Sophos Mobile Control (in Sophos Central) Administratorhilfe
Produktversion: 7
Inhalt 1 Über diese Hilfe..................................................................................................................5 2 Wichtige Schritte für das Management von Geräten mit Sophos Mobile Control...............6 3 Dashboard..........................................................................................................................7 4 Berichte..............................................................................................................................8 5 Aufträge..............................................................................................................................9 5.1 Aufträge überwachen............................................................................................9 6 Allgemeine Einstellungen.................................................................................................13 6.1 Persönliche Einstellungen konfigurieren.............................................................13 6.2 Einstellungen der SMC-App konfigurieren.........................................................14 6.3 Baidu Cloud Push aktivieren..............................................................................14 6.4 Einstellungen für iOS konfigurieren....................................................................14 6.5 Poll-Intervall für Windows-Geräte konfigurieren.................................................15 6.6 E-Mail konfigurieren............................................................................................16 6.7 Kontaktdetails für technische Unterstützung konfigurieren.................................16 6.8 Kundeneigenschaften definieren........................................................................16 7 Self Service Portal konfigurieren......................................................................................17 7.1 Self Service Portal Einstellungen konfigurieren..................................................17 7.2 Verfügbare Self-Service-Portal-Einstellungen....................................................19 8 Systemeinstellungen........................................................................................................22 8.1 Zertifikate für den Apple Push Notification Service............................................22 8.2 iOS-AirPlay-Wiedergabegeräte konfigurieren.....................................................26 8.3 Samsung-Knox-Lizenz........................................................................................26 8.4 SCEP konfigurieren............................................................................................26 9 Compliance-Richtlinien.....................................................................................................28 9.1 Compliance-Richtlinie erstellen..........................................................................28 9.2 Verfügbare Compliance-Regeln..........................................................................30 9.3 Compliance-Richtlinien einer Gerätegruppe zuweisen.......................................34 9.4 Geräte auf Compliance-Verstöße prüfen............................................................35 10 Geräte............................................................................................................................36 10.1 Geräte hinzufügen............................................................................................36 10.2 Geräte registrieren............................................................................................37 10.3 Geräte deregistrieren........................................................................................41 10.4 Geräte verwalten..............................................................................................42 10.5 Apple DEP........................................................................................................46 11 Gerätegruppen...............................................................................................................54
2
11.1 Gerätegruppe erstellen.....................................................................................54 11.2 Gerätegruppen löschen....................................................................................54 12 Profile und Richtlinien.....................................................................................................55 12.1 Profil oder Richtlinie erstellen...........................................................................55 12.2 Mit Apple Configurator erstellte iOS-Geräteprofile importieren........................56 12.3 Provisionierungsprofile für iOS-Apps importieren............................................57 12.4 Komplexitätsregeln für Windows-Desktop-Kennwörter.....................................57 12.5 Unterstützung von Samsung Knox...................................................................58 12.6 Platzhalter in Profilen und Richtlinien...............................................................58 12.7 Profil auf Geräten installieren...........................................................................59 12.8 Richtlinie Geräten zuweisen.............................................................................59 12.9 Profil entfernen.................................................................................................60 12.10 Profile und Richtlinien herunterladen.............................................................60 12.11 Konfigurationen für Android-Geräteprofile......................................................61 12.12 Konfigurationen für Android-for-Work-Richtlinien...........................................79 12.13 Konfigurationen für Sophos-Container-Richtlinien für Android.......................89 12.14 Konfigurationen für Mobile-Security-Richtlinien..............................................98 12.15 Konfigurationen für Knox-Container-Profile....................................................98 12.16 Konfigurationen für iOS-Geräteprofile..........................................................103 12.17 Konfigurationen für Sophos-Container-Richtlinien für iOS...........................130 12.18 Konfigurationen für Windows-Mobile-Richtlinien..........................................140 12.19 Konfigurationen für Windows-Desktop-Richtlinien........................................149 13 Auftragspakete.............................................................................................................155 13.1 Auftragspaket erstellen...................................................................................155 13.2 Verfügbare Auftragstypen für Android.............................................................156 13.3 Verfügbare Auftragstypen für iOS...................................................................159 13.4 Auftragspakete duplizieren.............................................................................161 13.5 Auftragspakete an einzelne Geräte oder Gerätegruppen übertragen............162 14 Apps.............................................................................................................................163 14.1 App hinzufügen...............................................................................................163 14.2 App installieren...............................................................................................165 14.3 App deinstallieren...........................................................................................165 14.4 Verwaltete iOS-Apps.......................................................................................166 14.5 Apple-VPP-Apps verwalten............................................................................167 14.6 VPN pro App und Einstellungen für iOS-Apps konfigurieren..........................171 15 App-Gruppen................................................................................................................173 15.1 App-Gruppe erstellen.....................................................................................173 15.2 App-Gruppe importieren.................................................................................174 16 Unternehmensdokumente............................................................................................175
3
16.1 Unternehmensdokumente hinzufügen............................................................175 17 Android for Work...........................................................................................................177 17.1 Android for Work einrichten............................................................................177 17.2 Android for Work konfigurieren.......................................................................181 17.3 Android-for-Work-Benutzer verwalten.............................................................182 17.4 Geräte bei Android for Work registrieren........................................................183 17.5 Arbeitsprofil sperren.......................................................................................183 17.6 Arbeitsprofil vom Gerät entfernen...................................................................183 17.7 Benutzerinitiiertes Entfernen des Arbeitsprofils..............................................184 17.8 Berufliche Apps..............................................................................................184 18 Nachricht an Geräte senden........................................................................................191 19 Standalone-EAS-Proxy................................................................................................192 19.1 Anwendungsszenarien für den Standalone-EAS-Proxy.................................192 19.2 EAS-Proxy-Installationsprogramm herunterladen..........................................193 19.3 Standalone-EAS-Proxy installieren.................................................................194 19.4 E-Mail-Zugriffssteuerung über PowerShell einrichten....................................196 19.5 Verbindung zum internen EAS-Proxy-Server konfigurieren............................199 19.6 Verbindung zum externen EAS-Proxy-Server konfigurieren...........................199 20 Advanced-Lizenz..........................................................................................................201 21 Sophos Mobile Security verwalten...............................................................................202 21.1 Antivirus-Einstellungen für Sophos Mobile Security konfigurieren.................202 21.2 Webfilter-Einstellungen für Sophos Mobile Security konfigurieren.................204 21.3 Compliance-Regeln für Sophos Mobile Security definieren...........................205 21.4 Scan-Resultate von Sophos Mobile Security anzeigen..................................205 22 Sophos-Container-Apps verwalten...............................................................................207 22.1 Sophos-Container-Kennwort zurücksetzen....................................................208 22.2 Sophos-Container sperren und entsperren....................................................208 23 Glossar.........................................................................................................................210 24 Technischer Support.....................................................................................................212 25 Rechtliche Hinweise.....................................................................................................213
4
Administratorhilfe
1 Über diese Hilfe Diese Hilfe beschreibt die Verwendung von Sophos Mobile Control in der Sophos Central Admin Konsole. Hinweis: Ihre Handlungsmöglichkeiten in der Sophos Central Admin Konsole hängen davon ab, welche Administratorrolle Ihnen zugewiesen ist und welche Lizenzen aktiviert sind.
Bezeichnungen In dieser Hilfe werden folgende Bezeichnungen verwendet: ■
Sofern nicht anders angegeben, bezieht sich der Ausdruck Windows Mobile auf die Windows-10-Editionen Mobile und Mobile Enterprise sowie auf Windows Phone 8.1.
■
Sofern nicht anders angegeben, beziehen sich die Ausdrücke Windows Desktop und Windows 10 Desktop auf die Windows-10-Editionen Pro, Enterprise, Education und Home.
■
Sofern nicht anders angegeben, wird bei allen Prozeduren vorausgesetzt, dass Sie bereits die Ansicht Mobil geöffnet haben (unter Meine Produkte in der Menüleiste von Sophos Central Admin).
5
Sophos Mobile Control (in Sophos Central)
2 Wichtige Schritte für das Management von Geräten mit Sophos Mobile Control Abhängig von den für Ihr Unternehmen relevanten Gerätetypen, Sicherheitsrichtlinien und spezifischen Anforderungen bietet Sophos Mobile Control eine breite Palette von Mobile-Device-Management-Funktionen. Die wichtigsten Schritte für das Geräte-Management mit Sophos Mobile Control sind: ■
Compliance-Regeln für Geräte konfigurieren. Siehe Compliance-Richtlinien (Seite 28).
■
Gerätegruppen erstellen. Siehe Gerätegruppe erstellen (Seite 54). Gerätegruppen dienen zur Kategorisierung von Geräten. Wir empfehlen, Geräte zu gruppieren. Da sich Aufgaben auch für Gerätegruppen statt für Einzelgeräte ausführen lassen, können Sie Geräte so effizient verwalten.
■
Geräte registrieren und provisionieren. Siehe Geräte hinzufügen (Seite 36) und Geräte registrieren (Seite 37). Geräte können entweder von Administratoren über die Sophos Mobile Control Konsole, oder von Gerätebenutzern über das Sophos Central Self Service Portal registriert und provisioniert werden.
6
■
Profile und Sicherheitseinstellungen für Geräte einrichten. Siehe Profile und Richtlinien (Seite 55).
■
Auftragspakete erstellen. Siehe Auftragspakete (Seite 155).
■
Verfügbare Funktionen für das Sophos Central Self Service Portal konfigurieren. Siehe Self Service Portal konfigurieren (Seite 17).
■
Neue oder aktualisierte Profile und Sicherheitseinstellungen auf registrierte Geräte anwenden.
Administratorhilfe
3 Dashboard Das konfigurierbare Dashboard ist die Startansicht von Sophos Mobile Control. Es bietet einen schnellen Überblick auf die wichtigsten Informationen. Es enthält mehrere Widgets, die Informationen liefern über: ■
Geräte, alle oder nach Gruppen unterteilt
■
Compliance-Status nach Plattform oder für alle Geräte
■
Verwaltungsstatus nach Plattform oder für alle Geräte
■
SSP-Registrierungsstatus
■
Verwaltete Plattformversionen
Außerdem gibt es ein spezielles Widget Gerät hinzufügen, mit dem der Geräteregistrierungs-Assistent aufgerufen wird. Siehe Verwenden des Geräteregistrierungs-Assistenten, um neue Geräte zuzuordnen und zu registrieren (Seite 38). Sie können das Dashboard auf folgende Arten anpassen: ■
Um ein Widget hinzuzufügen, klicken Sie auf Widget hinzufügen.
■
Um ein Widget zu entfernen, klicken Sie auf die Schaltfläche Schließen in der Titelleiste des Widgets.
■
Um die Seite auf das Standardlayout zurückzusetzen, klicken Sie auf Standard-Layout wiederherstellen.
■
Um die Position der Widgets auf der Seite zu ändern, ziehen Sie die Titelleiste eines Widgets.
7
Sophos Mobile Control (in Sophos Central)
4 Berichte In Sophos Mobile Control können Sie verschiedene Berichte aus den folgenden Bereichen erstellen: ■
Geräte
■
Apps und Dokumente
■
Compliance-Verstöße
■
Malware
So erstellen Sie einen Bericht: 1. Klicken Sie im Abschnitt INFORMATION der Menüleiste auf Berichte, und klicken Sie anschließend auf den Namen des gewünschten Berichts. 2. Klicken Sie im Dialog Format auswählen auf eines der verfügbaren Symbole, um das Ausgabeformat auszuwählen: ■
Klicken Sie auf
, um den Bericht als Microsoft-Excel-Datei zu exportieren.
■
Klicken Sie auf
, um den Bericht als CSV-Datei zu exportieren.
Der Bericht wird abhängig von den Download-Einstellungen Ihres Web-Browsers auf Ihrem Rechner gespeichert.
8
Administratorhilfe
5 Aufträge Die Seite Auftragsstatus enthält eine Übersicht der von Ihnen erstellten oder gestarteten Aufträge mit ihrem aktuellen Status. Sie können alle Ihre Aufträge überwachen und bei Problemen eingreifen. Sie können beispielsweise einen Auftrag löschen, der offensichtlich nicht abgeschlossen werden kann, aber das Gerät blockiert. Um einen Auftrag zu löschen, klicken Sie auf das Symbol Löschen neben dem Auftrag. Sie können Aufträge nach Typ und Status filtern, und sie nach Gerätenamen, Paketnamen, Ersteller und Auftragsdatum sortieren.
5.1 Aufträge überwachen In der Sophos Mobile Control Konsole können Sie alle vorhandenen Aufträge für Geräte überwachen. ■
Die Seite Aufträge zeigt alle noch nicht abgeschlossenen und fehlgeschlagenen Aufträge sowie die abgeschlossenen Aufträge der letzten Tage an. Die Seite Auftragsstatus wird automatisch aktualisiert. Sie können somit den Fortschritt der Aufträge verfolgen.
■
Die Seite Auftragsdetails zeigt allgemeine Informationen zu einem Auftrag aus der Seite Aufträge oder der Seite Auftragsarchiv.
■
Die Seite Auftragsarchiv zeigt alle Aufträge.
5.1.1 Nicht abgeschlossene, fehlgeschlagene und kürzlich abgeschlossene Aufträge anzeigen 1. Klicken Sie im Abschnitt INFORMATION der Menüleiste auf Aufträge. 2. Die Spalte Status auf der Seite Auftragsansicht zeigt den Auftragsstatus an, zum Beispiel Endgültig fehlgeschlagen. 3. Im Feld Aktualisierungsintervall (in Sek.) können Sie auswählen, wie oft die Seite Auftragsstatus aktualisiert werden soll. 4. Um weitere Details zu einem Auftrag einzusehen, klicken Sie auf das Anzeigen Lupensymbol neben den gewünschten Auftrag. Die Seite Auftragsdetails wird angezeigt. Neben allgemeinen Informationen zum Auftrag (zum Beispiel Gerätename, Paketname, Ersteller) zeigt diese Ansicht die Status, die ein bestimmter Auftrag durchlaufen hat, inklusive Zeitstempel und Fehlercodes. Wenn Kommandos vom Gerät auszuführen sind, wird auf der Seite Auftragsdetails zusätzlich eine Schaltfläche Details angezeigt.
9
Sophos Mobile Control (in Sophos Central)
5. Falls verfügbar, klicken Sie auf Details, um die vom Gerät auszuführenden Kommandos einzusehen. Die an das Gerät geschickten Kommandos sind Teil des Auftrags. Sie werden von der SMC-App oder vom MDM-Client ausgeführt. Die Ergebnisse, die Erfolg oder Fehlschlag angeben, werden an den Server zurück gesendet. Ist kein Fehler aufgetreten, so lautet der Fehlercode "0". Ist ein Kommando fehlgeschlagen, so wird der entsprechende Fehlercode angezeigt. Meistens werden auch Informationen dazu angezeigt, was den Fehlschlag verursacht haben könnte. 6. Um zur Seite Auftragsdetails zurückzukehren, klicken Sie auf Zurück.
5.1.2 Auftragsarchiv anzeigen 1. Klicken Sie im Abschnitt INFORMATION der Menüleiste auf Aufträge. 2. Klicken Sie auf der Seite Auftragsstatus auf Auftragsarchiv. Die Seite Auftragsarchiv wird angezeigt. Sie zeigt alle abgeschlossenen und fehlgeschlagenen Aufträge im System. 3. Auf dieser Seite können Sie folgende Aufgaben durchführen: ■ ■
■
Klicken Sie auf Neu laden, um die Seite Auftragsarchiv zu aktualisieren. Löschen Sie einen Auftrag aus dem Archiv , indem Sie auf das Löschen-Symbol neben dem relevanten Auftrag klicken. Wählen Sie mehrere Aufträge aus und klicken Sie auf Gewählte löschen, um sie aus dem Archiv zu löschen.
Um zur Seite Auftragsstatus zurückzugehen, klicken Sie in der Menüleiste auf Aufträge.
5.1.3 Auftragsstatus Die folgende Tabelle bietet einen Überblick der Auftragsstatus, die auf den Seiten Auftragsstatus und Auftragsarchiv angezeigt werden. Jedem Status ist eine Farbe zugeordnet, welche die Statuskategorie anzeigt.
Farbschlüssel Status
Beschreibung
Angenommen
Auftrag wurde erstellt.
Wiederholung geplant
Auftrag wird später wiederholt.
Gestartet
Auftrag wurde gestartet.
In Bearbeitung
Auftragsausführung wird vorbereitet.
Auftragspaket wird bearbeitet Auftragspaket-Ausführung wird vorbereitet.
10
Benachrichtigt
SMC App wurde benachrichtigt.
Befehle gesendet
SMC App hat das Paket oder die Kommandos erhalten.
Administratorhilfe
Farbschlüssel Status
Beschreibung
Ergebnisauswertung gestartet
SMC App hat geantwortet und die Auswertung des Ergebnisses wurde gestartet.
Ergebnis unvollständig
Ergebnisauswertung hat ergeben, dass noch nicht alle Ergebnisse des Kommandos empfangen wurden.
Warte auf Benutzer-Aktion
Eine Benutzer-Aktion auf dem Gerät steht aus.
Gerät ist gesperrt
Auftrag wartet darauf, dass das Gerät entsperrt wird (nur für iOS).
Erfolgreich
Paket wurde installiert oder die Kommandos wurden erfolgreich ausgeführt. Hinweis: Für die Ersteinrichtung (Provisionierung) der App Sophos Mobile Control muss der Auftrag mit dem Status Installiert beendet werden.
Installiert
Die App Sophos Mobile Control wurde erfolgreich installiert. Das Gerät ist nun provisioniert.
Ergebnisauswertung fehlgeschlagen
Ergebnisauswertung konnte nicht durchgeführt werden.
Auftrag teilweise fehlgeschlagen
Nicht alle Kommandos des Auftrags konnten erfolgreich ausgeführt werden.
Verschoben
Auftrag wird später erneut gestartet.
Fehlgeschlagen (wird wiederholt)
Auftrag ist fehlgeschlagen und wird später wiederholt.
Auftrag fehlgeschlagen
Auftrag ist fehlgeschlagen und wird nicht wiederholt.
Endgültig fehlgeschlagen
Auftrag ist fehlgeschlagen und kann nicht wiederholt werden.
Nicht gestartet
Auftrag ist Teil eines Auftragspakets und wurde noch nicht ausgeführt.
Sitzung angefordert
Eine AirPlay-Sitzung wurde angefordert (nur für iOS).
Unbekannt
Der Server hat keine Information zum Auftragsstatus.
Farbschlüssel Kategorie Offen
11
Sophos Mobile Control (in Sophos Central)
Farbschlüssel Kategorie In Bearbeitung Erfolgreich Fehlgeschlagen Sonstiges
12
Administratorhilfe
6 Allgemeine Einstellungen Auf der Seite Allgemeine Einstellungen können Sie einige grundlegende Einstellungen für Sophos Mobile Control konfigurieren.
6.1 Persönliche Einstellungen konfigurieren Damit Sie die Sophos Mobile Control Konsole möglichst effizient nutzen können, lässt sich die Benutzeroberfläche so anpassen, dass nur die Plattformen, mit denen Sie arbeiten möchten, angezeigt werden. Hinweis: Mit der Konfiguration der Plattformen ändern Sie lediglich die Ansicht für den aktuell angemeldeten Benutzer. Sie können an dieser Stelle keine Funktionen deaktivieren. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen > Allgemein und öffnen Sie dann die Registerkarte Persönlich. 2. Konfigurieren Sie folgende Einstellungen: Option
Beschreibung
Zeitzone
Wählen Sie die Zeitzone für die Datumsanzeige aus.
Maßsystem
Wählen Sie das Maßsystem für Längenwerte aus (Metrisch oder Imperial).
Datensätze pro Tabellenseite Wählen Sie die maximale Anzahl an Tabellenzeilen aus, die pro Seite angezeigt werden sollen. Erweiterte Gerätedetails anzeigen
Aktivieren Sie dieses Kontrollkästchen, um alle verfügbaren Informationen über das Gerät anzuzeigen. Die Registerkarten Benutzerdefinierte Eigenschaften und Interne Eigenschaften werden der Seite Gerät anzeigen hinzugefügt.
Aktivierte Plattformen
Wählen Sie die Plattformen aus, die Sie für den Kunden verwalten wollen: Android iOS Windows Mobile (beinhaltet Windows Phone 8.1 und Windows 10 Mobile) Windows Desktop Die Benutzeroberfläche der Sophos Mobile Control Konsole wird entsprechend der ausgewählten Plattformen angepasst. Es werden nur Ansichten und Features angezeigt, die für die ausgewählten Plattformen relevant sind.
3. Klicken Sie auf Speichern.
13
Sophos Mobile Control (in Sophos Central)
6.2 Einstellungen der SMC-App konfigurieren Auf der Registerkarte SMC App der Seite Allgemeine Einstellungen konfigurieren Sie Einstellungen für die App Sophos Mobile Control auf Android-, iOS- und Windows-Mobile-Geräten. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Allgemein und öffnen Sie anschließend die Registerkarte SMC App. 2. Konfigurieren Sie folgende Einstellungen: Option
Beschreibung
Deregistrierung über die App Dies entfernt die Schaltfläche Deregistrieren in der App Sophos deaktivieren Mobile Control, um zu verhindern, dass Benutzer ihr Gerät aus der App heraus deregistrieren. Hinweis: Um eine Deregistrierung durch den Benutzer vollständig zu verhindern, deaktivieren Sie zusätzlich die Option Gerät deregistrieren in den Einstellungen für das Self Service Portal. Siehe Self Service Portal Einstellungen konfigurieren (Seite 17).
3. Klicken Sie auf Speichern.
6.3 Baidu Cloud Push aktivieren Sophos Mobile Control verwendet den Dienst Google Cloud Messaging (GCM), um Push-Benachrichtigungen an Android-Geräte zu senden, damit diese sich mit dem Sophos Mobile Control Server verbinden. In China funktioniert GCM wahrscheinlich nicht. Sophos Mobile Control kann darum zusätzlich Baidu Cloud Push verwenden, einen chinesischen Dienst für Push-Benachrichtigungen. Falls Sie Android-Geräte verwalten, die sich in China befinden, aktivieren Sie folgendermaßen Baidu Cloud Push: 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Allgemein und öffnen Sie anschließend die Registerkarte Android. 2. Wählen Sie im Abschnitt Baidu Cloud Push die Option Baidu Cloud Push aktivieren aus. 3. Klicken Sie auf Speichern. Wenn Baidu Cloud Push aktiviert ist, sendet Sophos Mobile Control alle Push-Benachrichtigungen sowohl über GCM als auch über Baidu Cloud Push.
6.4 Einstellungen für iOS konfigurieren Auf der Registerkarte iOS der Seite Allgemeine Einstellungen konfigurieren Sie spezielle Einstellungen für iOS-Geräte. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Allgemein und öffnen Sie anschließend die Registerkarte iOS.
14
Administratorhilfe
2. Konfigurieren Sie folgende Einstellungen: Option
Beschreibung
Aktivierungssperre-Umgehung Wählen Sie Aktivieren aus, um bei betreuten Geräten eine Aktivierungssperre umgehen zu können. Wenn diese Option ausgewählt ist, ruft Sophos Mobile Control einen Umgehungs-Code ab, wenn es sich mit einem betreuten Gerät synchronisiert, bei dem eine Aktivierungssperre eingerichtet ist. Bei Bedarf können Sie auf der Seite Gerät anzeigen des Gerätes die Aktion Aktivierungssperre-Umgehung ausführen, um die Aktivierungssperre zu entfernen, wenn das Gerät zurückgesetzt und neu bereitgestellt werden soll. Die Aktivierungssperre ist eine Sicherheitsfunktion von iOS, um im Falle eines Geräteverlustes oder Diebstahls eine neue Geräte-Aktivierung zu verhindern. Normalerweise benötigen Sie die bei der Einrichtung angegebene Apple-ID und das Kennwort, um eine Aktivierungssperre zu entfernen. Mit Hilfe der Aktivierungssperre-Umgehung können Sie die Aktivierungssperre entfernen, indem Sie lediglich den Umgehungs-Code angeben.
Gerätenamen synchronisieren Wählen Sie Aktivieren aus, um iOS-Geräte unter dem Namen zu verwalten, der im Gerät konfiguriert ist. Wenn diese Option aktiviert ist, liest Sophos Mobile Control den Gerätenamen bei jeder Synchronisierung. Wenn diese Option deaktiviert ist, legen Sie den Gerätenamen bei der Registrierung fest.
3. Klicken Sie auf Speichern.
6.5 Poll-Intervall für Windows-Geräte konfigurieren Für Windows-Geräte können Sie das Poll-Intervall konfigurieren, in dem sich der Windows-MDM-Client mit dem Sophos Mobile Control Server verbindet. Normalerweise verwendet der Server Push-Benachrichtungen, um sich mit den Clients zu verbinden. Polling wird nur zur Sicherheit verwendet, falls der Push Notification Service nicht verfügbar ist. Hinweis: Die Standardwerte sind in den meisten Fällen ausreichend. Kürzere Intervalle wirken sich negativ auf Akkulaufzeit und Datenverbrauch aus und verursachen eine höhere Server-Last. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Allgemein und öffnen Sie anschließend die Registerkarte Windows. 2. Wählen Sie Poll-Intervalle für die verschiedenen Windows-Betriebssysteme aus. Sie können individuelle Einstellungen vornehmen für: ■ ■
Geräte mit Windows 10 Mobile und Windows Phone 8.1 Geräte mit Windows 10 Desktop
3. Klicken Sie auf Speichern.
15
Sophos Mobile Control (in Sophos Central)
6.6 E-Mail konfigurieren Auf der Registerkarte E-Mail-Konfiguration konfigurieren Sie die Einstellungen für E-Mails, die von Sophos Mobile Control an die Benutzer verschickt werden. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Allgemein und öffnen Sie anschließend die Registerkarte E-Mail-Konfiguration. 2. Wählen Sie in der Liste Sprache die Sprache aus, in der die E-Mails verschickt werden. 3. Klicken Sie auf Speichern.
6.7 Kontaktdetails für technische Unterstützung konfigurieren Für die technische Unterstützung im Falle von Benutzerfragen oder -problemen können Sie Kontaktdetails bereitstellen. Die Informationen, die Sie hier eingeben, werden in der App „Sophos Mobile Control“ angezeigt. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen > Allgemein und öffnen Sie dann die Registerkarte Technischer Kontakt. 2. Geben Sie die erforderlichen Informationen für den technischen Kontakt ein. 3. Klicken Sie auf Speichern.
6.8 Kundeneigenschaften definieren Sie können für jeden Kunden spezifische Eigenschaften definieren. Wenn Sie eine Eigenschaft Meine Eigenschaft festlegen, können Sie in Profilen und Richtlinien den Platzhalter %_CUSTPROP(Meine Eigenschaft)_% verwenden, um den Wert der Eigenschaft zu referenzieren. Sie können dies zum Beispiel verwenden, um Domänen zu referenzieren, die nur für den Kunden gelten. Einzelheiten zur Verwendung von Platzhaltern in Profilen und Richtlinien finden Sie in Platzhalter in Profilen und Richtlinien (Seite 58). So definieren Sie eine Kundeneigenschaft: 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Allgemein und öffnen Sie anschließend die Registerkarte Kundeneigenschaft. 2. Klicken Sie auf Kundeneigenschaft hinzufügen. 3. Geben Sie einen Name und einen Wert für die neue Eigenschaft ein. 4. Klicken Sie auf Anwenden, um die Eigenschaft hinzuzufügen. 5. Klicken Sie auf Speichern, um die Kundeneinstellungen zu speichern.
16
Administratorhilfe
7 Self Service Portal konfigurieren Mit dem Self Service Portal können Sie IT-Aufwände reduzieren, indem Sie den Benutzern ermöglichen, eigenständig Geräte zu registrieren und andere Aufgaben auszuführen, ohne dazu den Helpdesk zu kontaktieren. Über die Menüleiste können Sie Einstellungen für die Verwendung des Self Service Portal konfigurieren. Zum Beispiel: ■
Für welche Plattformen Geräte registriert werden können.
■
Welche Funktionen verfügbar sind.
■
Welche Benutzer berechtigt sind, das Self Service Portal zu verwenden.
7.1 Self Service Portal Einstellungen konfigurieren 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen und klicken Sie anschließend auf Self Service Portal. Die Seite Self Service Portal wird angezeigt. 2. Konfigurieren Sie auf der Registerkarte Konfiguration folgende Einstellungen: a) Wählen Sie in der Liste Maximale Anzahl an Geräten die maximale Anzahl an Geräten aus, die ein Benutzer im Self Service Portal registrieren kann. Hierdurch wird gewährleistet, dass die Anzahl verfügbarer Lizenzen nicht überschritten wird. b) Wählen Sie in der Liste Vorauswahl Gerätebesitzer aus, ob neue Geräte als Firmengeräte oder als Privatgeräte eingestuft werden, und ob die Benutzer diese Einstellung ändern dürfen, wenn sie ihre Geräte über das Self Service Portal registrieren. Sie können eine der folgenden Einstellungen auswählen: ■
Keine Vorauswahl: Der Gerätetyp wird im Self Service Portal nicht vorausgewählt. Benutzer können den Gerätetyp auswählen.
■
Firmengerät (vorausgewählt): Im Self Service Portal ist Firmengerät vorausgewählt. Benutzer können diese Einstellung in Privatgerät ändern.
■
Firmengerät (fest): Gerätetyp kann nicht ausgewählt werden. Als Besitzer wird Firma angezeigt.
■
Privatgerät (vorausgewählt): Im Self Service Portal ist Privatgerät vorausgewählt. Benutzer können diese Einstellung in Firmengerät ändern.
■
Privatgerät (fest): Gerätetyp kann nicht ausgewählt werden. Als Besitzer wird Privat angezeigt.
c) Wählen Sie unter Verfügbare Funktionen die Funktionen aus, die Benutzern im Self Service Portal zur Verfügung stehen sollen. Die Funktionen variieren je nach Geräteplattform. Siehe Verfügbare Self-Service-Portal-Einstellungen (Seite 19).
17
Sophos Mobile Control (in Sophos Central)
3. Konfigurieren Sie auf der Registerkarte Nutzungsbedingungen eine Mobil-Richtlinie, einen Haftungshinweis oder eine Vereinbarung. Dieser Text wird im ersten Schritt angezeigt, wenn Benutzer ihre Geräte registrieren. Benutzer müssen diesem Text zustimmen, bevor sie fortfahren können. Für den Text werden HTML-Formatierungs-Tags unterstützt. Der Text wird entsprechend im jeweiligen Browser angezeigt. 4. Konfigurieren Sie auf der Registerkarte Installations-Abschlusstext den Text, der im Self Service Portal nach der automatischen Installation angezeigt wird. Mit diesem Text können Sie den Benutzern die nächsten Schritte mitteilen, zum Beispiel die Konfiguration des Servers in der iOS-App oder die Konfiguration der E-Mail-App bei Android. Für den Text werden HTML-Formatierungs-Tags unterstützt. Der Text wird entsprechend im ausgewählten Browser angezeigt. 5. Konfigurieren Sie auf der Registerkarte Gruppeneinstellungen die Gruppeneinstellungen, zum Beispiel die Gerätegruppen, zu denen registrierte Geräte hinzugefügt werden, und das Auftragspaket, welches auf die Geräte übertragen wird. Wichtig: Aufgrund der komplexen Konfigurationsmöglichkeiten der Gruppeneinstellungen empfehlen wir, dass Sie die Geräteregistrierung mit verschiedenen Benutzergruppen testen, bevor Sie die Einstellungen Ihren Benutzern zur Verfügung stellen. a) Klicken Sie auf Hinzufügen. Die Seite Gruppeneinstellungen bearbeiten wird angezeigt. b) Geben Sie einen Name für die Self Service Portal Konfigurationsgruppe ein. c) Geben Sie im Feld Verzeichnisgruppe die Self Service Portal Gruppe ein, die Sie definiert haben. In diesem Feld können Sie den Platzhalter * als erstes, letztes oder einziges Zeichen verwenden, um mehrere Gruppen anzugeben. Zum Beispiel: Geben Sie Dev* ein, um alle Gruppen anzugeben, die mit der Zeichenfolge Dev beginnen. Geben Sie * ein, um alle verfügbaren Gruppen anzugeben. d) Wählen Sie aus, ob die Texte, die auf den Registerkarten Nutzungsbedingungen und Installations-Abschlusstext konfiguriert sind, angezeigt werden sollen. e) Wählen Sie in den Spalten Einrichtungspaket - Firmengeräte und Einrichtungspaket - Privatgeräte das Auftragspaket (für Android und iOS) bzw. die Richtlinie (für Windows Mobile und Windows Desktop) aus, die auf Firmengeräten und Privatgeräten ausgeführt werden soll. f) Wählen Sie in der Spalte Aktiv die Plattformen aus, die im Self Service Portal verfügbar sein sollen. Damit Sie eine Plattform auswählen können, müssen Sie erst ein Einrichtungspaket auswählen. g) Wählen Sie in der Spalte Einfügen in Gerätegruppe die Gruppe, zu der das Gerät hinzugefügt werden soll. Hinweis: In der Menüleiste ist eine Gerätegruppe Default verfügbar. Wenn Sie noch keine eigenen Gerätegruppen definiert haben, können Sie Geräte zu dieser Gruppe hinzufügen. Weitere Informationen finden Sie in Gerätegruppen (Seite 54). h) Klicken Sie auf Anwenden. 6. Die Seite Self Service Portal wird angezeigt. Klicken Sie auf Speichern.
18
Administratorhilfe
7.2 Verfügbare Self-Service-Portal-Einstellungen Die folgende Tabelle zeigt die Funktionen des Self Service Portal, die Sie aktivieren oder deaktivieren können (siehe Self Service Portal Einstellungen konfigurieren (Seite 17)) und die jeweils unterstützten Geräteplattformen.
Einstellung
Beschreibung
Gerätestandort bestimmen
Mit dieser Funktion können Benutzer ihre Geräte bei Verlust oder Diebstahl orten.
Gerät sperren
Mit dieser Funktion können Benutzer ihre Geräte bei Verlust oder Diebstahl sperren.
Neukonfiguration
Mit dieser Funktion können Benutzer ihre Geräte neu konfigurieren, wenn Sophos Mobile Control vom Gerät entfernt wurde, das Gerät jedoch noch registriert ist.
Android
iOS
Windows Mobile
Windows Desktop
Compliance-Verstöße Mit dieser Funktion können anzeigen Benutzer die vorhandenen Compliance-Verstöße ihrer Geräte anzeigen. Daten aktualisieren
Mit dieser Funktion können Benutzer ihre Geräte manuell mit dem Sophos Mobile Control Server synchronisieren. Dies ist zum Beispiel nützlich, wenn das Gerät längere Zeit ausgeschaltet war und daher nicht mit dem Server synchronisiert wurde. In diesem Fall entspricht das Gerät möglicherweise nicht den Compliance-Regeln und muss mit dem Server synchronisiert werden, damit es die Regeln wieder erfüllt.
Kennwort zurücksetzen
Mit dieser Funktion können Benutzer das Kennwort für das Entsperren des Bildschirms zurücksetzen. Für Geräte mit Android und iOS wird ein temporäres Kennwort im Self Service Portal angezeigt. Das Gerät
19
Sophos Mobile Control (in Sophos Central)
Einstellung
Beschreibung
kann nur mit diesem Kennwort entsperrt werden. Nach dem Entsperren kann der Benutzer ein neues Kennwort festlegen. Für iOS-Geräte wird das Kennwort vollständig gelöscht. Der Benutzer muss innerhalb von 60 Minuten ein neues Kennwort definieren. Zurücksetzen
Mit dieser Funktion können Benutzer Ihre registrierten Geräte bei Verlust oder Diebstahl auf den Auslieferungszustand zurücksetzen. Alle Daten auf dem Gerät werden gelöscht. Auf Geräten, die bei Android for Work registriert sind, wird nur das Arbeitsprofil entfernt. Das Gerät selber wird nicht zurückgesetzt.
Gerät deregistrieren
Mit dieser Funktion können Benutzer Geräte deregistrieren, die nicht mehr benutzt werden. Dies ist zum Beispiel nützlich, wenn die Anzahl an Geräten, die Benutzer im Self Service Portal registrieren können, begrenzt ist, oder wenn Benutzer ein neues Gerät erhalten.
Nicht registriertes Gerät löschen
Mit dieser Funktion können Benutzer deregistrierte Geräte löschen.
App-Protection-Kennwort Mit dieser Funktion können zurücksetzen Benutzer ihr App-Protection-Kennwort auf Android Geräten zurücksetzen. Das App-Protection-Kennwort schützt definierte Apps und muss jedes Mal eingegeben werden, wenn Benutzer diese Apps starten. Das Kennwort wird gelöscht und die Benutzer müssen ein neues Kennwort definieren.
20
Android
iOS
Windows Mobile
Windows Desktop
Administratorhilfe
Einstellung
Beschreibung
Android
iOS
Windows Mobile
Windows Desktop
Sophos-Container-Kennwort Mit dieser Funktion können zurücksetzen Benutzer das Sophos-Container-Kennwort zurücksetzen. Das Sophos-Container-Kennwort muss jedes Mal eingegeben werden, wenn Benutzer eine der Container-Apps starten. Das Kennwort wird gelöscht und die Benutzer müssen ein neues Kennwort definieren. SMC-App neu konfigurieren
Mit dieser Funktion können Benutzer eine bereits installierte App Sophos Mobile Control neu konfigurieren.
21
Sophos Mobile Control (in Sophos Central)
8 Systemeinstellungen 8.1 Zertifikate für den Apple Push Notification Service Um das integrierte Mobile Device Management (MDM) Protocol von iOS-Geräten verwenden zu können, muss Sophos Mobile Control den Apple Push Notification Service (APNs) zum Triggern der Geräten benutzen. APNs-Zertifikate haben eine Gültigkeit von einem Jahr. Zur Benachrichtigung über den bevorstehenden Ablauf des Zertifikats sendet Sophos Mobile Control mehrere E-Mail-Erinnerungen an die Administratoren, beginnend 30 Tage vor dem Ablaufdatum. Die folgenden Abschnitte beschreiben die Voraussetzungen und die nötigen Schritte, um Zugang zu den APNs-Servern mit Ihrem eigenen Client-Zertifikat zu bekommen.
8.1.1 Anforderungen Für die Kommunikation mit dem Apple Push Notification Service (APNs) muss TCP-Datenverkehr über folgende Ports erlaubt werden: ■
Der Sophos Mobile Control Server muss sich mit gateway.push.apple.com:2195 TCP (17.0.0.0/8) verbinden.
■
Jedes iOS-Gerät, das ausschließlich über eine WLAN-Verbindung verfügt, muss sich mit *.push.apple.com:5223 TCP (17.0.0.0/8) verbinden können.
8.1.2 APNs-Zertifikat erstellen Diese Prozedur setzt voraus, dass Sie noch kein Zertifikat für den Apple Push Notification Service (APNs) zu Sophos Mobile Control hochgeladen haben. Informationen zur Erneuerung eines vorhandenen Zertifikats finden Sie in APNs-Zertifikat erneuern (Seite 23). Tipp: Sie können dasselbe Zertifikat für mehrere Kunden verwenden. Siehe APNs-Zertifikat in einen anderen Kunden kopieren (Seite 24). 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Systemeinstellungen und öffnen Sie anschließend die Registerkarte iOS APNs. Führen Sie anhand der Anleitung auf der Registerkarte die notwendigen Schritte durch, um ein Zertifikat bei Apple anzufordern und es zu Sophos Mobile Control hochzuladen. 2. Klicken Sie im Schritt Certificate Signing Request herunterladen auf CSR herunterladen. Hierdurch wird die CSR-Datei apple.csr auf Ihrem Computer gespeichert. Die CSR-Datei gilt nur für den aktuellen Kunden.
22
Administratorhilfe
3. Sie benötigen eine Apple-ID. Auch wenn Sie bereits eine Apple-ID haben, empfehlen wir Ihnen, für den Gebrauch mit Sophos Mobile Control eine separate ID zu erstellen. Klicken Sie im Schritt Apple-ID erstellen auf Neue Apple-ID erstellen. Hierdurch wird die Apple-Internetseite geöffnet, auf der Sie eine Apple-ID für Ihr Unternehmen erstellen können. Hinweis: Verwahren Sie die Anmeldedaten an einem sicheren Ort, auf den auch Ihre Arbeitskollegen zugreifen können. Ihr Unternehmen benötigt diese Anmeldedaten jedes Jahr, um das Zertifikat zu erneuern. 4. Als Referenz tragen Sie Ihre neue Apple-ID im Feld Apple-ID oben auf der Registerkarte iOS APNs ein. Wenn Sie das Zertifikat jährlich erneuern, müssen Sie dazu immer dieselbe Apple-ID verwenden. 5. Klicken Sie im Schritt APNs-Zertifikat erstellen oder erneuern auf Apple Push Certificates Portal. Hierdurch wird das Apple Push Certificates Portal geöffnet. 6. Melden Sie sich mit Ihrer Apple-ID an und laden Sie die CSR-Datei apple.csr hoch. 7. Laden Sie die APNs-Zertifikatdatei mit der Endung .pem herunter und speichern Sie diese. 8. Klicken Sie im Schritt APNs-Zertifikat hochladen auf Zertifikat hochladen und wählen Sie die Datei mit der Endung .pem aus, die Sie vom Apple Push Certificates Portal erhalten haben. 9. Klicken Sie auf Speichern, um das APNs-Zertifikat zu Sophos Mobile Control hinzuzufügen. Sophos Mobile Control liest das Zertifikat ein und zeigt die Zertifikatdetails auf der Registerkarte iOS APNs an.
8.1.3 APNs-Zertifikat erneuern Diese Prozedur setzt voraus, dass Sie schon ein Zertifikat für den Apple Push Notification Service (APNs) zu Sophos Mobile Control hochgeladen haben, das abläuft und erneuert werden muss. Informationen zum Erstellen und Hochladen eines neuen Zertifikats finden Sie in APNs-Zertifikat erstellen (Seite 22). Wichtig: Es ist wichtig, dass Sie im Apple-Portal das korrekte APNs-Zertifikat zum Erneuern auswählen. Falls Sie ein falsches Zertifikat erneuern, müssen Sie möglicherweise sämtliche iOS-Geräte erneut registrieren. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Systemeinstellungen und öffnen Sie anschließend die Registerkarte iOS APNs. 2. Klicken Sie im Schritt Certificate Signing Request herunterladen auf CSR herunterladen. Hierdurch wird die CSR-Datei apple.csr auf Ihrem Computer gespeichert. 3. Überspringen Sie den Schritt Apple-ID erstellen. Dieser Schritt ist nur erforderlich, wenn Sie erstmalig ein APNs-Zertifikat für Sophos Mobile Control erstellen. 4. Klicken Sie im Schritt APNs-Zertifikat erstellen oder erneuern auf Apple Push Certificates Portal. Hierdurch wird das Apple Push Certificates Portal geöffnet. 5. Melden Sie sich mit Ihrer Apple ID an. Dies muss dieselbe ID sein, die Sie auch bei der erstmaligen Erstellung des Zertifikats verwendet haben. 6. Klicken Sie im Apple Push Certificates Portal auf Renew neben Ihrem Sophos Mobile Control APNs-Zertifikat.
23
Sophos Mobile Control (in Sophos Central)
7. Laden Sie die zuvor erzeugte CSR-Datei apple.csr hoch. 8. Laden Sie die APNs-Zertifikatdatei mit der Endung .pem herunter und speichern Sie diese. 9. Klicken Sie im Schritt APNs-Zertifikat hochladen auf Zertifikat hochladen und wählen Sie die Datei mit der Endung .pem aus, die Sie vom Apple Push Certificates Portal erhalten haben. 10. Klicken Sie auf Speichern. Wichtig: Falls folgende Meldung angezeigt wird, erneuern Sie nicht das richtige Zertifikat: Das Topic des neuen Zertifikats stimmt nicht mit dem alten Zertifikat überein. Wenn mit dem vorherigen Zertifikat Geräte eingerichtet worden sind, müssen diese erneut eingerichtet werden. Wollen Sie Ihre Änderungen wirklich speichern? Diese Meldung macht Sie darauf aufmerksam, dass Sie dabei sind, ein neues APNs-Zertifikat mit einer abweichenden Kennung zu erstellen. Wenn Sie die Meldung bestätigen, können alle vorhandenen iOS-Geräte nicht mehr verwaltet werden und Sie müssen diese erneut registrieren. Informationen, wie Sie das richtige Zertifikat ermitteln, finden Sie in Zu erneuerndes APNs-Zertifikat identifizieren (Seite 25).
8.1.4 APNs-Zertifikat in einen anderen Kunden kopieren Sie können ein Zertifikat für den Apple Push Notification Service (APNs) in eine andere Instanz von Sophos Mobile Control kopieren. Wichtig: Falls am Kopierziel bereits ein APNs-Zertifikat vorhanden ist, ist es wichtig, dass die Zertifikateigenschaft Topic des zu kopierenden Zertifikats mit dem Topic des vorhandenen Zertifikats übereinstimmt. Falls Sie ein falsches Zertifikat kopieren, müssen Sie möglicherweise sämtliche iOS-Geräte des Kunden erneut registrieren. Zu kopierendes Zertifikat herunterladen: 1. Melden Sie sich an der Sophos Mobile Control Konsole an. Verwenden Sie die Zugangsdaten eines Administrators für den Kunden, dessen APNs-Zertifikat Sie kopieren wollen. 2. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Systemeinstellungen und öffnen Sie anschließend die Registerkarte iOS APNs. 3. Notieren Sie sich den Wert für Topic, der bei den Zertifikatdetails angezeigt wird. 4. Klicken Sie auf Zertifikat als PKCS#12-Datei herunterladen. 5. Im Bestätigungsdialog wird das Kennwort für die Zertifikat-Datei angezeigt. Notieren Sie sich dieses Kennwort und klicken Sie anschließend auf Herunterladen. Die Zertifikatdatei apns_cert.p12 wird auf Ihrem Computer gespeichert. Zertifikat zum Ziel hochladen: 6. Melden Sie sich an der Sophos Mobile Control Konsole an. Verwenden Sie die Zugangsdaten eines Administrators für den Kunden, zu dem Sie das Zertifikat hochladen wollen. 7. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Systemeinstellungen und öffnen Sie anschließend die Registerkarte iOS APNs. 8. Falls bereits ein Zertifikat vorhanden ist, überprüfen Sie, dass der Wert für Topic mit dem Wert des zu kopierenden Zertifikats übereinstimmt.
24
Administratorhilfe
9. Klicken Sie im Schritt APNs-Zertifikat hochladen auf Zertifikat hochladen und suchen Sie nach der Datei apns_cert.p12, die Sie zuvor heruntergeladen haben. 10. Geben Sie das Kennwort ein und klicken Sie auf Anwenden. 11. Klicken Sie auf Speichern.
