCEP aus. Die Seite SCEP wird angezeigt. 4. Geben Sie im Feld Beschreibung eine Beschreibung für das Profil ein. 5. Übernehmen Sie im Feld URL den vorgegebenen Wert. Dies sollte %_SCEPPROXYURL_% sein. 6. Für das Feld Betreff können Sie den Namen der Person verwenden, die das Zertifikat erhalten wird. Setzen Sie „CN=“ vor den eigentlichen Namen bzw. Wert. Sie können die verfügbaren LDAP-Variablen verwenden, zum Beispiel „CN=%_DEVPROP(UDID)_%“. 7. Wenn Sie einen Subject Alternative Name (SAN) mit dem Zertifikat verbinden wollen, klicken Sie neben Typ des Subject Alternative Name (SAN) auf Hinzufügen. Wählen Sie danach den SAN-Typ aus und geben Sie den SAN-Wert ein. Wiederholen Sie dies, um weitere SAN-Werte hinzuzufügen. 8. Ändern Sie nicht den Wert des Feldes Challenge. 9. Wenn Sie in einer Root-Zertifikat-Konfiguration für das aktuelle Geräteprofil ein CA-Zertifikat hochgeladen haben, können Sie dieses im Feld Root-Zertifikat auswählen. 10. Stellen Sie sicher, dass der im Feld Schlüsselgröße festgelegte Wert mit dem Wert übereinstimmt, der auf dem SCEP-Server konfiguriert ist. 11. Verwenden Sie die Kontrollkästchen Als digitale Signatur verwenden und Für Verschlüsselung verwenden, um den Zweck des angeforderten Zertifikats anzugeben. Sie müssen mindestens eine dieser beiden Optionen auswählen. 12. Wählen Sie unter Hash-Algorithmus einen oder mehrere Hash-Algorithmen aus, die vom SCEP-Server unterstützt werden. 13. Klicken Sie auf Anwenden. 14. Klicken Sie auf der Seite Richtlinie bearbeiten auf Speichern. Wenn Sie weitere Konfigurationen, zum Beispiel für WLAN, hinzufügen, können Sie das Zertifikat bzw. die Zertifizierungsstelle als Authentifizierungsmethode auswählen. Das Zertifikat für Ihr Gerät wird erstellt, sobald das Profil bereitgestellt worden ist.
10.6 Benutzerverzeichnis konfigurieren Auf der Registerkarte Benutzerverzeichnis können Sie die Einstellungen für die Benutzerverwaltung ändern. Weitere Informationen finden Sie unter Self-Service-Portal-Benutzer verwalten (Seite 30) und im englischsprachigen Dokument Sophos Mobile Control super administrator guide.
40
Administratorhilfe
11 Compliance-Richtlinien Mit Compliance-Richtlinien können Sie: ■
Bestimmte Funktionen eines Geräts erlauben, verbieten oder erzwingen.
■
Aktionen definieren, die ausgeführt werden, wenn eine Compliance-Richtlinie verletzt wird.
Sie können mehrere Compliance-Richtlinien erstellen und unterschiedlichen Gerätegruppen zuweisen. Somit können Sie verschiedene Sicherheitsstufen auf Ihre verwalteten Geräte anwenden. Tipp: Wenn Sie sowohl Firmengeräte als auch Privatgeräte verwalten möchten, empfehlen wir, zumindest für diese beiden Gerätetypen unterschiedliche Compliance-Richtlinien zu definieren.
11.1 Compliance-Richtlinien erstellen So erstellen Sie Compliance-Richtlinien: 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Compliance-Richtlinien. 2. Klicken Sie auf der Seite Compliance-Richtlinien auf Compliance-Richtlinie erstellen. 3. Geben Sie einen Namen und eine optionale Beschreibung für die neue Compliance-Richtlinie ein. Die Seite Compliance-Richtlinien enthält einzelne Registerkarten für jede Geräteplattform, die für den Kunden aktiviert ist. Wiederholen Sie die folgenden Schritte für alle benötigten Plattformen. 4. Stellen Sie sicher, dass das Kontrollkästchen Plattform aktivieren ausgewählt ist. Wenn dieses Kontrollkästchen nicht ausgewählt ist, werden die Geräte der Plattform nicht auf Compliance überprüft. 5. Konfigurieren Sie unter Regel die Compliance-Kriterien für die ausgewählte Plattform. Jede Compliance-Regel hat ein festgelegtes Schwere-Level (hoch, mittel, niedrig), das durch blaue Balken dargestellt wird. Die erlaubt Ihnen, die Wichtigkeit jeder Regel zu beurteilen und so eine angemessene Aktion für den Fall eines Regelverstoßes zu definieren. Wenn Sie App-Gruppen definiert haben, können Sie diese den Regeln Erlaubte Apps, Unzulässige Apps und Vorgeschriebene Apps zuweisen.
41
Sophos Mobile Control
6. Definieren Sie unter Wenn Regel verletzt wird, welche Aktion bei einem Regelverstoß ausgeführt wird: Option
Beschreibung
E-Mail verbieten
E-Mail-Zugriff verbieten. Diese Aktion kann nur ausgeführt werden, wenn Sie den Sophos Mobile Control EAS-Proxy-Server einsetzen. Siehe das englischsprachige Dokument Sophos Mobile Control super administrator guide.
Container sperren
Sophos Secure Workspace und Secure Email deaktivieren. Dies wirkt sich auf den durch diese Apps verwalteten Zugang zu Dokumenten, E-Mails und Internet aus. Diese Aktion kann nur ausgeführt werden, wenn Sie eine SMC-Advanced-Lizenz aktiviert haben. Diese Option ist nur für Android-Geräte und Apple iOS Geräte relevant.
Netzwerkzugriff verbieten
Netzwerkzugriff verbieten. Diese Aktion kann nur ausgeführt werden, wenn der Superadministrator Network Access Control aktiviert hat. Siehe das englischsprachige Dokument Sophos Mobile Control super administrator guide.
Admin benachrichtigen
Compliance-E-Mails an ausgewählte Empfänger senden. Die Liste der Empfänger und der Zeitplan sind gemeinsam für alle Compliance-Richtlinien definiert. Siehe weiter unten in diesem Abschnitt.
Auftragspaket übertragen
Übermitteln Sie ein bestimmtes Auftragspaket an das Gerät (optional). Wählen Sie ein Auftragspaket aus der Liste aus oder wählen Sie Keine aus, um kein Auftragspaket zu übertragen, wenn die Regel verletzt wird. Wichtig: Bei falscher Anwendung werden durch Auftragspakete möglicherweise Geräte falsch konfiguriert oder sogar auf den Werkszustand zurückgesetzt. Für die Zuweisung der richtigen Auftragspakete zu Compliance-Regeln ist weitreichende Erfahrung mit dem System notwendig.
7. Wenn Sie alle Einstellungen für alle erforderlichen Plattformen vorgenommen haben, klicken Sie auf Speichern, um die Compliance-Richtlinie zu speichern. Die neue Richtlinie wird auf der Seite Compliance-Richtlinien angezeigt.
42
Administratorhilfe
8. Wenn Sie die Aktion Admin benachrichtigen für eine der Compliance-Regeln ausgewählt haben, klicken Sie auf Einstellungen für Compliance-E-Mails, um Empfänger und Zeitplan für die Compliance-E-Mails anzugeben. Als Empfänger können Sie entweder den Namen eines Administrators oder eine gültige E-Mail-Adresse eingeben. Hinweis: Dies sind allgemeine Einstellungen, die für alle Compliance-Regeln gelten, bei denen Admin benachrichtigen ausgewählt ist. 9. Klicken Sie auf Speichern, um die Compliance-E-Mail-Einstellungen zu speichern.
11.2 Verfügbare Geräterichtlinien Die folgende Tabelle zeigt die Geräterichtlinien, die Sie für die einzelnen Plattformen unter Regel auf der betreffenden Registerkarte Geräterichtlinien auswählen können.
Einstellung
Beschreibung
Status „Verwaltet“ erforderlich
Legen Sie fest, welche Aktionen ausgeführt werden, wenn ein Gerät nicht mehr den Status „Verwaltet“ hat.
Android
iOS
Windows Mobile
Windows Desktop
Minimale Version der Geben Sie die SMC-App Mindestversion der App Sophos Mobile Control ein, die auf dem Gerät installiert sein muss. Rootrechte erlaubt
Wählen Sie aus, ob Geräte mit Root-Rechten zulässig sind.
Apps aus Wählen Sie aus, ob Apps aus unbekannten Quellen unbekannten Quellen auf erlaubt Geräten erlaubt sind. Android Debug Wählen Sie aus, ob ADB Bridge (ADB) erlaubt (Android Debug Bridge) auf Geräten zulässig ist. Jailbreak erlauben
Wählen Sie aus, ob Jailbroken-Geräte zulässig sind.
Kennwort erforderlich
Wählen Sie aus, ob ein Gerätekennwort oder eine andere Art der Displaysperre (zum Beispiel Muster oder PIN) erforderlich ist. Bei Android umfasst dies die Displaysperre-Arten Muster,
43
Sophos Mobile Control
Einstellung
Beschreibung
PIN und Passwort, aber nicht Wischen.
Min. OS-Version
Wählen Sie die Mindestversion für das Betriebssystem auf Geräten aus.
Max. OS-Version
Wählen Sie die Maximalversion für das Betriebssystem auf Geräten aus.
Max. Geben Sie das maximale Synchronisierungsabstand Intervall zwischen Synchronisierungsvorgängen für Geräte an. Maximales Geben Sie das maximale Synchronisierungsintervall Zeitintervall für die der SMC-App Synchronisierung der App Sophos Mobile Control an. Weitere Informationen finden Sie in der Sophos Mobile Control Benutzerhilfe. Hinweis: Diese Einstellung gilt nur für Geräte mit iOS 6.1.6 oder niedriger.
Max. Dieses Feld wird nur dann SMSec-Scanintervall angezeigt, wenn für den Kunden Sophos Mobile Security verfügbar ist. Für weitere Informationen siehe Sophos Mobile Security mit Sophos Mobile Control verwalten (Seite 169). In diesem Feld können Sie den Höchstabstand zwischen Malware Scans angeben, die von der Sophos Mobile Security App auf dem Gerät durchgeführt werden. Ablehnung von Sophos Mobile Security SMSec-Berechtigungen benötigt auf dem Gerät erlaubt bestimmte Berechtigungen, um korrekt zu funktionieren. Der Benutzer muss diese Berechtigungen bei der App-Installation gewähren. Wählen Sie aus, ob die Verweigerung der benötigten
44
Android
iOS
Windows Mobile
Windows Desktop
Administratorhilfe
Einstellung
Beschreibung
Android
iOS
Windows Mobile
Windows Desktop
Berechtigungen zu einer Compliance-Verletzung führt.
Malware Apps zugelassen
Dieses Feld wird nur dann angezeigt, wenn für den Kunden Sophos Mobile Security verfügbar ist. Wählen Sie aus, ob Malware Apps auf Geräten zulässig sind.
Verdächtige Apps zugelassen
Dieses Feld wird nur dann angezeigt, wenn für den Kunden Sophos Mobile Security verfügbar ist. Wählen Sie aus, ob verdächtige Apps auf Geräten zulässig sind.
PUAs erlaubt
Dieses Feld wird nur dann angezeigt, wenn für den Kunden Sophos Mobile Security verfügbar ist. Wählen Sie aus, ob PUAs (Potentially Unwanted Apps) auf Geräten zulässig sind.
Hardwareverschlüsselung Wählen Sie aus, ob für erforderlich Geräte Verschlüsselung erforderlich ist. Daten-Roaming erlaubt
Wählen Sie aus, ob für Geräte Daten-Roaming zulässig ist.
Berechtigung für Diese Einstellung bezieht Standortbestimmung sich auf die Lokalisieren erforderlich Funktion. Legen Sie fest, ob der Benutzer der App Sophos Mobile Control bei der Installation gestatten muss, Ortsdaten abzurufen, damit das Gerät richtlinienkonform ist. App kann Legen Sie fest, ob der Standortbestimmung Benutzer der App Sophos durchführen Mobile Control bei der Installation gestatten muss, Ortsdaten abzurufen, damit
45
Sophos Mobile Control
Einstellung
Beschreibung
das Gerät richtlinienkonform ist. Berechtigung für Prozesskontrolle erforderlich
Sophos Mobile Security benötigt Nutzungsdatenzugriff, um sicherzustellen, dass blockierte Apps nicht geöffnet werden können und geschützte Apps nach einem Kennwort fragen. Wählen Sie aus, ob die Verweigerung des Nutzungsdatenzugriffs zu einer Compliance-Verletzung führt.
Erlaubte Apps / Unzulässige Apps
Sie können entweder Erlaubte Apps oder Unzulässige Apps angeben. Wählen Sie zunächst aus der ersten Liste die gewünschte Option aus, und wählen Sie anschließend aus der zweiten Liste die App-Gruppe aus, welche die erlaubten oder unzulässigen Apps enthält. Informationen zur Erstellung von App-Gruppen finden Sie in Mit App-Gruppen arbeiten (Seite 143). Wenn Sie Erlaubte Apps angeben, sind nur die aufgeführten Apps auf dem Gerät erlaubt. Wenn andere Apps erkannt werden, ist das Gerät nicht mehr richtlinienkonform. Hinweis: Android-System-Apps sind automatisch erlaubt. Wenn Sie Unzulässige Apps angeben, ist das Gerät nicht mehr richtlinienkonform, falls diese Apps erkannt werden.
Erforderliche Apps
46
Geben Sie Apps an, die auf den Geräten installiert sein müssen. Wählen Sie die App-Gruppe mit den erforderlichen Apps aus der
Android
iOS
Windows Mobile
Windows Desktop
Administratorhilfe
Einstellung
Beschreibung
Android
iOS
Windows Mobile
Windows Desktop
Liste aus. Informationen zur Erstellung von App-Gruppen finden Sie in Mit App-Gruppen arbeiten (Seite 143). Windows Defender muss eingeschaltet sein
Die Antispyware-Software Windows Defender auf dem Gerät muss eingeschaltet sein.
Windows Defender darf keine Warnungen zeigen
Das Gerät ist nicht richtlinienkonform, wenn Windows Defender Warnungen anzeigt.
Windows-Defender-Definitionen Windows Defender muss die müssen aktuell sein neuesten Antispyware-Definitionen verwenden.
11.3 Compliance-Richtlinien einer Gerätegruppe zuweisen 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Gerätegruppen. Die Seite Gerätegruppen wird angezeigt. 2. Klicken Sie auf das blaue Dreieck neben der Gerätegruppe, der Sie eine Geräte-Richtlinie zuweisen wollen, und klicken Sie auf Bearbeiten. Die Gerätegruppe Default ist standardmäßig vorhanden. Für weitere Informationen zum Erstellen eigener Gerätegruppen siehe Gerätegruppen erstellen (Seite 156). 3. Wählen Sie unter Compliance-Richtlinien in den Feldern Firmengeräte und Privatgeräte die Compliance-Richtlinien aus, die angewendet werden sollen. 4. Klicken Sie auf Speichern. Die ausgewählten Geräterichtlinien werden auf der Seite Gerätegruppen für die jeweilige Gerätegruppe unter Richtlinie für Firmengeräte und Richtlinie für Privatgeräte angezeigt.
11.4 Compliance-Prüfung von Geräten Wenn Sie Compliance-Einstellungen definiert haben, können Sie prüfen, ob registrierte Geräte den definierten Richtlinien entsprechen. 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Compliance-Richtlinien. Die Seite Compliance-Einstellungen wird angezeigt. 2. Klicken Sie auf Jetzt prüfen.
47
Sophos Mobile Control
Alle registrierten Geräte werden nach den unter Compliance-Einstellungen definierten Regeln geprüft. Die festgelegten Aktionen werden ausgeführt. Das Tortendiagramm auf der Seite Dashboard wird entsprechend aktualisiert.
48
Administratorhilfe
12 Geräte zu Sophos Mobile Control hinzufügen Sie können Geräte auf folgende Arten zu Sophos Mobile Control hinzufügen: ■
Geräte manuell hinzufügen.
■
Geräte aus einer CSV-Datei importieren.
■
Mit dem Geräteregistrierungs-Assistent ein Gerät zu Sophos Mobile Control hinzufügen, es einem Benutzer zuweisen, es registrieren, und ein Registrierungs-Auftragspaket übertragen. Siehe Mit dem Geräteregistrierungs-Assistent neue Geräte zuweisen und registrieren (Seite 153).
■
Benutzern ermöglichen, Geräte eigenständig über das Self Service Portal zu registrieren. Siehe Self Service Portal konfigurieren (Seite 25). Dieses Portal verringert den Aufwand für die IT, weil die Benutzer Aufgaben ausführen können, ohne sich an das Helpdesk wenden zu müssen. Die Geräte werden durch das Ausführen vordefinierter Auftragspakete provisioniert. Siehe Mit Auftragspaketen arbeiten (Seite 131). Weitere Informationen zur Nutzung des Self Service Portal für die Registrierung von Geräten finden Sie in der Sophos Mobile Control Benutzerhilfe.
Zur Vereinfachung der Geräteverwaltung empfehlen wir Ihnen, Geräte in Gerätegruppen zu organisieren. Siehe Gerätegruppen (Seite 156).
12.1 Gerät hinzufügen Wir empfehlen, dass Sie eine oder mehrere Gerätegruppen erstellen, bevor Sie das erste Gerät zu Sophos Mobile Control hinzufügen. Um die Geräteverwaltung zu vereinfachen, können Sie jedes Gerät einer Gerätegruppe zuweisen. Siehe Gerätegruppen erstellen (Seite 156). So fügen Sie ein neues Gerät zu Sophos Mobile Control hinzu: 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. Die Seite Geräte wird angezeigt. 2. Klicken Sie auf Hinzufügen und wählen Sie anschließend im Menüabschnitt Gerät manuell hinzufügen die Plattform aus. Die Seite Gerät bearbeiten wird angezeigt. 3. Geben Sie auf der Seite Gerät bearbeiten die folgenden Gerätedetails an: a) Geben Sie im Feld Name einen eindeutigen Namen für das neue Gerät ein. b) Geben Sie im Feld Beschreibung eine Beschreibung für das neue Gerät ein. c) Wählen Sie unter Eigentümer die Option Firma oder Privat. d) Geben Sie im Feld E-Mail-Adresse eine E-Mail-Adresse ein.
49
Sophos Mobile Control
Hinweis: Pflichtfelder sind mit einem roten Sternchen (*) markiert. e) Geben Sie im Feld Telefonnummer die Telefonnummer des neuen Geräts ein. Geben Sie die Telefonnummer in internationalem Format ein, zum Beispiel +491701234567. f) Wählen Sie unter Gerätegruppe die Gerätegruppe, zu der das Gerät hinzugefügt werden soll. Hinweis: Hier steht eine Default Gerätegruppe zur Verfügung. Wenn Sie noch keine eigenen Gerätegruppen definiert haben, können Sie Geräte zu dieser Gruppe hinzufügen. Für weitere Informationen zum Erstellen eigener Gerätegruppen siehe Gerätegruppen erstellen (Seite 156). 4. Um dem Gerät einen externen oder internen Benutzer zuzuweisen, klicken Sie auf das Symbol Benutzerzuweisung bearbeiten neben dem Feld Benutzer und klicken Sie anschließend auf Benutzer zuweisen. Weitere Informationen finden Sie unter Benutzer einem Gerät zuweisen (Seite 150). 5. Um benutzerdefinierte Eigenschaften zum Gerät hinzuzufügen, wechseln Sie auf die Registerkarte Benutzerdefinierte Eigenschaften und klicken Sie auf Benutzerdefinierte Eigenschaft hinzufügen. Für weitere Informationen siehe Benutzerdefinierte Geräteeigenschaften (Seite 151). 6. Wenn Sie alle erforderlichen Gerätedetails angegeben haben, klicken Sie auf Speichern. Das neue Gerät wird zur Sophos Mobile Control Web-Konsole hinzufügt und auf der Seite Geräte unter VERWALTEN angezeigt. Sie können das Gerät nun provisionieren und verwalten. Hinweis: Wenn Sie konfiguriert haben, dass Sophos Mobile Control den Gerätenamen von iOS-Geräten mit dem Gerät synchronisiert (siehe Einstellungen für iOS konfigurieren (Seite 22)), wird der Name, den Sie im Feld Name eingegeben haben, durch den auf dem Gerät konfigurierten Namen ersetzt.
12.2 Gerät duplizieren Sie können in Sophos Mobile Control neue Geräte durch Duplizieren bereits vorhandener Geräte anlegen. Hinweis: Sie können nur Geräte duplizieren, die nicht gerade bearbeitet werden. Die Kopien werden mit "Copy of" und dem Namen des Originalprofils benannt. Sie können die Namen der Geräte nach Ihren Anforderungen ändern. 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. Die Seite Geräte wird angezeigt. 2. Klicken Sie auf das Gerät, das Sie duplizieren wollen. Die Seite Gerät anzeigen wird angezeigt. 3. Klicken Sie auf Aktionen und anschließend auf Dieses Gerät duplizieren. Das Gerät wird dupliziert und auf der Seite Geräte angezeigt. Sie können das duplizierte Gerät nun bearbeiten. Um das Gerät zu bearbeiten, klicken Sie auf das daneben stehende blaue Dreieck und dann auf Bearbeiten.
12.3 Geräte importieren Sie können neue Geräte hinzufügen, indem Sie die Daten von bis zu 500 Geräten aus einer UTF-8-kodierte CSV-Datei importieren.
50
Administratorhilfe
Hinweis: Verwenden Sie einen Text-Editor, um die CSV-Datei zu bearbeiten. Wenn Sie Microsoft Excel verwenden, werden die eingegebenen Werte u. U. nicht korrekt aufgelöst. Achten Sie beim Speichern darauf, dass die Datei die Endung .csv besitzt. Tipp: Auf der Seite Geräte importieren steht eine Musterdatei mit den korrekten Spaltennamen und der richtigen Spaltenreihenfolge zum Download zur Verfügung. So importieren Sie Geräte aus einer CSV-Datei: 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. 2. Klicken Sie auf der Seite Geräte auf Hinzufügen > Geräte importieren. 3. Klicken Sie auf der Seite Geräte importieren auf Datei hochladen und navigieren Sie anschließend zu der vorbereiteten CSV-Datei. Die Einträge werden aus der Datei eingelesen und angezeigt. 4. Wenn die Daten nicht korrekt oder inkonsistent formatiert sind, kann die gesamte Datei nicht importiert werden. Beachten Sie in diesem Fall die Fehlermeldungen, die neben den betroffenen Einträgen angezeigt werden, korrigieren Sie die CSV-Datei und laden Sie sie erneut hoch. 5. Klicken Sie auf Fertigstellen, um die Geräte anzulegen. Die in der CSV-Datei aufgeführten Geräte werden importiert und auf der Seite Devices angezeigt. Anschließend können Sie die Geräte registrieren und konfigurieren.
51
Sophos Mobile Control
13 Mit Profilen und Richtlinien arbeiten Profile Profile sind Einstellungen, die Sie festlegen und anschließend auf ein Gerät oder eine Gerätegruppe übertragen. Für die Übertragung eines Profils auf ein oder mehrere Geräte erstellt Sophos Mobile Control einen Auftrag und führt ihn zu einem festgelegten Zeitpunkt aus. Wenn Sie ein Profil aktualisieren, müssen Sie es erneut übertragen, damit die geänderten Einstellungen auf dem Gerät wirksam werden. Es gibt folgende Profiltypen: ■
Geräteprofil für Android
■
KNOX-Container-Profil für Android
■
Geräteprofil für iOS
■
Aus Apple Configurator importiertes Geräteprofil für iOS
Richtlinien Richtlinien sind Einstellungen, die Sie festlegen und anschließend einem Gerät oder einer Gerätegruppe zuweisen. Sie können einem Gerät nicht zwei Richtlinien desselben Typs zuweisen. Wenn Sie einem Gerät eine Richtlinie zuweisen, löst dies eine Synchronisierung aus und die Einstellungen werden sofort angewendet. Zugewiesene Richtlinien werden jedes Mal aktualisiert, wenn sich ein Gerät mit dem Sophos Mobile Control Server verbindet. Daher muss eine Richtlinie nicht explizit erneut angewendet werden, wenn Sie diese aktualisieren. Es gibt folgende Arten von Richtlinien: ■
Sophos-Container-Richtlinie für Android
■
Mobile-Security-Richtlinie für Android
■
Sophos-Container-Richtlinie für iOS
■
Richtlinie für Windows Mobile
■
Richtlinie für Windows Desktop
13.1 Profile und Richtlinien für Android erstellen Für Android können Sie folgendes erstellen:
52
■
Geräteprofile
■
Sophos-Container-Richtlinien (Advanced-Lizenz erforderlich)
■
Mobile-Security-Richtlinien (Advanced-Lizenz erforderlich)
Administratorhilfe
■
KNOX-Container-Profile (KNOX-Lizenz erforderlich)
1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Profile, Richtlinien und klicken Sie anschließend auf Android. Die Seite Profile und Richtlinien wird angezeigt. 2. Klicken Sie auf Erstellen und wählen Sie Geräteprofil, Sophos-Container-Richtlinie, Mobile-Security-Richtlinie oder KNOX-Container-Profil aus. Die Seite Profil bearbeiten bzw. Richtlinie bearbeiten wird angezeigt. 3. 4. 5. 6.
Geben Sie einen Namen und eine Version für das neue Profil ein. Geben Sie im Feld Beschreibung eine Beschreibung für das Profil ein. Wählen Sie unter Betriebssysteme das Betriebssystem, für das das Profil gelten soll. Klicken Sie auf Konfiguration hinzufügen. Die Seite Verfügbare Konfigurationen wird angezeigt.
7. Wählen Sie die Konfiguration aus, die Sie hinzufügen möchten, und klicken Sie auf Weiter. Die Seite mit den Einstellungen für die Konfiguration wird angezeigt. 8. Definieren Sie die erforderlichen Einstellungen. Eine detaillierte Liste aller verfügbaren Konfigurationen und Einstellungen finden Sie in Verfügbare Konfigurationen für Geräteprofile (Seite 53). 9. Klicken Sie auf Anwenden, um Ihre Änderungen zu speichern. Die Konfiguration wird auf der Seite Profil bearbeiten bzw. Richtlinie bearbeiten in der Liste Konfigurationen angezeigt. 10. Wenn Sie alle erforderlichen Konfigurationen hinzugefügt haben, klicken Sie auf Speichern. Das Profil steht für die Übertragung zur Verfügung. Es wird auf der Seite Profile und Richtlinien für Android angezeigt.
13.1.1 Verfügbare Konfigurationen für Geräteprofile Die folgenden Konfigurationen sind für Android-Profile auf der Seite Verfügbare Konfigurationen verfügbar, wenn Sie ein Profil erstellen oder bearbeiten. Einige Konfigurationen lassen sich in einem Profil nur einmal hinzufügen, andere mehrmals. Hinweis: Einige Einstellungen werden nur für bestimmte Betriebssystemversionen oder Gerätemerkmale unterstützt. Wenn eine Konfiguration oder eine Einstellungen innerhalb einer Konfiguration nur für bestimmte Geräte unterstützt wird, werden diese Einschränkungen durch blaue Etiketten gekennzeichnet.
Kennwortrichtlinien In dieser Konfiguration können Sie Kennwortrichtlinien für Geräte definieren. Sie können nur eine Konfigurationen Kennwortrichtlinien zu einem Profil hinzufügen. Wenn Sie die Konfiguration Kennwortrichtlinien auswählen, wird das Feld Kennworttyp angezeigt. Wählen Sie in diesem Feld die Art des Kennworts, dass Sie definieren möchten: ■
Beliebig Benutzer müssen auf ihren Geräten ein Kennwort setzen. Für das Kennwort gelten jedoch keine Anforderungen oder Einschränkungen.
53
Sophos Mobile Control
■
Alphabetisch
■
PIN
■
Alphanumerisch
■
Komplex
Wenn Sie Alphabetisch, PIN oder Alphanumerisch auswählen, werden die folgenden Felder angezeigt:
Einstellung/Feld
Beschreibung
Minimale Länge des Kennworts
Gibt an, wie viele Zeichen ein Kennwort mindestens enthalten muss.
Inaktivitätszeit bis zur Abfrage des Kennworts In diesem Feld können Sie festlegen, wann (in Sekunden) das Gerät nach Nichtbenutzung gesperrt werden soll. Das Gerät lässt sich durch Eingabe des Kennworts entsperren. Gültigkeitsdauer des Kennworts in Tagen
Fordert eine Änderung des Kennworts im angegebenen Intervall. Wertebereich: 0 (keine Kennwortänderung erforderlich) bis 730 Tage.
Maximale Anzahl fehlerhafter Loginversuche, bis das Gerät zurückgesetzt wird
In diesem Feld können Sie die Höchstanzahl an fehlgeschlagenen Eingabeversuchen für das Kennwort eingeben. Nach Erreichen der Höchstanzahl wird das Gerät zurückgesetzt.
Anzahl der letzten Kennwörter, die nicht benutzt werden dürfen
In diesem Feld können Sie festlegen, wie viele alte Kennwörter gespeichert und mit neu definierten Kennwörtern verglichen werden. Wenn ein Benutzer ein neues Kennwort festlegt, wird es nicht akzeptiert, wenn es mit einem bereits benutzten Kennwort übereinstimmt. Wertebereich: 1 bis 5 oder kein Wert.
Wenn Sie Komplex auswählen, werden zusätzlich zu den für die anderen Kennworttypen angezeigten Felder die folgenden Felder angezeigt:
54
Einstellung/Feld
Beschreibung
Minimale Anzahl an Buchstaben
Gibt an, wie viele Buchstaben ein Kennwort mindestens enthalten muss.
Minimale Anzahl von Kleinbuchstaben
Gibt an, wie viele Kleinbuchstaben ein Kennwort mindestens enthalten muss.
Minimale Anzahl von Großbuchstaben
Gibt an, wie viele Großbuchstaben ein Kennwort mindestens enthalten muss.
Administratorhilfe
Einstellung/Feld
Beschreibung
Minimale Anzahl von Zeichen, die kein Buchstabe sind
Gibt an, wie viele nicht-alphabetische Zeichen (zum Beispiel & oder !) ein Kennwort mindestens enthalten muss.
Minimale Anzahl von Zahlen
Gibt an, wie viele Zahlen ein Kennwort mindestens enthalten muss.
Minimale Anzahl von Sonderzeichen
Gibt an, wie viele Sonderzeichen (zum Beispiel !"§$%&/()=,.-;:_@) ein Kennwort mindestens enthalten muss.
Einschränkungen In dieser Konfiguration können Sie Einschränkungen für Geräte definieren. Sie können nur eine Konfigurationen Einschränkungen zu einem Profil hinzufügen.
Einstellung/Feld
Beschreibung
Verschlüsselung erzwingen Kamera erlauben
Wenn Sie diese Option deaktivieren, werden Kameras vollständig auf den Geräten deaktiviert.
Kamera auf Sperrbildschirm erlauben
Wenn Sie diese Option deaktivieren, werden Kameras bei gesperrtem Bildschirm deaktiviert.
Widgets auf Sperrbildschirm erlauben
Wenn Sie diese Option deaktivieren, werden Widgets bei gesperrtem Bildschirm deaktiviert.
Auf Werkseinstellungen zurücksetzen erlauben
Wenn Sie diese Option deaktivieren, können Benutzer Ihre Geräte nicht auf die Werkseinstellungen zurücksetzen.
Einstellungen ändern erlauben
Wenn Sie diese Option deaktivieren, können Benutzer keine Einstellungen auf ihren Geräten ändern. Je nach Gerät wird das Symbol für die Einstellungen entfernt.
Backup erlauben
Wenn Sie diese Option deaktivieren, können Benutzer keine System-Backups erstellen. Google Backup wird deaktiviert. Andere Backup-Verfahren (zum Beispiel Sophos Mobile Control Backups) bleiben aktiv.
Nativen Browser erlauben
Wenn Sie diese Option deaktivieren, werden native Browser auf den Geräten deaktiviert.
55
Sophos Mobile Control
Einstellung/Feld
Beschreibung
Zwischenablage erlauben
Wenn Sie diese Option deaktivieren, können Benutzer keine Inhalte in die Zwischenablage kopieren. Hinweis: Diese Einstellung gilt nur für Geräte mit Android 4.2.2 oder höher.
Play Store erlauben
Wenn Sie diese Option deaktivieren, wird der Play Store auf den Geräten deaktiviert. Hinweis: Diese Einstellung gilt nicht für Geräte mit Android 4.2.1 oder niedriger.
Apps aus unbekannten Quellen erlauben Wenn Sie diese Option deaktivieren, können Apps nicht aus unbekannten Quellen installiert werden. Bluetooth erlauben
Wenn Sie diese Option deaktivieren, wird Bluetooth auf den Geräten deaktiviert.
NFC erlauben
Wenn Sie diese Option deaktivieren, wird NFC (Near Field Communication) auf den Geräten deaktiviert.
Bildschirmaufnahme erlauben
Wenn Sie diese Option deaktivieren, können Benutzer keine Screenshots vom Display erstellen.
SD-Karte erlauben
Wenn Sie diese Option deaktivieren, können in den Geräten keine SD-Karten verwendet werden.
USB-Debuggen erlauben
Wenn Sie diese Option deaktivieren, wird USB-Debuggen auf den Geräten deaktiviert.
USB erlauben
Wenn Sie diese Option deaktivieren, werden der USB-Speichermodus und der USB Media Player auf den Geräten deaktiviert.
WiFi-Tethering erlauben
Wenn Sie diese Option deaktivieren, wird WiFi-Tethering auf den Geräten deaktiviert.
USB-Tethering erlauben
Wenn Sie diese Option deaktivieren, wird USB-Tethering auf den Geräten deaktiviert.
Bluetooth-Tethering erlauben
Wenn Sie diese Option deaktivieren, wird Bluetooth-Tethering auf den Geräten deaktiviert.
Synchronisierung bei Roaming erlauben Wenn Sie diese Option deaktivieren, ist die Synchronisierung bei Mobilfunk-Roaming deaktiviert. Datenverbindungen bei Roaming erlauben
56
Wenn Sie diese Option deaktivieren, sind mobile Datenverbindungen bei Mobilfunk-Roaming deaktiviert.
Administratorhilfe
Einstellung/Feld
Beschreibung
Mikrofon erlauben Mock GPS-Standorte erlauben Optionen zum Verschieben auf SD-Karte in den Geräteeinstellungen erlauben Schreiben auf SD-Karte erlauben Tethering erlauben USB-Media Player erlauben Sprachanrufe bei Roaming erlauben
Wenn Sie diese Option deaktivieren, sind mobile Sprachanrufe bei Mobilfunk-Roaming deaktiviert.
Versand von Crash-Reports erlauben
Wenn Sie diese Option deaktivieren, sind Crash-Reports für Applikationen deaktiviert.
Over-the-air Firmeware-Updates erlauben Videoaufnahmen erlauben Aktivierungssperre erlauben Flugmodus erlauben Android Beam erlauben Audioaufnahmen erlauben Entwicklermodus erlauben Schnellverschlüsselung erlauben Firmware-Wiederherstellung erlauben Auto-Sync für Google-Konten erlauben S Beam erlauben S Voice erlauben Share-List erlauben Mobildatenlimit für Benutzer erlauben
57
Sophos Mobile Control
Einstellung/Feld
Beschreibung
VPN erlauben Wallpaper-Wechsel erlauben Wi-Fi Direct erlauben Installation von Apps erlauben Deinstallation von Apps erlauben Safe-Modus erlauben SMS erlauben Nur Notrufe erlauben GPS für Standortabfragen erzwingen Installation unsignierter Apps erlauben Miracast-Richtlinie erlauben Entfernen des Google-Kontos erlauben Mobile Datenverbindung erzwingen Bei Roaming nur manuell synchronisieren Mehrere Benutzerkonten erlauben Hinzufügen neuer E-Mail-Konten erlauben Common-Criteria-Modus erlauben Erlaubte Apps / Unzulässige Apps
58
Sie können entweder Erlaubte Apps oder Unzulässige Apps angeben. Wählen Sie zunächst aus der ersten Liste die gewünschte Option aus, und wählen Sie anschließend aus der zweiten Liste die App-Gruppe aus, welche die erlaubten oder unzulässigen Apps enthält. Informationen zur Erstellung von App-Gruppen finden Sie in Mit App-Gruppen arbeiten (Seite 143).
Administratorhilfe
KNOX-Premium-Einschränkungen In dieser Konfiguration können Sie Einschränkungen für Samsung-KNOX-Geräte definieren. Diese werden auf das Gerät und nicht auf den Container angewendet.
Option
Beschreibung
Optionen für automatische Firmware-Updates erlauben ODE Trusted Boot-Verifizierung erlauben Installation einer anderen Administrator-App verhindern
Wenn diese Option aktiviert ist, wird die Installation von Apps verhindert, für die Administratorrechte erforderlich sind.
Aktivierung einer anderen Administrator-App verhindern
Wenn diese Option aktiviert ist, wird die Aktivierung von Apps verhindert, für die Administratorrechte erforderlich sind.
Common-Criteria-Modus erlauben
App Protection In dieser Konfiguration können Sie Einstellungen für den Schutz von Apps auf Endbenutzergeräten definieren. Wenn App Protection aktiv ist, müssen Benutzer ein Kennwort definieren, wenn sie eine geschützte App zum ersten Mal starten. In der App Protection Konfiguration definieren Sie Kennwortanforderungen und die zu schützenden Apps. Nach einem fehlgeschlagenen Anmeldeversuch, tritt eine Anmeldeverzögerung in Kraft. Wenn App Protection auf einem Endbenutzergerät aktiv ist, steht im Menü Aktionen der Seite Gerät anzeigen das Kommando App-Protection-Kennwort zurücksetzen zur Verfügung. Außerdem kann der Benutzer das Kennwort für App Protection im Self Service Portal zurücksetzen. Weitere Informationen finden Sie in der Sophos Mobile Control Benutzerhilfe.
Einstellung/Feld
Beschreibung
Kennworttyp
In diesem Feld definieren Sie die Mindestanforderungen für das Kennwort, das von den Benutzern festgelegt wird, zum Beispiel 6-Zeichen Kennwort.
Toleranzfrist in Minuten
Wählen Sie in diesem Feld eine Toleranzfrist. Nach Ablauf der Toleranzfrist können Apps nur noch durch Eingabe eines Kennworts entsperrt werden.
59
Sophos Mobile Control
Einstellung/Feld
Beschreibung
App-Gruppe
Wählen Sie die App-Gruppe aus, welche die Apps enthält, die mit einem Kennwort geschützt werden sollen. Informationen zur Erstellung von App-Gruppen finden Sie in Mit App-Gruppen arbeiten (Seite 143).
App Control In dieser Konfiguration legen Sie fest, welche Apps auf dem Gerät nicht gestartet werden dürfen. Hiermit können Sie zum Beispiel unerwünschte Apps blockieren, die vom Gerätehersteller vorinstalliert worden sind und nicht deinstalliert werden können.
Einstellung/Feld
Beschreibung
App-Gruppe
Wählen Sie die App-Gruppe aus, welche die blockierten Apps enthält. Informationen zur Erstellung von App-Gruppen finden Sie in Mit App-Gruppen arbeiten (Seite 143).