8.1.5 Zu erneuerndes APNs-Zertifikat identifizieren Wenn Sie, wie in APNs-Zertifikat erneuern (Seite 23) beschrieben, Ihr Zertifikat für den Apple Push Notification Service (APNs) erneuern, ist es wichtig, dass Sie im Apple-Portal das richtige APNs-Zertifikat zum Erneuern auswählen. Dieser Abschnitt beschreibt, wie Sie das aktuell auf den Sophos Mobile Control Server hochgeladene APNs-Zertifikat identifizieren. Ermitteln Sie die Zertifikat-Kennung: 1. Melden Sie sich an der Sophos Mobile Control Konsole an. Verwenden Sie die Zugangsdaten eines Administrators für den Kunden, dessen APNs-Zertifikat erneuert werden muss. 2. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Systemeinstellungen und öffnen Sie anschließend die Registerkarte iOS APNs. 3. Im Abschnitt Inhalt des Apple Push Notification (APN) Keystores werden die Details des hochgeladenen APNs-Zertifikats angezeigt. 4. Notieren Sie sich den für Topic angezeigten Wert. Dies ist die Zertifikat-Kennung. Identifizieren Sie das Zertifikat: 5. Öffnen Sie in Ihrem Webbrowser die URL des Apple Push Certificates Portal, https://identity.apple.com/pushcert/. Falls Sie den Microsoft Internet Explorer verwenden und Probleme mit bestimmten Funktionen des Apple-Portals haben, empfehlen wir Ihnen, stattdessen eine aktuelle Version der Webbrowser Firefox, Opera, Chrome oder Safari zu verwenden. 6. Melden Sie sich mit Ihrer Apple-ID an, die Sie auch bei der erstmaligen Erstellung des Zertifikats verwendet haben. 7. Klicken Sie in der Liste der APNs-Zertifikate auf das Symbol Zertifikat-Info neben einem Zertifikat. Die Zertifikatdetails werden angezeigt. 8. Ermitteln Sie, welcher Wert im Feld Subject DN nach der Zeichenkette UID= steht. Wenn dieser Wert mit der Kennung übereinstimmt, die Sie in der Sophos Mobile Control Konsole ermittelt haben, haben Sie das richtige Zertifikat identifiziert.
8.1.6 APNs-Verbindung von Geräten überprüfen Unter iOS können Benutzer der App Sophos Mobile Control überprüfen, ob ihre Geräte sich mit dem Apple Push Notification Service (APNs) verbinden können. 1. Tippen Sie in der App „Sophos Mobile Control“ auf das Symbol Information, um die Ansicht Über zu öffnen. 2. Tippen Sie auf APNs überprüfen. Die App versucht, eine Verbindung zum Apple-APNs-Server aufzubauen. Dies kann bis zu 5 Sekunden dauern.
25
Sophos Mobile Control (in Sophos Central)
Wenn Sie einen Hinweis erhalten, dass der APNs-Server erreicht werden konnte, kann das Gerät Kommandos vom Sophos Mobile Control Server mittels APNs erhalten. Wenn Sie einen Hinweis erhalten, dass der APNs-Server nicht erreicht werden konnte, ist die APNs-Kommunikation in Ihrem Netzwerk nicht möglich. In diesem Fall kann Sophos Mobile Control keine iOS-Geräte verwalten. Um dies zu beheben, müssen Sie sicherstellen, dass die in Anforderungen (Seite 22) beschriebenen Voraussetzungen erfüllt sind.
8.2 iOS-AirPlay-Wiedergabegeräte konfigurieren Mit Sophos Mobile Control können Sie das Spiegeln von Inhalten per AirPlay zwischen einem iOS-Gerät und einem vordefinierten AirPlay-Wiedergabegerät (zum Beispiel AppleTV) remote auslösen. Hinweis: AirPlay funktioniert nur innerhalb eines Netzwerks. Sie können die Wiedergabegeräte für die Spiegelung per AirPlay definieren. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung und danach auf Systemeinstellungen. Öffnen Sie anschließend die Registerkarte iOS AirPlay. 2. Klicken Sie im Abschnitt AirPlay-Wiedergabegeräte auf AirPlay-Wiedergabegeräte erstellen. Die Seite AirPlay-Wiedergabegerät wird angezeigt. 3. Geben Sie den Gerätename (Pflichteingabe) und die MAC-Adresse (optional) ein. Falls notwendig, geben Sie das Kennwort für das AirPlay-Wiedergabegerät ein. 4. Klicken Sie auf Anwenden. Das Gerät wird unter AirPlay-Wiedergabegeräte auf der Registerkarte iOS AirPlay der Seite Systemeinstellungen angezeigt. 5. Klicken Sie auf Speichern. Sie können die Spiegelung per AirPlay zwischen einem iOS-Gerät und diesem Wiedergabegerät auslösen, indem Sie auf der Seite Gerät anzeigen für das gewünschte Gerät im Menü Aktionen auf Request AirPlay-Wiedergabe anfordern klicken.
8.3 Samsung-Knox-Lizenz Wenn Ihr Unternehmen eine Samsung-Knox-Premium-Lizenz erworben hat, geben Sie auf der Registerkarte Samsung-Knox-Lizenz den Lizenzschlüssel, die Lizenzanzahl und das Ablaufdatum ein, um den Knox-Container auf Ihren Samsung-Knox-Geräten mit Sophos Mobile Control zu verwalten.
8.4 SCEP konfigurieren Sie können Simple Certificate Enrollment Protocol (einfaches Zertifikat-Registrierungs-Protokoll, kurz SCEP) konfigurieren, um Zertifikate bereitzustellen. Auf diese Weise können Geräte Zertifikate über SCEP bei einer Zertifizierungsstelle beziehen. In der Sophos Mobile Control Konsole können Sie alle Einstellungen festlegen, die für den Zugriff auf einen CA-Server über SCEP erforderlich sind. Die für Geräte benötigten SCEP-Einstellungen legen Sie bei Android und iOS in einem Geräteprofil und bei Windows Mobile in einer Richtlinie fest.
26
Administratorhilfe
8.4.1 Voraussetzungen Um das Simple Certificate Enrollment Protocol (SCEP) nutzen zu können, müssen die folgenden Voraussetzungen erfüllt sein: ■
In der Netzwerk-Umgebung muss eine SCEP-fähige Windows-CA vorhanden sein.
■
Die Anmeldedaten für einen Benutzer, der einen Challenge-Code erstellen kann, sind verfügbar.
■
Der Sophos Mobile Control Server hat http- oder https-Zugriff auf die folgenden Adressen: ■
https://YOUR-SCEP-SERVER/CertSrv/MSCEP_ADMIN
■
https://YOUR-SCEP-SERVER/CertSrv/MSCEP
8.4.2 SCEP konfigurieren 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen und danach auf Systemeinstellungen. Öffnen Sie anschließend die Registerkarte SCEP. 2. Machen Sie die folgenden Angaben: a) Geben Sie im Feld SCEP Server URL https://IHR-SCEP-SERVER/CertSrv/MSCEP ein. b) Geben Sie im Feld Challenge URL https://IHR-SCEP-SERVER/CertSrv/MSCEP_ADMIN ein. Hinweis: Wenn Sie einen Windows 2003-Server als SCEP-Server verwenden, geben Sie https://IHR-SCEP-SERVER/CertSrv/MSCEP ein. c) Geben Sie in den Feldern Benutzer und Kennwort die Zugangsdaten des Benutzers ein, der einen Challenge-Code erstellen kann. Hinweis: Geben Sie im Feld Benutzer einen Benutzer ein, der über die erforderlichen Berechtigungen für die Bereitstellung von Zertifikaten verfügt. Verwenden Sie das folgende Anmeldeformat: benutzername@domain d) Wählen Sie im Feld Challenge-Zeichen die Zeichenklassen aus, die für das Challenge-Kennwort verwendet werden. e) Akzeptieren Sie im Feld Challenge-Länge die Standardlänge. f) Optional: Deaktivieren Sie die Option HTTP-Proxy verwenden, damit Sophos Mobile Control für Verbindungen mit dem SCEP-Server den HTTP-Proxy umgeht. Diese Option ist nur verfügbar, wenn der HTTP-Proxy aktiviert ist. 3. Klicken Sie auf Speichern. Sophos Mobile Control testet die Verbindung zu Ihrem SCEP-Server. Um mittels SCEP ein Profil zu übertragen, müssen Sie eine Konfiguration vom Typ SCEP zu einem Geräteprofil (für Android oder iOS) oder einer Richtlinie (für Windows Mobile) hinzufügen.
27
Sophos Mobile Control (in Sophos Central)
9 Compliance-Richtlinien Mit Compliance-Richtlinien können Sie: ■
Bestimmte Funktionen eines Geräts erlauben, verbieten oder erzwingen.
■
Aktionen definieren, die ausgeführt werden, wenn gegen eine Compliance-Regel verstoßen wird.
Sie können mehrere Compliance-Richtlinien erstellen und unterschiedlichen Gerätegruppen zuweisen. Somit können Sie verschiedene Sicherheitsstufen auf Ihre verwalteten Geräte anwenden. Tipp: Wenn Sie sowohl Firmengeräte als auch Privatgeräte verwalten möchten, empfehlen wir, zumindest für diese beiden Gerätetypen unterschiedliche Compliance-Richtlinien zu definieren. Hinweis: Es gibt zwei vordefinierte Compliance-Richtlinien. Diese basieren auf den Sicherheitsstandards HIPAA und PCI DSS.
9.1 Compliance-Richtlinie erstellen So erstellen Sie Compliance-Richtlinien: 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Compliance-Richtlinien. 2. Klicken Sie auf der Seite Compliance-Richtlinien auf Compliance-Richtlinie erstellen. 3. Geben Sie einen Name und eine optionale Beschreibung für die neue Compliance-Richtlinie ein. Die Seite Compliance-Richtlinien enthält einzelne Registerkarten für jede Geräteplattform, die für den Kunden aktiviert ist. Wiederholen Sie die folgenden Schritte für alle benötigten Plattformen. 4. Stellen Sie sicher, dass das Kontrollkästchen Plattform aktivieren ausgewählt ist. Wenn dieses Kontrollkästchen nicht aktiviert ist, werden die Geräte der Plattform nicht auf Compliance überprüft. 5. Konfigurieren Sie unter Regel die Compliance-Regeln für die ausgewählte Plattform. Jede Compliance-Regel hat ein festgelegtes Schwere-Level (hoch, mittel, niedrig), das durch blaue Balken dargestellt wird. Die erlaubt Ihnen, die Wichtigkeit jeder Regel zu beurteilen und so eine angemessene Aktion für den Fall eines Regelverstoßes zu definieren. Wenn Sie App-Gruppen definiert haben, können Sie diese den Regeln Erlaubte Apps, Unzulässige Apps und Vorgeschriebene Apps zuweisen.
28
Administratorhilfe
6. Definieren Sie unter Wenn gegen die Regel verstoßen wird, welche Aktionen bei einem Regelverstoß ausgeführt werden: Option
Beschreibung
E-Mail verbieten
E-Mail-Zugriff verbieten. Diese Aktion kann nur ausgeführt werden, wenn Sie eine Verbindung zum internen oder zum externen EAS-Proxy konfiguriert haben. Siehe Verbindung zum internen EAS-Proxy-Server konfigurieren (Seite 199) oder Verbindung zum externen EAS-Proxy-Server konfigurieren (Seite 199).
Container sperren
Sophos Secure Workspace und Secure Email deaktivieren. Dies wirkt sich auf den durch diese Apps verwalteten Zugang zu Dokumenten, E-Mails und Internet aus. Diese Aktion kann nur ausgeführt werden, wenn Sie eine Lizenz vom Typ Mobile Advanced aktiviert haben. Diese Option ist nur für Android-Geräte und Apple-iOS-Geräte relevant.
Admin benachrichtigen
Compliance-E-Mails an ausgewählte Empfänger senden. Die Liste der Empfänger und der Zeitplan sind gemeinsam für alle Compliance-Richtlinien definiert. Siehe weiter unten in diesem Abschnitt.
Auftragspaket übertragen
Ein bestimmtes Auftragspaket an das Gerät übertragen. Wählen Sie ein Auftragspaket aus der Liste aus oder wählen Sie Keine aus, um kein Auftragspaket zu übertragen, wenn ein Regelverstoß festgestellt wird. Wichtig: Bei falscher Anwendung werden durch Auftragspakete möglicherweise Geräte falsch konfiguriert oder sogar auf den Werkszustand zurückgesetzt. Für die Zuweisung der richtigen Auftragspakete zu Compliance-Richtlinien ist weitreichende Erfahrung mit dem System notwendig.
7. Wenn Sie alle Einstellungen für alle erforderlichen Plattformen vorgenommen haben klicken Sie Speichern um die Compliance-Richtlinie zu speichern. Die neue Richtlinie wird auf der Seite Compliance-Richtlinien angezeigt. 8. Wenn Sie die Aktion Admin benachrichtigen für eine der Compliance-Regeln ausgewählt haben, klicken Sie Einstellungen für Compliance-E-Mails um Empfänger und Zeitplan für die Compliance-E-Mails anzugeben. Als Empfänger können Sie entweder den Namen eines Administrators oder eine gültige E-Mail-Adresse eingeben. Hinweis: Dies sind allgemeine Einstellungen, die für alle Compliance-Regeln gelten, bei denen Admin benachrichtigen ausgewählt ist. 9. Klicken Sie auf Speichern, um die Compliance-E-Mail-Einstellungen zu speichern.
29
Sophos Mobile Control (in Sophos Central)
9.2 Verfügbare Compliance-Regeln Die folgende Tabelle zeigt die Compliance-Regeln, die Sie für die einzelnen Plattformen unter Regel auf der betreffenden Registerkarte Geräterichtlinien auswählen können.
Einstellung
Beschreibung
Status „Verwaltet“ erforderlich
Legen Sie fest, welche Aktionen ausgeführt werden, wenn ein Gerät nicht mehr den Status „Verwaltet“ hat.
Minimale Version der Geben Sie die SMC-App Mindestversion der App „Sophos Mobile Control“ ein, die auf dem Gerät installiert sein muss. Rootrechte erlaubt
Wählen Sie aus, ob Geräte mit Root-Rechten erlaubt sind. Hinweis: Bei Sony-Geräten mit Enterprise API 4 oder höher und bei Samsung-Geräten mit Knox 5.5 oder niedriger beinhaltet das auch Geräte, die von der jeweiligen MDM-API als Insecure klassifiziert werden, zum Beispiel, weil der Bootloader entsperrt ist.
Apps aus Wählen Sie aus, ob Apps aus unbekannten Quellen unbekannten Quellen erlaubt erlaubt sind. Android Debug Wählen Sie aus, ob ADB Bridge (ADB) erlaubt (Android Debug Bridge) erlaubt ist. Jailbreak erlauben
Wählen Sie aus, ob Geräte mit Jailbreak erlaubt sind.
Kennwort erforderlich
Wählen Sie aus, ob ein Gerätekennwort oder eine andere Art der Displaysperre (zum Beispiel Muster oder PIN) erforderlich ist. Bei Android umfasst dies die Displaysperre-Arten Muster, PIN und Passwort, aber nicht Wischen.
30
Android
iOS
Windows Mobile
Windows Desktop
Administratorhilfe
Einstellung
Beschreibung
Min. OS-Version
Wählen Sie die kleinste erforderliche Betriebssystemversion aus.
Max. OS-Version
Wählen Sie die größte erlaubte Betriebssystemversion aus.
Android
iOS
Windows Mobile
Windows Desktop
Max. Geben Sie das maximale Synchronisierungsabstand Intervall zwischen Synchronisierungsvorgängen für Geräte an. Maximales Geben Sie das maximale Synchronisierungsintervall Zeitintervall für die der SMC-App Synchronisierung der App Sophos Mobile Control an. Max. Dieses Feld wird nur dann SMSec-Scanintervall angezeigt, wenn für den Kunden Sophos Mobile Security verfügbar ist. Weitere Informationen finden Sie in Sophos Mobile Security verwalten (Seite 202). In diesem Feld können Sie den Höchstabstand zwischen Malware Scans angeben, die von der Sophos Mobile Security App auf dem Gerät durchgeführt werden. Ablehnung von Sophos Mobile Security SMSec-Berechtigungen benötigt auf dem Gerät erlaubt bestimmte Berechtigungen, um korrekt zu funktionieren. Der Benutzer muss diese Berechtigungen bei der App-Installation gewähren. Wählen Sie aus, ob die Verweigerung der benötigten Berechtigungen ein Compliance-Verstoß ist.
Malware-Apps erlaubt
Dieses Feld wird nur dann angezeigt, wenn für den Kunden Sophos Mobile Security verfügbar ist. Wählen Sie aus, ob Malware-Apps erlaubt sind.
31
Sophos Mobile Control (in Sophos Central)
Einstellung
Beschreibung
Verdächtige Apps erlaubt
Dieses Feld wird nur dann angezeigt, wenn für den Kunden Sophos Mobile Security verfügbar ist. Wählen Sie aus, ob verdächtige Apps erlaubt sind.
PUAs erlaubt
Dieses Feld wird nur dann angezeigt, wenn für den Kunden Sophos Mobile Security verfügbar ist. Wählen Sie aus, ob PUAs (Potentially Unwanted Apps) erlaubt sind.
Hardwareverschlüsselung Wählen Sie aus, ob für erforderlich Geräte Verschlüsselung erforderlich ist. Benutzer mit Android 5 oder höher müssen bei der Einrichtung einer Displaysperre zusätzlich die Einstellung PIN zum Starten des Gerätes erforderlich oder Passwort zum Starten des Gerätes erforderlich aktivieren. Siehe den Sophos Knowledgebase-Artikel 123947.
Daten-Roaming erlaubt
Wählen Sie aus, ob für Geräte Daten-Roaming erlaubt ist.
Berechtigung für Diese Einstellung bezieht Standortbestimmung sich auf die Lokalisieren erforderlich Funktion. Legen Sie fest, ob der Benutzer der App Sophos Mobile Control bei der Installation gestatten muss, Ortsdaten abzurufen, damit das Gerät richtlinienkonform ist. Ablehnung von Die App „Sophos Mobile SMC-Berechtigungen Control“ benötigt auf dem erlaubt Gerät bestimmte Berechtigungen, um korrekt zu funktionieren. Der Benutzer muss diese
32
Android
iOS
Windows Mobile
Windows Desktop
Administratorhilfe
Einstellung
Beschreibung
Android
iOS
Windows Mobile
Windows Desktop
Berechtigungen bei der App-Installation gewähren. Wählen Sie aus, ob die Verweigerung der benötigten Berechtigungen ein Compliance-Verstoß ist.
App kann Standortdienste müssen Standortbestimmung aktiviert sein und von der durchführen App „Sophos Mobile Control“ verwendet werden dürfen. Für Windows Mobile betrifft diese Regel nur Geräte mit Windows Phone 8.1.
Berechtigung für Prozesskontrolle erforderlich
Sophos Mobile Security benötigt Nutzungsdatenzugriff, um sicherzustellen, dass blockierte Apps nicht geöffnet werden können und geschützte Apps nach einem Kennwort fragen. Wählen Sie aus, ob die Verweigerung des Nutzungsdatenzugriffs ein Compliance-Verstoß ist.
Erlaubte Apps / Unzulässige Apps
Sie können entweder Erlaubte Apps oder Unzulässige Apps angeben. Wählen Sie zunächst aus der ersten Liste die gewünschte Option aus, und wählen Sie anschließend aus der zweiten Liste die App-Gruppe aus, welche die erlaubten oder unzulässigen Apps enthält. Informationen zur Erstellung von App-Gruppen finden Sie in App-Gruppen (Seite 173). Wenn Sie Erlaubte Apps angeben, sind nur die aufgeführten Apps erlaubt. Wenn andere Apps erkannt werden, ist das Gerät nicht mehr richtlinienkonform. Hinweis: Android-System-Apps sind automatisch erlaubt.
33
Sophos Mobile Control (in Sophos Central)
Einstellung
Beschreibung
Android
iOS
Windows Mobile
Windows Desktop
Wenn Sie Unzulässige Apps angeben, ist das Gerät nicht mehr richtlinienkonform, falls diese Apps erkannt werden.
Erforderliche Apps
Geben Sie Apps an, die installiert sein müssen. Wählen Sie die App-Gruppe mit den erforderlichen Apps aus der Liste aus. Informationen zur Erstellung von App-Gruppen finden Sie in App-Gruppen (Seite 173).
Windows Defender muss eingeschaltet sein
Die Windows-Defender-Einstellung Echtzeitschutz muss eingeschaltet sein.
Windows Defender darf keine Probleme melden
Das Gerät ist nicht richtlinienkonform, wenn Windows Defender Warnungen anzeigt.
Windows-Defender-Definitionen Windows Defender muss die müssen aktuell sein neuesten Spyware-Definitionen verwenden.
9.3 Compliance-Richtlinien einer Gerätegruppe zuweisen 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Gerätegruppen. Die Seite Gerätegruppen wird angezeigt. 2. Klicken Sie auf das blaue Dreieck neben der Gerätegruppe, der Sie eine Geräte-Richtlinie zuweisen wollen, und klicken Sie anschließend auf Bearbeiten. Die Gerätegruppe Default ist standardmäßig vorhanden. Weitere Informationen zum Erstellen eigener Gerätegruppen finden Sie in Gerätegruppe erstellen (Seite 54). 3. Wählen Sie unter Compliance-Richtlinien in den Feldern Firmengeräte und Privatgeräte die Compliance-Richtlinie aus, die angewendet werden sollen. 4. Klicken Sie auf Speichern. Die ausgewählten Geräterichtlinien werden auf der Seite Gerätegruppen für die jeweilige Gerätegruppe unter Compliance-Richtlinie (Firmengeräte) und Compliance-Richtlinie (Privatgeräte) angezeigt.
34
Administratorhilfe
9.4 Geräte auf Compliance-Verstöße prüfen Wenn Sie Compliance-Regeln konfiguriert haben, können Sie prüfen, ob registrierte Geräte die Regeln erfüllen. 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Compliance-Richtlinien. Die Seite Compliance-Richtlinien wird angezeigt. 2. Klicken Sie auf Jetzt prüfen. Alle registrierten Geräte werden nach den unter Compliance-Einstellungen definierten Regeln geprüft. Die festgelegten Aktionen werden ausgeführt. Das Tortendiagramm auf der Seite Dashboard wird entsprechend aktualisiert.
35
Sophos Mobile Control (in Sophos Central)
10 Geräte 10.1 Geräte hinzufügen Sie können Geräte auf folgende Weisen zu Sophos Mobile Control hinzufügen: ■
Geräte manuell hinzufügen. Siehe Gerät hinzufügen (Seite 36).
■
Mit dem Geräteregistrierungs-Assistent ein Gerät zu Sophos Mobile Control hinzufügen, es einem Benutzer zuweisen, es registrieren, und ein Registrierungs-Auftragspaket übertragen. Siehe Verwenden des Geräteregistrierungs-Assistenten, um neue Geräte zuzuordnen und zu registrieren (Seite 38).
■
Benutzern ermöglichen, Geräte eigenständig über das Self Service Portal zu registrieren. Siehe Self Service Portal konfigurieren (Seite 17). Dieses Portal verringert den Aufwand für die IT, weil die Benutzer Aufgaben ausführen können, ohne sich an das Helpdesk wenden zu müssen. Die Geräte werden durch das Ausführen vordefinierter Auftragspakete provisioniert. Siehe Auftragspakete (Seite 155).
Zur Vereinfachung der Geräteverwaltung empfehlen wir Ihnen, Geräte in Gerätegruppen zu organisieren. Siehe Gerätegruppen (Seite 54).
10.1.1 Gerät hinzufügen Wir empfehlen, dass Sie eine oder mehrere Gerätegruppen erstellen, bevor Sie das erste Gerät zu Sophos Mobile Control hinzufügen. Um die Geräteverwaltung zu vereinfachen, können Sie jedes Gerät einer Gerätegruppe zuweisen. Siehe Gerätegruppe erstellen (Seite 54). So fügen Sie ein neues Gerät zu Sophos Mobile Control hinzu: 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. Die Seite Geräte wird angezeigt. 2. Klicken Sie auf Hinzufügen und wählen Sie anschließend im Menüabschnitt Gerät manuell hinzufügen die Plattform aus. Die Seite Gerät bearbeiten wird angezeigt. 3. Geben Sie auf der Seite Gerät bearbeiten die folgenden Gerätedetails an: a) Geben Sie im Feld Name einen eindeutigen Namen für das neue Gerät ein. b) Geben Sie im Feld Beschreibung eine Beschreibung für das neue Gerät ein. c) Wählen Sie unter Besitzer die Option Firma oder Privat. d) Geben Sie im Feld E-Mail-Adresse eine E-Mail-Adresse ein. e) Geben Sie im Feld Telefonnummer die Telefonnummer des neuen Gerätes ein. Geben Sie die Telefonnummer in internationalem Format ein, zum Beispiel +491701234567. f) Wählen Sie unter Gerätegruppe die Gerätegruppe, zu der das Gerät hinzugefügt werden soll. Hinweis: Hier steht eine Default Gerätegruppe zur Verfügung. Wenn Sie noch keine eigenen Gerätegruppen definiert haben, können Sie Geräte zu dieser Gruppe
36
Administratorhilfe
hinzufügen. Weitere Informationen zum Erstellen eigener Gerätegruppen finden Sie in Gerätegruppe erstellen (Seite 54). 4. Um dem Gerät einen Benutzer zuzuweisen, klicken Sie auf das Symbol Benutzerzuweisung bearbeiten neben dem Feld Benutzer und klicken Sie anschließend auf Benutzer zuweisen. Weitere Informationen finden Sie in Benutzer einem Gerät zuweisen (Seite 45). 5. Um benutzerdefinierte Eigenschaften zum Gerät hinzuzufügen, öffnen Sie die Registerkarte Benutzerdefinierte Eigenschaften und klicken Sie auf Benutzerdefinierte Eigenschaft hinzufügen. Weitere Informationen finden Sie in Benutzerdefinierte Geräteeigenschaften (Seite 45). 6. Wenn Sie alle erforderlichen Gerätedetails angegeben haben, klicken Sie auf Speichern. Das neue Gerät wird zu Sophos Mobile Control hinzufügt und auf der Seite Geräte unter VERWALTEN angezeigt. Sie können das Gerät nun provisionieren und verwalten. Hinweis: Wenn Sie konfiguriert haben, dass Sophos Mobile Control den Gerätenamen von iOS-Geräten mit dem Gerät synchronisiert (siehe Einstellungen für iOS konfigurieren (Seite 14)), wird der Name, den Sie im Feld Name eingegeben haben, durch den auf dem Gerät konfigurierten Namen ersetzt.
10.2 Geräte registrieren Nachdem Sie in der Sophos Mobile Control Konsole neue Geräte hinzugefügt haben, müssen diese bei Sophos Mobile Control registriert werden. Sie haben folgende Möglichkeiten: ■
Sie können einzelne, nicht verwaltete Geräte mit der Funktion Geräte registrieren. Weitere Informationen finden Sie in Einzelne Geräte registrieren (Seite 38).
■
Sie können den Geräteregistrierungs-Assistent verwenden, um ein Gerät zu Sophos Mobile Control hinzuzufügen, es einem Benutzer zuzuweisen, es zu registrieren, und ein Registrierungs-Auftragspaket zu übertragen. Siehe Verwenden des Geräteregistrierungs-Assistenten, um neue Geräte zuzuordnen und zu registrieren (Seite 38). Hinweis: Bei Bedarf können Sie den Geräteregistrierungs-Assistent oder die Methode der automatischen Registrierung verwenden, um iOS-Geräte zu registrieren, auf denen keine Apple-ID eingerichtet ist. Dies ist zum Beispiel nützlich, um ein Gerät vor der Übergabe an einen Endbenutzer vorzukonfigurieren. Siehe iOS-Geräte ohne Apple-ID registrieren (Seite 41).
Für eine effiziente Registrierung und Konfiguration mehrerer Geräte empfehlen wir folgende Methoden: ■
Sie können die Aufträge zusammenfassen, die erforderlich sind, Geräte zu registrieren, erforderliche Richtlinien zuzuweisen und Apps zu installieren (zum Beispiel verwaltete Apps im Falle von iOS-Geräten). Weitere Informationen finden Sie in Auftragspakete (Seite 155).
■
Sie können Benutzern ermöglichen, Geräte im Self Service Portal zu registrieren. Nehmen Sie hierzu bei der Konfiguration der Einstellungen für die Benutzung des Self Service Portal ein Auftragspaket für die Registrierung auf. Weitere Informationen zum Erstellen der für die Provisionierung erforderlichen Auftragspakete finden Sie im Dokument Sophos Mobile Control Schnellstart-Anleitung bzw. Sophos Mobile Control as a Service Schnellstart-Anleitung. Weitere Informationen zum Auswählen des Auftragspakets in den Self Service Portal Einstellungen finden Sie in Self Service Portal Einstellungen konfigurieren (Seite 17).
37
Sophos Mobile Control (in Sophos Central)
Hinweis: Wenn Sie in Sophos Central nur eine Lizenz vom Typ Mobile Security aktiviert haben und keine Lizenz vom Typ Mobile Standard, wirkt sich die Geräteregistrierung nur auf die App „Sophos Mobile Security“ aus. Sie können Sophos Mobile Security mit Sophos Mobile Control verwalten. Siehe Sophos Mobile Security verwalten (Seite 202). Darüber hinausgehende Funktionen von Sophos Mobile Control sind nicht verfügbar.
10.2.1 Einzelne Geräte registrieren 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. Die Seite Geräte wird angezeigt. 2. Wählen Sie das gewünschte Gerät aus, klicken Sie auf Aktionen und dann auf Einrichten. Hinweis: Sie können mehrere Geräte zum Einrichten auswählen. 3. Klicken Sie auf Ja, wenn Sie gefragt werden, ob Sie die ausgewählten Geräte einrichten möchten. Der Einrichtungsauftrag wird gestartet und auf der Seite Auftragsansicht angezeigt. Eine E-Mail mit Registrierungsanweisungen wird an den Benutzer verschickt.
10.2.2 Verwenden des Geräteregistrierungs-Assistenten, um neue Geräte zuzuordnen und zu registrieren Mit dem Geräteregistrierungs-Assistent können Sie auf einfache Weise neue Geräte registrieren. Er führt Sie durch die folgenden Arbeitsschritte: ■
Neues Gerät zu Sophos Mobile Control hinzufügen.
■
Dem Gerät einen Benutzer zuweisen.
■
Gerät registrieren.
■
Optional: Ein Auftragspaket an das Gerät übermitteln.
So starten Sie den Geräteregistrierungs-Assistent: 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte und klicken Sie anschließend auf Hinzufügen > Registrierungs-Assistent. Tipp: Alternativ können Sie den Assistenten auch starten, indem Sie im Dashboard auf das Widget Gerät hinzufügen klicken. 2. Geben Sie auf der Seite Suchparameter für Benutzer eingeben Suchkriterien für den Benutzer ein, dem das Gerät zugewiesen werden soll. Klicken Sie auf Weiter, um fortzufahren. 3. Der Assistent zeigt eine Liste passender Benutzer an. Wählen Sie den gewünschten Benutzer aus und klicken Sie auf Weiter.
38
Administratorhilfe
4. Konfigurieren Sie auf der Seite Gerätedetails die folgenden Einstellungen: Option
Beschreibung
Plattform
Das Betriebssystem des Geräts. Sie können nur eine Plattform auswählen, die für den Kunden, an den Sie angemeldet sind, aktiviert ist.
Name
Ein eindeutiger Name, unter dem das Gerät in Sophos Mobile Control verwaltet wird.
Beschreibung
Eine optionale Beschreibung des Geräts.
Telefonnummer
Eine optionale Telefonnummer. Geben Sie die Telefonnummer im internationalen Format an, zum Beispiel +491701234567.
E-Mail-Adresse
Die E-Mail-Adresse, an die die Registrierungsinformationen gesendet wird.
Besitzer
Wählen Sie den Gerätebesitzer: entweder Firma oder Privat.
Gerätegruppe
Wählen Sie die Gerätegruppe aus, zu der das Gerät hinzugefügt werden soll. Wenn Sie noch keine Gerätegruppe erstellt haben, können Sie die Gerätegruppe Default wählen, die immer verfügbar ist.
Wenn Sie fertig sind, klicken Sie auf Weiter. 5. Wählen Sie auf der Seite Paketauswahl ein Auftragspaket, das nach der Registrierung an das Gerät übermittelt werden soll, oder wählen Sie aus, Nur Gerät registrieren, um das Gerät zu registrieren ohne ein Paket zu senden. Hinweis: Es werden nur Auftragspakete angezeigt, die einen Auftrag Registrierung enthalten. Wenn Sie fertig sind, klicken Sie auf Weiter. Das Gerät wird zu Sophos Mobile Control hinzugefügt. 6. Folgen Sie den Anweisungen auf der Seite Registrierung, um die App „Sophos Mobile Control“ auf dem Gerät zu installieren und die Registrierung abzuschließen. 7. Wach dem erfolgreichen Abschluss der Registrierung klicken Sie auf Fertigstellen, um den Geräteregistrierungs-Assistent zu schließen. Hinweis: ■
■
■
Nachdem Sie alle Einstellungen vorgenommen haben, können Sie den Geräteregistrierungs-Assistent schließen, ohne darauf warten zu müssen, dass die Schaltfläche Fertigstellen erscheint. Ein Registrierungsauftrag wird erstellt und im Hintergrund ausgeführt. Wenn Sie ein Auftragspaket ausgewählt haben, dass nach der Registrierung auf das Gerät übertragen wird, können Sie auf der Seite Auftragsstatus den Auftragsstatus überwachen. Siehe Nicht abgeschlossene, fehlgeschlagene und kürzlich abgeschlossene Aufträge anzeigen (Seite 9). Wenn Sie konfiguriert haben, dass Sophos Mobile Control den Gerätenamen von iOS-Geräten mit dem Gerät synchronisiert (siehe Einstellungen für iOS konfigurieren (Seite
39
Sophos Mobile Control (in Sophos Central)
14)), wird der Name, den Sie im Feld Name eingegeben haben, durch den auf dem Gerät konfigurierten Namen ersetzt.
10.2.3 iOS-Geräte automatisch registrieren Sie können iOS-Geräte so konfigurieren, dass sie sich während der Geräteaktivierung automatisch bei Sophos Mobile Control registrieren. Dazu müssen Sie die Geräte mit Hilfe der Software Apple Configurator 2 dem MDM-Server von Sophos Mobile Control zuweisen. Wenn die Benutzer die Geräte erstmalig einschalten, startet der iOS-Einrichtungsassistent. Während der Einrichtung werden die Geräte automatisch bei Sophos Mobile Control registriert. Hinweis: Für die automatische Registrierung muss der Benutzer, der das Gerät aktiviert, für das Sophos Central Self Service Portal registriert sein. Hinweis: Detaillierte Informationen zu Apple Configurator 2 finden Sie in der Apple Configurator 2 Hilfe. So konfigurieren Sie die automatische Registrierung von iOS-Geräten bei Sophos Mobile Control: 1. Zur Vorbereitung der automatischen Registrierung müssen Sie einmalig eine Gerätegruppe erstellen, die Geräten zugewiesen wird, die sich automatisch bei Sophos Mobile Control registrieren. Wählen Sie in den Eigenschaften der Gerätegruppe die Option iOS-Auto-Registrierung aktivieren aus. Siehe Gerätegruppe erstellen (Seite 54). 2. Notieren Sie sich die URL, die im Feld URL für Auto-Registrierung angezeigt wird. Sie benötigen diese URL bei der Konfiguration von Geräten mit Apple Configurator 2. 3. Verbinden Sie das iOS-Gerät, das Sie für die automatische Registrierung konfigurieren wollen, mit einem USB-Anschluss eines Mac-Computers, auf dem Apple Configurator 2 installiert ist. 4. Verwenden Sie in Apple Configurator 2 den Vorbereitungsassistent, um die Gerätekonfiguration einzurichten. 5. Wählen Sie Manuelle Registrierung aus und geben Sie anschließend die Registrierungs-URL der Gerätegruppe ein. 6. Folgen Sie den weiteren Schritten des Vorbereitungsassistent. Optional können Sie folgende Bereiche der Geräteaktivierung konfigurieren: ■ ■ ■
■
Gerät als betreut definieren (Supervision mode). Computer festlegen, mit denen sich das Gerät per USB koppeln darf. Bei betreuten Geräten eine Betreuungsidentität (Supervision Identity) erstellen oder auswählen. Schritte des iOS-Einrichtungsassistent deaktivieren.
Nachdem Sie die Konfiguration abgeschlossen haben, übergeben Sie das Gerät an den Benutzer. Wenn der Benutzer das Gerät erstmalig einschalten, wird die iOS-Einrichtung und die Registrierung bei Sophos Mobile Control so durchgeführt, wie Sie es konfiguriert haben. Tipp: Standardmäßig verwaltet Sophos Mobile Control die automatisch registrierten Geräte unter einem Namen, der aus der Geräte-ID und dem Gerätetyp gebildet wird. Alternativ kann Sophos Mobile Control den Namen verwenden, der auf dem Gerät konfiguriert ist. Siehe die Option Gerätename synchronisieren in Einstellungen für iOS konfigurieren (Seite 14).
40
Administratorhilfe
10.2.4 iOS-Geräte ohne Apple-ID registrieren Sie können ein iOS-Gerät bei Sophos Mobile Control registrieren, auf dem noch keine Apple-ID eingerichtet ist. Dies ist zum Beispiel nützlich, um Geräte vor der Übergabe an einen Endbenutzer vorzukonfigurieren. Das Standard-Registrierungsverfahren beinhaltet die Installation der App „Sophos Mobile Control“ auf dem Gerät. Da die App aus dem App Store installiert wird und für den Zugriff auf den App Store eine Apple-ID erforderlich ist, müssen Sie vor der Registrierung das Gerät mit einer Apple-ID verknüpfen. Alternativ können Sie ein iOS-Gerät auch registrieren, ohne die App Sophos Mobile Control zu installieren. In diesem Fall müssen Sie das Gerät nicht mit einer Apple-ID verknüpfen. Dies ist auf folgende Arten möglich: ■
Mit der automatischen Registrierung. Siehe iOS-Geräte automatisch registrieren (Seite 40).
■
Mit dem Geräteregistrierungs-Assistent. Siehe Verwenden des Geräteregistrierungs-Assistenten, um neue Geräte zuzuordnen und zu registrieren (Seite 38).
Gehen Sie im Geräteregistrierungs-Assistent folgendermaßen vor: 1. Öffnen Sie auf der Seite Registrierung die Registerkarte Registrierung ohne Apple-ID aus. 2. Öffnen Sie im Web-Browser des Gerätes die Registrierungs-URL. Dies öffnet das Registrierungsformular von Sophos Mobile Control. 3. Geben Sie in diesem Formular das Token ein und klicken Sie anschließend auf Registrieren. 4. Folgen Sie den auf dem Gerät angezeigten Anweisungen, um das Registrierungs-Auftragspaket zu installieren.
10.3 Geräte deregistrieren Sie können Geräte deregistrieren, wenn sie nicht mehr benutzt werden, z. B. wenn der Benutzer ein neues Gerät erhält. Dies ist zum Beispiel nützlich, wenn Sie die Anzahl an Geräten, die ein Benutzer über das Self Service Portal registrieren kann, begrenzt haben. 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. Die Seite Geräte wird angezeigt. Diese zeigt alle Geräte, die für diesen Kunden bei Sophos Mobile Control registriert sind. 2. Wählen Sie das gewünschte Gerät aus, klicken Sie auf Aktionen und klicken Sie anschließend auf Deregistrieren. Eine Meldung wird angezeigt, die Sie zur Bestätigung des Deregistrierungsvorgangs auffordert. Hinweis: Sie können mehrere Geräte auswählen, die deregistriert werden. 3. Klicken Sie auf Ja. Das Gerät ist deregistriert. Dadurch werden folgende Vorgänge ausgelöst: Android-Geräte: ■
Der Sophos Mobile Control Geräteadministrator wird deaktiviert.
■
Die Server-Anmeldedaten und alle weiteren erhaltenen Daten werden entfernt.
41
Sophos Mobile Control (in Sophos Central)
■
Die Container-Apps (Sophos Secure Workspace und Sophos Secure Email) sowie die App Sophos Mobile Security werden zurückgesetzt.
iOS-Geräte: ■
Alle Profile werden entfernt.
■
Alle verwalteten Apps werden entfernt.
■
Alle über Mobile Device Management erhaltenen Zertifikate werden entfernt.
■
Die Container-Apps (Sophos Secure Workspace und Sophos Secure Email) werden zurückgesetzt.
10.4 Geräte verwalten In der Menüleiste können Sie unter VERWALTUNG > Geräte und Gerätegruppen Geräte und Gerätegruppen verwalten und eine Reihe von administrativen Aufgaben ausführen. Nachdem Sie Geräte zu Sophos Mobile Control hinzugefügt haben, können Sie zum Beispiel: ■
Gerätedetails anzeigen und bearbeiten.
■
E-Mail-Zugriff für Geräte erlauben oder verbieten.
■
Geräte per Fernzugriff sperren oder entsperren.
■
Geräte-Kennwörter zurücksetzen.
■
Geräte bei Verlust oder Diebstahl per Fernzugriff in den Auslieferungszustand zurücksetzen.
■
Geräte deregistrieren (Android und iOS).
■
Geräte löschen.
10.4.1 Geräte anzeigen 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. Die Seite Geräte wird angezeigt. Diese zeigt alle Geräte, die für diesen Kunden bei Sophos Mobile Control registriert sind. 2. Klicken Sie auf den Namen des gewünschten Gerätes. Die Seite Gerät anzeigen für das ausgewählte Gerät wird angezeigt. Tipp: Auf der Seite Geräte können Sie sich zusätzliche Informationen anzeigen lassen, indem Sie auf bestimmte Elemente zeigen: ■
■
Zeigen Sie auf das Symbol "Nicht verwaltet" eines Gerätes, um den genauen Status wie Deregistriert oder Abgemeldet anzuzeigen. Zeigen Sie auf das Symbol "Nicht richtlinienkonform“ eines Gerätes, um den Schweregrad (hoch, mittel, niedrig) anzuzeigen.
10.4.1.1 Die Seite „Gerät anzeigen“ Auf der Seite Gerät anzeigen werden alle relevanten Informationen für ein einzelnes Gerät angezeigt.
42
Administratorhilfe
Im oberen Teil der Seite können Sie auf einen Blick die wichtigsten Geräteinformationen sehen. Im unteren Teil der Seite werden in mehreren Registerkarten detaillierte Geräteinformationen angezeigt. Die angezeigten Registerkarten und Informationen hängen von der Geräteplattform ab. ■
Profile (Android, iOS) Zeigt die auf dem Gerät installierten Profile an (inklusive Provisionierungsprofile). Die Registerkarte enthält auch Befehle für die Installation oder Deinstallation von Profilen auf Geräten.
■
Richtlinien Zeigt die dem Gerät zugewiesenen Richtlinien an. Auf dieser Registerkarte steht die Schaltfläche Richtlinie zuweisen zur Verfügung, um eine Richtlinie einem Gerät zuzuweisen.
■
Geräteeigenschaften Zeigt die Geräteeigenschaften wie z. B. Eigenschaften für Modell, Modellname oder Betriebssystemversion an. Bei Android-Geräten werden Smartphones ermittelt, die „rooted“ sind, und die relevante Eigenschaft wird angezeigt. Bei iOS-Geräten werden Smartphones mit „Jailbreak“ ermittelt. Die relevante Eigenschaft wird in der Ansicht angezeigt.
■
Eigene Eigenschaften Zeigt benutzerdefinierte Geräteeigenschaften an. Dies sind die Eigenschaften, die Sie selbst anlegen können. Benutzerdefinierte Geräteeigenschaften können zum Beispiel in Platzhaltern verwendet werden, wenn kein Active Directory zur Verfügung steht. Wenn Sie ein Gerät bearbeiten, können Sie hier auch benutzerspezifische Informationen hinzufügen.
■
Interne Eigenschaften Zeigt interne Geräteeigenschaften, z. B. die IMEI, oder ob Active-Sync-Datenverkehr erlaubt ist.
■
Compliance-Verstöße Diese Registerkarte wird nur für Geräte angezeigt, die gegen Compliance-Regeln verstoßen. Angezeigt werden die Compliance-Verstöße des Gerätes und die deshalb ausgeführten Maßnahmen. Diese Maßnahmen werden bei der Konfiguration von Compliance-Richtlinien festgelegt. Siehe Compliance-Richtlinie erstellen (Seite 28).
■
Installierte Apps (Android, iOS) Zeigt die auf dem Gerät installierte Software. Für iOS-Geräte werden in der Spalte Verwaltet auf der Registerkarte Installierte Apps die verwalteten Apps angezeigt. Mit Sophos Mobile Control können Sie solche Apps auf iOS-Geräte übertragen und sie auch stillschweigend wieder entfernen, d.h. ohne Benutzerinteraktion. Für Android-Geräte unterscheidet Sophos Mobile Control zwischen System-Apps und Apps, die der Benutzer auf dem Gerät installiert hat.
43
Sophos Mobile Control (in Sophos Central)
In der Spalte Größe wird der Speicherbedarf für die App selber angezeigt. In der Spalte Daten wird der zusätzliche Speicherbedarf der App anzeigt, zum Beispiel für Nutzerdaten, Konfigurationen oder Ähnliches. Mit der Schaltfläche App installieren können Sie Software auf dem Gerät installieren. Sie können auch verwaltete Apps von iOS-Geräten entfernen, indem Sie auf das Löschen Symbol neben der relevanten App klicken. ■
System-Apps (Android) Zeigt die Android-System-Apps auf dem Gerät an. Hinweis: System-Apps können nicht vom Gerät entfernt werden.
■
Knox-Apps (Android) Diese Registerkarte enthält die Apps, die vom Benutzer im Samsung-Knox-Container installiert wurden.
■
Knox-System-Apps (Android) Diese Registerkarte enthält die System-Apps, die im Samsung-Knox-Container installiert sind.
■
Scan-Ergebnisse (Android) Diese Registerkarte ist nur dann verfügbar, wenn für den Kunden, bei dem Sie angemeldet sind, die Sophos Mobile Security-Funktionalität zur Verfügung steht. Die Registerkarte zeigt die Ergebnisse des letzten Sophos Mobile Security Scan-Vorgangs auf dem Gerät. Sophos Mobile Security ist eine Sicherheits-App für Android-Geräte, die Geräte vor schädlichen Apps schützt und Benutzer beim Erkennen von App-Berechtigungen unterstützt, die möglicherweise ein Sicherheitsrisiko darstellen. Die App kann mit Sophos Mobile Control verwaltet werden. Weitere Informationen finden Sie in Sophos Mobile Security verwalten (Seite 202).
■
Zertifikate Zeigt die auf dem Gerät benutzten Zertifikate an.
■
Aufträge Diese Registerkarte zeigt alle noch nicht abgeschlossenen und fehlgeschlagenen Aufträge sowie die abgeschlossenen Aufträge der letzten Tage an. Diese Aufträge werden Ihnen auch auf der Seite Auftragsstatus angezeigt, zusammen mit den Aufträgen aller anderen Geräte. Siehe Aufträge überwachen (Seite 9).
Von der Seite Gerät anzeigen können Sie direkt auf die Seite Gerät bearbeiten wechseln. Um das angezeigte Gerät zu bearbeiten, klicken Sie auf Bearbeiten.
10.4.1.2 Den erweiterten Gerätefilter verwenden Mit dem erweiterten Gerätefilter können Sie die Gerätelisten nach Ihren Anforderungen filtern. So wenden Sie den Gerätefilter an: 1. Klicken Sie im Titelbereich der Seite Geräte auf die Schaltfläche Erweiterter Filter (Lupensymbol). Das Dialogfeld Gerätefilter: Filter ist nicht aktiv wird angezeigt. 2. Legen Sie die Filterkriterien fest.
44
Administratorhilfe
3. Nachdem Sie die gewünschten Kriterien ausgewählt haben, klicken Sie auf Filtern. Der Filter wird aktiviert und die Geräteliste wird neu geladen. Das Lupensymbol im Titelbereich ändert seine Farbe von Blau zu Grün. Dadurch wird angezeigt, dass der Filter aktiv ist. Um den Filter aufzuheben, klicken Sie erneut auf Erweiterter Filter und dann im Filterdialog auf Aufheben. Hinweis: Denken Sie daran, Filter manuell wieder aufzuheben, wenn sie nicht mehr benötigt werden. Andernfalls enthalten Listen oder Berichte unter Umständen nicht die erwarteten Ergebnisse.
10.4.2 Geräte bearbeiten 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. Die Seite Geräte wird angezeigt. Diese zeigt alle Geräte, die für diesen Kunden bei Sophos Mobile Control registriert sind. 2. Klicken Sie auf das blaue Dreieck neben dem gewünschten Gerät und dann auf Bearbeiten. Die Seite Gerät bearbeiten für das ausgewählte Gerät wird angezeigt. 3. Nehmen Sie die notwendigen Änderungen vor (zum Beispiel Installation oder Entfernen von Software auf der Registerkarte Installierte Apps). Klicken Sie anschließend auf Speichern. Ihre Änderungen werden auf das bearbeitete Gerät angewendet. Hinweis: An Eigenschaften vorgenommene Änderungen treten erst in Kraft, nachdem Sie auf Speichern geklickt haben. Wenn Sie die vorgenommenen Änderungen nicht speichern, haben sie keinerlei Auswirkungen.
10.4.2.1 Benutzer einem Gerät zuweisen 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. 2. Klicken Sie auf der Seite Geräte auf das blaue Dreieck neben dem gewünschten Gerät und dann auf Bearbeiten. 3. Klicken Sie auf der Seite Gerät bearbeiten auf das Symbol Benutzerzuweisung bearbeiten neben dem Feld Benutzer und klicken Sie anschließend auf Anderen Gerätebenutzer zuweisen. 4. Geben Sie im Schritt Suchparameter für Benutzer eingeben des Zuweisungsdialogs einen oder mehrere Suchparameter ein, um die im nächsten Schritt angezeigte Liste der Benutzer zu filtern. Geben Sie zum Beispiel einen Namen oder Teilnamen ein. 5. Wählen Sie im Schritt Benutzer auswählen den gewünschten Benutzer aus und klicken Sie anschließend auf Anwenden. 6. Klicken Sie auf der Seite Gerät bearbeiten auf Speichern.
10.4.2.2 Benutzerdefinierte Geräteeigenschaften Sie können für einzelne Geräte benutzerdefinierte Eigenschaften festlegen. Wenn Sie eine Eigenschaft Meine Eigenschaft festlegen, können Sie in Profilen und Richtlinien den Platzhalter %_DEVPROP(Meine Eigenschaft)_% verwenden, um den Wert der Eigenschaft zu referenzieren. Mit einer benutzerdefinierten Geräteeigenschaft können Sie zum Beispiel den Benutzer referenzieren, der dem Gerät zugewiesen ist. Einzelheiten zur Verwendung von Platzhaltern in Profilen und Richtlinien finden Sie in Platzhalter in Profilen und Richtlinien (Seite 58).
45
Sophos Mobile Control (in Sophos Central)
Hinweis: ■
Sie können keine benutzerdefinierte Geräteeigenschaft mit dem gleichen Namen wie eine Standard-Geräteeigenschaft erstellen.
■
Wenn Sie ein Gerät wie in beschrieben duplizieren, besitzt das neue Gerät dieselben benutzerdefinierten Eigenschaften wie das Ausgangsgerät.
■
Neben den hier beschriebenen benutzerdefinierten Geräteeigenschaften können Sie auch benutzerdefinierte Kundeneigenschaften festlegen. Siehe Kundeneigenschaften definieren (Seite 16).
So definieren Sie eine benutzerdefinierte Geräteeigenschaft: 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen > Allgemein. Stellen Sie sicher, dass auf der Registerkarte Persönlich die Option Erweiterte Gerätedetails anzeigen aktiviert ist. 2. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. Die Seite Geräte wird angezeigt. Diese zeigt alle Geräte, die für diesen Kunden bei Sophos Mobile Control registriert sind. 3. Klicken Sie auf das blaue Dreieck neben dem gewünschten Gerät und dann auf Bearbeiten. 4. Öffnen Sie auf der Seite Gerät bearbeiten die Registerkarte Benutzerdefinierte Eigenschaften und klicken Sie auf Benutzerdefinierte Eigenschaft hinzufügen. 5. Geben Sie einen Name und einen Wert für die neue benutzerdefinierte Geräteeigenschaft ein. 6. Klicken Sie auf Anwenden, um die Eigenschaft hinzuzufügen. 7. Klicken Sie auf Speichern, um die Änderungen für das Gerät zu speichern.
10.4.3 Gerät sperren Sie können Geräte, die von Sophos Mobile Control verwaltet werden, sperren. Dadurch wird die Bildschirmsperre aktiviert. 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. 2. Klicken Sie auf der Seite Geräte auf das blaue Dreieck neben dem Gerät, das Sie sperren oder entsperren wollen, und klicken Sie anschließend auf Anzeigen. 3. Klicken Sie auf der Seite Gerät anzeigen auf Aktionen > Sperren. Ein Auftrag zum Aktiveren der Bildschirmsperre wird erstellt und an das Gerät übertragen. Benutzer müssen ihr Gerätekennwort eingeben (bzw. PIN oder Muster), um das Gerät zu entsperren. Sie können den Auftragsstatus auf der Seite Auftragsstatus anzeigen.
10.5 Apple DEP Mit dem Apple-Programm zur Geräteregistrierung (Device Enrollment Program, kurz DEP) können Sie iOS-Geräte (und OS-X-Geräte) in größeren Mengen kaufen und in Ihrem Unternehmen bereitstellen. DEP vereinfacht mit folgenden Funktionen die Bereitstellung von Mobilgeräten:
46
■
Konfigurierbarer Aktivierungsprozess.
■
Drahtlose Aktivierung des Betreuungsmodus (Supervision mode).
■
Over-The-Air-Konfiguration.
Administratorhilfe
■
Automatische Registrierung von iOS-Geräten bei Sophos Mobile Control während der Geräteaktivierung.
Tipp: Detaillierte Informationen zu DEP finden Sie auf der Apple-Website unter http://www.apple.com/de/business/programs/.
Vorbereitungsschritte Um die Verwaltung von DEP-Geräten mit Sophos Mobile Control einzurichten, führen Sie einmalig die folgenden Schritte aus: 1. Erstellen Sie im Apple-DEP-Web-Portal einen virtuellen MDM-Server und verknüpfen Sie diesen mit Sophos Mobile Control. Siehe Virtuellen MDM-Server einrichten (Seite 47). 2. Erstellen Sie in Sophos Mobile Control ein oder mehrere DEP-Profile, mit denen verschiedene, DEP-spezifische Geräteeigenschaften konfiguriert werden. Mit einem DEP-Profil können Sie außerdem den iOS-Einrichtungsassistent anpassen, der nach dem ersten Einschalten eines Gerätes startet. Siehe DEP-Profil erstellen (Seite 48).
Bereitstellungsschritte Der typische Ablauf zur Bereitstellung gekaufter DEP-Geräte beinhaltet die folgenden Schritte: 1. Kaufen Sie die Geräte von Apple oder einem zugelassenen DEP-Händler. 2. Weisen Sie im Apple-DEP-Portal die Geräte dem Sophos Mobile Control MDM-Server zu. Informationen zu diesem und dem folgenden Schritt finden Sie in DEP-Geräte bereitstellen (Seite 51). 3. Weisen Sie in der Sophos Mobile Control Konsole den Geräten ein DEP-Profil zu. 4. Verteilen Sie die Geräte an Ihre Benutzer. 5. Wenn die Benutzer die Geräte erstmalig einschalten, startet der angepasste iOS-Einrichtungsassistent. Während der Einrichtung werden die Geräte bei Sophos Mobile Control registriert und der Benutzer wird dem Gerät zugewiesen. 6. Bei Bedarf können Sie zusätzliche Auftragspakete auf die Geräte übertragen, um die Provisionierung zu vervollständigen.
10.5.1 Virtuellen MDM-Server einrichten Voraussetzung: Dieser Vorgang setzt voraus, dass Sie sich bereits für das Apple-Programm zur Geräteregistrierung (DEP) registriert haben und ein Administratorkonto für das Apple-DEP-Webportal eingerichtet haben. Hinweis: Detaillierte Informationen zur DEP-Registrierung finden Sie auf der Apple-DEP-Website unter http://www.apple.com/de/business/programs/ oder in der Hilfe zu den Apple Bereitstellungsprogrammen. Tipp: Wenn Sie sich bereits für das Apple-Programm für Volumenlizenzen (VPP) registriert haben, können Sie dieselbe Apple-ID auch für DEP verwenden. Um Apple DEP mit Sophos Mobile Control verwenden zu können, müssen Sie im Apple-DEP-Webportal einen virtuellen MDM-Server erstellen und mit dem Sophos Mobile Control Server verknüpfen. Dies beinhaltet einen Verifizierungsprozess, um eine sichere Verbindung zwischen Sophos Mobile Control und dem Apple-DEP-Webservice herzustellen. So richten Sie einen virtuellen MDM-Server für Sophos Mobile Control ein: 1. Melden Sie sich an der Sophos Mobile Control Konsole an. Verwenden Sie die Zugangsdaten eines Administrators für den Kunden, für den Sie DEP-Geräte verwalten wollen.
47
Sophos Mobile Control (in Sophos Central)
2. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Systemeinstellungen und öffnen Sie anschließend die Registerkarte Apple DEP. 3. Klicken Sie auf Öffentlichen Schlüssel herunterladen, um den öffentlichen Schlüssel von Sophos Mobile Control für Apple DEP herunterzuladen. Die Datei wird abhängig von den Download-Einstellungen Ihres Web-Browsers auf Ihrem Rechner gespeichert. 4. Rufen Sie in einem Browser-Fenster das Apple-DEP-Webportal unter https://deploy.apple.com auf. Sie können hierzu den Link Apple-DEP-Webportal in Sophos Mobile Control klicken. 5. Melden Sie sich am Apple-DEP-Webportal mit der Apple-ID Ihres Unternehmens an. 6. Navigieren Sie zu Device Enrollment Program > Server verwalten und klicken Sie anschließend auf MDM-Server hinzufügen. 7. Geben Sie einen Namen für den MDM-Server ein, zum Beispiel Sophos Mobile Control. 8. Laden Sie im nächsten Schritt die Datei mit dem öffentlichen Schlüssel hoch, die Sie zuvor von Sophos Mobile Control heruntergeladen haben. 9. Laden Sie im nächsten Schritt das Server-Token herunter. Anschließend können Sie sich vom DEP-Portal abmelden. 10. Klicken Sie in Sophos Mobile Control auf der Registerkarte Apple DEP auf Datei hochladen und wählen Sie das Server-Token aus, das Sie vom Apple-DEP-Portal heruntergeladen haben. Die Details Ihres virtuellen MDM-Servers werden angezeigt. 11. Klicken Sie auf Speichern, um Ihre Änderungen zu speichern. Das DEP-Server-Token ist ein Jahr gültig. Zur Benachrichtigung über den bevorstehenden Ablauf des Tokens sendet Sophos Mobile Control mehrere E-Mail-Erinnerungen an alle Administratoren, beginnend 30 Tage vor dem Ablaufdatum. Wichtig: Wenn Sie im Apple-DEP-Webportal ein neues Server-Token erstellen, müssen Sie dieselbe Apple-ID verwenden, die Sie für die Erstausstellung des Tokens verwendet haben.
10.5.2 DEP-Profil erstellen Bevor Sie DEP-Profile erstellen können, müssen Sie das Apple-Programm zur Geräteregistrierung (DEP) einrichten. Siehe Virtuellen MDM-Server einrichten (Seite 47). Ein DEP-Profil wird einem DEP-Gerät zugewiesen und vom Apple-Server während der Geräteaktivierung ausgewertet. Es enthält folgende Informationen: ■
Den MDM-Server (also Sophos Mobile Control), mit dem das Gerät verwaltet wird.
■
Konfigurationseinstellungen für die Registrierung bei Sophos Mobile Control.
■
Eine Liste der Host-Geräte, mit denen das Gerät gekoppelt werden darf.
■
Benutzerdefinierte Einstellungen für den iOS-Einrichtungsassistent, der nach dem ersten Einschalten eines Gerätes startet.
Bei Bedarf können Sie mehrere DEP-Profile erstellen, um verschiedene Einrichtungs- und Konfigurations-Einstellungen für Ihre DEP-Geräte zu verwenden. So erstellen Sie ein DEP-Profil: 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einstellungen > Allgemein und öffnen Sie anschließend die Registerkarte Apple-DEP-Profile. 2. Klicken Sie auf Hinzufügen.
48
Administratorhilfe
3. Geben Sie im Dialog DEP-Profil bearbeiten einen Namen und optional eine Beschreibung für das DEP-Profil ein. 4. Optional: Wählen Sie in der Liste Gerätegruppe eine Gerätegruppe aus, die Geräten zugewiesen wird, wenn diese bei Sophos Mobile Control registriert werden. Informationen zu Gerätegruppen finden Sie in Gerätegruppen (Seite 54). Hinweis: Wir empfehlen, zur Vereinfachung der Geräteverwaltung eine eigene Gerätegruppe für DEP-Geräte zu verwenden. 5. Optional: Wählen Sie in der Liste Auftragspaket ein Auftragspaket aus, das an Geräte übertragen wird, wenn diese bei Sophos Mobile Control registriert werden. Die Liste enthält alle iOS-Auftragspakete, die keinen Registrierungsauftrag enthalten. Informationen zu Auftragspaketen finden Sie in Auftragspakete (Seite 155). 6. Auf der Registerkarte Registrierung können Sie folgende Einstellungen vornehmen: Option
Beschreibung
Gerät betreuen
Das Gerät ist betreut (Supervision mode).
Benutzer kann MDM-Profil entfernen
Der Benutzer kann das Sophos Mobile Control Registrierungsprofil über die iOS-Benutzeroberfläche entfernen. Diese Option kann nur für betreute Geräte deaktiviert werden.
SMC-App installieren
Die App „Sophos Mobile Control“ wird auf dem Gerät installiert. Wenn Sie diese Option aktivieren, müssen Sie außerdem auf der Registerkarte iOS-Einrichtung die Option „Apple-ID“ überspringen deaktivieren. Dies stellt sicher, dass Sophos Mobile Control die App aus dem App Store installieren kann. Hinweis: Alternativ, falls Sie sich für das Apple-Programm für Volumenlizenzen (VPP) registriert haben, kann die App Sophos Mobile Control als VPP-App installiert werden, auch wenn das Gerät nicht mit einer Apple-ID verknüpft ist. Die Geräte müssen den Status Verwaltet haben und iOS 9 oder höher verwenden. Siehe VPP-Apps automatisch zuweisen (Seite 169).
Benutzer kann Zuweisung des Der Benutzer kann den Einrichtungsschritt überspringen, in dem MDM-Profils überspringen das Sophos Mobile Control Registrierungsprofil angewendet wird.
49
Sophos Mobile Control (in Sophos Central)
7. Auf der Registerkarte iOS-Einrichtung können Sie Schritte des iOS-Einrichtungsassistent deaktivieren, der nach dem ersten Einschalten eines Gerätes startet. Hinweis: Diese Einstellungen wirken sich nur auf die iOS-Einrichtung aus. Wenn Sie einen Konfigurationsschritt deaktivieren, kann der Benutzer trotzdem die jeweilige Einstellung nachträglich vornehmen. Um eine Funktion vollständig zu deaktivieren, verwenden Sie eine Konfiguration Einschränkungen. Siehe Konfiguration „Einschränkungen“ (iOS-Geräteprofil) (Seite 104). Option
Beschreibung
„Apps & Daten“ überspringen Der Einrichtungsschritt Apps & Daten wird nicht angezeigt. Der Benutzer kann keine Daten aus einem iCloud- oder iTunes-Backup wiederherstellen, oder Daten von einem Android-Gerät übertragen.
„Daten von Android übertragen“ deaktivieren
Im Einrichtungsschritt Apps & Daten ist die Option Daten von Android übertragen nicht verfügbar. Der Benutzer kann keine Daten von einem Android-Gerät übertragen. Sie können diese Option nur aktivieren, wenn Sie auch „Apps & Daten“ überspringen aktivieren.
„Diagnostics“ überspringen
Der Einrichtungsschritt Diagnostics wird nicht angezeigt. Die Übermittlung von Diagnose- und Nutzungsdaten an Apple ist deaktiviert.
„Ortungsdienste“ überspringen
Der Einrichtungsschritt Ortungsdienste wird nicht angezeigt. Der Benutzer kann keine Ortungsdienste aktivieren.
„Siri“ überspringen
Der Einrichtungsschritt Siri wird nicht angezeigt. Der Benutzer kann Siri nicht einrichten.
„Anzeigezoom“ überspringen Der Einrichtungsschritt Anzeigezoom wird nicht angezeigt. Der Benutzer kann die Bildschirmansicht nicht ändern.
50
„Apple-ID“ überspringen
Der Einrichtungsschritt Apple-ID wird nicht angezeigt. Der Benutzer kann sich nicht mit seiner Apple-ID an Apple-Diensten anmelden.
„Apple Pay“ überspringen
Der Einrichtungsschritt Apple Pay wird nicht angezeigt. Der Benutzer kann keine Kreditkarten- oder Guthabenkarten-Informationen für das Bezahlen mit Apple Pay in Stores oder Apps hinzufügen.
„Touch ID“ überspringen
Der Einrichtungsschritt Touch ID wird nicht angezeigt. Der Benutzer kann keinen Fingerabdruck als Passcode-Ersatz einrichten.
„Code erstellen“ überspringen
Der Einrichtungsschritt Code erstellen wird nicht angezeigt. Der Benutzer kann keinen Passcode zum Entsperren des Gerätes einrichten.
„Nutzungsbedingungen“ überspringen
Der Einrichtungsschritt Nutzungsbedingungen wird nicht angezeigt.
Administratorhilfe
8. Auf der Registerkarte Support-Informationen können Sie folgende Einstellungen vornehmen: Option
Beschreibung
Abteilung
Der Name der Abteilung oder des Standorts, der mit dem Profil verbunden ist. Dieser Name wird mit weiteren Informationen angezeigt, wenn der Benutzer während der Geräteeinrichtung auf Über Konfiguration klickt.
Telefonnummer
Die Support-Telefonnummer für Ihr Unternehmen. Das Feld ist mit der Telefonnummer aus den Kontaktdetails für technische Unterstützung vorausgefüllt. Siehe Kontaktdetails für technische Unterstützung konfigurieren (Seite 16). Hinweis: Die Telefonnummer wird im DEP-Profil gespeichert, ist aber für den Gerätebenutzer nicht verfügbar.
E-Mail
Die Support-E-Mail-Adresse für Ihr Unternehmen. Das Feld ist mit der E-Mail-Adresse aus den Kontaktdetails für technische Unterstützung vorausgefüllt. Siehe Kontaktdetails für technische Unterstützung konfigurieren (Seite 16). Hinweis: Die E-Mail-Adresse wird im DEP-Profil gespeichert, ist aber für den Gerätebenutzer nicht verfügbar.
9. Auf der Registerkarte USB-Kopplung legen Sie Computer fest, mit denen sich das Gerät per USB koppeln darf. Dies kann verwendet werden, um das Gerät mit iTunes zu synchronisieren oder es mit Apple Configurator zu verwalten. ■
■
Um USB-Verbindungen mit beliebigen Host-Computern zuzulassen, wählen Sie USB-Kopplung mit beliebigen Host-Computern erlauben aus. Um USB-Verbindungen zu verbieten oder auf bestimmte Computer zu beschränken, deaktivieren Sie USB-Kopplung mit beliebigen Host-Computern erlauben und laden Sie anschließend für jeden Computer, für den Sie die USB-Kopplung erlauben wollen, eine Zertifikatdatei hoch.
10. Nachdem Sie alle Registerkarten im Dialog DEP-Profil bearbeiten konfiguriert haben, klicken Sie auf Anwenden, um das DEP-Profil zu speichern. 11. Um das Profil allen neuen DEP-Geräten zuzuweisen, denen kein Profil manuell zugewiesen wurde, wählen Sie es in der Liste Standard-DEP-Profil für neue Geräte aus. Wenn Sie Keine auswählen, müssen Sie neuen DEP-Geräten ein DEP-Profil manuell zuweisen wie in DEP-Geräte bereitstellen (Seite 51) beschrieben. Andernfalls werden DEP-Geräte bei der Aktivierung nicht bei Sophos Mobile Control registriert. 12. Klicken Sie auf Speichern, um Ihre Änderungen zu speichern.
10.5.3 DEP-Geräte bereitstellen Führen Sie diesen Vorgang durch, um Ihre Geräte mit Apple DEP zu verbinden und bei Sophos Mobile Control zu registrieren.
51
Sophos Mobile Control (in Sophos Central)
Sie können Geräte verwalten, die Sie entweder bei Apple oder bei einem zugelassenen DEP-Händler erworben haben. Bevor Sie Geräte mit Apple DEP verbinden können, müssen Sie den Händler am Apple-DEP-Portal einrichten. Hinweis: In der Regel führen Sie diesen Vorgang durch, bevor Sie die DEP-Geräte an Ihre Benutzer übergeben und diese die Geräte aktivieren und verwenden. Hinweis: Nur Benutzer, die für das Sophos Central Self Service Portal registriert sind, können DEP-Geräte aktivieren. Hinweis: Detaillierte Informationen zum Apple-DEP-Portal finden Sie in der Hilfe zu den Apple Bereitstellungsprogrammen. So ordnen Sie Ihre Geräte Sophos Mobil Control zu und ordnen ihnen ein DEP-Profil zu: 1. Geben Sie in Ihrem Webbrowser die URL https://deploy.apple.com ein, um das Webportal für die Apple-Bereitstellungsprogramme zu öffnen, und melden Sie sich anschließend mit der Apple-ID Ihres Unternehmens an. 2. Navigieren Sie zu Device Enrollment Program > Geräte verwalten. 3. Wählen Sie im Punkt Geräte auswählen nach Ihre neuen Geräte über die Seriennummer oder die Bestellnummer aus, oder laden Sie eine CSV-Datei mit den Seriennummern hoch. Hinweis: Falls Sie die Geräte bei einem Händler erworben haben, sind diese innerhalb von 24 Stunden, nachdem der Händler Ihre Bestellung an Apple übermittelt hat, im DEP-Portal verfügbar. 4. Wählen Sie im Punkt Aktion auswählen die Option Server zuweisen aus und wählen Sie anschließend den virtuellen MDM-Server aus, den Sie für Sophos Mobile Control eingerichtet haben, wie in Virtuellen MDM-Server einrichten (Seite 47) beschrieben. 5. Klicken Sie auf OK, um die Zuweisung auszuführen. Anschließend können Sie sich vom DEP-Portal abmelden. Wenn Sie ein Standard-DEP-Profil eingerichtet haben wie in DEP-Profil erstellen (Seite 48) beschrieben, können Sie die weiteren Schritte überspringen. 6. Melden Sie sich an der Sophos Mobile Control Konsole an. Verwenden Sie die Zugangsdaten eines Administrators für den Kunden, für den Sie DEP-Geräte verwalten wollen. 7. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte und klicken Sie anschließend auf Apple DEP. Auf der Seite Apple-DEP-Geräte sind alle Geräte aufgelistet, denen Sie Sophos Mobile Control im Apple-DEP-Webportal zugewiesen haben. 8. Falls Geräte nicht angezeigt werden, die Sie erst vor Kurzem zugewiesen haben, klicken Sie auf Mit dem Apple-DEP-Portal synchronisieren. Hinweis: Um die Belastung des Apple-DEP-Servers zu begrenzen, müssen Sie nach jeder Synchronisierung eine kurze Zeit warten, bevor Sie erneut synchronisieren können. 9. Wählen Sie die neuen Geräte aus und klicken Sie anschließend auf Aktionen > Profil zuweisen. 10. Wählen Sie im Bestätigungsdialog das DEP-Profil aus, das Sie den Geräten zuweisen wollen, und klicken Sie anschließend auf OK. Wenn die erworbenen Geräte in Ihrem Unternehmen eintreffen, können Sie sie an Ihre Benutzer übergeben. Es ist keine weitere Konfiguration erforderlich. Wenn die Benutzer die Geräte erstmalig einschalten, werden die iOS-Einrichtung und die Registrierung bei Sophos Mobile Control so durchgeführt, wie Sie es im zugewiesenen DEP-Profil konfiguriert haben.
52
Administratorhilfe
10.5.4 DEP-Geräte verwalten DEP-Geräte werden in Sophos Mobile Control genauso wie Nicht-DEP-Geräte verwaltet. Siehe Geräte verwalten (Seite 42). DEP-Geräten können Sie zusätzlich ein DEP-Profil zuweisen. Das DEP-Profil wird vom Apple-Server während der Geräteaktivierung ausgewertet. Siehe DEP-Profil erstellen (Seite 48). Hinweis: Da ein DEP-Profil nur für die Geräteaktivierung verwendet wird, wirkt sich eine Änderung des zugewiesenen DEP-Profils erst aus, wenn das Gerät zurückgesetzt und neu aktiviert wird. So ändern Sie das DEP-Profil eines Gerätes: 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte und klicken Sie anschließend auf Apple DEP. Auf der Seite Apple-DEP-Geräte sind alle Geräte aufgelistet, denen Sie Sophos Mobile Control im Apple-DEP-Webportal zugewiesen haben. 2. Klicken Sie auf Mit dem Apple-DEP-Portal synchronisieren, um die DEP-Informationen zu aktualisieren. Hinweis: Um die Belastung des Apple-DEP-Servers zu begrenzen, wird die Option Mit dem Apple-DEP-Portal synchronisieren nach jeder Synchronisierung deaktiviert und steht erst nach ein paar Minuten wieder zur Verfügung. 3. Wählen Sie die Geräte aus, denen Sie ein anderes DEP-Profil zuweisen wollen. 4. Klicken Sie auf Aktionen > Profil zuweisen. 5. Wählen Sie im Bestätigungsdialog das DEP-Profil aus, das Sie den Geräten zuweisen wollen, und klicken Sie anschließend auf OK.
53
Sophos Mobile Control (in Sophos Central)
11 Gerätegruppen Gerätegruppen dienen zur Kategorisierung von Geräten. Da sich Aufgaben auch für Gerätegruppen statt für Einzelgeräte ausführen lassen, können Sie Geräte so effizient verwalten. Ein Gerät gehört jeweils immer exakt zu einer Gerätegruppe. Sie weisen ein Gerät einer Gerätegruppe zu, wenn Sie es zu Sophos Mobile Control hinzufügen. Tipp: Gruppieren Sie nur Geräte mit demselben Betriebssystem. Gruppen lassen sich dadurch leichter für Installationen und andere betriebssystemspezifische Aufgaben verwenden.
11.1 Gerätegruppe erstellen 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Gerätegruppen und klicken Sie anschließend auf Gerätegruppe erstellen. 2. Geben Sie auf der Seite Gerätegruppe bearbeiten Name und Beschreibung für die neue Gerätegruppe ein. 3. Wählen Sie unter Compliance-Richtlinien in den Listen Firmengeräte und Privatgeräte die Compliance-Richtlinie aus, die angewendet werden soll. 4. Klicken Sie auf Speichern. Hinweis: Die Einstellungen für die Gerätegruppen enthalten die Option iOS-Auto-Registrierung aktivieren. Mit dieser Option können Sie iOS-Geräte mit dem Apple Configurator bereitstellen. Siehe iOS-Geräte automatisch registrieren (Seite 40) Die neue Gerätegruppe wird angelegt und auf der Seite Gerätegruppen angezeigt.
11.2 Gerätegruppen löschen 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Gerätegruppen. 2. Klicken Sie auf der Seite Gerätegruppen auf das blaue Dreieck neben der zu löschenden Gerätegruppe, und klicken Sie anschließend auf Löschen. 3. Wählen Sie im Bestätigungsdialog eine der verbleibenden Gerätegruppen aus, der die Geräte der aktuellen Gerätegruppe zugewiesen werden. Diese Auswahl ist nur verfügbar, wenn der aktuellen Gerätegruppe Geräte zugewiesen sind. 4. Klicken Sie auf Ja, um die Gerätegruppe zu löschen. Hinweis: Wenn nur eine Gerätegruppe vorhanden ist und dieser Geräte zugewiesen sind, können Sie die Gerätegruppe nicht löschen.
54
Administratorhilfe
12 Profile und Richtlinien Profile Profile sind Einstellungen, die Sie festlegen und anschließend auf einem Gerät oder einer Gerätegruppe installieren. Für die Installation eines Profils auf einem oder mehreren Geräten erstellt Sophos Mobile Control einen Auftrag und führt ihn zu einem festgelegten Zeitpunkt aus. Wenn Sie ein Profil aktualisieren, müssen Sie es erneut installieren, damit die geänderten Einstellungen auf dem Gerät wirksam werden. Es gibt folgende Arten von Profilen: Konfigurationen für Android-Geräteprofile (Seite 61) Konfigurationen für Android-for-Work-Richtlinien (Seite 79) Konfigurationen für Knox-Container-Profile (Seite 98) Konfigurationen für iOS-Geräteprofile (Seite 103)
Richtlinien Richtlinien sind Einstellungen, die Sie festlegen und anschließend einem Gerät oder einer Gerätegruppe zuweisen. Sie können einem Gerät nicht zwei Richtlinien desselben Typs zuweisen. Wenn Sie einem Gerät eine Richtlinie zuweisen, löst dies eine Synchronisierung aus und die Einstellungen werden sofort angewendet. Zugewiesene Richtlinien werden jedes Mal aktualisiert, wenn sich ein Gerät mit dem Sophos Mobile Control Server verbindet. Daher muss eine Richtlinie nicht explizit erneut angewendet werden, wenn Sie diese aktualisieren. Es gibt folgende Arten von Richtlinien: Konfigurationen für Sophos-Container-Richtlinien für Android (Seite 89) Konfigurationen für Mobile-Security-Richtlinien (Seite 98) Konfigurationen für Sophos-Container-Richtlinien für iOS (Seite 130) Konfigurationen für Windows-Mobile-Richtlinien (Seite 140) Konfigurationen für Windows-Desktop-Richtlinien (Seite 149)
12.1 Profil oder Richtlinie erstellen Profile und Richtlinien bestehen aus einer oder mehrerer Konfigurationen. Indem Sie Konfigurationen hinzufügen, definieren Sie den Aufgabenbereich des Profils bzw. der Richtlinie, d.h. die auf den Geräten verwalteten Bereiche. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Profile, Richtlinien und klicken Sie anschließend auf die Plattform, für die Sie ein Profil oder eine Richtlinie erstellen wollen.
55
Sophos Mobile Control (in Sophos Central)
2. Klicken Sie auf der Seite Profile und Richtlinien auf Erstellen. Wenn es für eine Plattform mehrere Arten von Profilen oder Richtlinien gibt, öffnet Erstellen ein Menü, aus dem Sie die gewünschte Option auswählen können. Eine Liste der verfügbaren Arten von Profilen und Richtlinien finden Sie in Profile und Richtlinien (Seite 55). 3. Geben Sie einen Namen, eine Version und eine Beschreibung ein. Pflichtfelder sind mit einem roten Stern (*) markiert. 4. Sophos-Container-Richtlinien enthalten immer eine Konfiguration Allgemein. Diese wird automatisch hinzugefügt. Klicken Sie auf der Seite Richtlinie bearbeiten auf Allgemein, um die Konfiguration anzuzeigen und bei Bedarf anzupassen. 5. Android-for-Work-Richtlinien enthalten immer eine Konfiguration Einschränkungen. Diese wird automatisch der Richtlinie hinzugefügt. Klicken Sie auf der Seite Richtlinie bearbeiten auf Einschränkungen, um die Konfiguration anzuzeigen und bei Bedarf anzupassen. 6. Um weitere Konfiguration zu dem Profil oder der Richtlinie hinzuzufügen, klicken Sie auf Konfiguration hinzufügen und wählen Sie anschließend die gewünschte Konfiguration aus. Hinweis: Einige Konfigurationen werden nur für bestimmte Betriebssystemversionen oder Gerätemerkmale unterstützt. Solche Einschränkungen sind in Sophos Mobile Control durch blaue Label gekennzeichnet. 7. Konfigurieren Sie auf der Einstellungsseite der Konfiguration die gewünschten Einstellungen. 8. Optional: Wiederholen Sie die vorhergehenden Schritte, um weitere Konfigurationen hinzuzufügen. 9. Wenn Sie alle erforderlichen Konfigurationen hinzugefügt haben, klicken Sie auf Speichern. Das Profil oder die Richtlinie wird erstellt. Informationen, wie Sie das Profil oder die Richtlinie auf Geräte anwenden, finden Sie in Profil auf Geräten installieren (Seite 59) bzw. Richtlinie Geräten zuweisen (Seite 59).
12.2 Mit Apple Configurator erstellte iOS-Geräteprofile importieren Sie können mit dem Apple Configurator erstellte Profile in Sophos Mobile Control importieren. Der Apple Configurator kann vom App Store heruntergeladen werden. Hinweis: Geräteprofile werden auf dieselbe Weise importiert wie Provisionierungsprofile für selbstentwickelte iOS-Apps. Wenn Sie eine Profildatei hochladen, analysiert Sophos Mobile Control den Inhalt und verarbeitet die beiden Profilarten entsprechend. 1. Nachdem Sie ein Profil im Apple Configurator erstellt haben, exportieren Sie es (unverschlüsselt und unsigniert) und speichern Sie es auf Ihrem Computer. 2. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Profile, Richtlinien > Apple iOS. 3. Klicken Sie auf der Seite Profile und Richtlinien auf Erstellen > Profil importieren. Die Seite Profil bearbeiten wird angezeigt. 4. Geben Sie in den jeweiligen Feldern einen Namen, eine Beschreibung und optional eine Version für das neue Profil ein. 5. Klicken Sie auf Datei hochladen und navigieren Sie zu der Datei, die Sie auf Ihrem Computer gespeichert haben. Wählen Sie diese aus und klicken Sie auf Öffnen.
56
Administratorhilfe
6. Klicken Sie auf Speichern. Das Profil wird erstellt. Es kann auf Geräten installiert werden. Siehe Profil auf Geräten installieren (Seite 59).
12.3 Provisionierungsprofile für iOS-Apps importieren Wenn Sie eigene iOS-Apps entwickeln, erstellen Sie Provisionierungsprofile, um Ihre Apps über eine IPA-Datei installieren zu können anstatt über den App Store. Sie können diese Provisionierungsprofile auf den Sophos Mobile Control Server hochladen, um sie anschließend an Ihre Geräte zu verteilen. Details zu Provisionierungsprofilen finden Sie in der iOS Developer Library. Hinweis: Sie importieren Provisionierungsprofile auf dieselbe Weise wie mit dem Apple Configurator erstellte Geräteprofile. Wenn Sie eine Profildatei hochladen, analysiert Sophos Mobile Control den Inhalt und verarbeitet die beiden Profilarten entsprechend. 1. Nachdem Sie in Ihrer iOS-Entwicklungsumgebung ein Provisionierungsprofil erstellt haben, speichern Sie dieses auf Ihrem Computer. 2. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Profile, Richtlinien > Apple iOS. 3. Klicken Sie auf der Seite Profile und Richtlinien auf Erstellen > Profil importieren. Die Seite Profil bearbeiten wird angezeigt. 4. Geben Sie in den jeweiligen Feldern einen Namen, eine Beschreibung und optional eine Version für das neue Profil ein. 5. Klicken Sie auf Datei hochladen und navigieren Sie zu der Datei, die Sie auf Ihrem Computer gespeichert haben. Wählen Sie diese aus und klicken Sie auf Öffnen. 6. Klicken Sie auf Speichern. Das Profil wird erstellt. Es kann auf Geräten installiert werden. Siehe Profil auf Geräten installieren (Seite 59).
12.4 Komplexitätsregeln für Windows-Desktop-Kennwörter Bei Windows-Desktop-Geräten gelten feste Regeln für die Kennwortkomplexität (z.B. Länge, Anzahl von Groß- oder Kleinbuchstaben), die nicht über eine Richtlinie in Sophos Mobile Control festgelegt werden können. Es gelten unterschiedlicher Regeln für lokale und für Microsoft-Konten.
Lokale Konten ■
Kennwort darf nicht den Anmeldenamen oder mehr als zwei aufeinanderfolgende Zeichen des Benutzernamens enthalten.
■
Kennwort muss sechs oder mehr Zeichen lang sein.
■
Kennwort muss Zeichen aus drei der folgenden vier Kategorien enthalten: ■
Großbuchstaben A-Z (Lateinisches Alphabet)
■
Kleinbuchstaben a-z (Lateinisches Alphabet)
■
Ziffern 0-9
■
Sonderzeichen (!, $, #, %, etc.)
57
Sophos Mobile Control (in Sophos Central)
Microsoft-Konten ■
Kennwort muss acht oder mehr Zeichen lang sein.
■
Kennwort muss Zeichen aus zwei der folgenden vier Kategorien enthalten: ■
Großbuchstaben A-Z (Lateinisches Alphabet)
■
Kleinbuchstaben a-z (Lateinisches Alphabet)
■
Ziffern 0-9
■
Sonderzeichen (!, $, #, %, etc.)
12.5 Unterstützung von Samsung Knox Sie können Ihre Samsung-Knox-Geräte mit Sophos Mobile Control verwalten. Hinweis: Um Samsung-Knox-Geräte verwalten zu können, müssen Sie in Sophos Mobile Control unter Systemeinstellungen einen von Samsung ausgestellten Knox-Advanced-Lizenzschlüssel eingeben. Informationen zur Konfiguration des Knox-Containers auf Samsung-Geräten finden Sie in Konfigurationen für Knox-Container-Profile (Seite 98). Informationen zur Installation von Apps in einen Samsung-Knox-Container finden Sie in App hinzufügen (Seite 163). Zur Verwaltung Ihrer Samsung-Knox-Geräte können Sie Auftragspakete für die folgenden Aktionen erstellen: ■
Knox-Container: sperren
■
Knox-Container: entsperren
■
Knox-Container: Kennwort zurücksetzen
■
Knox-Container: entfernen (entfernt den Container und alle zugehörigen Einstellungen vom Gerät)
Informationen zum Erstellen eines Auftragspakets für ein Samsung-Knox-Gerät finden Sie in Auftragspaket erstellen (Seite 155).
12.6 Platzhalter in Profilen und Richtlinien Profile und Richtlinien können Platzhalter enthalten, die zum Zeitpunkt der Auftragsausführung durch die eigentlichen Daten ersetzt werden. Sie können folgende Platzhalter in Profilen verwenden: ■
■
Platzhalter für Benutzerinformationen: ■
%_EMAILADDRESS_%
■
%_USERNAME_%
Platzhalter für Geräteeigenschaften: ■
58
%_DEVPROP(Eigenschaftsname)_%
Administratorhilfe
Eigenschaftsname ist entweder eine Standardeigenschaft oder eine benutzerdefinierte Eigenschaft des Gerätes. Siehe Benutzerdefinierte Geräteeigenschaften (Seite 45). ■
Platzhalter für Kundeneigenschaften: ■
%_CUSTPROP(Eigenschaftsname)_% Siehe Kundeneigenschaften definieren (Seite 16).
12.7 Profil auf Geräten installieren 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Profile, Richtlinien und klicken Sie anschließend auf eine Geräteplattform, die Profile unterstützt: ■ ■
Android Apple iOS
Die Seite Profile und Richtlinien für die ausgewählte Plattform wird angezeigt. 2. Klicken Sie auf das blaue Dreieck neben dem Profil, das installiert werden soll, und danach auf Installieren. Die Seite Geräte auswählen wird angezeigt. 3. Auf dieser Seite können Sie folgende Aufgaben durchführen: ■ ■
Wählen Sie einzelne Geräte aus, auf denen Sie die App installieren wollen. Klicken Sie auf Gerätegruppen auswählen und wählen Sie anschließend eine oder mehrere Gerätegruppen aus.
4. Wenn Sie Ihre Auswahl getroffen haben, klicken Sie auf Weiter. Die Seite Ausführungszeit wählen wird angezeigt. 5. Wählen Sie unter Datum die Option Sofort oder geben Sie ein Datum und eine Uhrzeit für die Ausführung des Auftrags an. 6. Klicken Sie auf Fertigstellen. Die Seite Auftragsstatus wird angezeigt. Das Profil wird zum angegebenen Zeitpunkt auf den ausgewählten Geräten installiert. Hinweis: Sie können ein Profil auch folgendermaßen installieren: ■
Erstellen Sie ein Auftragspaket, das einen Auftrag Profil installieren oder Richtlinie zuweisen enthält und übertragen Sie dieses Auftragspaket an die gewünschten Geräte oder Gerätegruppen.
■
Öffnen Sie auf der Seite Gerät anzeigen des Gerätes die Registerkarte Profile und klicken Sie auf Profil installieren.
12.8 Richtlinie Geräten zuweisen 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Profile, Richtlinien und klicken Sie anschließend auf eine Geräteplattform, die Richtlinien unterstützt: ■
Android
59
Sophos Mobile Control (in Sophos Central)
■ ■ ■
Apple iOS Windows Mobile Windows Desktop
Die Seite Profile und Richtlinien für die ausgewählte Plattform wird angezeigt. 2. Klicken Sie auf das blaue Dreieck neben der Richtlinie, die zugewiesen werden soll, und danach auf Zuweisen. Die Seite Geräte auswählen wird angezeigt. 3. Auf dieser Seite können Sie folgende Aufgaben durchführen: ■ ■
Wählen Sie einzelne Geräte aus, denen die Richtlinie zugewiesen werden soll. Klicken Sie auf Gerätegruppen auswählen und wählen Sie eine oder mehrere Gerätegruppen für die Zuweisung der Richtlinie aus.
4. Wenn Sie Ihre Auswahl getroffen haben, klicken Sie auf Fertigstellen. Die Richtlinie wird den ausgewählten Geräten zugewiesen und ein Synchronisierungsvorgang wird ausgelöst. Hinweis: Sie können eine Richtlinie auch folgendermaßen zuweisen: ■
Erstellen Sie ein Auftragspaket, das einen Auftrag Profil installieren oder Richtlinie zuweisen enthält und übertragen Sie dieses Auftragspaket an die gewünschten Geräte oder Gerätegruppen.
■
Öffnen Sie auf der Seite Gerät anzeigen des Gerätes die Registerkarte Richtlinien und klicken Sie auf Richtlinie zuweisen.
Hinweis: Richtlinien können nicht von einem Gerät entfernt werden. Um eine Richtlinie zu deaktivieren, müssen Sie dem Gerät eine andere Richtlinie zuweisen.
12.9 Profil entfernen Sie können ein Profil auf eine der beiden folgenden Weisen von einem Gerät entfernen: ■
Öffnen Sie auf der Seite Gerät anzeigen des Gerätes die Registerkarte Profile. Klicken Sie auf das blaue Dreieck neben dem Profil, das Sie entfernen wollen, und klicken Sie anschließend auf Entfernen.
■
Erstellen Sie ein Auftragspaket mit einem Auftrag Profil entfernen und übertragen Sie dieses an die gewünschten Geräte oder Gerätegruppen.
12.10 Profile und Richtlinien herunterladen Sie können Profile und Richtlinien, die Sie in der Sophos Mobile Control Konsole konfiguriert haben, herunterladen. Dies ist zum Beispiel nützlich, wenn Sie die definierten Einstellungen an den Sophos Support weitergeben möchten. 1. Gehen Sie in der Menüleiste zu Profile, Richtlinien und klicken Sie auf eine Geräteplattform. Die Seite Profile und Richtlinien für die ausgewählte Plattform wird angezeigt. 2. Klicken Sie auf den Namen des gewünschten Profils bzw. der gewünschten Richtlinie. Die Seite Profil anzeigen bzw. die Seite Richtlinie anzeigen wird angezeigt. 3. Klicken Sie auf Herunterladen.
60
Administratorhilfe
Das Profil bzw. die Richtlinie wird folgendermaßen auf Ihrem lokalen Computer gespeichert: ■
iOS-Profile werden als XML-Plist-Dateien mit der Endung .mobileconfig gespeichert.
■
Android-Profile werden als XML-Dateien mit der Endung .smcprofile gespeichert.
■
Android- und iOS-Richtlinien werden als JSON-Dateien gespeichert.
■
■
Windows-Mobile-Richtlinien werden als XML-Dateien mit der Endung .windowsphoneconfig gespeichert. Windows-Desktop-Richtlinien werden als XML-Dateien mit der Endung .windowsdesktopconfig gespeichert.
12.11 Konfigurationen für Android-Geräteprofile Mit einem Android-Geräteprofil konfigurieren Sie verschiedene Bereiche von Android-Geräten, wie zum Beispiel Kennwortrichtlinien, Einschränkungen oder WLAN-Einstellungen. Informationen zum Erstellen eines Geräteprofils finden Sie in Profil oder Richtlinie erstellen (Seite 55).
12.11.1 Konfiguration „Kennwortrichtlinien“ (Android-Geräteprofil) Mit der Konfiguration Kennwortrichtlinien definieren Sie Kennwortregeln für Geräte. Hinweis: Einige Einstellungen werden nur für bestimmte Betriebssystemversionen oder Gerätemerkmale unterstützt. Solche Einschränkungen sind in Sophos Mobile Control durch blaue Label gekennzeichnet.
Kennworttyp Wenn Sie die Konfiguration Kennwortrichtlinien auswählen, wird die Liste Kennworttyp angezeigt. Wählen Sie in dieser Liste die Art des Kennworts, dass Sie definieren wollen:
Einstellung/Feld
Beschreibung
Beliebig
Benutzer müssen eine Displaysperre einrichten. Für die Displaysperre sind die Typen Muster, PIN und Passwort erlaubt. Weitere Einschränkungen bestehen nicht.
Alphabetisch
Benutzer müssen eine Displaysperre vom Typ Passwort einrichten. Zahlen sind erlaubt, aber es muss mindestens auch ein Buchstabe enthalten sein. Sie können eine Mindestzeichenanzahl festlegen. Siehe die nachfolgende Tabelle.
PIN
Benutzer müssen eine Displaysperre vom Typ PIN oder Passwort einrichten. Sie können eine Mindestzeichenanzahl festlegen. Siehe die nachfolgende Tabelle.
61
Sophos Mobile Control (in Sophos Central)
Einstellung/Feld
Beschreibung
Alphanumerisch
Benutzer müssen eine Displaysperre vom Typ Passwort einrichten. Das Kennwort muss sowohl Buchstaben als auch Ziffern enthalten. Sie können eine Mindestzeichenanzahl festlegen. Siehe die nachfolgende Tabelle.
Komplex
Benutzer müssen eine Displaysperre vom Typ Passwort einrichten. Das Kennwort muss sowohl Buchstaben als auch Ziffern enthalten. Sie können eine Mindest-Gesamtzeichenanzahl und eine Mindestanzahl an Ziffern, Klein- und Großbuchstaben und Sonderzeichen festlegen. Siehe die nachfolgenden beiden Tabellen.
Wenn Sie Alphabetisch, PIN, Alphanumerisch oder Komplex auswählen, werden die folgenden Felder angezeigt:
Einstellung/Feld
Beschreibung
Minimale Länge des Kennworts
Die Mindestanzahl an Zeichen, die ein Kennwort enthalten muss.
Inaktivitätsdauer bis zur Abfrage des Kennworts
Die Zeit (in Minuten), nach der das Gerät gesperrt wird, wenn es nicht benutzt wird. Das Gerät lässt sich durch Eingabe des Kennworts entsperren.
Gültigkeitsdauer des Kennworts in Tagen
Fordert eine Änderung des Kennworts im angegebenen Intervall. Wertebereich: 0 (keine Kennwortänderung erforderlich) bis 730 Tage.
Maximale Anzahl fehlerhafter Loginversuche, bis das Gerät zurückgesetzt wird
Die maximale Anzahl fehlgeschlagener Kennwort-Eingabeversuche, nach der das Gerät zurückgesetzt wird.
Anzahl der letzten Kennwörter, die nicht benutzt werden dürfen
Die Anzahl alter Kennwörter, die vom System gespeichert werden. Wenn ein Benutzer ein neues Kennwort festlegt, wird es nicht akzeptiert, falls es mit einem bereits benutzten Kennwort übereinstimmt. Wertebereich: 1 bis 5 oder kein Wert.