Exchange ActiveSync In dieser Konfiguration können Sie die Einstellungen für Ihren Microsoft Exchange Server definieren. Sie können mehrere Konfigurationen Exchange ActiveSync hinzufügen.
Einstellung/Feld
Beschreibung
Kontoname
Geben Sie in diesem Feld einen Kontonamen ein.
Exchange-ActiveSync-Host
Geben Sie in diesem Feld die Adresse des Microsoft Exchange Servers ein. Hinweis: Wenn Sie den SMC-EAS-Proxy verwenden, geben Sie die URL des SMC-Proxy-Servers ein.
60
Domäne
Geben Sie in diesem Feld die Domäne für das Konto ein.
Benutzer
Geben Sie in diesem Feld den Benutzer für das Konto ein. Sie können die Variable %_USERNAME_% verwenden. Der Server ersetzt diese durch den jeweiligen Benutzernamen, wenn für das Gerät, an
Administratorhilfe
Einstellung/Feld
Beschreibung das das Profil gesendet wird, eine LDAP-Verbindung besteht.
E-Mail-Adresse
Geben Sie in diesem Feld die E-Mail-Adresse für das Konto ein. Sie können die Variable %_EMAILADDRESS_% verwenden. Der Server ersetzt diese durch die jeweilige E-Mail-Adresse, wenn für das Gerät, an das das Profil gesendet wird, eine LDAP-Verbindung besteht.
Absender
Geben Sie in diesem Feld einen Absendernamen für das Konto ein. Sie können die Variable %_EMAILADDRESS_% verwenden. Der Server ersetzt diese durch die jeweilige E-Mail-Adresse, wenn für das Gerät, an das das Profil gesendet wird, eine LDAP-Verbindung besteht.
Kennwort
Geben Sie in diesem Feld das Kennwort für das Konto ein. Wenn Sie dieses Feld leer lassen, müssen Benutzer das Kennwort auf ihren Geräten eingeben.
Zeitraum für die Synchronisierung von E-Mails
Wählen Sie in diesem Feld den Zeitraum für die E-Mail-Synchronisierung. Dabei handelt es sich um die Anzahl an Tagen, für die E-Mails synchronisiert werden. Wenn Sie hier einen Zeitraum angeben, werden nicht alle im Posteingang enthaltenen E-Mails auf dem verwalteten Gerät synchronisiert, sondern nur die E-Mails aus dem angegebenen Zeitraum. Sie können folgende Optionen auswählen: Ein Tag Drei Tage Eine Woche Zwei Wochen Ein Monat
Synchronisierungsintervall
Wählen Sie in diesem Feld den Abstand zwischen den einzelnen E-Mail-Synchronisierungsvorgängen: Nie 5 Minuten 10 Minuten 15 Minuten 30 Minuten 1 Stunde
61
Sophos Mobile Control
Einstellung/Feld
Beschreibung
SSL
Wählen Sie diese Option, um für die gesamte Kommunikation SSL (Secure Socket Layer) zu verwenden.
Standardkonto
Das Konto wird als Standard-E-Mail-Konto verwendet.
Erlaube alle Zertifikate
Für die Kommunikation mit dem E-Mail-Server sind alle Zertifikate zugelassen.
Client-Zertifikat
Wählen Sie in diesem Feld das Client-Zertifikat für die Verbindung zu ActiveSync.
E-Mail-Weiterleitung erlauben
E-Mail-Weiterleitung erlauben.
Verwendung des HTML-Formats erlauben
E-Mails im HTML-Format sind zugelassen.
Max. Anhangsgröße in MB
Wählen Sie die maximale E-Mail-Größe aus der Liste aus (1, 3, 5, 10, Unbegrenzt).
Inhalte
Wählen Sie aus, welcher Inhaltstyp synchronisiert werden soll. Notizen Kontakte Kalender Aufträge
WLAN In dieser Konfiguration geben Sie die Einstellungen für die Verbindung mit WLAN-Netzwerken an. Sie können mehrere Konfigurationen WLAN hinzufügen.
Einstellung/Feld
Beschreibung
SSID
Geben Sie in diesem Feld die ID des Drahtlosnetzwerks ein.
Sicherheitstyp
In diesem Feld wählen Sie den Sicherheitstyp des WLAN aus: Ohne WEP WPA/WPA2
62
Administratorhilfe
Einstellung/Feld
Beschreibung EAP/PEAP [SAFEv2+] [LG GATEv4.0+] [SONYv5+] EAP/TLS [SAFEv2+] [LG GATEv4.0+] [SONYv5+] EAP/TTLS [SAFEv2+] [LG GATEv4.0+] [SONYv5+] Wenn Sie WEP oder WPA/WPA2 auswählen, wird ein Feld Kennwort angezeigt. Geben Sie das relevante Kennwort ein. Wenn Sie eine der EAP-Einstellungen auswählen, werden die Felder Identität, Anonyme Identität und Kennwort angezeigt. Geben Sie die erforderlichen EAP-Informationen ein. Wenn Sie EAP/PEAP oder EAP/TTLS auswählen, wird zusätzlich das Feld Phase 2-Autorisierung angezeigt. Wählen Sie die Art der Autorisierung: PAP CHAP MSCHAP MSCHAPv2
VPN In dieser Konfiguration können Sie VPN-Einstellungen für Netzwerke definieren. Sie können mehrere Konfigurationen VPN hinzufügen.
Einstellung/Feld
Beschreibung
Verbindungsname
Geben Sie in diesem Feld den Namen der Verbindung ein, der auf dem Gerät angezeigt wird.
Server
Geben Sie in diesem Feld den Host-Namen oder die IP-Adresse des Servers ein.
Verbindungstyp
Wählen Sie in diesem Feld den Verbindungstyp: L2TP/IPsec (PSK) Wenn Sie diesen Typ auswählen, werden die Felder Benutzer, Kennwort und L2TP/IPsec (PSK) angezeigt. Geben Sie den Benutzer und das Kennwort ein. Geben Sie im Feld L2TP/IPsec (PSK) den Pre-shared Key für die Authentisierung ein. L2TP/IPsec (Zertifikat) Wenn Sie diesen Typ auswählen, werden die Felder Client-Zertifikat, Root-Zertifikat, Benutzer und Kennwort angezeigt. Wählen Sie in den
63
Sophos Mobile Control
Einstellung/Feld
Beschreibung Feldern Client-Zertifikat und Root-Zertifikat die relevanten Zertifikate. Geben Sie außerdem den Benutzer und das zugehörige Kennwort ein.
Root-Zertifikat In dieser Konfiguration können Sie ein Root-Zertifikat für Geräte hochladen. Sie können mehrere Konfigurationen Root-Zertifikat hinzufügen. Navigieren Sie im Feld Datei zu dem relevanten Zertifikat und klicken Sie auf Datei hochladen. Der Name des Zertifikats wird im Feld Zertifikatsname angezeigt. Hinweis: Das hier hochgeladene Zertifikat ist nur für dieses Profil verfügbar. Wenn Sie Zertifikate in anderen Profilen benötigen, müssen Sie diese erneut hochladen.
Client-Zertifikat In dieser Konfiguration können Sie ein Client-Zertifikat für Geräte hochladen. Sie können mehrere Konfigurationen Client-Zertifikat hinzufügen. Navigieren Sie im Feld Datei zu dem relevanten Zertifikat und klicken Sie auf Datei hochladen. Der Name des Zertifikats wird im Feld Zertifikatsname angezeigt. Geben Sie das Kennwort für das ausgewählte Zertifikat ein. Hinweis: Das hier hochgeladene Zertifikat ist nur für dieses Profil verfügbar. Wenn Sie Zertifikate in anderen Profilen benötigen, müssen Sie diese erneut hochladen.
SCEP Informationen zur SCEP-Konfiguration finden Sie in SCEP-Geräteprofil für Android erstellen (Seite 38).
Zugangspunkt (APN) Mit der Konfiguration Zugangspunkt (APN) konfigurieren Sie einen Zugangspunkt (Access Point Name) für Mobilgeräte. Eine APN-Konfiguration legt fest, wie sich Geräte mit einem Mobilfunknetz verbinden. Sie können mehrere Konfigurationen Zugangspunkt (APN) zu einem Profil hinzufügen. Außer dem Feld APN sind alle Einstellungen optional. Sie sollten nur jene Einstellungen konfigurieren, die von Ihrem Mobilfunkbetreiber benötigt werden. Wichtig: Wir empfehlen, die benötigten Einstellungen von Ihrem Netzbetreiber zu erfragen. Wenn Sie Als Standard-Zugangspunkt verwenden auswählen und die Einstellungen fehlerhaft sind, kann das Gerät keine mobilen Daten empfangen.
64
Administratorhilfe
Einstellung/Feld
Beschreibung
APN
Der Zugangspunkt, den das Gerät angibt, wenn es sich mit dem Mobilfunknetz verbindet. Dies muss mit ein vom Netzbetreiber akzeptierter Zugangspunkt sein. Andernfalls kann die Verbindung nicht aufgebaut werden.
Benutzerfreundlicher Name
Ein optionaler Name, der auf dem Gerät zusätzlich zum APN angezeigt wird.
Proxy-Server und -Port
Adresse und Portnummer des HTTP-Servers, der für Web-Datenverkehr verwendet wird.
Benutzername, Benutzer-Kennwort
Ein Benutzername und Kennwort für die Verbindung mit dem Zugangspunkt.
Server
Der WAP-Gateway-Server.
MMSC
Das Multimedia Messaging Service Center (MMSC).
MMS-Proxy-Server und -Port
Adresse und Portnummer des HTTP-Servers, der für die Kommunikation mit dem MMSC verwendet wird.
Mobile Country Code (MCC), Mobile Network Code (MNC)
Mit MCC und MNC legen Sie einen Netzbetreiber fest. Der Zugangspunkt wird nur für diesen Netzbetreiber verwendet.
Authentifizierung-Typ
Die Authentifizierungsmethode für PPP-Verbindungen.
APN-Typ
Die Datenarten für diesen APN. Um den APN für alle Datenarten zu verwenden, tragen Sie * ein oder lassen das Feld leer.
Träger
Die vom Netzbetreiber verwendete Radio Access Technology (RAT).
Protokoll
Das vom Netzbetreiber unterstützte Netzwerkprotokoll.
Roaming-Protokoll
Das vom Netzbetreiber unterstützte Netzwerkprotokoll bei Roaming in fremden Mobilfunknetzen.
65
Sophos Mobile Control
Einstellung/Feld
Beschreibung
Als Standard-Zugangspunkt verwenden
Wählen Sie diese Option aus, um den APN als Standard zu verwenden. Wenn Sie mehrere Konfigurationen Zugangspunkt (APN) verwenden, dürfen Sie diese Option nur in einer Konfiguration auswählen.
Kiosk-Modus Mit der Konfiguration Kiosk-Modus definieren Sie Einschränkungen für Geräte, um einen Kiosk-Modus zu realisieren. Sie können nur eine Konfiguration Kiosk-Modus zu einem Profil hinzufügen. Um eine App festzulegen, die ausgeführt wird, wenn das Profil auf ein Gerät übertragen wird, klicken Sie auf Quelle auswählen und gehen Sie anschließend auf eine der folgenden Arten vor: ■
Wählen Sie Benutzerdefiniert aus und geben Sie eine App-Kennung ein.
■
Wählen Sie App-Liste aus und wählen Sie anschließend in der Liste Kennung eine App aus. Die Liste enthält alle Apps, die Sie auf der Seite Apps konfiguriert haben. Siehe App hinzufügen (Seite 134).
■
Wählen Sie Keine aus, um keine festgelegte App im Kiosk-Modus auszuführen. Die Kiosk-Modus-Einschränkungen werden auf das Gerät übertragen, aber es wird keine App gestartet.
Unter Optionen deaktivieren Sie Hardware- und Software-Funktionen, die im Kiosk-Modus deaktiviert sein sollen. Wenn das Profil auf ein Gerät übertragen wird, wird die festgelegte App gestartet. Der Benutzer kann jedoch die App verlassen und das Gerät normal verwenden, falls Sie keine der verfügbaren Hardware- oder Software-Funktionen deaktiviert haben. Für einen tatsächlichen Kiosk-Modus müssen Sie mindestens die Optionen Schaltfläche Startbildschirm erlauben und Task-Manager erlauben deaktivieren. Hinweis: ■
Die festgelegte App muss auf dem Gerät vorhanden sein. Ist dies nicht der Fall, verbleiben die zu übertragenden Aufträge im Status Unvollständig, bis die App installiert worden ist. Um die App zu installieren, erstellen Sie zum Beispiel ein Auftragspaket, das einen Auftrag App installieren enthält und übertragen dieses an Ihre Geräte.
■
Wenn Sie für Samsung-SAFE-Geräte eine App angeben wollen, muss dies eine Launcher App sein. Launcher Apps stellen einen alternativen Android-Desktop bereit.
13.1.2 Verfügbare Konfigurationen für Sophos-Container-Richtlinien Diese Richtlinien beziehen sich auf die Sophos-Container-Apps Sophos Secure Workspace und Sophos Secure Email.
66
Administratorhilfe
Allgemein Die Einstellungen in der Konfiguration Allgemein beziehen sich auf alle Container-Apps (sofern anwendbar).
Einstellung/Feld
Beschreibung
App-Kennwort aktivieren
Benutzer müssen ein zusätzliches Kennwort eingeben, um eine Container-App zu starten. Sobald die erste Container-App gestartet wird nachdem die Konfiguration angewendet wurde, muss das Kennwort definiert werden. Dieses Kennwort gilt für alle Container-Apps.
Kennworttyp
In diesem Feld können Sie die notwendige minimale Komplexität des App-Kennworts definieren. Sicherere Kennwörter sind immer erlaubt. Kennwörter (eine Kombination von numerischen und alphanumerischen Zeichen) werden generell als sicherer angesehen als PINs (nur numerische Zeichen). Sie können folgende Einstellungen auswählen: Beliebig: App-Kennwörter sind keinen Einschränkungen unterworfen. 4-Ziffern-PIN 6-Ziffern-PIN 4-Zeichen-Kennwort 6-Zeichen-Kennwort 8-Zeichen-Kennwort 10-Zeichen-Kennwort
Gültigkeitsdauer des Kennworts Geben Sie in diesem Feld an, wie viele Tage ein Kennwort in Tagen verwendet werden kann, bevor der Benutzer aufgefordert wird, es zu ändern. Fehlgeschlagene Anmeldungen bis Sperre
Geben Sie in diesem Feld an, nach wie vielen fehlgeschlagenen Anmeldeversuchen die Container-Apps gesperrt werden. Gesperrte Apps müssen von einem Administrator entsperrt werden. Falls konfiguriert, können die Apps auch vom Benutzer im Self Service Portal entsperrt werden.
Fingerabdruck erlauben
Wählen Sie dieses Kontrollkästchen aus, damit Benutzer die App mit ihrem Fingerabdruck entsperren dürfen.
Toleranzfrist in Minuten
In diesem Feld definieren Sie die Zeitspanne, während der kein Container-App-Kennwort eingegeben werden muss, sobald die App wieder im Vordergrund angezeigt wird. Wenn das Gerät gesperrt und wieder entsperrt wird, müssen die Benutzer jedenfalls das Kennwort eingeben, auch innerhalb der Toleranzfrist. Die Toleranzfrist gilt für alle Container-Apps. Während der Toleranzfrist können Sie zwischen den Apps wechseln, ohne das Kennwort erneut eingeben zu müssen.
67
Sophos Mobile Control
Einstellung/Feld
Beschreibung Sie können 1, 2, 5, 10, 15 Minuten auswählen.
Letzte Verbindung zum Server
In diesem Feld können Sie definieren, wie lange Benutzer Sophos Secure Workspace oder Sophos Secure Email verwenden können, ohne dass eine Verbindung zum Sophos Mobile Control Server aufgebaut wurde. Wenn die App aktiviert wird und innerhalb der definierten Zeitspanne keinen Kontakt mit dem Server hatte, wird ein Sperrbildschirm angezeigt. Der Benutzer kann die App durch Tippen auf Wiederholen entsperren. Hierdurch verbindet sich die App mit dem Server. Kann die Verbindung aufgebaut werden, wird die App entsperrt. Falls nicht, wird der Zugriff verweigert. Sie können folgende Einstellungen definieren: Bei jedem Zugriff: Eine Serververbindung ist immer notwendig und die App wird gesperrt wenn der Server nicht erreichbar ist. 1 Stunde: Eine Serververbindung ist notwendig, wenn die App eine Stunde oder später nach der letzten erfolgreichen Serververbindung aktiviert wird. 3 Stunden 6 Stunden 12 Stunden 1 Tag 3 Tage 1 Woche Ohne: Keine regelmäßige Verbindung ist notwendig.
Offline-Starts ohne Serververbindung
In diesem Feld können Sie definieren, wie oft Benutzer Sophos Secure Workspace starten können, ohne dass eine Serververbindung aufgebaut wurde. Hinweis: Diese Einstellung setzt voraus, dass ein die Funktionalität des App-Kennworts aktiviert wurde. Es wird mitgezählt, wie oft Benutzer das App-Kennwort für Sophos Secure Workspace eingeben. Wenn der Zähler die definierte Anzahl überschreitet, wird derselbe Sperrbildschirm wie für die Letzte Verbindung zum Server Einstellung angezeigt. Der Zähler wird zurückgesetzt, wenn eine Verbindung zum Sophos Mobile Control Server hergestellt wird. Unbegrenzt: Es ist keine Serververbindung notwendig. 0: Das Starten der App ohne Serververbindung ist nicht möglich. 1: Nach einem Start der App ist eine erfolgreiche Serververbindung notwendig. 3 5 10
68
Administratorhilfe
Einstellung/Feld
Beschreibung 20
Rootrechte erlaubt
Die Container-Apps können auf Geräten mit Root-Rechten laufen.
App-Nutzungs-Beschränkungen Hier können Sie Beschränkungen für die Nutzung der Sophos-Container-Apps festlegen. Klicken Sie auf Hinzufügen, um Beschränkungen einzugeben.
Räumliche Beschränkungen
Spezifizieren Sie über Längen- und Breitengrad einen Ausgangspunkt sowie einen Abstand, innerhalb dessen die Sophos-Container-Apps verwendet werden können.
Zeitliche Beschränkungen
Geben Sie über eine Anfangs- und eine Endzeit eine Zeitspanne an, innerhalb derer die Sophos-Container-Apps verwendet werden können. Sie können auch spezifizieren, an welchen Wochentagen die Apps verwendet werden können.
WLAN-Beschränkungen
Geben Sie WLAN-Netzwerke an, mit denen die Geräte verbunden sein müssen, damit die Sophos-Container-Apps verwendet werden können. Das Gerät muss tatsächlich mit einem der aufgeführten Netzwerke verbunden sein. Es reicht nicht aus, dass eines der aufgeführten Netzwerke vom Gerät gefunden wird. Wichtig: Wir empfehlen, sich nicht auf WLAN-Beschränkungen als einzigen Sicherheitsmechanismus zu verlassen, da WLAN-Namen sehr leicht gefälscht werden können (Wi-Fi Spoofing).
Corporate Email Einstellung/Feld
Beschreibung
Exchange-ActiveSync-Host
Geben Sie die Adresse des Exchange-ActiveSync-Servers Ihres Unternehmens ein (zum Beispiel mail.ihrefirma.com).
Benutzer
Geben Sie in diesem Feld den Benutzer für das Konto ein. Sie können die Variable %_USERNAME_% verwenden. Der Server ersetzt diese durch den jeweiligen Benutzernamen, wenn für das Gerät, an welches das Profil gesendet wird, eine LDAP-Verbindung besteht.
E-Mail-Adresse
Geben Sie in diesem Feld die E-Mail-Adresse für das Konto ein. Sie können die Variable %_EMAILADDRESS_% verwenden. Der Server ersetzt diese durch die jeweilige E-Mail-Adresse, wenn
69
Sophos Mobile Control
Einstellung/Feld
Beschreibung für das Gerät, an welches das Profil gesendet wird, eine LDAP-Verbindung besteht.
Domäne
Fügen Sie die Domäne des Exchange-Servers Ihres Unternehmens ein (zum Beispiel EXCHANGE2013).
Support-E-Mail-Kontakt
Legen Sie die Adresse für E-Mails fest, die über die Funktion „Kontaktiere Support“ gesendet werden.
Benachrichtigungseinstellungen Diese Option regelt die Anzeige von E-Mail-Benachrichtigungen anzeigen und Terminerinnerungen in Sophos Secure Email. Wenn die Option aktiviert ist: E-Mail-Benachrichtigungen können vom Benutzer aktiviert oder deaktiviert werden. Terminerinnerungen sind aktiviert. Wenn die Option deaktiviert ist: E-Mail-Benachrichtigungen und Terminerinnerungen sind deaktiviert. Hinweis: Falls Sie die Anzeige von Benachrichtigungen auf verlorenen oder gestohlenen Geräten als Sicherheitsrisiko betrachten, sollten Sie Benachrichtigungen deaktivieren.
Anhänge öffnen
Wenn Sie diese Option aktivieren, sind unterhalb von Anhängen die Schaltflächen Speichern und Öffnen verfügbar. Speichern leitet den Anhang an Sophos Secure Workspace weiter, Öffnen öffnet die Datei in Sophos Secure Email. Wenn Sophos Secure Email die Datei nicht öffnen kann, kann der Benutzer auswählen, an welche App sie weitergeleitet wird. Wenn Sie die Option deaktivieren, können Anhänge weder geöffnet noch an andere Apps weitergeleitet werden.
Corporate Documents Online-Speicher konfigurieren
Einstellungen
Lokaler Speicher
Für jeden Speicheranbieter können Sie die folgenden Einstellungen separat definieren:
Benutzern können Dateien in Sophos Secure Workspace speichern und Dateien aus dem Gerätespeicher in einen Cloud-Speicher hochladen. Dropbox Google Drive
70
Aktivieren Falls ausgewählt, ist der Speicheranbieter in der App sichtbar. Offline Falls ausgewählt, können Benutzer Dateien vom Speicheranbieter zur Liste Favoriten der App hinzufügen, um sie offline zu lesen.
Administratorhilfe
Online-Speicher konfigurieren
Einstellungen
MagentaCLOUD
Verschlüsselt teilen: Wenn aktiviert, können Benutzer mittels Teilen verschlüsselte Dateien an andere Apps senden/übergeben.
OneDrive Box Egnyte WebDAV 1 WebDAV 2 WebDAV 3
Unverschlüsselt teilen: Wenn aktiviert, können Benutzer mittels Teilen unverschlüsselte Dateien an andere Apps senden/übergeben. Zwischenablage: Wenn aktiviert, ist die Zwischenablage in der Dokumentenansicht der App aktiviert und erlaubt Benutzern, Teile aus einem Dokument zu kopieren und in andere Apps einzufügen.
WebDAV-Anbieter werden als Unternehmens-Anbieter bezeichnet. Für sie können Sie Server und Zugangsdaten zentral definieren. Diese können von den Benutzern nicht geändert werden. Einstellungen, die Sie nicht zentral definieren, können vom Benutzer im entsprechenden App-Dialog eingegeben werden. Beispielsweise können Sie den Server und das Benutzerkonto zentral einstellen, aber das Kennwort-Feld undefiniert lassen. Benutzer müssen dann das Kennwort eingeben, um Zugriff auf den Speicheranbieter zu bekommen.
Server
Geben Sie in diesem Feld Folgendes ein: Die URL des Root-Ordners auf dem WebDAV-Server für Corporate Documents. Die URL des Root-Ordners auf dem WebDAV-Server. Verwenden Sie das folgende Format: https://server.company.com Nur das Protokoll https wird unterstützt.
Benutzername
Geben Sie in diesem Feld den Benutzernamen für den entsprechenden Server ein. Sie können auch die Variable %_USERNAME_% verwenden.
Kennwort
Geben Sie in diesem Feld das Kennwort für das entsprechende Konto ein.
Zielordner
Geben Sie in diesem Feld den Zielordner für das entsprechende Konto ein.
Dokumente aktivieren
Ermöglicht es, mit der Funktion Dokumente Unternehmensdokumente auf sichere Weise auszutauschen.
Komplexität des Kennworts
In diesem Feld können Sie die notwendige minimale Komplexität der Passphrase für Verschlüsselungsschlüssel festlegen. Sicherere Passphrasen sind immer erlaubt. Sie können folgende Einstellungen auswählen: 4-Zeichen-Kennwort 6-Zeichen-Kennwort
71
Sophos Mobile Control
Online-Speicher konfigurieren
Einstellungen 8-Zeichen-Kennwort 10-Zeichen-Kennwort
Corporate Browser Mit Corporate Browser können Sie auf sichere Weise auf Intranetseiten Ihres Unternehmens und andere erlaubte Seiten zugreifen. Sie können Lesezeichen festlegen, zum Beispiel Domänen, auf die mit Corporate Browser zugegriffen werden kann. Klicken Sie in der Konfiguration Corporate Browser auf Domäne hinzufügen oder Lesezeichen hinzufügen.
Einstellung/Feld
Beschreibung
Domäne hinzufügen URL
Geben Sie in diesem Feld die Domäne ein, die Sie erlauben wollen.
Kopieren/Einfügen erlauben
Benutzer können Text aus Corporate Browser kopieren und in anderen Apps einfügen.
„Öffnen mit“ erlauben
Benutzer können Anhänge herunterladen oder an andere Apps weiterleiten.
Kennwort-Speichern erlauben
Benutzer können ihre Kennwörter in Corporate Browser speichern.
Lesezeichen hinzufügen Hinweis: Das Lesezeichen wird zu der in der URL angegebenen Domäne hinzugefügt. Nicht vorhandene Domänen werden automatisch erstellt.
Name
Geben Sie in diesem Feld einen Namen für das Lesezeichen ein.
URL
Geben Sie in diesem Feld die URL für das Lesezeichen ein.
Client-Zertifikat In dieser Konfiguration können Sie ein Client-Zertifikat für Geräte hochladen. Sie können mehrere Konfigurationen Client-Zertifikat hinzufügen. Navigieren Sie im Feld Datei zu dem relevanten Zertifikat und klicken Sie auf Datei hochladen. Der Name des Zertifikats wird im
72
Administratorhilfe
Feld Zertifikatsname angezeigt. Geben Sie das Kennwort für das ausgewählte Zertifikat ein. Hinweis: Das hier hochgeladene Zertifikat ist nur für dieses Profil verfügbar. Wenn Sie Zertifikate in anderen Profilen benötigen, müssen Sie diese erneut hochladen.
Root-Zertifikat In dieser Konfiguration können Sie ein Root-Zertifikat für Geräte hochladen. Sie können mehrere Konfigurationen Root-Zertifikat hinzufügen. Navigieren Sie im Feld Datei zu dem relevanten Zertifikat und klicken Sie auf Datei hochladen. Der Name des Zertifikats wird im Feld Zertifikatsname angezeigt. Hinweis: Das hier hochgeladene Zertifikat ist nur für dieses Profil verfügbar. Wenn Sie Zertifikate in anderen Profilen benötigen, müssen Sie diese erneut hochladen.
SCEP SCEP-Konfigurationen in einer Sophos-Container-Richtlinie werden auf die gleiche Weise erstellt wie bei Geräteprofilen. Siehe SCEP-Geräteprofil für Android erstellen (Seite 38).
13.1.3 Verfügbare Konfigurationen für Mobile-Security-Richtlinien Hinweis: Die unterstützten Einstellungen hängen von anbieterspezifischen APIs und von der Android-Version ab, die auf den einzelnen Geräten in Gebrauch ist. Je nach Endbenutzergerät haben einige Einstellungen unter Umständen keine Auswirkung. In den einzelnen Konfigurationen wird in der Web-Konsole durch entsprechende Label angegeben, ob eine Einstellung nur für eine bestimmte Android-Version oder nur für bestimmte Geräte unterstützt wird (zum Beispiel für das Samsung Safe-Plugin: SAFEv2+).
Antivirus Siehe Antivirus-Einstellungen für Sophos Mobile Security konfigurieren (Seite 169).
Web-Filter Siehe Webfilter-Einstellungen für Sophos Mobile Security konfigurieren (Seite 171).
13.1.4 Verfügbare Konfigurationen für KNOX-Container-Profile Hinweis: Die unterstützten Einstellungen hängen von anbieterspezifischen APIs und von der Android-Version ab, die auf den einzelnen Geräten in Gebrauch ist. Je nach Endbenutzergerät haben einige Einstellungen möglicherweise keine Auswirkung. In den einzelnen Konfigurationen wird in der Web-Konsole durch entsprechende Label angegeben, ob eine Einstellung nur für eine bestimmte Android-Version oder nur für bestimmte Geräte unterstützt wird (zum Beispiel für das Samsung Safe-Plugin: SAFEv2+).
Kennwortrichtlinien In dieser Konfiguration können Sie Kennwortrichtlinien für Geräte definieren. Sie können nur eine Konfigurationen Kennwortrichtlinien zu einem Profil hinzufügen.
73
Sophos Mobile Control
Wenn Sie die Konfiguration Kennwortrichtlinien auswählen, wird das Feld Kennworttyp angezeigt. Wählen Sie in diesem Feld die Art des Kennworts, dass Sie definieren möchten: ■
Beliebig Benutzer müssen auf ihren Geräten ein Kennwort setzen. Für das Kennwort gelten jedoch keine Anforderungen oder Einschränkungen.
■
Alphabetisch
■
PIN
■
Alphanumerisch
■
Komplex
Wenn Sie Alphabetisch, PIN oder Alphanumerisch auswählen, werden die folgenden Felder angezeigt:
Einstellung/Feld
Beschreibung
Minimale Länge des Kennworts
Gibt an, wie viele Zeichen ein Kennwort mindestens enthalten muss.
Inaktivitätszeit bis zur Abfrage des Kennworts In diesem Feld können Sie festlegen, wann (in Sekunden) das Gerät nach Nichtbenutzung gesperrt werden soll. Das Gerät lässt sich durch Eingabe des Kennworts entsperren. Gültigkeitsdauer des Kennworts in Tagen
Fordert eine Änderung des Kennworts im angegebenen Intervall (in Tagen).
Maximale Anzahl fehlerhafter Loginversuche, bis das Gerät zurückgesetzt wird
In diesem Feld können Sie die Höchstanzahl an fehlgeschlagenen Eingabeversuchen für das Kennwort eingeben. Nach Erreichen der Höchstanzahl wird das Gerät zurückgesetzt.
Anzahl der letzten Kennwörter, die nicht benutzt werden dürfen
In diesem Feld können Sie festlegen, wie viele alte Kennwörter gespeichert und mit neu definierten Kennwörtern verglichen werden. Wenn ein Benutzer ein neues Kennwort festlegt, wird es nicht akzeptiert, wenn es mit einem bereits benutzten Kennwort übereinstimmt. Wertebereich: 1 bis 5 oder kein Wert.
Wenn Sie Komplex auswählen, werden zusätzlich zu den für die anderen Kennworttypen angezeigten Felder die folgenden Felder angezeigt:
74
Einstellung/Feld
Beschreibung
Minimale Anzahl an Buchstaben
Gibt an, wie viele Buchstaben ein Kennwort mindestens enthalten muss.
Administratorhilfe
Einstellung/Feld
Beschreibung
Minimale Anzahl von Kleinbuchstaben
Gibt an, wie viele Kleinbuchstaben ein Kennwort mindestens enthalten muss.
Minimale Anzahl von Großbuchstaben
Gibt an, wie viele Großbuchstaben ein Kennwort mindestens enthalten muss.
Minimale Anzahl von Zeichen, die kein Buchstabe sind
Gibt an, wie viele nicht-alphabetische Zeichen (zum Beispiel & oder !) ein Kennwort mindestens enthalten muss.
Minimale Anzahl von Zahlen
Gibt an, wie viele Zahlen ein Kennwort mindestens enthalten muss.
Minimale Anzahl von Sonderzeichen
Gibt an, wie viele Sonderzeichen (zum Beispiel !"§$%&/()=,.-;:_@) ein Kennwort mindestens enthalten muss.
Einschränkungen In dieser Konfiguration können Sie Einschränkungen für Geräte definieren. Sie können nur eine Konfigurationen Einschränkungen zu einem Profil hinzufügen.
Einstellung/Feld Bildschirmaufnahme erlauben Kamera erlauben Zwischenablage erlauben Share-List erlauben Mikrofon erlauben Verwendung der sicheren Tastatur durchsetzen Hinzufügen neuer E-Mail-Konten erlauben Erlaubte Apps Sie können für den Container konfigurieren, dass die manuelle Installation von Apps beschränkt wird, indem Sie eine Liste von Apps hinzufügen, die auf dem Gerät erlaubt sind. Wählen Sie die App-Gruppe aus, welche die Apps enthält, die installiert werden dürfen. Informationen zur Erstellung von App-Gruppen finden Sie in Mit App-Gruppen arbeiten (Seite 143). Vom Server initiierte Installationen werden automatisch zugelassen.
75
Sophos Mobile Control
Exchange ActiveSync In dieser Konfiguration können Sie die Einstellungen für Ihren Microsoft Exchange Server definieren. Sie können mehrere Konfigurationen Exchange ActiveSync hinzufügen.
Einstellung/Feld
Beschreibung
Kontoname
Geben Sie in diesem Feld einen Kontonamen ein.
Exchange-ActiveSync-Host
Geben Sie in diesem Feld die Adresse des Microsoft Exchange Servers ein. Hinweis: Wenn Sie den SMC EAS Proxy verwenden, geben Sie die URL des SMC Proxy/Servers ein.
76
Domäne
Geben Sie in diesem Feld die Domäne für das Konto ein.
Benutzer
Geben Sie in diesem Feld den Benutzer für das Konto ein. Sie können die Variable %_USERNAME_% verwenden. Der Server ersetzt diese durch den jeweiligen Benutzernamen, wenn für das Gerät, an das das Profil gesendet wird, eine LDAP-Verbindung besteht.
E-Mail-Adresse
Geben Sie in diesem Feld die E-Mail-Adresse für das Konto ein. Sie können die Variable %_EMAILADDRESS_% verwenden. Der Server ersetzt diese durch die jeweilige E-Mail-Adresse, wenn für das Gerät, an das das Profil gesendet wird, eine LDAP-Verbindung besteht.
Absender
Geben Sie in diesem Feld einen Absendernamen für das Konto ein. Sie können die Variable %_EMAILADDRESS_% verwenden. Der Server ersetzt diese durch die jeweilige E-Mail-Adresse, wenn für das Gerät, an das das Profil gesendet wird, eine LDAP-Verbindung besteht.
Kennwort
Geben Sie in diesem Feld das Kennwort für das Konto ein.
Zeitraum für die Synchronisierung von E-Mails
Wählen Sie in diesem Feld einen Zeitraum für die E-Mail-Synchronisierung. Nur E-Mails, die innerhalb dieses Zeitraums empfangen worden sind, werden mit dem Eingangsordner auf dem Mobilgerät synchronisiert. Wenn Sie zum Beispiel Eine Woche auswählen, werden nur E-Mails synchronisiert, die vor einer Woche oder danach empfangen worden sind. Sie können folgende Optionen auswählen:
Administratorhilfe
Einstellung/Feld
Beschreibung Ein Tag Drei Tage Eine Woche Zwei Wochen Ein Monat
Synchronisierungsintervall
Wählen Sie in diesem Feld den Abstand zwischen den einzelnen E-Mail-Synchronisierungsvorgängen: Nie 5 Minuten 10 Minuten 15 Minuten 30 Minuten 1 Stunde
SSL
Wählen Sie diese Option, um für die gesamte Kommunikation SSL (Secure Socket Layer) zu verwenden.
Standardkonto
Das Konto wird als Standard-E-Mail-Konto verwendet.
Erlaube alle Zertifikate
Für die Kommunikation mit dem E-Mail-Server sind alle Zertifikate zugelassen.
E-Mail-Weiterleitung erlauben
E-Mail-Weiterleitung erlauben.
Verwendung des HTML-Formats erlauben
E-Mails im HTML-Format sind zugelassen.
Max. Anhangsgröße in MB
Wählen Sie die maximale E-Mail-Größe aus der Liste aus (1, 3, 5, 10, Unbegrenzt).
Inhalte
Wählen Sie aus, welcher Inhaltstyp synchronisiert werden soll. Notizen Kontakte Kalender Aufträge
77
Sophos Mobile Control
13.2 Unterstützung von Samsung KNOX Sie können Ihre Samsung-KNOX-Geräte über die Sophos Mobile Control Web-Konsole verwalten. Hinweis: Um Samsung-KNOX-Geräte verwalten zu können, müssen Sie in Sophos Mobile Control unter Systemeinstellungen einen von Samsung ausgestellten KNOX-Advanced-Lizenzschlüssel eingeben. Unter Profile, Richtlinien können Sie ein Profil erstellen, das die Einstellungen für den KNOX-Container enthält. Die folgenden Konfigurationen sind verfügbar: ■
Kennwortrichtlinien
■
Einschränkungen
■
Exchange-ActiveSync-Host
Informationen zur Erstellung eines Profils für KNOX-Geräte finden Sie in Profile und Richtlinien für Android erstellen (Seite 52). Sie können Apps hochladen oder Links anlegen, und die Apps anschließend in einem KNOX-Container installieren. Siehe App hinzufügen (Seite 134). Zur Verwaltung Ihrer KNOX-Geräte können Sie Auftragspakete für die folgenden Aktionen erstellen: ■
KNOX-Container: sperren
■
KNOX-Container: entsperren
■
KNOX-Container: Kennwort zurücksetzen
■
KNOX-Container: Alle Einstellungen entfernen
Informationen zum Erstellen eines Auftragspakets für KNOX-Geräte finden Sie in Auftragspakete erstellen (Seite 131).
13.3 Profile und Richtlinien für iOS erstellen Für iOS können Sie folgendes erstellen: ■
Geräteprofile
■
Sophos-Container-Richtlinien
Außerdem bietet Sophos Mobile Control die Möglichkeit, Profile in die Web-Konsole zu importieren, die mit dem Apple Configurator erstellt worden sind.
13.3.1 Profile und Richtlinien für iOS erstellen 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Profile, Richtlinien und klicken Sie anschließend auf Apple iOS. Die Seite Profile und Richtlinien wird angezeigt. 2. Klicken Sie auf Erstellen und wählen Sie Geräteprofil oder Sophos-Container-Richtlinie aus. Die Seite Profil bearbeiten bzw. Richtlinie bearbeiten wird angezeigt.
78
Administratorhilfe
3. Geben Sie einen Namen, Ihre Organisation (das Feld wird automatisch mit Ihrem Kundennamen ausgefüllt) und eine Beschreibung ein. Die Angabe zur Version ist optional. 4. Legen Sie im Feld Durch Benutzer entfernbar fest, ob Benutzer das Profil von ihrem Gerät entfernen dürfen: ■ ■
Immer Mit Authentifizierung Wenn Sie diese Option auswählen, wird unter dem Feld Durch Benutzer entfernbar das Feld Kennwort für Authentisierung angezeigt. Geben Sie das für das Entfernen des Profils erforderliche Kennwort ein. Um Benutzern zu ermöglichen, das Profil zu entfernen, teilen Sie ihnen das Kennwort mit.
■
Nie
5. Im Feld Automatisch entfernen am können Sie ein Datum eingeben, an dem das Profil automatisch von Endbenutzergeräten entfernt wird. Das Profil wird am festgelegten Datum um 23 Uhr entfernt. 6. Wählen Sie unter Betriebssysteme das Betriebssystem, für das das Profil gelten soll. Hinweis: Das Feld Betriebssysteme zeigt alle iOS-Versionen, die derzeit im System verfügbar sind. Für die einzelnen iOS-Versionen werden u. U. nicht alle Konfigurationseinstellungen unterstützt. Wenn Sie unter Betriebssysteme alle Versionen auswählen, haben je nach iOS-Version auf dem Endbenutzergerät einige Einstellungen möglicherweise keine Auswirkung. 7. Klicken Sie auf Konfiguration hinzufügen. Die Seite Verfügbare Konfigurationen wird angezeigt. 8. Wählen Sie die Konfiguration aus, die Sie hinzufügen möchten, und klicken Sie auf Weiter. Die Seite mit den Einstellungen für die Konfiguration wird angezeigt. 9. Definieren Sie die erforderlichen Einstellungen. Eine detaillierte Liste aller verfügbaren Konfigurationen und Einstellungen finden Sie in Verfügbare Konfigurationen für iOS-Profile (Seite 79). 10. Klicken Sie auf Anwenden, um Ihre Änderungen zu speichern. Die Konfiguration wird auf der Seite Profil bearbeiten unter Konfigurationen angezeigt. 11. Fügen Sie nach Wunsch weitere Konfigurationen hinzu. 12. Wenn Sie alle erforderlichen Konfigurationen hinzugefügt haben, klicken Sie auf Speichern. Das Profil steht für die Übertragung zur Verfügung. Es wird auf der Seite Profile und Richtlinien für Apple iOS angezeigt.
13.3.1.1 Verfügbare Konfigurationen für iOS-Profile Die folgenden Konfigurationen sind für iOS-Profile auf der Seite Verfügbare Konfigurationen verfügbar, wenn Sie ein Profil erstellen oder bearbeiten. Einige Konfigurationen lassen sich in einem Profil nur einmal hinzufügen, andere mehrmals. Hinweis: Einige Einstellungen werden nur für bestimmte Betriebssystemversionen oder Gerätemerkmale unterstützt. Wenn eine Konfiguration oder eine Einstellungen innerhalb einer Konfiguration nur für bestimmte Geräte unterstützt wird, werden diese Einschränkungen durch blaue Etiketten gekennzeichnet.
79
Sophos Mobile Control
Kennwortrichtlinien In dieser Konfiguration können Sie Kennwortrichtlinien für Geräte definieren. Sie können nur eine Konfigurationen Kennwortrichtlinien zu einem Profil hinzufügen.
Einstellung/Feld
Beschreibung
Einfache Werte erlauben
Benutzer dürfen aufeinanderfolgende oder wiederholte Zeichen in ihrem Kennwort verwenden, zum Beispiel 1111 oder abcde.
Alphanumerische Werte erforderlich
Kennwort muss mindestens einen Buchstaben oder eine Ziffer enthalten.
Minimale Länge des Kennworts
Gibt an, wie viele Zeichen ein Kennwort mindestens enthalten muss.
Mindestanzahl von komplexen Zeichen
Gibt an, wie viele nicht-alphanumerische Zeichen (zum Beispiel & oder !) ein Kennwort mindestens enthalten muss.
Gültigkeitsdauer des Kennworts in Tagen
Fordert eine Änderung des Kennworts im angegebenen Intervall. Wertebereich: 0 (keine Kennwortänderung erforderlich) bis 730 Tage.
Automatische Sperre (Minuten)
In diesem Feld können Sie den Höchstwert festlegen, den der Benutzer auf dem Gerät konfigurieren darf. Mit der automatischen Sperre wird festgelegt, wann (in Minuten) das Gerät nach Nichtbenutzung gesperrt werden soll.
Anzahl der letzten Kennwörter, die nicht benutzt In diesem Feld können Sie festlegen, wie viele werden dürfen alte Kennwörter gespeichert und mit neu definierten Kennwörtern verglichen werden. Wenn ein Benutzer ein neues Kennwort festlegt, wird es nicht akzeptiert, wenn es mit einem bereits benutzten Kennwort übereinstimmt. Wertebereich: 1 bis 50 oder 0 (keine Kennworthistorie). Maximale Toleranzfrist für Gerätesperrung
80
In diesem Feld können Sie den Höchstwert festlegen, den der Benutzer auf dem Gerät konfigurieren darf. Mit der Toleranzfrist für die Gerätesperrung legen Sie fest, wie lange nach einer Sperre das Gerät ohne Kennwort entsperrt werden kann. Wenn Sie Ohne auswählen, kann der Benutzer einen beliebigen verfügbaren Zeitraum wählen. Wenn Sie Sofort auswählen, müssen Benutzer immer, wenn sie ihre Geräte entsperren, ein Kennwort eingeben.
Administratorhilfe
Einstellung/Feld
Beschreibung
Maximale Anzahl fehlerhafter Loginversuche, bis das Gerät zurückgesetzt wird
In diesem Feld können Sie die Höchstanzahl an fehlgeschlagenen Eingabeversuchen für das Kennwort eingeben. Nach Erreichen der Höchstanzahl wird das Gerät zurückgesetzt. Nach sechs fehlgeschlagenen Versuchen wird eine Zeitverzögerung verhängt. Ein erneuter Versuch kann erst nach Ablauf der Verzögerung unternommen werden. Diese Verzögerung wird mit jedem fehlgeschlagenen Versuch größer. Nach dem letzten fehlgeschlagenen Versuch werden alle Daten und Einstellungen sicher vom Gerät entfernt. Die Zeitverzögerung startet nach dem sechsten Versuch. Wenn Sie also diesen Wert auf 6 oder einen niedrigeren Wert setzen, wird keine Verzögerung ausgelöst. In diesem Fall wird das Gerät zurückgesetzt, sobald die maximale Anzahl an Fehlversuchen überschritten ist.
Einschränkungen In dieser Konfiguration können Sie Einschränkungen für Geräte definieren. Sie können nur eine Konfigurationen Einschränkungen zu einem Profil hinzufügen.
Einstellung/Feld
Beschreibung
Gerät Installation von Programmen erlauben
Wenn Sie diese Option deaktivieren, wird der App Store deaktiviert und sein Symbol wird vom Home-Bildschirm entfernt. Benutzer können keine Apps über den App Store oder iTunes installieren oder aktualisieren.
App-Installation über die Benutzeroberfläche erlauben Verwendung der Kamera erlauben
Wenn Sie diese Option deaktivieren, werden Kameras vollständig deaktiviert. Das Kamera-Symbol wird vom Home-Bildschirm entfernt. Benutzer können weder Fotos machen, Videos aufzeichnen noch FaceTime benutzen.
FaceTime erlauben
Wenn Sie diese Option deaktivieren, können Benutzer keine FaceTime Anrufe tätigen oder erhalten.
Bildschirmaufnahme erlauben
Wenn Sie diese Option deaktivieren, können Benutzer keine Screenshots vom Display erstellen.
81
Sophos Mobile Control
Einstellung/Feld
Beschreibung
Automatische Synchronisierung bei Roaming erlauben
Wenn Sie diese Option deaktivieren, synchronisieren sich Geräte bei Mobilfunk-Roaming nur dann, wenn der Benutzer auf ein Konto zugreift.
Siri erlauben
Wenn Sie diese Option deaktivieren, können Benutzer Siri, Sprachbefehle oder die Diktierfunktion nicht verwenden.
Siri erlauben während das Gerät gesperrt Wenn Sie diese Option deaktivieren, müssen Benutzer ist ihre Geräte durch Eingabe ihres Kennworts entsperren, damit Sie Siri benutzen können. Websuche für Siri erlauben
Wenn Sie diese Option deaktivieren, führt Siri keine Websuche durch.
Filtern von vulgären Ausdrücken für Siri Wenn Sie diese Option deaktivieren, wird das Filtern von erzwingen vulgären Ausdrücken für Siri nicht durchgesetzt. Sprachwahl erlauben
Wenn Sie diese Option deaktivieren, können Benutzer nicht mit Sprachwahl auf ihrem Telefon wählen.
Passbook bei Gerätesperre erlauben
Wenn Sie diese Option deaktivieren, zeigt das Gerät keine Passbook-Benachrichtigungen, wenn es gesperrt ist.
In-App-Käufe erlauben
Wenn Sie diese Option deaktivieren, können Benutzer keine App-internen Käufe durchführen.
Benutzer muss für alle Einkäufe das iTunes Store-Kennwort eingeben
Benutzer müssen für Käufe ihr Apple-ID-Kennwort eingeben. In der Regel gilt nach einem Einkauf eine kurze Toleranzfrist, bevor sich Benutzer für weitere Einkäufe erneut authentifizieren müssen.
Mehrspielermodus erlauben
Wenn Sie diese Option deaktivieren, können Benutzer keine Spiele im Mehrspielermodus im Game Center spielen.
Game Center erlauben
Wenn Sie diese Option deaktivieren, kann Game Center nicht auf dem Gerät benutzt werden.
Hinzufügen von Game Center-Freunden Wenn Sie diese Option deaktivieren, können Benutzer zulassen keine Freunde im Game Center hinzufügen.
82
Änderung der „Freunde suchen“-Einstellungen erlauben
Wenn Sie diese Option deaktivieren, sind Änderungen an der App „Freunde suchen“ deaktiviert.
Datenaustausch per Kabel erlauben
Wenn Sie diese Option auswählen, ist der Datenaustausch per Kabel mit Ausnahme des Supervision Host deaktiviert. Wenn kein Supervision Host Zertifikat konfiguriert wurde, wird jeglicher Austausch deaktiviert.
Administratorhilfe
Einstellung/Feld
Beschreibung
Kopplung mit Apple Watch erlauben AirDrop erlauben
Wenn Sie diese Option deaktivieren, ist das Teilen von Inhalten mit AirDrop auf dem Gerät nicht zulässig.
Zugriff auf das Kontrollzentrum im Sperrbildschirm erlauben
Wenn Sie diese Option deaktivieren, lassen sich Einstellungen nicht mit dem Kontrollzentrum verwalten, wenn der Gerätebildschirm gesperrt ist.
Zugriff auf die Mitteilungszentrale im Sperrbildschirm erlauben
Wenn Sie diese Option deaktivieren, ist die Mitteilungszentrale nicht verfügbar, wenn der Gerätebildschirm gesperrt ist.
Zugriff auf die Heute-Ansicht im Sperrbildschirm erlauben
Wenn Sie diese Option deaktivieren, ist die Heute-Ansicht nicht verfügbar, wenn der Gerätebildschirm gesperrt ist.
News-Ansicht erlauben Over-the-air PKI Updates erlauben
Wenn Sie diese Option deaktivieren, sind Over-the-air PKU-Updates nicht möglich.
Einkauf von Büchern in iBooks erlauben Wenn Sie diese Option deaktivieren, können Benutzer keine Bücher in iBooks erwerben. Explizite sexuelle Inhalte in iBooks Store Wenn Sie diese Option deaktivieren, sind explizite erlauben sexuelle Inhalte im iBooks Store nicht verfügbar. Installation von Konfigurationsprofilen durch den Benutzer erlauben
Wenn Sie diese Option deaktivieren, können Benutzer keine Konfigurationsprofile installieren.
iMessage erlauben
Wenn Sie diese Option deaktivieren, können Benutzer iMessage nicht zum Verfassen von Nachrichten verwenden.
Deinstallation von Apps erlauben
Wenn Sie diese Option deaktivieren, können Benutzer keine Apps von ihren Geräten entfernen.
Löschen aller Inhalte und Einstellungen erlauben Internetsuchergebnis für Spotlight erlauben Aktivierung der Beschränkungsoption erlauben Handoff erlauben
83
Sophos Mobile Control
Einstellung/Feld
Beschreibung
Ändern des Gerätenamens erlauben Hintergrundbild-Änderung erlauben Tastenkürzel erlauben Automatisches Herunterladen von Apps erlauben Apple Music erlauben
Wenn Sie diese Option deaktivieren, können Benutzer nicht auf Apple Music zugreifen.
Apple Music Radio erlauben
Wenn Sie diese Option deaktivieren, können Benutzer nicht auf Apple Music Radio zugreifen.
Unternehmensdaten Öffnen von Dokumenten nur innerhalb von verwalteten Apps/Konten erlauben
Mit dieser Einstellungen können Sie eine Einschränkung für das Öffnen von Dokumenten mit Apps/Konten (zum Beispiel einem Firmen-E-Mail-Konto), die von Sophos Mobile Control verwaltet werden, definieren. Zum Beispiel: Wenn diese Option ausgewählt ist und Benutzer über ein von Sophos Mobile Control verwaltetes E-Mail-Konto und von Sophos Mobile Control verwaltete Apps auf Ihren Geräten verfügen, können die Anhänge aus dem verwalteten E-Mail-Konto nur mit verwalteten Apps geöffnet werden. Auf diese Weise können Sie verhindern, dass Unternehmensdokumente mit nicht verwalteten Apps geöffnet werden.
Öffnen von Dokumenten nur innerhalb von nicht verwalteten Apps/Konten erlauben
Mit dieser Einstellungen können Sie eine Einschränkung für das Öffnen von Dokumenten mit Apps/Konten (zum Beispiel einem privaten E-Mail-Konto), die nicht von Sophos Mobile Control verwaltet werden, definieren. Zum Beispiel: Wenn diese Option ausgewählt ist und Benutzer über ein nicht durch Sophos Mobile Control verwalteten E-Mail-Konto und nicht Sophos Mobile Control verwaltete Apps auf Ihren Geräten verfügen, können die Anhänge aus dem nicht verwalteten E-Mail-Konto nur mit nicht verwalteten Apps geöffnet werden. Auf diese Weise können Sie verhindern, dass persönliche Dokumente mit verwalteten Apps geöffnet werden.
Verwendung von AirDrop-Dokumenten als nicht verwaltete Dokumente erzwingen Verwalteten Apps die Synchronisierung mit iCloud erlauben
84
Administratorhilfe
Einstellung/Feld
Beschreibung
Backup für Enterprise Books erlauben Enterprise Books Notes und Highlights-Sync erlauben Programme Verwendung des iTunes Store erlauben Wenn Sie diese Option deaktivieren, wird der iTunes Store deaktiviert und sein Symbol wird vom Home-Bildschirm entfernt. Benutzer können Inhalte weder in der Vorschau ansehen, noch kaufen oder herunterladen. Verwendung von Safari erlauben
Wenn Sie diese Option deaktivieren, wird der Safari Web-Browser deaktiviert und sein Symbol wird vom Home-Bildschirm entfernt. Dies verhindert auch, dass Benutzer Webclips öffnen.
Automatisches Ausfüllen aktivieren
Wenn Sie diese Option deaktivieren, werden Benutzereingaben in Webformularen von Safari nicht wiedererkannt.
Betrugswarnung erzwingen
Safari versucht, Benutzer daran zu hindern, als betrügerisch oder schädlich erkannte Websites aufrufen.
Pop-Ups unterdrücken
Der Safari-Pop-Up-Blocker wird aktiviert.
Cookies akzeptieren
In diesem Feld können Sie festlegen, ob Cookies akzeptiert werden sollen: Immer Nie Von besuchten Webseiten
Änderung der Einstellungen für mobile Datenverbindungen pro App erlauben
Wenn Sie diese Option deaktivieren, können Benutzer die Einstellungen für die mobile Datenverbindung pro App nicht ändern.
Erlaubte Apps / Unzulässige Apps
Sie können entweder Erlaubte Apps oder Unzulässige Apps angeben. Wählen Sie zunächst aus der ersten Liste die gewünschte Option aus, und wählen Sie anschließend aus der zweiten Liste die App-Gruppe aus, welche die erlaubten oder unzulässigen Apps enthält. Informationen zur Erstellung von App-Gruppen finden Sie in Mit App-Gruppen arbeiten (Seite 143).
iCloud
85
Sophos Mobile Control
Einstellung/Feld
Beschreibung
Backup erlauben
Benutzer können ein Geräte-Backup in iCloud machen.
Dokumentsynchronisierung erlauben
Benutzer können Dokumente in iCloud speichern.
Fotostream zulassen
Benutzer können iCloud Fotostream aktivieren. Hinweis: Wenn Sie ein Konfigurationsprofil installieren, dass die Benutzung von Fotostream einschränkt, werden Fotostream-Fotos vom Gerät des Benutzers entfernt. Es ist außerdem nicht möglich, Fotos aus dem Fotoordner an Fotostream zu senden. Wenn keine anderen Kopien dieser Fotos existieren, gehen diese u. U. verloren.
Cloud Photo Library erlauben Freigegebene Fotostreams erlauben
Benutzer können andere Benutzer dazu einladen, ihre Fotostreams anzusehen. Außerdem können in diesem Fall Benutzer die freigegebenen Fotostreams anderer ansehen.
Schlüsselbundsynchronisierung erlauben
Wenn Sie diese Option deaktivieren, ist die iCloud-Funktion für die Synchronisierung von Kennwörtern über verschiedene iOS- und OS-X-Geräte hinweg nicht auf dem Gerät erlaubt.
Sicherheit und Privatsphäre Senden von Diagnosedaten an Apple erlauben
Wenn Sie diese Option deaktivieren, werden keine iOS-Diagnosedaten an Apple gesendet.
Annehmen nicht vertrauenswürdiger TLS-Zertifikate durch Benutzer
Wenn Sie diese Option deaktivieren, werden Benutzer nicht gefragt, ob sie einem Zertifikat vertrauen möchten, das nicht verifiziert werden kann. Diese Einstellung gilt für Safari und Mail-Kontakte und Kalender-Konten.
Enterprise-Apps vertrauen Kennwort-Änderung erlauben Kontoänderungen erlauben
Wenn Sie diese Option deaktivieren, sind Kontoänderungen deaktiviert. Auf dem Gerät ist das Konto Menü nicht verfügbar.
Touch ID zum Entsperren des Geräts erlauben
Wenn Sie diese Option deaktivieren, kann das Gerät nicht per Touch ID entsperrt werden.
Limitierung von Ad-Tracking erzwingen Apps für anonyme Benutzerdaten, die für die Adressierung von Werbung verwendet werden, sind nicht mehr verfügbar.
86
Administratorhilfe
Einstellung/Feld
Beschreibung
Verschlüsselte Backups erzwingen
Benutzer müssen iTunes-Backups verschlüsseln.
Inhaltsbewertung Anstößige Musik und Podcasts erlauben Wenn Sie diese Option deaktivieren, werden anstößiger Musik- oder Video-Inhalte im iTunes Store nicht angezeigt. Anstößige Inhalte werden von den jeweiligen Anbietern, zum Beispiel Plattenfirmen, bei der Auflistung im iTunes Store entsprechend gekennzeichnet.
Roaming-/Hotspot-Einstellungen In dieser Konfiguration können Sie die Einstellungen für Roaming und persönliche Hotspots definieren. Hinweis: Benutzer können diese Einstellungen auf ihren Geräten jederzeit ändern.
Einstellung/Feld
Beschreibung
Sprach-Roaming aktivieren
Wenn Sie diese Option deaktivieren, wird Sprach-Roaming auf dem Gerät deaktiviert.
Daten-Roaming aktivieren
Wenn Sie diese Option deaktivieren, wird Daten-Roaming auf dem Gerät deaktiviert.
Persönlichen Hotspot aktivieren
Wenn Sie diese Einstellung deaktiveren, kann das Gerät nicht als persönlicher Hotspot konfiguriert werden.
Exchange ActiveSync In dieser Konfiguration können Sie die Einstellungen für Ihren Microsoft Exchange Server definieren. Sie können mehrere Konfigurationen Exchange ActiveSync hinzufügen.
Einstellung/Feld
Beschreibung
Kontoname
Geben Sie in diesem Feld den Kontonamen für das Exchange-ActiveSync-Konto ein.
Exchange-ActiveSync-Host
Geben Sie in diesem Feld den Microsoft Exchange Server ein. Hinweis: Wenn Sie den SMC-EAS-Proxy verwenden, geben Sie die URL des SMC-Proxy-Servers ein.
87
Sophos Mobile Control
Einstellung/Feld
Beschreibung
Domäne
Geben Sie in diesem Feld die Domäne für Ihre Umgebung ein. Sie können dieses Feld auch leer belassen.
Benutzer
Geben Sie in diesem Feld den Benutzer für das Konto ein. Sie können die Variable %_USERNAME_% verwenden. Der Server ersetzt diese durch den jeweiligen Benutzernamen, wenn für das Gerät, an das das Profil gesendet wird, eine LDAP-Verbindung besteht.
E-Mail-Adresse
Geben Sie in diesem Feld die E-Mail-Adresse für das Konto ein. Sie können die Variable %_EMAILADDRESS_% verwenden. Der Server ersetzt diese durch die jeweilige E-Mail-Adresse, wenn für das Gerät, an das das Profil gesendet wird, eine LDAP-Verbindung besteht.
Kennwort
Geben Sie in diesem Feld das Kennwort für das Konto ein. Wenn Sie dieses Feld leer lassen, müssen Benutzer das Kennwort auf ihren Geräten eingeben.
Zeitraum für die Synchronisierung von E-Mails
Wählen Sie in diesem Feld den Zeitraum für die E-Mail-Synchronisierung. Nur E-Mails, die innerhalb dieses Zeitraums empfangen worden sind, werden mit dem Eingangsordner auf dem Mobilgerät synchronisiert. Wenn Sie zum Beispiel Eine Woche auswählen, werden nur E-Mails synchronisiert, die innerhalb der letzten Woche empfangen worden sind. Sie können folgende Optionen auswählen: Unbegrenzt Ein Tag Drei Tage Eine Woche Zwei Wochen Ein Monat
88
SSL
Wählen Sie diese Option, um für die gesamte Kommunikation SSL (Secure Socket Layer) zu verwenden.
Verschieben erlauben
Der Benutzer kann E-Mails von diesem Konto in ein anderes verschieben. Dies erlaubt Benutzern außerdem, ein anderes Konto für das Antworten auf oder das Weiterleiten von Nachrichten aus diesem Konto zu verwenden.
Administratorhilfe
Einstellung/Feld
Beschreibung
Synchronisierung letzter Adressen erlauben
Das Konto wird in die iCloud-Synchronisierung kürzlich verwendeter Adressen mit anderen Geräten einbezogen.
Nur mit Mail verwenden
Für das Senden von Nachrichten mit diesem Konto kann nur die App Mail verwendet werden. Es kann nicht als Absender-Konto für mit anderen Apps erstellten Nachrichten (zum Beispiel Fotos oder Safari) verwendet werden.
Identitätszertifikat
Wählen Sie in diesem Feld das Identitätszertifikat für die Verbindung zu ActiveSync. Wenn kein Zertifikat zur Auswahl verfügbar ist, wird eine Meldung angezeigt.
WLAN In dieser Konfiguration geben Sie die Einstellungen für die Verbindung mit WLAN-Netzwerken an. Sie können mehrere Konfigurationen WLAN hinzufügen.
Einstellung/Feld
Beschreibung
SSID
Geben Sie in diesem Feld die ID des Drahtlosnetzwerks ein.
Automatisch verbinden
Automatisch mit dem Zielnetzwerk verbinden.
Unsichtbares Netzwerk
Das Zielnetzwerk ist nicht offen oder ist unsichtbar.
Sicherheitstyp
In diesem Feld wählen Sie den Sicherheitstyp des WLAN-Netzwerks aus: Ohne WEP WPA/WPA2 Beliebig (persönlich) Firmenweiter WEP Firmenweiter WPA/WPA2 Beliebig (firmenweit) Wenn Sie die persönlichen Einstellungen WEP, WPA/WPA2 oder Beliebig (persönlich) wählen, wird ein Feld Kennwort angezeigt. Geben Sie das relevante Kennwort ein. Wenn Sie die firmenweiten Einstellungen Firmenweiter WEP, Firmenweiter WPA/WPA2 oder Beliebig
89
Sophos Mobile Control
Einstellung/Feld
Beschreibung (firmenweit) auswählen, werden die Registerkarten Protokolle, Authentifizierung und Vertrauen angezeigt. Konfigurieren Sie auf der Registerkarte Protokolle folgende Einstellungen: Geben Sie unter Akzeptierte EAP-Typen die EAP-Verfahren an, die für die Authentisierung verwendet werden sollen. Je nach den hier ausgewählten Typen, lassen sich die Werte im Feld Innere Identität (TTLS) auswählen. Konfigurieren Sie unter EAP-FAST, die Einstellungen für die EAP-FAST Protected Access Anmeldedaten. Auf der Registerkarte Authentifizierung legen Sie die Einstellungen für die Clientauthentifizierung fest: Geben Sie im Feld Benutzer den Benutzernamen für die Verbindung zum Drahtlosnetzwerk ein. Wählen Sie Kennwort bei jedem Verbinden abfragen aus, wenn das Kennwort für jede Verbindung abgefragt und mit der Authentifizierung übertragen werden soll. Geben Sie im Feld Kennwort das relevante Kennwort ein. Wählen Sie im Feld Identitätszertifikat das Zertifikat für die Verbindung zum Drahtlosnetzwerk aus. Hinweis: Das Zertifikat, das verwendet werden soll, muss in einer Client-Zertifikat-Konfiguration angegeben werden. Geben Sie im Feld Externe Identität die extern sichtbare ID (für TTLS, PEAP und EAP Fast) ein. Auf der Registerkarte Vertrauen legen Sie die Einstellungen für die Serverauthentifizierung fest: Wählen Sie die vertrauenswürdigen Zertifikate aus der Liste aus. Hinweis: Sie müssen die Zertifikate in einer Konfiguration Stammzertifikat angeben.
Proxy
Wählen Sie in diesem Feld die Proxy-Einstellungen für die WLAN-Verbindung aus: Ohne Manuell Automatisch Wenn Sie Manuell auswählen, werden die Felder Server und Port, Authentifizierung und Kennwort angezeigt. Geben Sie die erforderlichen Proxy-Informationen ein. Wenn Sie Automatisch
90
Administratorhilfe
Einstellung/Feld
Beschreibung auswählen, wird das Feld Proxy-Server-URL angezeigt. Geben Sie die URL des Proxy-Servers ein.
VPN In dieser Konfiguration können Sie VPN-Einstellungen für Netzwerke definieren. Sie können mehrere Konfigurationen VPN hinzufügen.
Einstellung/Feld
Beschreibung
Verbindungsname
Geben Sie in diesem Feld den Namen der Verbindung ein, der auf dem Gerät angezeigt wird.
Verbindungstyp
Wählen Sie in diesem Feld den Verbindungstyp: Cisco AnyConnect IPSec (Cisco) F5 Check Point SSL (benutzerdefiniert) Je nach hier gewähltem Verbindungstyp werden auf der Seite VPN unterschiedliche Eingabefelder angezeigt.
Identifier (Reverse-DNS-Format) (Verbindungstyp SSL (benutzerdefiniert))
Geben Sie in diesem Feld die benutzerdefinierte Kennung im Reverse-DNS-Format ein.
Server (alle Verbindungstypen)
Geben Sie in diesem Feld den Host-Namen oder die IP-Adresse des Servers ein.
Konto (alle Verbindungstypen)
Geben Sie in diesem Feld das Benutzer-Konto für die Authentisierung der Verbindung ein.
Benutzerdefinierte Daten (Verbindungstyp SSL Falls Ihr Anbieter benutzerdefinierte (benutzerdefiniert)) Verbindungseinstellungen spezifiziert hat, geben Sie diese hier ein. Um eine Eigenschaft einzugeben, klicken Sie auf Hinzufügen und geben Sie anschließend in dem Dialogfeld den Schlüssel und den Wert der Eigenschaft ein.
Alle Daten über VPN übertragen
Die VPN-Verbindung wird für den gesamten Datenverkehr verwendet.
91
Sophos Mobile Control
Einstellung/Feld
Beschreibung
Gruppe (Verbindungstyp Cisco AnyConnect)
Geben Sie in diesem Feld die Gruppe ein, die für die Authentisierung der Verbindung erforderlich sein kann.
Benutzer-Authentifizierung (Verbindungstyp Cisco AnyConnect, F5, Custom SSL)
Wählen Sie in diesem Feld die Art der Benutzer-Authentisierung für die Verbindung: Kennwort Wenn Sie diese Option auswählen, wird unter dem Feld Benutzer-Authentifizierung ein Feld Kennwort angezeigt. Geben Sie das Kennwort für die Authentisierung ein. Zertifikat Wenn Sie diese Option auswählen, wird unter dem Feld Benutzer-Authentifizierung ein Feld Zertifikat angezeigt. Wählen Sie ein Zertifikat aus.
Geräte-Authentifizierung (Verbindungstyp IPSec Wählen Sie in diesem Feld die Art der (Cisco)) Geräte-Authentisierung: Schlüssel (Shared Secret)/Gruppenname Wenn Sie diese Option auswählen, werden die Felder Gruppenname, Schlüssel (Shared Secret), Hybrid-Authentifizierung verwenden und Kennwort verlangen unter dem Feld Geräte-Authentifizierung angezeigt. Geben Sie die erforderlichen Authentisierungsinformationen in den Feldern Gruppenname und Schlüssel (Shared Secret) ein. Wählen Sie je nach Anforderung Hybrid-Authentifizierung verwenden und Kennwort verlangen. Zertifikat Wenn Sie diese Option auswählen, werden die Felder Zertifikat und Inklusive Benutzer-PIN unter dem Feld Geräte-Authentifizierung angezeigt. Wählen Sie im Feld Zertifikat das erforderliche Zertifikat aus. Wählen Sie Inklusive Benutzer-PIN, um die Benutzer-PIN in die Geräteauthentisierung einzubeziehen.
Proxy (alleVerbindungstypen)
Wählen Sie in diesem Feld die Proxy-Einstellungen für die Verbindung: Ohne Manuell Wenn Sie diese Option wählen, werden die Felder Server und Port, Authentifizierung und Kennwort angezeigt. Geben Sie im Feld
92
Administratorhilfe
Einstellung/Feld
Beschreibung Server und Port die gültige Adresse und den Port des Proxy-Servers ein. Geben Sie im Feld Authentifizierung den Benutzernamen für die Verbindung zum Proxy-Server ein. Geben Sie im Feld Kennwort das Kennwort für die Verbindung zum Proxy-Server ein. Automatisch Wenn Sie diese Option wählen, wird das Feld Proxyserver-URL angezeigt. Geben Sie die URL des Servers mit der Proxy-Einstellung in diesem Feld ein.
VPN pro App In dieser Konfiguration können Sie VPN-Einstellungen für die Unterstützung des iOS-Features VPN pro App festlegen. Mit diesem Feature lassen sich Apps so konfigurieren, dass sie beim Starten automatisch eine VPN-Verbindung herstellen. Somit können Sie zum Beispiel sicherstellen, das von verwalteten Apps übermittelte Daten über VPN übertragen werden. Wenn Sie Konfigurationen „VPN pro App“ eingerichtet haben, können Sie auf der Seite Paket bearbeiten einer Applikation eine Konfiguration auswählen. Siehe VPN pro App und Einstellungen für iOS-Apps konfigurieren (Seite 141).
Einstellung/Feld
Beschreibung
Verbindungsname
Geben Sie in diesem Feld den Namen der Verbindung ein, der auf dem Gerät angezeigt wird.
Verbindungstyp
Wählen Sie in diesem Feld den Verbindungstyp: Cisco AnyConnect F5 Check Point SSL (benutzerdefiniert) Je nach hier gewähltem Verbindungstyp werden auf der Seite VPN unterschiedliche Eingabefelder angezeigt.
Identifier (Reverse-DNS-Format) (Verbindungstyp Geben Sie in diesem Feld die benutzerdefinierte SSL (benutzerdefiniert)) Kennung im Reverse-DNS-Format ein. Server (alle Verbindungstypen)
Geben Sie in diesem Feld den Host-Namen oder die IP-Adresse des Servers ein.
Konto (alle Verbindungstypen)
Geben Sie in diesem Feld das Benutzer-Konto für die Authentisierung der Verbindung ein.
93
Sophos Mobile Control
Einstellung/Feld
Beschreibung
Benutzerdefinierte Daten (Verbindungstyp SSL (benutzerdefiniert))
Falls Ihr Anbieter benutzerdefinierte Verbindungseinstellungen spezifiziert hat, geben Sie diese hier ein. Um eine Eigenschaft einzugeben, klicken Sie auf Hinzufügen und geben Sie anschließend in dem Dialogfeld den Schlüssel und den Wert der Eigenschaft ein.
Gruppe (Verbindungstyp Cisco AnyConnect)
Geben Sie in diesem Feld die Gruppe ein, die für die Authentisierung der Verbindung erforderlich sein kann.
Alle Daten über VPN übertragen
Die VPN-Verbindung wird für den gesamten Datenverkehr verwendet.
Benutzer-Authentifizierung (Verbindungstyp Cisco AnyConnect, F5, Custom SSL)
Wählen Sie in diesem Feld die Art der Benutzer-Authentisierung für die Verbindung: Kennwort Wenn Sie diese Option auswählen, wird unter dem Feld Benutzer-Authentifizierung ein Feld Kennwort angezeigt. Geben Sie das Kennwort für die Authentisierung ein. Zertifikat Wenn Sie diese Option auswählen, wird unter dem Feld Benutzer-Authentifizierung ein Feld Zertifikat angezeigt. Wählen Sie ein Zertifikat aus.
Wählen Sie in diesem Feld die Art der Geräte-Authentifizierung (Verbindungstyp IPSec Geräte-Authentisierung: (Cisco)) Schlüssel (Shared Secret)/Gruppenname Wenn Sie diese Option auswählen, werden die Felder Gruppenname, Schlüssel (Shared Secret), Hybrid-Authentifizierung verwenden und Kennwort verlangen unter dem Feld Geräte-Authentifizierung angezeigt. Geben Sie die erforderlichen Authentisierungsinformationen in den Feldern Gruppenname und Schlüssel (Shared Secret) ein. Wählen Sie je nach Anforderung Hybrid-Authentifizierung verwenden und Kennwort verlangen. Zertifikat Wenn Sie diese Option auswählen, werden die Felder Zertifikat und Inklusive Benutzer-PIN unter dem Feld Geräte-Authentifizierung angezeigt. Wählen Sie im Feld Zertifikat das erforderliche Zertifikat aus. Wählen Sie
94
Administratorhilfe
Einstellung/Feld
Beschreibung Inklusive Benutzer-PIN, um die Benutzer-PIN in die Geräteauthentisierung einzubeziehen.
Proxy (alleVerbindungstypen)
Wählen Sie in diesem Feld die Proxy-Einstellungen für die Verbindung: Ohne Manuell Wenn Sie diese Option wählen, werden die Felder Server und Port, Authentifizierung und Kennwort angezeigt. Geben Sie im Feld Server und Port die gültige Adresse und den Port des Proxy-Servers ein. Geben Sie im Feld Authentifizierung den Benutzernamen für die Verbindung zum Proxy-Server ein. Geben Sie im Feld Kennwort das Kennwort für die Verbindung zum Proxy-Server ein. Automatisch Wenn Sie diese Option wählen, wird das Feld Proxyserver-URL angezeigt. Geben Sie die URL des Servers mit der Proxy-Einstellung in diesem Feld ein.
Safari-Domänen
In diesem Feld können Sie eine Liste von Zeichenfolgen eingeben, um Domänen zu spezifizieren. Wenn eine Domäne, auf die eine der Zeichenfolgen passt, in Safari geöffnet wird, wird die VPN-Verbindung verwendet. Dies geschieht außer bei Safari auch bei anderen Apps, die das WebKit-Renderingmodul verwenden. Verwenden Sie eine neue Zeile für jede Domänen-Zeichenfolge. Domänen werden gemäß der folgenden Regeln mit den Zeichenfolgen verglichen: Punkte am Anfang und Ende werden ignoriert. Beispiel: Die Zeichenfolge .beispiel.com passt auf dieselben Domänen wie die Zeichenfolge beispiel.com. Jeder Namensteil einer Zeichenfolge muss auf einen vollständigen Namensteil einer Domäne passen. Beispiel: Die Zeichenfolge beispiel.com passt auf die Domäne www.beispiel.com, aber nicht auf www.mein-beispiel.com. Zeichenfolgen, die aus einem einzelnen Namensteil bestehen, passen nur auf genau diese Domäne. Beispiel: Die Zeichenfolge
95
Sophos Mobile Control
Einstellung/Feld
Beschreibung beispiel passt auf die Domäne beispiel, aber nicht auf www.beispiel.com.
Single Sign-on In dieser Konfiguration können Sie Einstellungen für einen Single Sign-on für Drittanbieter-Apps definieren.
Einstellung/Feld
Beschreibung
Name
Eine sinnvolle Bezeichnung für das Konto.
Kerberos-Principal-Name
Der Kerberos-Principal-Name. Wird dieser nicht angegeben, so wird der Benutzer während der Profil-Installation zur Eingabe eines Namens aufgefordert.
Realm
Der Kerberos-Realm-Name. Der Realm Name muss in Großbuchstaben angegeben werden.
Auf der Registerkarte URLs können Sie nach Wunsch einen Liste mit URL-Präfixen anlegen, der entsprochen werden muss, damit dieses Konto für die Kerberos-Authentisierung über HTTP verwendet werden kann. Wenn Sie hier keine Präfixe angeben, passt das Konto zu allen URL mit Protokoll http oder https. Auf der Registerkarte Kennungen können Sie nach Wunsch eine Liste mit App-Kennungen anlegen, die diese Anmeldung verwenden können. Wenn Sie hier keine App-Kennungen angeben, gilt die Anmeldung für alle Kennungen.
Kioskmodus In dieser Konfiguration können Sie Einstellungen für den Kioskmodus definieren. Dieser Modus sperrt das Benutzergerät so, dass nur eine App verwendet werden kann und verhindert, dass Benutzer zu anderen Apps wechseln.
Einstellung/Feld
Beschreibung
Quelle wählen
In diesem Feld können Sie die Quelle für die einzelne App auswählen: Wenn Sie App-Liste auswählen, wird die Liste Apps mit allen für diesen Kunden verfügbaren iOS-Apps angezeigt. Wählen Sie die App aus der Liste aus und klicken Sie auf Anwenden.
96
Administratorhilfe
Einstellung/Feld
Beschreibung Wenn Sie Benutzerdefiniert auswählen, wird das Feld Kennung angezeigt. Geben Sie die App-Kennung ein und klicken Sie auf Anwenden.
Optionen Touchscreen deaktivieren
Touch-Gesten im Kioskmodus deaktivieren.
Bildschirmrotation deaktivieren
Bildschirmrotation im Kioskmodus deaktivieren.
Lautstärketasten deaktivieren
Gerätetasten für die Lautstärkesteuerung im Kioskmodus deaktivieren.
Lautlos-Schalter deaktivieren
Gerätetaste für die Stummschaltung im Kioskmodus deaktivieren.
Standby-Taste deaktivieren
Gerätetaste für Standby im Kioskmodus deaktivieren.