Wenn Sie Komplex auswählen, werden zusätzlich die folgenden Felder angezeigt:
62
Administratorhilfe
Einstellung/Feld
Beschreibung
Minimale Anzahl von Buchstaben
Die Mindestanzahl an Buchstaben, die ein Kennwort enthalten muss.
Minimale Anzahl von Kleinbuchstaben
Die Mindestanzahl Kleinbuchstaben, die ein Kennwort enthalten muss.
Minimale Anzahl von Großbuchstaben
Die Mindestanzahl Großbuchstaben, die ein Kennwort enthalten muss.
Minimale Anzahl von Zeichen, die kein Buchstabe sind
Die Mindestanzahl nicht-alphabetischer Zeichen (zum Beispiel & oder !), die ein Kennwort mindestens enthalten muss.
Minimale Anzahl von Ziffern
Die Mindestanzahl an Ziffern, die ein Kennwort enthalten muss.
Minimale Anzahl von Sonderzeichen
Die Mindestanzahl an Sonderzeichen (zum Beispiel !"§$%&/()=,.-;:_@) ein Kennwort mindestens enthalten muss.
12.11.2 Konfiguration „Einschränkungen“ (Android-Geräteprofil) Mit der Konfiguration Einschränkungen definieren Sie Einschränkungen für Geräte.
Sicherheit
Einstellung/Feld
Beschreibung
Verschlüsselung erzwingen
Benutzer müssen ihre Geräte verschlüsseln.
Verschlüsselung von SD-Karten erzwingen
Nachdem das Profil auf einem Gerät installiert wurde, wird der Benutzer aufgefordert, die SD-Karte zu verschlüsseln. Hinweis: Bei manchen Geräten kann der Benutzer den Verschlüsselungsvorgang abbrechen. In diesem Fall wird er beim nächsten Einbinden der SD-Karte erneut aufgefordert.
Schnellverschlüsselung erlauben
Wenn das Kontrollkästchen deaktiviert ist, sind in den Geräteeinstellungen die Optionen zur schnellen Verschlüsselung nicht verfügbar.
63
Sophos Mobile Control (in Sophos Central)
Einstellung/Feld
Beschreibung
Auf Werkseinstellungen zurücksetzen erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer ihre Geräte nicht auf die Werkseinstellungen zurücksetzen.
Entwickleroptionen erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer die Entwickleroptionen nicht ändern.
Safe-Modus erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer ihre Geräte nicht im Safe-Modus starten.
USB-Debuggen erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist USB-Debugging deaktiviert. Hinweis: Für Sony-Geräte mit Enterprise API Version 9 oder höher gilt: Wenn das Kontrollkästchen USB-Debuggen erlauben deaktiviert ist, sind keine Entwickleroptionen verfügbar.
Firmware-Wiederherstellung erlauben
Wenn das Kontrollkästchen deaktiviert ist, sind alle Arten von Firmware-Updates (wie Over-The-Air, Download etc.) deaktiviert.
Sicherung erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer keine Systemsicherung durchführen. Google Backup ist deaktiviert. Andere Backup-Verfahren (zum Beispiel Sophos Mobile Control Backups) sind weiterhin verfügbar.
Einstellungen ändern erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer keine Geräteeinstellungen ändern. Je nach Gerät wird das Symbol für die Einstellungen entfernt.
Zwischenablage erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer die Zwischenablage nicht verwenden. Hinweis: Diese Einstellung gilt nur für Geräte mit Android 4.2.2 oder höher.
Gemeinsame Zwischenablage aktivieren Benutzer können Inhalte aus einer App kopieren und in eine andere App einfügen. Wenn das Kontrollkästchen deaktiviert ist, verwendet jede App eine eigene Zwischenablage. Diese Einstellung ist nur verfügbar, wenn Sie Zwischenablage erlauben aktivieren.
Bildschirmaufnahme erlauben
64
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer keine Aufnahmen des Bildschirminhalts machen.
Administratorhilfe
Einstellung/Feld
Beschreibung
Simulierte Standorte erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer in den Android-Entwickleroptionen keine App für simulierte Standorte einrichten.
Over-The-Air Firmware-Aktualisierung erlauben
Wenn das Kontrollkästchen deaktiviert ist, sind keine Over-The-Air Firmware-Updates möglich.
Audioaufnahmen erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer keine Audioaufnahmen durchführen.
Videoaufnahmen erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer keine Videoaufnahmen durchführen. Fotoaufnahmen sowie das Abspielen von Videos sind möglich.
Aktivierungssperre erlauben
Wenn das Kontrollkästchen deaktiviert ist, sind in den Geräteeinstellungen die Optionen zur Aktivierungssperre nicht verfügbar.
S Beam erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist die Samsung-App „S Beam“ nicht verfügbar.
S Voice erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist die Samsung-App „S Voice“ nicht verfügbar.
„Teilen über“ erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist die Funktion Teilen über deaktiviert.
Konten
Einstellung/Feld
Beschreibung
Mehrere Benutzerkonten erlauben
Wenn das Kontrollkästchen deaktiviert ist, kann auf den Geräten nur ein einzelnes Benutzerkonto eingerichtet werden. Benutzer oder andere Apps können keine weiteren Benutzerkonten erstellen.
Hinzufügen neuer E-Mail-Konten erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer keine E-Mail-Konten hinzufügen. Dies betrifft nicht das Erstellen von Konten über ein Geräteprofil.
Entfernen des Google-Kontos erlauben Wenn das Kontrollkästchen deaktiviert ist, können Benutzer nicht das Google-Konto von ihren Geräten entfernen.
65
Sophos Mobile Control (in Sophos Central)
Einstellung/Feld
Beschreibung
Auto-Sync für Google-Konten erlauben
Wenn das Kontrollkästchen deaktiviert ist, werden Google-Konten nicht automatisch synchronisiert. Benutzer können aber weiterhin eine manuelle Synchronisierung durchführen, zum Beispiel über die App Gmail.
Netzwerk und Kommunikation
Einstellung/Feld
Beschreibung
Flugmodus erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer nicht den Flugmodus aktivieren.
Synchronisierung bei Roaming erlauben Wenn das Kontrollkästchen deaktiviert ist, ist die Synchronisierung bei Mobilfunk-Roaming deaktiviert.
66
Nur Notrufe erlauben
Es sind nur Notrufe möglich. Sonstige Anrufe werden gesperrt.
Bei Roaming nur manuell synchronisieren
Bei Roaming ist die automatische Datensynchronisierung deaktiviert. Dies gilt für alle eingerichteten Konten, wie zum Beispiel Google oder Exchange.
Mobile Datenverbindung erzwingen
Benutzer können mobile Datenverbindungen nicht deaktivieren.
SMS erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer keine SMS senden.
Datenverbindungen bei Roaming erlauben
Wenn das Kontrollkästchen deaktiviert ist, sind bei Roaming keine mobilen Datenverbindungen möglich.
Sprachanrufe bei Roaming erlauben
Wenn das Kontrollkästchen deaktiviert ist, sind bei Roaming keine Sprachanrufe möglich.
Mobildatenlimit für Benutzer erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer kein Limit für mobile Daten einstellen.
VPN erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer keine VPN-Verbindungen verwenden.
Wi-Fi Direct erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist keine Datenübertragung über „Wi-Fi Direct“ möglich.
Administratorhilfe
Einstellung/Feld
Beschreibung
Android Beam erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist keine Datenübertragung über „Android Beam“ möglich. Dies betrifft auch die Samsung-App „S Beam“.
Miracast-Richtlinie erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist keine Datenübertragung über Miracast möglich.
Bluetooth erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist Bluetooth deaktiviert.
NFC erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist NFC (Near Field Communication) deaktiviert.
WLAN erlauben
Wenn das Kontrollkästchen deaktiviert ist, sind keine WLAN-Verbindungen möglich.
Tethering
Einstellung/Feld
Beschreibung
Tethering erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist kein Tethering möglich. Dies beinhaltet Tethering über WLAN, USB und Bluetooth. Hinweis: Wenn das Kontrollkästchen deaktiviert ist, haben die Einstellungen WLAN-Tethering erlauben, USB-Tethering erlauben und Bluetooth-Tethering erlauben keine Wirkung.
WLAN-Tethering erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist kein WLAN-Tethering (WLAN-Hotspot) möglich.
USB-Tethering erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist kein USB-Tethering möglich.
Bluetooth-Tethering erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist kein Bluetooth-Tethering möglich.
Konfigurieren von WLAN-Tethering erlauben
Der Benutzer kann die Einstellungen des WLAN-Hotspots konfigurieren.
67
Sophos Mobile Control (in Sophos Central)
Hardware
Einstellung/Feld
Beschreibung
Kamera erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist die Kamera nicht verfügbar.
GPS für Standortabfragen erzwingen
Für Standortabfragen werden GPS-Informationen verwendet.
SD-Karte erlauben
Wenn das Kontrollkästchen deaktiviert ist, können in den Geräten keine SD-Karten verwendet werden.
Verschieben von Apps auf SD-Karte erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer keine Apps vom internen Speicher auf die SD-Karte verschieben.
Schreiben auf SD-Karte erlauben
Wenn das Kontrollkästchen deaktiviert ist, kann nicht auf eine unverschlüsselte SD-Karte geschrieben werden.
Mikrofon erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist das Mikrofon nicht verfügbar.
USB erlauben
USB-Speichermodus und USB-Media-Player sind auf den Geräten verfügbar.
USB-Media-Player erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist das MTPO (Media Transfer Protocol) nicht verfügbar. Da Android MTP für die Datenübertragung per USB verwendet, ist auch keine Datenübertragungen per USB möglich.
Anwendungen
Einstellung/Feld
Beschreibung
Installation von Apps erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer keine Apps installieren.
Deinstallation von Apps erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer keine Apps deinstallieren.
Installation unsignierter Apps erlauben Wenn das Kontrollkästchen deaktiviert ist, können Benutzer nur signierte APK-Dateien installieren.
68
Administratorhilfe
Einstellung/Feld
Beschreibung
Play Store erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist die App Google Play Store nicht verfügbar. Hinweis: Diese Einstellung gilt nur für Geräte mit Android 4.2.2 oder höher.
Apps aus unbekannten Quellen erlauben Wenn das Kontrollkästchen deaktiviert ist, können Benutzer Apps nur über die App Google Play Store installieren. Nativen Browser erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist der native Browser nicht verfügbar. Browser-Apps von Drittanbietern sind nicht betroffen.
App-Absturzberichte erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Apps keine Absturzberichte senden.
Hintergrundbild-Wechsel erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer nicht den Display-Hintergrund ändern.
Kamera auf Sperrbildschirm erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist die Kamera bei aktiver Displaysperre nicht verfügbar.
Widgets auf Sperrbildschirm erlauben
Wenn das Kontrollkästchen deaktiviert ist, sind bei aktiver Displaysperre keine Widgets verfügbar.
Knox-Kontaktinformationen für private Anrufe erlauben
Auf einem Samsung-Knox-Gerät werden standardmäßig Kontaktinformationen angezeigt, wenn der Benutzer im privaten Modus einen Anruf von einem Knox-Kontakt erhält. Wenn das Kontrollkästchen deaktiviert ist, werden im privaten Modus keine Knox-Kontaktinformationen angezeigt.
Autovervollständigung im Browser erlauben
Der Benutzer kann für den nativen Browser die Autovervollständigung aktivieren. Wenn die Autovervollständigung aktiviert ist, können Webseiten Vorschläge für das Ausfüllen von Formularen machen. Wenn das Kontrollkästchen deaktiviert ist, ist die Autovervollständigung deaktiviert und die entsprechende Browser-Einstellung ist nicht verfügbar.
Cookies im Browser erlauben
Der Benutzer kann für den nativen Browser Cookies aktivieren.Wenn Cookies aktiviert sind, können Webseiten Cookies auf dem Gerät speichern. Wenn das Kontrollkästchen deaktiviert ist, sind Cookies deaktiviert und die entsprechende Browser-Einstellung ist nicht verfügbar.
69
Sophos Mobile Control (in Sophos Central)
Einstellung/Feld
Beschreibung
JavaScript im Browser erlauben
Der Benutzer kann für den nativen Browser JavaScript aktivieren. Wenn JavaScript aktiviert ist, können Webseiten JavaScript-Code auf dem Gerät ausführen. Wenn das Kontrollkästchen deaktiviert ist, ist JavaScript deaktiviert und die entsprechende Browser-Einstellung ist nicht verfügbar.
Popups im Browser erlauben
Der Benutzer kann für den nativen Browser Popups aktivieren. Wenn Popups aktiviert sind, können Webseiten neue Browserfenster öffnen. Wenn das Kontrollkästchen deaktiviert ist, sind Popups deaktiviert und die entsprechende Browser-Einstellung ist nicht verfügbar.
Ändern von Datums- und Zeiteinstellungen erlauben
Der Benutzer kann Datums- und Zeiteinstellungen ändern.
Erlaubte Apps / Unzulässige Apps
Sie können entweder Erlaubte Apps oder Unzulässige Apps konfigurieren. Wählen Sie zunächst aus der ersten Liste die gewünschte Option aus, und wählen Sie anschließend aus der zweiten Liste die App-Gruppe aus, welche die erlaubten oder unzulässigen Apps enthält. Diese Einschränkungen betreffen nicht die App-Installationen, die vom Sophos Mobile Control Server initiiert werden. Informationen zur Erstellung von App-Gruppen finden Sie in App-Gruppen (Seite 173).
12.11.3 Konfiguration „Knox-Premium-Einschränkungen“ (Android-Geräteprofil) Mit der Konfiguration Knox-Premium-Einschränkungen definieren Sie Einschränkungen für Samsung-Knox-Geräte. Diese Einschränkungen gelten für das Gerät, nicht für den Knox-Container.
Option
Beschreibung
Optionen für automatische Firmware-Updates Das Gerät prüft automatisch, ob Firmware-Updates erlauben verfügbar sind. Benutzer können dies nicht in den Geräteeinstellungen ändern. ODE-Trusted-Boot-Verifizierung aktivieren
70
Beim Starten des Gerätes wird die Datenpartition nur entschlüsselt, wenn Binary und Kernel offizielle Versionen des Geräteherstellers sind, d.h., wenn das Gerät nicht „rooted“ ist.
Administratorhilfe
Option
Beschreibung Wenn das Kontrollkästchen deaktiviert ist, wird beim Starten die Datenpartition immer entschlüsselt.
Installation einer anderen Administrations-App Es können keine Apps installiert werden, die verhindern Geräteadministrator-Rechte benötigen. Dies betrifft nicht die Apps, die von Sophos Mobile Control installiert werden. Aktivierung einer anderen Administrations-App Geräteadministrator-Rechte für Apps können nicht verhindern aktiviert werden. Common-Criteria-Modus erlauben
Auf den Geräten wird der Common-Criteria-Modus (CC Mode) aktiviert. Dies stellt sicher, dass die Geräte die im Mobile Device Fundamentals Protection Profile (MDFPP) festgelegten Sicherheitseinstellungen erfüllen. Hinweis: Der CC Mode wird nur angewendet, wenn folgende Bedingungen erfüllt sind: Die Geräteverschlüsselung ist aktiviert. Die Schnellverschlüsselung ist deaktiviert. Die Verschlüsselung des externen Speichers ist aktiviert. Eine maximale Anzahl fehlerhafter Anmeldeversuche ist festgelegt, nach der das Gerät zurückgesetzt wird. Der Zertifikat-Widerruf ist aktiviert. Kennworthistorie (d.h., Verwendung desselben Kennworts nach Ablauf der Gültigkeit) ist deaktiviert.
12.11.4 Konfiguration „App Protection“ (Android-Geräteprofil) Mit der Konfiguration App Protection definieren Sie Anforderungen an Kennwörter, um Apps zu schützen. Wenn App Protection aktiv ist, muss der Benutzer ein Kennwort definieren, wenn er eine geschützte App zum ersten Mal starten. Nach einem fehlgeschlagenen Anmeldeversuch kann der nächste Versuch erst nach einer Wartezeit erfolgen. Wenn App Protection auf einem Gerät aktiv ist, steht im Menü Aktionen der Seite Gerät anzeigen das Kommando App-Protection-Kennwort zurücksetzen zur Verfügung. Außerdem kann der Benutzer das Kennwort für App Protection im Self Service Portal zurücksetzen.
71
Sophos Mobile Control (in Sophos Central)
Einstellung/Feld
Beschreibung
Komplexität des Kennworts
Die minimalen Anforderungen an das vom Benutzer zu definierende Kennwort, zum Beispiel 6-Zeichen Kennwort.
Gültigkeitsdauer in Minuten
Nach Ablauf der Toleranzfrist können Apps nur noch durch Eingabe eines Kennworts entsperrt werden.
App-Gruppe
Wählen Sie die App-Gruppe aus, welche die Apps enthält, die mit einem Kennwort geschützt werden. Informationen zur Erstellung von App-Gruppen finden Sie in App-Gruppen (Seite 173).
12.11.5 Konfiguration „App Control“ (Android-Geräteprofil) Mit der Konfiguration App Control legen Sie fest, welche Apps auf einem Gerät nicht gestartet werden dürfen. Hiermit können Sie zum Beispiel unerwünschte Apps blockieren, die vom Gerätehersteller vorinstalliert worden sind und nicht deinstalliert werden können.
Einstellung/Feld
Beschreibung
App-Gruppe
Wählen Sie die App-Gruppe aus, welche die blockierten Apps enthält. Informationen zur Erstellung von App-Gruppen finden Sie in App-Gruppen (Seite 173).
12.11.6 Konfiguration „Exchange ActiveSync“ (Android-Geräteprofil) Mit der Konfiguration Exchange ActiveSync definieren Sie Benutzereinstellungen für Ihren Microsoft Exchange Server.
Einstellung/Feld
Beschreibung
Kontoname
Der Kontoname.
Exchange-ActiveSync-Host
Die Adresse des Microsoft Exchange Servers. Hinweis: Wenn Sie den SMC-EAS-Proxy verwenden, geben Sie die URL des SMC-Proxy-Servers ein.
Domäne
72
Die Domäne für dieses Konto.
Administratorhilfe
Einstellung/Feld
Beschreibung
Benutzer
Der Benutzername für dieses Konto. Wenn Sie die Variable %_USERNAME_% verwenden, wird diese durch den jeweiligen Benutzernamen ersetzt.
E-Mail-Adresse
Die E-Mail-Adresse des Kontos. Wenn Sie die Variable %_EMAILADDRESS_% verwenden, wird diese durch die jeweilige E-Mail-Adresse ersetzt.
Absender
Ein Absendername für das Konto. Wenn Sie die Variable %_EMAILADDRESS_% verwenden, wird diese durch die jeweilige E-Mail-Adresse ersetzt.
Kennwort
Das Kennwort für dieses Konto. Wenn Sie dieses Feld leer lassen, müssen Benutzer das Kennwort auf ihren Geräten eingeben.
Synchronisierungszeitraum
Der Zeitraum, für den E-Mails synchronisiert werden. Wenn Sie einen Zeitraum angeben, werden nur E-Mail-Nachrichten innerhalb dieses Zeitraums mit dem Posteingang auf den Geräten synchronisiert.
Synchronisierungsintervall
Der zeitliche Abstand zwischen zwei Synchronisierungsvorgängen.
SSL
Die gesamte Kommunikation erfolgt über SSL (Secure Socket Layer). Wir empfehlen, dieses Kontrollkästchen zu aktivieren.
Standardkonto
Das Konto wird als Standard-E-Mail-Konto verwendet.
Alle Zertifikate erlauben
Für die Kommunikation mit dem E-Mail-Server sind alle Zertifikate zugelassen.
Client-Zertifikat
Das Client-Zertifikat für die Verbindung zu ActiveSync.
E-Mail-Weiterleitung erlauben
E-Mail-Weiterleitung erlauben.
HTML-Format erlauben
E-Mails im HTML-Format sind zugelassen.
Max. Größe von Anhängen in MB
Die maximale Größe einer einzelnen E-Mail-Nachricht (1, 3, 5, 10, Unbegrenzt).
73
Sophos Mobile Control (in Sophos Central)
Einstellung/Feld
Beschreibung
Inhalte
Die zu synchronisierenden Inhalte.
Hinweis: Bei Sony-Geräten mit Enterprise API Version 6.x oder niedriger ist es wichtig, dass die Benutzerinformation des Exchange-ActiveSync-Kontos mit dem Benutzer übereinstimmt, der dem Gerät zugewiesen ist. Auf diesen Geräten ist der SMC-Client nicht in der Lage, die ActiveSync-ID an den Server zu schicken. Wenn ein Gerät zum ersten Mal eine Anfrage an den EAS-Proxy von Sophos Mobile Control sendet, ist die vom E-Mail-Client übermittelte ActiveSync-ID in Sophos Mobile Control nicht bekannt. Um die Benutzerdaten zu verifizieren, sucht der EAS-Proxy in Sophos Mobile Control nach einem Gerät mit unbekannter ActiveSync-ID, dem ein Benutzer zugeordnet ist, der mit dem vom E-Mail-Client übermittelten Benutzer übereinstimmt. Wird ein solches Gerät gefunden, wird ihm die ActiveSync-ID zugewiesen und die E-Mail-Anfrage wird an den Exchange-Server weitergeleitet. Andernfalls wird die Anfrage abgewiesen. Einzelheiten hierzu finden Sie im Sophos Knowledgebase-Artikel 121360.
12.11.7 Konfiguration „WLAN“ (Android-Geräteprofil) Mit der Konfiguration WLAN legen Sie Einstellungen für die Verbindung mit WLAN-Netzwerken fest.
Einstellung/Feld
Beschreibung
SSID
Die ID des WLAN-Netzwerks.
Sicherheitstyp
Der Sicherheitstyp des WLAN-Netzwerks: Keine WEP WPA/WPA2 EAP/PEAP EAP/TLS EAP/TTLS Wenn Sie WEP oder WPA/WPA2 auswählen, wird ein Feld Kennwort angezeigt. Geben Sie das relevante Kennwort ein. Wenn Sie eine der EAP-Einstellungen auswählen, werden die Felder Identität, Anonyme Identität und Kennwort angezeigt. Geben Sie die erforderlichen EAP-Informationen ein. Wenn Sie EAP/PEAP oder EAP/TTLS auswählen, wird zusätzlich das Feld Phase 2-Autorisierung angezeigt. Wählen Sie die Art der Autorisierung: PAP CHAP
74
Administratorhilfe
Einstellung/Feld
Beschreibung MSCHAP MSCHAPv2
12.11.8 Konfiguration „VPN“ (Android-Geräteprofil) Mit der Konfiguration VPN definieren Sie VPN-Einstellungen für Netzwerkverbindungen.
Einstellung/Feld
Beschreibung
Verbindungsname
Der Name der Verbindung, der auf dem Gerät angezeigt wird.
Server
Der Host-Name oder die IP-Adresse des Servers.
Verbindungstyp
Der Typ der VPN-Verbindung: L2TP/IPsec (PSK) Wenn Sie diesen Typ auswählen, werden die Felder Benutzer, Kennwort und L2TP/IPsec (PSK) angezeigt. Geben Sie den Benutzer und das Kennwort ein. Geben Sie im Feld L2TP/IPsec (PSK) den Pre-shared Key für die Authentisierung ein. L2TP/IPsec (Zertifikat) Wenn Sie diesen Typ auswählen, werden die Felder Client-Zertifikat, Root-Zertifikat, Benutzer und Kennwort angezeigt. Wählen Sie in den Feldern Client-Zertifikat und Root-Zertifikat die relevanten Zertifikate. Geben Sie außerdem den Benutzer und das zugehörige Kennwort ein.
12.11.9 Konfiguration „Root-Zertifikat“ (Android-Geräteprofil) Mit der Konfiguration Root-Zertifikat installieren Sie ein Root-Zertifikat auf Geräten. Navigieren Sie im Feld Datei zu dem relevanten Zertifikat und klicken Sie auf Datei hochladen. Der Name des Zertifikats wird im Feld Zertifikatsname angezeigt. Hinweis: Das hier hochgeladene Zertifikat ist nur für dieses Profil verfügbar. Wenn Sie Zertifikate in anderen Profilen benötigen, müssen Sie diese erneut hochladen.
12.11.10 Konfiguration „Client-Zertifikat“ (Android-Geräteprofil) Mit der Konfiguration Client-Zertifikat installieren Sie ein Client-Zertifikat auf Android-Geräten. Navigieren Sie im Feld Datei zu dem relevanten Zertifikat und klicken Sie auf Datei hochladen. Der Name des Zertifikats wird im Feld Zertifikatsname angezeigt. Geben Sie das Kennwort für das ausgewählte Zertifikat ein. Hinweis: Das hier hochgeladene Zertifikat ist nur für dieses Profil verfügbar. Wenn Sie Zertifikate in anderen Profilen benötigen, müssen Sie diese erneut hochladen.
75
Sophos Mobile Control (in Sophos Central)
12.11.11 Konfiguration „SCEP“ (Android-Geräteprofil) Mit der Konfiguration SCEP ermöglichen Sie es Geräten, mittels SCEP (Simple Certificate Enrollment Protocol) Zertifikate von einer CA (Certificate Authority) anzufordern. Hinweis: Bevor Sie eine Konfiguration vom Typ SCEP hinzufügen können, müssen Sie zunächst mit einer Konfiguration vom Typ Root-Zertifikat das CA-Zertifikat des SCEP-Servers hochladen.
Einstellung/Feld
Beschreibung
URL
Die Webadresse des CA-Servers. Verwenden Sie die Variable %_SCEPPROXYURL_%, um auf die Server-URL zu verweisen, die auf der Registerkarte SCEP der Seite Systemeinstellungen konfiguriert ist.
Aliasname
Der Name, unter dem das Zertifikat in Auswahldialogen angezeigt wird. Dies sollte ein einprägsamer Name sein, über den das Zertifikat identifiziert werden kann. Zum Beispiel können Sie denselben Wert wie für das Feld Betreff verwenden, nur ohne den Vorsatz CN=.
Betreff
Der Name des Zertifikatempfängers (Entity), zum Beispiel eine Person oder ein Gerät. Sie können Platzhalter für Benutzerdaten und Geräteeigenschaften verwenden. Der eingegebene Wert - nach Ersetzung der Platzhalter -, muss ein gültiger Namenswert gemäß X.500-Standard sein. Zum Beispiel: Geben Sie CN=%_USERNAME_% ein, um einen Benutzer zu spezifizieren. Geben Sie CN=%_DEVPROP(serial_number)_% ein, um ein Gerät zu spezifizieren. Informationen zu den verfügbaren Platzhaltern finden Sie in Platzhalter in Profilen und Richtlinien (Seite 58).
Typ des Subject Alternative Name (SAN)
Konfigurieren Sie bei Bedarf einen Subject Alternative Name (SAN). Wählen Sie einen der verfügbaren SAN-Typen aus.
Wert des Subject Alternative Name (SAN)
Falls Sie einen SAN-Typ ausgewählt haben, geben Sie den SAN-Wert ein.
NT-Benutzeranmeldename
76
Administratorhilfe
Einstellung/Feld
Beschreibung
Challenge
Die Webadresse, unter der das Challenge-Kennwort vom SCEP-Server angefordert wird. Verwenden Sie die Variable %_CACHALLENGE_%, um auf die Challenge-URL zu verweisen, die auf der Registerkarte SCEP der Seite Systemeinstellungen konfiguriert ist.
Root-Zertifikat
Das CA-Zertifikat. Wählen Sie das Zertifikat aus der Liste aus. Die Liste enthält alle Zertifikate aus Konfigurationen vom Typ Root-Zertifikat im aktuellen Profil.
Schlüsselgröße
Die Größe des öffentlichen Schlüssels im ausgestellten Zertifikat. Stellen Sie sicher, dass der Wert mit dem Wert übereinstimmt, der auf dem SCEP-Server konfiguriert ist.
Als digitale Signatur verwenden
Wenn Sie dieses Kontrollkästchen aktivieren, kann der öffentliche Schlüssel als digitale Signatur verwendet werden.
Für Verschlüsselung verwenden
Wenn Sie dieses Kontrollkästchen aktivieren, kann der öffentliche Schlüssel zur Datenverschlüsselung verwendet werden.
12.11.12 Konfiguration „Zugangspunkt (APN)“ (Android-Geräteprofil) Mit der Konfiguration Zugangspunkt (APN) konfigurieren Sie einen Zugangspunkt (Access Point Name - APN) für Mobilgeräte. Eine APN-Konfiguration legt fest, wie sich Geräte mit einem Mobilfunknetz verbinden. Wichtig: Wir empfehlen, die benötigten Einstellungen von Ihrem Netzbetreiber zu erfragen. Wenn Sie Als Standard-Zugangspunkt verwenden auswählen und die Einstellungen fehlerhaft sind, kann das Gerät keine mobilen Daten empfangen. Hinweis: Außer dem Feld APN sind alle Einstellungen optional. Sie sollten nur jene Einstellungen konfigurieren, die von Ihrem Mobilfunkbetreiber benötigt werden.
Einstellung/Feld
Beschreibung
APN
Der Zugangspunkt, den das Gerät angibt, wenn es sich mit dem Mobilfunknetz verbindet. Dies muss ein vom Netzbetreiber akzeptierter Zugangspunkt sein. Andernfalls kann die Verbindung nicht aufgebaut werden.
77
Sophos Mobile Control (in Sophos Central)
Einstellung/Feld
Beschreibung
Benutzerfreundlicher Name
Ein optionaler Name, der auf dem Gerät zusätzlich zum APN angezeigt wird.
Proxy-Server und -Port
Adresse und Portnummer des HTTP-Servers, der für Web-Datenverkehr verwendet wird.
Benutzername, Benutzer-Kennwort
Ein Benutzername und Kennwort für die Verbindung mit dem Zugangspunkt.
Server
Der WAP-Gateway-Server.
MMSC
Das Multimedia Messaging Service Center (MMSC).
MMS-Proxy-Server und -Port
Adresse und Portnummer des HTTP-Servers, der für die Kommunikation mit dem MMSC verwendet wird.
Mobile Country Code (MCC), Mobile Network Code (MNC)
Mit MCC und MNC legen Sie einen Netzbetreiber fest. Der Zugangspunkt wird nur für diesen Netzbetreiber verwendet.
Authentifizierung-Typ
Die Authentifizierungsmethode für PPP-Verbindungen.
APN-Typ
Die Datenarten für diesen APN. Um den APN für alle Datenarten zu verwenden, tragen Sie * ein oder lassen das Feld leer.
Träger
Die vom Netzbetreiber verwendete Radio Access Technology (RAT).
Protokoll
Das vom Netzbetreiber unterstützte Netzwerkprotokoll.
Roaming-Protokoll
Das vom Netzbetreiber unterstützte Netzwerkprotokoll bei Roaming in fremden Mobilfunknetzen.
Als Standard-Zugangspunkt verwenden
Wählen Sie diese Option aus, um den APN als Standard zu verwenden. Wenn Sie mehrere Konfigurationen Zugangspunkt (APN) verwenden, dürfen Sie diese Option nur in einer Konfiguration auswählen.
78
Administratorhilfe
12.11.13 Konfiguration „Kiosk-Modus“ (Android-Geräteprofil) Mit der Konfiguration Kiosk-Modus definieren Sie Einschränkungen für Geräte, um einen Kiosk-Modus zu realisieren. Um eine App festzulegen, die ausgeführt wird, wenn das Profil auf ein Gerät übertragen wird, klicken Sie auf Quelle auswählen und gehen Sie anschließend auf eine der folgenden Weisen vor: ■
Wählen Sie Benutzerdefiniert aus und geben Sie eine App-Kennung ein.
■
Wählen Sie App-Liste aus und wählen Sie anschließend in der Liste Kennung eine App aus. Die Liste enthält alle Apps, die Sie auf der Seite Apps konfiguriert haben. Siehe App hinzufügen (Seite 163).
■
Wählen Sie Keine aus, um keine festgelegte App im Kiosk-Modus auszuführen. Die Kiosk-Modus-Einschränkungen werden auf das Gerät übertragen, aber es wird keine App gestartet.
Unter Optionen deaktivieren Sie Hardware- und Software-Funktionen, die im Kiosk-Modus deaktiviert sein sollen. Wenn das Profil auf ein Gerät übertragen wird, wird die festgelegte App gestartet. Der Benutzer kann jedoch die App verlassen und das Gerät normal verwenden, falls Sie keine der verfügbaren Hardware- oder Software-Funktionen deaktiviert haben. Um tatsächlich einen Kiosk-Modus zu realisieren, müssen Sie mindestens die Kontrollkästchen Schaltfläche Startbildschirm erlauben und Task-Manager erlauben deaktivieren. Hinweis: ■
Die festgelegte App muss auf dem Gerät vorhanden sein. Ist dies nicht der Fall, verbleiben die zu übertragenden Aufträge im Status Unvollständig, bis die App installiert worden ist. Um die App zu installieren, erstellen Sie zum Beispiel ein Auftragspaket mit einem Auftrag App installieren und übertragen dieses an Ihre Geräte.
■
Wenn Sie für Samsung-Knox-Geräte eine App angeben wollen, muss dies eine Launcher-App sein. Launcher-Apps stellen einen alternativen Android-Desktop bereit.
■
Für Sony-Geräte mit Enterprise API Version 9 oder niedriger gilt: Wenn Sie eines der Kontrollkästchen Lautstärke erhöhen erlauben, Lautstärke verringern erlauben oder Stummschalten erlauben deaktivieren, werden alle Gerätetasten zum Steuern der Lautstärke deaktiviert.
12.12 Konfigurationen für Android-for-Work-Richtlinien Mit einer Android-for-Work-Richtlinie konfigurieren Sie das Arbeitsprofil eines Gerätes. Informationen zur Erstellung einer Android-for-Work-Richtlinie finden Sie in Profil oder Richtlinie erstellen (Seite 55).
12.12.1 Konfiguration „Kennwortrichtlinien“ (Android-for-Work-Richtlinie) Mit der Konfiguration Kennwortrichtlinien definieren Sie Kennwortregeln für das Arbeitsprofil. Hinweis: Einige Einstellungen werden nur für bestimmte Betriebssystemversionen oder Gerätemerkmale unterstützt. Solche Einschränkungen sind in Sophos Mobile Control durch blaue Label gekennzeichnet.
79
Sophos Mobile Control (in Sophos Central)
Kennworttyp Wenn Sie die Konfiguration Kennwortrichtlinien auswählen, wird die Liste Kennworttyp angezeigt. Wählen Sie in dieser Liste die Art des Kennworts, dass Sie definieren wollen:
Einstellung/Feld
Beschreibung
Beliebig
Benutzer müssen eine Displaysperre einrichten. Für die Displaysperre sind die Typen Muster, PIN und Passwort erlaubt. Weitere Einschränkungen bestehen nicht.
Alphabetisch
Benutzer müssen eine Displaysperre vom Typ Passwort einrichten. Zahlen sind erlaubt, aber es muss mindestens auch ein Buchstabe enthalten sein. Sie können eine Mindestzeichenanzahl festlegen. Siehe die nachfolgende Tabelle.
PIN
Benutzer müssen eine Displaysperre vom Typ PIN oder Passwort einrichten. Sie können eine Mindestzeichenanzahl festlegen. Siehe die nachfolgende Tabelle.
Alphanumerisch
Benutzer müssen eine Displaysperre vom Typ Passwort einrichten. Das Kennwort muss sowohl Buchstaben als auch Ziffern enthalten. Sie können eine Mindestzeichenanzahl festlegen. Siehe die nachfolgende Tabelle.
Komplex
Benutzer müssen eine Displaysperre vom Typ Passwort einrichten. Das Kennwort muss sowohl Buchstaben als auch Ziffern enthalten. Sie können eine Mindest-Gesamtzeichenanzahl und eine Mindestanzahl an Ziffern, Klein- und Großbuchstaben und Sonderzeichen festlegen. Siehe die nachfolgenden beiden Tabellen.
Wenn Sie Alphabetisch, PIN, Alphanumerisch oder Komplex auswählen, werden die folgenden Felder angezeigt:
80
Einstellung/Feld
Beschreibung
Minimale Länge des Kennworts
Die Mindestanzahl an Zeichen, die ein Kennwort enthalten muss.
Inaktivitätsdauer bis zur Abfrage des Kennworts
Die Zeit (in Minuten), nach der das Gerät gesperrt wird, wenn es nicht benutzt wird. Das Gerät lässt sich durch Eingabe des Kennworts entsperren.
Administratorhilfe
Einstellung/Feld
Beschreibung
Gültigkeitsdauer des Kennworts in Tagen
Fordert eine Änderung des Kennworts im angegebenen Intervall. Wertebereich: 0 (keine Kennwortänderung erforderlich) bis 730 Tage.
Maximale Anzahl fehlerhafter Loginversuche, bis das Gerät zurückgesetzt wird
Die maximale Anzahl fehlgeschlagener Kennwort-Eingabeversuche, nach der das Gerät zurückgesetzt wird.
Anzahl der letzten Kennwörter, die nicht benutzt werden dürfen
Die Anzahl alter Kennwörter, die vom System gespeichert werden. Wenn ein Benutzer ein neues Kennwort festlegt, wird es nicht akzeptiert, falls es mit einem bereits benutzten Kennwort übereinstimmt. Wertebereich: 1 bis 5 oder kein Wert.
Wenn Sie Komplex auswählen, werden zusätzlich die folgenden Felder angezeigt:
Einstellung/Feld
Beschreibung
Minimale Anzahl von Buchstaben
Die Mindestanzahl an Buchstaben, die ein Kennwort enthalten muss.
Minimale Anzahl von Kleinbuchstaben
Die Mindestanzahl Kleinbuchstaben, die ein Kennwort enthalten muss.
Minimale Anzahl von Großbuchstaben
Die Mindestanzahl Großbuchstaben, die ein Kennwort enthalten muss.
Minimale Anzahl von Zeichen, die kein Buchstabe sind
Die Mindestanzahl nicht-alphabetischer Zeichen (zum Beispiel & oder !), die ein Kennwort mindestens enthalten muss.
Minimale Anzahl von Ziffern
Die Mindestanzahl an Ziffern, die ein Kennwort enthalten muss.
Minimale Anzahl von Sonderzeichen
Die Mindestanzahl an Sonderzeichen (zum Beispiel !"§$%&/()=,.-;:_@) ein Kennwort mindestens enthalten muss.
12.12.2 Konfiguration „Einschränkungen“ (Android-for-Work-Richtlinie) Mit der Konfiguration Einschränkungen konfigurieren Sie Einschränkungen und zugehörige Einstellungen für Android for Work.
81
Sophos Mobile Control (in Sophos Central)
Sicherheit
Einstellung/Feld
Beschreibung
Bildschirmaufnahme erlauben
Benutzer können den Bildschirminhalt von beruflichen Apps aufnehmen.
Benutzer dürfen Anmeldeinformation bearbeiten
Benutzer können im Arbeitsprofil Zertifikate installieren oder deinstallieren.
Arbeits-Zwischenablage darf in private Apps kopiert werden
Benutzer können Text aus einer beruflichen App kopieren und in eine private App einfügen. Das Einfügen von Text aus einer privaten App in eine berufliche App ist immer möglich.
Smart Lock erlauben
Benutzer können die Android-Funktion „Smart Lock“ aktivieren, durch die das Gerät in bestimmten Situationen automatisch entsperrt wird.
„Standort teilen“ erlauben
Berufliche Apps können auf die Ortungsdienste des Gerätes zugreifen. Wenn das Kontrollkästchen deaktiviert ist, können berufliche Apps selbst dann nicht auf Ortungsdienste zugreifen, wenn der Benutzer die Einstellung „Standort teilen“ aktiviert hat.
Internet-Links dürfen in privaten Apps geöffnet werden
Internet-Links, auf die der Benutzer in einer beruflichen App tippt, können in einer privaten App geöffnet werden.
Debuggen erlauben
Benutzer können die Debugging-Funktionen in den Android-Entwicklereinstellungen aktivieren.
Entsperren mit Fingerabdruck erlauben Benutzer können das Gerät mit ihrem Fingerabdruck entsperren.
Konten
Einstellung/Feld
Beschreibung
Kontenverwaltung erlauben
Benutzer können im Arbeitsprofil Konten hinzufügen oder entfernen, zum Beispiel App-Konten. Benutzer können in keinem Fall das Google-Konto aus dem Arbeitsprofil entfernen.
82
Administratorhilfe
Netzwerk und Kommunikation
Einstellung/Feld
Beschreibung
Android Beam erlauben
Benutzer können Android Beam (NFC-Datenübertragung) verwenden, um Daten aus beruflichen Apps zu senden.
VPN erlauben
Benutzer können für berufliche Apps VPN-Verbindungen verwenden.
Hardware
Einstellung/Feld
Beschreibung
Kamera erlauben
Berufliche Apps können auf die Kamera zugreifen.
Anwendungen
Einstellung/Feld
Beschreibung
Deinstallation von Apps erlauben
Benutzer können berufliche Apps deinstallieren.
Installation von Apps aus unbekannten Wenn das Kontrollkästchen deaktiviert ist, können Quellen erlauben Benutzer berufliche Apps nur aus dem Google Play Store installieren, nicht aus unbekannten Quellen oder über Android Debug Bridge (ADB). App-Verwaltung erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer für berufliche Apps folgende Aufgaben nicht ausführen: Apps deinstallieren Apps deaktivieren Apps beenden App-Cache leeren App-Daten löschen Einstellung Standardmäßig öffnen löschen
83
Sophos Mobile Control (in Sophos Central)
Einstellung/Feld
Beschreibung
Hinweis (kurz)
Ein unternehmensspezifischer Hinweis, der dem Benutzer bei Funktionen angezeigt wird, die Sie deaktiviert haben. Hinweis: Wenn der Text länger als 200 Zeichen ist, wird er möglicherweise abgeschnitten.
Hinweis (lang)
Zusätzlicher Hinweistext. Der Text wird angezeigt, wenn der Benutzer bei Anzeige des kurzen Hinweistextes auf Weitere Informationen tippt. Hinweis: Dieser Text wird außerdem auf der Seite Geräteadministrator für die App Sophos Mobile Control angezeigt.
12.12.3 Konfiguration „App Protection“ (Android-for-Work-Richtlinie) Mit der Konfiguration App Protection definieren Sie Anforderungen an Kennwörter, mit denen berufliche Apps geschützt werden, d.h. Apps, die im Arbeitsprofil installiert sind. Wenn App Protection aktiv ist, muss der Benutzer ein Kennwort definieren, wenn er eine geschützte App zum ersten Mal starten. Nach einem fehlgeschlagenen Anmeldeversuch kann der nächste Versuch erst nach einer Wartezeit erfolgen. Wenn App Protection auf einem Gerät aktiv ist, steht im Menü Aktionen der Seite Gerät anzeigen das Kommando App-Protection-Kennwort zurücksetzen zur Verfügung. Außerdem kann der Benutzer das Kennwort für App Protection im Self Service Portal zurücksetzen.
Einstellung/Feld
Beschreibung
Komplexität des Kennworts
Die minimalen Anforderungen an das vom Benutzer zu definierende Kennwort, zum Beispiel 6-Zeichen Kennwort.
Gültigkeitsdauer in Minuten
Nach Ablauf der Toleranzfrist können Apps nur noch durch Eingabe eines Kennworts entsperrt werden.
App-Gruppe
Wählen Sie die App-Gruppe aus, welche die Apps enthält, die mit einem Kennwort geschützt werden. Informationen zur Erstellung von App-Gruppen finden Sie in App-Gruppen (Seite 173).
12.12.4 Konfiguration „App Control“ (Android-for-Work-Richtlinie) Mit der Konfiguration App Control legen Sie fest, welche beruflichen Apps auf einem Gerät nicht gestartet werden dürfen.
84
Administratorhilfe
Einstellung/Feld
Beschreibung
App-Gruppe
Wählen Sie die App-Gruppe aus, welche die blockierten Apps enthält. Informationen zur Erstellung von App-Gruppen finden Sie in App-Gruppen (Seite 173).
12.12.5 Konfiguration „App-Berechtigungen“ (Android-for-Work-Richtlinie) Mit der Konfiguration App-Berechtigungen legen Sie fest, was passiert, wenn eine berufliche App während der Ausführung eine Berechtigung anfordert.
Einstellung/Feld
Beschreibung
Standard-Einstellungen für Berechtigungen
Die Standard-Reaktion auf zukünftige Berechtigungsanforderungen von beruflichen Apps während der Ausführung: Abfragen: Apps fordern den Benutzer auf, die Berechtigung zu gewähren. Auto-Bestätigen: Alle Berechtigungsanforderungen während der App-Ausführung werden automatisch gewährt. Auto-Verweigern: Alle Berechtigungsanforderungen während der App-Ausführung werden automatisch verweigert. Der Benutzer kann die Berechtigung nicht nachträglich ändern.
App-spezifische Berechtigungsanfragen Sie können bestimmte Berechtigungen für einzelne Apps zur Laufzeit gewähren oder verweigern. Klicken Sie auf Hinzufügen und konfigurieren Sie anschließend die Einstellungen für eine App: Geben Sie im Feld Kennung die interne App-Kennung ein. Wählen Sie für jede Berechtigung das gewünschte Verhalten aus: Auswählbar: Der Benutzer kann die Berechtigung gewähren oder verweigern. Zugelassen: Die Berechtigung wird zugelassen und kann vom Benutzer nicht verweigert werden. Verweigert: Die Berechtigung wird verweigert und kann vom Benutzer nicht zugelassen werden.
85
Sophos Mobile Control (in Sophos Central)
12.12.6 Konfiguration „Exchange ActiveSync“ (Android-for-Work-Richtlinie) Einstellung/Feld
Beschreibung
Kontoname
Der Kontoname.
Exchange-ActiveSync-Host
Die Adresse des Microsoft Exchange Servers. Hinweis: Wenn Sie den SMC-EAS-Proxy verwenden, geben Sie die URL des SMC-Proxy-Servers ein.
Domäne
Die Domäne für dieses Konto.
Benutzer
Der Benutzername für dieses Konto. Wenn Sie die Variable %_USERNAME_% verwenden, wird diese durch den jeweiligen Benutzernamen ersetzt.
E-Mail-Adresse
Die E-Mail-Adresse des Kontos. Wenn Sie die Variable %_EMAILADDRESS_% verwenden, wird diese durch die jeweilige E-Mail-Adresse ersetzt.
Absender
Ein Absendername für das Konto. Wenn Sie die Variable %_EMAILADDRESS_% verwenden, wird diese durch die jeweilige E-Mail-Adresse ersetzt.
Kennwort
Das Kennwort für dieses Konto. Wenn Sie dieses Feld leer lassen, müssen Benutzer das Kennwort auf ihren Geräten eingeben.
Synchronisierungszeitraum
Der Zeitraum, für den E-Mails synchronisiert werden. Wenn Sie einen Zeitraum angeben, werden nur E-Mail-Nachrichten innerhalb dieses Zeitraums mit dem Posteingang auf den Geräten synchronisiert.
SSL
Die gesamte Kommunikation erfolgt über SSL (Secure Socket Layer). Wir empfehlen, dieses Kontrollkästchen zu aktivieren.
86
Alle Zertifikate erlauben
Für die Kommunikation mit dem E-Mail-Server sind alle Zertifikate zugelassen.
Client-Zertifikat
Das Client-Zertifikat für die Verbindung zu ActiveSync.
Administratorhilfe
12.12.7 Konfiguration „Root-Zertifikat“ (Android-for-Work-Richtlinie) Mit der Konfiguration Root-Zertifikat installieren Sie ein Root-Zertifikat auf Geräten. Das Zertifikat steht beruflichen Apps zur Verfügung, d.h. Apps, die im Arbeitsprofil installiert sind. Navigieren Sie im Feld Datei zu dem relevanten Zertifikat und klicken Sie auf Datei hochladen. Der Name des Zertifikats wird im Feld Zertifikatsname angezeigt. Hinweis: Das hier hochgeladene Zertifikat ist nur für dieses Profil verfügbar. Wenn Sie Zertifikate in anderen Profilen benötigen, müssen Sie diese erneut hochladen.