Automatische Bildschirmsperre deaktivieren
Im Kioskmodus die automatische Bildschirmsperre deaktivieren, mit der das Gerät nach einer bestimmten Inaktivitätsdauer in den Standbymodus wechselt.
VoiceOver aktivieren
Die Funktion „VoiceOver“ im Kioskmodus aktivieren.
Zoom aktivieren
Die Funktion „Zoom“ im Kioskmodus aktivieren.
„Farben umkehren“ aktivieren
Die Funktion „Farben umkehren“ im Kioskmodus aktivieren.
AssistiveTouch aktivieren
Die Funktion „AssistiveTouch“ im Kioskmodus aktivieren.
„Auswahl sprechen“ aktivieren
Die Funktion „Auswahl sprechen“ im Kioskmodus aktivieren.
Mono-Audio aktivieren
Mono-Audio im Kioskmodus aktivieren.
Vom Benutzer änderbare Optionen VoiceOver
Der Benutzer kann die Funktion „VoiceOver“ anpassen.
Zoomen
Der Benutzer kann die Funktion „Zoom“ anpassen.
Farben umkehren
Der Benutzer kann die Funktion „Farben umkehren“ anpassen.
AssistiveTouch
Der Benutzer kann die Funktion „AssistiveTouch“ anpassen.
97
Sophos Mobile Control
Webclip In dieser Konfiguration können Sie Webclips definieren, die zum Home-Bildschirm der Benutzergeräte hinzugefügt werden. Webclips bieten schnellen Zugriff auf favorisierte Webseiten. Sie können jedoch zum Beispiel auch einen Webclip mit einer Support-Telefonnummer hinzufügen, damit die Benutzer schnell den Helpdesk kontaktieren können. Sie können mehrere Konfigurationen Webclip hinzufügen.
Einstellung/Feld
Beschreibung
Beschreibung
Geben Sie in diesem Feld eine Beschreibung für den Webclip ein.
URL
Geben Sie in diesem Feld die URL des Webclips ein.
Kann entfernt werden
Wenn Sie diese Option deaktivieren, kann der Benutzer den Webclip nicht entfernen. Der Webclip kann nur durch Entfernen des Profils, das den Webclip installiert hat, entfernt werden.
Bildschirmfüllend
Der Webclip wird auf dem Gerät bildschirmfüllend geöffnet. Ein bildschirmfüllender Webclip öffnet die URL als Web App.
Zugangspunkt (APN) Mit dieser Konfiguration können Sie den Name des Zugangspunkts (APN) des Geräts und die Mobilnetzwerk-Proxy-Einstellungen ändern. Diese Einstellungen legen fest, wie sich Geräte mit dem Netzwerk des Anbieters verbinden. Sie können nur eine Konfigurationen Zugangspunkt (APN) zu einem Profil hinzufügen. Hinweis: Wenn diese Einstellungen nicht korrekt sind, kann das Gerät nicht auf Daten über ein Mobilnetzwerk zugreifen. Wenn Sie die Einstellungsänderungen rückgängig machen wollen, müssen Sie das Profil vom Gerät entfernen.
Einstellung/Feld
Beschreibung
APN
Der Zugangspunkt, den das Gerät angibt, wenn es sich mit dem Mobilfunknetz mittels GPRS verbindet. Dies muss mit ein vom Netzbetreiber akzeptierter Zugangspunkt sein. Andernfalls kann die Verbindung nicht aufgebaut werden.
98
Administratorhilfe
Einstellung/Feld
Beschreibung
Benutzername für Zugangspunkt
Geben Sie in diesem Feld den Benutzernamen für den Zugangspunkt ein. Hinweis: iOS unterstützt Benutzernamen für Zugangspunkte mit bis zu 64 Zeichen.
Kennwort für Zugangspunkt
Geben Sie in diesem Feld das Kennwort für den Zugangspunkt ein. Hinweis: iOS unterstützt Kennwörter für Zugangspunkte mit bis zu 64 Zeichen.
Proxy-Server und -Port
Geben Sie in diesem Feld die gültige Adresse und den Port des Proxy-Servers ein.
Webfilter In dieser Konfiguration können Sie unzulässige URLs sowie erlaubte URLs mit Lesezeichen festlegen.
Einstellung/Feld
Beschreibung
Unzulässige URLs
Wählen Sie dieses Feld, um eine Liste mit blockierten URLs zu definieren, auf die auf den Benutzerendgeräten nicht zugegriffen werden darf. Klicken Sie auf Weiter, um die Seite Typ des Webfilters auswählen anzuzeigen. Auf dieser Seite können Sie einzelne URLs hinzufügen. Verwenden Sie eine neue Zeile für jede URL.
Erlaubte URLs mit Lesezeichen
Wählen Sie dieses Feld aus, um erlaubte URLs mit Lesezeichen festzulegen, die auf den Endbenutzergeräten zum Safari-Browser hinzugefügt werden. Alle anderen Websites werden gesperrt. Klicken Sie auf Weiter, um die Seite Webfilter anzuzeigen. Klicken Sie auf Hinzufügen, um individuelle URLs als Lesezeichen zu definieren.
Globaler HTTP-Proxy Mit dieser Konfiguration können Sie einen einzigen Unternehmens-Proxy Server konfigurieren. Sie können nur eine Konfigurationen Globaler HTTP-Proxy zu einem Profil hinzufügen.
99
Sophos Mobile Control
Einstellung/Feld
Beschreibung
Globaler HTTP-Proxy
Wählen Sie in diesem Feld die Proxy-Einstellungen für die Verbindung: Manuell Wenn Sie diese Option wählen, werden die Felder Server und Port, Authentifizierung und Kennwort angezeigt. Geben Sie im Feld Server und Port die gültige Adresse und den Port des Proxy-Servers ein. Geben Sie im Feld Authentifizierung den Benutzernamen für die Verbindung zum Proxy-Server ein. Geben Sie im Feld Kennwort das Kennwort für die Verbindung zum Proxy-Server ein. Automatisch Wenn Sie diese Option wählen, wird das Feld Proxyserver-URL angezeigt. Geben Sie die URL des Servers mit der Proxy-Einstellung in diesem Feld ein.
Root-Zertifikat In dieser Konfiguration können Sie ein Root-Zertifikat für Geräte hochladen. Sie können mehrere Konfigurationen Root-Zertifikat hinzufügen. Klicken Sie auf Datei hochladen und navigieren Sie zu dem Zertifikat. Wählen Sie es aus und klicken Sie auf Öffnen. Der Name des Zertifikats wird im Feld Zertifikatsname angezeigt. Hinweis: Das hier hochgeladene Zertifikat ist nur für dieses Profil verfügbar. Wenn Sie Zertifikate in anderen Profilen benötigen, müssen Sie diese erneut hochladen.
Client-Zertifikat In dieser Konfiguration können Sie ein Client-Zertifikat für Geräte hochladen. Sie können mehrere Konfigurationen Client-Zertifikat hinzufügen. Klicken Sie auf Datei hochladen und navigieren Sie zu dem Zertifikat. Wählen Sie es aus und klicken Sie auf Öffnen. Der Name des Zertifikats wird im Feld Zertifikatsname angezeigt. Geben Sie das Kennwort für das ausgewählte Zertifikat ein. Hinweis: Das hier hochgeladene Zertifikat ist nur für dieses Profil verfügbar. Wenn Sie Zertifikate in anderen Profilen benötigen, müssen Sie diese erneut hochladen.
SCEP In dieser Konfiguration können Sie Einstellungen definieren, die es den Geräten ermöglichen, Zertifikate über Simple Certificate Enrollment Protocol (SCEP) von einer Zertifizierungsstelle (Certificate Authority) zu erhalten. Sie können nur eine Konfigurationen SCEP zu einem Profil hinzufügen. Hinweis: Diese Konfiguration steht nur dann zur Verfügung, wenn SCEP während der Einrichtung von Sophos Mobile Control konfiguriert wurde. Während der Installation von Sophos Mobile Control muss SCEP aktiviert sein. Siehe das Sophos Mobile Control Installationshandbuch. Anschließend kann der Superadministrator die erforderlichen
100
Administratorhilfe
SCEP-Einstellungen an der Web-Konsole konfigurieren. Siehe das englischsprachige Dokument Sophos Mobile Control super administrator guide. Die definierten Einstellungen werden an iOS-Profile übertragen. Hinweis: Superadministratoren werden für Sophos Mobile Control as a Service nicht unterstützt.
Einstellung/Feld
Beschreibung
URL
Geben Sie in diesem Feld die URL des SCEP-Servers ein.
CA-Name
Geben Sie in diesem Feld einen Namen ein, der von der Zertifizierungsstelle verstanden wird. Der Name kann zum Beispiel zur Unterscheidung zwischen Instanzen verwendet werden.
Betreff
Geben Sie in diesem Feld eine Darstellung eines X.500 Namens in Form eines Datenfelds aus OID und Wert ein. Zum Beispiel: /C=US/O=Apple Inc./CN=foo/1.2.5.3=bar. Dies wird wie folgt übersetzt: [ [ ["C", "US"] ], [ ["O", "Apple Inc."] ], ..., [ [ "1.2.5.3", "bar" ] ] ]
Typ des alternativen Namens des Inhabers
Wählen Sie in diesem Feld den Typ des alternativen Namens für den SCEP-Server: Ohne RFC 822-Name (Email-Adresse) DNS-Name Uniform Resource Identifier (URI) Wenn Sie eine andere Option als Ohne auswählen, werden die Felder Wert des Subject Alternative Name (SAN) und NT-Benutzeranmeldename unterhalb des Felds Typ des Subject Alternative Name (SAN) angezeigt. Geben Sie die erforderlichen Namensangaben ein.
Challenge
Geben Sie in diesem Feld ein Pre-Shared Secret ein, anhand dessen der SCEP-Server die Anforderung oder den Benutzer identifizieren kann. Hinweis: Wenn das SCEP-Modul von Sophos Mobile Control benutzt wird, ist dieses Feld mit %_CACHALLENGE_% vorbelegt. Ändern Sie diesen Wert nicht.
Wiederholungen
Legen Sie in diesem Feld fest, wie oft das Gerät einen Übertragungsversuch wiederholen soll, wenn der Server als Antwort „Anstehend“ sendet.
101
Sophos Mobile Control
Einstellung/Feld
Beschreibung
RetryDelay
Legen Sie in diesem Feld die Wartezeit in Sekunden zwischen den Versuchen fest.
Schlüsselgröße
Wählen Sie in diesem Feld den Schlüsselgröße: 1024 2048
Als digitale Signatur verwenden
Der Schlüssel kann als digitale Signatur verwendet werden.
Für Verschlüsselung verwenden
Der Schlüssel kann zur Verschlüsselung verwendet werden.
Verwaltete Domänen Wenn Domänen verwaltet werden, können Dateien, die in Safari von bestimmten Webseiten heruntergeladen werden, nur in Apps geöffnet werden, die mittels MDM auf dem Gerät installiert worden sind. Sie können verwaltete E-Mail-Domänen und Web-Domänen eingeben. Geben Sie eine Domäne pro Zeile ein. Hinweis: Wenn ein Eintrag für eine verwaltete Web-Domäne eine Portnummer enthält, werden nur Adressen mit dieser Portnummer als verwaltet berücksichtigt. Andernfalls werden nur die Standardports als verwaltet berücksichtigt (Port 80 für http und 443 für https).
Mobilfunk Mit dieser Konfiguration können Sie den Name des Zugangspunkts (APN) des Geräts und die Mobilnetzwerk-Proxy-Einstellungen ändern. Diese Einstellungen legen fest, wie sich Geräte mit dem Netzwerk des Anbieters verbinden. Hinweis: Wenn diese Einstellungen nicht korrekt sind, kann das Gerät nicht auf Daten über ein Mobilnetzwerk zugreifen. Wenn Sie die Einstellungsänderungen rückgängig machen wollen, müssen Sie das Profil vom Gerät entfernen.
Einstellung/Feld
Beschreibung
Authentifizierung
PAP CHAP
102
Administratorhilfe
Einstellung/Feld
Beschreibung
APN
Der Zugangspunkt, den das Gerät angibt, wenn es sich mit dem Mobilfunknetz mittels GPRS verbindet. Dies muss mit ein vom Netzbetreiber akzeptierter Zugangspunkt sein. Andernfalls kann die Verbindung nicht aufgebaut werden.
Benutzername für Zugangspunkt
Geben Sie in diesem Feld den Benutzernamen für den Zugangspunkt ein. Hinweis: iOS unterstützt Benutzernamen für Zugangspunkte mit bis zu 64 Zeichen.
Kennwort für Zugangspunkt
Geben Sie in diesem Feld das Kennwort für den Zugangspunkt ein. Hinweis: iOS unterstützt Kennwörter für Zugangspunkte mit bis zu 64 Zeichen.
Proxy-Server und -Port
Geben Sie in diesem Feld die gültige Adresse und den Port des Proxy-Servers ein.
CalDAV Hiermit konfigurieren Sie die Synchronisierung von Kalenderdaten mit einem CalDAV-Server. Sie können so zum Beispiel Google Kalender mit einem iOS-Gerät synchronisieren. Sie können mehrere Konfigurationen zu einem Geräteprofil hinzufügen.
Einstellung/Feld
Beschreibung
Kontoname
Der auf dem Gerät angezeigte Name des CalDAV-Kontos.
Konto-Host-Name und -Port
Hostname oder IP-Adresse und (optional) der Port des CalDAV-Servers. Geben Sie zum Beispiel für Google Kalender folgendes ein: calendar.google.com:443
Principal URL
Falls vom CalDAV-Server benötigt, geben Sie die Principal URL der Kalender-Ressource ein. Geben Sie zum Beispiel folgendes ein, um einen anderen als den Haupt-Kalender eines Google-Kontos zu synchronisieren: https://apidata.googleusercontent.com/caldav/ v2/calendar_id/user
103
Sophos Mobile Control
Einstellung/Feld
Beschreibung wobei calendar_id die ID des Kalenders ist, den Sie synchronisieren wollen. Wenn Sie Google Kalender in Ihrem Webbrowser öffnen, wird die Kalender-ID in den Kalendereinstellungen angezeigt. Einzelheiten finden Sie in der Hilfe zu Google Kalender.
Benutzername, Kennwort
Die Anmeldeinformationen des CalDAV-Kontos. Geben Sie zum Beispiel für Google Kalender die Anmeldeinformationen des Google-Kontos ein.
CardDAV Hiermit konfigurieren Sie die Synchronisierung von Kontaktdaten mit einem CardDAV-Server. Sie können so zum Beispiel Google Kontakte mit einem iOS-Gerät synchronisieren. Sie können mehrere Konfigurationen zu einem Geräteprofil hinzufügen.
Einstellung/Feld
Beschreibung
Kontoname
Der auf dem Gerät angezeigte Name des CardDAV-Kontos.
Konto-Host-Name und -Port
Hostname oder IP-Adresse und (optional) der Port des CardDAV-Servers. Geben Sie zum Beispiel für Google Kontakte folgendes ein: google.com
Principal URL
Falls vom CardDAV-Server benötigt, geben Sie die Principal URL der Kontakte-Ressource ein. Zum Beispiel unterstützt die Google-CardDAV-API folgende Principal URL: https://www.googleapis.com/carddav/ v1/principals/
[email protected] wobei account_name der Name des Google-Kontos ist.
Benutzername, Kennwort
Die Anmeldeinformationen des CardDAV-Kontos. Geben Sie zum Beispiel für Google Kontakte die Anmeldeinformationen des Google-Kontos ein.
IMAP/POP Hiermit fügen Sie ein E-Mail-Konto für IMAP oder POP auf dem iOS-Gerät hinzu. Sie können mehrere Konfigurationen zu einem Geräteprofil hinzufügen.
104
Administratorhilfe
Einstellung/Feld
Beschreibung
Kontoname
Der auf dem Gerät angezeigte Name des E-Mail-Kontos.
Typ des Accounts
Der Typ des E-Mail-Servers für eingehende E-Mails. Entweder IMAP oder POP.
Angezeigter Benutzername
Der für ausgehende E-Mails verwendete Benutzername. Sie können die Variable %_USERNAME_% verwenden. Der Server ersetzt diese durch den jeweiligen Benutzernamen, wenn für das Gerät, an das das Profil gesendet wird, eine LDAP-Verbindung besteht.
E-Mail-Adresse
Die E-Mail-Adresse des Kontos. Sie können die Variable %_EMAILADDRESS_% verwenden. Der Server ersetzt diese durch die jeweilige E-Mail-Adresse, wenn für das Gerät, an das das Profil gesendet wird, eine LDAP-Verbindung besteht.
Verschieben erlauben
Der Benutzer kann E-Mails von diesem Konto in ein anderes verschieben. Dies erlaubt Benutzern außerdem, ein anderes Konto für das Antworten auf oder das Weiterleiten von Nachrichten aus diesem Konto zu verwenden.
Synchronisierung letzter Adressen erlauben
Das Konto wird in die Synchronisierung der Liste zuletzt verwendeter Adressen einbezogen.
Nur mit Mail verwenden
Für das Senden von Nachrichten mit diesem Konto kann nur die App Mail verwendet werden. Es kann nicht als Absender-Konto für mit anderen Apps erstellten Nachrichten (zum Beispiel Fotos oder Safari) verwendet werden.
Mail Drop erlauben
Apple Mail Drop für dieses Konto erlauben.
S/MIME aktivieren
Unterstützung des Verschlüsselungsstandards S/MIME.
Signaturzertifikat
Die für E-Mail-Signierung und -Verschlüsselung verwendeten Zertifikate.
Verschlüsselungszertifikat
Um ein Zertifikat auszuwählen, müssen Sie dieses zunächst in einer Konfiguration Client-Zertifikat des aktuellen Profils hochladen.
Benutzer darf unverschlüsselte E-Mails versenden
Der Benutzer bei jeder ausgehenden E-Mail entscheiden, ob sie verschlüsselt gesendet werden soll oder nicht.
Eingehende E-Mail E-Mail-Server und -Port
Hostname oder IP-Adresse und Port des Posteingangsservers.
105
Sophos Mobile Control
Einstellung/Feld
Beschreibung
Benutzername
Der Benutzername für die Verbindung mit dem Posteingangsserver.
Authentifizierung-Typ
Die Authentisierungsmethode für die Verbindung mit dem Posteingangsserver.
Kennwort
Das Kennwort für die Verbindung mit dem Posteingangsserver (falls erforderlich).
SSL
Secure Sockets Layer für eingehende E-Mails verwenden.
Ausgehende E-Mail E-Mail-Server und -Port
Hostname oder IP-Adresse und Port des Postausgangsservers.
Benutzername
Der Benutzername für die Verbindung mit dem Postausgangsserver.
Authentifizierung-Typ
Die Authentisierungsmethode für die Verbindung mit dem Postausgangsserver.
Kennwort
Das Kennwort für die Verbindung mit dem Postausgangsserver (falls erforderlich).
Das selbe Kennwort wie für eingehende E-Mail verwenden
Das selbe Kennwort wie für den Posteingangsserver verwenden.
SSL
Secure Sockets Layer für ausgehende E-Mails verwenden.
Netzwerk-Nutzungsregeln Hiermit legen Sie für verwaltete Apps die Verwendung von Mobilfunknetzen für Datenverbindungen fest. Sie können nur eine Konfiguration Netzwerk-Nutzungsregeln zu einem Profil hinzufügen.
Einstellung/Feld
Beschreibung
Mobilfunkdaten erlauben
Verwaltete Apps dürfen Datenverbindungen in Mobilfunknetzen verwenden.
Daten-Roaming erlauben
Verwaltete Apps dürfen Datenverbindungen bei Roaming in fremden Mobilfunknetzen verwenden.
So legen Sie Netzwerk-Nutzungsregeln fest:
106
Administratorhilfe
1. Verwenden Sie die Kontrollkästchen, um die Standard-Einstellungen für verwaltete Apps festzulegen. 2. Bei Bedarf können Sie für bestimmte verwaltete Apps abweichende Einstellungen festlegen. Klicken Sie auf Ausnahme hinzufügen. Gehen Sie anschließend folgendermaßen vor: a. Geben Sie eine App-Gruppe mit den verwalteten Apps ein, für die abweichende Einstellungen gelten sollen. b. Legen Sie die abweichenden Einstellungen für diese App-Gruppe fest. Hinweis: Für jede App-Gruppe können Sie nur eine Ausnahmeregel anlegen.
13.3.1.2 Verfügbare Konfigurationen für Sophos-Container-Richtlinien Diese Richtlinien beziehen sich auf die Sophos-Container-Apps Sophos Secure Workspace und Sophos Secure Email.
Allgemein Hinweis: Diese Konfiguration wird in jedem Fall benötigt und kann nicht gelöscht werden. Die Einstellungen in der Konfiguration Allgemein beziehen sich auf alle Container-Apps (sofern anwendbar).
Einstellung/Feld
Beschreibung
App-Kennwort aktivieren
Benutzer müssen ein zusätzliches Kennwort eingeben, um eine Container-App zu starten. Sobald die erste Container-App gestartet wird nachdem die Konfiguration angewendet wurde, muss das Kennwort definiert werden. Dieses Kennwort gilt für alle Container-Apps.
Kennworttyp
In diesem Feld können Sie die notwendige minimale Komplexität des App-Kennworts definieren. Sicherere Kennwörter sind immer erlaubt. Kennwörter (eine Kombination von numerischen und alphanumerischen Zeichen) werden generell als sicherer angesehen als PINs (nur numerische Zeichen). Sie können folgende Einstellungen auswählen: Beliebig: App-Kennwörter sind keinen Einschränkungen unterworfen. 4-Ziffern-PIN 6-Ziffern-PIN 4-Zeichen-Kennwort 6-Zeichen-Kennwort 8-Zeichen-Kennwort 10-Zeichen-Kennwort
Gültigkeitsdauer des Kennworts Geben Sie in diesem Feld an, wie viele Tage ein Kennwort in Tagen verwendet werden kann, bevor der Benutzer aufgefordert wird, es zu ändern.
107
Sophos Mobile Control
Einstellung/Feld
Beschreibung
Fehlgeschlagene Anmeldungen bis Sperre
Geben Sie in diesem Feld an, nach wie vielen fehlgeschlagenen Anmeldeversuchen die Container-Apps gesperrt werden. Gesperrte Apps müssen von einem Administrator entsperrt werden. Falls konfiguriert, können die Apps auch vom Benutzer im Self Service Portal entsperrt werden.
Fingerabdruck erlauben
Wählen Sie dieses Kontrollkästchen aus, damit Benutzer die App mit ihrem Fingerabdruck entsperren dürfen.
Toleranzfrist in Minuten
In diesem Feld definieren Sie die Zeitspanne, während der kein Container-App-Kennwort eingegeben werden muss, sobald die App wieder im Vordergrund angezeigt wird. Wenn das Gerät gesperrt und wieder entsperrt wird, müssen die Benutzer jedenfalls das Kennwort eingeben, auch innerhalb der Toleranzfrist. Die Toleranzfrist gilt für alle Container-Apps. Während der Toleranzfrist können Sie zwischen den Apps wechseln, ohne das Kennwort erneut eingeben zu müssen. Sie können 1, 2, 5, 10, 15 Minuten auswählen.
Letzte Verbindung zum Server
In diesem Feld können Sie definieren, wie lange Benutzer die App Sophos Secure Workspace verwenden können, ohne dass eine Verbindung zum Sophos Mobile Control Server aufgebaut wurde. Wenn Sophos Secure Workspace aktiviert wird und innerhalb der definierten Zeitspanne keinen Kontakt mit dem Server hatte, wird ein Sperrbildschirm mit einer Schaltfläche Wiederholen angezeigt. Benutzer können die App nur entsperren, indem sie auf Wiederholen tippen, wodurch ein Verbindungsaufbau von Sophos Secure Workspace mit dem Server ausgelöst wird. Kann die Verbindung aufgebaut werden, wird die App entsperrt. Falls nicht, wird der Zugriff verweigert. Sie können folgende Einstellungen definieren: Bei jedem Zugriff: Eine Serververbindung ist immer notwendig und die App wird gesperrt wenn der Server nicht erreichbar ist. 1 Stunde: Eine Serververbindung ist notwendig, wenn die App eine Stunde oder später nach der letzten erfolgreichen Serververbindung aktiviert wird. 3 Stunden 6 Stunde 12 Stunde 1 Tag 3 Tage 1 Woche Ohne: Keine regelmäßige Verbindung ist notwendig.
108
Administratorhilfe
Einstellung/Feld
Beschreibung
Offline-Starts ohne Serververbindung
In diesem Feld können Sie definieren, wie oft Benutzer Sophos Secure Workspace starten können, ohne dass eine Serververbindung aufgebaut wurde. Hinweis: Diese Einstellung setzt voraus, dass ein die Funktionalität des App-Kennworts aktiviert wurde. Es wird mitgezählt, wie oft Benutzer das App-Kennwort für Sophos Secure Workspace eingeben. Wenn der Zähler die definierte Anzahl überschreitet, wird derselbe Sperrbildschirm wie für die Letzte Verbindung zum Server Einstellung angezeigt. Der Zähler wird zurückgesetzt, wenn eine Verbindung zum Sophos Mobile Control Server hergestellt wird. Unbegrenzt: Es ist keine Serververbindung notwendig. 0: Das Starten der App ohne Serververbindung ist nicht möglich. 1: Nach einem Start der App ist eine erfolgreiche Serververbindung notwendig. 3 5 10 20
Jailbreak erlaubt
Die Container-Apps können auf Geräten mit Jailbreak laufen.
App-Nutzungs-Beschränkungen Hier können Sie Beschränkungen für die Nutzung der Sophos-Container-Apps festlegen. Klicken Sie auf Hinzufügen, um Beschränkungen einzugeben.
Räumliche Beschränkungen
Spezifizieren Sie über Längen- und Breitengrad einen Ausgangspunkt sowie einen Abstand, innerhalb dessen die Sophos-Container-Apps verwendet werden können.
Zeitliche Beschränkungen
Geben Sie über eine Anfangs- und eine Endzeit eine Zeitspanne an, innerhalb derer die Sophos-Container-Apps verwendet werden können. Sie müssen auch festlegen, an welchen Wochentagen die Apps verwendet werden können.
WLAN-Beschränkungen
Geben Sie WLAN-Netzwerke an, mit denen die Geräte verbunden sein müssen, damit die Sophos-Container-Apps verwendet werden können. Das Gerät muss tatsächlich mit einem der aufgeführten Netzwerke verbunden sein. Es reicht nicht aus, dass eines der aufgeführten Netzwerke vom Gerät gefunden wird. Wichtig: Wir empfehlen, sich nicht auf WLAN-Beschränkungen als einzigen Sicherheitsmechanismus zu verlassen, da WLAN-Namen sehr leicht gefälscht werden können (Wi-Fi Spoofing).
109
Sophos Mobile Control
Corporate Email Einstellung/Feld
Beschreibung
Exchange-ActiveSync-Host
Geben Sie die Adresse des Exchange-ActiveSync-Servers Ihres Unternehmens ein (zum Beispiel mail.ihrefirma.de).
Benutzer
Geben Sie in diesem Feld den Benutzer für das Konto ein. Sie können die Variable %_USERNAME_% verwenden. Der Server ersetzt diese durch den jeweiligen Benutzernamen, wenn für das Gerät, an welches das Profil gesendet wird, eine LDAP-Verbindung besteht.
E-Mail-Adresse
Geben Sie in diesem Feld die E-Mail-Adresse für das Konto ein. Sie können die Variable %_EMAILADDRESS_% verwenden. Der Server ersetzt diese durch die jeweilige E-Mail-Adresse, wenn für das Gerät, an welches das Profil gesendet wird, eine LDAP-Verbindung besteht.
Domäne
Fügen Sie die Domäne des Exchange-Servers Ihres Unternehmens ein (zum Beispiel EXCHANGE2013).
Support-E-Mail-Kontakt
Legen Sie die Adresse für E-Mails fest, die über die Funktion „Kontaktiere Support“ gesendet werden.
Sichere Textfelder verwenden
Der Inhalt von Eingabefeldern wird geschützt. Auto-Vervollständigung und Auto-Korrektur werden für Corporate Email deaktiviert, um zu verhindern, dass sensible Daten im Gerätespeicher abgelegt werden.
Kontakte auf das Gerät exportieren
Benutzer können Exchange-Kontakte inklusive Telefonnummer als lokale Kontakte auf das Gerät übertragen. Diese Kontakte werden von Corporate Email synchronisiert. Es wird der Name und die Telefonnummer übertragen. Auf diese Weise kann der Benutzer bei eingehenden Anrufen Firmenkontakte identifizieren. Beachten Sie, dass auch nach einem Zurücksetzen von Corporate Email per Fernzugriff diese Informationen im lokalen Gerätespeicher verfügbar bleiben.
Benachrichtigungsdetails anzeigen
Diese Option regelt die Anzeige von E-Mail-Benachrichtigungen und Terminerinnerungen in Sophos Secure Email. Wenn die Option aktiviert ist: E-Mail-Benachrichtigungen werden mit Absender und Betreff angezeigt. Terminerinnerungen werden mit Uhrzeit, Ort und Titel angezeigt. Wenn die Option deaktiviert ist: E-Mail-Benachrichtigungen sind deaktiviert. Terminerinnerungen werden nur mit Uhrzeit angezeigt.
110
Administratorhilfe
Einstellung/Feld
Beschreibung Hinweis: Falls Sie die Anzeige von Benachrichtigungen auf verlorenen oder gestohlenen Geräten als Sicherheitsrisiko betrachten, sollten Sie Benachrichtigungsdetails deaktivieren.
In Zwischenablage kopieren verbieten
Benutzer können Texte aus Sophos Secure Email weder kopieren noch ausschneiden.
Externe Viewer erlauben
Benutzer können E-Mail-Anhänge speichern oder in anderen Apps öffnen.
Maximale E-Mail-Größe
Wählen Sie bei Bedarf die maximale E-Mail-Größe für Sophos Secure Email aus der Liste aus.
Corporate Documents Einstellung/Feld
Beschreibung
Online-Speicher konfigurieren
Klicken Sie auf diese Schaltfläche, um die verfügbaren Speicheranbieter zu konfigurieren.
Lokaler Speicher
Für jeden Speicheranbieter können Sie die folgenden Einstellungen separat definieren:
erlaubt Benutzern Dateien in Sophos Secure Workspace zu speichern und Dateien vom lokalen Speicher in den Cloud Storage hochzuladen. Dropbox Google Drive MagentaCLOUD OneDrive Box Egnyte WebDAV 1 WebDAV 2 WebDAV 3
Aktivieren Falls ausgewählt, ist der Speicheranbieter in der App sichtbar. Offline Falls ausgewählt, können Benutzer Dateien vom Speicheranbieter zur Liste Favoriten der App hinzufügen, um sie offline zu lesen. Verschlüsselt teilen: Wenn aktiviert, können Benutzer mittels Teilen verschlüsselte Dateien an andere Apps senden/übergeben. Unverschlüsselt teilen: Wenn aktiviert, können Benutzer mittels Teilen unverschlüsselte Dateien an andere Apps senden/übergeben. Zwischenablage: Wenn aktiviert, ist die Zwischenablage in der Dokumentenansicht der App aktiviert und erlaubt Benutzern, Teile aus einem Dokument zu kopieren und in andere Apps einzufügen.
Die Anbieter Egnyte und WebDAV werden als Unternehmens-Anbieter bezeichnet. Für sie können Sie Server und Zugangsdaten zentral definieren. Diese können von den Benutzern nicht geändert werden. Einstellungen, die Sie nicht zentral definieren, können vom Benutzer im entsprechenden App-Dialog eingegeben werden.
111
Sophos Mobile Control
Einstellung/Feld
Beschreibung
Beispielsweise können Sie den Server und das Benutzerkonto zentral einstellen, aber das Kennwort-Feld undefiniert lassen. Benutzer müssen dann das Kennwort eingeben, um Zugriff auf den Speicheranbieter zu bekommen.
Server
Geben Sie in diesem Feld Folgendes ein: Die URL des Root-Ordners auf dem WebDAV-Server für Corporate Documents. Die URL des Root-Ordners auf dem Egnyte-Server. Die URL des Root-Ordners auf dem WebDAV-Server. Verwenden Sie das folgende Format: https://server.company.com
Benutzername
Geben Sie in diesem Feld den Benutzernamen für den entsprechenden Server ein.
Kennwort
Geben Sie in diesem Feld das Kennwort für das entsprechende Konto ein.
Zielordner
Geben Sie in diesem Feld den Zielordner für das entsprechende Konto ein.
Dokumente aktivieren
Ermöglicht es, mit der Funktion Dokumente Unternehmensdokumente auf sichere Weise auszutauschen.
Komplexität des Kennworts
In diesem Feld können Sie die notwendige minimale Komplexität der Passphrase für Verschlüsselungsschlüssel festlegen. Sicherere Passphrasen sind immer erlaubt. Sie können folgende Einstellungen auswählen: 4-Zeichen-Kennwort 6-Zeichen-Kennwort 8-Zeichen-Kennwort 10-Zeichen-Kennwort
Corporate Browser Mit Corporate Browser können Sie auf sichere Weise auf Intranetseiten Ihres Unternehmens und andere erlaubte Seiten zugreifen. Sie können Lesezeichen festlegen, zum Beispiel Domänen, auf die mit Corporate Browser zugegriffen werden kann. Klicken Sie in der Konfiguration Corporate Browser auf Domäne hinzufügen oder Lesezeichen hinzufügen.
Einstellung/Feld Domäne hinzufügen
112
Beschreibung
Administratorhilfe
Einstellung/Feld
Beschreibung
URL
Geben Sie in diesem Feld die Domäne ein, die Sie erlauben wollen.
Kopieren/Einfügen erlauben
Benutzer können Text aus Corporate Browser kopieren und in anderen Apps einfügen.
„Öffnen mit“ erlauben
Benutzer können Anhänge herunterladen oder an andere Apps weiterleiten.
Kennwort-Speichern erlauben
Benutzer können ihre Kennwörter in Corporate Browser speichern.
Lesezeichen hinzufügen Hinweis: Das Lesezeichen wird zu der in der URL angegebenen Domäne hinzugefügt. Nicht vorhandene Domänen werden automatisch erstellt.
Name
Geben Sie in diesem Feld einen Namen für das Lesezeichen ein.
URL
Geben Sie in diesem Feld die URL für das Lesezeichen ein.
Client-Zertifikat In dieser Konfiguration können Sie ein Client-Zertifikat für Geräte hochladen. Sie können mehrere Konfigurationen Client-Zertifikat hinzufügen. Navigieren Sie im Feld Datei zu dem relevanten Zertifikat und klicken Sie auf Datei hochladen. Der Name des Zertifikats wird im Feld Zertifikatsname angezeigt. Geben Sie das Kennwort für das ausgewählte Zertifikat ein. Hinweis: Das hier hochgeladene Zertifikat ist nur für dieses Profil verfügbar. Wenn Sie Zertifikate in anderen Profilen benötigen, müssen Sie diese erneut hochladen.
Root-Zertifikat In dieser Konfiguration können Sie ein Root-Zertifikat für Geräte hochladen. Sie können mehrere Konfigurationen Root-Zertifikat hinzufügen. Navigieren Sie im Feld Datei zu dem relevanten Zertifikat und klicken Sie auf Datei hochladen. Der Name des Zertifikats wird im Feld Zertifikatsname angezeigt. Hinweis: Das hier hochgeladene Zertifikat ist nur für dieses Profil verfügbar. Wenn Sie Zertifikate in anderen Profilen benötigen, müssen Sie diese erneut hochladen.
SCEP SCEP-Konfigurationen in einer Sophos-Container-Richtlinie werden auf die gleiche Weise erstellt wie bei Geräteprofilen. Siehe SCEP-Geräteprofil für iOS erstellen (Seite 38).
113
Sophos Mobile Control
13.3.2 Mit Apple Configurator erstellte iOS-Geräteprofile importieren Sie können mit dem Apple Configurator erstellte Profile in die Web-Konsole importieren. Hinweis: Der Apple Configurator kann vom App Store heruntergeladen werden. 1. Nachdem Sie ein Profil im Apple Configurator erstellt haben, exportieren Sie es (unverschlüsselt und unsigniert) und speichern Sie es auf Ihrem Computer. 2. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Profile, Richtlinien und klicken Sie anschließend auf Apple iOS. Die Seite Profile und Richtlinien wird angezeigt. 3. Klicken Sie auf Erstellen und wählen Sie Profil importieren aus. Die Seite Profil bearbeiten wird angezeigt. 4. Geben Sie einen Namen und eine Version für das neue Profil ein. 5. Wählen Sie unter Betriebssysteme das Betriebssystem, für das das Profil gelten soll. 6. Klicken Sie auf Datei hochladen und navigieren Sie zu der Datei, die Sie auf Ihrem Computer gespeichert haben. Wählen Sie diese aus und klicken Sie auf Öffnen. Das Profil wird auf der Seite Profil bearbeiten angezeigt. 7. Klicken Sie auf Speichern. Das Profil steht für die Übertragung zur Verfügung. Es wird auf der Seite Profile und Richtlinien für Apple iOS angezeigt.
13.4 Profile und Richtlinien für Windows Mobile oder Desktop erstellen 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Profile, Richtlinien und klicken Sie anschließend auf: ■ ■
Windows Mobile, um eine Richtlinie für Windows-Mobile-Geräte zu erstellen. Windows Desktop, um eine Richtlinie für Windows-Desktop-Geräte zu erstellen.
2. Klicken Sie auf der Seite Richtlinien auf Erstellen. Die Seite Richtlinie bearbeiten wird angezeigt. 3. 4. 5. 6.
Geben Sie einen Namen und eine Version für das neue Profil ein. Geben Sie im Feld Beschreibung eine Beschreibung für das Profil ein. Wählen Sie unter Betriebssysteme das Betriebssystem, für das das Profil gelten soll. Klicken Sie auf Konfiguration hinzufügen. Die Seite Verfügbare Konfigurationen wird angezeigt.
7. Wählen Sie die Konfiguration aus, die Sie hinzufügen möchten, und klicken Sie auf Weiter. Die Seite mit den Einstellungen für die Konfiguration wird angezeigt. 8. Definieren Sie die erforderlichen Einstellungen. Eine detaillierte Liste aller verfügbaren Konfigurationen und Einstellungen finden Sie in Verfügbare Konfigurationen für Windows Mobile (Seite 115) bzw. Verfügbare Konfigurationen für Windows Desktop (Seite 122).
114
Administratorhilfe
9. Klicken Sie auf Anwenden, um Ihre Änderungen zu speichern. Die Konfiguration wird auf der Seite Richtlinie bearbeiten unter Konfigurationen angezeigt. 10. Wenn Sie alle erforderlichen Konfigurationen hinzugefügt haben, klicken Sie auf Speichern. Die Richtlinie wird auf der Seite Richtlinien angezeigt. Sie kann Geräten oder Gerätegruppen zugewiesen werden.
13.4.1 Verfügbare Konfigurationen für Windows Mobile Die folgenden Konfigurationen sind für Windows-Mobile-Richtlinien auf der Seite Verfügbare Konfigurationen verfügbar, wenn Sie eine Richtlinie erstellen oder bearbeiten. Einige Konfigurationen lassen sich in einer Richtlinie nur einmal hinzufügen, andere mehrmals. Hinweis: Einige Einstellungen werden nur für bestimmte Betriebssystemversionen oder Gerätemerkmale unterstützt. Wenn eine Konfiguration oder eine Einstellungen innerhalb einer Konfiguration nur für bestimmte Geräte unterstützt wird, werden diese Einschränkungen durch blaue Etiketten gekennzeichnet.
Kennwortrichtlinien In dieser Konfiguration können Sie Kennwortrichtlinien für Geräte definieren. Sie können nur eine Konfiguration Kennwortrichtlinien zu einer Richtlinie hinzufügen.
Einstellung/Feld
Beschreibung
Kennworttyp
Wählen Sie in diesem Feld die Art des Kennworts, dass Sie definieren möchten: Alphanumerisch Alphanumerisch oder numerisch
Einfache Werte erlauben
Kennwörter dürfen aufeinanderfolgende oder wiederholte Zeichnen enthalten, zum Beispiel abcde oder 1111.
Minimale Länge des Kennworts
Gibt an, wie viele Zeichen ein Kennwort mindestens enthalten muss.
Maximale Anzahl an Fehlversuchen (1 - 999 oder 0)
In diesem Feld können Sie die Höchstanzahl an fehlgeschlagenen Eingabeversuchen für das Kennwort eingeben. Nach Erreichen der Höchstanzahl wird das Gerät zurückgesetzt.
Inaktivitätszeit in Minuten bis zur Abfrage des In diesem Feld können Sie festlegen, wann (in Kennworts (1 - 999 oder 0) Minuten) das Gerät nach Nichtbenutzung gesperrt werden soll. Das Gerät lässt sich durch Eingabe des Kennworts entsperren. Anzahl der letzten Kennwörter, die nicht benutzt werden dürfen
In diesem Feld können Sie festlegen, wie viele alte Kennwörter gespeichert und mit neu definierten
115
Sophos Mobile Control
Einstellung/Feld
Beschreibung Kennwörtern verglichen werden. Wenn ein Benutzer ein neues Kennwort festlegt, wird es nicht akzeptiert, wenn es mit einem bereits benutzten Kennwort übereinstimmt. Wertebereich: 1 bis 50 oder 0 (keine Kennworthistorie).
Gültigkeitsdauer des Kennworts in Tagen
Fordert eine Änderung des Kennworts im angegebenen Intervall. Wertebereich: 0 (keine Kennwortänderung erforderlich) bis 730 Tage.
Minimale Anzahl verschiedener Zeichentypen Gibt an, wie viele nicht-alphanumerische Zeichen (zum Beispiel & oder !) ein Kennwort mindestens enthalten muss. Festlegen der Kennwort-Toleranzfrist erlauben Benutzer dürfen die Toleranzfrist festlegen, innerhalb derer keine erneute Kennworteingabe erfolgen muss.
Einschränkungen In dieser Konfiguration können Sie Einschränkungen für Geräte definieren. Sie können nur eine Konfiguration Einschränkungen zu einer Richtlinie hinzufügen. Abschnitt Gerät:
Einstellung/Feld
Beschreibung
SD-Karte verbieten Unverschlüsseltes Gerät verbieten Action Center-Benachrichtigungen auf dem Sperrbildschirm verbieten Manuelles Hinzufügen von Nicht-Microsoft-E-Mail-Konten verbieten
Hinzufügen aller Arten von E-Mail-Konten sowie von Exchange-, Office 365- und Outlook.com-Konten nicht erlauben.
Microsoft-Konto-Verbindung verbieten
Das Microsoft-Konto ist das Systemkonto, das für Synchronisierung, Backup und den Store verwendet wird.
Developer-Unlock verbieten Windows Store verbieten Nativen Browser verbieten
116
Administratorhilfe
Einstellung/Feld
Beschreibung
Kamera verbieten
Wenn diese Option aktiviert ist, ist die Datenschutzeinstellung Apps die Verwendung meiner Kamera erlauben deaktiviert und kann vom Benutzer nicht aktiviert werden.
Telemetrie
Abschnitt Verschiedenes:
Einstellung/Feld
Beschreibung
Kopieren und einfügen verbieten Cortana verbieten Als Office-Dateien speichern verbieten Bildschirmaufnahme verbieten Teilen von Office-Dateien verbieten „Sync my settings“ verbieten Sprachaufnahmen verbieten
Abschnitt WLAN:
Einstellung/Feld
Beschreibung
WLAN verbieten Tethering verbieten WLAN-Optimierung verbieten (automatische Hotspot-Verbindung) Hotspot-Reporting verbieten Manuelle Konfiguration verbieten
Abschnitt Konnektivität:
117
Sophos Mobile Control
Einstellung/Feld
Beschreibung
NFC verbieten Bluetooth verbieten USB-Verbindung verbieten
Abschnitt Roaming und Kosten:
Einstellung/Feld
Beschreibung
Daten-Roaming verbieten VPN über Mobilfunk verbieten VPN-Roaming über Mobilfunk verbieten
Abschnitt Sicherheit und Privatsphäre:
Einstellung/Feld
Beschreibung
Bing Vision das Speichern von Bildern aus der Suche verbieten Standortbestimmung bei der Suche verbieten Manuelle Installation von Root-Zertifikaten verbieten Standortbestimmung verbieten
Wenn diese Option aktiviert ist, darf Sophos Mobile Control das Gerät nicht lokalisieren.
SafeSearch-Berechtigung
Abschnitt Deregistrierung:
Einstellung/Feld Zurücksetzen des Geräts durch Benutzer verbieten Manuelle MDM-Deregistrierung verbieten
118
Beschreibung
Administratorhilfe
Exchange ActiveSync In dieser Konfiguration können Sie die Einstellungen für Ihren Microsoft Exchange Server definieren. Sie können mehrere Konfigurationen Exchange ActiveSync hinzufügen.
Einstellung/Feld
Beschreibung
Kontoname
Geben Sie in diesem Feld einen Kontonamen ein.
Exchange-ActiveSync-Host
Geben Sie in diesem Feld die Adresse des Microsoft Exchange Servers ein. Hinweis: Wenn Sie den SMC EAS Proxy verwenden, geben Sie die URL des SMC Proxy/Servers ein.
Domäne
Geben Sie in diesem Feld die Domäne für das Konto ein.
Benutzer
Geben Sie in diesem Feld den Benutzer für das Konto ein. Sie können die Variable %_USERNAME_% verwenden. Der Server ersetzt diese durch den jeweiligen Benutzernamen, wenn für das Gerät, an das das Profil gesendet wird, eine LDAP-Verbindung besteht.
E-Mail-Adresse
Geben Sie in diesem Feld die E-Mail-Adresse für das Konto ein. Sie können die Variable %_EMAILADDRESS_% verwenden. Der Server ersetzt diese durch die jeweilige E-Mail-Adresse, wenn für das Gerät, an das das Profil gesendet wird, eine LDAP-Verbindung besteht.
Kennwort
Geben Sie in diesem Feld das Kennwort für das Konto ein.
Zeitraum für die Synchronisierung von E-Mails Wählen Sie in diesem Feld den Zeitraum für die Synchronisierung. Dabei handelt es sich um die Anzahl an Tagen, für die synchronisiert wird. Wenn Sie hier einen Zeitraum angeben, werden nicht alle Eingänge im Posteingang auf dem verwalteten Gerät synchronisiert, sondern nur die aus dem angegebenen Zeitraum. Sie können folgende Optionen auswählen: Unbegrenzt Drei Tage Eine Woche Zwei Wochen Ein Monat
119
Sophos Mobile Control
Einstellung/Feld
Beschreibung
Synchronisierungsintervall
Wählen Sie in diesem Feld den Abstand zwischen den einzelnen Synchronisierungsvorgängen: Automatisch Manuell 10 Minuten 15 Minuten 30 Minuten Eine Stunde
SSL
Wählen Sie diese Option, um für die gesamte Kommunikation SSL (Secure Socket Layer) zu verwenden.
Inhalte
Wählen Sie in diesem Feld die Inhalte, die synchronisiert werden: E-Mails Kontakte Kalender Aufträge
WLAN In dieser Konfiguration geben Sie die Einstellungen für die Verbindung mit WLAN-Netzwerken an. Sie können mehrere Konfigurationen WLAN hinzufügen.
120
Einstellung/Feld
Beschreibung
SSID
Geben Sie in diesem Feld die ID des Drahtlosnetzwerks ein.
Automatisch verbinden
Die Verbindung wird automatisch hergestellt.
Unsichtbares Netzwerk
Das Zielnetzwerk ist nicht offen oder ist unsichtbar.
Sicherheitstyp
Wählen Sie den Sicherheitstyp aus der Liste aus. Wenn Sie WPA-PSK oder WPA2-PSK auswählen, müssen Sie das Kennwort angeben.
Proxy
Wenn Sie Manuell aus der Liste auswählen, müssen Sie einen Server und einen Port angeben.
Administratorhilfe
App-Einschränkungen In dieser Konfiguration legen Sie Apps fest, die auf den Geräten erlaubt oder unzulässig sind.
Einstellung/Feld
Beschreibung
Erlaubte Apps
Enthält eine Liste bestimmter Apps, die vom Benutzer auf dem Gerät installiert und verwendet werden dürfen. Benutzer können keine Apps installieren oder verwenden, die nicht explizit aufgeführt sind. Verwenden Sie Erlaubte Apps, wenn die Apps bekannt sind, die erlaubt werden sollen, und alle anderen Apps blockiert werden sollen.
Unzulässige Apps
Enthält eine Liste bestimmter Apps, die vom Benutzer auf dem Gerät nicht installiert oder verwendet werden dürfen. Benutzer können alle Apps installieren oder verwenden, die nicht explizit aufgeführt sind. Verwenden Sie Unzulässige Apps, wenn die Apps bekannt sind, die blockiert werden sollen, und alle anderen Apps erlaubt werden sollen.
App-Gruppe
Wählen Sie die App-Gruppe aus, welche die Apps enthält, die erlaubt oder blockiert werden sollen. Hinweis: Die App-Gruppe muss zuvor erstellt worden sein. Siehe Mit App-Gruppen arbeiten (Seite 143).
Root-Zertifikat In dieser Konfiguration können Sie ein Root-Zertifikat für Geräte hochladen. Sie können mehrere Konfigurationen Root-Zertifikat hinzufügen. Klicken Sie auf Datei hochladen und navigieren Sie zu dem Zertifikat. Wählen Sie es aus und klicken Sie auf Öffnen. Der Name des Zertifikats wird im Feld Zertifikatsname angezeigt. Hinweis: Das hier hochgeladene Zertifikat ist nur für diese Richtlinie verfügbar. Wenn Sie Zertifikate in anderen Richtlinien benötigen, müssen Sie diese erneut hochladen.
SCEP Informationen zur SCEP-Konfiguration finden Sie in SCEP-Geräteprofil für Windows Mobile erstellen (Seite 39).
121
Sophos Mobile Control
13.4.2 Verfügbare Konfigurationen für Windows Desktop Die folgenden Konfigurationen sind für Windows-Desktop-Richtlinien auf der Seite Verfügbare Konfigurationen verfügbar, wenn Sie eine Richtlinie erstellen oder bearbeiten. Einige Konfigurationen lassen sich in einer Richtlinie nur einmal hinzufügen, andere mehrmals. Hinweis: Einige Einstellungen werden nur für bestimmte Betriebssystemversionen oder Gerätemerkmale unterstützt. Wenn eine Konfiguration oder eine Einstellungen innerhalb einer Konfiguration nur für bestimmte Geräte unterstützt wird, werden diese Einschränkungen durch blaue Etiketten gekennzeichnet.
Kennwortrichtlinien In dieser Konfiguration können Sie Kennwortrichtlinien für Geräte definieren. Sie können nur eine Konfiguration Kennwortrichtlinien zu einer Richtlinie hinzufügen. Hinweis: Bei Windows-Desktop-Geräten gelten feste Regeln für die Kennwortkomplexität (z.B. Länge, Anzahl von Groß- oder Kleinbuchstaben), die nicht über eine Richtlinie in Sophos Mobile Control festgelegt werden können. Einzelheiten hierzu finden Sie in Komplexitätsregeln für Windows-Desktop-Kennwörter (Seite 129). Hinweis: Kennwortrichtlinien können einem Windows-Desktop-Gerät nicht zugewiesen werden, wenn weitere lokale Benutzer auf dem Gerät eingerichtet sind (zusätzlich zu dem bei Sophos Mobile Control registrierten Benutzer), von denen mindestens einer nicht berechtigt ist, sein Kennwort zu ändern.
Einstellung/Feld
Beschreibung
Maximale Anzahl fehlerhafter Loginversuche
In diesem Feld können Sie die Höchstanzahl an fehlgeschlagenen Eingabeversuchen für das Kennwort eingeben. Nach Erreichen der Höchstanzahl wird das Gerät zurückgesetzt.
Inaktivitätszeit in Minuten bis zur Abfrage des In diesem Feld können Sie festlegen, wann (in Kennworts Minuten) das Gerät nach Nichtbenutzung gesperrt werden soll. Das Gerät lässt sich durch Eingabe des Kennworts entsperren.
122
Anzahl der letzten Kennwörter, die nicht benutzt werden dürfen
In diesem Feld können Sie festlegen, wie viele alte Kennwörter gespeichert und mit neu definierten Kennwörtern verglichen werden. Wenn ein Benutzer ein neues Kennwort festlegt, wird es nicht akzeptiert, wenn es mit einem bereits benutzten Kennwort übereinstimmt. Wertebereich: 1 bis 50 oder 0 (keine Kennworthistorie).
Gültigkeitsdauer des Kennworts in Tagen
Fordert eine Änderung des Kennworts im angegebenen Intervall. Wertebereich: 0 (keine Kennwortänderung erforderlich) bis 730 Tage.
Administratorhilfe
Einschränkungen In dieser Konfiguration können Sie Einschränkungen für Geräte definieren. Sie können nur eine Konfiguration Einschränkungen zu einer Richtlinie hinzufügen. Abschnitt Gerät:
Einstellung/Feld
Beschreibung
SD-Karte verbieten
Auf SD-Karten kann nicht zugegriffen werden.
Manuelles Hinzufügen von Nicht-Microsoft-E-Mail-Konten verbieten
Hinzufügen aller Arten von E-Mail-Konten sowie von Exchange-, Office 365- und Outlook.com-Konten nicht erlauben.
Entwicklerfunktionen verbieten
Wenn diese Option aktiviert ist, ist der Windows-Entwicklermodus deaktiviert und kann vom Benutzer nicht aktiviert werden.
Kamera verbieten
Wenn diese Option aktiviert ist, ist die Datenschutzeinstellung Apps die Verwendung meiner Kamera erlauben deaktiviert und kann vom Benutzer nicht aktiviert werden.
Edge-Autofill deaktivieren
Wenn diese Option aktiviert ist, ist die Autovervollständigung im Edge Web-Browser deaktiviert und kann vom Benutzer nicht aktiviert werden. Wenn diese Option nicht aktiviert ist, ist die Autovervollständigung im Edge Web-Browser aktiviert und kann vom Benutzer nicht deaktiviert werden.
Edge-F12-Entwicklertools deaktivieren
Die F12-Entwicklertools im Edge Web-Browser sind deaktiviert.
Edge-Popupblocker deaktivieren
Wenn diese Option aktiviert ist, ist der Popupblocker im Edge Web-Browser deaktiviert und kann vom Benutzer nicht aktiviert werden. Wenn diese Option nicht aktiviert ist, ist der Popupblocker im Edge Web-Browser aktiviert und kann vom Benutzer nicht deaktiviert werden.
Einstellungen „AutoPlay“ deaktivieren
Die jeweiligen Bereiche in der Windows-Systemsteuerung sind deaktiviert. Der Einstellungen „Datum und Uhrzeit“ deaktivieren Benutzer kann diese Einstellungen nicht ändern, nachdem die Richtlinie dem Gerät zugewiesen wurde. Einstellungen „Sprachen“ deaktivieren Hinweis: Einstellungen „AutoPlay“ deaktivieren deaktiviert nicht die Einstellungen
123
Sophos Mobile Control
Einstellung/Feld
Beschreibung
Einstellungen „Netzbetrieb und Energiesparen“ für angeschlossene Geräte wie zum Beispiel Mobiltelefone. deaktivieren Einstellungen „Region“ deaktivieren Einstellungen „Anmeldeoptionen“ deaktivieren Einstellungen „VPN“ deaktivieren Einstellungen „Arbeitsplatzzugriff“ deaktivieren Einstellungen „Konten“ deaktivieren Telemetrie
Abschnitt Verschiedenes:
Einstellung/Feld
Beschreibung
Cortana verbieten „Sync my settings“ verbieten Windows-Tipps deaktivieren
Die Windows-Anzeigeoption Tipps zu Windows anzeigen ist deaktiviert.
Abschnitt WLAN:
Einstellung/Feld
Beschreibung
Tethering verbieten WLAN-Optimierung verbieten (automatische Hotspot-Verbindung)
Abschnitt Konnektivität:
Einstellung/Feld Bluetooth verbieten
124
Beschreibung
Administratorhilfe
Abschnitt Sicherheit und Privatsphäre:
Einstellung/Feld
Beschreibung
Standortbestimmung bei der Suche verbieten
Abschnitt Deregistrierung:
Einstellung/Feld
Beschreibung
Manuelle MDM-Deregistrierung verbieten
Exchange ActiveSync In dieser Konfiguration können Sie die Einstellungen für Ihren Microsoft Exchange Server definieren. Sie können mehrere Konfigurationen Exchange ActiveSync hinzufügen. Wichtig: Wenn Sie mehrere Exchange-ActiveSync-Konten einrichten, können die Geräte möglicherweise nur E-Mails von einem dieser Konten abrufen. Dies passiert typischerweise, wenn die Konten auf unterschiedlichen ActiveSync-Servern liegen und auf diesen Servern unterschiedliche Postfachrichtlinien definiert sind. Da Windows-Desktop-Geräte nur eine einzelne Postfachrichtlinie erzwingen können, schlägt die Verbindung zu Konten fehl, die eine abweichende Richtlinie verwenden.
Einstellung/Feld
Beschreibung
Kontoname
Geben Sie in diesem Feld einen Kontonamen ein.
Exchange-ActiveSync-Host
Geben Sie in diesem Feld die Adresse des Microsoft Exchange Servers ein. Hinweis: Wenn Sie den SMC EAS Proxy verwenden, geben Sie die URL des SMC Proxy/Servers ein.
Domäne
Geben Sie in diesem Feld die Domäne für das Konto ein.
Benutzer
Geben Sie in diesem Feld den Benutzer für das Konto ein. Sie können die Variable %_USERNAME_% verwenden. Der Server ersetzt diese durch den jeweiligen Benutzernamen, wenn für das Gerät, an das das Profil gesendet wird, eine LDAP-Verbindung besteht.
E-Mail-Adresse
Geben Sie in diesem Feld die E-Mail-Adresse für das Konto ein. Sie können die Variable
125
Sophos Mobile Control
Einstellung/Feld
Beschreibung %_EMAILADDRESS_% verwenden. Der Server ersetzt diese durch die jeweilige E-Mail-Adresse, wenn für das Gerät, an das das Profil gesendet wird, eine LDAP-Verbindung besteht.
Kennwort
Geben Sie in diesem Feld das Kennwort für das Konto ein.
Zeitraum für die Synchronisierung von E-Mails Wählen Sie in diesem Feld den Zeitraum für die Synchronisierung. Dabei handelt es sich um die Anzahl an Tagen, für die synchronisiert wird. Wenn Sie hier einen Zeitraum angeben, werden nicht alle Eingänge im Posteingang auf dem verwalteten Gerät synchronisiert, sondern nur die aus dem angegebenen Zeitraum. Sie können folgende Optionen auswählen: Unbegrenzt Drei Tage Eine Woche Zwei Wochen Ein Monat
Synchronisierungsintervall
Wählen Sie in diesem Feld den Abstand zwischen den einzelnen Synchronisierungsvorgängen: Automatisch Manuell 10 Minuten 15 Minuten 30 Minuten Eine Stunde
SSL
Wählen Sie diese Option, um für die gesamte Kommunikation SSL (Secure Socket Layer) zu verwenden.
Inhalte
Wählen Sie in diesem Feld die Inhalte, die synchronisiert werden: E-Mails Kontakte Kalender Aufträge
126
Administratorhilfe
WLAN In dieser Konfiguration geben Sie die Einstellungen für die Verbindung mit WLAN-Netzwerken an. Sie können mehrere Konfigurationen WLAN hinzufügen.
Einstellung/Feld
Beschreibung
SSID
Geben Sie in diesem Feld die ID des Drahtlosnetzwerks ein.
Automatisch verbinden
Die Verbindung wird automatisch hergestellt.
Unsichtbares Netzwerk
Das Zielnetzwerk ist nicht offen oder ist unsichtbar.
Sicherheitstyp
Wählen Sie den Sicherheitstyp aus der Liste aus. Wenn Sie WPA-PSK oder WPA2-PSK auswählen, müssen Sie das Kennwort angeben.
Proxy
Wenn Sie Manuell aus der Liste auswählen, müssen Sie einen Server und einen Port angeben.
Root-Zertifikat In dieser Konfiguration können Sie ein Root-Zertifikat für Geräte hochladen. Sie können mehrere Konfigurationen Root-Zertifikat hinzufügen. Klicken Sie auf Datei hochladen und navigieren Sie zu dem Zertifikat. Wählen Sie es aus und klicken Sie auf Öffnen. Der Name des Zertifikats wird im Feld Zertifikatsname angezeigt. Hinweis: Das hier hochgeladene Zertifikat ist nur für diese Richtlinie verfügbar. Wenn Sie Zertifikate in anderen Richtlinien benötigen, müssen Sie diese erneut hochladen.
13.5 Platzhalter in Profilen und Richtlinien Profile und Richtlinien können Platzhalter enthalten, die zum Zeitpunkt der Auftragsausführung durch die eigentlichen Daten ersetzt werden. Sie können folgende Platzhalter in Profilen verwenden: ■
■
Platzhalter für Active-Directory-Benutzerdaten: ■
%_EMAILADDRESS_%
■
%_USERNAME_%
Platzhalter für Geräteeigenschaften: ■
%_DEVPROP(Eigenschaftsname)_% Eigenschaftsname ist entweder eine Standardeigenschaft oder eine benutzerdefinierte Eigenschaft des Gerätes. Siehe Benutzerdefinierte Geräteeigenschaften (Seite 151).
127
Sophos Mobile Control
■
Platzhalter für Kundeneigenschaften: ■
%_CUSTPROP(Eigenschaftsname)_% Siehe Kundeneigenschaften definieren (Seite 23).
13.6 Profile übertragen 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Profile, Richtlinien und klicken Sie anschließend auf eine Geräteplattform, die Profile unterstützt: ■ ■
Android Apple iOS
Die Seite Profile und Richtlinien für die ausgewählte Plattform wird angezeigt. 2. Klicken Sie auf das blaue Dreieck neben dem Profil, das übertragen werden soll, und wählen Sie Übertragen aus. Die Seite Geräte auswählen wird angezeigt. 3. Auf dieser Seite können Sie folgende Aufgaben durchführen: ■ ■
Wählen Sie einzelne Geräte aus, an die das Profil übertragen werden soll. Klicken Sie auf Gerätegruppen auswählen und wählen Sie eine oder mehrere Gerätegruppen für die Übertragung des Profils aus.
4. Wenn Sie Ihre Auswahl getroffen haben, klicken Sie auf Weiter. Die Seite Ausführungszeit wählen wird angezeigt. 5. Wählen Sie unter Datum die Option Sofort oder geben Sie ein Datum und eine Uhrzeit für die Ausführung dieses Auftrags an. 6. Klicken Sie auf Fertigstellen. Die Auftragsstatus Ansicht wird angezeigt. Das Profil wird zum angegebenen Zeitpunkt auf die ausgewählten Geräte übertragen.
13.7 Richtlinien zuweisen 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Profile, Richtlinien und klicken Sie anschließend auf eine Geräteplattform, die Richtlinien unterstützt: ■ ■ ■ ■
Android Apple iOS Windows Mobile Windows Desktop
Die Seite Profile und Richtlinien für die ausgewählte Plattform wird angezeigt. 2. Klicken Sie auf das blaue Dreieck neben der Richtlinie, die zugewiesen werden soll, und wählen Sie Tuweisen aus. Die Seite Geräte auswählen wird angezeigt. 3. Auf dieser Seite können Sie folgende Aufgaben durchführen: ■
128
Wählen Sie einzelne Geräte aus, denen die Richtlinie zugewiesen werden soll.
Administratorhilfe
■
Klicken Sie auf Gerätegruppen auswählen und wählen Sie eine oder mehrere Gerätegruppen für die Zuweisung der Richtlinie aus.
4. Wenn Sie Ihre Auswahl getroffen haben, klicken Sie auf Fertigstellen. Die Richtlinie wird den ausgewählten Geräten zugewiesen und ein Synchronisierungsvorgang wird ausgelöst.
13.8 Profile und Richtlinien von der Web-Konsole herunterladen Sie können Profile und Richtlinien, die Sie an der Web-Konsole konfiguriert haben, herunterladen. Dies ist zum Beispiel nützlich, wenn Sie die definierten Einstellungen an den Sophos Support weitergeben möchten. 1. Gehen Sie in der Menüleiste zu Profile, Richtlinien und klicken Sie auf eine Geräteplattform. Die Seite Profile und Richtlinien für die ausgewählte Plattform wird angezeigt. 2. Klicken Sie auf den Namen des gewünschten Profils bzw. der gewünschten Richtlinie. Die Seite Profil anzeigen bzw. die Seite Richtlinie anzeigen wird angezeigt. 3. Klicken Sie auf Herunterladen. Das Profil bzw. die Richtlinie wird folgendermaßen auf Ihrem lokalen Computer gespeichert: ■
iOS-Profile werden als XML-Plist-Dateien mit der Endung .mobileconfig gespeichert.
■
Android-Profile werden als XML-Dateien mit der Endung .smcprofile gespeichert.
■
Android- und iOS-Richtlinien werden als JSON-Dateien gespeichert.
■
■
Windows-Mobile-Richtlinien werden als XML-Dateien mit der Endung .windowsphoneconfig gespeichert. Windows-Desktop-Richtlinien werden als XML-Dateien mit der Endung .windowsdesktopconfig gespeichert.
13.9 Komplexitätsregeln für Windows-Desktop-Kennwörter Bei Windows-Desktop-Geräten gelten feste Regeln für die Kennwortkomplexität (z.B. Länge, Anzahl von Groß- oder Kleinbuchstaben), die nicht über eine Richtlinie in Sophos Mobile Control festgelegt werden können. Es gelten unterschiedlicher Regeln für lokale und für Microsoft-Konten.
Lokale Konten ■
Kennwort darf nicht den Anmeldenamen oder mehr als zwei aufeinanderfolgende Zeichen des Benutzernamens enthalten.
■
Kennwort muss sechs oder mehr Zeichen lang sein.
■
Kennwort muss Zeichen aus drei der folgenden vier Kategorien enthalten: ■
Großbuchstaben A-Z (Lateinisches Alphabet)
■
Kleinbuchstaben a-z (Lateinisches Alphabet)
129
Sophos Mobile Control
■
Ziffern 0-9
■
Sonderzeichen (!, $, #, %, etc.)
Microsoft-Konten
130
■
Kennwort muss acht oder mehr Zeichen lang sein.
■
Kennwort muss Zeichen aus zwei der folgenden vier Kategorien enthalten: ■
Großbuchstaben A-Z (Lateinisches Alphabet)
■
Kleinbuchstaben a-z (Lateinisches Alphabet)
■
Ziffern 0-9
■
Sonderzeichen (!, $, #, %, etc.)
Administratorhilfe
14 Mit Auftragspaketen arbeiten Mit Auftragspaketen können Sie mehrere Aufträge in einer Transaktion bündeln. Somit können Sie alle Aufträge bündeln, die für die Registrierung und Konfiguration eines Geräts notwendig sind: ■
Gerät registrieren.
■
Anwendung der erforderlichen Richtlinien
■
Erforderliche Apps installieren (zum Beispiel verwaltete Apps bei iOS-Geräten).
■
Anwendung der erforderlichen Profile.
Sie können auch Wipe-Befehle in Auftragspakete einbeziehen, um Geräte, die nicht mehr den Compliance-Regeln entsprechen (zum Beispiel durch Jailbreak oder Root Access), auf Ihren Fabrikzustand zurückzusetzen. Weitere Informationen finden Sie in Compliance-Richtlinien (Seite 41).
14.1 Auftragspakete erstellen 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Auftragspakete und wählen Sie Android oder Apple iOS aus. Die Seite Auftragspakete wird angezeigt. 2. Klicken Sie auf Auftragspaket anlegen. Die Seite Auftragspaket bearbeiten wird angezeigt. 3. Geben Sie einen Namen, eine Version und eine Beschreibung ein. Hinweis: Pflichtfelder sind mit einem Sternchen (*) markiert. 4. Wählen Sie unter Betriebssysteme die Betriebssysteme, für die das neue Auftragspaket gelten soll. 5. Wenn Sie die Option Auswählbar als Compliance-Aktion auswählen, kann das Auftragspaket auf ein Mobilgerät geladen werden, wenn eine Compliance-Richtlinie verletzt wird. Siehe Compliance-Richtlinien (Seite 41). Hinweis: Diese Option ist deaktiviert, wenn Sie ein vorhandenes Auftragspaket bearbeiten, das bereits als Compliance-Aktion verwendet wird. 6. Klicken Sie auf Auftrag erstellen. 7. Wählen Sie den Auftragstyp und klicken Sie auf Weiter. Die nächste Ansicht hängt vom gewählten Auftragstyp ab. In jeder Ansicht können Sie eigene aussagekräftige Auftragsnamen angeben. Diese Auftragsnamen werden während der Installation im Self Service Portal angezeigt. 8. Folgen Sie den Schritten im Assistenten, um den gewünschten Auftrag hinzuzufügen. Klicken Sie auf Anwenden, um den Auftrag zu erstellen. 9. Wenn nötig, fügen Sie weitere Aufträge zu diesem Auftragspaket hinzu. Tipp: Mit den Sortier-Pfeilsymbolen auf der rechten Seite der Aufträge Liste können Sie die Installationsreihenfolge für die Aufträge festlegen.
131
Sophos Mobile Control
10. Wenn Sie alle erforderlichen Aufträge zum Auftragspaket hinzugefügt haben, klicken Sie auf der Seite Auftragspaket bearbeiten auf Speichern. Hinweis: Wenn Sie ein vorhandenes Auftragspaket bearbeiten, das als Einrichtungspaket in den Self Service Portal-Einstellungen verwendet wird, kann der Einrichtungsauftrag nicht gelöscht werden. Siehe Self-Service-Portal-Einstellungen konfigurieren (Seite 26). Das Auftragspaket steht für die Übertragung zur Verfügung. Es wird auf der Seite Auftragspakete angezeigt.
14.2 Auftragspakete duplizieren Da das Erstellen eines Auftragspakets zeitaufwändig sein kann, können Sie bereits vorhandene Auftragspakete duplizieren. Diese Funktion ist hilfreich, wenn mehrere umfangreiche Auftragspakete mit ähnlichen Aufträgen erforderlich sind. Es müssen dann nur wenige Aufträge gelöscht oder hinzugefügt werden. Hinweis: Sie können Auftragspakete nur dann duplizieren, wenn sie nicht gleichzeitig bearbeitet werden. Die Kopien werden mit "Copy of" und dem Namen des Originalprofils benannt. Sie können die Namen der Pakete nach Ihren Anforderungen ändern. 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Auftragspakete und wählen Sie Android oder Apple iOS aus. Die Seite Auftragspakete wird angezeigt. 2. Klicken Sie auf das blaue Dreieck neben dem Auftragspaket, das Sie duplizieren möchten, und klicken Sie auf Duplizieren. Das Auftragspaket wird dupliziert und auf der Seite Auftragspakete angezeigt. Sie können das duplizierte Auftragspaket nun bearbeiten. Um das Auftragspaket zu bearbeiten, klicken Sie auf das daneben stehende blaue Dreieck und wählen Sie Bearbeiten.
14.3 Auftragspakete an einzelne Geräte oder Gerätegruppen übertragen 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Auftragspakete und wählen Sie Android oder Apple iOS aus. Die Seite Auftragspakete wird angezeigt. 2. Klicken Sie auf das blaue Dreieck neben dem betreffenden Auftrag und dann auf Übertragen. Die Seite Geräte auswählen wird angezeigt. 3. Auf dieser Seite können Sie folgende Aufgaben durchführen: ■ ■
Wählen Sie einzelne Geräte aus, an die das Auftragspaket übertragen werden soll. Klicken Sie auf Gerätegruppen auswählen, um die Seite Gerätegruppen auswählen zu öffnen. Wählen Sie dann eine oder mehrere Gerätegruppen für die Übertragung des Auftragspakets aus.
4. Wenn Sie Ihre Auswahl getroffen haben, klicken Sie auf Weiter. Die Seite Ausführungszeit wählen wird angezeigt.
132
Administratorhilfe
5. Wählen Sie unter Datum die Option Sofort oder geben Sie ein Datum und eine Uhrzeit für die Ausführung dieses Auftrags an. 6. Klicken Sie auf Fertigstellen. Die Auftragsstatus Ansicht wird angezeigt. Das Auftragspaket wird zum angegebenen Zeitpunkt auf die ausgewählten Geräte übertragen.
133
Sophos Mobile Control
15 Mit Apps arbeiten Sie konfigurieren Apps in Sophos Mobile Control, damit diese über die Web-Konsole (Administrator-initiiert) oder über die Sophos Mobile Control App (Benutzer-initiiert) installiert werden können. Sie können eine App auf eine der folgenden Arten in Sophos Mobile Control verfügbar machen: ■
Sie laden das App-Paket auf den Sophos Mobile Control Server hoch. Diese Option ist nicht für Windows-Mobile-Apps verfügbar.
■
Sie geben den Link zu der App im jeweiligen App Store an.
Eine Beschreibung beider Arten finden Sie im Abschnitt App hinzufügen (Seite 134). Um eine App auf einem Gerät zu installieren, erstellen Sie ein Auftragspaket, das einen Auftrag App installieren enthält. Für Android- und iOS-Geräte können Sie ein solches Auftragspaket direkt auf der Seite Apps erstellen. Siehe App installieren (Seite 135).
15.1 App hinzufügen Sie stellen eine App für die Installation zur Verfügung, indem Sie entweder das App-Paket hochladen oder den App-Link im jeweiligen App Store angeben. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Apps und wählen Sie anschließend die Plattform aus, für die Sie eine App hinzufügen wollen. 2. Klicken Sie auf der Seite Apps auf App hinzufügen und wählen Sie dann folgendes aus: ■
■
Android-Paket oder iOS-Paket, um die App durch Hochladen des App-Pakets hinzuzufügen. Android-Link, iOS-Link oder Windows Mobile-Link, um die App durch Angabe des Links im jeweiligen App Store hinzuzufügen.
Auf der nächsten Seite konfigurieren Sie die App-Details. Hinweis: Für iOS-Links können Sie auf In iTunes suchen klicken, um in der iTunes-Datenbank nach der App zu suchen. Wenn Sie in den Suchergebnissen eine App auswählen, werden die relevanten Felder auf der Seite iOS-Link bearbeiten mit den entsprechenden Werten aus iTunes ausgefüllt. 3. Geben Sie einen Namen und optional eine Version für die neue App ein. 4. Geben Sie optional im Feld Kennung die interne App-Kennung ein. Lassen Sie dieses Feld leer, falls Sie die genaue App-Kennung nicht kennen. In den meisten Fällen kann Sophos Mobile Control den Wert aus der App ermitteln und füllt dieses Feld automatisch aus. 5. Geben Sie optional im Feld App-Kategorie eine Kategorie ein, zum Beispiel Empfohlen. Wen Sie die App, wie im nächsten Schritt beschrieben, im Enterprise App Store verfügbar machen, wird die App in einem Abschnitt mit diesem Titel aufgeführt. 6. Sie können die App im Enterprise App Store verfügbar machen, damit die Installation vom Benutzer initiiert werden kann. Klicken Sie neben Verfügbar für Gerätegruppen auf Anzeigen und wählen Sie eine oder mehrere Gerätegruppen aus, für welche die App im Enterprise App Store aufgeführt wird.
134
Administratorhilfe
7. Wenn Sie für iOS-Geräte SMC-verwaltete Installation auswählen, wird die App als verwaltete App installiert. 8. Geben Sie optional im Feld Beschreibung eine Beschreibung ein, die im Enterprise App Store angezeigt wird. 9. Klicken Sie neben Betriebssysteme auf Anzeigen und wählen Sie die Betriebssystemversionen aus, für welche die App aufgeführt wird. 10. Wenn Sie für Samsung-KNOX-Geräte In KNOX-Container installieren auswählen, wird die App im KNOX-Container installiert. Diese Option ist nur verfügbar, wenn auf der Seite Systemeinstellungen ein KNOX-Advanced-Lizenzschlüssel konfiguriert ist. 11. Konfigurieren Sie die App-Quelle. ■
Für App-Links geben Sie im Feld Link die URL der App im jeweiligen App Store ein. Um die URL zu bestimmen, klicken Sie auf den Link unterhalb des Feldes Link, um den App Store in einer neuen Browser-Registerkarte zu öffnen, und navigieren Sie zu der gewünschten App. Kopieren Sie anschließend die URL aus der Adresszeile in das Feld Link.
■
Für App-Pakete klicken Sie auf Datei hochladen, um das Paket auf den Sophos Mobile Control Server hochzuladen. Navigieren Sie zu der Paketdatei und klicken Sie auf Öffnen. Hinweis: Die Dateigröße des Pakets darf einen festgelegten Wert nicht übersteigen. Bei lokalen Installation wird dieser Wert von Ihrem Superadministrator festgelegt. Bei Sophos Mobile Control as a Service beträgt der Wert 100 MB pro Paket.
12. Nachdem Sie die App-Details konfiguriert haben, klicken Sie auf Speichern, um die App-Einstellungen zu speichern und auf die Seite Apps zurückzukehren. Die App steht für die Installation zur Verfügung. Sie wird auf der Seite Apps angezeigt. Falls Sie das Feld Verfügbar für Gerätegruppen konfiguriert haben, wird die App auch im Enterprise App Store der App Sophos Mobile Control angezeigt und kann von dort von den Benutzern installiert werden. Der Installationsvorgang läuft ohne oder nur mit sehr geringer Benutzerinteraktion. Weitere Informationen zur benutzer-initiierten App-Installation finden Sie in der Sophos Mobile Control Benutzerhilfe.
15.2 App installieren Hinweis: Dieser Abschnitt gilt nur für Android- und iOS-Geräte. App, die Sie zu Sophos Mobile Control hinzugefügt haben wie in App hinzufügen (Seite 134) geschrieben, können Sie manuell auf ausgewählten Geräten oder Gerätegruppen installieren. 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Apps und klicken Sie anschließend auf Android oder Apple iOS. Die Seite Apps wird angezeigt. 2. Klicken Sie auf der Seite Apps auf das blaue Dreieck neben der gewünschten App und wählen Sie Installieren aus. 3. Wählen Sie die Geräte aus, auf denen Sie die App installieren wollen. Gehen Sie auf eine der folgenden Arten vor: ■
Wählen Sie einzelne Geräte aus.