12.12.8 Konfiguration „Client-Zertifikat“ (Android-for-Work-Richtlinie) Mit der Konfiguration Client-Zertifikat installieren Sie ein Client-Zertifikat auf Android-Geräten. Das Zertifikat steht beruflichen Apps zur Verfügung, d.h. Apps, die im Arbeitsprofil installiert sind. Navigieren Sie im Feld Datei zu dem relevanten Zertifikat und klicken Sie auf Datei hochladen. Der Name des Zertifikats wird im Feld Zertifikatsname angezeigt. Geben Sie das Kennwort für das ausgewählte Zertifikat ein. Hinweis: Das hier hochgeladene Zertifikat ist nur für dieses Profil verfügbar. Wenn Sie Zertifikate in anderen Profilen benötigen, müssen Sie diese erneut hochladen.
12.12.9 Konfiguration „SCEP“ (Android-for-Work-Richtlinie) Mit der Konfiguration SCEP ermöglichen Sie es Geräten, mittels SCEP (Simple Certificate Enrollment Protocol) Zertifikate von einer CA (Certificate Authority) anzufordern. Diese Zertifikate stehen beruflichen Apps zur Verfügung, d.h. Apps, die im Arbeitsprofil installiert sind. Hinweis: Bevor Sie eine Konfiguration vom Typ SCEP hinzufügen können, müssen Sie zunächst mit einer Konfiguration vom Typ Root-Zertifikat das CA-Zertifikat des SCEP-Servers hochladen.
Einstellung/Feld
Beschreibung
URL
Die Webadresse des CA-Servers. Verwenden Sie die Variable %_SCEPPROXYURL_%, um auf die Server-URL zu verweisen, die auf der Registerkarte SCEP der Seite Systemeinstellungen konfiguriert ist.
Aliasname
Der Name, unter dem das Zertifikat in Auswahldialogen angezeigt wird. Dies sollte ein einprägsamer Name sein, über den das Zertifikat identifiziert werden kann. Zum Beispiel können Sie denselben Wert wie für das Feld Betreff verwenden, nur ohne den Vorsatz CN=.
87
Sophos Mobile Control (in Sophos Central)
Einstellung/Feld
Beschreibung
Betreff
Der Name des Zertifikatempfängers (Entity), zum Beispiel eine Person oder ein Gerät. Sie können Platzhalter für Benutzerdaten und Geräteeigenschaften verwenden. Der eingegebene Wert - nach Ersetzung der Platzhalter -, muss ein gültiger Namenswert gemäß X.500-Standard sein. Zum Beispiel: Geben Sie CN=%_USERNAME_% ein, um einen Benutzer zu spezifizieren. Geben Sie CN=%_DEVPROP(serial_number)_% ein, um ein Gerät zu spezifizieren. Informationen zu den verfügbaren Platzhaltern finden Sie in Platzhalter in Profilen und Richtlinien (Seite 58).
Typ des Subject Alternative Name (SAN)
Konfigurieren Sie bei Bedarf einen Subject Alternative Name (SAN). Wählen Sie einen der verfügbaren SAN-Typen aus.
Wert des Subject Alternative Name (SAN)
Falls Sie einen SAN-Typ ausgewählt haben, geben Sie den SAN-Wert ein.
NT-Benutzeranmeldename Challenge
Die Webadresse, unter der das Challenge-Kennwort vom SCEP-Server angefordert wird. Verwenden Sie die Variable %_CACHALLENGE_%, um auf die Challenge-URL zu verweisen, die auf der Registerkarte SCEP der Seite Systemeinstellungen konfiguriert ist.
Root-Zertifikat
Das CA-Zertifikat. Wählen Sie das Zertifikat aus der Liste aus. Die Liste enthält alle Zertifikate aus Konfigurationen vom Typ Root-Zertifikat im aktuellen Profil.
Schlüsselgröße
Die Größe des öffentlichen Schlüssels im ausgestellten Zertifikat. Stellen Sie sicher, dass der Wert mit dem Wert übereinstimmt, der auf dem SCEP-Server konfiguriert ist.
Als digitale Signatur verwenden
88
Wenn Sie dieses Kontrollkästchen aktivieren, kann der öffentliche Schlüssel als digitale Signatur verwendet werden.
Administratorhilfe
Einstellung/Feld
Beschreibung
Für Verschlüsselung verwenden
Wenn Sie dieses Kontrollkästchen aktivieren, kann der öffentliche Schlüssel zur Datenverschlüsselung verwendet werden.
12.13 Konfigurationen für Sophos-Container-Richtlinien für Android Mit einer Sophos-Container-Richtlinie konfigurieren Sie Einstellungen für die Sophos-Container-Apps Sophos Secure Email und Sophos Secure Workspace. Informationen zum Erstellen einer Sophos-Container-Richtlinie finden Sie in Profil oder Richtlinie erstellen (Seite 55).
12.13.1 Konfiguration „Allgemein“ (Sophos-Container-Richtlinie für Android) Mit der Konfiguration Allgemein definieren Sie Einstellungen für alle Sophos-Container-Apps, sofern anwendbar.
Einstellung/Feld
Beschreibung
Sophos-Container-Kennwort aktivieren
Benutzer müssen ein zusätzliches Kennwort eingeben, um eine Sophos-Container-App zu starten. Sobald die erste Container-App gestartet wird nachdem die Konfiguration angewendet wurde, muss das Kennwort definiert werden. Dieses Kennwort gilt für alle Container-Apps.
Komplexität des Kennworts
Die minimale Komplexität des Kennworts für den Sophos-Container. Sicherere Kennwörter sind immer erlaubt. Kennwörter (eine Kombination numerischer und alphanumerischer Zeichen) werden generell als sicherer angesehen als PINs (nur numerische Zeichen). Beliebig: Sophos-Container-Kennwörter unterliegen keinen Einschränkungen. 4-Ziffern-PIN 6-Ziffern-PIN 4-Zeichen-Kennwort 6-Zeichen-Kennwort 8-Zeichen-Kennwort 10-Zeichen-Kennwort
Gültigkeitsdauer des Kennworts in Tagen
Die Anzahl an Tagen, die ein Kennwort verwendet werden kann, bevor der Benutzer aufgefordert wird, es zu ändern.
89
Sophos Mobile Control (in Sophos Central)
Einstellung/Feld
Beschreibung
Fehlgeschlagene Anmeldungen bis Sperre
Die erlaubte Anzahl fehlgeschlagener Anmeldeversuche, bevor die Container-Apps gesperrt werden. Gesperrte Apps müssen von einem Administrator entsperrt werden. Falls konfiguriert, können die Apps auch vom Benutzer im Self Service Portal entsperrt werden.
Fingerabdruck erlauben
Benutzer können die App mit ihrem Fingerabdruck entsperren.
Gültigkeitsdauer in Minuten
Die Zeitspanne, während der kein Sophos-Container-Kennwort eingegeben werden muss, wenn eine Container-App wieder im Vordergrund angezeigt wird. Die Toleranzfrist gilt für alle Container-Apps. Während der Toleranzfrist können Sie zwischen den Apps wechseln, ohne das Kennwort erneut eingeben zu müssen. Sie können 1, 2, 5, 10, 15 Minuten auswählen.
Mit Gerät sperren
Wenn das Gerät gesperrt wird, wird auch der Sophos-Container gesperrt. Wenn das Kontrollkästchen deaktiviert ist, wird der Sophos-Container nur nach Ablauf der Toleranzfrist gesperrt.
Letzte Verbindung zum Server
Die Zeitspanne, innerhalb derer Benutzer eine Sophos-Container-App verwenden können, ohne dass eine Verbindung zum Sophos Mobile Control Server aufgebaut wurde. Wenn eine Sophos-Container-App aktiviert wird und innerhalb der definierten Zeitspanne keinen Kontakt mit dem Server hatte, wird ein Sperrbildschirm angezeigt. Der Benutzer kann die App durch Tippen auf Wiederholen entsperren. Hierdurch verbindet sich die App mit dem Server. Kann die Verbindung aufgebaut werden, wird die App entsperrt. Falls nicht, wird der Zugriff verweigert. Bei jedem Zugriff: Eine Serververbindung ist immer notwendig und die App wird gesperrt, wenn der Server nicht erreichbar ist. 1 Stunde: Eine Serververbindung ist notwendig, wenn die App eine Stunde oder später nach der letzten erfolgreichen Server-Verbindung aktiviert wird. 3 Stunden 6 Stunden 12 Stunden 1 Tag
90
Administratorhilfe
Einstellung/Feld
Beschreibung 3 Tage 1 Woche Ohne: Keine regelmäßige Verbindung ist notwendig.
Offline-Starts ohne Serververbindung
In diesem Feld definieren Sie, wie oft Benutzer eine der Sophos-Container-Apps starten können, ohne dass eine Serververbindung aufgebaut wurde. Hinweis: Diese Einstellung setzt voraus, dass ein Sophos-Container-Kennwort eingerichtet ist. Es wird mitgezählt, wie oft Benutzer das Sophos-Container-Kennwort eingeben. Wenn der Zähler die definierte Anzahl überschreitet, wird derselbe Sperrbildschirm wie für die Letzte Verbindung zum Server Einstellung angezeigt. Der Zähler wird zurückgesetzt, wenn eine Verbindung zum Sophos Mobile Control Server hergestellt wird. Unbegrenzt: Es ist keine Serververbindung notwendig. 0: Das Starten der App ohne Serververbindung ist nicht möglich. 1: Nach einem Start der App ist eine erfolgreiche Serververbindung notwendig. 3 5 10 20
Rootrechte erlaubt
Die Container-Apps können auf Geräten laufen, die „rooted“ sind, d.h. bei denen der Root-Zugriff aktiviert wurde.
App-Nutzungs-Beschränkungen Hier können Sie Beschränkungen für die Nutzung der Sophos-Container-Apps festlegen. Klicken Sie auf Hinzufügen, um Beschränkungen einzugeben.
Räumliche Beschränkungen
Spezifizieren Sie über Längen- und Breitengrad einen Ausgangspunkt sowie einen Abstand, innerhalb dessen die Sophos-Container-Apps verwendet werden können.
Zeitliche Beschränkungen
Spezifizieren Sie über eine Anfangs- und eine Endzeit eine Zeitspanne, innerhalb derer die Sophos-Container-Apps verwendet werden können. Sie können auch spezifizieren, an welchen Wochentagen die Apps verwendet werden können.
91
Sophos Mobile Control (in Sophos Central)
Einstellung/Feld
Beschreibung
WLAN-Beschränkungen
Geben Sie WLAN-Netzwerke an, mit denen das Gerät verbunden sein muss, damit die Sophos-Container-Apps verwendet werden können. Das Gerät muss tatsächlich mit einem der aufgeführten Netzwerke verbunden sein. Es reicht nicht aus, dass eines der aufgeführten Netzwerke vom Gerät gefunden wird. Wichtig: Wir empfehlen, sich nicht auf WLAN-Beschränkungen als einzigen Sicherheitsmechanismus zu verlassen, da WLAN-Namen sehr leicht gefälscht werden können (Wi-Fi Spoofing).
12.13.2 Konfiguration „Corporate Email“ (Sophos-Container-Richtlinie für Android) Mit der Konfiguration Corporate Email definieren Sie Benutzereinstellungen für Ihren Microsoft Exchange Server. Diese Einstellungen gelten für die App Sophos Secure Email, wenn diese im Sophos-Container installiert ist.
Einstellung/Feld
Beschreibung
Exchange-ActiveSync-Host
Die Adresse des Microsoft Exchange Servers. Hinweis: Wenn Sie den SMC-EAS-Proxy verwenden, geben Sie die URL des SMC-Proxy-Servers ein.
Benutzer
Der Benutzername für dieses Konto. Wenn Sie die Variable %_USERNAME_% verwenden, wird diese durch den jeweiligen Benutzernamen ersetzt.
E-Mail-Adresse
Die E-Mail-Adresse des Kontos. Wenn Sie die Variable %_EMAILADDRESS_% verwenden, wird diese durch die jeweilige E-Mail-Adresse ersetzt.
92
Domäne
Die Domäne für dieses Konto.
Support-E-Mail-Kontakt
Die Adresse für E-Mails, die über die Funktion „Kontaktiere Support“ gesendet werden.
Kontakte auf das Gerät exportieren
Benutzer können Exchange-Kontakte inklusive Telefonnummer als lokale Kontakte auf das Gerät übertragen. Diese Kontakte werden von Sophos
Administratorhilfe
Einstellung/Feld
Beschreibung Secure Email synchronisiert. Es wird der Name und die Telefonnummer übertragen. Auf diese Weise kann der Benutzer bei eingehenden Anrufen Firmenkontakte identifizieren. Beachten Sie, dass auch nach einem Zurücksetzen der App „Sophos Secure Email“ per Fernzugriff diese Informationen im lokalen Gerätespeicher verfügbar bleiben.
Benachrichtigungseinstellungen anzeigen
Diese Einstellung regelt die Anzeige von E-Mail-Benachrichtigungen und Terminerinnerungen in Sophos Secure Email. Wenn das Kontrollkästchen aktiviert ist: Der Benutzer kann E-Mail-Benachrichtigungen ein- und ausschalten. Terminerinnerungen sind ausgeschaltet. Wenn das Kontrollkästchen deaktiviert ist: E-Mail-Benachrichtigungen und Terminerinnerungen sind deaktiviert. Hinweis: Falls Sie die Anzeige von Benachrichtigungen auf verlorenen oder gestohlenen Geräten als Sicherheitsrisiko betrachten, sollten Sie das Kontrollkästchen deaktivieren.
Anhänge öffnen
Wenn Sie das Kontrollkästchen aktivieren, sind unterhalb von Anhängen die Schaltflächen Speichern und Öffnen verfügbar. Speichern leitet den Anhang an Sophos Secure Workspace weiter, Öffnen öffnet die Datei in Sophos Secure Email. Wenn Sophos Secure Email die Datei nicht öffnen kann, kann der Benutzer auswählen, an welche App sie weitergeleitet wird. Wenn Sie das Kontrollkästchen deaktivieren, können Anhänge weder geöffnet noch an andere Apps weitergeleitet werden.
Hinzufügen
Klicken Sie auf Hinzufügen, um Einstellungen für eine zukünftige Version von Sophos Secure Email zu konfigurieren. Wichtig: Konfigurieren Sie diese Einstellungen nur, wenn Sie vom Sophos-Support dazu aufgefordert werden.
12.13.3 Konfiguration „Corporate Documents“ (Sophos-Container-Richtlinie für Android) Mit der Konfiguration Corporate Documents konfigurieren Sie Einstellung für die Funktion Corporate Documents der App Sophos Secure Workspace.
93
Sophos Mobile Control (in Sophos Central)
Online-Speicher konfigurieren Für jeden Speicheranbieter können Sie die folgenden Einstellungen separat definieren:
Einstellung/Feld
Beschreibung
Aktivieren
Der Speicheranbieter ist in der App verfügbar.
Offline
Benutzer können Dateien vom Speicheranbieter zur Liste Favoriten der App hinzufügen, um sie offline zu verwenden.
Verschlüsselt teilen
Benutzer können die Funktion Teilen für verschlüsselte Dateien verwenden, um sie mit anderen Apps zu teilen.
Unverschlüsselt teilen
Benutzer können die Funktion Teilen für unverschlüsselte Dateien verwenden, um sie mit anderen Apps zu teilen.
Zwischenablage
Benutzer können Teile aus Dokumenten kopieren und in anderen Apps einfügen.
Einstellungen für Unternehmens-Anbieter Für Speicheranbieter vom Typ WebDAV, auch als Unternehmens-Anbieter bezeichnet, können Sie zentral die Server-Einstellungen und Anmeldeinformationen definieren. Diese können von den Benutzern nicht geändert werden. Einstellungen, die Sie nicht zentral definieren, können vom Benutzer im entsprechenden App-Dialog eingegeben werden. Beispielsweise können Sie den Server und das Benutzerkonto zentral einstellen, aber das Kennwort-Feld undefiniert lassen. Benutzer müssen dann das Kennwort eingeben, um Zugriff auf den Speicheranbieter zu bekommen.
Einstellung/Feld
Beschreibung
Name
Der Anbietername, wie er in der App Sophos Secure Workspace angezeigt wird.
Server
Geben Sie in diesem Feld Folgendes ein: Die URL des Root-Ordners auf dem WebDAV-Server für Corporate Documents. Die URL des Root-Ordners auf dem WebDAV-Server.
94
Administratorhilfe
Einstellung/Feld
Beschreibung Verwenden Sie das folgende Format: https://server.company.com Nur das Protokoll https wird unterstützt.
Benutzername
Der Anmeldename für den Server. Sie können auch die Variable %_USERNAME_% verwenden.
Kennwort
Das Anmeldekennwort.
Zielordner
Der Ordner, in den Dokumente hochgeladen werden.
Weitere Einstellungen
Einstellung/Feld
Beschreibung
Dokumente aktivieren
Aktiviert die Funktion Dokumente, um Unternehmensdokumente auf sichere Weise auszutauschen.
Komplexität des Kennworts
Die minimale Komplexität von Passphrasen für Verschlüsselungsschlüssel. Sicherere Passphrasen sind immer erlaubt. Sie können folgende Einstellungen auswählen: 4-Zeichen-Kennwort 6-Zeichen-Kennwort 8-Zeichen-Kennwort 10-Zeichen-Kennwort
12.13.4 Konfiguration „Corporate Browser“ (Sophos-Container-Richtlinie für Android) Mit der Konfiguration Corporate Browser konfigurieren Sie Einstellung für die Funktion Corporate Browser der App Sophos Secure Workspace. Mit Corporate Browser können Sie auf sichere Weise auf Intranetseiten Ihres Unternehmens und andere erlaubte Seiten zugreifen. Sie definieren Domänen sowie Lesezeichen innerhalb von Domänen. Jedes Lesezeichen gehört zu einer bestimmten Domäne. Wenn Sie mit dem Befehl Lesezeichen hinzufügen ein Lesezeichen definieren, wird automatisch ein Domäneneintrag erstellt, falls dieser nicht existiert.
95
Sophos Mobile Control (in Sophos Central)
Einstellungen für Domänen
Einstellung/Feld
Beschreibung
URL
Die Domäne, die Sie erlauben wollen.
Kopieren/Einfügen erlauben
Benutzer können Text aus Corporate Browser kopieren und in anderen Apps einfügen.
„Öffnen mit“ erlauben
Benutzer können Anhänge herunterladen oder an andere Apps weiterleiten.
Kennwort-Speichern erlauben
Benutzer können ihre Kennwörter in Corporate Browser speichern.
Einstellungen für Lesezeichen
Einstellung/Feld
Beschreibung
Name
Der Name für das Lesezeichen.
URL
Die Webadresse für das Lesezeichen.
12.13.5 Konfiguration „Client-Zertifikat“ (Sophos-Container-Richtlinie für Android) Mit der Konfiguration Client-Zertifikat installieren Sie ein Client-Zertifikat auf Geräten. Das Zertifikat steht den Apps „Sophos Secure Email“ und „Sophos Secure Workspace“ zur Verfügung, wenn diese im Sophos-Container installiert sind. Navigieren Sie im Feld Datei zu dem relevanten Zertifikat und klicken Sie auf Datei hochladen. Der Name des Zertifikats wird im Feld Zertifikatsname angezeigt. Geben Sie das Kennwort für das ausgewählte Zertifikat ein. Hinweis: Das hier hochgeladene Zertifikat ist nur für dieses Profil verfügbar. Wenn Sie Zertifikate in anderen Profilen benötigen, müssen Sie diese erneut hochladen.
12.13.6 Konfiguration „Root-Zertifikat“ (Sophos-Container-Richtlinie für Android) Mit der Konfiguration Root-Zertifikat installieren Sie ein Root-Zertifikat auf Geräten. Das Zertifikat steht den Apps „Sophos Secure Email“ und „Sophos Secure Workspace“ zur Verfügung, wenn diese im Sophos-Container installiert sind. Navigieren Sie im Feld Datei zu dem relevanten Zertifikat und klicken Sie auf Datei hochladen. Der Name des Zertifikats wird im Feld Zertifikatsname angezeigt.
96
Administratorhilfe
Hinweis: Das hier hochgeladene Zertifikat ist nur für dieses Profil verfügbar. Wenn Sie Zertifikate in anderen Profilen benötigen, müssen Sie diese erneut hochladen.
12.13.7 Konfiguration „SCEP“ (Sophos-Container-Richtlinie für Android) Mit der Konfiguration SCEP ermöglichen Sie es Geräten, mittels SCEP (Simple Certificate Enrollment Protocol) Zertifikate von einer CA (Certificate Authority) anzufordern. Diese Zertifikate stehen der App Sophos Secure Workspace zur Verfügung, wenn diese im Sophos-Container installiert ist. Hinweis: Bevor Sie eine Konfiguration vom Typ SCEP hinzufügen können, müssen Sie zunächst mit einer Konfiguration vom Typ Root-Zertifikat das CA-Zertifikat des SCEP-Servers hochladen.
Einstellung/Feld
Beschreibung
URL
Die Webadresse des CA-Servers. Verwenden Sie die Variable %_SCEPPROXYURL_%, um auf die Server-URL zu verweisen, die auf der Registerkarte SCEP der Seite Systemeinstellungen konfiguriert ist.
Aliasname
Der Name, unter dem das Zertifikat in Auswahldialogen angezeigt wird. Dies sollte ein einprägsamer Name sein, über den das Zertifikat identifiziert werden kann. Zum Beispiel können Sie denselben Wert wie für das Feld Betreff verwenden, nur ohne den Vorsatz CN=.
Betreff
Der Name des Zertifikatempfängers (Entity), zum Beispiel eine Person oder ein Gerät. Sie können Platzhalter für Benutzerdaten und Geräteeigenschaften verwenden. Der eingegebene Wert - nach Ersetzung der Platzhalter -, muss ein gültiger Namenswert gemäß X.500-Standard sein. Zum Beispiel: Geben Sie CN=%_USERNAME_% ein, um einen Benutzer zu spezifizieren. Geben Sie CN=%_DEVPROP(serial_number)_% ein, um ein Gerät zu spezifizieren. Informationen zu den verfügbaren Platzhaltern finden Sie in Platzhalter in Profilen und Richtlinien (Seite 58).
Typ des Subject Alternative Name (SAN)
Konfigurieren Sie bei Bedarf einen Subject Alternative Name (SAN). Wählen Sie einen der verfügbaren SAN-Typen aus.
97
Sophos Mobile Control (in Sophos Central)
Einstellung/Feld
Beschreibung
Wert des Subject Alternative Name (SAN)
Falls Sie einen SAN-Typ ausgewählt haben, geben Sie den SAN-Wert ein.
NT-Benutzeranmeldename Challenge
Die Webadresse, unter der das Challenge-Kennwort vom SCEP-Server angefordert wird. Verwenden Sie die Variable %_CACHALLENGE_%, um auf die Challenge-URL zu verweisen, die auf der Registerkarte SCEP der Seite Systemeinstellungen konfiguriert ist.
Root-Zertifikat
Das CA-Zertifikat. Wählen Sie das Zertifikat aus der Liste aus. Die Liste enthält alle Zertifikate aus Konfigurationen vom Typ Root-Zertifikat im aktuellen Profil.
Schlüsselgröße
Die Größe des öffentlichen Schlüssels im ausgestellten Zertifikat. Stellen Sie sicher, dass der Wert mit dem Wert übereinstimmt, der auf dem SCEP-Server konfiguriert ist.
Als digitale Signatur verwenden
Wenn Sie dieses Kontrollkästchen aktivieren, kann der öffentliche Schlüssel als digitale Signatur verwendet werden.
Für Verschlüsselung verwenden
Wenn Sie dieses Kontrollkästchen aktivieren, kann der öffentliche Schlüssel zur Datenverschlüsselung verwendet werden.
12.14 Konfigurationen für Mobile-Security-Richtlinien Mit einer Mobile-Security-Richtlinie konfigurieren Sie Einstellungen für die App „Sophos Mobile Security“. Detaillierte Informationen zu Mobile-Security-Richtlinien finden Sie in folgenden Abschnitten: Antivirus-Einstellungen für Sophos Mobile Security konfigurieren (Seite 202) Webfilter-Einstellungen für Sophos Mobile Security konfigurieren (Seite 204)
12.15 Konfigurationen für Knox-Container-Profile Mit einem Knox-Container-Profil konfigurieren Sie Einstellungen für den Knox-Container auf Samsung-Geräten. Informationen zum Erstellen eines Knox-Container-Profils finden Sie in Profil oder Richtlinie erstellen (Seite 55).
98
Administratorhilfe
12.15.1 Konfiguration „Kennwortrichtlinien“ (Knox-Container-Profil) Kennworttyp Wenn Sie die Konfiguration Kennwortrichtlinien auswählen, wird die Liste Kennworttyp angezeigt. Wählen Sie in dieser Liste die Art des Kennworts, dass Sie definieren wollen:
Einstellung/Feld
Beschreibung
Beliebig
Benutzer müssen eine Displaysperre einrichten. Für die Displaysperre sind die Typen Muster, PIN und Passwort erlaubt. Weitere Einschränkungen bestehen nicht.
Alphabetisch
Benutzer müssen eine Displaysperre vom Typ Passwort einrichten. Zahlen sind erlaubt, aber es muss mindestens auch ein Buchstabe enthalten sein. Sie können eine Mindestzeichenanzahl festlegen. Siehe die nachfolgende Tabelle.
PIN
Benutzer müssen eine Displaysperre vom Typ PIN oder Passwort einrichten. Sie können eine Mindestzeichenanzahl festlegen. Siehe die nachfolgende Tabelle.
Alphanumerisch
Benutzer müssen eine Displaysperre vom Typ Passwort einrichten. Das Kennwort muss sowohl Buchstaben als auch Ziffern enthalten. Sie können eine Mindestzeichenanzahl festlegen. Siehe die nachfolgende Tabelle.
Komplex
Benutzer müssen eine Displaysperre vom Typ Passwort einrichten. Das Kennwort muss sowohl Buchstaben als auch Ziffern enthalten. Sie können eine Mindest-Gesamtzeichenanzahl und eine Mindestanzahl an Ziffern, Klein- und Großbuchstaben und Sonderzeichen festlegen. Siehe die nachfolgenden beiden Tabellen.
Wenn Sie Alphabetisch, PIN, Alphanumerisch oder Komplex auswählen, werden die folgenden Felder angezeigt:
Einstellung/Feld
Beschreibung
Minimale Länge des Kennworts
Die Mindestanzahl an Zeichen, die ein Kennwort enthalten muss.
99
Sophos Mobile Control (in Sophos Central)
Einstellung/Feld
Beschreibung
Inaktivitätsdauer bis zur Abfrage des Kennworts
Die Zeit (in Minuten), nach der das Gerät gesperrt wird, wenn es nicht benutzt wird. Das Gerät lässt sich durch Eingabe des Kennworts entsperren.
Gültigkeitsdauer des Kennworts in Tagen
Fordert eine Änderung des Kennworts im angegebenen Intervall. Wertebereich: 0 (keine Kennwortänderung erforderlich) bis 730 Tage.
Maximale Anzahl fehlerhafter Loginversuche, bis das Gerät zurückgesetzt wird
Die maximale Anzahl fehlgeschlagener Kennwort-Eingabeversuche, nach der das Gerät zurückgesetzt wird.
Anzahl der letzten Kennwörter, die nicht benutzt werden dürfen
Die Anzahl alter Kennwörter, die vom System gespeichert werden. Wenn ein Benutzer ein neues Kennwort festlegt, wird es nicht akzeptiert, falls es mit einem bereits benutzten Kennwort übereinstimmt. Wertebereich: 1 bis 5 oder kein Wert.
Wenn Sie Komplex auswählen, werden zusätzlich die folgenden Felder angezeigt:
100
Einstellung/Feld
Beschreibung
Minimale Anzahl von Buchstaben
Die Mindestanzahl an Buchstaben, die ein Kennwort enthalten muss.
Minimale Anzahl von Kleinbuchstaben
Die Mindestanzahl Kleinbuchstaben, die ein Kennwort enthalten muss.
Minimale Anzahl von Großbuchstaben
Die Mindestanzahl Großbuchstaben, die ein Kennwort enthalten muss.
Minimale Anzahl von Zeichen, die kein Buchstabe sind
Die Mindestanzahl nicht-alphabetischer Zeichen (zum Beispiel & oder !), die ein Kennwort mindestens enthalten muss.
Minimale Anzahl von Ziffern
Die Mindestanzahl an Ziffern, die ein Kennwort enthalten muss.
Minimale Anzahl von Sonderzeichen
Die Mindestanzahl an Sonderzeichen (zum Beispiel !"§$%&/()=,.-;:_@) ein Kennwort mindestens enthalten muss.
Administratorhilfe
Biometrische Authentisierung
Einstellung/Feld
Beschreibung
Fingerabdruck-Authentisierung erlauben Falls vom Gerät unterstützt, kann der Benutzer den Knox-Container mittels Fingerabdruck-Authentisierung entsperren. Iris-Authentisierung erlauben
Falls vom Gerät unterstützt, kann der Benutzer den Knox-Container mittels Iris-Authentisierung entsperren.
12.15.2 Konfiguration „Einschränkungen“ (Knox-Container-Profil) Einstellung/Feld
Beschreibung
Bildschirmaufnahme erlauben
Benutzer können den Bildschirminhalt von Apps im Samsung-Knox-Container aufnehmen.
Kamera erlauben
Apps im Samsung-Knox-Container können auf die Kamera zugreifen.
Zwischenablage erlauben
Das Kopieren von Inhalten in die Zwischenablage ist nicht eingeschränkt.
„Teilen über“ erlauben
Die von manchen Apps verwendete Funktion Teilen über ist verfügbar.
Mikrofon erlauben
Apps im Samsung-Knox-Container können auf das Mikrofon zugreifen.
Verwendung der sicheren Tastatur erzwingen
Benutzer müssen die sichere Tastatur verwenden.
Hinzufügen neuer E-Mail-Konten erlauben
Benutzer können zusätzlich zu den über ein Sophos Mobile Control Profil konfigurierten Konten weitere E-Mail-Konten hinzufügen.
Daten-Export erlauben
Private Apps können auf Daten aus dem Samsung-Knox-Container zugreifen.
Kopieren von Dateien in den Container erlauben
Private Dateien können in den Samsung-Knox-Container kopiert oder verschoben werden.
Erlaubte Apps / Unzulässige Apps
Sie können entweder Erlaubte Apps oder Unzulässige Apps konfigurieren. Wählen Sie zunächst aus der ersten Liste die gewünschte Option aus, und wählen Sie anschließend aus der zweiten Liste die App-Gruppe aus, welche die erlaubten oder unzulässigen Apps enthält.
101
Sophos Mobile Control (in Sophos Central)
Einstellung/Feld
Beschreibung Diese Einschränkungen betreffen nicht die App-Installationen, die vom Sophos Mobile Control Server initiiert werden. Informationen zur Erstellung von App-Gruppen finden Sie in App-Gruppen (Seite 173).
12.15.3 Konfiguration „Exchange ActiveSync“ (Knox-Container-Profil) Einstellung/Feld
Beschreibung
Kontoname
Der Kontoname.
Exchange-ActiveSync-Host
Die Adresse des Microsoft Exchange Servers. Hinweis: Wenn Sie den SMC-EAS-Proxy verwenden, geben Sie die URL des SMC-Proxy-Servers ein.
Domäne
Die Domäne für dieses Konto.
Benutzer
Der Benutzername für dieses Konto. Wenn Sie die Variable %_USERNAME_% verwenden, wird diese durch den jeweiligen Benutzernamen ersetzt.
E-Mail-Adresse
Die E-Mail-Adresse des Kontos. Wenn Sie die Variable %_EMAILADDRESS_% verwenden, wird diese durch die jeweilige E-Mail-Adresse ersetzt.
Absender
Ein Absendername für das Konto. Wenn Sie die Variable %_EMAILADDRESS_% verwenden, wird diese durch die jeweilige E-Mail-Adresse ersetzt.
Kennwort
Das Kennwort für dieses Konto. Wenn Sie dieses Feld leer lassen, müssen Benutzer das Kennwort auf ihren Geräten eingeben.
Synchronisierungszeitraum
Der Zeitraum, für den E-Mails synchronisiert werden. Wenn Sie einen Zeitraum angeben, werden nur E-Mail-Nachrichten innerhalb dieses Zeitraums mit dem Posteingang auf den Geräten synchronisiert.
102
Administratorhilfe
Einstellung/Feld
Beschreibung
Synchronisierungsintervall
Der zeitliche Abstand zwischen zwei Synchronisierungsvorgängen.
SSL
Die gesamte Kommunikation erfolgt über SSL (Secure Socket Layer). Wir empfehlen, dieses Kontrollkästchen zu aktivieren.
Standardkonto
Das Konto wird als Standard-E-Mail-Konto verwendet.
Alle Zertifikate erlauben
Für die Kommunikation mit dem E-Mail-Server sind alle Zertifikate zugelassen.
E-Mail-Weiterleitung erlauben
E-Mail-Weiterleitung erlauben.
HTML-Format erlauben
E-Mails im HTML-Format sind zugelassen.
Max. Größe von Anhängen in MB
Die maximale Größe einer einzelnen E-Mail-Nachricht (1, 3, 5, 10, Unbegrenzt).
Inhalte
Die zu synchronisierenden Inhalte.
12.16 Konfigurationen für iOS-Geräteprofile Mit einem iOS-Geräteprofil konfigurieren Sie verschiedene Bereiche von iOS-Geräten, wie zum Beispiel Kennwortrichtlinien, Einschränkungen oder WLAN-Einstellungen. Informationen zum Erstellen eines Geräteprofils finden Sie in Profil oder Richtlinie erstellen (Seite 55).
12.16.1 Konfiguration „Kennwortrichtlinien“ (iOS-Geräteprofil) Mit der Konfiguration Kennwortrichtlinien definieren Sie Kennwortregeln für Geräte.
Einstellung/Feld
Beschreibung
Einfache Werte erlauben
Benutzer dürfen aufeinanderfolgende oder wiederholte Zeichen in ihrem Kennwort verwenden, zum Beispiel 1111 oder abcde.
Alphanumerische Werte erforderlich
Kennwort muss mindestens einen Buchstaben oder eine Ziffer enthalten.
Minimale Länge des Kennworts
Gibt an, wie viele Zeichen ein Kennwort mindestens enthalten muss.
103
Sophos Mobile Control (in Sophos Central)
Einstellung/Feld
Beschreibung
Mindestanzahl von komplexen Zeichen
Gibt an, wie viele nicht-alphanumerische Zeichen (zum Beispiel & oder !) ein Kennwort mindestens enthalten muss.
Gültigkeitsdauer des Kennworts in Tagen
Fordert eine Änderung des Kennworts im angegebenen Intervall. Wertebereich: 0 (keine Kennwortänderung erforderlich) bis 730 Tage.
Automatische Sperre (Minuten)
In diesem Feld können Sie den Höchstwert festlegen, den der Benutzer auf dem Gerät konfigurieren darf. Mit der automatischen Sperre wird festgelegt, wann (in Minuten) das Gerät nach Nichtbenutzung gesperrt werden soll.
Anzahl der letzten Kennwörter, die nicht benutzt In diesem Feld können Sie festlegen, wie viele werden dürfen alte Kennwörter gespeichert und mit neu definierten Kennwörtern verglichen werden. Wenn ein Benutzer ein neues Kennwort festlegt, wird es nicht akzeptiert, falls es mit einem bereits benutzten Kennwort übereinstimmt. Wertebereich: 1 bis 50 oder 0 (keine Kennworthistorie). Toleranzfrist für Gerätesperrung
In diesem Feld können Sie den Höchstwert festlegen, den der Benutzer auf dem Gerät konfigurieren darf. Mit der Toleranzfrist für die Gerätesperrung legen Sie fest, wie lange nach einer Sperre das Gerät ohne Kennwort entsperrt werden kann. Wenn Sie Ohne auswählen, kann der Benutzer einen beliebigen verfügbaren Zeitraum wählen. Wenn Sie Sofort auswählen, müssen Benutzer immer, wenn sie ihre Geräte entsperren, ein Kennwort eingeben.
Maximale Anzahl fehlerhafter Loginversuche, bis das Gerät zurückgesetzt wird
In diesem Feld können Sie die Höchstanzahl an fehlgeschlagenen Eingabeversuchen für das Kennwort eingeben. Nach Erreichen der Höchstanzahl wird das Gerät zurückgesetzt. Nach sechs fehlgeschlagenen Versuchen wird eine Zeitverzögerung verhängt. Ein erneuter Versuch kann erst nach Ablauf der Verzögerung unternommen werden. Diese Verzögerung wird mit jedem fehlgeschlagenen Versuch größer. Nach dem letzten fehlgeschlagenen Versuch werden alle Daten und Einstellungen sicher vom Gerät entfernt. Die Zeitverzögerung startet nach dem sechsten Versuch. Wenn Sie also diesen Wert auf 6 oder einen niedrigeren Wert setzen, wird keine Verzögerung ausgelöst. In diesem Fall wird das Gerät zurückgesetzt, sobald die maximale Anzahl an Fehlversuchen überschritten ist.
12.16.2 Konfiguration „Einschränkungen“ (iOS-Geräteprofil) Mit der Konfiguration Einschränkungen definieren Sie Einschränkungen für Geräte.
104
Administratorhilfe
Gerät
Einstellung/Feld
Beschreibung
Installation von Apps erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist der App Store nicht verfügbar und sein Symbol wird vom Home-Bildschirm entfernt. Benutzer können keine Apps über den App Store, über iTunes oder Apple Configurator installieren oder aktualisieren.
App-Installation über die Benutzeroberfläche erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist der App Store nicht verfügbar und sein Symbol wird vom Home-Bildschirm entfernt. Benutzer können weiterhin Apps über iTunes oder Apple Configurator installieren oder aktualisieren.
Verwendung der Kamera erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist die Kamera nicht verfügbar und das Symbol der Kamera-App wird vom Home-Bildschirm entfernt. Benutzer können weder Fotos machen noch Videos aufzeichnen oder FaceTime benutzen.
FaceTime erlauben
Benutzer können Videotelefonie über FaceTime durchführen.
Bildschirmaufnahme erlauben
Benutzer können Aufnahmen des Bildschirminhalts machen.
Automatische Synchronisierung bei Roaming erlauben
Wenn das Kontrollkästchen deaktiviert ist, synchronisieren sich Geräte bei Mobilfunk-Roaming nur dann, wenn der Benutzer auf ein Konto zugreift.
Siri erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer Siri, Sprachbefehle oder die Diktierfunktion nicht verwenden.
Siri erlauben, während das Gerät gesperrt ist
Wenn das Kontrollkästchen deaktiviert ist, müssen Benutzer ihre Geräte durch Eingabe ihres Kennworts entsperren, damit sie Siri benutzen können.
Websuche für Siri erlauben
Wenn das Kontrollkästchen deaktiviert ist, führt Siri keine Websuche durch.
Filtern von anstößiger Sprache für Siri erzwingen
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer das Filtern von anstößiger Sprache für Siri deaktivieren.
105
Sophos Mobile Control (in Sophos Central)
Einstellung/Feld
Beschreibung
Sprachwahl bei gesperrtem Gerät erlauben
Wenn das Kontrollkästchen deaktiviert ist, sind Anrufe mittels Sprachkommandos nicht möglich, wenn das Gerät mit einem Kennwort gesperrt ist. Hinweis: Falls kein Gerätekennwort konfiguriert ist, sind Anrufe mittels Sprachkommandos immer möglich.
Passbook bei Gerätesperre erlauben
Passbook-Benachrichtigungen werden auch bei gesperrtem Gerät angezeigt.
In-App-Käufe erlauben
Benutzer können In-App-Käufe durchführen.
Benutzer muss für alle Einkäufe das Store-Kennwort eingeben
Benutzer müssen für Käufe ihr Apple-ID-Kennwort eingeben. Wenn das Kontrollkästchen deaktiviert ist, können Benutzer innerhalb einer kurzen Toleranzfrist mehrere Käufe durchführen, ohne ihr Kennwort jedes Mal neu einzugeben.
Mehrspielermodus erlauben
Benutzer können im Game Center Multiplayer-Spiele spielen.
Game Center erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist Game Center nicht verfügbar.
Hinzufügen von Game-Center-Freunden Benutzer können im Game Center Freunde hinzufügen. erlauben
106
Änderung der „Freunde suchen“-Einstellungen erlauben
Wenn das Kontrollkästchen deaktiviert ist, können die Einstellungen der App „Meine Freunde suchen“ nicht geändert werden.
USB-Kopplung erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist ein Datenaustausch per Kabel (Host Pairing) deaktiviert, außer mit dem „Supervision Host“. Wenn kein Supervision-Host-Zertifikat konfiguriert ist, ist kein Host Pairing möglich.
Kopplung mit Apple Watch erlauben
Wenn das Kontrollkästchen deaktiviert ist, kann das Geräte nicht mit einer Apple Watch gekoppelt werden. Für bereits gekoppelte Apple-Watch-Geräte wird die Kopplung aufgehoben.
AirDrop erlauben
Inhalte können mittels AirDrop geteilt werden.
Zugriff auf das Kontrollzentrum im Sperrbildschirm erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist das Kontrollzentrum bei aktiver Displaysperre nicht verfügbar.
Administratorhilfe
Einstellung/Feld
Beschreibung
Zugriff auf die Mitteilungszentrale im Sperrbildschirm erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist die Mitteilungszentrale bei aktiver Displaysperre nicht verfügbar.
Zugriff auf die Heute-Ansicht im Sperrbildschirm erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist die Heute-Ansicht bei aktiver Displaysperre nicht verfügbar.
News erlauben
Die App „News“ ist verfügbar.
Over-the-air PKI Updates erlauben
PKI-Aktualisierungen sind „Over-the-Air“ möglich.
Einkauf von Büchern in iBooks erlauben Benutzer können in iBooks Bücher kaufen. Einkauf von Büchern mit anstößigen Inhalten in iBooks erlauben
Wenn das Kontrollkästchen deaktiviert ist, sind iBooks mit anstößigem Inhalt gesperrt.
Installation von Konfigurationsprofilen durch den Benutzer erlauben
Benutzer können Konfigurationsprofile installieren.
iMessage erlauben
Benutzer können mit iMessage SMS senden oder empfangen.
Deinstallation von Apps erlauben
Benutzer können Apps vom Gerät entfernen.
Löschen aller Inhalte und Einstellungen Wenn das Kontrollkästchen deaktiviert ist, ist auf der Seite erlauben „Zurücksetzen“ die Option Inhalte und Einstellungen löschen nicht verfügbar. Internetsuchergebnis für Spotlight erlauben
Wenn das Kontrollkästchen deaktiviert ist, führt Spotlight keine Internetsuche durch.
Aktivierung der Beschränkungsoption erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist auf der Seite „Zurücksetzen“ die Option Einschränkungen aktivieren nicht verfügbar.
Handoff erlauben
Die Apple-Integrations-Funktion „Handoff“ ist verfügbar. Mit „Handoff“ können Benutzer die Bearbeitung von Dokumenten, E-Mails oder Nachrichten, die sie auf einem Gerät begonnen haben, auf einem anderen Gerät fortsetzen.
Ändern des Gerätenamens erlauben
Benutzer können den Gerätenamen ändern.
Hintergrundbild-Änderung erlauben
Benutzer können das Hintergrundbild ändern.
Tastenkürzel erlauben
Benutzer können Tastenkürzel verwenden.
107
Sophos Mobile Control (in Sophos Central)
Einstellung/Feld
Beschreibung
Automatisches Herunterladen von Apps Wenn das Kontrollkästchen deaktiviert ist, werden Apps, erlauben die auf anderen Geräten erworben wurden, nicht automatisch heruntergeladen. Dies betrifft nicht die Aktualisierung bereits vorhandener Apps. Apple Music erlauben
Der Dienst „Apple Music“ ist verfügbar.
Apple Music Radio erlauben
Der Dienst „Apple Music Radio“ ist verfügbar.
Ändern der Bluetooth-Einstellungen erlauben
Benutzer können die Bluetooth-Einstellungen ändern.
Firmendaten
Einstellung/Feld
Beschreibung
Öffnen von Dokumenten nur innerhalb von verwalteten Apps/Konten erlauben
Mit dieser Einstellungen definieren Sie eine Einschränkung für das Öffnen von Dokumenten mit Apps/Konten (zum Beispiel einem Firmen-E-Mail-Konto), die von Sophos Mobile Control verwaltet werden. Wenn Benutzer über ein von Sophos Mobile Control verwaltetes E-Mail-Konto und von Sophos Mobile Control verwaltete Apps auf Ihren Geräten verfügen, können die Anhänge aus dem verwalteten E-Mail-Konto nur mit verwalteten Apps geöffnet werden. Auf diese Weise können Sie verhindern, dass Unternehmensdokumente mit nicht verwalteten Apps geöffnet werden.
Öffnen von Dokumenten nur innerhalb von nicht verwalteten Apps/Konten erlauben
Mit dieser Einstellungen definieren Sie eine Einschränkung für das Öffnen von Dokumenten mit Apps/Konten (zum Beispiel einem privaten E-Mail-Konto), die nicht von Sophos Mobile Control verwaltet werden. Wenn Benutzer über ein nicht durch Sophos Mobile Control verwalteten E-Mail-Konto und nicht Sophos Mobile Control verwaltete Apps auf Ihren Geräten verfügen, können die Anhänge aus dem nicht verwalteten E-Mail-Konto nur mit nicht verwalteten Apps geöffnet werden. Auf diese Weise können Sie verhindern, dass persönliche Dokumente mit verwalteten Apps geöffnet werden.
Verwendung von AirDrop-Dokumenten als nicht verwaltete Dokumente erzwingen
108
Mittels AirDrop geteilte Dokumente sind keine verwalteten Dokumente.
Administratorhilfe
Einstellung/Feld
Beschreibung
Verwalteten Apps die Synchronisierung Verwaltete Apps können iCloud für die Synchronisierung mit iCloud erlauben verwenden. Sicherung für Enterprise-Books erlauben Enterprise-Books werden gesichert. Enterprise Books Notes und Highlights-Sync erlauben
Notizen und Hervorhebungen in Enterprise-Books werden synchronisiert.
Anwendungen
Einstellung/Feld
Beschreibung
Verwendung des iTunes Store erlauben Wenn das Kontrollkästchen deaktiviert ist, ist der iTunes Store nicht verfügbar und sein Symbol wird vom Home-Bildschirm entfernt. Benutzer können Inhalte weder in der Vorschau ansehen, noch kaufen oder herunterladen. Verwendung von Safari erlauben
Wenn das Kontrollkästchen deaktiviert ist, ist der Browser Safari nicht verfügbar und sein Symbol wird vom Home-Bildschirm entfernt. Dies verhindert auch, dass Benutzer Webclips öffnen.
Automatisches Ausfüllen aktivieren
Wenn das Kontrollkästchen deaktiviert ist, werden in Safari Webformulare nicht automatisch ausgefüllt.
Pop-Up-Fenster blockieren
Safari blockiert Popups.
JavaScript im Browser erlauben
Webseiten können JavaScript-Code auf dem Gerät ausführen.
Cookies akzeptieren
In diesem Feld legen Sie fest, ob Cookies akzeptiert werden: Immer Nie Von besuchten Webseiten
Änderung der Einstellungen für mobile Datenverbindungen pro App erlauben
Benutzer können für einzelne Apps die Einstellungen für mobile Datenverbindungen ändern.