135
Sophos Mobile Control
■
Klicken Sie auf Gerätegruppen auswählen und wählen Sie anschließend Gerätegruppen aus.
Wenn Sie fertig sind, klicken Sie auf Weiter. 4. Geben Sie auf der Seite Ausführungszeit wählen den Zeitpunkt an, zu dem die App installiert wird: ■ ■
Für eine sofortige Ausführung wählen Sie Sofort aus. Für eine geplante Ausführung wählen Sie Datum aus und geben Sie anschließend Datum und Uhrzeit ein.
5. Klicken Sie auf Fertigstellen. Die ausgewählte App wird zum festgelegten Zeitpunkt auf den ausgewählten Geräten installiert. Auf betreuten (supervised) iOS-Geräten und auf Android-Geräten mit Samsung-KNOX-Plugin werden verwaltete Apps stillschweigend, d.h. ohne Benutzer-Interaktion, installiert.
15.3 Apps deinstallieren Hinweis: Dieser Abschnitt gilt nur für Android- und iOS-Geräte. App, die Sie zu Sophos Mobile Control hinzugefügt haben wie in App hinzufügen (Seite 134) geschrieben, können Sie manuell von ausgewählten Geräten oder Gerätegruppen deinstallieren. 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Apps und klicken Sie anschließend auf Android oder Apple iOS. 2. Klicken Sie auf der Seite Apps auf Deinstallieren. 3. Wählen Sie die Geräte aus, auf denen Sie die App deinstallieren wollen. Gehen Sie auf eine der folgenden Arten vor: ■ ■
Wählen Sie einzelne Geräte aus. Klicken Sie auf Gerätegruppen auswählen und wählen Sie anschließend Gerätegruppen aus.
Wenn Sie fertig sind, klicken Sie auf Weiter. 4. Wählen Sie auf der Seite App auswählen die gewünschte App aus. 5. Geben Sie auf der Seite Ausführungszeit wählen den Zeitpunkt an, zu dem die App deinstalliert wird: ■ ■
Für eine sofortige Ausführung wählen Sie Sofort aus. Für eine geplante Ausführung wählen Sie Datum aus und geben Sie anschließend Datum und Uhrzeit ein.
6. Klicken Sie auf Fertigstellen. Die ausgewählte App wird zum festgelegten Zeitpunkt von den ausgewählten Geräten deinstalliert. Auf betreuten (supervised) iOS-Geräten und auf Android-Geräten mit Samsung-KNOX-Plugin werden verwaltete Apps stillschweigend, d.h. ohne Benutzer-Interaktion, deinstalliert.
15.4 Über Apple VPP erworbene Apps verwalten Mit dem Apple-Programm für Volumenlizenzen (Volume Purchase Program, kurz VPP) können Sie iOS-Apps in großen Mengen kaufen und diese im Unternehmen bereitstellen.
136
Administratorhilfe
Wenn eine über Apple VPP abgewickelte Bestellung abgeschlossen ist, können Sie ein sToken (Service-Token) herunterladen, das die Lizenzen für die erworbenen Apps enthält. Über die Sophos Mobile Control Web-Konsole können Sie die im sToken enthaltenen Lizenzen Ihren Benutzern zur Verfügung stellen, indem Sie diese dazu einladen, autorisierte Apple-VPP-Benutzer zu werden. Nachdem die Benutzer die Einladung akzeptiert haben, sind sie autorisierte VPP-Benutzer und Sie können ihnen VPP-Apps zuweisen. Benutzer können zugewiesene Apps mittels iTunes auf ihren Geräten installieren. Sie können VPP-Apps auch Geräten zuweisen. Dazu muss auf den Geräten iOS 9 oder höher installiert sein. Geräte müssen nicht zu VPP eingeladen werden. Sie installieren eine zugewiesene VPP-App auf einem Gerät mittels Sophos Mobile Control. Für die Einladung von Benutzern zur VPP-Autorisierung gibt es unterschiedliche Vorgehensweisen, je nachdem, ob Sie in Sophos Mobile Control eine interne oder externe Benutzerverwaltung verwenden. Die Anleitungen in diesem Abschnitt gelten für beide Fälle. Informationen zur internen und externen Benutzerverwaltung finden Sie im englischsprachigen Dokument Sophos Mobile Control super administrator guide. Wenn Sie Sophos Mobile Control as a Service verwenden, finden Sie Informationen in Self-Service-Portal-Benutzerverwaltung konfigurieren (Seite 30). Detaillierte Informationen zur Registrierung und zur Benutzung von Apple VPP finden Sie unter http://www.apple.com/de/business/vpp/. Detaillierte Informationen, wie Sie VPP-Apps Benutzern oder Geräten zuweisen, finden Sie in VPP-Apps manuell zuweisen (Seite 140).
15.4.1 VPP sToken einrichten Um in Sophos Mobile Control Lizenzen für Apps bereitzustellen, die Sie über das Apple-Programm für Volumenlizenzen (VPP) erworben haben, müssen Sie in der Web-Konsole ein sToken (Service-Token) einrichten. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen > Systemeinstellungen. 2. Klicken Sie auf der Seite Systemeinstellungen auf die Registerkarte Apple VPP. 3. Klicken Sie auf den Link Apple iTunes VPP Portal. Dies öffnet das Apple-VPP-Webportal in einem neuen Browser-Fenster. 4. Wählen Sie auf dieser Webseite den Punkt Unternehmen aus. 5. Geben Sie im Dialog Store für Unternehmen: Anmeldung Ihre Apple-ID und Ihr Kennwort ein. 6. Navigieren Sie zu der Seite Account Summary und klicken Sie auf Download Token. Das sToken wird generiert und, abhängig von den Download-Einstellungen Ihres Web-Browsers, auf Ihrem lokalen Computer in einer Textdatei mit Endung .vpptoken gespeichert. 7. Verschieben Sie bei Bedarf die sToken-Datei an einen Ort, auf den Sie von der Sophos Mobile Control Web-Konsole aus zugreifen können. 8. Gehen Sie in der Sophos Mobile Control Web-Konsole zurück zu der Registerkarte Apple VPP, klicken Sie auf Datei hochladen, wählen Sie die sToken-Datei aus und klicken Sie anschließend auf Öffnen. Sophos Mobile Control liest die Datei ein und füllt die Felder Organisation und Ablaufdatum mit den Angaben aus dem sToken.
137
Sophos Mobile Control
9. In der Liste VPP-Apps automatisch bei der Installation zuweisen können Sie die automatische Zuweisung von VPP-Apps konfigurieren. Siehe VPP-Apps automatisch zuweisen (Seite 140). 10. Füllen Sie bei Bedarf die weiteren Felder auf der Registerkarte Apple VPP aus. Im Feld Country (Land) geben Sie Ihren zweistelligen Landescode ein, zum Beispiel DE für Deutschland. 11. Klicken Sie auf Speichern. Hinweis: Zur Benachrichtigung über den bevorstehenden Ablauf des sToken sendet Sophos Mobile Control mehrere E-Mail-Erinnerungen an alle Administratoren, beginnend 30 Tage vor dem Ablaufdatum.
15.4.2 Benutzer zu Apple VPP einladen Bevor Sie Benutzer zum Apple-Programm für Volumenlizenzen (VPP) einladen können, müssen Sie ein sToken einrichten. Siehe VPP sToken einrichten (Seite 137). 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Benutzer. 2. Auf der Seite Benutzer anzeigen können Sie alle oder einzelne Benutzer zu Apple VPP einladen: ■
Um alle Benutzter einzuladen: 1. Klicken Sie oben auf der Seite Benutzer anzeigen auf Benutzer zu Apple VPP einladen. 2. Klicken Sie im Bestätigungsdialog auf Ja.
■
Um einen einzelnen Benutzer einzuladen: 1. Klicken Sie auf den gewünschten Benutzernamen. 2. Klicken Sie auf der Seite Benutzer anzeigen auf Benutzer zum VPP einladen. 3. Klicken Sie im Bestätigungsdialog auf Ja.
■
Um einen einzelnen Benutzer einzuladen, wenn Sie eine externe Benutzerverwaltung verwenden und der Benutzer noch keine Geräte registriert hat: 1. Klicken Sie oben auf der Seite Benutzer anzeigen auf Benutzer suchen und zu Apple VPP einladen. 2. Geben Sie im Dialog Benutzer suchen entweder einen Namen oder eine E-Mail-Adresse ein, um nach dem Benutzer zu suchen. 3. Wählen Sie in der Liste der Suchergebnisse den Benutzer aus, den Sie zu Apple VPP einladen wollen. 4. Klicken Sie auf Anwenden.
Sophos Mobile Control schickt eine Einladungs-E-Mail an alle betroffenen Benutzer. Die Benutzer müssen den Link aus der Einladungs-E-Mail verwenden, um ihr Apple-iTunes-Konto mit Apple VPP zu verknüpfen. Danach können sie die von Ihrem Unternehmen lizenzierten Apps installieren und verwenden. Hinweis: Wenn Sie ein externes Benutzerverzeichnis verwenden und alle Benutzer zu Apple VPP einladen, werden Benutzer, für die keine E-Mail-Adresse hinterlegt ist, zwar für Apple VPP registriert. Sie erhalten aber nicht den Link, mit dem sie ihr Apple-iTunes-Konto mit Apple VPP verknüpfen können.
138
Administratorhilfe
Information, wie Sie in diesem Fall den Registrierungsprozess für Apple VPP abschließen können, finden Sie in Benutzer ohne E-Mail-Adresse zu Apple VPP einladen (Seite 139).
15.4.3 Benutzer ohne E-Mail-Adresse zu Apple VPP einladen Voraussetzung: Diese Prozedur setzt ein Superadministrator-Konto voraus und gilt daher nicht für Sophos Mobile Control as a Service. Wenn Sie Benutzer aus einem externen Benutzerverzeichnis wie in Benutzer zu Apple VPP einladen (Seite 138) beschrieben zu Apple VPP einladen, werden Benutzer, für die keine E-Mail-Adresse hinterlegt ist, zwar für Apple VPP registriert. Sie erhalten aber nicht den Link, mit dem sie ihr Apple-iTunes-Konto mit Apple VPP verknüpfen können. Führen Sie in diesem Fall die folgenden Schritte aus, um die Apple-VPP-Registrierung abzuschließen. 1. Melden Sie sich als Sophos Mobile Control Superadministrator an und laden Sie die Logdateien des Servers herunter. Siehe das englischsprachige Dokument Sophos Mobile Control super administrator guide. 2. Ermitteln Sie anhand der Logdateien die betroffenen Benutzerkonten. 3. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste der Sophos Mobile Control Web-Konsole auf Benutzer. 4. Klicken sie auf der Seite Benutzer anzeigen auf den Namen eines der betroffenen Benutzer. 5. Klicken Sie auf der Seite Benutzer anzeigen auf Einladungslink anzeigen. Bei externen Benutzern ohne E-Mail-Adresse wird hierdurch keine Einladungs-E-Mail verschickt, sondern es wird der Einladungslink in einem Benachrichtigungsfenster angezeigt. 6. Teilen Sie diesen Link dem Benutzer mit. 7. Wiederholen Sie dies für alle betroffenen Benutzer. Die Benutzer müssen den Link verwenden, um ihr Apple-iTunes-Konto mit Apple VPP zu verknüpfen.
15.4.4 Apple-VPP-Benutzer verwalten Wenn Sie wie in VPP sToken einrichten (Seite 137) beschrieben ein Apple VPP sToken eingerichtet haben, enthält die Seite Benutzer anzeigen einen Abschnitt Apple Programm für Volumenlizenzen (VPP). In diesem Abschnitt können Sie die folgenden Aufgaben ausführen, um den VPP-Status eines Benutzers anzuzeigen oder zu bearbeiten: ■
Apple-VPP-Benutzerstatus anzeigen. Mögliche Werte sind: ■
Nicht registriert: Der Benutzer wurde noch nicht zu Apple VPP eingeladen.
■
Registriert: Der Benutzer wurde zu Apple VPP eingeladen, hat sein Apple-iTunes-Konto aber noch nicht mit Apple VPP verknüpft.
■
Verbunden: Der Benutzer hat sein Apple-iTunes-Konto mit Apple VPP verknüpft und kann VPP-Apps installieren.
■
Vom Benutzer installierte VPP-Apps anzeigen.
■
Den Benutzer zu Apple VPP einladen, indem Sie auf Benutzer zu VPP einladen klicken.
139
Sophos Mobile Control
In der Regel wird eine E-Mail mit einem Einladungslink an den Benutzer verschickt. Wenn im Benutzerkonto keine E-Mail-Adresse hinterlegt ist, wird der Einladungslink in einem Hinweisfenster angezeigt. ■
Eine erneute Einladungs-E-Mail verschicken, falls der Benutzer die initiale E-Mail nicht erhalten oder verloren hat, indem Sie auf Einladungs-E-Mail erneut senden klicken.
■
Die Registrierung des Benutzers zu Apple VPP aufheben, indem Sie auf VPP-Registrierung löschen klicken.
15.4.5 VPP-Apps automatisch zuweisen Standardmäßig werden Apps, die Sie über das Apple-Programm für Volumenlizenzen (VPP) erworben haben, automatisch dem Gerät zugewiesen, auf dem die App installiert wird. Wenn das Gerät die Zuweisung von VPP-Apps nicht unterstützt, wird die App dem Benutzer zugewiesen, der dem Gerät zugewiesen ist. Hinweis: Die Zuweisung von VPP-Apps unterstützen nur Geräte, die den Status Verwaltet haben und iOS 9 oder höher verwenden. Sie können diese Reihenfolge umkehren und Benutzerzuweisungen gegenüber Gerätezuweisungen bevorzugen. Sie können auch die automatische Zuweisung deaktivieren und VPP-Apps stattdessen manuell zuweisen. Siehe VPP-Apps manuell zuweisen (Seite 140). Die automatische Zuweisung von VPP-Apps wird pro Kunde konfiguriert. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen > Systemeinstellungen. 2. Klicken Sie auf der Seite Systemeinstellungen auf die Registerkarte Apple VPP. 3. Wählen Sie in der Liste VPP-Apps automatisch bei der Installation zuweisen die gewünschte Option aus: ■
■
■
Bevorzugt an Gerät: Sofern das Gerät dies unterstützt, wird die VPP-App dem Gerät zugewiesen. Andernfalls wird die App dem Benutzer zugewiesen, der dem Gerät zugewiesen ist. Falls kein Benutzer dem Gerät zugewiesen ist, schlägt die App-Zuweisung fehl. Bevorzugt an Benutzer: Sofern dem Gerät ein Benutzer zugewiesen ist, wird die VPP-App dem Benutzer zugewiesen. Andernfalls wird die App dem Gerät zugewiesen. Falls das Gerät keine Zuweisung von VPP-Apps unterstützt, schlägt die App-Zuweisung fehl. Deaktiviert: VPP-Apps werden nicht automatisch zugewiesen. Wenn Sie diese Option auswählen, müssen Sie VPP-Apps manuell zuweisen.
15.4.6 VPP-Apps manuell zuweisen Dieser Abschnitt beschreibt die manuelle Zuweisung einzelner VPP-Apps. Standardmäßig werden Apps, die Sie über das Apple-Programm für Volumenlizenzen (VPP) erworben haben, automatisch dem Gerät zugewiesen, auf dem die App installiert wird. Siehe VPP-Apps automatisch zuweisen (Seite 140). Sie können Apps, die Sie über das Apple-Programm für Volumenlizenzen (VPP) erworben haben, Benutzern oder Geräten zuweisen. Nachdem Sie eine VPP-App einem Benutzer zugewiesen haben, der mit Apple VPP verbundenen ist, kann dieser die App auf allen iOS-Geräten installieren, die mit seiner Apple-ID verbunden sind. Nachdem Sie eine VPP-App einem Gerät zugewiesen haben, können Sie Sophos Mobile Control verwenden, um die App auf dieses Gerät zu übertragen.
140
Administratorhilfe
So weisen Sie eine VPP-App Benutzern oder Geräten zu: 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Apps > Apple iOS. Dies öffnet die Seite Apps, auf der alle Apps aufgelistet sind, die Sie zu Sophos Mobile Control hinzugefügt haben. 2. Um Apps hinzuzufügen, die Sie über Apple VPP erworben haben, klicken Sie auf VPP-Apps importieren. Hierdurch werden vom Apple-VPP-Server Informationen zu Ihren Apps abgerufen und, falls erforderlich, neue App-Einträge in Sophos Mobile Control erstellt. 3. Klicken Sie auf das blaue Dreieck neben der VPP-App, die Sie Benutzern oder Geräten zuweisen wollen, und klicken Sie anschließend auf Bearbeiten. 4. Klicken Sie auf der Seite iOS-Link bearbeiten auf Anzeigen neben der Option VPP-Lizenzen. Dies öffnet den Dialog VPP-Lizenzen. 5. Um die App einem oder mehreren Benutzern zuzuweisen, klicken Sie auf VPP-Benutzer und wählen Sie anschließend die gewünschten Benutzer aus. Die Liste enthält alle Benutzer mit dem VPP-Status Registriert oder Verbunden. 6. Um die App einem oder mehreren Geräten zuzuweisen, klicken Sie auf Geräte und wählen Sie anschließend die gewünschten Geräte aus. Die Liste enthält alle Geräte mit iOS 9 oder höher und dem Status Verwaltet. 7. Klicken Sie auf Anwenden, um die Änderungen zu bestätigen und den Dialog VPP-Lizenzen zu schließen. 8. Klicken Sie auf Speichern, um die Änderungen zu speichern und um die App-Zuweisung mit dem Apple-VPP-Server zu synchronisieren. Tipp: Um Änderungen, die Sie im Dialog VPP-Lizenzen gemacht haben, zu verwerfen, klicken Sie auf Anwenden, um den Dialog zu schließen, und klicken Sie anschließend auf Zurück, um die Seite iOS-Link bearbeiten zu verlassen, ohne die Änderungen in die Datenbank zu speichern. Zugewiesene App auf einem Gerät installieren: ■
Nachdem die App einem Benutzer zugewiesen ist, wird Sie auf allen seinen Geräten in der iTunes-Ansicht Einkäufe aufgeführt. Von dort kann der Benutzer die App installieren.
■
Nachdem die App einem Gerät zugewiesen ist, können Sie sie mit Sophos Mobile Control installieren. Siehe App installieren (Seite 135).
App-Zuweisung aufheben: ■
Öffnen Sie wie zuvor beschrieben den Dialog VPP-Lizenzen und deaktivieren Sie die Auswahl für die gewünschten Benutzer oder Geräte.
Hinweis: Da der Status von VPP-Apps durch den Apple-VPP-Server verwaltet wird, dauert es möglicherweise einige Zeit, bis Änderungen, die Sie in Sophos Mobile Control machen, auf den Geräten sichtbar werden.
15.5 VPN pro App und Einstellungen für iOS-Apps konfigurieren Für iOS-Apps können Sie zur Unterstützung der iOS Funktion Per App VPN ein VPN pro App auswählen. Mit diesem Feature lassen sich Apps so konfigurieren, dass sie beim Starten automatisch eine VPN-Verbindung herstellen. Sie können außerdem Einstellungen für die
141
Sophos Mobile Control
App konfigurieren, die auf dem Endbenutzergerät während der App-Installation bereitgestellt werden. Voraussetzungen: ■
Damit Sie ein VPN pro App auswählen können, muss eine VPN pro App-Konfiguration in einem iOS-Konfigurationsprofil in der Web-Konsole definiert sein Siehe Profile und Richtlinien für iOS erstellen (Seite 78) und Verfügbare Konfigurationen für iOS-Profile (Seite 79).
■
Damit Sie Einstellungen definieren können, müssen Ihnen der erforderliche Parameter und der Parametertyp bekannt sein.
1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Apps und klicken Sie anschließend auf Apple iOS. 2. Klicken Sie auf der Seite Apps auf das blaue Dreieck neben der gewünschten App und klicken Sie anschließend auf Installieren. 3. Klicken Sie auf der Seite iOS-Link bearbeiten bzw. iOS-Paket bearbeiten auf Anzeigen neben dem Feld Einstellungen und VPN. 4. Wählen Sie auf der Seite Einstellungen und VPN bearbeiten die gewünschte Konfiguration aus der Liste VPN pro App aus, um zu definieren, mit welchem VPN sich die App verbinden soll. 5. Um Managed Einstellungen hinzuzufügen, klicken Sie auf Parameter anlegen. 6. Konfigurieren Sie im Dialog Konfigurationsparameter folgende Einstellungen: a) Geben Sie im Feld Parameter den erforderlichen Parameter ein, zum Beispiel SMC_URL. b) Geben Sie im Feld Wert den Parameterwert ein, zum Beispiel smc.sophos.com. c) Wählen Sie im Feld Typ den Parametertyp: String, Bool, Integer oder Real. d) Klicken Sie auf Anwenden. Die verwalteten Einstellungen werden auf der Seite Einstellungen und VPN bearbeiten angezeigt. 7. Klicken Sie auf der Seite Einstellungen und VPN bearbeiten auf Anwenden. 8. Klicken Sie auf Speichern. Das ausgewählte VPN pro App wird angewendet, wenn sich die App mit VPN verbindet. Die Einstellungen werden während der App-Installation auf das Endbenutzergerät übertragen.
142
Administratorhilfe
16 Mit App-Gruppen arbeiten In Sophos Mobile Control können Sie App-Gruppen erstellen, um Listen von Apps für Profile, Richtlinien und Compliance-Regeln zu definieren. App-Gruppen werden in den folgenden Bereichen verwendet: ■
In der Konfiguration App Protection von Android-Geräteprofilen.
■
In der Konfiguration App Control von Android-Geräteprofilen.
■
In der Konfiguration Einschränkungen von Android-Geräteprofilen, iOS-Geräteprofilen und KNOX-Container-Profilen.
■
In der Konfiguration App-Einschränkungen von Windows Mobile Richtlinien.
■
In Compliance-Regeln zur Angabe von Listen für erlaubte, unzulässige und erforderliche Apps.
16.1 App-Gruppe erstellen 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf App-Gruppen und wählen Sie anschließend die Plattform aus, für die Sie eine Gruppe anlegen wollen. 2. Klicken Sie auf der Seite App-Gruppen auf App-Gruppe erstellen. 3. Geben Sie auf der Seite App-Gruppe bearbeiten im Feld Name einen Namen für die neue App-Gruppe ein und klicken Sie anschließend auf App hinzufügen. 4. Im Dialogfeld App bearbeiten können Sie entweder eine App aus einer Liste auswählen, oder benutzerdefinierte App-Daten eingeben. ■
■
Um eine App aus einer Liste auszuwählen, klicken Sie auf App-Liste und wählen Sie anschließend eine App aus der Liste aller Apps aus, die auf den Geräten installiert sind, die für die ausgewählte Plattform verwaltet werden. Um benutzerdefinierte App-Daten für eine Android-App einzugeben, klicken Sie auf Benutzerdefiniert und konfigurieren Sie anschließend folgende Informationen: ■
■
■
Name: Ein beliebiger Name, um die App identifizieren zu können. Kennung: Der Paketname der App. Sie können den Paketnamen anhand der URL der App in Google Play ermitteln. Zum Beispiel hat die Android-App Sophos Mobile Control im deutschen Google Play Store die URL https://play.google.com/store/apps/details?id=com.sophos.mobilecontrol.client.android&hl=de und der Paketname lautet com.sophos.mobilecontrol.client.android.
Um benutzerdefinierte App-Daten für eine iOS-App einzugeben, klicken Sie auf Benutzerdefiniert und konfigurieren Sie anschließend folgende Informationen: ■
Name: Ein beliebiger Name, um die App identifizieren zu können.
■
Kennung: Die interne Kennung der App.
143
Sophos Mobile Control
■
Um benutzerdefinierte App-Daten für eine Windows-Mobile-App einzugeben, klicken Sie auf Benutzerdefiniert und konfigurieren Sie anschließend folgende Informationen: ■
■
■
Name: Ein beliebiger Name, um die App identifizieren zu können. Link: Die URL der App im Windows Store. Zum Beispiel hat die Windows-App Sophos Mobile Control im Windows Store die URL https://www.microsoft.com/de-de/store/apps/mobile-control/9nblggh0g04v. GUID: Falls Sie die GUID der App kennen, können Sie diese anstatt des Links eingeben. Andernfalls lassen Sie dieses Feld leer.
5. Nachdem Sie eine App aus der Liste ausgewählt haben oder benutzerdefinierte App-Daten eingegeben haben, klicken Sie auf Hinzufügen, um sie zu der App-Gruppe hinzuzufügen. 6. Fügen Sie bei Bedarf weitere Apps zu der App-Gruppe hinzu. 7. Wenn Sie fertig sind, klicken Sie auf Speichern, um die App-Gruppe zu speichern.
16.2 App-Gruppe importieren Sie können eine App-Gruppe erstellen, indem Sie die Daten von bis zu 10.000 Apps aus einer UTF-8-kodierte CSV-Datei importieren. Hinweis: Verwenden Sie einen Text-Editor, um die CSV-Datei zu bearbeiten. Wenn Sie Microsoft Excel verwenden, werden die eingegebenen Werte u. U. nicht korrekt aufgelöst. Achten Sie beim Speichern darauf, dass die Datei die Endung .csv besitzt. Tipp: Auf der Seite Apps importieren steht eine Musterdatei mit den korrekten Spaltennamen und der richtigen Spaltenreihenfolge zum Download zur Verfügung. So importieren Sie Apps aus einer CSV-Datei und fügen sie einer App-Gruppe hinzu: 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf App-Gruppen und wählen Sie anschließend die Plattform aus, für die Sie eine Gruppe anlegen wollen. 2. Klicken Sie auf der Seite App-Gruppen auf App-Gruppe erstellen. 3. Geben Sie auf der Seite App-Gruppe bearbeiten im Feld Name einen Namen für die neue App-Gruppe ein und klicken Sie anschließend auf App importieren. 4. Klicken Sie auf der Seite Apps importieren auf Datei hochladen und navigieren Sie anschließend zu der vorbereiteten CSV-Datei. Die Einträge werden aus der Datei eingelesen und angezeigt. 5. Wenn die Daten nicht korrekt oder inkonsistent formatiert sind, kann die gesamte Datei nicht importiert werden. Beachten Sie in diesem Fall die Fehlermeldungen, die neben den betroffenen Einträgen angezeigt werden, korrigieren Sie die CSV-Datei und laden Sie sie erneut hoch. 6. Klicken Sie auf Fertigstellen, um die Apps zu der App-Gruppe hinzuzufügen. 7. Klicken Sie auf der Seite App-Gruppe bearbeiten auf Speichern.
144
Administratorhilfe
17 Unternehmensdokumente verteilen Hinweis: Um diese Funktion zu nutzen, benötigen Sie eine SMC-Advanced-Lizenz für die Verwaltung der App Sophos Secure Workspace. In der Sophos Mobile Control Web-Konsole können Sie Dateien hochladen, damit diese an die Geräte Ihrer Benutzer verteilt werden. ■
In der Sophos Mobile Control Web-Konsole verwaltete Dokumente werden automatisch dem Unternehmensdokumente-Store von Sophos Secure Workspace hinzugefügt.
■
Im Unternehmensdokumente-Store auf dem Gerät wird die Kategorie, die für jedes Dokument definiert werden kann, als Ordner angezeigt.
■
Wenn Sophos Secure Workspace nicht von Sophos Mobile Control verwaltet wird, ist der Unternehmensdokumente-Store nicht sichtbar.
■
Auf Dokumente in Unternehmensdokumente besteht nur Lesezugriff. Diese können in Sophos Secure Workspace nicht bearbeitet und erneut hochgeladen werden.
So verteilen Sie Unternehmensdokumente: 1. Installieren Sie die App Sophos Secure Workspace auf Ihrem Gerät. Siehe Mit Apps arbeiten (Seite 134). 2. Ordnen Sie eine Sophos-Container-Richtlinie mit einer Konfiguration Corporate Documents zu. 3. Fügen Sie Dokumente in der Sophos Mobile Control Web-Konsole hinzu.
17.1 Unternehmensdokumente hinzufügen So verteilen Sie Dokumente an Geräte: 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Dokumente. Die Seite Dokumente wird angezeigt. 2. Klicken Sie auf Dokument hinzufügen. Die Seite Dokument bearbeiten wird angezeigt. 3. Geben Sie eine Kategorie für das Dokument ein. ■
Die Kategorie ist der Name des Ordners, in dem das Dokument im Unternehmensdokumente-Store auf dem Gerät angezeigt wird.
■
Es können mehrere Dateien derselben Kategorie zugewiesen sein.
■
Wenn Sie dieses Feld leer lassen, wird die Datei im Root-Ordner von Unternehmensdokumente angezeigt.
145
Sophos Mobile Control
4. Legen Sie die Einstellungen für das Dokument fest: ■
Aktivieren Sie In die Zwischenablage kopieren, um Benutzern zu erlauben, das Dokument in die Zwischenablage zu kopieren.
■
Aktivieren Sie Dokument teilen, um Benutzern zu erlauben, das Dokument zu teilen.
■
Aktivieren Sie Dokument offline verwenden, um Benutzern zu erlauben, einen Favorit für das Dokument zu erstellen. Wenn ein Klartext-Dokument aus Unternehmensdokumente als Favorit markiert ist, wird es verschlüsselt in der Sophos Secure Workspace App gespeichert. Wenn das Teilen des Dokuments erlaubt ist, wird die verschlüsselte Favoriten-Datei automatisch entschlüsselt, bevor sie an andere Apps weitergeleitet wird. Wenn Sie die Optionen in der Sophos Mobile Control Web-Konsole deaktivieren und Benutzer bereits über Offline-Kopien verfügen, wird die in den Secure Workspace Favoriten auf den verwalteten Geräten gespeicherte Datei automatisch bei der nächsten Synchronisierung entfernt.
5. Klicken Sie auf Anzeigen neben Zugewiesene Gruppen und wählen Sie die Gruppe aus, die Zugriff auf das Dokument haben soll. 6. Fügen Sie eine Beschreibung für das Dokument hinzu. 7. Klicken Sie auf Datei hochladen und navigieren Sie zu dem Dokument. Wählen Sie es aus und klicken Sie auf Öffnen. Die Dateigröße des Dokuments darf einen festgelegten Wert nicht übersteigen. Bei lokalen Installation wird dieser Wert von Ihrem Superadministrator festgelegt. Bei Sophos Mobile Control as a Service beträgt der Wert 5 MB pro Dokument. 8. Wiederholen Sie diesen Schritt für alle Dokumente, die Sie verteilen möchten. Das Dokument wird der Dokumentenliste hinzugefügt. Es wird an die Benutzer verteilt, die es sich in der Sophos Secure Workspace App anschauen können.
146
Administratorhilfe
18 Geräte verwalten In der Menüleiste können Sie unter VERWALTUNG > Geräte und Gerätegruppen Geräte und Gerätegruppen verwalten und eine Reihe von administrativen Aufgaben ausführen. Nachdem Sie Geräte zu Sophos Mobile Control hinzugefügt haben, können Sie zum Beispiel: ■
Gerätedetails anzeigen und bearbeiten.
■
E-Mail-Zugriff für Geräte erlauben oder verbieten.
■
Geräte per Fernzugriff sperren oder entsperren.
■
Passcodes und Kennwörter von Geräten zurücksetzen.
■
Geräte bei Verlust oder Diebstahl per Fernzugriff in den Auslieferungszustand zurücksetzen.
■
Geräte deregistrieren (Android und iOS).
■
Geräte löschen.
18.1 Geräte anzeigen 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. Die Seite Geräte wird angezeigt. Diese zeigt alle Geräte, die für diesen Kunden bei Sophos Mobile Control registriert sind, 2. Klicken Sie auf den Namen des gewünschten Gerätes. Die Seite Gerät anzeigen für das ausgewählte Gerät wird angezeigt.
18.1.1 Die Seite „Gerät anzeigen“ Auf der Seite Gerät anzeigen werden alle relevanten Informationen für ein einzelnes Gerät angezeigt. Im oberen Teil der Seite können Sie auf einen Blick die wichtigsten Geräteinformationen sehen. Im unteren Teil der Seite werden in mehreren Registerkarten detaillierte Geräteinformationen angezeigt. Die angezeigten Registerkarten und Informationen hängen von der Geräteplattform ab. ■
Profile (Android, iOS) Zeigt die auf dem Gerät installierten Profile an. Auf dieser Registerkarte steht die Schaltfläche Profil installieren zur Verfügung, um ein Profil auf einem Gerät zu installieren. Sie können auch Profile vom Gerät entfernen, indem Sie auf das Löschen Symbol neben dem relevanten Profil klicken. In dieser Registerkarte werden auch Provisionierungsprofile aufgelistet.
■
Richtlinien Zeigt die dem Gerät zugewiesenen Richtlinien an. Auf dieser Registerkarte steht die Schaltfläche Richtlinie zuweisen zur Verfügung, um eine Richtlinie einem Gerät zuzuweisen.
147
Sophos Mobile Control
■
Geräteeigenschaften Zeigt die Geräteeigenschaften wie z. B. Eigenschaften für Modell, Modellname oder Betriebssystemversion an. Bei Android-Geräten werden Smartphones im Root-Zustand ermittelt und die relevante Eigenschaft wird angezeigt. Bei iOS-Geräten werden Smartphones im Jailbroken-Zustand ermittelt. Die relevante Eigenschaft wird in der Ansicht angezeigt.
■
Eigene Eigenschaften Zeigt benutzerdefinierte Geräteeigenschaften an. Dies sind die Eigenschaften, die Sie selbst anlegen können. Benutzerdefinierte Geräteeigenschaften können zum Beispiel in Platzhaltern verwendet werden, wenn kein Active Directory zur Verfügung steht. Wenn Sie ein Gerät bearbeiten, können Sie hier auch benutzerspezifische Informationen hinzufügen.
■
Interne Eigenschaften Zeigt interne Geräteeigenschaften, z. B. die IMEI, oder ob Active-Sync-Datenverkehr erlaubt ist.
■
Compliance-Verletzungen Diese Registerkarte wird nur für Geräte angezeigt, die nicht den Compliance-Richtlinien entsprechen. Sie zeigt die Compliance-Verletzungen des Gerätes und die deshalb ausgeführten Maßnahmen. Diese Maßnahmen werden bei der Konfiguration von Compliance-Regeln festgelegt. Siehe Compliance-Richtlinien erstellen (Seite 41).
■
Installierte Apps (Android, iOS) Zeigt die auf dem Gerät installierte Software. Für iOS-Geräte werden in der Spalte Verwaltet auf der Registerkarte Installierte Apps die verwalteten Apps angezeigt. Mit Sophos Mobile Control können Sie solche Apps auf iOS-Geräte übertragen und sie auch stillschweigend, d.h. ohne Benutzerinteraktion, wieder entfernen. Für Android-Geräte unterscheidet Sophos Mobile Control zwischen System-Apps und Apps, die der Benutzer auf dem Gerät installiert hat. Für Android-Geräte wird das Datenvolumen, das von den einzelnen Apps benutzt wird, angezeigt. Für iOS-Geräte wird der Speicherplatz angezeigt, den eine App nach der Installation benötigt. Außerdem wird der möglicherweise zusätzlich benötigte Speicherplatz angezeigt. Dieser Speicherplatz ist gegebenenfalls für Downloads, Konfigurationen, Einstellungen usw. erforderlich. Auf dieser Registerkarte steht oben links in der Ecke die Schaltfläche Software installieren zur Verfügung. Mit dieser Schaltfläche können Sie Software auf dem Gerät installieren. Sie können auch verwaltete Apps von iOS-Geräten entfernen, indem Sie auf das Löschen Symbol neben der relevanten App klicken.
■
System-Apps (Android) Zeigt die Android-System-Apps auf dem Gerät an. Hinweis: System-Apps können nicht vom Gerät entfernt werden.
■
148
KNOX-Apps (Android)
Administratorhilfe
Diese Registerkarte enthält die Apps, die vom Benutzer im KNOX-Container installiert wurden. ■
KNOX-System-Apps (Android) Diese Registerkarte enthält die System-Apps, die im KNOX-Container installiert sind.
■
Scan-Ergebnisse (Android) Diese Registerkarte ist nur dann verfügbar, wenn für den Kunden, bei dem Sie angemeldet sind, die Sophos Mobile Security-Funktionalität zur Verfügung steht. Die Registerkarte zeigt die Ergebnisse des letzten Sophos Mobile Security Scan-Vorgangs auf dem Gerät. Sophos Mobile Security ist eine Sicherheits-App für Android-Geräte, die Geräte vor schädlichen Apps schützt und Endbenutzer beim Erkennen von App-Berechtigungen unterstützt, die möglicherweise ein Sicherheitsrisiko darstellen. Die App kann von der Sophos Mobile Control Web-Konsole verwaltet werden. Für weitere Informationen siehe Sophos Mobile Security mit Sophos Mobile Control verwalten (Seite 169).
■
Zertifikate Zeigt die auf dem Gerät benutzten Zertifikate an.
■
Aufträge Diese Registerkarte zeigt alle noch nicht abgeschlossenen und fehlgeschlagenen Aufträge sowie die abgeschlossenen Aufträge der letzten Tage an. Diese Aufträge werden Ihnen auch auf der Seite Auftragsstatus angezeigt, zusammen mit den Aufträgen aller anderen Geräte. Siehe Aufträge überwachen (Seite 15).
Von der Seite Gerät anzeigen können Sie direkt auf die Seite Gerät bearbeiten wechseln. Um das angezeigte Gerät zu bearbeiten, klicken Sie auf Bearbeiten.
18.1.2 Erweiterten Gerätefilter verwenden Mit dem erweiterten Gerätefilter können Sie die Gerätelisten nach Ihren Anforderungen filtern. So wenden Sie den Gerätefilter an: 1. Klicken Sie auf der Seite Geräte auf die Schaltfläche Erweiterter Filter (Lupensymbol) im Kopfbereich der Web-Konsole. Der Dialog Gerätefilter: Filter ist nicht aktive wird angezeigt. 2. Legen Sie die Filterkriterien fest. 3. Wenn Sie die erforderlichen Kriterien ausgewählt haben, klicken Sie auf Filtern. Der Filter wird aktiviert und die Geräteliste wird neu geladen. Das Lupensymbol im Header der Web-Konsole ändert seine Farbe von Blau zu Grün. Dadurch wird angezeigt, dass der Filter aktiv ist. Um den Filter aufzuheben, klicken Sie erneut auf Erweiterter Filter und dann im Filterdialog auf Aufheben. Hinweis: Denken Sie daran, Filter manuell wieder aufzuheben, wenn sie nicht mehr benötigt werden. Andernfalls enthalten Listen oder Berichte unter Umständen nicht die erwarteten Ergebnisse.
149
Sophos Mobile Control
18.2 Geräte bearbeiten 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. Die Seite Geräte wird angezeigt. Diese zeigt alle Geräte, die für diesen Kunden bei Sophos Mobile Control registriert sind, 2. Klicken Sie auf das blaue Dreieck neben dem gewünschten Gerät und dann auf Bearbeiten. Die Seite Gerät bearbeiten für das ausgewählte Gerät wird angezeigt. 3. Nehmen Sie die notwendigen Änderungen vor (zum Beispiel Installation oder Entfernen von Software auf der Registerkarte Installierte Apps). Klicken Sie anschließend auf Speichern. Ihre Änderungen werden auf das bearbeitete Gerät angewendet. Hinweis: An Eigenschaften vorgenommene Änderungen treten erst in Kraft, nachdem Sie auf Speichern geklickt haben. Wenn Sie die vorgenommenen Änderungen nicht speichern, haben sie keinerlei Auswirkungen.
18.2.1 Benutzer einem Gerät zuweisen 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. 2. Klicken Sie auf der Seite Geräte auf das blaue Dreieck neben dem gewünschten Gerät und dann auf Bearbeiten. 3. Klicken Sie auf der Seite Gerät bearbeiten auf das Symbol Benutzerzuweisung bearbeiten neben dem Feld Benutzer und klicken Sie anschließend auf den gewünschten Eintrag in der Auswahlliste: ■
■
Um einem Gerät ohne Benutzerzuweisung einen Benutzer zuzuweisen, klicken Sie auf Gerät einem Benutzer zuweisen, Um einem Gerät mit bestehender Benutzerzuweisung einen anderen Benutzer zuzuweisen, klicken Sie auf Gerät einem anderen Benutzer zuweisen.
4. Geben Sie im Schritt Suchparameter für Benutzer eingeben des Zuweisungsdialogs einen oder mehrere Suchparameter ein, um die im nächsten Schritt angezeigte Liste der Benutzer zu filtern. Geben Sie zum Beispiel einen Namen oder Teilnamen ein. Die verfügbaren Suchparameter hängen davon ab, ob Sie für die Benutzerverwaltung ein internes oder ein externes Benutzerverzeichnis verwenden. 5. Wählen Sie im Schritt Benutzer auswählen den gewünschten Benutzer aus und klicken Sie anschließend auf Anwenden. 6. Klicken Sie auf der Seite Gerät bearbeiten auf Speichern.
18.2.2 Benutzerzuweisung für ein Gerät aufheben 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. 2. Klicken Sie auf der Seite Geräte auf das blaue Dreieck neben dem gewünschten Gerät und dann auf Bearbeiten. 3. Klicken Sie auf der Seite Gerät bearbeiten auf das Symbol Benutzerzuweisung bearbeiten neben dem Feld Benutzer und klicken sie anschließend auf Zuweisung des Benutzers zum Gerät aufheben. 4. Klicken Sie im Bestätigungsdialog auf Ja.
150
Administratorhilfe
5. Klicken Sie auf Speichern.
18.2.3 Benutzerdefinierte Geräteeigenschaften Sie können für einzelne Geräte benutzerdefinierte Eigenschaften festlegen. Wenn Sie eine Eigenschaft Meine Eigenschaft festlegen, können Sie in Profilen und Richtlinien den Platzhalter %_DEVPROP(Meine Eigenschaft)_% verwenden, um den Wert der Eigenschaft zu referenzieren. Mit einer benutzerdefinierten Geräteeigenschaft können Sie zum Beispiel den Benutzer referenzieren, der dem Gerät zugewiesen ist. Einzelheiten finden Sie in Platzhalter in Profilen und Richtlinien (Seite 127). Hinweis: ■
Sie können keine benutzerdefinierte Geräteeigenschaft mit dem gleichen Namen wie eine Standard-Geräteeigenschaft erstellen.
■
Wenn Sie ein Gerät wie in Gerät duplizieren (Seite 50) beschrieben duplizieren, besitzt das neue Gerät dieselben benutzerdefinierten Eigenschaften wie das Ausgangsgerät.
■
Neben den hier beschriebenen benutzerdefinierten Geräteeigenschaften können Sie auch benutzerdefinierte Kundeneigenschaften festlegen. Siehe Kundeneigenschaften definieren (Seite 23).
So definieren Sie eine benutzerdefinierte Geräteeigenschaft: 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen > Allgemein. Stellen Sie sicher, dass auf der Registerkarte Persönlich die Option Erweiterte Gerätedetails anzeigen aktiviert ist. 2. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. Die Seite Geräte wird angezeigt. Diese zeigt alle Geräte, die für diesen Kunden bei Sophos Mobile Control registriert sind. 3. Klicken Sie auf das blaue Dreieck neben dem gewünschten Gerät und dann auf Bearbeiten. 4. Wechseln Sie auf der Seite Gerät bearbeiten auf die Registerkarte Benutzerdefinierte Eigenschaften und klicken Sie auf Benutzerdefinierte Eigenschaft hinzufügen. 5. Geben Sie einen Namen und einen Wert für die neue benutzerdefinierte Geräteeigenschaft ein. 6. Klicken Sie auf Anwenden, um die Eigenschaft zu erstellen. 7. Klicken Sie auf Speichern, um die Änderungen für das Gerät zu speichern.
18.2.4 Netzwerkzugriff konfigurieren Damit Sie den Netzwerkzugriff für ein Gerät konfigurieren können, muss Network Access Control (NAC) in Sophos Mobile Control aktiviert werden. Bei lokalen Installation wird NAC vom Superadministrator aktiviert. Siehe das englischsprachige Dokument Sophos Mobile Control super administrator guide. Bei Sophos Mobile Control as a Service ist NAC immer aktiviert. Sie können den Netzwerkzugriff für ein Gerät auf zwei Arten konfigurieren: 1. Netzwerkzugriff immer erlauben oder sperren. 2. Netzwerkzugriff grundsätzlich erlauben, aber sperren, wenn das Gerät nicht richtlinienkonform ist.
151
Sophos Mobile Control
Hinweis: Sophos Mobile Control schränkt den Netzwerkzugriff nicht selbst ein. Stattdessen stellt es einen Status Netzwerk verbieten zur Verfügung, der von einer externen NAC-Software wie zum Beispiel Sophos UTM verwendet werden kann, um die Netzwerkkommunikation zu blockieren. So konfigurieren Sie den Netzwerkzugriff für ein Gerät: 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. 2. Wählen Sie auf der Seite Geräte die Geräte aus, für die Sie den Netzwerkzugriffsmodus einstellen wollen. 3. Klicken Sie auf Aktionen und anschließend auf Netzwerkzugriff. 4. Wählen Sie den Netzwerkzugriffsmodus aus: ■ ■ ■
Erlauben: Netzwerkzugriff ist für die ausgewählten Geräte erlaubt. Sperren: Netzwerkzugriff ist für die ausgewählten Geräte gesperrt. Automatischer Modus: Netzwerkzugriff für die ausgewählten Geräte wird durch den Compliance-Status der Geräte festgelegt.
5. Klicken Sie auf Ja, um die Änderungen zu speichern. Informationen, wie Sie den Netzwerkzugriff in Compliance-Richtlinien konfigurieren, finden Sie in Compliance-Richtlinien erstellen (Seite 41).
18.3 Geräte über die Sophos Mobile Control Web-Konsole registrieren Nachdem Sie in der Web-Konsole neue Geräte hinzugefügt haben, müssen diese bei Sophos Mobile Control registriert werden. Die Web-Konsole bietet folgende Möglichkeiten: ■
Sie können einzelne, nicht verwaltete Geräte mit der Funktion Geräte registrieren. Weitere Informationen finden Sie unter Einzelne Geräte registrieren (Seite 153).
■
Sie können den Geräteregistrierungs-Assistent verwenden, um ein Gerät zu Sophos Mobile Control hinzuzufügen, es einem Benutzer zuzuweisen, es zu registrieren, und ein Registrierungs-Auftragspaket zu übertragen. Siehe Mit dem Geräteregistrierungs-Assistent neue Geräte zuweisen und registrieren (Seite 153). Hinweis: Bei Bedarf können Sie den Geräteregistrierungs-Assistenten oder die Methode der automatischen Registrierung verwenden, um iOS-Geräte zu registrieren, auf denen keine Apple-ID eingerichtet ist. Dies ist zum Beispiel nützlich, um ein Gerät vor der Übergabe an einen Endbenutzer vorzukonfigurieren. See iOS-Geräte ohne Apple-ID registrieren (Seite 155).
Für eine effiziente Registrierung und Konfiguration mehrerer Geräte empfehlen wir folgende Methoden:
152
■
Sie können die Aufträge zusammenfassen, die erforderlich sind, Geräte zu registrieren, erforderliche Richtlinien zuzuweisen und Apps zu installieren (zum Beispiel verwaltete Apps im Falle von iOS-Geräten). Weitere Informationen finden Sie unter Mit Auftragspaketen arbeiten (Seite 131).
■
Sie können Geräte von ihren Endbenutzern im Self Service Portal registrieren lassen. Nehmen Sie hierzu bei der Konfiguration der Einstellungen für die Benutzung des Self Service Portal ein Auftragspaket für die Registrierung auf. Weitere Informationen dazu, wie Sie die für die Registrierung erforderlichen Auftragspakete erstellen, finden Sie in der Sophos Mobile Control Schnellstart-Anleitung bzw. in der Sophos Mobile Control as a Service Schnellstart-Anleitung. Für weitere Informationen zum Auswählen des Auftragspakets in den Self Service Portal Einstellungen siehe
Administratorhilfe
Self-Service-Portal-Einstellungen konfigurieren (Seite 26). Weitere Informationen zur Benutzung des Self Service Portal finden Sie in der Sophos Mobile Control Benutzerhilfe.
18.3.1 Einzelne Geräte registrieren 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. Die Seite Geräte wird angezeigt. 2. Wählen Sie das gewünschte Gerät aus, klicken Sie auf Aktionen und dann auf Einrichten. Hinweis: Sie können mehrere Geräte zum Einrichten auswählen. 3. Klicken Sie auf Ja, wenn Sie gefragt werden, ob Sie die ausgewählten Geräte einrichten möchten. Der Einrichtungsauftrag wird gestartet und auf der Seite Auftragsansicht angezeigt. Der Benutzer erhält eine E-Mail mit Anweisungen zur Installation der Sophos Mobile Control App auf dem Gerät.
18.3.2 Mit dem Geräteregistrierungs-Assistent neue Geräte zuweisen und registrieren Mit dem Geräteregistrierungs-Assistent können Sie auf einfache Art neue Geräte registrieren. Er führt Sie durch die folgenden Arbeitsschritte: ■
Neues Gerät zu Sophos Mobile Control hinzufügen.
■
Gerät einem Benutzer zuweisen (optional).
■
Gerät registrieren.
■
Übermitteln Sie ein Registrierungs-Auftragspaket an das Gerät (optional).
So starten Sie den Geräteregistrierungs-Assistent: 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte und klicken Sie anschließend auf Hinzufügen > Registrierungs-Assistent. Tipp: Alternativ können Sie den Geräteregistrierungs-Assistent auch starten, indem Sie im Dashboard auf das Widget Gerät hinzufügen klicken. 2. Auf der Seite Suchparameter für Benutzer eingeben können Sie entweder nach einem Benutzer suchen, dem das Gerät zugewiesen werden soll, oder die Benutzerzuweisung überspringen, um ein Gerät vorerst ohne Benutzerzuweisung zu registrieren. Klicken Sie auf Weiter, um fortzufahren. 3. Wenn Sie Suchparameter eingegeben haben, zeigt der Assistent eine Liste passender Benutzer an. Wählen Sie den gewünschten Benutzer aus und klicken Sie auf Weiter.
153
Sophos Mobile Control
4. Konfigurieren Sie auf der Seite Gerätedetails die folgenden Einstellungen: Option
Beschreibung
Plattform
Das Betriebssystem des Geräts. Sie können nur eine Plattform auswählen, die für den Kunden, an den Sie angemeldet sind, aktiviert ist.
Name
Ein eindeutiger Name, unter dem das Gerät in Sophos Mobile Control verwaltet werden soll.
Beschreibung
Eine optionale Beschreibung des Geräts.
Telefonnummer
Eine optionale Telefonnummer. Geben Sie die Telefonnummer in internationalem Format ein, zum Beispiel +491701234567.
E-Mail-Adresse
Die E-Mail-Adresse, an welche die Registrierungsanleitung gesendet wird.
Besitzer
Wählen Sie den Gerätebesitzer: entweder Firma oder Privat.
Gerätegruppe
Wählen Sie die Gerätegruppe, zu der das Gerät hinzugefügt werden soll. Wenn Sie noch keine Gerätegruppe erstellt haben, können Sie die Gerätegruppe Default wählen, die immer verfügbar ist.
Wenn Sie fertig sind, klicken Sie auf Weiter. 5. Wählen Sie auf der Seite Paketauswahl ein Auftragspaket, das nach der Registrierung an das Gerät übermittelt werden soll, oder wählen Sie aus, Nur Gerät registrieren, um das Gerät zu registrieren ohne ein Paket zu senden. Hinweis: Es werden nur Auftragspakete angezeigt, die einen Auftrag Registrierung enthalten. Wenn Sie fertig sind, klicken Sie auf Weiter. Damit wird das Gerät zu Sophos Mobile Control hinzugefügt. 6. Folgen Sie den Anweisungen auf der Seite Registrierung, um die App Sophos Mobile Control auf dem Gerät zu installieren und die Registrierung abzuschließen. 7. Wach dem erfolgreichen Abschluss der Registrierung klicken Sie auf Fertigstellen, um den Geräteregistrierungs-Assistent zu schließen. Hinweis: ■
■
■
154
Nachdem Sie alle Einstellungen vorgenommen haben, können Sie den Geräteregistrierungs-Assistent schließen, ohne darauf warten zu müssen, dass die Schaltfläche Fertigstellen erscheint. Ein Registrierungsauftrag wird erstellt und im Hintergrund ausgeführt. Wenn Sie ein Auftragspaket ausgewählt haben, dass nach der Registrierung auf das Gerät übertragen wird, können Sie auf der Seite Auftragsstatus den Auftragsstatus überwachen. Siehe Nicht abgeschlossene, fehlgeschlagene und zuletzt abgeschlossene Aufträge anzeigen (Seite 15). Wenn Sie konfiguriert haben, dass Sophos Mobile Control den Gerätenamen von iOS-Geräten mit dem Gerät synchronisiert (siehe Einstellungen für iOS konfigurieren (Seite
Administratorhilfe
22)), wird der Name, den Sie im Feld Name eingegeben haben, durch den auf dem Gerät konfigurierten Namen ersetzt.
18.3.3 iOS-Geräte ohne Apple-ID registrieren Sie können ein iOS-Gerät bei Sophos Mobile Control registrieren, auf dem noch keine Apple-ID eingerichtet ist. Dies ist zum Beispiel nützlich, um Geräte vor der Übergabe an einen Endbenutzer vorzukonfigurieren. Das Standard-Registrierungsverfahren beinhaltet die Installation der App Sophos Mobile Control auf dem Gerät. Da die App aus dem App Store installiert wird und für den Zugriff auf den App Store eine Apple-ID erforderlich ist, müssen Sie vor der Registrierung das Gerät mit einer Apple-ID verknüpfen. Alternativ können Sie ein iOS-Gerät auch registrieren, ohne die App Sophos Mobile Control zu installieren. In diesem Fall müssen Sie das Gerät nicht mit einer Apple-ID verknüpfen. Dies ist auf folgende Arten möglich: ■
Mit der automatischen Registrierung. Siehe iOS-Geräte automatisch registrieren (Seite 157).
■
Mit dem Geräteregistrierungs-Assistent. Siehe Mit dem Geräteregistrierungs-Assistent neue Geräte zuweisen und registrieren (Seite 153).
Gehen Sie im Geräteregistrierungs-Assistent folgendermaßen vor: 1. Wählen Sie auf der Seite Registrierung die Registerkarte Registrierung ohne Apple-ID aus. 2. Öffnen Sie im Web-Browser des Gerätes die Registrierungs-URL. Dies öffnet das Registrierungsformular von Sophos Mobile Control. 3. Geben Sie in diesem Formular das Token ein und klicken Sie anschließend auf Registrieren. 4. Folgen Sie den auf dem Gerät angezeigten Anweisungen, um das Registrierungs-Auftragspaket zu installieren.
18.4 Geräte deregistrieren Sie können durch Sophos Mobile Control verwaltete Android- und iOS-Geräte deregistrieren, wenn sie nicht mehr benutzt werden, z. B. wenn der Benutzer ein neues Gerät erhält. Dies ist zum Beispiel nützlich, wenn Sie die Anzahl an Geräten, die ein Benutzer über das Self Service Portal registrieren kann, begrenzt haben. 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. Die Seite Geräte wird angezeigt. Diese zeigt alle Geräte, die für diesen Kunden bei Sophos Mobile Control registriert sind, 2. Wählen Sie das gewünschte Gerät aus, klicken Sie auf Aktionen und klicken Sie anschließend auf Deregistrieren. Eine Meldung wird angezeigt, die Sie zur Bestätigung des Deregistrierungsvorgangs auffordert. Hinweis: Sie können mehrere Geräte auswählen, die deregistriert werden. 3. Klicken Sie auf Ja. Das Gerät wird deregistriert. Dadurch werden folgende Vorgänge ausgelöst:
155
Sophos Mobile Control
Android-Geräte: ■
Der Sophos Mobile Control Geräteadministrator wird deaktiviert.
■
Die Server-Anmeldedaten und alle weiteren erhaltenen Daten werden entfernt.
■
Die Container-Apps (Sophos Secure Workspace und Sophos Secure Email) sowie die App Sophos Mobile Security werden zurückgesetzt.
iOS-Geräte: ■
Alle Profile werden entfernt.
■
Alle verwalteten Apps werden entfernt.
■
Alle über Mobile Device Management erhaltenen Zertifikate werden entfernt.
■
Die Container-Apps (Sophos Secure Workspace und Sophos Secure Email) werden zurückgesetzt.
18.5 Gerätegruppen Gerätegruppen dienen zur Kategorisierung von Geräten. Sie können Geräte zu Gerätegruppen zuweisen, wenn Sie sie zum Sophos Mobile Control Device Management manuell oder über Import hinzufügen. Die Gerätegruppe für ein Gerät lässt sich durch Bearbeiten des Geräts ändern. Ein Gerät gehört jeweils immer exakt zu einer Gerätegruppe. Wir empfehlen, Geräte zu gruppieren. Da sich Aufträge auch für Gerätegruppen statt für Einzelgeräte ausführen lassen, können Sie Geräte so effizient verwalten. Hinweis: Wir empfehlen, nur Geräte mit demselben Betriebssystem zu gruppieren. Gruppen lassen sich dadurch leichter für Installationen und andere betriebssystemspezifische Aufgaben verwenden. Für weitere Informationen zum Erstellen von Gerätegruppen, siehe Gerätegruppen erstellen (Seite 156).
18.5.1 Gerätegruppen erstellen Wir empfehlen, Geräte zu gruppieren. Da sich Aufträge auch für Gerätegruppen statt für Einzelgeräte ausführen lassen, können Sie Geräte so effizient verwalten. Hinweis: Wir empfehlen, nur Geräte mit demselben Betriebssystem zu gruppieren. Gruppen lassen sich dadurch leichter für Installationen und andere betriebssystemspezifische Aufgaben verwenden. So erstellen Sie eine neue Gerätegruppe: 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Gerätegruppen und klicken Sie anschließend auf Gerätegruppe anlegen. 2. Geben Sie auf der Seite Gerätegruppe bearbeiten Name und Beschreibung für die neue Gerätegruppe ein. 3. Wählen Sie unter Compliance-Richtlinien in den Listen Firmengeräte und Privatgeräte die Compliance-Richtlinien aus, die angewendet werden sollen. 4. Klicken Sie auf Speichern. Hinweis: Die Einstellungen für die Gerätegruppen enthalten die Option Enable auto-enrollment. Mit dieser Option können Sie iOS-Geräte mit dem Apple Configurator bereitstellen.
156
Administratorhilfe
Die neue Gerätegruppe wird angelegt und auf der Seite Gerätegruppen angezeigt.
18.5.2 Gerätegruppen löschen 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Gerätegruppen. 2. Klicken Sie auf der Seite Gerätegruppen auf das blaue Dreieck neben der zu löschenden Gerätegruppe, und klicken Sie anschließend auf Löschen. 3. Wählen Sie im Bestätigungsdialog eine der verbleibenden Gerätegruppen aus, der die Geräte der aktuellen Gerätegruppe zugewiesen werden. Diese Auswahl ist nur verfügbar, wenn der aktuellen Gerätegruppe Geräte zugewiesen sind. 4. Klicken Sie auf Ja, um die Gerätegruppe zu löschen. Hinweis: Wenn nur eine Gerätegruppe vorhanden ist und dieser Geräte zugewiesen sind, können Sie die Gerätegruppe nicht löschen.
18.6 iOS-Geräte automatisch registrieren Sie können iOS-Geräte so konfigurieren, dass sie sich während der Geräteaktivierung automatisch bei Sophos Mobile Control registrieren. Dazu müssen Sie die Geräte mit Hilfe der Software Apple Configurator 2 dem MDM-Server von Sophos Mobile Control zuweisen. Wenn die Benutzer die Geräte erstmalig einschalten, startet der iOS-Einrichtungsassistent. Während der Einrichtung werden die Geräte automatisch bei Sophos Mobile Control registriert. Hinweis: Detaillierte Informationen zu Apple Configurator 2 finden Sie in der Apple Configurator 2 Hilfe. So konfigurieren Sie die automatische Registrierung von iOS-Geräten bei Sophos Mobile Control: 1. Zur Vorbereitung der automatischen Registrierung müssen Sie einmalig eine Gerätegruppe erstellen, die Geräten zugewiesen wird, die sich automatisch bei Sophos Mobile Control registrieren. Wählen Sie in den Eigenschaften der Gerätegruppe die Option Auto-Registrierung aktivieren aus. Siehe Gerätegruppen erstellen (Seite 156). 2. Notieren Sie sich die URL, die im Feld URL für Auto-Registrierung angezeigt wird. Sie benötigen diese URL bei der Konfiguration von Geräten mit Apple Configurator 2. 3. Verbinden Sie das iOS-Gerät, das Sie für die automatische Registrierung konfigurieren wollen, mit einem USB-Anschluss eines Mac-Rechners, auf dem Apple Configurator 2 installiert ist. 4. Verwenden Sie in Apple Configurator 2 den Vorbereitungsassistenten, um die Gerätekonfiguration einzurichten. 5. Wählen Sie Manuelle Registrierung aus und geben Sie anschließend die Registrierungs-URL der Gerätegruppe ein. 6. Folgen Sie den weiteren Schritten des Vorbereitungsassistenten. Optional können Sie folgende Bereiche der Geräteaktivierung konfigurieren: ■ ■ ■
■
Gerät als betreut definieren (Supervision mode). Computer festlegen, mit denen sich das Gerät per USB koppeln darf. Bei betreuten Geräten eine Betreuungsidentität (Supervision Identity) erstellen oder auswählen. Schritte des iOS-Einrichtungsassistenten deaktivieren.
157
Sophos Mobile Control
Nachdem Sie die Konfiguration abgeschlossen haben, übergeben Sie das Gerät an den Benutzer. Wenn der Benutzer das Gerät erstmalig einschalten, wird die iOS-Einrichtung und die Registrierung bei Sophos Mobile Control so durchgeführt, wie Sie es konfiguriert haben. Tipp: Standardmäßig verwaltet Sophos Mobile Control die automatisch registrierten Geräte unter einem Namen, der aus der Geräte-ID und dem Gerätetyp gebildet wird. Alternativ kann Sophos Mobile Control den Namen verwenden, der auf dem Gerät konfiguriert ist. Siehe die Option Gerätenamen synchronisieren in Einstellungen für iOS konfigurieren (Seite 22).
18.7 Mit Apple DEP erworbene Geräte verwalten Mit dem Apple-Programm zur Geräteregistrierung (Device Enrollment Program, kurz DEP) können Sie iOS-Geräte (und OS-X-Geräte) in größeren Mengen kaufen und in Ihrem Unternehmen bereitstellen. DEP vereinfacht mit folgenden Funktionen die Bereitstellung von Mobilgeräten: ■
Konfigurierbarer Aktivierungsprozess.
■
Drahtlose Aktivierung des Betreuungsmodus (Supervision mode).
■
Over-The-Air-Konfiguration.
■
Automatische Registrierung von iOS-Geräten bei Sophos Mobile Control während der Geräteaktivierung.
Tipp: Detaillierte Informationen zu DEP finden Sie auf der Apple-Website unter http://www.apple.com/de/business/programs/.
Vorbereitungsschritte Um die Verwaltung von DEP-Geräten mit Sophos Mobile Control einzurichten, führen Sie einmalig die folgenden Schritte aus: 1. Erstellen Sie im Apple-DEP-Web-Portal einen virtuellen MDM-Server und verknüpfen Sie diesen mit Sophos Mobile Control. Siehe Virtuellen MDM-Server einrichten (Seite 159). 2. Erstellen Sie in Sophos Mobile Control ein oder mehrere DEP-Profile, mit denen verschiedene, DEP-spezifische Geräteeigenschaften konfiguriert werden. Mit einem DEP-Profil können Sie außerdem den iOS-Einrichtungsassistenten anpassen, der nach dem ersten Einschalten eines Gerätes startet. Siehe DEP-Profil erstellen (Seite 160).
Bereitstellungsschritte Der typische Ablauf zur Bereitstellung gekaufter DEP-Geräte beinhaltet die folgenden Schritte: 1. Kaufen Sie die Geräte von Apple oder einem zugelassenen DEP-Händler. 2. Weisen Sie im Apple-DEP-Portal die Geräte dem Sophos Mobile Control MDM-Server zu. Informationen zu diesem und dem folgenden Schritt finden Sie in DEP-Geräte bereitstellen (Seite 163). 3. Weisen Sie an der Sophos Mobile Control Web-Konsole den Geräten ein DEP-Profil zu. 4. Verteilen Sie die Geräte an Ihre Benutzer. 5. Wenn die Benutzer die Geräte erstmalig einschalten, startet der angepasste iOS-Einrichtungsassistent. Während der Einrichtung werden die Geräte bei Sophos Mobile Control registriert und der Benutzer wird dem Gerät zugewiesen. 6. Bei Bedarf können Sie zusätzliche Auftragspakete auf die Geräte übertragen, um die Provisionierung zu vervollständigen.
158
Administratorhilfe
18.7.1 Virtuellen MDM-Server einrichten Voraussetzung: Dieser Vorgang setzt voraus, dass Sie sich bereits für das Apple-Programm zur Geräteregistrierung (DEP) registriert haben und ein Administratorkonto für das Apple-DEP-Webportal eingerichtet haben. Hinweis: Detaillierte Informationen zur DEP-Registrierung finden Sie auf der Apple-DEP-Website unter http://www.apple.com/de/business/programs/ oder in der Hilfe zu den Apple Bereitstellungsprogrammen. Tipp: Wenn Sie sich bereits für das Apple-Programm für Volumenlizenzen (VPP) registriert haben, können Sie dieselbe Apple-ID auch für DEP verwenden. Um Apple DEP mit Sophos Mobile Control verwenden zu können, müssen Sie im Apple-DEP-Webportal einen virtuellen MDM-Server erstellen und mit dem Sophos Mobile Control Server verknüpfen. Dies beinhaltet einen Verifizierungsprozess, um eine sichere Verbindung zwischen Sophos Mobile Control und dem Apple-DEP-Webservice herzustellen. So richten Sie einen virtuellen MDM-Server für Sophos Mobile Control ein: 1. Melden Sie sich an der Sophos Mobile Control Web-Konsole an. Verwenden Sie die Zugangsdaten eines Administrator für den Kunden, für den Sie DEP-Geräte verwalten wollen. 2. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen > Systemeinstellungen und klicken Sie anschließend auf die Registerkarte Apple DEP. 3. Klicken Sie auf Öffentlichen Schlüssel herunterladen, um den öffentlichen Schlüssel von Sophos Mobile Control für Apple DEP herunterzuladen. Die Datei wird abhängig von den Download-Einstellungen Ihres Web-Browsers auf Ihrem Rechner gespeichert. 4. Rufen Sie in einem Browser-Fenster das Apple-DEP-Webportal unter https://deploy.apple.com auf. Sie können hierzu den Link Apple-DEP-Webportal in Sophos Mobile Control klicken. 5. Melden Sie sich am Apple-DEP-Webportal mit der Apple-ID Ihres Unternehmens an. 6. Navigieren Sie zu Device Enrollment Program > Server verwalten und klicken Sie anschließend auf MDM-Server hinzufügen. 7. Geben Sie einen Namen für den MDM-Server ein, zum Beispiel Sophos Mobile Control. 8. Laden Sie im nächsten Schritt die Datei mit dem öffentlichen Schlüssel hoch, die Sie zuvor von Sophos Mobile Control heruntergeladen haben. 9. Laden Sie im nächsten Schritt das Server-Token herunter. Anschließend können Sie sich vom DEP-Portal abmelden. 10. Klicken Sie in Sophos Mobile Control auf der Registerkarte Apple DEP auf Datei hochladen und wählen Sie das Server-Token aus, das Sie vom Apple-DEP-Portal heruntergeladen haben. Die Details Ihres virtuellen MDM-Servers werden angezeigt. 11. Klicken Sie auf Speichern, um Ihre Änderungen zu speichern. Das DEP-Server-Token ist ein Jahr gültig. Zur Benachrichtigung über den bevorstehenden Ablauf des Tokens sendet Sophos Mobile Control mehrere E-Mail-Erinnerungen an alle Administratoren, beginnend 30 Tage vor dem Ablaufdatum. Wichtig: Wenn Sie im Apple-DEP-Webportal ein neues Server-Token erstellen, müssen Sie dieselbe Apple-ID verwenden, die Sie für die Erstausstellung des Tokens verwendet haben.
159
Sophos Mobile Control
18.7.2 DEP-Profil erstellen Bevor Sie DEP-Profile erstellen können, müssen Sie das Apple-Programm zur Geräteregistrierung (DEP) einrichten. Siehe Virtuellen MDM-Server einrichten (Seite 159). Ein DEP-Profil wird einem DEP-Gerät zugewiesen und vom Apple-Server während der Geräteaktivierung ausgewertet. Es enthält folgende Informationen: ■
Den MDM-Server (also Sophos Mobile Control), mit dem das Gerät verwaltet wird.
■
Konfigurationseinstellungen für die Registrierung bei Sophos Mobile Control.
■
Eine Liste der Host-Geräte, mit denen das Gerät gekoppelt werden darf.
■
Benutzerdefinierte Einstellungen für den iOS-Einrichtungsassistenten, der nach dem ersten Einschalten eines Gerätes startet.
Bei Bedarf können Sie mehrere DEP-Profile erstellen, um verschiedene Einrichtungs- und Konfigurations-Einstellungen für Ihre DEP-Geräte zu verwenden. So erstellen Sie ein DEP-Profil: 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen > Allgemein und klicken Sie anschließend auf die Registerkarte Apple-DEP-Profile. 2. Klicken Sie auf Hinzufügen. 3. Geben Sie im Dialog DEP-Profil bearbeiten einen Namen und optional eine Beschreibung für das DEP-Profil ein. 4. Optional können Sie in der Liste Gerätegruppe eine Gerätegruppe auswählen, die Geräten zugewiesen wird, wenn diese bei Sophos Mobile Control registriert werden. Informationen zu Gerätegruppen finden Sie in Gerätegruppen (Seite 156). Hinweis: Wir empfehlen, zur Vereinfachung der Geräteverwaltung eine eigene Gerätegruppe für DEP-Geräte zu verwenden.
160
Administratorhilfe
5. Auf der Registerkarte Registrierung können Sie folgende Einstellungen vornehmen: Option
Beschreibung
Gerät betreuen
Das Gerät ist betreut (Supervision mode).
Benutzer kann MDM-Profil entfernen
Der Benutzer kann das Sophos Mobile Control Registrierungsprofil über die iOS-Benutzeroberfläche entfernen. Diese Option kann nur für betreute Geräte deaktiviert werden.
SMC-App installieren
Die App Sophos Mobile Control wird auf dem Gerät installiert. Wenn Sie diese Option aktivieren, müssen Sie außerdem auf der Registerkarte iOS-Einrichtung die Option „Apple-ID“ überspringen deaktivieren. Dies stellt sicher, dass Sophos Mobile Control die App aus dem App Store installieren kann. Hinweis: Alternativ, falls Sie sich für das Apple-Programm für Volumenlizenzen (VPP) registriert haben, kann die App Sophos Mobile Control als VPP-App installiert werden, auch wenn das Gerät nicht mit einer Apple-ID verknüpft ist. Die Geräte müssen den Status Verwaltet haben und iOS 9 oder höher verwenden. Siehe VPP-Apps automatisch zuweisen (Seite 140).
Benutzer kann Zuweisung des Der Benutzer kann den Einrichtungsschritt überspringen, in dem MDM-Profils überspringen das Sophos Mobile Control Registrierungsprofil angewendet wird. Benutzer zuweisen
Während der Registrierung bei Sophos Mobile Control wird der Benutzer nach seinen Anmeldeinformationen für das Self Service Portal gefragt und anschließend dem Gerät zugewiesen. Mit dieser Option können Sie eine automatische Zuweisung des Benutzers zum Gerät vornehmen.
161
Sophos Mobile Control
6. Auf der Registerkarte iOS-Einrichtung können Sie Schritte des iOS-Einrichtungsassistenten deaktivieren, der nach dem ersten Einschalten eines Gerätes startet. Hinweis: Diese Einstellungen wirken sich nur auf die iOS-Einrichtung aus. Wenn Sie einen Konfigurationsschritt deaktivieren, kann der Benutzer trotzdem die jeweilige Einstellung nachträglich vornehmen. Um eine Funktion vollständig zu deaktivieren, verwenden Sie eine Konfiguration Einschränkungen. Siehe Einschränkungen (Seite 81). Option
Beschreibung
„Apps & Daten“ überspringen Der Einrichtungsschritt Apps & Daten wird nicht angezeigt. Der Benutzer kann keine Daten aus einem iCloud- oder iTunes-Backup wiederherstellen, oder Daten von einem Android-Gerät übertragen.
„Daten von Android übertragen“ deaktivieren
Im Einrichtungsschritt Apps & Daten ist die Option Daten von Android übertragen nicht verfügbar. Der Benutzer kann keine Daten von einem Android-Gerät übertragen. Sie können diese Option nur aktivieren, wenn Sie auch „Apps & Daten“ überspringen aktivieren.
„Diagnostics“ überspringen
Der Einrichtungsschritt Diagnostics wird nicht angezeigt. Die Übermittlung von Diagnose- und Nutzungsdaten an Apple ist deaktiviert.
„Ortungsdienste“ überspringen
Der Einrichtungsschritt Ortungsdienste wird nicht angezeigt. Der Benutzer kann keine Ortungsdienste aktivieren.
„Siri“ überspringen
Der Einrichtungsschritt Siri wird nicht angezeigt. Der Benutzer kann Siri nicht einrichten.
„Anzeigezoom“ überspringen Der Einrichtungsschritt Anzeigezoom wird nicht angezeigt. Der Benutzer kann die Bildschirmansicht nicht ändern.
162
„Apple-ID“ überspringen
Der Einrichtungsschritt Apple-ID wird nicht angezeigt. Der Benutzer kann sich nicht mit seiner Apple-ID an Apple-Diensten anmelden.
„Apple Pay“ überspringen
Der Einrichtungsschritt Apple Pay wird nicht angezeigt. Der Benutzer kann keine Kreditkarten- oder Guthabenkarten-Informationen für das Bezahlen mit Apple Pay in Stores oder Apps hinzufügen.
„Touch ID“ überspringen
Der Einrichtungsschritt Touch ID wird nicht angezeigt. Der Benutzer kann keinen Fingerabdruck als Passcode-Ersatz einrichten.
„Code erstellen“ überspringen
Der Einrichtungsschritt Code erstellen wird nicht angezeigt. Der Benutzer kann keinen Passcode zum Entsperren des Gerätes einrichten.
„Nutzungsbedingungen“ überspringen
Der Einrichtungsschritt Nutzungsbedingungen wird nicht angezeigt.
Administratorhilfe
7. Auf der Registerkarte Support-Informationen können Sie folgende Einstellungen vornehmen: Option
Beschreibung
Abteilung
Der Name der Abteilung oder des Standorts, der mit dem Profil verbunden ist. Dieser Name wird mit weiteren Informationen angezeigt, wenn der Benutzer während der Geräteeinrichtung auf Über Konfiguration klickt.
Telefonnummer
Die Support-Telefonnummer für Ihr Unternehmen. Das Feld ist mit der Telefonnummer aus den Kontaktdetails für technische Unterstützung vorausgefüllt. Siehe Kontaktdetails für technische Unterstützung konfigurieren (Seite 23). Hinweis: Die Telefonnummer wird im DEP-Profil gespeichert, ist aber nicht auf dem Gerät sichtbar.
E-Mail
Die Support-E-Mail-Adresse für Ihr Unternehmen. Das Feld ist mit der E-Mail-Adresse aus den Kontaktdetails für technische Unterstützung vorausgefüllt. Siehe Kontaktdetails für technische Unterstützung konfigurieren (Seite 23). Hinweis: Die E-Mail-Adresse wird im DEP-Profil gespeichert, ist aber nicht auf dem Gerät sichtbar.
8. Auf der Registerkarte USB-Kopplung legen Sie Computer fest, mit denen sich das Gerät per USB koppeln darf. Dies kann verwendet werden, um das Gerät mit iTunes zu synchronisieren oder es mit Apple Configurator zu verwalten. ■
■
Um USB-Verbindungen mit beliebigen Host-Computern zuzulassen, wählen Sie USB-Kopplung mit beliebigen Host-Computern erlauben aus. Um USB-Verbindungen zu verbieten oder auf bestimmte Computer zu beschränken, deaktivieren Sie USB-Kopplung mit beliebigen Host-Computern erlauben und laden Sie anschließend für jeden Computer, für den Sie die USB-Kopplung erlauben wollen, eine Zertifikatdatei hoch.
9. Nachdem Sie alle Registerkarten im Dialog DEP-Profil bearbeiten konfiguriert haben, klicken Sie auf Anwenden, um das DEP-Profil zu speichern. 10. Um das Profil allen neuen DEP-Geräten zuzuweisen, denen kein Profil manuell zugewiesen wurde, wählen Sie es in der Liste Standard-DEP-Profil für neue Geräte aus. Wenn Sie Keine auswählen, müssen Sie neuen DEP-Geräten ein DEP-Profil manuell zuweisen wie in DEP-Geräte bereitstellen (Seite 163) beschrieben. Andernfalls werden DEP-Geräte bei der Aktivierung nicht bei Sophos Mobile Control registriert. 11. Klicken Sie auf Speichern, um Ihre Änderungen zu speichern.
18.7.3 DEP-Geräte bereitstellen Führen Sie diesen Vorgang durch, um Ihre Geräte mit Apple DEP zu verbinden und bei Sophos Mobile Control zu registrieren.