Erlaubte Apps / Unzulässige Apps
Sie können entweder Erlaubte Apps oder Unzulässige Apps angeben. Wählen Sie zunächst aus der ersten Liste die gewünschte Option aus, und wählen Sie anschließend aus der zweiten Liste die App-Gruppe aus, welche die
109
Sophos Mobile Control (in Sophos Central)
Einstellung/Feld
Beschreibung erlaubten oder unzulässigen Apps enthält. Informationen zur Erstellung von App-Gruppen finden Sie in App-Gruppen (Seite 173).
iCloud
Einstellung/Feld
Beschreibung
Sicherung erlauben
Benutzer können ein Geräte-Backup in iCloud machen.
Dokumentensynchronisierung erlauben Benutzer können Dokumente in iCloud speichern. Fotostream erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer den iCloud-Dienst „Fotostream“ nicht aktivieren. Hinweis: Wenn Sie ein Konfigurationsprofil installieren, dass die Benutzung von Fotostream einschränkt, werden Fotostream-Fotos vom Gerät entfernt. Fotos werden nicht aus dem Fotoordner an Fotostream gesendet. Wenn keine anderen Kopien dieser Fotos existieren, gehen diese verloren.
iCloud-Fotomediathek erlauben
Benutzer können die iCloud-Fotomediathek verwenden.
Freigegebene Fotostreams erlauben
Benutzer können ihre Fotostreams anderen Benutzern zur Betrachtung freigeben und freigegebene Fotostreams anderer Benutzer betrachten.
Schlüsselbundsynchronisierung erlauben
Die iCloud-Funktion für die Synchronisierung von Kennwörtern über verschiedene iOS- und OS-X-Geräte hinweg ist verfügbar.
Sicherheit und Privatsphäre
Einstellung/Feld
Beschreibung
Senden von Diagnosedaten an Apple erlauben
Wenn das Kontrollkästchen deaktiviert ist, werden keine iOS-Diagnosedaten an Apple gesendet.
Annehmen nicht vertrauenswürdiger Wenn das Kontrollkästchen deaktiviert ist, werden TLS-Zertifikate durch Benutzer erlauben Benutzer nicht gefragt, ob sie einem Zertifikat vertrauen möchten, das nicht verifiziert werden kann. Diese
110
Administratorhilfe
Einstellung/Feld
Beschreibung Einstellung gilt für Safari, Mail-Kontakte und Kalender-Konten.
Enterprise-Apps vertrauen
Enterprise-Apps wird vertraut.
Kennwort-Änderung erlauben
Benutzer können ein Gerätekennwort definieren, ändern und löschen.
Kontoänderungen erlauben
Wenn das Kontrollkästchen deaktiviert ist, können Benutzer keine Konten bearbeiten. Das Menü Konten ist nicht verfügbar.
Touch ID zum Entsperren des Gerätes erlauben
Wenn das Kontrollkästchen deaktiviert ist, kann das Gerät nicht per Touch ID entsperrt werden.
Beschränken von Ad-Tracking erzwingen Apps für anonyme Benutzerdaten, die für die Adressierung von Werbung verwendet werden, sind nicht mehr verfügbar. Verschlüsselte Sicherungen erzwingen
Benutzer müssen iTunes-Backups verschlüsseln.
Inhaltsbewertung
Einstellung/Feld
Beschreibung
Anstößige Musik und Podcasts erlauben Wenn das Kontrollkästchen deaktiviert ist, werden im iTunes Store keine anstößigen Musik- oder Video-Inhalte angezeigt. Anstößige Inhalte werden von den jeweiligen Anbietern, zum Beispiel Plattenfirmen, bei der Auflistung im iTunes Store entsprechend gekennzeichnet.
12.16.3 Konfiguration „Roaming-/Hotspot-Einstellungen“ (iOS-Geräteprofil) Mit der Konfiguration Roaming-/Hotspot-Einstellungen definieren Sie Einstellungen für Roaming-Verbindungen und für persönliche Hotspots. Hinweis: Benutzer können diese Einstellungen auf ihren Geräten jederzeit ändern.
Einstellung/Feld
Beschreibung
Sprach-Roaming aktivieren
Sprach-Roaming ist verfügbar.
Daten-Roaming aktivieren
Daten-Roaming ist verfügbar.
111
Sophos Mobile Control (in Sophos Central)
Einstellung/Feld
Beschreibung
Persönlichen Hotspot aktivieren
Der Benutzer kann das Gerät als persönlichen Hotspot konfigurieren.
12.16.4 Konfiguration „Exchange ActiveSync“ (iOS-Geräteprofil) Mit der Konfiguration Exchange ActiveSync definieren Sie Benutzereinstellungen für Ihren Microsoft Exchange Server.
Einstellung/Feld
Beschreibung
Kontoname
Der Kontoname.
Exchange-ActiveSync-Host
Die Adresse des Microsoft Exchange Servers. Hinweis: Wenn Sie den SMC-EAS-Proxy verwenden, geben Sie die URL des SMC-Proxy-Servers ein.
Domäne
Die Domäne für dieses Konto.
Benutzer
Der Benutzername für dieses Konto. Wenn Sie die Variable %_USERNAME_% verwenden, wird diese durch den jeweiligen Benutzernamen ersetzt.
E-Mail-Adresse
Die E-Mail-Adresse des Kontos. Wenn Sie die Variable %_EMAILADDRESS_% verwenden, wird diese durch die jeweilige E-Mail-Adresse ersetzt.
Kennwort
Das Kennwort für dieses Konto. Wenn Sie dieses Feld leer lassen, müssen Benutzer das Kennwort auf ihren Geräten eingeben.
Synchronisierungszeitraum
Der Zeitraum, für den E-Mails synchronisiert werden. Wenn Sie einen Zeitraum angeben, werden nur E-Mail-Nachrichten innerhalb dieses Zeitraums mit dem Posteingang auf den Geräten synchronisiert.
SSL
Die gesamte Kommunikation erfolgt über SSL (Secure Socket Layer). Wir empfehlen, dieses Kontrollkästchen zu aktivieren.
112
Administratorhilfe
Einstellung/Feld
Beschreibung
Verschieben erlauben
Der Benutzer kann E-Mails von diesem Konto in ein anderes verschieben. Dies erlaubt Benutzern außerdem, ein anderes Konto für das Antworten auf oder das Weiterleiten von Nachrichten aus diesem Konto zu verwenden.
Synchronisierung letzter Adressen erlauben Das Konto wird in die iCloud-Synchronisierung kürzlich verwendeter Adressen mit anderen Geräten einbezogen. Nur mit Mail verwenden
Für das Senden von Nachrichten mit diesem Konto kann nur die App „Mail“ verwendet werden. Das Konto kann nicht als Absender-Konto für mit anderen Apps erstellten Nachrichten (zum Beispiel Fotos oder Safari) verwendet werden.
Identitätszertifikat
Das Identitäts-Zertifikat für die Verbindung zu ActiveSync. Die Liste enthält alle Zertifikate aus Konfigurationen vom Typ Client-Zertifikat im aktuellen Profil.
12.16.5 Konfiguration „WLAN“ (iOS-Geräteprofil) Mit der Konfiguration WLAN legen Sie Einstellungen für die Verbindung mit WLAN-Netzwerken fest.
Einstellung/Feld
Beschreibung
SSID
Die ID des WLAN-Netzwerks.
Automatisch verbinden
Automatisch mit dem Zielnetzwerk verbinden.
Unsichtbares Netzwerk
Das Zielnetzwerk ist nicht offen oder ist unsichtbar.
Sicherheitstyp
Der Sicherheitstyp des WLAN-Netzwerks: Keine WEP WPA/WPA2 Beliebig (persönlich) Firmen-WEP Firmen-WPA/WPA2 Beliebig (firmenweit) Wenn Sie WEP, WPA/WPA2 oder Beliebig (persönlich) auswählen, wird ein Feld Kennwort angezeigt. Geben Sie das relevante Kennwort ein.
113
Sophos Mobile Control (in Sophos Central)
Einstellung/Feld
Beschreibung Wenn Sie Firmenweiter WEP, Firmenweiter WPA/WPA2 oder Beliebig (firmenweit) auswählen, werden die Registerkarten Protokolle, Authentifizierung und Vertrauen angezeigt. Konfigurieren Sie auf der Registerkarte Protokolle folgende Einstellungen: Geben Sie unter Akzeptierte EAP-Typen die EAP-Verfahren an, die für die Authentisierung verwendet werden sollen. Je nach den hier ausgewählten Typen lassen sich die Werte im Feld Innere Identität (TTLS) auswählen. Konfigurieren Sie unter EAP-FAST die Einstellungen für die EAP-FAST-Protected-Access-Anmeldedaten. Konfigurieren Sie auf der Registerkarte Authentifizierung Einstellungen für die Client-Authentifizierung: Geben Sie im Feld Benutzer den Benutzernamen für die Verbindung zu dem WLAN-Netzwerk ein. Wählen Sie Kennwort bei jedem Verbinden abfragen aus, wenn das Kennwort für jede Verbindung abgefragt und mit der Authentifizierung übertragen werden soll. Geben Sie im Feld Kennwort das relevante Kennwort ein. Wählen Sie in der Liste Identitätszertifikat das Zertifikat für die Verbindung zu dem WLAN-Netzwerk aus. Hinweis: Das Zertifikat, das verwendet werden soll, muss in einer Client-Zertifikat-Konfiguration angegeben werden. Geben Sie im Feld Externe Identität die extern sichtbare ID (für TTLS, PEAP und EAP-FAST) ein. Konfigurieren Sie auf der Registerkarte Vertrauen Einstellungen für die Server-Authentifizierung: Wählen Sie die vertrauenswürdigen Zertifikate aus der Liste aus. Hinweis: Sie müssen die Zertifikate in einer Konfiguration Root-Zertifikat angeben.
Proxy
Wählen Sie in dieser Liste die Proxy-Einstellungen für die WLAN-Verbindung aus: Keine Manuell Automatisch Wenn Sie Manuell auswählen, werden die Felder Server und Port, Authentifizierung und Kennwort angezeigt. Geben Sie die erforderlichen
114
Administratorhilfe
Einstellung/Feld
Beschreibung Proxy-Informationen ein. Wenn Sie Automatisch auswählen, wird das Feld Proxy-Server-URL angezeigt. Geben Sie die URL des Proxy-Servers ein.
12.16.6 Konfiguration „VPN“ (iOS-Geräteprofil) Mit der Konfiguration VPN definieren Sie VPN-Einstellungen für Netzwerkverbindungen.
Einstellung/Feld
Beschreibung
Verbindungsname
Der Name der Verbindung, der auf dem Gerät angezeigt wird.
Verbindungstyp
Der Typ der VPN-Verbindung: Cisco AnyConnect IPSec (Cisco) F5 Check Point SSL (benutzerdefiniert) Je nach hier gewähltem Verbindungstyp werden auf der Seite VPN unterschiedliche Eingabefelder angezeigt.
Identifier (Reverse-DNS-Format) (Verbindungstyp SSL (benutzerdefiniert))
Die benutzerdefinierte Kennung im Reverse-DNS-Format.
Server (alle Verbindungstypen)
Der Host-Name oder die IP-Adresse des Servers.
Konto (alle Verbindungstypen)
Das Benutzer-Konto für die Authentisierung der Verbindung.
Benutzerdefinierte Daten (Verbindungstyp SSL Falls Ihr Anbieter benutzerdefinierte (benutzerdefiniert)) Verbindungseinstellungen spezifiziert hat, geben Sie diese hier ein. Um eine Eigenschaft einzugeben, klicken Sie auf Hinzufügen und geben Sie anschließend im Dialogfeld den Schlüssel und den Wert der Eigenschaft ein.
Alle Daten über VPN übertragen
Die VPN-Verbindung wird für den gesamten Datenverkehr verwendet.
Gruppe (Verbindungstyp Cisco AnyConnect)
Geben Sie die Gruppe ein, die für die Authentisierung der Verbindung erforderlich sein kann.
115
Sophos Mobile Control (in Sophos Central)
Einstellung/Feld
Beschreibung
Benutzer-Authentifizierung (Verbindungstyp Cisco AnyConnect, F5, Custom SSL)
Wählen Sie die Art der Benutzer-Authentisierung für die Verbindung aus: Wenn Sie Kennwort auswählen, wird unterhalb des Feldes Benutzer-Authentifizierung ein Feld Kennwort angezeigt. Geben Sie das Kennwort für die Authentisierung ein. Wenn Sie Zertifikat auswählen, wird unterhalb des Feldes Benutzer-Authentifizierung ein Feld Zertifikat angezeigt. Wählen Sie ein Zertifikat aus.
Geräte-Authentifizierung (Verbindungstyp IPSec Die Art der Geräte-Authentifizierung: (Cisco)) Schlüssel (Shared Secret)/Gruppenname Wenn Sie diese Option auswählen, werden die Felder Gruppenname, Schlüssel (Shared Secret), Hybrid-Authentifizierung verwenden und Kennwort verlangen unter dem Feld Geräte-Authentifizierung angezeigt. Geben Sie die erforderlichen Authentisierungsinformationen in den Feldern Gruppenname und Schlüssel (Shared Secret) ein. Wählen Sie je nach Anforderung Hybrid-Authentifizierung verwenden und Kennwort verlangen. Zertifikat Wenn Sie diese Option auswählen, werden die Felder Zertifikat und Inklusive Benutzer-PIN unter dem Feld Geräte-Authentifizierung angezeigt. Wählen Sie in der Liste Zertifikat das erforderliche Zertifikat aus. Wählen Sie Inklusive Benutzer-PIN aus, um die Benutzer-PIN in die Geräteauthentisierung einzubeziehen.
Proxy (alle Verbindungstypen)
Die Proxy-Einstellungen für die Verbindung: Keine Manuell Wenn Sie diese Option wählen, werden die Felder Server und Port, Authentifizierung und Kennwort angezeigt. Geben Sie im Feld Server und Port die gültige Adresse und den Port des Proxy-Servers ein. Geben Sie im Feld Authentifizierung den Benutzernamen für die Verbindung zum Proxy-Server ein. Geben Sie im Feld Kennwort das Kennwort für die Verbindung zum Proxy-Server ein. Automatisch Wenn Sie diese Option wählen, wird das Feld Proxyserver-URL angezeigt. Geben Sie die
116
Administratorhilfe
Einstellung/Feld
Beschreibung URL des Servers mit der Proxy-Einstellung in diesem Feld ein.
12.16.7 Konfiguration „VPN pro App“ (iOS-Geräteprofil) Mit der Konfiguration VPN pro App definieren Sie VPN-Einstellungen für die Unterstützung des iOS-Features VPN pro App. Sie können konfigurieren, dass bestimmte Apps beim Starten automatisch eine VPN-Verbindung verwenden. Somit können Sie zum Beispiel sicherstellen, das von verwalteten Apps übermittelte Daten über VPN übertragen werden. Wenn Sie App-spezifische VPN-Konfigurationen eingerichtet haben, können Sie auf der Seite Paket bearbeiten einer App eine Konfiguration auswählen. Siehe VPN pro App und Einstellungen für iOS-Apps konfigurieren (Seite 171).
Einstellung/Feld
Beschreibung
Verbindungsname
Der Name der Verbindung, der auf dem Gerät angezeigt wird.
Verbindungstyp
Der Typ der VPN-Verbindung: Cisco AnyConnect F5 Check Point SSL (benutzerdefiniert) Je nach hier gewähltem Verbindungstyp werden auf der Seite VPN unterschiedliche Eingabefelder angezeigt.
Identifier (Reverse-DNS-Format) (Verbindungstyp Die benutzerdefinierte Kennung im SSL (benutzerdefiniert)) Reverse-DNS-Format. Server (alle Verbindungstypen)
Der Host-Name oder die IP-Adresse des Servers.
Konto (alle Verbindungstypen)
Das Benutzer-Konto für die Authentisierung der Verbindung.
Benutzerdefinierte Daten (Verbindungstyp SSL (benutzerdefiniert))
Falls Ihr Anbieter benutzerdefinierte Verbindungseinstellungen spezifiziert hat, geben Sie diese hier ein. Um eine Eigenschaft einzugeben, klicken Sie auf Hinzufügen und geben Sie anschließend im Dialogfeld den Schlüssel und den Wert der Eigenschaft ein.
117
Sophos Mobile Control (in Sophos Central)
Einstellung/Feld
Beschreibung
Gruppe (Verbindungstyp Cisco AnyConnect)
Geben Sie in diesem Feld die Gruppe ein, die für die Authentisierung der Verbindung erforderlich sein kann.
Alle Daten über VPN übertragen
Die VPN-Verbindung wird für den gesamten Datenverkehr verwendet.
Benutzer-Authentifizierung (Verbindungstyp Cisco AnyConnect, F5, Custom SSL)
Wählen Sie in dieser Liste die Art der Benutzer-Authentisierung für die Verbindung aus: Kennwort Wenn Sie diese Option auswählen, wird unter dem Feld Benutzer-Authentifizierung ein Feld Kennwort angezeigt. Geben Sie das Kennwort für die Authentisierung ein. Zertifikat Wenn Sie diese Option auswählen, wird unter dem Feld Benutzer-Authentifizierung ein Feld Zertifikat angezeigt. Wählen Sie ein Zertifikat aus.
Wählen Sie in dieser Liste die Art der Geräte-Authentifizierung (Verbindungstyp IPSec Geräte-Authentisierung aus: (Cisco)) Schlüssel (Shared Secret)/Gruppenname Wenn Sie diese Option auswählen, werden die Felder Gruppenname, Schlüssel (Shared Secret), Hybrid-Authentifizierung verwenden und Kennwort verlangen unter dem Feld Geräte-Authentifizierung angezeigt. Geben Sie die erforderlichen Authentisierungsinformationen in den Feldern Gruppenname und Schlüssel (Shared Secret) ein. Wählen Sie je nach Anforderung Hybrid-Authentifizierung verwenden und Kennwort verlangen. Zertifikat Wenn Sie diese Option auswählen, werden die Felder Zertifikat und Inklusive Benutzer-PIN unter dem Feld Geräte-Authentifizierung angezeigt. Wählen Sie in der Liste Zertifikat das erforderliche Zertifikat aus. Wählen Sie Inklusive Benutzer-PIN aus, um die Benutzer-PIN in die Geräteauthentisierung einzubeziehen.
Proxy (alle Verbindungstypen)
Wählen Sie in dieser Liste die Proxy-Einstellungen für die Verbindung aus: Keine Manuell
118
Administratorhilfe
Einstellung/Feld
Beschreibung Wenn Sie diese Option wählen, werden die Felder Server und Port, Authentifizierung und Kennwort angezeigt. Geben Sie im Feld Server und Port die gültige Adresse und den Port des Proxy-Servers ein. Geben Sie im Feld Authentifizierung den Benutzernamen für die Verbindung zum Proxy-Server ein. Geben Sie im Feld Kennwort das Kennwort für die Verbindung zum Proxy-Server ein. Automatisch Wenn Sie diese Option wählen, wird das Feld Proxyserver-URL angezeigt. Geben Sie die URL des Servers mit der Proxy-Einstellung in diesem Feld ein.
Provider-Typ
Der VPN-Verbindungstyp. App-Proxy: Netzwerkdatenverkehr wird durch einen VPN-Tunnel in der Applikationsschicht gesendet. Paket-Tunnel: Netzwerkdatenverkehr wird durch einen VPN-Tunnel in der Netzwerkschicht gesendet.
Safari-Domänen
In diesem Feld können Sie eine Liste von Zeichenfolgen eingeben, um Domänen zu spezifizieren. Wenn eine Domäne, auf die eine der Zeichenfolgen passt, in Safari oder in einer anderen Browser-App geöffnet wird, wird die VPN-Verbindung verwendet. Verwenden Sie eine neue Zeile für jede Domänen-Zeichenfolge. Domänen werden gemäß der folgenden Regeln mit den Zeichenfolgen verglichen: Punkte am Anfang und Ende werden ignoriert. Beispiel: Die Zeichenfolge .beispiel.com passt auf dieselben Domänen wie die Zeichenfolge beispiel.com. Jeder Namensteil einer Zeichenfolge muss auf einen vollständigen Namensteil einer Domäne passen. Beispiel: Die Zeichenfolge beispiel.com passt auf die Domäne www.beispiel.com, aber nicht auf www.mein-beispiel.com. Zeichenfolgen, die aus einem einzelnen Namensteil bestehen, passen nur auf genau diese Domäne. Beispiel: Die Zeichenfolge beispiel passt auf die Domäne beispiel, aber nicht auf www.beispiel.com.
119
Sophos Mobile Control (in Sophos Central)
12.16.8 Konfiguration „Single-Sign-On“ (iOS-Geräteprofil) Mit der Konfiguration Single-Sign-On definieren Sie Einstellungen für das Single-Sign-On für Drittanbieter-Apps.
Einstellung/Feld
Beschreibung
Name
Eine Bezeichnung für das Konto.
Kerberos-Principal-Name
Der „Kerberos Principal“-Name. Wenn Sie keinen Wert eingeben, muss der Benutzer den Namen eingeben, wenn das Profil auf dem Gerät installiert wird.
Realm
Der „Kerberos Realm“-Name. Sie müssen den Namen in Großbuchstaben eingeben.
12.16.9 Konfiguration „Kioskmodus“ (iOS-Geräteprofil) Mit der Konfiguration Kioskmodus definieren Sie Einstellungen für den Kioskmodus. In diesem Modus kann nur eine einzige App verwendet werden.
Einstellung/Feld
Beschreibung
Quelle auswählen
Wählen Sie aus, wie Sie die App für den Kioskmodus festlegen wollen: App-Liste: Wählen Sie die App aus einer Liste der für den Kunden verfügbaren iOS-Apps aus. Benutzerdefiniert: Geben Sie manuell die Bundle-ID der App ein.
Kennung
Die App für den Kioskmodus. Wählen Sie entweder eine App aus der Liste aus oder geben Sie eine Bundle-ID ein.
120
Touchscreen deaktivieren
Touch-Gesten sind nicht verfügbar.
Bildschirmrotation deaktivieren
Die Bildschirmorientierung kann nicht geändert werden.
Lautstärketasten deaktivieren
Die Gerätetasten zur Lautstärkesteuerung sind nicht verfügbar.
Lautlos-Schalter deaktivieren
Der Lautlos-Modus kann nicht aktiviert werden.
Standby-Taste deaktivieren
Die Standby-Taste ist nicht verfügbar.
Administratorhilfe
Einstellung/Feld
Beschreibung
Automatische Bildschirmsperre deaktivieren
Die automatische Bildschirmsperre, mit der das Gerät nach einer bestimmten Inaktivitätsdauer in den Standbymodus wechselt, ist deaktiviert.
VoiceOver aktivieren
Die Funktion „VoiceOver“ ist verfügbar.
Zoom aktivieren
Die Funktion „Zoom“ ist verfügbar.
„Farben umkehren“ aktivieren
Die Funktion „Farben umkehren“ ist verfügbar.
AssistiveTouch aktivieren
Die Funktion „AssistiveTouch“ ist verfügbar.
„Auswahl sprechen“ aktivieren
Die Funktion „Auswahl sprechen“ ist verfügbar.
Mono-Audio aktivieren
Die Funktion „Mono-Audio“ ist verfügbar.
VoiceOver
Der Benutzer kann die Funktion „VoiceOver“ anpassen.
Zoom
Der Benutzer kann die Funktion „Zoom“ anpassen.
Farben umkehren
Der Benutzer kann die Funktion „Farben umkehren“ anpassen.
AssistiveTouch
Der Benutzer kann die Funktion „AssistiveTouch“ anpassen.
12.16.10 Konfiguration „Webclip“ (iOS-Geräteprofil) Mit der Konfiguration Webclip definieren Sie Webclips, die zum Home-Bildschirm hinzugefügt werden. Webclips bieten schnellen Zugriff auf favorisierte Webseiten. Sie können jedoch zum Beispiel auch einen Webclip mit einer Support-Telefonnummer hinzufügen, damit die Benutzer schnell den Helpdesk kontaktieren können.
Einstellung/Feld
Beschreibung
Beschreibung
Eine Beschreibung des Webclips.
URL
Die Webadresse des Webclips.
Darf entfernt werden
Wenn das Kontrollkästchen deaktiviert ist, kann der Benutzer den Webclip nicht entfernen. Der Webclip kann nur durch Entfernen des Profils, das den Webclip installiert hat, entfernt werden.
Bildschirmfüllend
Der Webclip wird auf dem Gerät bildschirmfüllend geöffnet. Ein bildschirmfüllender Webclip öffnet die URL als Web App.
121
Sophos Mobile Control (in Sophos Central)
12.16.11 Konfiguration „Zugangspunkt (APN)“ (iOS-Geräteprofil) Mit der Konfiguration Zugangspunkt (APN) konfigurieren Sie einen Zugangspunkt (Access Point Name - APN) für iOS-Geräte. Eine APN-Konfiguration legt fest, wie sich Geräte mit einem Mobilfunknetz verbinden. Hinweis: Die Konfiguration Zugangspunkt (APN) ist veraltet. Stattdessen sollten Sie die Konfiguration Mobilfunk verwenden. Siehe Konfiguration „Mobilfunk“ (iOS-Geräteprofil) (Seite 125) Wichtig: Wenn diese Einstellungen nicht korrekt sind, kann das Gerät nicht auf Daten über ein Mobilnetzwerk zugreifen. Wenn Sie die Einstellungsänderungen rückgängig machen wollen, müssen Sie das Profil vom Gerät entfernen.
Einstellung/Feld
Beschreibung
APN
Der Zugangspunkt, den das Gerät angibt, wenn es sich mit dem Mobilfunknetz mittels GPRS verbindet. Dies muss ein vom Netzbetreiber akzeptierter Zugangspunkt sein. Andernfalls kann die Verbindung nicht aufgebaut werden.
Benutzername für Zugangspunkt
Der Nutzername für den Zugangspunkt. Hinweis: iOS unterstützt für Zugangspunkte Benutzernamen mit bis zu 64 Zeichen.
Kennwort für Zugangspunkt
Das Kennwort für den Zugangspunkt. Hinweis: iOS unterstützt für Zugangspunkte Kennwörter mit bis zu 64 Zeichen.
Proxy-Server und -Port
Die Adresse und die Portnummer des Proxy-Servers.
12.16.12 Konfiguration „Webfilter“ (iOS-Geräteprofil) Mit der Konfiguration Webfilter definieren Sie unzulässige URLs und erlaubte URLs mit Lesezeichen.
Einstellung/Feld
Beschreibung
Unzulässige URLs
Wenn Sie das Kontrollkästchen aktivieren, können Sie eine Liste mit blockierten URLs definieren, auf die nicht zugegriffen werden kann. Klicken Sie auf Weiter, um die Seite Typ des Webfilters auswählen anzuzeigen. Auf dieser Seite können Sie einzelne URLs hinzufügen. Verwenden Sie eine neue Zeile für jede URL.
122
Administratorhilfe
Einstellung/Feld
Beschreibung
Erlaubte URLs mit Lesezeichen
Wenn Sie das Kontrollkästchen aktivieren, können Sie erlaubte URLs mit Lesezeichen definieren, die im Browser Safari verfügbar sind. Alle anderen Websites werden blockiert. Klicken Sie auf Weiter, um die Seite Webfilter anzuzeigen. Klicken Sie auf Hinzufügen, um individuelle URLs als Lesezeichen zu definieren.
12.16.13 Konfiguration „Globaler HTTP-Proxy“ (iOS-Geräteprofil) Mit der Konfiguration Globaler HTTP-Proxy definieren Sie einen Unternehmens-Proxy-Server.
Einstellung/Feld
Beschreibung
Globaler HTTP-Proxy
Wählen Sie die Proxy-Einstellungen für die Verbindung aus: Manuell Wenn Sie diese Option wählen, werden die Felder Server und Port, Authentifizierung und Kennwort angezeigt. Geben Sie im Feld Server und Port die gültige Adresse und den Port des Proxy-Servers ein. Geben Sie im Feld Authentifizierung den Benutzernamen für die Verbindung zum Proxy-Server ein. Geben Sie im Feld Kennwort das Kennwort für die Verbindung zum Proxy-Server ein. Automatisch Wenn Sie diese Option wählen, wird das Feld Proxyserver-URL angezeigt. Geben Sie die URL des Servers mit der Proxy-Einstellung in diesem Feld ein.
12.16.14 Konfiguration „Root-Zertifikat“ (iOS-Geräteprofil) Mit der Konfiguration Root-Zertifikat installieren Sie ein Root-Zertifikat auf Geräten. Navigieren Sie im Feld Datei zu dem relevanten Zertifikat und klicken Sie auf Datei hochladen. Der Name des Zertifikats wird im Feld Zertifikatsname angezeigt. Hinweis: Das hier hochgeladene Zertifikat ist nur für dieses Profil verfügbar. Wenn Sie Zertifikate in anderen Profilen benötigen, müssen Sie diese erneut hochladen.
12.16.15 Konfiguration „Client-Zertifikat“ (iOS-Geräteprofil) Mit der Konfiguration Client-Zertifikat installieren Sie ein Client-Zertifikat auf iOS-Geräten.
123
Sophos Mobile Control (in Sophos Central)
Navigieren Sie im Feld Datei zu dem relevanten Zertifikat und klicken Sie auf Datei hochladen. Der Name des Zertifikats wird im Feld Zertifikatsname angezeigt. Geben Sie das Kennwort für das ausgewählte Zertifikat ein. Hinweis: Das hier hochgeladene Zertifikat ist nur für dieses Profil verfügbar. Wenn Sie Zertifikate in anderen Profilen benötigen, müssen Sie diese erneut hochladen.
12.16.16 Konfiguration „SCEP“ (iOS-Geräteprofil) Mit der Konfiguration SCEP ermöglichen Sie es Geräten, mittels SCEP (Simple Certificate Enrollment Protocol) Zertifikate von einer CA (Certificate Authority) anzufordern.
Einstellung/Feld
Beschreibung
URL
Die Webadresse des CA-Servers. Verwenden Sie die Variable %_SCEPPROXYURL_%, um auf die Server-URL zu verweisen, die auf der Registerkarte SCEP der Seite Systemeinstellungen konfiguriert ist.
CA-Name
Ein Name, der von der Zertifizierungsstelle verstanden wird. Der Name kann zum Beispiel zur Unterscheidung zwischen Instanzen verwendet werden.
Betreff
Der Name des Zertifikatempfängers (Entity), zum Beispiel eine Person oder ein Gerät. Sie können Platzhalter für Benutzerdaten und Geräteeigenschaften verwenden. Der eingegebene Wert - nach Ersetzung der Platzhalter -, muss ein gültiger Namenswert gemäß X.500-Standard sein. Zum Beispiel: Geben Sie CN=%_USERNAME_% ein, um einen Benutzer zu spezifizieren. Geben Sie CN=%_DEVPROP(serial_number)_% ein, um ein Gerät zu spezifizieren. Informationen zu den verfügbaren Platzhaltern finden Sie in Platzhalter in Profilen und Richtlinien (Seite 58).
Typ des Subject Alternative Name (SAN)
Konfigurieren Sie bei Bedarf einen Subject Alternative Name (SAN). Wählen Sie einen der verfügbaren SAN-Typen aus.
Wert des Subject Alternative Name (SAN)
Falls Sie einen SAN-Typ ausgewählt haben, geben Sie den SAN-Wert ein.
NT-Benutzeranmeldename
124
Administratorhilfe
Einstellung/Feld
Beschreibung
Challenge
Die Webadresse, unter der das Challenge-Kennwort vom SCEP-Server angefordert wird. Verwenden Sie die Variable %_CACHALLENGE_%, um auf die Challenge-URL zu verweisen, die auf der Registerkarte SCEP der Seite Systemeinstellungen konfiguriert ist.
Wiederholungen
Die Anzahl an Wiederholungsversuchen, falls der Server mit dem Status Pending antwortet.
Wiederholungsverzögerung
Die Zeit in Sekunden zwischen zwei Wiederholungsversuchen.
Schlüsselgröße
Die Größe des öffentlichen Schlüssels im ausgestellten Zertifikat. Stellen Sie sicher, dass der Wert mit dem Wert übereinstimmt, der auf dem SCEP-Server konfiguriert ist.
Als digitale Signatur verwenden
Wenn Sie dieses Kontrollkästchen aktivieren, kann der öffentliche Schlüssel als digitale Signatur verwendet werden.
Für Verschlüsselung verwenden
Wenn Sie dieses Kontrollkästchen aktivieren, kann der öffentliche Schlüssel zur Datenverschlüsselung verwendet werden.
12.16.17 Konfiguration „Verwaltete Domänen“ (iOS-Geräteprofil) Mit der Konfiguration Verwaltete Domänen definieren Sie verwaltete Domänen für iOS-Geräte. Wenn Domänen verwaltet werden, können Dateien, die in Safari von bestimmten Webseiten heruntergeladen werden, nur in Apps geöffnet werden, die mittels MDM auf dem Gerät installiert worden sind. Sie können verwaltete E-Mail-Domänen und Web-Domänen eingeben. Geben Sie eine Domäne pro Zeile ein. Hinweis: Wenn ein Eintrag für eine verwaltete Web-Domäne eine Portnummer enthält, werden nur Adressen mit dieser Portnummer als verwaltet berücksichtigt. Andernfalls werden nur die Standardports als verwaltet berücksichtigt (Port 80 für http und 443 für https).
12.16.18 Konfiguration „Mobilfunk“ (iOS-Geräteprofil) Mit der Konfiguration Mobilfunk definieren Sie Einstellungen auf iOS-Geräten für Mobilfunknetze. Hinweis: Eine Konfiguration vom Typ „Mobilfunk“ kann nicht auf Geräten installiert werden, auf denen bereits eine Konfiguration „Access Point Name (APN)“ vorhanden ist.
125
Sophos Mobile Control (in Sophos Central)
Einstellung/Feld
Beschreibung
Authentifizierung
PAP CHAP
APN
Der Zugangspunkt, den das Gerät angibt, wenn es sich mit dem Mobilfunknetz mittels GPRS verbindet. Dies muss ein vom Netzbetreiber akzeptierter Zugangspunkt sein. Andernfalls kann die Verbindung nicht aufgebaut werden.
Benutzername für Zugangspunkt
Der Nutzername für den Zugangspunkt. Hinweis: iOS unterstützt für Zugangspunkte Benutzernamen mit bis zu 64 Zeichen.
Kennwort für Zugangspunkt
Das Kennwort für den Zugangspunkt. Hinweis: iOS unterstützt für Zugangspunkte Kennwörter mit bis zu 64 Zeichen.
Proxy-Server und -Port
Die Adresse und die Portnummer des Proxy-Servers.
12.16.19 Konfiguration „CalDAV“ (iOS-Geräteprofil) Mit der Konfiguration CalDAV konfigurieren Sie die Synchronisierung von Kalenderdaten mit einem CalDAV-Server. Sie können so zum Beispiel Google Kalender mit einem iOS-Gerät synchronisieren.
Einstellung/Feld
Beschreibung
Kontoname
Der auf dem Gerät angezeigte Name des CalDAV-Kontos.
Konto-Host-Name und -Port
Hostname oder IP-Adresse und (optional) der Port des CalDAV-Servers. Geben Sie zum Beispiel für Google Kalender folgendes ein: calendar.google.com:443
Principal URL
Falls vom CalDAV-Server benötigt, geben Sie die Principal URL der Kalender-Ressource ein. Geben Sie zum Beispiel folgendes ein, um einen anderen als den Haupt-Kalender eines Google-Kontos zu synchronisieren: https://apidata.googleusercontent.com/caldav/ v2/calendar_id/user
126
Administratorhilfe
Einstellung/Feld
Beschreibung wobei calendar_id die ID des Kalenders ist, den Sie synchronisieren wollen. Wenn Sie Google Kalender in Ihrem Webbrowser öffnen, wird die Kalender-ID in den Kalendereinstellungen angezeigt. Einzelheiten finden Sie in der Hilfe zu Google Kalender.
Benutzername, Kennwort
Die Anmeldeinformationen des CalDAV-Kontos. Geben Sie zum Beispiel für Google Kalender die Anmeldeinformationen des Google-Kontos ein.
12.16.20 Konfiguration „CardDAV“ (iOS-Geräteprofil) Mit der Konfiguration CardDAV konfigurieren Sie die Synchronisierung von Kontaktdaten mit einem CardDAV-Server. Sie können so zum Beispiel Google Kontakte mit einem iOS-Gerät synchronisieren.
Einstellung/Feld
Beschreibung
Kontoname
Der auf dem Gerät angezeigte Name des CardDAV-Kontos.
Konto-Host-Name und -Port
Hostname oder IP-Adresse und (optional) der Port des CardDAV-Servers. Geben Sie zum Beispiel für Google Kontakte folgendes ein: google.com
Principal URL
Falls vom CardDAV-Server benötigt, geben Sie die Principal URL der Kontakte-Ressource ein. Zum Beispiel unterstützt die Google-CardDAV-API folgende Principal URL: https://www.googleapis.com/carddav/ v1/principals/
[email protected] wobei account_name der Name des Google-Kontos ist.
Benutzername, Kennwort
Die Anmeldeinformationen des CardDAV-Kontos. Geben Sie zum Beispiel für Google Kontakte die Anmeldeinformationen des Google-Kontos ein.
12.16.21 Konfiguration „IMAP/POP“ (iOS-Geräteprofil) Mit der Konfiguration IMAP/POP fügen Sie ein E-Mail-Konto für IMAP oder POP auf dem iOS-Gerät hinzu.
127
Sophos Mobile Control (in Sophos Central)
Einstellung/Feld
Beschreibung
Kontoname
Der auf dem Gerät angezeigte Name des E-Mail-Kontos.
Typ des Accounts
Der Typ des E-Mail-Servers für eingehende E-Mails. Entweder IMAP oder POP.
Angezeigter Benutzername
Der für ausgehende E-Mails verwendete Benutzername. Wenn Sie die Variable %_USERNAME_% verwenden, wird diese durch den jeweiligen Benutzernamen ersetzt.
E-Mail-Adresse
Die E-Mail-Adresse des Kontos. Wenn Sie die Variable %_EMAILADDRESS_% verwenden, wird diese durch die jeweilige E-Mail-Adresse ersetzt.
Verschieben erlauben
Der Benutzer kann E-Mails von diesem Konto in ein anderes verschieben. Dies erlaubt Benutzern außerdem, ein anderes Konto für das Antworten auf oder das Weiterleiten von Nachrichten aus diesem Konto zu verwenden.
Synchronisierung letzter Adressen erlauben
Das Konto wird in die Synchronisierung der Liste zuletzt verwendeter Adressen einbezogen.
Nur mit Mail verwenden
Für das Senden von Nachrichten mit diesem Konto kann nur die App „Mail“ verwendet werden. Das Konto kann nicht als Absender-Konto für mit anderen Apps erstellten Nachrichten (zum Beispiel Fotos oder Safari) verwendet werden.
Mail Drop erlauben
Apple Mail Drop für dieses Konto erlauben.
S/MIME aktivieren
Unterstützung des Verschlüsselungsstandards S/MIME.
Signaturzertifikat
Die für E-Mail-Signierung und -Verschlüsselung verwendeten Zertifikate.
Verschlüsselungszertifikat
Um ein Zertifikat auszuwählen, müssen Sie dieses zunächst in einer Konfiguration Client-Zertifikat des aktuellen Profils hochladen.
Benutzer darf unverschlüsselte E-Mails senden
Der Benutzer bei jeder ausgehenden E-Mail entscheiden, ob sie verschlüsselt gesendet werden soll oder nicht.
Eingehende E-Mail
128
E-Mail-Server und -Port
Hostname oder IP-Adresse und Port des Posteingangsservers.
Benutzername
Der Benutzername für die Verbindung mit dem Posteingangsserver.
Authentifizierung-Typ
Die Authentisierungsmethode für die Verbindung mit dem Posteingangsserver.
Administratorhilfe
Einstellung/Feld
Beschreibung
Kennwort
Das Kennwort für die Verbindung mit dem Posteingangsserver (falls erforderlich).
SSL
Secure Sockets Layer für eingehende E-Mails verwenden.
Ausgehende E-Mail E-Mail-Server und -Port
Hostname oder IP-Adresse und Port des Postausgangsservers.
Benutzername
Der Benutzername für die Verbindung mit dem Postausgangsserver.
Authentifizierung-Typ
Die Authentisierungsmethode für die Verbindung mit dem Postausgangsserver.
Kennwort
Das Kennwort für die Verbindung mit dem Postausgangsserver (falls erforderlich).
Das selbe Kennwort wie für eingehende E-Mail verwenden
Das selbe Kennwort wie für den Posteingangsserver verwenden.
SSL
Secure Sockets Layer für ausgehende E-Mails verwenden.
12.16.22 Konfiguration „Netzwerk-Nutzungsregeln“ (iOS-Geräteprofil) Mit der Konfiguration Netzwerk-Nutzungsregeln legen Sie für verwaltete Apps fest, wie Datenverbindungen in Mobilfunknetzen verwendet werden dürfen.
Allgemeine Regeln Unter Regeln für alle verwalteten Apps legen Sie Einstellungen für verwaltete Apps im Allgemeinen fest.
Einstellung/Feld
Beschreibung
Mobilfunkdaten erlauben
Verwaltete Apps dürfen Datenverbindungen in Mobilfunknetzen verwenden.
Daten-Roaming erlauben
Verwaltete Apps dürfen Datenverbindungen bei Roaming in fremden Mobilfunknetzen verwenden.
129
Sophos Mobile Control (in Sophos Central)
Ausnahmen Ausnahmen überschreiben die allgemeinen Regeln. Verwenden Sie Ausnahme hinzufügen, um Regeln zu definieren, die für eine bestimmte App-Gruppe gelten.
Einstellung/Feld
Beschreibung
App-Gruppe
Wählen Sie eine App-Gruppe aus. Die abweichenden Einstellungen gelten für alle in der Gruppe enthaltenen Apps.
Mobilfunkdaten erlauben
Verwaltete Apps in der ausgewählten App-Gruppe dürfen Datenverbindungen in Mobilfunknetzen verwenden.
Daten-Roaming erlauben
Verwaltete Apps in der ausgewählten App-Gruppe dürfen Datenverbindungen bei Roaming in fremden Mobilfunknetzen verwenden.
Hinweis: Für jede App-Gruppe können Sie nur eine Ausnahmeregel anlegen.
12.17 Konfigurationen für Sophos-Container-Richtlinien für iOS Mit einer Sophos-Container-Richtlinie konfigurieren Sie Einstellungen für die Sophos-Container-Apps Sophos Secure Email und Sophos Secure Workspace. Informationen zum Erstellen einer Sophos-Container-Richtlinie finden Sie in Profil oder Richtlinie erstellen (Seite 55).
12.17.1 Konfiguration „Allgemein“ (Sophos-Container-Richtlinie für iOS) Mit der Konfiguration Allgemein definieren Sie Einstellungen für alle Sophos-Container-Apps, sofern anwendbar.
130
Einstellung/Feld
Beschreibung
Sophos-Container-Kennwort aktivieren
Benutzer müssen ein zusätzliches Kennwort eingeben, um eine Sophos-Container-App zu starten. Sobald die erste Container-App gestartet wird nachdem die Konfiguration angewendet wurde, muss das Kennwort definiert werden. Dieses Kennwort gilt für alle Container-Apps.
Komplexität des Kennworts
Die minimale Komplexität des Kennworts für den Sophos-Container. Sicherere Kennwörter sind immer erlaubt. Kennwörter (eine Kombination numerischer und alphanumerischer Zeichen)
Administratorhilfe
Einstellung/Feld
Beschreibung werden generell als sicherer angesehen als PINs (nur numerische Zeichen). Beliebig: Sophos-Container-Kennwörter unterliegen keinen Einschränkungen. 4-Ziffern-PIN 6-Ziffern-PIN 4-Zeichen-Kennwort 6-Zeichen-Kennwort 8-Zeichen-Kennwort 10-Zeichen-Kennwort
Gültigkeitsdauer des Kennworts in Tagen
Die Anzahl an Tagen, die ein Kennwort verwendet werden kann, bevor der Benutzer aufgefordert wird, es zu ändern.
Fehlgeschlagene Anmeldungen bis Sperre
Die erlaubte Anzahl fehlgeschlagener Anmeldeversuche, bevor die Container-Apps gesperrt werden. Gesperrte Apps müssen von einem Administrator entsperrt werden. Falls konfiguriert, können die Apps auch vom Benutzer im Self Service Portal entsperrt werden.
Fingerabdruck erlauben
Benutzer können die App mit ihrem Fingerabdruck entsperren.
Gültigkeitsdauer in Minuten
Die Zeitspanne, während der kein Sophos-Container-Kennwort eingegeben werden muss, wenn eine Container-App wieder im Vordergrund angezeigt wird. Die Toleranzfrist gilt für alle Container-Apps. Während der Toleranzfrist können Sie zwischen den Apps wechseln, ohne das Kennwort erneut eingeben zu müssen. Sie können 1, 2, 5, 10, 15 Minuten auswählen.
Mit Gerät sperren
Wenn das Gerät gesperrt wird, wird auch der Sophos-Container gesperrt. Wenn das Kontrollkästchen deaktiviert ist, wird der Sophos-Container nur nach Ablauf der Toleranzfrist gesperrt.
Letzte Verbindung zum Server
Die Zeitspanne, innerhalb derer Benutzer eine Sophos-Container-App verwenden können, ohne dass eine Verbindung zum Sophos Mobile Control Server aufgebaut wurde. Wenn eine Sophos-Container-App aktiviert wird und innerhalb der definierten Zeitspanne keinen Kontakt mit dem Server hatte, wird ein Sperrbildschirm angezeigt. Der Benutzer kann die
131
Sophos Mobile Control (in Sophos Central)
Einstellung/Feld
Beschreibung App durch Tippen auf Wiederholen entsperren. Hierdurch verbindet sich die App mit dem Server. Kann die Verbindung aufgebaut werden, wird die App entsperrt. Falls nicht, wird der Zugriff verweigert. Bei jedem Zugriff: Eine Serververbindung ist immer notwendig und die App wird gesperrt, wenn der Server nicht erreichbar ist. 1 Stunde: Eine Serververbindung ist notwendig, wenn die App eine Stunde oder später nach der letzten erfolgreichen Server-Verbindung aktiviert wird. 3 Stunden 6 Stunden 12 Stunden 1 Tag 3 Tage 1 Woche Ohne: Keine regelmäßige Verbindung ist notwendig.
Offline-Starts ohne Serververbindung
In diesem Feld definieren Sie, wie oft Benutzer eine der Sophos-Container-Apps starten können, ohne dass eine Serververbindung aufgebaut wurde. Hinweis: Diese Einstellung setzt voraus, dass ein Sophos-Container-Kennwort eingerichtet ist. Es wird mitgezählt, wie oft Benutzer das Sophos-Container-Kennwort eingeben. Wenn der Zähler die definierte Anzahl überschreitet, wird derselbe Sperrbildschirm wie für die Letzte Verbindung zum Server Einstellung angezeigt. Der Zähler wird zurückgesetzt, wenn eine Verbindung zum Sophos Mobile Control Server hergestellt wird. Unbegrenzt: Es ist keine Serververbindung notwendig. 0: Das Starten der App ohne Serververbindung ist nicht möglich. 1: Nach einem Start der App ist eine erfolgreiche Serververbindung notwendig. 3 5 10 20
132
Administratorhilfe
Einstellung/Feld
Beschreibung
Jailbreak erlaubt
Die Container-Apps können auf Geräten mit Jailbreak laufen.
App-Nutzungs-Beschränkungen Hier können Sie Beschränkungen für die Nutzung der Sophos-Container-Apps festlegen. Klicken Sie auf Hinzufügen, um Beschränkungen einzugeben.
Räumliche Beschränkungen
Spezifizieren Sie über Längen- und Breitengrad einen Ausgangspunkt sowie einen Abstand, innerhalb dessen die Sophos-Container-Apps verwendet werden können.