163
Sophos Mobile Control
Sie können Geräte verwalten, die Sie entweder bei Apple oder bei einem zugelassenen DEP-Händler erworben haben. Bevor Sie Geräte mit Apple DEP verbinden können, müssen Sie den Händler am Apple-DEP-Portal einrichten. Hinweis: In der Regel führen Sie diesen Vorgang durch, bevor Sie die DEP-Geräte an Ihre Benutzer übergeben und diese die Geräte aktivieren und verwenden. Hinweis: Detaillierte Informationen zum Apple-DEP-Portal finden Sie in der Hilfe zu den Apple Bereitstellungsprogrammen. So ordnen Sie Ihre Geräte Sophos Mobil Control zu und ordnen ihnen ein DEP-Profil zu: 1. Geben Sie in Ihrem Web-Browser die URL https://deploy.apple.com ein, um das Webportal für die Apple-Bereitstellungsprogramme zu öffnen, und melden Sie sich anschließend mit der Apple-ID Ihres Unternehmens an. 2. Navigieren Sie zu Device Enrollment Program > Geräte verwalten. 3. Wählen Sie im Punkt Geräte auswählen nach Ihre neuen Geräte über die Seriennummer oder die Bestellnummer aus, oder laden Sie eine CSV-Datei mit den Seriennummern hoch. Hinweis: Falls Sie die Geräte bei einem Händler erworben haben, sind diese innerhalb von 24 Stunden, nachdem der Händler Ihre Bestellung an Apple übermittelt hat, im DEP-Portal verfügbar. 4. Wählen Sie im Punkt Aktion auswählen die Option Server zuweisen aus und wählen Sie anschließend den virtuellen MDM-Server aus, den Sie für Sophos Mobile Control eingerichtet haben, wie in Virtuellen MDM-Server einrichten (Seite 159) beschrieben. 5. Klicken Sie auf OK, um die Zuweisung auszuführen. Anschließend können Sie sich vom DEP-Portal abmelden. Wenn Sie ein Standard-DEP-Profil eingerichtet haben wie in DEP-Profil erstellen (Seite 160) beschrieben, können Sie die weiteren Schritte überspringen. 6. Melden Sie sich an der Sophos Mobile Control Web-Konsole an. Verwenden Sie die Zugangsdaten eines Administrator für den Kunden, für den Sie DEP-Geräte verwalten wollen. 7. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte und klicken Sie anschließend auf Apple DEP. Auf der Seite Apple-DEP-Geräte sind alle Geräte aufgelistet, denen Sie Sophos Mobile Control im Apple-DEP-Webportal zugewiesen haben. 8. Falls Geräte nicht angezeigt werden, die Sie erst vor Kurzem zugewiesen haben, klicken Sie auf Mit dem Apple-DEP-Portal synchronisieren. Hinweis: Um die Belastung des Apple-DEP-Servers zu begrenzen, müssen Sie nach jeder Synchronisierung eine kurze Zeit warten, bevor Sie erneut synchronisieren können. 9. Wählen Sie die neuen Geräte aus und klicken Sie anschließend auf Aktionen > Profil zuweisen. 10. Wählen Sie im Bestätigungsdialog das DEP-Profil aus, das Sie den Geräten zuweisen wollen, und klicken sie anschließend auf OK. Wenn die erworbenen Geräte in Ihrem Unternehmen eintreffen, können Sie sie an Ihre Benutzer übergeben. Es ist keine weitere Konfiguration erforderlich. Wenn die Benutzer die Geräte erstmalig einschalten, werden die iOS-Einrichtung und die Registrierung bei Sophos Mobile Control so durchgeführt, wie Sie es im zugewiesenen DEP-Profil konfiguriert haben. Wenn Sie im Profil die Option Benutzer zuweisen ausgewählt haben wie in DEP-Profil erstellen (Seite 160) beschrieben, werden die Benutzer automatisch ihren Geräten zugewiesen.
164
Administratorhilfe
18.7.4 DEP-Geräte verwalten DEP-Geräte werden in Sophos Mobile Control genauso wie Nicht-DEP-Geräte verwaltet. Siehe Geräte verwalten (Seite 147). DEP-Geräten können Sie zusätzlich ein DEP-Profil zuweisen. Das DEP-Profil wird vom Apple-Server während der Geräteaktivierung ausgewertet. Siehe DEP-Profil erstellen (Seite 160). Hinweis: Da ein DEP-Profil nur für die Geräteaktivierung verwendet wird, wirkt sich eine Änderung des zugewiesenen DEP-Profils erst aus, wenn das Gerät zurückgesetzt und neu aktiviert wird. So ändern Sie das DEP-Profil eines Gerätes: 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte und klicken Sie anschließend auf Apple DEP. Auf der Seite Apple-DEP-Geräte sind alle Geräte aufgelistet, denen Sie Sophos Mobile Control im Apple-DEP-Webportal zugewiesen haben. 2. Klicken Sie auf Mit dem Apple-DEP-Portal synchronisieren, um die DEP-Informationen zu aktualisieren. Hinweis: Um die Belastung des Apple-DEP-Servers zu begrenzen, wird die Option Mit dem Apple-DEP-Portal synchronisieren nach jeder Synchronisierung deaktiviert und steht erst nach ein paar Minuten wieder zur Verfügung. 3. Wählen Sie die Geräte aus, denen Sie ein anderes DEP-Profil zuweisen wollen. 4. Klicken Sie auf Aktionen > Profil zuweisen. 5. Wählen Sie im Bestätigungsdialog das DEP-Profil aus, das Sie den Geräten zuweisen wollen, und klicken sie anschließend auf OK.
165
Sophos Mobile Control
19 Administratoren erstellen 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen > Administratoren, um die Seite Administratoren anzeigen zu öffnen, und klicken Sie anschließend auf Administrator erstellen. 2. Konfigurieren Sie auf der Seite Administrator bearbeiten die Kontodaten für den Administrator. ■
■
Wenn für den Kunden Externes LDAP-Verzeichnis als Benutzerverzeichnis eingestellt ist, können Sie auf Benutzer mittels LDAP nachschlagen klicken, um ein vorhandenes LDAP-Konto auszuwählen. Wenn Sie kein externes Benutzerverzeichnis verwenden, geben Sie die relevanten Informationen für Anmeldename, Vorname, Nachname, E-Mail-Adresse und Kennwort ein.
Das Passwort, das Sie angeben, ist nur einmal gültig. Bei der ersten Anmeldung wird der Administrator aufgefordert, es zu ändern. 3. Wählen Sie aus der Liste Rolle eine der vorhandenen Rollen aus: Über die Rolle werden die Zugriffsrechte des neuen Administrators in Sophos Mobile Control definiert. Siehe Web-Konsolen-Benutzer (Seite 9). 4. Klicken Sie auf Speichern, um das Administrator-Konto anzulegen. Der neue Administrator wird angelegt und auf der Seite Administratoren anzeigen angezeigt. Geben Sie die Benutzeranmeldedaten (Benutzer, Kunde und einmal zu verwendendes Kennwort) an den neuen Benutzer weiter. Der neue Benutzer kann sich an der Web-Konsole anmelden und wird zum Ändern seines Kennworts aufgefordert.
166
Administratorhilfe
20 Nachrichten an Geräte senden Von der Web-Konsole aus können Sie benutzerdefinierte Nachrichten an verwaltete Geräte schicken. Nach dem Bootstrap eines iOS-Geräts und der Installation der Sophos Mobile Control App werden APNs-Nachrichten gesendet. Nach dem Einrichten eines Android-Geräts werden GCM Push-Nachrichten gesendet. Nach dem Einrichten eines Windows-Mobile-Gerätes oder Windows-Desktop-Gerätes werden MPNS-Nachrichten gesendet.
20.1 Nachrichten an einzelne Geräte senden 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. Die Seite Geräte wird angezeigt. 2. Wählen Sie das gewünschte Gerät aus, klicken Sie auf Aktionen und klicken Sie anschließend auf Nachricht senden. Hinweis: Sie können mehrere Geräte auswählen. 3. Geben Sie im Dialog Mitteilungstext eingeben den zu sendenden Text ein. Die Nachricht kann bis zu 500 Zeichen enthalten. Unterhalb des Textfeldes wird die verbleibende Zeichenanzahl angezeigt. 4. Klicken Sie auf Fertigstellen.
167
Sophos Mobile Control
21 SMC-Advanced-Lizenzen Um die Sophos-Container-Apps Sophos Secure Workspace und Sophos Secure Email mit Sophos Mobile Control zu verwalten, ist eine gültige SMC-Advanced-Lizenz erforderlich. Nach dem Erwerb erhalten Sie einen SMC-Advanced-Lizenzschlüssel zur Aktivierung von Sophos Mobile Security und der Sophos-Container-Apps. Wie Sie die Lizenz in der Web-Konsole aktivieren, hängt vom Installationstyp für Sophos Mobile Control (lokale Installation oder Software as a Service) ab.
21.1 Lizenzen aktivieren für lokale Installationen Für lokale Sophos Mobile Control Installationen werden SMC-Advanced-Lizenzen vom Superadministrator in der Kundenverwaltung verwaltet. Weitere Informationen finden Sie im englischsprachigen Dokument Sophos Mobile Control super administrator guide.
21.2 Lizenzen aktivieren für Software-as-a-Service-Installationen 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen und dann auf Systemeinstellungen. Die Seite Systemeinstellungen wird angezeigt. 2. Geben Sie auf der Registerkarte Lizenz im Feld Lizenzschlüssel den von Sophos erhaltenen Lizenzschlüssel ein und klicken Sie auf Aktivieren. Die SMC-Advanced-Lizenz für die Verwaltung der Sophos Mobile Security App und Sophos Secure Workspace App wird aktiviert. Das Feld Aktiver Lizenzschlüssel zeigt den aktivierten Lizenzschlüssel. Das Feld Anzahl von Lizenzen zeigt die Anzahl an verfügbaren Benutzern. Das Feld Gültig bis zeigt das Lizenzablaufdatum.
168
Administratorhilfe
22 Sophos Mobile Security mit Sophos Mobile Control verwalten Sophos Mobile Security ist eine Sicherheits-App für Android-Geräte, die Geräte vor schädlichen Apps schützt und Endbenutzer beim Erkennen von App-Berechtigungen unterstützt, die möglicherweise ein Sicherheitsrisiko darstellen. Seine Webfilter-Funktion erlaubt Ihnen, Webseiten nach Kategorien zu filtern und unpassende Inhalte zu blockieren. Die Verwaltung von Sophos Mobile Security ist ein optionales Modul von Sophos Mobile Control. Zum Verwalten der Sophos Mobile Security App von Sophos Mobile Control aus muss eine SMC-Advanced-Lizenz verfügbar sein. Diese Lizenz muss in der Sophos Mobile Control Web-Konsole aktiviert werden. So verwalten Sie die Sophos Mobile Security App auf Managed-Geräten über die Sophos Mobile Control Web-Konsole: ■
Sie können Einstellungen für die Sophos Mobile Security App auf allen Managed-Endbenutzergeräten remote und zentral in der Web-Konsole konfigurieren.
■
Sie können sicherstellen, dass die Sophos Mobile Security App auf Endbenutzergeräten installiert ist und in festgelegten Intervallen Scans durchführt. Sie können dies als Compliance-Regel definieren.
■
Sie können Scans bei bestimmten Geräten auslösen.
■
Sie können die Scan-Ergebnisse für Geräte in der Web-Konsole anzeigen.
Weitere Informationen zu Sophos Mobile Security finden Sie in der Sophos Mobile Security Hilfe.
22.1 Antivirus-Einstellungen für Sophos Mobile Security konfigurieren Voraussetzung: Eine SMC-Advanced-Lizenz ist verfügbar. 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Profile, Richtlinien und klicken Sie anschließend auf Android. Die Seite Profile und Richtlinien wird angezeigt. 2. Klicken Sie auf Erstellen und wählen Sie Mobile-Security-Richtlinie aus. Die Seite Richtlinie bearbeiten wird angezeigt. 3. 4. 5. 6.
Geben Sie einen Namen und eine Version für das neue Profil ein. Geben Sie im Feld Beschreibung eine Beschreibung für das Profil ein. Wählen Sie unter Betriebssysteme das Betriebssystem, für das das Profil gelten soll. Klicken Sie auf Konfiguration hinzufügen. Die Seite Verfügbare Konfigurationen wird angezeigt.
7. Wählen Sie Antivirus und klicken Sie auf Weiter. Die Einstellungen-Ansicht der Konfiguration wird angezeigt.
169
Sophos Mobile Control
8. Wechseln Sie in die Antivirus Registerkarte. 9. Unter Allgemein können Sie folgende Einstellungen festlegen: a) Legen Sie im Feld Cloud Scan-Modus fest, wann Sophos Mobile Security einen Scan nach den aktuellen Malware-Informationen durchführen soll. Wählen Sie eine der folgenden Optionen, um festzulegen, wann die Anwendung eine Cloud-Abfrage nutzen soll: ■
Immer
■
Nicht beim Roaming
■
Nur WLAN
Mit dieser Einstellung lässt sich der Datenverkehr der Anwendung steuern. Wenn Sie den Cloud Scan-Modus auf Nur WLAN einstellen, wird die Cloud-Abfrage nur dann durchgeführt, wenn das Gerät eine WLAN-Verbindung hat. Wenn Sie den Cloud Scan-Modus auf Nicht beim Roaming einstellen, wird keine Cloud-Abfrage durchgeführt, während das Gerät einen Roaming-Vorgang in einem fremden Netzwerk durchführt. b) Legen Sie im Feld Scan-Intervall fest, wie oft Scans ausgeführt werden sollen. 10. Unter Ziele können Sie folgende Einstellungen festlegen: a) Wählen Sie System Apps scannen, um System Apps in die Scan-Vorgänge einzubeziehen. System Apps werden standardmäßig nicht gescannt, da diese durch das Android-Betriebssystem geschützt sind und nicht vom Benutzer entfernt werden können. Sie können jedoch hier das Scannen von System Apps aktivieren. b) Wenn Sie Scanne SD-Karte, USB wählen, werden neben dem standardmäßigen Scan aller auf dem Gerät installierten Anwendungen auch alle Dateien auf SD-Karten, USB und anderen Speichermedien gescannt. 11. Unter PUAs können Sie Folgendes auswählen: a) Wenn Sie PUAs erkennen wählen, wird ein Scan-Vorgang nach PUAs (Potentially Unwanted Applications) durchgeführt. Potenziell unerwünschte Apps (PUAs) sind Apps, die zwar nicht schädlich sind, jedoch für Unternehmensnetzwerke als ungeeignet angesehen werden. Dazu gehören beispielsweise Adware, Dialer (Einwahlprogramme), Systemmonitore, Remote-Verwaltungs- und Hacking-Tools. Einige Apps, die unter PUAs fallen, können für manche Benutzer jedoch hilfreich sein. Wenn Sie diese Option wählen, erkennt Sophos Mobile Security potenziell unerwünschte Apps im Rahmen von Scan-Vorgängen und benachrichtigt den Benutzer entsprechend. b) Wählen Sie Benutzer darf Apps erlauben, damit die Benutzer Apps erlauben können, obwohl diese als PUAs erkannt wurden. Der Benutzer kann diese Apps als ignoriert kennzeichnen. In nachfolgenden Scans werden diese Apps nicht als PUAs angezeigt. 12. Unter Apps mit niedriger Reputation können Sie definieren, wie mit derartigen Apps umgegangen werden soll. Die Klassifizierung von Apps basiert auf Sophos Live Protection Daten. Unter Modus können Sie Folgendes auswählen: a) Wählen Sie Erlauben, um das Scannen nach Apps niedriger Reputation auszuschalten. b) Wählen Sie Warnen, um eine Warnung am Gerät anzuzeigen, wenn eine App niedriger Reputation erkannt wurde. Die Benutzer können dann wählen, wie die App behandelt
170
Administratorhilfe
werden soll. Sie können sie zu einer Liste von erlaubten Apps hinzufügen, so dass keine weiteren Warnungen angezeigt werden, wenn diese App erkannt wird. c) Wählen Sie Blockieren aus, um zu verhindern, dass Apps niedriger Reputation gestartet werden. Eine Warnung wird angezeigt, und der Benutzer kann die App nicht starten. 13. Unter Echtzeitschutz können Sie Folgendes auswählen: a) Wählen Sie Scan-Benachrichtigungen, um Scan-Benachrichtigungen auf dem Gerät zu erhalten. b) Wählen Sie SD-Karte überwachen, um die SD-Karte auf Änderungen zu überprüfen. Wenn neue Dateien auf der SD-Karte gespeichert werden, werden diese gescannt. 14. Wenn die Scanergebnisse Apps enthalten, die gestartet werden dürfen, können Sie diese zur Liste der erlaubten Apps hinzufügen. Apps auf dieser Liste dürfen immer auf den Geräten gestartet werden. Die Apps werden nicht gemeldet. Um eine solche App zu identifizieren, können Sie die Scan-Ergebnisse von Sophos Mobile Security verwenden. Informationen hierzu finden Sie in Scan-Resultate von Sophos Mobile Security anzeigen (Seite 173). Bevor Sie erlauben können, dass diese Apps auf den Geräten gestartet werden dürfen, müssen Sie sie zu einer App-Gruppe hinzufügen, wie in Mit App-Gruppen arbeiten (Seite 143) beschrieben. 15. Um erlaubte Apps hinzuzufügen, wählen Sie die App-Gruppe aus, welche die erlaubten Apps enthält. 16. Klicken Sie auf Anwenden.
22.2 Webfilter-Einstellungen für Sophos Mobile Security konfigurieren Voraussetzung: Eine SMC-Advanced-Lizenz ist verfügbar. Die Sophos Mobile Security App schützt Sie vor Internetseiten mit schädlichem, unerwünschtem oder illegalem Inhalt. Hinweis: Web-Filter funktionieren nur mit dem integriertem Browser und Google Chrome, und nur für die Android-Versionen 4.0 bis 5.1. 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Profile, Richtlinien und klicken Sie anschließend auf Android. Die Seite Profile und Richtlinien wird angezeigt. 2. Klicken Sie auf Erstellen und wählen Sie Mobile-Security-Richtlinie aus. Die Seite Richtlinie bearbeiten wird angezeigt. 3. 4. 5. 6.
Geben Sie einen Namen und eine Version für das neue Profil ein. Geben Sie im Feld Beschreibung eine Beschreibung für das Profil ein. Wählen Sie unter Betriebssysteme das Betriebssystem, für das das Profil gelten soll. Klicken Sie auf Konfiguration hinzufügen. Die Seite Verfügbare Konfigurationen wird angezeigt.
7. Wählen Sie Webfilter und klicken Sie auf Weiter. Die Seite Web-Filter wird angezeigt.
171
Sophos Mobile Control
8. Geben Sie im Feld Schädliche Websites filtern an, ob Sie schädliche Websites Erlauben wollen, ob Sie den Benutzer vor schädlichen Websites Warnen wollen, oder ob Sie diese Sites Blockieren wollen. 9. Unter Websites nach Kategorien filtern geben Sie für jede Kategorie an, ob Sie Zugriff auf Websites dieser Kategorie Erlauben wollen, ob Sie den Benutzer vor möglicherweise schädlichem, unerwünschtem oder illegalen Inhalt Warnen wollen, oder ob Sie Websites dieser Kategorie Blockieren wollen. Websites werden basierend auf Daten von SophosLabs kategorisiert. Die Daten werden laufend aktualisiert. 10. Unter Website-Ausschlüsse können Sie Folgendes festlegen: a) Erlaubte Domänen: Fügen Sie Domänen oder IP-Adressen hinzu, die auch dann erlaubt sind, wenn die Kategorie, der sie angehören, blockiert wird. b) Blockierte Domänen: Fügen Sie Domänen oder IP-Adressen hinzu, die auch dann blockiert sind, wenn die Kategorie, der sie angehören, erlaubt wird. Sie können Domänen-Namen oder IP-Adressen eingeben. Beispiel: www.company.com, *.company.com, 10.2.0.1, 10.2.0.1/24 11. Klicken Sie auf Anwenden. Die in der Sophos Mobile Control Web-Konsole angegebenen Einstellungen können auf dem Endbenutzergerät nicht geändert werden. Sie sind ausgegraut.
22.3 Compliance-Einstellungen für Sophos Mobile Security definieren Voraussetzung: Eine SMC-Advanced-Lizenz ist verfügbar. Sie können Compliance-Einstellungen, die sich auf Sophos Mobile Security beziehen, in der Web-Konsole konfigurieren. 1. Fügen Sie eine neue Geräterichtlinie hinzu oder öffnen Sie eine bereits vorhandene zum Bearbeiten. Weitere Informationen finden Sie in Compliance-Richtlinien (Seite 41). 2. Wechseln Sie in die Android Registerkarte. 3. Im Feld Max. SMSec-Scanintervall können Sie das maximale Scanintervall zwischen Malware-Scans angeben, die von der Sophos Mobile Security App auf den Geräten durchgeführt werden. 4. Wählen Sie im Feld Ablehnung von SMSec-Berechtigungen erlaubt aus, ob die Ablehnung der erforderlichen Berechtigungen zu einer Compliance-Verletzung führt. 5. Legen Sie im Feld Malware Apps zugelassen fest, ob auf Geräten gefundene Malware Apps zulässig sind. 6. Legen Sie im Feld Verdächtige Apps zugelassen fest, ob auf Geräten gefundene, verdächtige Apps zulässig sind. 7. Wählen Sie im Feld PUA zugelassen aus, ob auf Geräten gefundene PUAs (Potentially Unwanted Apps) zulässig sind. 8. Wenn Sie alle erforderlichen Einstellungen konfiguriert haben, klicken Sie auf Speichern.
172
Administratorhilfe
22.4 Scan-Resultate von Sophos Mobile Security anzeigen Voraussetzung: Eine SMC-Advanced-Lizenz ist verfügbar. 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. Die Seite Geräte wird angezeigt. Diese zeigt alle Geräte, die für diesen Kunden bei Sophos Mobile Control registriert sind. 2. Klicken Sie auf das blaue Dreieck neben dem gewünschten Gerät und dann auf Bearbeiten oder klicken Sie auf dessen Namen. Die Seite Gerät anzeigen oder die Seite Gerät bearbeiten wird angezeigt. 3. Wechseln Sie in die Scan-Ergebnisse Registerkarte. Diese Registerkarte zeigt die Sophos Mobile Security Scan-Ergebnisse. Die unsauberen Pakete, zum Beispiel PUAs (Potentially Unwanted Apps), werden in einer Tabelle angezeigt. Unter Threat-Name können Sie auf die Links klicken, um weitere Informationen von Sophos Labs zur den einzelnen Bedrohungen anzuzeigen. 4. Wechseln Sie auf die Registerkarte Compliance-Verletzungen, um die mit den Scan-Ergebnissen verbundenen Compliance-Verletzungen einzusehen. Welche Verletzungen angezeigt werden, richtet sich nach den Sophos Mobile Security Compliance-Einstellungen.
22.4.1 Liste erlaubter PUAs und Apps mit niedriger Reputation erstellen Sie können die Scan-Ergebnisse verwenden, um eine Liste der erlaubten Apps zu erstellen. Die Liste gilt für alle Android-Geräte, auf denen die Sophos Mobile Security App installiert ist, in dem Kunden, an dem Sie angemeldet sind. 1. Wechseln Sie zur Registerkarte Scan-Ergebnisse eines Ihrer gescannten Geräte. Die unsauberen Pakete werden in einer Tabelle angezeigt. Die Spalte Threat-Name zeigt an, ob das angezeigte Paket eine App niedriger Reputation, eine PUA oder Malware ist. Sie können auf die Links klicken, um weitere Informationen zur den einzelnen Bedrohungen von SophosLabs abzurufen. Gefundene Apps mit niedriger Reputation und PUAs haben ein blaues Häkchen-Symbol links vom Paketnamen. Nur diese Apps können zur Liste der erlaubten Apps hinzugefügt werden. 2. Klicken Sie auf das blaue Häkchen-Symbol, um die App zur Liste der erlaubten Apps hinzuzufügen. Ein Bestätigungsdialog wird angezeigt. 3. Klicken Sie auf Ja. Die App wird zur Liste der erlaubten Apps hinzugefügt. 4. Wiederholen Sie diesen Schritt für alle Apps, die Sie hinzufügen möchten. 5. Um die Liste anzuzeigen, gehen Sie auf Einstellungen und klicken Sie auf Allgemein.
173
Sophos Mobile Control
6. Klicken Sie auf Liste der erlaubten Apps anzeigen. Alle Apps, die Sie hinzugefügt haben, werden angezeigt. Apps auf dieser Liste dürfen auf allen verwalteten Geräten gestartet werden. Die Apps werden in Zukunft nicht mehr gemeldet. Wenn Sie auf Liste der erlaubten Apps löschen klicken, werden alle Listeneinträge gelöscht.
174
Administratorhilfe
23 Sophos-Container-Apps verwalten Für eine bessere Trennung der Daten auf den mit Sophos Mobile Control verwalteten Geräten stehen die Sophos-Container-Apps Sophos Secure Email und Sophos Secure Workspace zur Verfügung: ■
Sophos Secure E-Mail ist eine App für Geräte mit Android oder iOS, die einen sicheren Container zur Verwaltung Ihrer E-Mails, Ihres Kalenders und Ihrer Kontakte bereitstellt.
■
Sophos Secure Workspace ist eine App für Geräte mit Android oder iOS, die es Benutzern erlaubt, auf verschlüsselte Dateien zuzugreifen, die in der Cloud gespeichert sind. Dateien können nahtlos entschlüsselt und angezeigt werden. Verschlüsselte Dateien können von anderen Apps übergeben und zu einem der unterstützten Cloud-Speicheranbieter hochgeladen werden. Alternativ können die Dokumente lokal innerhalb der App gespeichert werden. Mit Sophos Secure Workspace können Sie mit SafeGuard Cloud Storage oder SafeGuard Data Exchange verschlüsselte Dateien lesen. SafeGuard Cloud Storage und SafeGuard Data Exchange sind Module von SafeGuard Enterprise oder einer der verschiedenen Produkteditionen. Mit diesen Modulen lassen sich Dateien mit einem lokalen Schlüssel verschlüsseln. Diese lokalen Schlüssel werden aus einer Passphrase abgeleitet, die von einem Benutzer eingegeben wird. Sie können eine Datei nur dann entschlüsseln, wenn Sie die Passphrase kennen, mit der die Datei verschlüsselt wurde.
Die Funktionen zur Verwaltung der Sophos-Container-Apps sind in einem optionalen Modul von Sophos Mobile Control enthalten. Um die Apps mit Sophos Mobile Control zu verwalten, muss eine SMC-Advanced-Lizenz verfügbar und in der Sophos Mobile Control Web-Konsole aktiviert worden sein. Durch den Sophos-Container wird folgendes verwaltet: ■
Zentral festgelegte Kennwort-Regeln
■
Kennwort-Regeln für alle Container-Apps
■
Single-Sign-On für alle Container-Apps
■
Dokumenteinstellungen für Sophos Secure Workspace
■
Browser-Einstellungen für Sophos Secure Workspace
■
Einstellungen für Sophos Secure Email
So verwalten Sie auf verwalteten Geräten die Sophos-Apps über die Sophos Mobile Control Web-Konsole: ■
Sie können die Einstellungen für die Sophos-Container-Apps auf allen verwalteten Endbenutzergeräten zentral und per Fernzugriff in der Web-Konsole konfigurieren.
■
Sie können sicherstellen, dass die Sophos-Container-Apps auf Endbenutzergeräten installiert sind. Sie können dies als Compliance-Regel definieren.
■
Sie können die sichere Verteilung von Dokumenten aktivieren, indem Sie den Speicheranbieter Unternehmensdokumente verwenden. Siehe Unternehmensdokumente verteilen (Seite 145).
■
Sie können die Synchronisierung des Unternehmens-Schlüsselbundes zwischen Sophos Secure Workspace und Sophos SafeGuard Enterprise aktivieren. Dadurch haben Benutzer in ihrem Schlüsselbund in Sophos Secure Workspace auch Zugriff auf die Schlüssel ihres
175
Sophos Mobile Control
SafeGuard-Schlüsselbundes. Siehe Synchronisierung des Unternehmens-Schlüsselbundes aktivieren (Seite 177). Hinweis: Um die Sophos-Container-Apps verwalten zu können, müssen diese mit Sophos Mobile Control verteilt worden sein. Falls Benutzer bereits eine nicht verwaltete Version von Sophos Secure Workspace auf ihren Geräten installiert haben, müssen sie diese zunächst deinstallieren und danach die verwaltete Version installieren. Weitere Informationen zu Sophos Secure Workspace finden Sie in der Hilfe zu Sophos Secure Workspace.
23.1 Sophos-Container-Apps konfigurieren Voraussetzung: Eine SMC-Advanced-Lizenz ist verfügbar. Information zur Konfiguration der Sophos-Container-Apps finden Sie für Android in Verfügbare Konfigurationen für Sophos-Container-Richtlinien (Seite 66) und für iOS in Verfügbare Konfigurationen für Sophos-Container-Richtlinien (Seite 107).
23.2 Kennwort für Sophos-Container-Apps zurücksetzen Sie können das Kennwort für die Sophos-Container-Apps zurücksetzen. Das ist zum Beispiel hilfreich, wenn Benutzer ihr Kennwort vergessen haben. Wenn Sie ein Kennwort für die Sophos-Container-Apps zurücksetzen, werden die Benutzer aufgefordert, ein neues Container-Kennwort festzulegen. 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. Die Seite Geräte wird angezeigt. 2. Klicken Sie auf das Gerät, für das Sie das App Passwort zurücksetzen möchten. Die Seite Gerät anzeigen wird angezeigt. 3. Klicken Sie auf Aktionen. Das Aktionen Menü wird angezeigt. 4. Klicken Sie auf Kennwort für Sophos-Container-Apps zurücksetzen. Ein Bestätigungsdialog wird angezeigt. 5. Klicken Sie auf Ja. Das Kennwort für die Sophos-Container-Apps wird auf dem Gerät zurückgesetzt. Der Benutzer muss ein neues Kennwort für die Sophos-Container-Apps eingeben.
23.3 Sophos-Container sperren und entsperren Sie können die Container-Zugriffsrechte einstellen, um Zugriff auf Unternehmensdaten im Sophos-Container zu verhindern. Wenn Sie Sophos-Container-Zugriff setzen auf Sperren setzen, dann kann auf den Sophos-Container nicht zugegriffen werden. 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. Die Seite Geräte wird angezeigt. 2. Klicken Sie auf das Gerät, für das Sie den Container-Zugriff bearbeiten wollen. Die Seite Gerät anzeigen wird angezeigt.
176
Administratorhilfe
3. Klicken Sie auf Aktionen. Das Aktionen Menü wird angezeigt. 4. Klicken Sie auf Sophos-Container-Zugriff setzen. Ein Dialog wird angezeigt, in dem Sie die Zugriffsrechte für Dokumente einrichten können. 5. Wählen Sie eine der folgenden Optionen: ■
■
■
Sperren, um den Sophos-Container zu sperren. Benutzer können den Sophos-Container nicht mehr verwenden. Erlauben, um den Sophos-Container zu entsperren. Benutzer können ihn weiterhin verwenden. Automatischer Modus um zu überprüfen, ob eine Richtlinienverletzung für dieses Gerät gemeldet wurde. Im Falle einer Compliance-Verletzung wird der Sophos-Container gesperrt.
6. Klicken Sie auf Ja. Abhängig von Ihrer Auswahl wird der Sophos-Container gesperrt oder entsperrt. Falls Sie den Container gesperrt haben, wird ein Sperrbildschirm auf dem Gerät angezeigt, wenn eine Sophos-Container-App aktiv wird. Benutzer haben keinen Zugriff auf die Dokumente im Sophos-Container, solange Sie ihn nicht entsperren.
23.4 Synchronisierung des Unternehmens-Schlüsselbundes aktivieren Unternehmens-Schlüssel aus einem von Sophos SafeGuard Enterprise verwalteten Schlüsselbund können in der App Sophos Secure Workspace zur Verfügung gestellt werden. Benutzer der App können diese Schlüssel verwenden, um Dokumente zu entschlüsseln und zu betrachten, oder um Dokumente zu verschlüsseln. Voraussetzungen: ■
Sie verwenden Sophos SafeGuard Enterprise 8.0.
■
Sie haben eine externe Benutzerverwaltung für das Self Service Portal konfiguriert (siehe Self-Service-Portal-Benutzerverwaltung konfigurieren (Seite 30)), mit derselben Active-Directory-Benutzerdatenbank wie für SafeGuard Enterprise.
■
Sophos Secure Workspace wird von Sophos Mobile Control verwaltet. Hierfür wird eine SMC-Advanced-Lizenz benötigt.
Durch die Synchronisierung des Unternehmens-Schlüsselbundes sind folgende zusätzliche Funktionen in der App Sophos Secure Workspace verfügbar: ■
Benutzer haben in ihrem Schlüsselbund in Sophos Secure Workspace (SSW-Schlüsselbund) auch Zugriff auf die Schlüssel ihres SafeGuard-Schlüsselbundes.
■
Nachdem Sie die Schlüsselbund-Synchronisierung aktiviert haben, können Benutzer weiterhin lokale Schlüssel aus ihrem SSW-Schlüsselbund verwenden.
■
Benutzer können keine neuen lokale Schlüssel erstellen.
■
Aus Sicherheitsgründen werden beim Sperren des Sophos-Containers alle Schlüssel vom Gerät entfernt, die aus dem SafeGuard-Schlüsselbund stammen.
177
Sophos Mobile Control
Um die Synchronisierung des Unternehmens-Schlüsselbundes zu aktivieren, richten Sie eine Verbindung zwischen Sophos Mobile Control und Sophos SafeGuard Enterprise ein: 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen > Systemeinstellungen und klicken Sie anschließend auf die Registerkarte SGN. 2. Befolgen Sie die Anweisungen auf der Registerkarte SGN. Dies beinhaltet die folgenden Konfigurationsschritte: a) Laden Sie die Zertifikatdatei des Sophos Mobile Control Server herunter. b) Verwenden Sie im SafeGuard Management Center das Werkzeug „Konfigurationspakete“, um den Sophos Mobile Control Server als „Managed Client“ zu konfigurieren. c) Laden Sie das im SafeGuard Management Center erstellte Konfigurationspaket nach Sophos Mobile Control hoch. 3. Klicken Sie auf der Registerkarte SGN auf Speichern, um die Einstellungen für die SafeGuard-Integration zu speichern.
178
Administratorhilfe
24 Glossar Auftragspaket
Ein Paket, das Sie in der Web-Konsole erstellen können, um mehrere Aufträge in einer einzigen Transaktion zusammenzufassen. Sie können alle Aufträge bündeln, die zur vollständigen Bereitstellung eines Geräts notwendig sind.
Endbenutzer
Der Endbenutzer des Geräts.
Ersteinrichtung
Die Installation des Sophos Mobile Control Client auf einem Gerät.
Gerät
Das zu verwaltende Gerät (zum Beispiel ein Smartphone oder Tablet, oder ein Gerät mit Windows 10).
Kunde
Der Mandant, der Geräte verwaltet.
Enterprise App Store Ein App-Archiv auf dem Sophos Mobile Control Server. Der Administrator kann an der Web-Konsole Apps zum Enterprise App Store hinzufügen. Endbenutzer können diese Apps dann mit der App Sophos Mobile Control auf ihren Geräten installieren. Self Service Portal (SSP)
Die Sophos Mobile Control Web-Benutzeroberfläche, über die Endbenutzer ihre eigenen Geräte bereitstellen und andere Aufgaben ausführen können. Hierzu ist keine Unterstützung durch das Helpdesk erforderlich.
SMC-Advanced-Lizenz Mit einer SMC-Advanced-Lizenz werden im Vergleich zu einer Standard-Lizenz Funktionen freigeschaltet, die es Ihnen ermöglichen, die Apps Sophos Mobile Security, Sophos Secure Workspace und Sophos Secure Email mit Sophos Mobile Control zu verwalten. SMSec
Abkürzung für Sophos Mobile Security, die in der Benutzeroberfläche von Sophos Mobile Control verwendet wird.
Sophos Mobile Control Client
Die App Sophos Mobile Control, die auf dem Gerät installiert ist.
Sophos Mobile Security
Sicherheits-App für Android-Geräte. Sie können diese App mit Sophos Mobile Control verwalten, vorausgesetzt eine SMC-Advanced-Lizenz ist verfügbar und in der Sophos Mobile Control Web-Konsole aktiviert.
Sophos Secure Email Eine App für Geräte mit Android oder iOS, die eine geschützte Arbeitsumgebung für die Verwaltung Ihrer E-Mails, Kontakte und Kalender bereitstellt. Sie können diese App mit Sophos Mobile Control verwalten, vorausgesetzt eine SMC-Advanced-Lizenz ist verfügbar und in der Sophos Mobile Control Web-Konsole aktiviert.
179
Sophos Mobile Control
Sophos Secure Workspace
Verwaltete App
Web-Konsole
180
Eine App für Geräte mit Android oder iOS, die einen gesicherten Arbeitsbereich bereitstellt, um Dokumente zu verwalten, zu bearbeiten, zu teilen, zu verschlüsseln, zu entschlüsseln, oder um auf sie in einem Browser zuzugreifen. Die Dokumente können bei verschiedenen Speicheranbietern abgelegt sein oder von Ihrem Unternehmen verteilt werden. Sie können diese App mit Sophos Mobile Control verwalten, vorausgesetzt eine SMC-Advanced-Lizenz ist verfügbar und in der Sophos Mobile Control Web-Konsole aktiviert. Eine App, die vom Sophos Mobile Control Server auf eine der folgenden Arten installiert wurde: ■
Installation durch ein Auftragspaket.
■
Manuelle Installation in der Web-Konsole.
■
Benutzer-initiierte Installation auf einem iOS-Gerät aus dem Enterprise App Store, wenn der Administrator die Option SMC-verwaltete Installation ausgewählt hat.
Die Web-Oberfläche des Servers, die zur Verwaltung der Geräte benutzt wird.
Administratorhilfe
25 Technischer Support Technischen Support zu Sophos Produkten können Sie wie folgt abrufen: ■
Besuchen Sie die Sophos Community unter community.sophos.com/ und suchen Sie Benutzer mit dem gleichen Problem.
■
Durchsuchen Sie die Sophos Support Knowledgebase unter http://www.sophos.com/de-de.aspx.
■
Laden Sie die Produktdokumentation herunter unter www.sophos.com/de-de/support/documentation.aspx.
■
Öffnen Sie ein Ticket für unser Support Team unterhttps://secure2.sophos.com/support/contact-support/support-query.aspx.
181
Sophos Mobile Control
26 Rechtliche Hinweise Copyright © 2011 - 2016 Sophos Limited. Alle Rechte vorbehalten. Diese Publikation darf weder elektronisch oder mechanisch reproduziert, elektronisch gespeichert oder übertragen, noch fotokopiert oder aufgenommen werden, es sei denn, Sie verfügen entweder über eine gültige Lizenz, gemäß der die Dokumentation in Übereinstimmung mit dem Lizenzvertrag reproduziert werden darf, oder Sie verfügen über eine schriftliche Genehmigung des Urheberrechtsinhabers. Sophos ist eine eingetragene Marke von Sophos Limited und Sophos Group. Alle anderen erwähnten Produkt- und Unternehmensnamen sind Marken oder eingetragene Marken der jeweiligen Inhaber.
182