Zeitliche Beschränkungen
Spezifizieren Sie über eine Anfangs- und eine Endzeit eine Zeitspanne, innerhalb derer die Sophos-Container-Apps verwendet werden können. Sie können auch spezifizieren, an welchen Wochentagen die Apps verwendet werden können.
WLAN-Beschränkungen
Geben Sie WLAN-Netzwerke an, mit denen das Gerät verbunden sein muss, damit die Sophos-Container-Apps verwendet werden können. Das Gerät muss tatsächlich mit einem der aufgeführten Netzwerke verbunden sein. Es reicht nicht aus, dass eines der aufgeführten Netzwerke vom Gerät gefunden wird. Wichtig: Wir empfehlen, sich nicht auf WLAN-Beschränkungen als einzigen Sicherheitsmechanismus zu verlassen, da WLAN-Namen sehr leicht gefälscht werden können (Wi-Fi Spoofing).
12.17.2 Konfiguration „Corporate Email“ (Sophos-Container-Richtlinie für iOS) Mit der Konfiguration Corporate Email definieren Sie Benutzereinstellungen für Ihren Microsoft Exchange Server. Diese Einstellungen gelten für die App Sophos Secure Email, wenn diese im Sophos-Container installiert ist.
Einstellung/Feld
Beschreibung
Exchange-ActiveSync-Host
Die Adresse des Microsoft Exchange Servers. Hinweis: Wenn Sie den SMC-EAS-Proxy verwenden, geben Sie die URL des SMC-Proxy-Servers ein.
133
Sophos Mobile Control (in Sophos Central)
Einstellung/Feld
Beschreibung
Benutzer
Der Benutzername für dieses Konto. Wenn Sie die Variable %_USERNAME_% verwenden, wird diese durch den jeweiligen Benutzernamen ersetzt.
E-Mail-Adresse
Die E-Mail-Adresse des Kontos. Wenn Sie die Variable %_EMAILADDRESS_% verwenden, wird diese durch die jeweilige E-Mail-Adresse ersetzt.
Domäne
Die Domäne für dieses Konto.
Support-E-Mail-Kontakt
Die Adresse für E-Mails, die über die Funktion „Kontaktiere Support“ gesendet werden.
Sichere Textfelder verwenden
Der Inhalt von Eingabefeldern wird geschützt. Auto-Vervollständigung und Auto-Korrektur werden in der App „Sophos Secure Email“ deaktiviert, um zu verhindern, dass sensible Daten im Gerätespeicher abgelegt werden.
Kontakte auf das Gerät exportieren
Benutzer können Exchange-Kontakte inklusive Telefonnummer als lokale Kontakte auf das Gerät übertragen. Diese Kontakte werden von Sophos Secure Email synchronisiert. Es wird der Name und die Telefonnummer übertragen. Auf diese Weise kann der Benutzer bei eingehenden Anrufen Firmenkontakte identifizieren. Beachten Sie, dass auch nach einem Zurücksetzen der App „Sophos Secure Email“ per Fernzugriff diese Informationen im lokalen Gerätespeicher verfügbar bleiben.
Benachrichtigungsdetails anzeigen
Diese Option regelt die Anzeige von E-Mail-Benachrichtigungen und Terminerinnerungen in Sophos Secure Email. Wenn die Option aktiviert ist: E-Mail-Benachrichtigungen werden mit Absender und Betreff angezeigt. Terminerinnerungen werden mit Uhrzeit, Ort und Titel angezeigt. Wenn die Option deaktiviert ist: E-Mail-Benachrichtigungen sind deaktiviert. Terminerinnerungen werden nur mit Uhrzeit angezeigt. Hinweis: Falls Sie die Anzeige von Benachrichtigungen auf verlorenen oder gestohlenen Geräten als Sicherheitsrisiko betrachten, sollten Sie Benachrichtigungsdetails deaktivieren.
134
Administratorhilfe
Einstellung/Feld
Beschreibung
In Zwischenablage kopieren verbieten
Benutzer können Texte aus Sophos Secure Email weder kopieren noch ausschneiden.
Externe Viewer erlauben
Benutzer können E-Mail-Anhänge speichern oder in anderen Apps öffnen.
Maximale E-Mail-Größe
Wählen Sie bei Bedarf die maximale E-Mail-Größe für Sophos Secure Email aus der Liste aus.
Anhänge öffnen
Wenn Sie diese Option aktivieren, sind unterhalb von Anhängen die Schaltflächen Speichern und Öffnen verfügbar. Speichern leitet den Anhang an Sophos Secure Workspace weiter, Öffnen öffnet die Datei in Sophos Secure Email. Wenn Sophos Secure Email die Datei nicht öffnen kann, kann der Benutzer auswählen, an welche App sie weitergeleitet wird. Wenn Sie die Option deaktivieren, können Anhänge weder geöffnet noch an andere Apps weitergeleitet werden.
Hinzufügen
Klicken Sie auf Hinzufügen, um Einstellungen für eine zukünftige Version von Sophos Secure Email zu konfigurieren. Wichtig: Konfigurieren Sie diese Einstellungen nur, wenn Sie vom Sophos-Support dazu aufgefordert werden.
12.17.3 Konfiguration „Corporate Documents“ (Sophos-Container-Richtlinie für iOS) Online-Speicher konfigurieren Für jeden Speicheranbieter können Sie die folgenden Einstellungen separat definieren:
Einstellung/Feld
Beschreibung
Aktivieren
Der Speicheranbieter ist in der App verfügbar.
Offline
Benutzer können Dateien vom Speicheranbieter zur Liste Favoriten der App hinzufügen, um sie offline zu verwenden.
Verschlüsselt teilen
Benutzer können die Funktion Teilen für verschlüsselte Dateien verwenden, um sie mit anderen Apps zu teilen.
135
Sophos Mobile Control (in Sophos Central)
Einstellung/Feld
Beschreibung
Unverschlüsselt teilen
Benutzer können die Funktion Teilen für unverschlüsselte Dateien verwenden, um sie mit anderen Apps zu teilen.
Zwischenablage
Benutzer können Teile aus Dokumenten kopieren und in anderen Apps einfügen.
Einstellungen für Unternehmens-Anbieter Für Speicheranbieter vom Typ Egnyte und WebDAV, auch als Unternehmens-Anbieter bezeichnet, können Sie zentral die Server-Einstellungen und Anmeldeinformationen definieren. Diese können von den Benutzern nicht geändert werden. Einstellungen, die Sie nicht zentral definieren, können vom Benutzer im entsprechenden App-Dialog eingegeben werden. Beispielsweise können Sie den Server und das Benutzerkonto zentral einstellen, aber das Kennwort-Feld undefiniert lassen. Benutzer müssen dann das Kennwort eingeben, um Zugriff auf den Speicheranbieter zu bekommen.
Einstellung/Feld
Beschreibung
Name
Der Anbietername, wie er in der App Sophos Secure Workspace angezeigt wird.
Server
Geben Sie in diesem Feld Folgendes ein: Die URL des Root-Ordners auf dem WebDAV-Server für Corporate Documents. Die URL des Root-Ordners auf dem Egnyte-Server. Die URL des Root-Ordners auf dem WebDAV-Server. Verwenden Sie das folgende Format: https://server.company.com
136
Benutzername
Geben Sie in diesem Feld den Benutzernamen für den entsprechenden Server ein.
Kennwort
Geben Sie in diesem Feld das Kennwort für das entsprechende Konto ein.
Zielordner
Geben Sie in diesem Feld den Zielordner für das entsprechende Konto ein.
Administratorhilfe
Weitere Einstellungen
Einstellung/Feld
Beschreibung
Dokumente aktivieren
Aktiviert die Funktion Dokumente, um Unternehmensdokumente auf sichere Weise auszutauschen.
Komplexität des Kennworts
Die minimale Komplexität von Passphrasen für Verschlüsselungsschlüssel. Sicherere Passphrasen sind immer erlaubt. Sie können folgende Einstellungen auswählen: 4-Zeichen-Kennwort 6-Zeichen-Kennwort 8-Zeichen-Kennwort 10-Zeichen-Kennwort
12.17.4 Konfiguration „Corporate Browser“ (Sophos-Container-Richtlinie für iOS) Mit der Konfiguration Corporate Browser konfigurieren Sie Einstellung für die Funktion Corporate Browser der App Sophos Secure Workspace. Mit Corporate Browser können Sie auf sichere Weise auf Intranetseiten Ihres Unternehmens und andere erlaubte Seiten zugreifen. Sie definieren Domänen sowie Lesezeichen innerhalb von Domänen. Jedes Lesezeichen gehört zu einer bestimmten Domäne. Wenn Sie mit dem Befehl Lesezeichen hinzufügen ein Lesezeichen definieren, wird automatisch ein Domäneneintrag erstellt, falls dieser nicht existiert.
Einstellungen für Domänen
Einstellung/Feld
Beschreibung
URL
Die Domäne, die Sie erlauben wollen.
Kopieren/Einfügen erlauben
Benutzer können Text aus Corporate Browser kopieren und in anderen Apps einfügen.
„Öffnen mit“ erlauben
Benutzer können Anhänge herunterladen oder an andere Apps weiterleiten.
Kennwort-Speichern erlauben
Benutzer können ihre Kennwörter in Corporate Browser speichern.
137
Sophos Mobile Control (in Sophos Central)
Einstellungen für Lesezeichen
Einstellung/Feld
Beschreibung
Name
Der Name für das Lesezeichen.
URL
Die Webadresse für das Lesezeichen.
12.17.5 Konfiguration „Client-Zertifikat“ (Sophos-Container-Richtlinie für iOS) Mit der Konfiguration Client-Zertifikat installieren Sie ein Client-Zertifikat auf Geräten. Das Zertifikat steht den Apps „Sophos Secure Email“ und „Sophos Secure Workspace“ zur Verfügung, wenn diese im Sophos-Container installiert sind. Navigieren Sie im Feld Datei zu dem relevanten Zertifikat und klicken Sie auf Datei hochladen. Der Name des Zertifikats wird im Feld Zertifikatsname angezeigt. Geben Sie das Kennwort für das ausgewählte Zertifikat ein. Hinweis: Das hier hochgeladene Zertifikat ist nur für dieses Profil verfügbar. Wenn Sie Zertifikate in anderen Profilen benötigen, müssen Sie diese erneut hochladen.
12.17.6 Konfiguration „Root-Zertifikat“ (Sophos-Container-Richtlinie für iOS) Mit der Konfiguration Root-Zertifikat installieren Sie ein Root-Zertifikat auf Geräten. Das Zertifikat steht den Apps „Sophos Secure Email“ und „Sophos Secure Workspace“ zur Verfügung, wenn diese im Sophos-Container installiert sind. Navigieren Sie im Feld Datei zu dem relevanten Zertifikat und klicken Sie auf Datei hochladen. Der Name des Zertifikats wird im Feld Zertifikatsname angezeigt. Hinweis: Das hier hochgeladene Zertifikat ist nur für dieses Profil verfügbar. Wenn Sie Zertifikate in anderen Profilen benötigen, müssen Sie diese erneut hochladen.
12.17.7 Konfiguration „SCEP“ (Sophos-Container-Richtlinie für iOS) Mit der Konfiguration SCEP ermöglichen Sie es Geräten, mittels SCEP (Simple Certificate Enrollment Protocol) Zertifikate von einer CA (Certificate Authority) anzufordern. Diese Zertifikate stehen der App Sophos Secure Workspace zur Verfügung, wenn diese im Sophos-Container installiert ist. Hinweis: Bevor Sie eine Konfiguration vom Typ SCEP hinzufügen können, müssen Sie zunächst mit einer Konfiguration vom Typ Root-Zertifikat das CA-Zertifikat des SCEP-Servers hochladen.
Einstellung/Feld
Beschreibung
URL
Die Webadresse des CA-Servers. Verwenden Sie die Variable %_SCEPPROXYURL_%, um auf die Server-URL zu verweisen, die auf der
138
Administratorhilfe
Einstellung/Feld
Beschreibung Registerkarte SCEP der Seite Systemeinstellungen konfiguriert ist.
Aliasname
Der Name, unter dem das Zertifikat in Auswahldialogen angezeigt wird. Dies sollte ein einprägsamer Name sein, über den das Zertifikat identifiziert werden kann. Zum Beispiel können Sie denselben Wert wie für das Feld Betreff verwenden, nur ohne den Vorsatz CN=.
Betreff
Der Name des Zertifikatempfängers (Entity), zum Beispiel eine Person oder ein Gerät. Sie können Platzhalter für Benutzerdaten und Geräteeigenschaften verwenden. Der eingegebene Wert - nach Ersetzung der Platzhalter -, muss ein gültiger Namenswert gemäß X.500-Standard sein. Zum Beispiel: Geben Sie CN=%_USERNAME_% ein, um einen Benutzer zu spezifizieren. Geben Sie CN=%_DEVPROP(serial_number)_% ein, um ein Gerät zu spezifizieren. Informationen zu den verfügbaren Platzhaltern finden Sie in Platzhalter in Profilen und Richtlinien (Seite 58).
Typ des Subject Alternative Name (SAN)
Konfigurieren Sie bei Bedarf einen Subject Alternative Name (SAN). Wählen Sie einen der verfügbaren SAN-Typen aus.
Wert des Subject Alternative Name (SAN)
Falls Sie einen SAN-Typ ausgewählt haben, geben Sie den SAN-Wert ein.
NT-Benutzeranmeldename Challenge
Die Webadresse, unter der das Challenge-Kennwort vom SCEP-Server angefordert wird. Verwenden Sie die Variable %_CACHALLENGE_%, um auf die Challenge-URL zu verweisen, die auf der Registerkarte SCEP der Seite Systemeinstellungen konfiguriert ist.
Root-Zertifikat
Das CA-Zertifikat. Wählen Sie das Zertifikat aus der Liste aus. Die Liste enthält alle Zertifikate aus Konfigurationen vom Typ Root-Zertifikat im aktuellen Profil.
139
Sophos Mobile Control (in Sophos Central)
Einstellung/Feld
Beschreibung
Schlüsselgröße
Die Größe des öffentlichen Schlüssels im ausgestellten Zertifikat. Stellen Sie sicher, dass der Wert mit dem Wert übereinstimmt, der auf dem SCEP-Server konfiguriert ist.
Als digitale Signatur verwenden
Wenn Sie dieses Kontrollkästchen aktivieren, kann der öffentliche Schlüssel als digitale Signatur verwendet werden.
Für Verschlüsselung verwenden
Wenn Sie dieses Kontrollkästchen aktivieren, kann der öffentliche Schlüssel zur Datenverschlüsselung verwendet werden.
12.18 Konfigurationen für Windows-Mobile-Richtlinien Mit einer Windows-Mobile-Richtlinien konfigurieren Sie verschiedene Bereiche von Windows-Mobile-Geräten, wie zum Beispiel Kennwortrichtlinien, Einschränkungen oder WLAN-Einstellungen. Informationen zum Erstellen einer Windows-Mobile-Richtlinie finden Sie in Profil oder Richtlinie erstellen (Seite 55).
12.18.1 Konfiguration „Kennwortrichtlinien“ (Windows-Mobile-Richtlinie) Mit der Konfiguration Kennwortrichtlinien definieren Sie Kennwortregeln für Geräte.
Einstellung/Feld
Beschreibung
Kennworttyp
Wählen Sie die Art des Kennworts, dass Sie definieren wollen: Alphanumerisch Alphanumerisch oder numerisch
140
Einfache Werte erlauben
Kennwörter dürfen aufeinanderfolgende oder wiederholte Zeichnen enthalten, zum Beispiel abcde oder 1111.
Minimale Länge des Kennworts
Die Mindestanzahl an Zeichen, die ein Kennwort enthalten muss.
Administratorhilfe
Einstellung/Feld
Beschreibung
Maximale Anzahl an Fehlversuchen
Die maximale Anzahl fehlgeschlagener Anmeldeversuche, nach der das Gerät zurückgesetzt wird. Geben Sie einen Wert zwischen 1 und 999 ein, oder geben Sie 0 ein, um diese Einschränkung zu deaktivieren.
Inaktivitätszeit in Minuten bis zur Abfrage des Die Zeit (in Minuten), nach der das Gerät gesperrt Kennworts wird, wenn es nicht benutzt wird. Der Benutzer kann das Gerät entsperren. Geben Sie einen Wert zwischen 1 und 999 ein, oder geben Sie 0 ein, um diese Einschränkung zu deaktivieren.
Anzahl der letzten Kennwörter, die nicht benutzt werden dürfen
Die Anzahl alter Kennwörter, die vom System gespeichert werden. Wenn ein Benutzer ein neues Kennwort festlegt, wird es nicht akzeptiert, falls es mit einem bereits benutzten Kennwort übereinstimmt. Geben Sie einen Wert zwischen 1 und 999 ein, oder geben Sie 0 ein, um diese Einschränkung zu deaktivieren.
Gültigkeitsdauer des Kennworts in Tagen
Die Anzahl an Tagen, nach denen Benutzer ihr Kennwort ändern müssen. Geben Sie einen Wert zwischen 1 und 730 ein, oder geben Sie 0 ein, um diese Einschränkung zu deaktivieren.
Minimale Anzahl verschiedener Zeichentypen Die Mindestanzahl nicht-alphanumerischer Zeichen (zum Beispiel & oder !), die ein Kennwort enthalten muss. Festlegen der Toleranzfrist bis zur erneuten Kennworteingabe erlauben
Benutzer dürfen die Toleranzfrist festlegen, innerhalb derer keine erneute Kennworteingabe erfolgen muss.
12.18.2 Konfiguration „Einschränkungen“ (Windows-Mobile-Richtlinie) Mit der Konfiguration Einschränkungen definieren Sie Einschränkungen für Geräte.
141
Sophos Mobile Control (in Sophos Central)
Gerät
Einstellung/Feld
Beschreibung
SD-Karte verbieten
Benutzer können nicht auf die SD-Karte zugreifen. Dies betrifft nicht den Zugriff durch Apps.
Unverschlüsseltes Gerät verbieten
Die Verschlüsselung des internen Speichers ist aktiviert. Wichtig: Wenn auf einem Gerät die Verschlüsselung des internen Speichers aktiviert ist, können Sie dies nicht mehr über eine Richtlinie deaktivieren. Hinweis: Auf dem Gerät muss zuvor BitLocker aktiviert worden sein, damit die Richtlinie angewendet werden kann.
Action-Center-Benachrichtigungen auf dem Sperrbildschirm verbieten
Auf dem Sperrbildschirm des Gerätes werden keine Action-Center-Benachrichtigungen angezeigt.
Manuelles Hinzufügen von Nicht-Microsoft-E-Mail-Konten verbieten
Hinzufügen aller Arten von E-Mail-Konten sowie von Exchange-, Office 365- und Outlook.com-Konten nicht erlauben.
Microsoft-Konto-Verbindung verbieten
Das Microsoft-Konto ist das Systemkonto, das für Synchronisierung, Backup und den Store verwendet wird.
Entwicklerfunktionen verbieten
Der Windows-Entwicklermodus ist deaktiviert.
Windows Store verbieten
Der Windows-App-Store ist nicht verfügbar.
Nativen Browser verbieten
Der Browser Microsoft Edge ist nicht verfügbar.
Kamera verbieten
Die Datenschutz-Einstellung Apps die Verwendung meiner Kamera erlauben ist deaktiviert.
Telemetrie
Wählen Sie aus, ob das Gerät Diagnose- und Telemetriedaten senden kann: Erlaubt Erlaubt, außer für sekundäre Datenanforderungen Nicht erlaubt
142
Administratorhilfe
Verschiedenes
Einstellung/Feld
Beschreibung
Kopieren und Einfügen verbieten
Die Zwischenablage ist nicht verfügbar.
Cortana verbieten
Cortana ist deaktiviert.
Als Office-Dateien speichern verbieten
Benutzer können Dateien auf dem Gerät nicht als Office-Dateien speichern.
Bildschirmaufnahme verbieten
Bildschirmaufnahmen sind deaktiviert.
Teilen von Office-Dateien verbieten
Office-Dateien können nicht geteilt werden.
„Einstellungen synchronisieren“ verbieten
Geräteeinstellungen können nicht mit anderen Windows-Geräten synchronisiert werden.
Audioaufzeichnungen verbieten
Audioaufzeichnungen sind deaktiviert.
WLAN
Einstellung/Feld
Beschreibung
WLAN verbieten
WLAN-Verbindungen sind deaktiviert.
Tethering verbieten
ICS (Internet Connection Sharing) ist deaktiviert.
WLAN-Optimierung (Hotspot-Autoverbindung) Das Gerät verbindet sich nicht automatisch mit verbieten WLAN-Hotspots. Hotspot-Reporting verbieten
Das Gerät sendet keine Informationen bezüglich WLAN-Verbindungen.
Manuelle Konfiguration verbieten
Benutzer können keine WLAN-Verbindungen konfigurieren. Dies betrifft nicht die von Sophos Mobile Control konfigurierten Verbindungen.
143
Sophos Mobile Control (in Sophos Central)
Konnektivität
Einstellung/Feld
Beschreibung
NFC verbieten
NFC (Near Field Communication) ist deaktiviert.
Bluetooth verbieten
Bluetooth ist deaktiviert.
USB-Verbindung verbieten
USB-Verbindungen zwischen dem Gerät und einem Computer zur Synchronisierung von Dateien oder zur Verwendung von Entwicklertools für die Installation oder das Debugging von Apps sind nicht verfügbar. Dies betrifft nicht das Laden des Geräteakkus über USB.
Roaming und Kosten
Einstellung/Feld
Beschreibung
Daten-Roaming verbieten
Datenverbindungen über fremde Mobilfunknetze sind deaktiviert.
VPN über Mobilfunk verbieten
VPN-Verbindungen über Mobilfunknetze sind deaktiviert.
VPN-Roaming über Mobilfunk verbieten
VPN-Verbindungen über fremde Mobilfunknetze sind deaktiviert.
Sicherheit und Privatsphäre
Einstellung/Feld
Beschreibung
Bing Vision das Speichern von Bildern aus der Bing Vision speichert nicht die Bilder, die es bei Suche verbieten Suchvorgängen anfertigt. Standortbestimmung bei der Suche verbieten Für die Suche werden keine Standortinformationen verwendet. Manuelle Installation von Root-Zertifikaten verbieten
144
Benutzer können nicht manuell Root-Zertifikate oder vorläufige CA-Zertifikate installieren.
Administratorhilfe
Einstellung/Feld
Beschreibung
Standortbestimmung verbieten
Alle Datenschutzeinstellungen in der Kategorie „Standort“ sind deaktiviert. Apps können nicht den Standortdienst verwenden. Wenn diese Option aktiviert ist, kann auch Sophos Mobile Control keine Standortbestimmung durchführen.
SafeSearch-Einstellung
Wählen Sie den Grad der Suchergebnis-Filterung auf den Geräten aus: Moderat: Moderates Filtern von erotischen Inhalten. Gültige Suchergebnisse werden nicht gefiltert. Streng: Maximales Filtern von erotischen Inhalten.
Deregistrierung
Einstellung/Feld
Beschreibung
Auf Werkseinstellungen zurücksetzen verbieten Benutzer können das Gerät nicht über die Systemsteuerung oder über Tastenkombinationen auf den Auslieferungszustand zurücksetzen. Manuelle MDM-Deregistrierung verbieten
Benutzer können das Arbeitsplatzkonto nicht löschen.
12.18.3 Konfiguration „Exchange ActiveSync“ (Windows-Mobile-Richtlinie) Mit der Konfiguration Exchange ActiveSync definieren Sie Benutzereinstellungen für Ihren Microsoft Exchange Server.
Einstellung/Feld
Beschreibung
Kontoname
Der Kontoname.
Exchange-ActiveSync-Host
Die Adresse des Microsoft Exchange Servers. Hinweis: Wenn Sie den SMC-EAS-Proxy verwenden, geben Sie die URL des SMC-Proxy-Servers ein.
Domäne
Die Domäne für dieses Konto.
145
Sophos Mobile Control (in Sophos Central)
Einstellung/Feld
Beschreibung
Benutzer
Der Benutzername für dieses Konto. Wenn Sie die Variable %_USERNAME_% verwenden, wird diese durch den jeweiligen Benutzernamen ersetzt.
E-Mail-Adresse
Die E-Mail-Adresse des Kontos. Wenn Sie die Variable %_EMAILADDRESS_% verwenden, wird diese durch die jeweilige E-Mail-Adresse ersetzt.
Kennwort
Das Kennwort für dieses Konto. Wenn Sie dieses Feld leer lassen, müssen Benutzer das Kennwort auf ihren Geräten eingeben.
Synchronisierungszeitraum
Der Zeitraum, für den E-Mails synchronisiert werden. Wenn Sie einen Zeitraum angeben, werden nur E-Mail-Nachrichten innerhalb dieses Zeitraums mit dem Posteingang auf den Geräten synchronisiert.
Synchronisierungsintervall
Der zeitliche Abstand zwischen zwei Synchronisierungsvorgängen.
SSL
Die gesamte Kommunikation erfolgt über SSL (Secure Socket Layer). Wir empfehlen, dieses Kontrollkästchen zu aktivieren.
Inhalte
Die zu synchronisierenden Inhalte.
12.18.4 Konfiguration „WLAN“ (Windows-Mobile-Richtlinie) Mit der Konfiguration WLAN legen Sie Einstellungen für die Verbindung mit WLAN-Netzwerken fest.
146
Einstellung/Feld
Beschreibung
SSID
Geben Sie in diesem Feld die ID des WLAN-Netzwerks ein.
Automatisch verbinden
Die Verbindung wird automatisch hergestellt.
Unsichtbares Netzwerk
Das Zielnetzwerk ist nicht offen oder ist unsichtbar.
Administratorhilfe
Einstellung/Feld
Beschreibung
Sicherheitstyp
Wählen Sie den Sicherheitstyp aus der Liste aus. Wenn Sie WPA-PSK oder WPA2-PSK auswählen, müssen Sie das Kennwort angeben.
Proxy
Wenn Sie Manuell aus der Liste auswählen, müssen Sie einen Server und einen Port angeben.
12.18.5 Konfiguration „App-Einschränkungen“ (Windows-Mobile-Richtlinie) Mit der Konfiguration App-Einschränkungen legen Sie Apps fest, die auf den Geräten erlaubt sind oder blockiert werden.
Einstellung/Feld
Beschreibung
Erlaubte Apps
Enthält eine Liste bestimmter Apps, die vom Benutzer auf dem Gerät installiert und verwendet werden dürfen. Benutzer können keine Apps installieren oder verwenden, die nicht explizit aufgeführt sind. Verwenden Sie Erlaubte Apps, wenn die Apps bekannt sind, die erlaubt werden sollen, und alle anderen Apps blockiert werden sollen.
Unzulässige Apps
Enthält eine Liste bestimmter Apps, die vom Benutzer auf dem Gerät nicht installiert werden dürfen. Benutzer können alle Apps installieren, die nicht explizit aufgeführt sind. Verwenden Sie Unzulässige Apps, wenn die Apps bekannt sind, die blockiert werden sollen, und alle anderen Apps erlaubt werden sollen.
App-Gruppe
Wählen Sie die App-Gruppe aus, welche die Apps enthält, die erlaubt oder blockiert werden sollen. Hinweis: Die App-Gruppe muss zuvor erstellt worden sein. Siehe App-Gruppen (Seite 173).
12.18.6 Konfiguration „Root-Zertifikat“ (Windows-Mobile-Richtlinie) Mit der Konfiguration Root-Zertifikat installieren Sie ein Root-Zertifikat auf Geräten. Navigieren Sie im Feld Datei zu dem relevanten Zertifikat und klicken Sie auf Datei hochladen. Der Name des Zertifikats wird im Feld Zertifikatsname angezeigt. Hinweis: Das hier hochgeladene Zertifikat ist nur für dieses Profil verfügbar. Wenn Sie Zertifikate in anderen Profilen benötigen, müssen Sie diese erneut hochladen.
147
Sophos Mobile Control (in Sophos Central)
12.18.7 Konfiguration „SCEP“ (Windows-Mobile-Richtlinie) Mit der Konfiguration SCEP ermöglichen Sie es Geräten, mittels SCEP (Simple Certificate Enrollment Protocol) Zertifikate von einer CA (Certificate Authority) anzufordern.
Einstellung/Feld
Beschreibung
Beschreibung
Eine Beschreibung der Konfiguration.
URL
Die Webadresse des CA-Servers. Verwenden Sie die Variable %_SCEPPROXYURL_%, um auf die Server-URL zu verweisen, die auf der Registerkarte SCEP der Seite Systemeinstellungen konfiguriert ist.
Betreff
Der Name des Zertifikatempfängers (Entity), zum Beispiel eine Person oder ein Gerät. Sie können Platzhalter für Benutzerdaten und Geräteeigenschaften verwenden. Der eingegebene Wert - nach Ersetzung der Platzhalter -, muss ein gültiger Namenswert gemäß X.500-Standard sein. Zum Beispiel: Geben Sie CN=%_USERNAME_% ein, um einen Benutzer zu spezifizieren. Geben Sie CN=%_DEVPROP(serial_number)_% ein, um ein Gerät zu spezifizieren. Informationen zu den verfügbaren Platzhaltern finden Sie in Platzhalter in Profilen und Richtlinien (Seite 58).
Subject Alternative Name
Konfigurieren Sie bei Bedarf einen oder mehrere Werte für den Subject Alternative Name (SAN). Klicken Sie auf Hinzufügen und geben Sie anschließend einen SAN-Typ und einen SAN-Wert ein.
Challenge
Die Webadresse, unter der das Challenge-Kennwort vom SCEP-Server angefordert wird. Verwenden Sie die Variable %_CACHALLENGE_%, um auf die Challenge-URL zu verweisen, die auf der Registerkarte SCEP der Seite Systemeinstellungen konfiguriert ist.
Root-Zertifikat
Das CA-Zertifikat. Wählen Sie das Zertifikat aus der Liste aus. Die Liste enthält alle Zertifikate aus Konfigurationen vom Typ Root-Zertifikat im aktuellen Profil.
148
Administratorhilfe
Einstellung/Feld
Beschreibung
Wiederholungen
Die Anzahl an Wiederholungsversuchen, falls der Server mit dem Status Pending antwortet.
Wiederholungsverzögerung
Die Zeit in Sekunden zwischen zwei Wiederholungsversuchen.
Schlüsselgröße
Die Größe des öffentlichen Schlüssels im ausgestellten Zertifikat. Stellen Sie sicher, dass der Wert mit dem Wert übereinstimmt, der auf dem SCEP-Server konfiguriert ist.
Als digitale Signatur verwenden
Wenn Sie dieses Kontrollkästchen aktivieren, kann der öffentliche Schlüssel als digitale Signatur verwendet werden.
Für Verschlüsselung verwenden
Wenn Sie dieses Kontrollkästchen aktivieren, kann der öffentliche Schlüssel zur Datenverschlüsselung verwendet werden.
Hash-Algorithmus
Wählen Sie einen oder mehrere Hash-Algorithmen aus, die vom SCEP-Server unterstützt werden.
12.19 Konfigurationen für Windows-Desktop-Richtlinien Mit einer Windows-Desktop-Richtlinie konfigurieren Sie verschiedene Bereiche von Windows-Desktop-Geräten, wie zum Beispiel Kennwortrichtlinien, Einschränkungen oder WLAN-Einstellungen. Informationen zum Erstellen einer Windows-Desktop-Richtlinie finden Sie in Profil oder Richtlinie erstellen (Seite 55).
12.19.1 Konfiguration „Kennwortrichtlinien“ (Windows-Desktop-Richtlinie) Mit der Konfiguration Kennwortrichtlinien definieren Sie Kennwortregeln für Geräte. Hinweis: Bei Windows-Desktop-Geräten gelten feste Regeln für die Kennwortkomplexität (z.B. Länge, Anzahl von Groß- oder Kleinbuchstaben), die nicht über eine Richtlinie in Sophos Mobile Control festgelegt werden können. Detailinformationen finden Sie unter Komplexitätsregeln für Windows-Desktop-Kennwörter (Seite 57). Hinweis: Kennwortrichtlinien können einem Windows-Desktop-Gerät nicht zugewiesen werden, wenn weitere lokale Benutzer auf dem Gerät eingerichtet sind (zusätzlich zu dem bei Sophos Mobile Control registrierten Benutzer), von denen mindestens einer nicht berechtigt ist, sein Kennwort zu ändern.
149
Sophos Mobile Control (in Sophos Central)
Einstellung/Feld
Beschreibung
Maximale Anzahl an Fehlversuchen
Die maximale Anzahl fehlgeschlagener Anmeldeversuche, nach der das Gerät zurückgesetzt wird. Geben Sie einen Wert zwischen 1 und 999 ein, oder geben Sie 0 ein, um diese Einschränkung zu deaktivieren.
Inaktivitätszeit in Minuten bis zur Abfrage des Die Zeit (in Minuten), nach der das Gerät gesperrt Kennworts wird, wenn es nicht benutzt wird. Der Benutzer kann das Gerät entsperren. Geben Sie einen Wert zwischen 1 und 999 ein, oder geben Sie 0 ein, um diese Einschränkung zu deaktivieren.
Anzahl der letzten Kennwörter, die nicht benutzt werden dürfen
Die Anzahl alter Kennwörter, die vom System gespeichert werden. Wenn ein Benutzer ein neues Kennwort festlegt, wird es nicht akzeptiert, falls es mit einem bereits benutzten Kennwort übereinstimmt. Geben Sie einen Wert zwischen 1 und 999 ein, oder geben Sie 0 ein, um diese Einschränkung zu deaktivieren.
Gültigkeitsdauer des Kennworts in Tagen
Die Anzahl an Tagen, nach denen Benutzer ihr Kennwort ändern müssen. Geben Sie einen Wert zwischen 1 und 730 ein, oder geben Sie 0 ein, um diese Einschränkung zu deaktivieren.
12.19.2 Konfiguration „Einschränkungen“ (Windows-Desktop-Richtlinie) Mit der Konfiguration Einschränkungen definieren Sie Einschränkungen für Geräte.
Gerät
150
Einstellung/Feld
Beschreibung
SD-Karte verbieten
Benutzer können nicht auf die SD-Karte zugreifen. Dies betrifft nicht den Zugriff durch Apps.
Manuelles Hinzufügen von Nicht-Microsoft-E-Mail-Konten verbieten
Hinzufügen aller Arten von E-Mail-Konten sowie von Exchange-, Office 365- und Outlook.com-Konten nicht erlauben.
Entwicklerfunktionen verbieten
Der Windows-Entwicklermodus ist deaktiviert.
Administratorhilfe
Einstellung/Feld
Beschreibung
Kamera verbieten
Die Datenschutz-Einstellung Apps die Verwendung meiner Kamera erlauben ist deaktiviert.
Auto-Ausfüllen in Edge deaktivieren
Die Einstellung Formulareinträge speichern im Webbrowser Edge ist deaktiviert und kann vom Benutzer nicht aktiviert werden. Wenn das Kontrollkästchen deaktiviert ist, ist die Einstellung aktiviert und kann vom Benutzer nicht deaktiviert werden.
Edge-F12-Entwicklertools deaktivieren
Die F12-Entwicklertools im Webbrowser Edge sind nicht verfügbar.
Edge-Popupblocker deaktivieren
Die Einstellung Popups blockieren im Webbrowser Edge ist deaktiviert und kann vom Benutzer nicht aktiviert werden. Wenn das Kontrollkästchen deaktiviert ist, ist die Einstellung aktiviert und kann vom Benutzer nicht deaktiviert werden.
Einstellungen „AutoPlay“ deaktivieren
Die relevanten Bereiche in der Windows-Systemsteuerung sind nicht verfügbar. Einstellungen „Datum und Uhrzeit“ deaktivieren Der Benutzer kann diese Einstellungen nicht ändern, nachdem die Richtlinie dem Gerät zugewiesen wurde. Einstellungen „Sprachen“ deaktivieren Hinweis: Einstellungen „AutoPlay“ deaktivieren wirkt sich nicht auf angeschlossene Einstellungen „Netzbetrieb und Energiesparen“ Geräte wie zum Beispiel Mobiltelefone aus. deaktivieren Einstellungen „Region“ deaktivieren Einstellungen „Anmeldeoptionen“ deaktivieren Einstellungen „VPN“ deaktivieren Einstellungen „Arbeitsplatzzugriff“ deaktivieren Einstellungen „Konten“ deaktivieren Telemetrie
Wählen Sie aus, ob das Gerät Diagnose- und Telemetriedaten senden kann: Erlaubt Erlaubt, außer für sekundäre Datenanforderungen Nicht erlaubt
151
Sophos Mobile Control (in Sophos Central)
Verschiedenes
Einstellung/Feld
Beschreibung
Cortana verbieten
Cortana ist deaktiviert.
„Einstellungen synchronisieren“ verbieten
Geräteeinstellungen können nicht mit anderen Windows-Geräten synchronisiert werden.
Windows-Tipps deaktivieren
Die Windows-Einstellung Tipps zu Windows anzeigen ist deaktiviert und nicht verfügbar.
WLAN
Einstellung/Feld
Beschreibung
Tethering verbieten
ICS (Internet Connection Sharing) ist deaktiviert.
WLAN-Optimierung (Hotspot-Autoverbindung) Das Gerät verbindet sich nicht automatisch mit verbieten WLAN-Hotspots.
Konnektivität
Einstellung/Feld
Beschreibung
Bluetooth verbieten
Bluetooth ist deaktiviert.
Sicherheit und Privatsphäre
Einstellung/Feld
Beschreibung
Standortbestimmung bei der Suche verbieten Für die Suche werden keine Standortinformationen verwendet.
152
Administratorhilfe
Deregistrierung
Einstellung/Feld
Beschreibung
Manuelle MDM-Deregistrierung verbieten
Benutzer können das Arbeitsplatzkonto nicht löschen.
12.19.3 Konfiguration „Exchange ActiveSync“ (Windows-Desktop-Richtlinie) Mit der Konfiguration Exchange ActiveSync definieren Sie Benutzereinstellungen für Ihren Microsoft Exchange Server. Wichtig: Wenn Sie mehrere Exchange-ActiveSync-Konten einrichten, können die Geräte möglicherweise nur E-Mails von einem dieser Konten abrufen. Dies passiert typischerweise, wenn die Konten auf unterschiedlichen ActiveSync-Servern liegen und auf diesen Servern unterschiedliche Postfachrichtlinien definiert sind. Da Windows-Desktop-Geräte nur eine einzelne Postfachrichtlinie erzwingen können, schlägt die Verbindung zu Konten fehl, die eine abweichende Richtlinie verwenden.
Einstellung/Feld
Beschreibung
Kontoname
Der Kontoname.
Exchange-ActiveSync-Host
Die Adresse des Microsoft Exchange Servers. Hinweis: Wenn Sie den SMC-EAS-Proxy verwenden, geben Sie die URL des SMC-Proxy-Servers ein.
Domäne
Die Domäne für dieses Konto.
Benutzer
Der Benutzername für dieses Konto. Wenn Sie die Variable %_USERNAME_% verwenden, wird diese durch den jeweiligen Benutzernamen ersetzt.
E-Mail-Adresse
Die E-Mail-Adresse des Kontos. Wenn Sie die Variable %_EMAILADDRESS_% verwenden, wird diese durch die jeweilige E-Mail-Adresse ersetzt.
Kennwort
Das Kennwort für dieses Konto. Wenn Sie dieses Feld leer lassen, müssen Benutzer das Kennwort auf ihren Geräten eingeben.
153
Sophos Mobile Control (in Sophos Central)
Einstellung/Feld
Beschreibung
Synchronisierungszeitraum
Der Zeitraum, für den E-Mails synchronisiert werden. Wenn Sie einen Zeitraum angeben, werden nur E-Mail-Nachrichten innerhalb dieses Zeitraums mit dem Posteingang auf den Geräten synchronisiert.
Synchronisierungsintervall
Der zeitliche Abstand zwischen zwei Synchronisierungsvorgängen.
SSL
Die gesamte Kommunikation erfolgt über SSL (Secure Socket Layer). Wir empfehlen, dieses Kontrollkästchen zu aktivieren.
Inhalte
Die zu synchronisierenden Inhalte.
12.19.4 Konfiguration „WLAN“ (Windows-Desktop-Richtlinie) Einstellung/Feld
Beschreibung
SSID
Geben Sie in diesem Feld die ID des WLAN-Netzwerks ein.
Automatisch verbinden
Die Verbindung wird automatisch hergestellt.
Unsichtbares Netzwerk
Das Zielnetzwerk ist nicht offen oder ist unsichtbar.
12.19.5 Konfiguration „Root-Zertifikat“ (Windows-Desktop-Richtlinie) Mit der Konfiguration Root-Zertifikat installieren Sie ein Root-Zertifikat auf Geräten. Navigieren Sie im Feld Datei zu dem relevanten Zertifikat und klicken Sie auf Datei hochladen. Der Name des Zertifikats wird im Feld Zertifikatsname angezeigt. Hinweis: Das hier hochgeladene Zertifikat ist nur für dieses Profil verfügbar. Wenn Sie Zertifikate in anderen Profilen benötigen, müssen Sie diese erneut hochladen.
154
Administratorhilfe
13 Auftragspakete Mit Auftragspaketen können Sie mehrere Aufträge in einer Transaktion bündeln. Somit können Sie alle Aufträge bündeln, die für die Registrierung und Konfiguration eines Gerätes notwendig sind: ■
Gerät registrieren.
■
Erforderliche Richtlinien anwenden.
■
Erforderliche Apps installieren (zum Beispiel verwaltete Apps bei iOS-Geräten).
■
Erforderliche Profile anwenden.
Sie können auch Wipe-Befehle in Auftragspakete einbeziehen, um Geräte, die gegen Compliance-Regeln verstoßen (zum Beispiel wegen Jailbreak oder Root-Zugriff), auf den Auslieferungszustand zurückzusetzen. Weitere Informationen finden Sie in Compliance-Richtlinien (Seite 28).
13.1 Auftragspaket erstellen 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Auftragspakete und wählen Sie Android oder Apple iOS aus. 2. Klicken Sie auf der Seite Auftragspakete auf Auftragspaket erstellen. Die Seite Auftragspaket bearbeiten wird angezeigt. 3. Geben Sie in den jeweiligen Feldern einen Namen und, optional, eine Version und eine Beschreibung für das neue Auftragspaket ein. 4. Wenn Sie die Option Auswählbar als Compliance-Aktion auswählen, kann das Auftragspaket auf ein Mobilgerät übertragen werden, wenn eine Compliance-Richtlinie verletzt wird. Siehe Compliance-Richtlinien (Seite 28). Hinweis: Diese Option ist deaktiviert, wenn Sie ein vorhandenes Auftragspaket bearbeiten, das bereits als Compliance-Aktion verwendet wird. 5. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Auftragspakete und wählen Sie Android oder Apple iOS aus. 6. Klicken Sie auf Auftrag erstellen. 7. Wählen Sie den Auftragstyp und klicken Sie auf Weiter. Die nächste Ansicht hängt vom gewählten Auftragstyp ab. In jeder Ansicht können Sie eigene aussagekräftige Auftragsnamen angeben. Diese Auftragsnamen werden während der Installation im Self Service Portal angezeigt. 8. Folgen Sie den Schritten im Assistent, um den gewünschten Auftrag hinzuzufügen. Klicken Sie auf Anwenden, um den Auftrag zu erstellen. Eine Beschreibung der verfügbaren Auftragstypen finden Sie in Verfügbare Auftragstypen für Android (Seite 156) und Verfügbare Auftragstypen für iOS (Seite 159). 9. Optional: Fügen Sie weitere Aufgaben zu dem Auftragspaket hinzu. Tipp: Mit den Sortier-Pfeilsymbolen auf der rechten Seite der Auftragsliste können Sie die Installationsreihenfolge für die Aufträge festlegen.
155
Sophos Mobile Control (in Sophos Central)
10. Wenn Sie alle erforderlichen Aufträge zum Auftragspaket hinzugefügt haben, klicken Sie auf der Seite Auftragspaket bearbeiten auf Speichern. Das Auftragspaket steht für die Übertragung zur Verfügung. Es wird auf der Seite Auftragspakete angezeigt. Hinweis: Wenn Sie ein vorhandenes Auftragspaket bearbeiten, das als Einrichtungspaket in den Self Service Portal-Einstellungen verwendet wird, kann der Einrichtungsauftrag nicht gelöscht werden. Siehe Self Service Portal Einstellungen konfigurieren (Seite 17).
13.2 Verfügbare Auftragstypen für Android Für Android-Auftragspakete sind die folgenden Auftragstypen verfügbar:
Gerät registrieren Wenn der Auftrag an Geräte übertragen wird, wird eine Registrierungs-E-Mail an die E-Mail-Adressen gesendet, die für die einzelnen Geräte konfiguriert sind. Benutzer müssen die in der E-Mail beschriebenen Schritte ausführen, um ihr Gerät zu registrieren. Wenn der Auftrag an ein Gerät übertragen wird, das bereits registriert ist, wird keine Registrierungs-E-Mail gesendet.
Profil installieren oder Richtlinie zuweisen Wählen Sie aus der Liste der verfügbaren Profile und Richtlinien ein Profil oder eine Richtlinie aus. Informationen, wie Sie Profile oder Richtlinien zu dieser Liste hinzufügen, finden Sie in Profile und Richtlinien (Seite 55). Wenn der Auftrag an Geräte übertragen wird, wird das Profil stillschweigend installiert, d.h. ohne Benutzerinteraktion, bzw. die Richtlinie wird stillschweigend zugewiesen. Sie können einem Auftragspaket mehrere Aufträge dieses Typs hinzufügen.
Profil entfernen Wählen Sie unter Quelle auswählen den Eintrag Profile und wählen Sie anschließend ein Profil aus der Liste aus. Neben den Profilen, die auf dem Sophos Mobile Control Server verfügbar sind, werden in der Liste auch Profile angezeigt, die auf einem verwalteten Gerät in Verwendung sind. Sie können auch Profile entfernen, die nicht in der Liste enthalten sind. Wählen Sie Kennung aus und geben Sie anschließend die Kennung eines Profils ein, das Sie von Geräten entfernen wollen. Wenn der Auftrag an Geräte übertragen wird, wird das Profil stillschweigend entfernt. Sie können einem Auftragspaket mehrere Aufträge dieses Typs hinzufügen. Hinweis: Eine Sophos-Container-Richtlinie oder eine Mobile-Security-Richtlinie kann nicht auf diese Weise von Geräten entfernt werden. Verwenden Sie stattdessen die Geräteaktion Sophos-Container deregistrieren bzw. SMSec deregistrieren. Dadurch wird auch die jeweils zugehörige Richtlinie vom Gerät entfernt.
156
Administratorhilfe
App installieren Wählen Sie eine App aus der Liste der verfügbaren Apps aus. Informationen, wie Sie Apps zu dieser Liste hinzufügen, finden Sie in App hinzufügen (Seite 163). Wenn der Auftrag an Geräte übertragen wird, erhalten die Benutzer auf ihren Geräten eine Benachrichtigung darüber, dass Sophos Mobile Control eine App installieren möchte. Benutzer können auf OK tippen, um die Installation durchzuführen, oder auf Nicht jetzt, um nach Ablauf einer kurzen Zeitspanne erneut aufgefordert zu werden. Falls Benutzer auf OK tippen, aber dann im nächsten Schritt auf Abbrechen tippen, schlägt der Auftrag fehl. Falls die App bereits auf einem Gerät installiert ist, das den Auftrag erhält, wird sie aktualisiert. Sie können einem Auftragspaket mehrere Aufträge dieses Typs hinzufügen.
Berufliche App installieren Dieser Auftragstyp ist verfügbar, wenn Sie Android for Work für den Kunden konfiguriert haben. Wählen Sie eine App aus der Liste der verfügbaren beruflichen Apps aus. Informationen, wie Sie Apps zu dieser Liste hinzufügen, finden Sie in Berufliche App bearbeiten (Seite 185). Der Installationsauftrag wird an Google gesendet. Die eigentliche Installation der App auf dem Gerät wird von Google verwaltet. Auf der Seite Auftragsstatus wird der Auftragsstatus als erfolgreich angezeigt, sobald er an Google gesendet wurde. Sie können einem Auftragspaket mehrere Aufträge dieses Typs hinzufügen. Alternativ können Sie berufliche Apps auch über die Seite Apps für Android for Work installieren. Siehe Berufliche App installieren (Seite 188). Informationen, wie Sie berufliche Apps von Geräten deinstallieren, finden Sie in Berufliche App deinstallieren (Seite 188).
App entfernen Wählen Sie in Quelle auswählen den Eintrag Apps, um aus der Liste der verfügbaren Apps eine App auszuwählen, die entfernt werden soll. Neben den Apps, die auf dem Sophos Mobile Control Server verfügbar sind, werden in der Liste auch Apps angezeigt, die auf einem verwalteten Gerät in Verwendung sind ausgenommen Android-System-Apps und vom Gerätehersteller vorinstallierte Apps. Sie können auch Apps entfernen, die nicht in der Liste enthalten sind. Wählen Sie Kennung aus und geben Sie anschließend den Paketnamen der App ein, die Sie von Geräten entfernen wollen. Wenn Sie Knox-Container-App auswählen, wird die App aus dem Samsung-Knox-Container entfernt. Wenn der Auftrag an Geräte übertragen wird, erhalten die Benutzer auf ihren Geräten eine Benachrichtigung darüber, dass Sophos Mobile Control eine App entfernen möchte. Benutzer können auf OK tippen, um die Installation durchzuführen, oder auf Nicht jetzt, um nach Ablauf einer kurzen Zeitspanne erneut aufgefordert zu werden. Falls Benutzer auf OK tippen, aber dann im nächsten Schritt auf Abbrechen tippen, schlägt der Auftrag fehl.
157
Sophos Mobile Control (in Sophos Central)
Falls die App nicht auf einem Gerät installiert ist, das den Auftrag erhält, wird keine Benachrichtigung angezeigt. Sie können einem Auftragspaket mehrere Aufträge dieses Typs hinzufügen.
Nachricht senden Geben Sie einen Text ein, der auf den Geräten angezeigt werden soll. Wenn der Auftrag an Geräte übertragen wird, wird der Hinweistext in einem Benachrichtigungsfenster angezeigt. Benutzer können frühere Nachrichten auf der Seite Nachrichten der App „Sophos Mobile Control“ anzeigen. Sie können einem Auftragspaket mehrere Aufträge dieses Typs hinzufügen.
Deregistrieren Wenn der Auftrag an Geräte übertragen wird, werden diese von Sophos Mobile Control deregistriert. Siehe Geräte deregistrieren (Seite 41). Die Gerätebenutzer müssen dem Vorgang nicht zustimmen. Sie können in einem Auftragspaket einen Auftrag Deregistrieren nicht zusammen mit einem Auftrag Zurücksetzen verwenden.
Zurücksetzen Wenn der Auftrag an Geräte übertragen wird, werden diese auf den Auslieferungszustand zurückgesetzt. Die Gerätebenutzer müssen dem Vorgang nicht zustimmen. Wichtig: Verwenden Sie diesen Auftragstyp mit Bedacht. Auf den Geräten, die den Auftrag erhalten, werden sämtliche Daten ohne Benutzerzustimmung gelöscht. Hinweis: Wenn ein Auftrag vom Typ Zurücksetzen an ein Gerät übertragen wird, das bei Android for Work registriert ist, werden nur das Arbeitsprofil und alle beruflichen Apps entfernt. Sie können in einem Auftragspaket einen Auftrag Deregistrieren nicht zusammen mit einem Auftrag Zurücksetzen verwenden.
Knox-Container: sperren Wenn der Auftrag an ein Samsung-Gerät übertragen wird, das Samsung Knox unterstützt, wird der Knox-Container gesperrt. Wenn der Auftrag an ein Gerät übertragen wird, das Samsung Knox nicht unterstützt, schlägt der Auftrag fehl.
Knox-Container: entsperren Wenn der Auftrag an ein Samsung-Gerät übertragen wird, das Samsung Knox unterstützt, wird der Knox-Container entsperrt. Wenn der Auftrag an ein Gerät übertragen wird, das Samsung Knox nicht unterstützt, schlägt der Auftrag fehl.
158
Administratorhilfe
Knox-Container: Kennwort zurücksetzen Wenn der Auftrag an ein Samsung-Gerät übertragen wird, das Samsung Knox unterstützt, wird das Knox-Container-Kennwort zurückgesetzt. Benutzer müssen ein neues Kennwort festlegen, um den Knox-Container zu entsperren. Wenn der Auftrag an ein Gerät übertragen wird, das Samsung Knox nicht unterstützt, schlägt der Auftrag fehl.
Knox-Container: entfernen Wenn der Auftrag an ein Samsung-Gerät übertragen wird, das Samsung Knox unterstützt, wird der Knox-Container (inklusive aller zugehörigen Einstellungen) entfernt. Wenn der Auftrag an ein Gerät übertragen wird, das Samsung Knox nicht unterstützt, schlägt der Auftrag fehl.
SMSec-Scan auslösen Wenn der Auftrag an Geräte übertragen wird, wird die App Sophos Mobile Security stillschweigend angewiesen, das Gerät auf Malware und PUAs (Potentally Unwanted Apps) zu scannen. Dieser Auftrag kann nur ausgeführt werden, wenn Sophos Mobile Security von Sophos Mobile Control verwaltet wird, d.h., wenn dem Gerät eine Mobile-Security-Richtlinie zugewiesen ist. Siehe Sophos Mobile Security verwalten (Seite 202). Falls der Auftrag an ein Gerät übertragen wird, auf dem Sophos Mobile Security nicht von Sophos Mobile Control verwaltet wird, d.h., wenn dem Gerät keine Mobile-Security-Richtlinie zugewiesen ist, verbleibt der Auftrag im Status Wiederholung geplant.
13.3 Verfügbare Auftragstypen für iOS Für iOS-Auftragspakete sind die folgenden Auftragstypen verfügbar:
Gerät registrieren Wenn der Auftrag an Geräte übertragen wird, wird eine Registrierungs-E-Mail an die E-Mail-Adressen gesendet, die für die einzelnen Geräte konfiguriert sind. Benutzer müssen die in der E-Mail beschriebenen Schritte ausführen, um ihr Gerät zu registrieren. Wenn der Auftrag an ein Gerät übertragen wird, das bereits registriert ist, wird keine Registrierungs-E-Mail gesendet.
Profil installieren oder Richtlinie zuweisen Wählen Sie aus der Liste der verfügbaren Profile und Richtlinien ein Profil oder eine Richtlinie aus. Informationen, wie Sie Profile oder Richtlinien zu dieser Liste hinzufügen, finden Sie in Profile und Richtlinien (Seite 55). Wenn der Auftrag an Geräte übertragen wird, wird das Profil stillschweigend installiert, d.h. ohne Benutzerinteraktion, bzw. die Richtlinie wird stillschweigend zugewiesen. Sie können einem Auftragspaket mehrere Aufträge dieses Typs hinzufügen.
159
Sophos Mobile Control (in Sophos Central)
Profil entfernen Wählen Sie unter Quelle auswählen den Eintrag Profile und wählen Sie anschließend ein Profil aus der Liste aus. Neben den Profilen, die auf dem Sophos Mobile Control Server verfügbar sind, werden in der Liste auch Profile angezeigt, die auf einem verwalteten Gerät in Verwendung sind. Sie können auch Profile entfernen, die nicht in der Liste enthalten sind. Wählen Sie Kennung aus und geben Sie anschließend die Kennung eines Profils ein, das Sie von Geräten entfernen wollen. Wenn der Auftrag an Geräte übertragen wird, wird das Profil stillschweigend entfernt. Sie können einem Auftragspaket mehrere Aufträge dieses Typs hinzufügen. Hinweis: Eine Sophos-Container-Richtlinie kann nicht auf diese Weise von Geräten entfernt werden. Verwenden Sie stattdessen die Geräteaktion Sophos-Container deregistrieren. Dadurch wird auch die zugehörige Richtlinie vom Gerät entfernt.
Provisionierungsprofil installieren Wählen Sie ein App-Provisionierungsprofil aus der Liste der verfügbaren Profile aus. Informationen, wie Sie Profile zu dieser Liste hinzufügen, finden Sie in Provisionierungsprofile für iOS-Apps importieren (Seite 57). Wenn der Auftrag an Geräte übertragen wird, wird das Provisionierungsprofil stillschweigend installiert.
Provisionierungsprofil entfernen Wählen Sie unter Quelle auswählen den Eintrag Profile und wählen Sie anschließend ein Provisionierungsprofil aus der Liste aus. Neben den Profilen, die auf dem Sophos Mobile Control Server verfügbar sind, werden in der Liste auch Profile angezeigt, die auf einem verwalteten Gerät in Verwendung sind. Sie können auch Provisionierungsprofile entfernen, die nicht in der Liste enthalten sind. Wählen Sie Kennung aus und geben Sie anschließend die Kennung eines Profils ein, das Sie von Geräten entfernen wollen. Wenn der Auftrag an Geräte übertragen wird, wird das Provisionierungsprofil stillschweigend entfernt.
App installieren Wählen Sie eine App aus der Liste der verfügbaren Apps aus. Informationen, wie Sie Apps zu dieser Liste hinzufügen, finden Sie in App hinzufügen (Seite 163). Wenn der Auftrag an Geräte übertragen wird, erhalten die Benutzer auf ihren Geräten eine Benachrichtigung darüber, dass Sophos Mobile Control eine App installieren möchte. Benutzer können auf Installieren tippen, um die Installation durchzuführen, oder auf Abbrechen, um die Installation abzulehnen. Falls Benutzer die Installation ablehnen, schlägt der Auftrag fehl. Falls die App bereits auf einem Gerät installiert ist, das den Auftrag erhält, wird sie aktualisiert. Sie können einem Auftragspaket mehrere Aufträge dieses Typs hinzufügen.
160
Administratorhilfe
App entfernen Wählen Sie in Quelle auswählen den Eintrag Apps, um aus der Liste der verfügbaren Apps eine App auszuwählen, die entfernt werden soll. Neben den Apps, die auf dem Sophos Mobile Control Server verfügbar sind, werden in der Liste auch Apps angezeigt, die auf einem verwalteten Gerät in Verwendung sind ausgenommen iOS-System-Apps. Sie können auch Apps entfernen, die nicht in der Liste enthalten sind. Wählen Sie Kennung aus und geben Sie anschließend die Bundle-ID der App ein, die Sie von Geräten entfernen wollen. Wenn der Auftrag an Geräte übertragen wird, wird die App stillschweigend entfernt. Sie können einem Auftragspaket mehrere Aufträge dieses Typs hinzufügen.
Nachricht senden Geben Sie einen Text ein, der auf den Geräten angezeigt werden soll. Wenn der Auftrag an Geräte übertragen wird, wird der Hinweistext in einem Benachrichtigungsfenster angezeigt. Benutzer können frühere Nachrichten auf der Seite Nachrichten der App „Sophos Mobile Control“ anzeigen. Sie können einem Auftragspaket mehrere Aufträge dieses Typs hinzufügen.
Deregistrieren Wenn der Auftrag an Geräte übertragen wird, werden diese von Sophos Mobile Control deregistriert. Siehe Geräte deregistrieren (Seite 41). Die Gerätebenutzer müssen dem Vorgang nicht zustimmen. Sie können in einem Auftragspaket einen Auftrag Deregistrieren nicht zusammen mit einem Auftrag Zurücksetzen verwenden.
Zurücksetzen Wenn der Auftrag an Geräte übertragen wird, werden diese auf den Auslieferungszustand zurückgesetzt. Die Gerätebenutzer müssen dem Vorgang nicht zustimmen. Wichtig: Verwenden Sie diesen Auftragstyp mit Bedacht. Auf den Geräten, die den Auftrag erhalten, werden sämtliche Daten ohne Benutzerzustimmung gelöscht. Sie können in einem Auftragspaket einen Auftrag Deregistrieren nicht zusammen mit einem Auftrag Zurücksetzen verwenden.
13.4 Auftragspakete duplizieren Da das Erstellen eines Auftragspakets zeitaufwändig sein kann, können Sie bereits vorhandene Auftragspakete duplizieren. Diese Funktion ist hilfreich, wenn mehrere umfangreiche Auftragspakete mit ähnlichen Aufträgen erforderlich sind. Es müssen dann nur wenige Aufträge gelöscht oder hinzugefügt werden.
161
Sophos Mobile Control (in Sophos Central)
Hinweis: Sie können Auftragspakete nur dann duplizieren, wenn sie nicht gleichzeitig bearbeitet werden. Die Kopien werden mit „Copy of“ und dem Namen des Originalprofils benannt. Sie können die Namen der Pakete nach Ihren Anforderungen ändern. 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Auftragspakete und wählen Sie Android oder Apple iOS aus. Die Seite Auftragspakete wird angezeigt. 2. Klicken Sie auf das blaue Dreieck neben dem Auftragspaket, das Sie duplizieren möchten, und dann auf Duplizieren. Das Auftragspaket wird dupliziert und auf der Seite Auftragspakete angezeigt. Sie können das duplizierte Auftragspaket nun bearbeiten. Um das Auftragspaket zu bearbeiten, klicken Sie auf das daneben stehende blaue Dreieck und dann auf Bearbeiten.
13.5 Auftragspakete an einzelne Geräte oder Gerätegruppen übertragen 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Auftragspakete und wählen Sie Android oder Apple iOS aus. Die Seite Auftragspakete wird angezeigt. 2. Klicken Sie auf das blaue Dreieck neben dem betreffenden Auftrag und dann auf Übertragen. Die Seite Geräte auswählen wird angezeigt. 3. Auf dieser Seite können Sie folgende Aufgaben durchführen: ■ ■
Wählen Sie einzelne Geräte aus, an die das Auftragspaket übertragen werden soll. Klicken Sie auf Gerätegruppen auswählen, um die Seite Gerätegruppen auswählen zu öffnen. Wählen Sie dann eine oder mehrere Gerätegruppen für die Übertragung des Auftragspakets aus.
4. Wenn Sie Ihre Auswahl getroffen haben, klicken Sie auf Weiter. Die Seite Ausführungszeit wählen wird angezeigt. 5. Wählen Sie unter Datum die Option Sofort oder geben Sie ein Datum und eine Uhrzeit für die Ausführung dieses Auftrags an. 6. Klicken Sie auf Fertigstellen. Die Seite Auftragsstatus wird angezeigt. Das Auftragspaket wird zum angegebenen Zeitpunkt auf die ausgewählten Geräte übertragen.
162
Administratorhilfe
14 Apps Sie konfigurieren Apps in Sophos Mobile Control, damit diese von der Sophos Mobile Control Konsole aus (Administrator-initiiert) oder von der App „Sophos Mobile Control“ aus (Benutzer-initiiert) installiert werden können. Sie haben folgende Möglichkeiten, eine App in Sophos Mobile Control verfügbar machen: ■
Sie laden das App-Paket auf den Sophos Mobile Control Server hoch. Diese Option ist nicht für Windows-Mobile-Apps verfügbar.
■
Sie geben den Link zu der App im jeweiligen App Store an.
Eine Beschreibung beider Arten finden Sie im Abschnitt App hinzufügen (Seite 163). Um eine App auf einem Gerät zu installieren, erstellen Sie ein Auftragspaket, das einen Auftrag App installieren enthält. Für Android- und iOS-Geräte können Sie ein solches Auftragspaket direkt auf der Seite Apps erstellen. Siehe App installieren (Seite 165). Hinweis: Damit App-Pakete, die auf dem Sophos Mobile Control Server gespeichert sind, installiert werden können, im Gegensatz zur Installation aus dem jeweiligen App-Store, müssen die folgenden Bedingungen erfüllt sein: ■
Android: Auf den Geräten muss die Android-Sicherheitseinstellung Unbekannte Herkunft aktiviert sein. Falls Unbekannte Herkunft deaktiviert ist während Sie versuchen, eine APK-Datei zu installieren, erhalten die Benutzer von der App Sophos Mobile Control einen Hinweis, wie sie diese Einstellung aktivieren können. Diese Einschränkung gilt nicht für Geräte mit LG GATE, Samsung Knox oder Sony Enterprise API.
■
iOS: Die App-Installation über IPA-Dateien ist nur für selbstentwickelte Apps möglich. Wenn die App fertiggestellt ist und verteilt werden kann, müssen Sie ein Provisionierungsprofil für die App erstellen dieses auf den Geräten verfügbar machen, entweder, indem Sie es vorab separat installieren, oder, indem Sie es in die IPA-Datei der App integrieren. Sie können Sophos Mobile Control verwenden, um Provisionierungsprofile an Ihre iOS-Geräte zu verteilen. Siehe Provisionierungsprofile für iOS-Apps importieren (Seite 57). Details zu Provisionierungsprofilen finden Sie in der iOS Developer Library.
14.1 App hinzufügen Sie stellen eine App für die Installation zur Verfügung, indem Sie entweder das App-Paket hochladen oder den App-Link im jeweiligen App Store angeben. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Apps und wählen Sie anschließend die Plattform aus, für die Sie eine App hinzufügen wollen. 2. Klicken Sie auf der Seite Apps auf App hinzufügen und wählen Sie dann folgendes aus: ■
■
Android-Paket oder iOS-Paket, um die App durch Hochladen der APK-Datei (für Android) oder der IPA-Datei (für iOS) hinzuzufügen. Android-Link, iOS-Link oder Windows Mobile-Link, um die App durch Angabe des Links im jeweiligen App Store hinzuzufügen.
Auf der nächsten Seite konfigurieren Sie die App-Details. Hinweis: Für iOS-Links können Sie auf In iTunes suchen klicken, um in der iTunes-Datenbank nach der App zu suchen. Wenn Sie in den Suchergebnissen eine App
163
Sophos Mobile Control (in Sophos Central)
auswählen, werden die relevanten Felder auf der Seite iOS-Link bearbeiten mit den entsprechenden Werten aus iTunes ausgefüllt. 3. Geben Sie einen Name für die neue App ein. 4. Optional: Geben Sie für App-Pakete eine Version ein, die im Enterprise App Store angezeigt wird. Für App-Links für als Version Google Play Store bzw. App Store angezeigt. Im Enterprise App Store wird die jeweilige Versionsnummer aus dem App-Store angezeigt. 5. Optional: Geben Sie im Feld Kennung die interne App-Kennung ein. Lassen Sie dieses Feld leer, falls Sie die genaue App-Kennung nicht kennen. In den meisten Fällen kann Sophos Mobile Control den Wert aus der App ermitteln und füllt dieses Feld automatisch aus. 6. Optional: Geben Sie im Feld App-Kategorie eine Kategorie ein, zum Beispiel Empfohlen. Wen Sie die App, wie im nächsten Schritt beschrieben, im Enterprise App Store verfügbar machen, wird die App in einem Abschnitt mit diesem Titel aufgeführt. 7. Sie können die App im Enterprise App Store verfügbar machen, damit die Installation vom Benutzer initiiert werden kann. Klicken Sie neben Verfügbar für Gerätegruppen auf Anzeigen und wählen Sie eine oder mehrere Gerätegruppen aus, für welche die App im Enterprise App Store aufgeführt wird. 8. Wenn Sie für iOS-Geräte SMC-verwaltete Installation auswählen, wird die App als verwaltete App installiert. Einige Einstellungen in Geräteprofilen sind nur für verwaltete Apps verfügbar. Hinweis: Die Einstellung SMC-verwaltete Installation beeinflusst nur Apps, die vom Benutzer über den Enterprise App Store installiert werden. Apps, die Sie über die Sophos Central Admin Konsole installieren, sind immer verwaltet. Informationen zu verwalteten Apps finden Sie in Verwaltete iOS-Apps (Seite 166). 9. Optional: Geben Sie im Feld Beschreibung eine Beschreibung ein, die im Enterprise App Store angezeigt wird. Hinweis: Innerhalb Ihres Beschreibungstextes können Sie den Platzhalter %_appstoretext_% verwenden. Im Enterprise App Store wird dann die jeweilige App-Beschreibung aus Google Play oder dem App Store angezeigt. 10. Klicken Sie neben Betriebssysteme auf Anzeigen und wählen Sie die Betriebssystemversionen aus, für welche die App aufgeführt wird. 11. Wenn Sie für Samsung-Knox-Geräte In Knox-Container installieren auswählen, wird die App im Knox-Container installiert. Diese Option ist nur verfügbar, wenn auf der Seite Systemeinstellungen ein Samsung-Knox-Premium-Lizenzschlüssel konfiguriert ist. 12. Konfigurieren Sie die App-Quelle. ■
Für App-Links geben Sie im Feld Link die URL der App im jeweiligen App Store ein. Um die URL zu bestimmen, klicken Sie auf den Link unterhalb des Feldes Link, um den App Store in einer neuen Browser-Registerkarte zu öffnen, und navigieren Sie zu der gewünschten App. Kopieren Sie anschließend die URL aus der Adresszeile in das Feld Link.
164
Administratorhilfe
■
Für App-Pakete klicken Sie auf Datei hochladen, um die App auf den Sophos Mobile Control Server hochzuladen. Navigieren Sie zu der APK-Datei (für Android) oder der IPA-Datei (für iOS) und klicken Sie auf Öffnen. Hinweis: Die Dateigröße des Pakets darf einen festgelegten Wert nicht übersteigen.
13. Nachdem Sie die App-Details konfiguriert haben, klicken Sie auf Speichern, um die App-Einstellungen zu speichern und auf die Seite Apps zurückzukehren. Die App steht für die Installation zur Verfügung. Sie wird auf der Seite Apps angezeigt. Falls Sie das Feld Verfügbar für Gerätegruppen konfiguriert haben, wird die App auch im Enterprise App Store der App Sophos Mobile Control angezeigt und kann von dort von den Benutzern installiert werden. Der Installationsvorgang läuft ohne oder nur mit sehr geringer Benutzerinteraktion.
14.2 App installieren Hinweis: Dieser Abschnitt gilt nur für Android- und iOS-Geräte. Eine App, die Sie wie in App hinzufügen (Seite 163) beschrieben zu Sophos Mobile Control hinzugefügt haben, können Sie manuell auf ausgewählten Geräten oder Gerätegruppen installieren. 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Apps und klicken Sie anschließend auf Android oder Apple iOS. 2. Klicken Sie auf der Seite Apps auf das blaue Dreieck neben der gewünschten App und dann auf Installieren. 3. Wählen Sie die Geräte aus, auf denen Sie die App installieren wollen. Gehen Sie auf eine der folgenden Weisen vor: ■ ■
Wählen Sie einzelne Geräte aus. Klicken Sie auf Gerätegruppen auswählen und wählen Sie anschließend eine oder mehrere Gerätegruppen aus.
Wenn Sie fertig sind, klicken Sie auf Weiter. 4. Geben Sie auf der Seite Ausführungszeit wählen den Zeitpunkt an, zu dem die App installiert wird: ■ ■
Für eine sofortige Ausführung wählen Sie Sofort aus. Für eine geplante Ausführung wählen Sie Datum aus und geben Sie anschließend Datum und Uhrzeit ein.
5. Klicken Sie auf Fertigstellen. Die ausgewählte App wird zum festgelegten Zeitpunkt auf den ausgewählten Geräten installiert. Auf betreuten (supervised) iOS-Geräten und auf Android-Geräten, auf denen die App „Sophos Samsung Plugin“ installiert ist, werden Apps stillschweigend installiert, d.h. ohne Benutzer-Interaktion.
14.3 App deinstallieren Hinweis: Dieser Abschnitt gilt nur für Android- und iOS-Geräte.
165
Sophos Mobile Control (in Sophos Central)
Eine App, die Sie wie in App hinzufügen (Seite 163) beschrieben zu Sophos Mobile Control hinzugefügt haben, können Sie manuell von ausgewählten Geräten oder Gerätegruppen deinstallieren. 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Apps und klicken Sie anschließend auf Android oder Apple iOS. 2. Klicken Sie auf der Seite Apps auf Deinstallieren. 3. Wählen Sie die Geräte aus, von denen Sie die App deinstallieren wollen. Gehen Sie auf eine der folgenden Weisen vor: ■ ■
Wählen Sie einzelne Geräte aus. Klicken Sie auf Gerätegruppen auswählen und wählen Sie anschließend eine oder mehrere Gerätegruppen aus.
Wenn Sie fertig sind, klicken Sie auf Weiter. 4. Wählen Sie auf der Seite App auswählen die gewünschte App aus. 5. Geben Sie auf der Seite Ausführungszeit wählen den Zeitpunkt an, zu dem die App deinstalliert wird: ■ ■
Für eine sofortige Ausführung wählen Sie Sofort aus. Für eine geplante Ausführung wählen Sie Datum aus und geben Sie anschließend Datum und Uhrzeit ein.
6. Klicken Sie auf Fertigstellen. Die ausgewählte App wird zum festgelegten Zeitpunkt von den ausgewählten Geräten deinstalliert. Auf betreuten (supervised) iOS-Geräten werden verwaltete Apps stillschweigend deinstalliert, d.h. ohne Benutzer-Interaktion. Tipp: Alternativ können Sie mit der folgenden Methode eine App von einem einzelnen Gerät deinstallieren: Gehen Sie zu der Seite Gerät anzeigen für das gewünschte Gerät, öffnen Sie die Registerkarte Installierte Apps und klicken Sie auf das Mülleimer-Symbol neben dem App-Namen.
14.4 Verwaltete iOS-Apps Wenn Sie iOS-Apps zu Sophos Mobile Control hinzufügen, können Sie einstellen, ob diese auf den Geräten der Benutzer verwaltet oder nicht verwaltet installiert werden. Verwaltete Apps haben folgende Eigenschaften:
166
■
Wenn Benutzer eine verwaltete App im Enterprise App Store auswählen, wird ein Installationsauftrag erstellt, der von Sophos Mobile Control bearbeitet wird. Wenn Benutzer dagegen eine nicht verwaltete App auswählen, werden Sie für die Installation zum Apple App Store weitergeleitet.
■
Sie können verwaltete Apps von der Sophos Mobile Control Konsole aus deinstallieren. Für nicht verwaltete Apps ist dies nicht möglich.
■
Auf betreuten (supervised) iOS-Geräten werden verwaltete Apps stillschweigend installiert und deinstalliert, d.h. ohne Benutzer-Interaktion.
■
In iOS-Geräteprofilen sind einige Einstellungen nur für verwaltete Apps verfügbar.
■
Wenn ein iOS-Gerät bei Sophos Mobile Control deregistriert wird, werden alle verwalteten Apps automatisch vom Gerät entfernt. Nicht verwaltete Apps bleiben auf dem Gerät.
Administratorhilfe
Ob eine App verwaltet oder nicht verwaltet installiert wird, ergibt sich aus folgenden Regeln: ■
Apps, die Sie über die Sophos Central Admin Konsole installieren, sind immer verwaltet.
■
Apps, die der Benutzer über den App Store installiert, sind immer nicht verwaltet.
■
Apps, die der Benutzer über den Enterprise App Store installiert, sind verwaltet, wenn Sie in den App-Eigenschaften die Einstellung SMC-verwaltete Installation aktiviert haben. Siehe App hinzufügen (Seite 163).
Um den Status einer App auf einem Gerät festzustellen, gehen Sie auf die Seite Gerät anzeigen für das Gerät und öffnen Sie die Registerkarte Installierte Apps. Siehe Die Seite „Gerät anzeigen“ (Seite 42). Tipp: Sie können Apps, die vom Benutzer nicht verwaltet installiert wurden, in verwaltete Apps umwandeln. Konfigurieren Sie hierzu die App in Sophos Mobile Control als verwaltet und erstellen Sie anschließend einen Installationsauftrag. Da die App bereits installiert ist, wird sie nicht erneut installiert. Allerdings ändert sich der Status von nicht verwaltet in verwaltet.
14.5 Apple-VPP-Apps verwalten Mit dem Apple-Programm für Volumenlizenzen (Volume Purchase Program, kurz VPP) können Sie iOS-Apps in großen Mengen kaufen und diese im Unternehmen bereitstellen. Wenn eine über Apple VPP abgewickelte Bestellung abgeschlossen ist, können Sie ein sToken (Service-Token) herunterladen, das die Lizenzen für die erworbenen Apps enthält. In Sophos Mobile Control können Sie die im sToken enthaltenen Lizenzen Ihren Benutzern zur Verfügung stellen, indem Sie diese dazu einladen, autorisierte Apple-VPP-Benutzer zu werden. Nachdem die Benutzer die Einladung akzeptiert haben, sind sie autorisierte VPP-Benutzer und Sie können ihnen VPP-Apps zuweisen. Benutzer können zugewiesene Apps mittels iTunes auf ihren Geräten installieren. Sie können VPP-Apps auch Geräten zuweisen. Dazu muss auf den Geräten iOS 9 oder höher installiert sein. Geräte müssen nicht zu VPP eingeladen werden. Sie installieren eine zugewiesene VPP-App auf einem Gerät mittels Sophos Mobile Control. Detaillierte Informationen zur Registrierung und zur Benutzung von Apple VPP finden Sie unter http://www.apple.com/business/vpp/. Detaillierte Informationen, wie Sie VPP-Apps Benutzern oder Geräten zuweisen, finden Sie in VPP-Apps automatisch zuweisen (Seite 169) und VPP-Apps manuell zuweisen (Seite 170).
14.5.1 sToken für VPP einrichten Um in Sophos Mobile Control Lizenzen für Apps bereitzustellen, die Sie über das Apple-Programm für Volumenlizenzen (VPP) erworben haben, müssen Sie ein sToken (Service-Token) einrichten. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Systemeinstellungen. 2. Öffnen Sie auf der Seite Systemeinstellungen die Registerkarte Apple VPP. 3. Klicken Sie auf den Link Apple iTunes VPP Portal. Dies öffnet das Apple-VPP-Webportal in einem neuen Browser-Fenster. 4. Wählen Sie auf dieser Webseite den Punkt Unternehmen aus. 5. Geben Sie im Dialog Store für Unternehmen: Anmeldung Ihre Apple-ID und Ihr Kennwort ein.
167
Sophos Mobile Control (in Sophos Central)
6. Navigieren Sie zu der Seite Account Summary und klicken Sie auf Download Token. Das sToken wird generiert und, abhängig von den Download-Einstellungen Ihres Web-Browsers, auf Ihrem lokalen Computer in einer Textdatei mit Endung .vpptoken gespeichert. 7. Optional: Verschieben Sie die sToken-Datei an einen Ort, auf den Sie von der Sophos Mobile Control Konsole aus zugreifen können. 8. Gehen Sie in der Sophos Mobile Control Konsole zurück zu der Registerkarte Apple VPP, klicken Sie auf Datei hochladen, wählen Sie die sToken-Datei aus und klicken Sie anschließend auf Öffnen. Sophos Mobile Control liest die Datei ein und füllt die Felder Organisation und Ablaufdatum mit den Angaben aus dem sToken. 9. In der Liste VPP-Apps automatisch bei der Installation zuweisen können Sie die automatische Zuweisung von VPP-Apps konfigurieren. Siehe VPP-Apps automatisch zuweisen (Seite 169). 10. Optional: Füllen Sie die weiteren Felder auf der Registerkarte Apple VPP aus. Im Feld Country (Land) geben Sie Ihren zweistelligen Landescode ein, zum Beispiel DE für Deutschland. 11. Klicken Sie auf Speichern. Hinweis: Zur Benachrichtigung über den bevorstehenden Ablauf des sToken sendet Sophos Mobile Control mehrere E-Mail-Erinnerungen an alle Administratoren, beginnend 30 Tage vor dem Ablaufdatum.
14.5.2 Benutzer zu Apple VPP einladen Bevor Sie Benutzer zum Apple-Programm für Volumenlizenzen (VPP) einladen können, müssen Sie ein sToken einrichten. Siehe sToken für VPP einrichten (Seite 167). 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Benutzer. 2. Auf der Seite Benutzer anzeigen können Sie alle oder einzelne Benutzer zu Apple VPP einladen: ■
Um alle Benutzter einzuladen: 1. Klicken Sie oben auf der Seite Benutzer anzeigen auf Benutzer zu Apple VPP einladen. 2. Klicken Sie im Bestätigungsdialog auf Ja.
■
Um einen einzelnen Benutzer einzuladen: 1. Klicken Sie auf den gewünschten Benutzernamen. 2. Klicken Sie auf der Seite Benutzer anzeigen auf Benutzer zum VPP einladen. 3. Klicken Sie im Bestätigungsdialog auf Ja.
■
1. Klicken Sie oben auf der Seite Benutzer anzeigen auf Benutzer suchen und zu Apple VPP einladen. 2. Geben Sie im Dialog Benutzer suchen entweder einen Namen oder eine E-Mail-Adresse ein, um nach dem Benutzer zu suchen. 3. Wählen Sie in der Liste der Suchergebnisse den Benutzer aus, den Sie zu Apple VPP einladen wollen. 4. Klicken Sie auf Anwenden.
Sophos Mobile Control schickt eine Einladungs-E-Mail an alle betroffenen Benutzer.
168
Administratorhilfe
Die Benutzer müssen den Link aus der Einladungs-E-Mail verwenden, um ihr Apple-iTunes-Konto mit Apple VPP zu verknüpfen. Danach können sie die von Ihrem Unternehmen lizenzierten Apps installieren und verwenden.
14.5.3 Apple-VPP-Benutzer verwalten Wenn Sie wie in sToken für VPP einrichten (Seite 167) beschrieben ein Apple VPP sToken eingerichtet haben, enthält die Seite Benutzer anzeigen einen Abschnitt Apple Programm für Volumenlizenzen (VPP). In diesem Abschnitt können Sie die folgenden Aufgaben ausführen, um den VPP-Status eines Benutzers anzuzeigen oder zu bearbeiten: ■
Apple-VPP-Benutzerstatus anzeigen. Mögliche Werte sind: ■
Nicht registriert: Der Benutzer wurde noch nicht zu Apple VPP eingeladen.
■
Registriert: Der Benutzer wurde zu Apple VPP eingeladen, hat sein Apple-iTunes-Konto aber noch nicht mit Apple VPP verknüpft.
■
Verbunden: Der Benutzer hat sein Apple-iTunes-Konto mit Apple VPP verknüpft und kann VPP-Apps installieren.
■
Vom Benutzer installierte VPP-Apps anzeigen.
■
Den Benutzer zu Apple VPP einladen, indem Sie auf Benutzer zu VPP einladen klicken. In der Regel wird eine E-Mail mit einem Einladungslink an den Benutzer verschickt. Wenn im Benutzerkonto keine E-Mail-Adresse hinterlegt ist, wird der Einladungslink in einem Hinweisfenster angezeigt.
■
Eine erneute Einladungs-E-Mail verschicken, falls der Benutzer die initiale E-Mail nicht erhalten oder verloren hat, indem Sie auf Einladungs-E-Mail erneut senden klicken.
■
Die Registrierung des Benutzers zu Apple VPP aufheben, indem Sie auf VPP-Registrierung löschen klicken.
14.5.4 VPP-Apps automatisch zuweisen Standardmäßig werden Apps, die Sie über das Apple-Programm für Volumenlizenzen (VPP) erworben haben, automatisch dem Gerät zugewiesen, auf dem die App installiert wird. Wenn das Gerät die Zuweisung von VPP-Apps nicht unterstützt, wird die App dem Benutzer zugewiesen, der dem Gerät zugewiesen ist. Hinweis: Die Zuweisung von VPP-Apps unterstützen nur Geräte, die den Status Verwaltet haben und iOS 9 oder höher verwenden. Sie können diese Reihenfolge umkehren und Benutzerzuweisungen gegenüber Gerätezuweisungen bevorzugen. Sie können auch die automatische Zuweisung deaktivieren und VPP-Apps stattdessen manuell zuweisen. Siehe VPP-Apps manuell zuweisen (Seite 170). Die automatische Zuweisung von VPP-Apps wird pro Kunde konfiguriert. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Systemeinstellungen. 2. Öffnen Sie auf der Seite Systemeinstellungen die Registerkarte Apple VPP.
169
Sophos Mobile Control (in Sophos Central)
3. Wählen Sie in der Liste VPP-Apps automatisch bei der Installation zuweisen die gewünschte Option aus: ■
■
■
Bevorzugt an Gerät: Sofern das Gerät dies unterstützt, wird die VPP-App dem Gerät zugewiesen. Andernfalls wird die App dem Benutzer zugewiesen, der dem Gerät zugewiesen ist. Bevorzugt an Benutzer: Die App wird dem Benutzer zugewiesen, der dem Gerät zugewiesen ist. Deaktiviert: VPP-Apps werden nicht automatisch zugewiesen. Wenn Sie diese Option auswählen, müssen Sie VPP-Apps manuell zuweisen.
14.5.5 VPP-Apps manuell zuweisen Dieser Abschnitt beschreibt die manuelle Zuweisung einzelner VPP-Apps. Standardmäßig werden Apps, die Sie über das Apple-Programm für Volumenlizenzen (VPP) erworben haben, automatisch dem Gerät zugewiesen, auf dem die App installiert wird. Siehe VPP-Apps automatisch zuweisen (Seite 169). Sie können Apps, die Sie über das Apple-Programm für Volumenlizenzen (VPP) erworben haben, Benutzern oder Geräten zuweisen. Nachdem Sie eine VPP-App einem Benutzer zugewiesen haben, der mit Apple VPP verbundenen ist, kann dieser die App auf allen iOS-Geräten installieren, die mit seiner Apple-ID verbunden sind. Nachdem Sie eine VPP-App einem Gerät zugewiesen haben, können Sie Sophos Mobile Control verwenden, um die App auf dieses Gerät zu übertragen. So weisen Sie eine VPP-App Benutzern oder Geräten zu: 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Apps > Apple iOS. Dies öffnet die Seite Apps, auf der alle Apps aufgelistet sind, die Sie zu Sophos Mobile Control hinzugefügt haben. 2. Um Apps hinzuzufügen, die Sie über Apple VPP erworben haben, klicken Sie auf VPP-Apps importieren. Hierdurch werden vom Apple-VPP-Server Informationen zu Ihren Apps abgerufen und, falls erforderlich, neue App-Einträge in Sophos Mobile Control erstellt. 3. Klicken Sie auf das blaue Dreieck neben der VPP-App, die Sie Benutzern oder Geräten zuweisen wollen, und klicken Sie anschließend auf Bearbeiten. 4. Klicken Sie auf der Seite iOS-Link bearbeiten auf Anzeigen neben der Option VPP-Lizenzen. Dies öffnet den Dialog VPP-Lizenzen. 5. Um die App einem oder mehreren Benutzern zuzuweisen, klicken Sie auf VPP-Benutzer und wählen Sie anschließend die gewünschten Benutzer aus. Die Liste enthält alle Benutzer mit dem VPP-Status Registriert oder Verbunden. 6. Um die App einem oder mehreren Geräten zuzuweisen, klicken Sie auf Geräte und wählen Sie anschließend die gewünschten Geräte aus. Die Liste enthält alle Geräte mit iOS 9 oder höher und dem Status Verwaltet. 7. Klicken Sie auf Anwenden, um die Änderungen zu bestätigen und den Dialog VPP-Lizenzen zu schließen.
170
Administratorhilfe
8. Klicken Sie auf Speichern, um die Änderungen zu speichern und um die App-Zuweisung mit dem Apple-VPP-Server zu synchronisieren. Tipp: Um Änderungen, die Sie im Dialogfeld VPP-Lizenzen gemacht haben, zu verwerfen, klicken Sie auf Anwenden, um das Dialogfeld zu schließen, und klicken Sie anschließend auf Zurück, um die Seite iOS-Link bearbeiten zu verlassen, ohne die Änderungen in die Datenbank zu speichern. Zugewiesene App auf einem Gerät installieren: ■
Nachdem die App einem Benutzer zugewiesen ist, wird Sie auf allen seinen Geräten in der iTunes-Ansicht Einkäufe aufgeführt. Von dort kann der Benutzer die App installieren.
■
Nachdem die App einem Gerät zugewiesen ist, können Sie sie mit Sophos Mobile Control installieren. Siehe App installieren (Seite 165).
App-Zuweisung aufheben: ■
Öffnen Sie wie zuvor beschrieben das Dialogfeld VPP-Lizenzen und deaktivieren Sie die Auswahl für die gewünschten Benutzer oder Geräte.
Hinweis: Da der Status von VPP-Apps durch den Apple-VPP-Server verwaltet wird, dauert es möglicherweise einige Zeit, bis Änderungen, die Sie in Sophos Mobile Control machen, auf den Geräten sichtbar werden.
14.5.6 VPP-Lizenzinformationen synchronisieren Aus Gründen der Leistungsfähigkeit verwaltet Sophos Mobile Control eine lokale Kopie der VPP-Lizenzinformationen. Sie können Sophos Mobile Control anweisen, die VPP-Informationen vom Apple-VPP-Server neu zu laden. Hinweis: Sie müssen die VPP-Informationen nur dann neu laden, wenn die für eine App angezeigten Lizenz-Informationen falsch sind. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Systemeinstellungen und öffnen Sie anschließend die Registerkarte Apple VPP. 2. Klicken Sie auf VPP-Cache löschen. Sophos Mobile Control verwirft die lokalen VPP-Informationen für den Kunden und synchronisiert die Daten mit dem VPP-Server von Apple. Hinweis: Informationen, wie Sie die Lizenzinformationen für eine VPP-App anzeigen, finden Sie in VPP-Apps manuell zuweisen (Seite 170).
14.6 VPN pro App und Einstellungen für iOS-Apps konfigurieren Für iOS-Apps können Sie zur Unterstützung der iOS-Funktion Per App VPN unterschiedliche VPN-Verbindung pro App auswählen. Mit diesem Feature lassen sich Apps so konfigurieren, dass sie beim Starten automatisch eine VPN-Verbindung herstellen. Sie können außerdem Einstellungen für die App konfigurieren, die auf dem Gerät während der App-Installation bereitgestellt werden. Voraussetzungen: ■
Damit Sie ein App-spezifisches VPN auswählen können, müssen Sie eine Konfiguration vom Typ VPN pro App in einem iOS-Konfigurationsprofil definieren. Siehe Konfiguration „VPN pro App“ (iOS-Geräteprofil) (Seite 117).
171
Sophos Mobile Control (in Sophos Central)
■
Damit Sie Einstellungen definieren können, müssen Ihnen der erforderliche Parameter und der Parametertyp bekannt sein.
1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Apps und klicken Sie anschließend auf Apple iOS. 2. Klicken Sie auf der Seite Apps auf das blaue Dreieck neben der gewünschten App und klicken Sie anschließend auf Installieren. 3. Klicken Sie auf der Seite iOS-Link bearbeiten bzw. iOS-Paket bearbeiten auf Anzeigen neben dem Feld Einstellungen und VPN. 4. Wählen Sie auf der Seite Einstellungen und VPN bearbeiten die gewünschte Konfiguration aus der Liste VPN pro App aus, um zu definieren, mit welchem VPN sich die App verbinden soll. 5. Um Konfigurationsparameter für die App hinzuzufügen, klicken Sie auf Parameter anlegen. 6. Konfigurieren Sie im Dialog Konfigurationsparameter folgende Einstellungen: a) Geben Sie im Feld Parameter den erforderlichen Parameter ein, zum Beispiel SMC_URL. b) Geben Sie im Feld Wert den Parameterwert ein, zum Beispiel smc.sophos.com. c) Wählen Sie in der Liste Typ den Parametertyp aus: String, Bool, Integer oder Real. d) Klicken Sie auf Anwenden. Die Konfigurationsparameter werden auf der Seite Einstellungen und VPN bearbeiten angezeigt. 7. Klicken Sie auf der Seite Einstellungen und VPN bearbeiten auf Anwenden. 8. Klicken Sie auf Speichern. Das ausgewählte VPN pro App wird angewendet, wenn sich die App mit VPN verbindet. Die Einstellungen werden während der App-Installation auf die Geräte übertragen.
172
Administratorhilfe
15 App-Gruppen In Sophos Mobile Control können Sie App-Gruppen erstellen, um Listen von Apps für Profile, Geräte-Richtlinien und Compliance-Richtlinien zu definieren. App-Gruppen werden in den folgenden Bereichen verwendet: ■
In der Konfiguration App Protection von Android-Geräteprofilen.
■
In der Konfiguration App Control von Android-Geräteprofilen.
■
In der Konfiguration Einschränkungen von Android-Geräteprofilen, iOS-Geräteprofilen und Knox-Container-Profilen.
■
In der Konfiguration App-Einschränkungen von Windows Mobile Richtlinien.
■
In Compliance-Regeln zur Angabe von Listen für erlaubte, unzulässige und erforderliche Apps.
15.1 App-Gruppe erstellen 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf App-Gruppen und wählen Sie anschließend die Plattform aus, für die Sie eine Gruppe anlegen wollen. 2. Klicken Sie auf der Seite App-Gruppen auf App-Gruppe erstellen. 3. Geben Sie auf der Seite App-Gruppe bearbeiten im Feld Name einen Namen für die neue App-Gruppe ein und klicken Sie anschließend auf App hinzufügen. 4. Im Dialogfeld App bearbeiten können Sie entweder eine App aus einer Liste auswählen, oder benutzerdefinierte App-Daten eingeben. ■
■
Um eine App aus einer Liste auszuwählen, klicken Sie auf App-Liste und wählen Sie anschließend eine App aus der Liste aller Apps aus, die auf den Geräten installiert sind, die für die ausgewählte Plattform verwaltet werden. Um benutzerdefinierte App-Daten für eine Android-App einzugeben, klicken Sie auf Benutzerdefiniert und konfigurieren Sie anschließend folgende Informationen: ■
■
■
Name: Ein beliebiger Name, um die App identifizieren zu können. Kennung: Der Paketname der App. Sie können den Paketnamen anhand der URL der App in Google Play ermitteln. Zum Beispiel hat die Android-App Sophos Mobile Control im Google Play Store die URL play.google.com/store/apps/details?id=com.sophos.mobilecontrol.client.android und der Paketname lautet com.sophos.mobilecontrol.client.android.
Um benutzerdefinierte App-Daten für eine iOS-App einzugeben, klicken Sie auf Benutzerdefiniert und konfigurieren Sie anschließend folgende Informationen: ■
Name: Ein beliebiger Name, um die App identifizieren zu können.
■
Kennung: Die Bundle-ID der App.
173
Sophos Mobile Control (in Sophos Central)
■
Um benutzerdefinierte App-Daten für eine Windows-Mobile-App einzugeben, klicken Sie auf Benutzerdefiniert und konfigurieren Sie anschließend folgende Informationen: ■
■
■
Name: Ein beliebiger Name, um die App identifizieren zu können. Link: Die URL der App im Windows Store. Zum Beispiel hat die Windows-App Sophos Mobile Control im Windows Store die URL www.microsoft.com/de-de/store/apps/mobile-control/9nblggh0g04v. GUID: Falls Sie die GUID der App kennen, können Sie diese anstatt des Links eingeben. Andernfalls lassen Sie dieses Feld leer.
5. Nachdem Sie eine App aus der Liste ausgewählt haben oder benutzerdefinierte App-Daten eingegeben haben, klicken Sie auf Hinzufügen, um sie zu der App-Gruppe hinzuzufügen. 6. Optional: Fügen Sie weitere Apps zu der App-Gruppe hinzu. 7. Wenn Sie fertig sind, klicken Sie auf Speichern, um die App-Gruppe zu speichern.
15.2 App-Gruppe importieren Sie können eine App-Gruppe erstellen, indem Sie die Daten von bis zu 10.000 Apps aus einer UTF-8-kodierte CSV-Datei importieren. Hinweis: Verwenden Sie einen Text-Editor, um die CSV-Datei zu bearbeiten. Wenn Sie Microsoft Excel verwenden, werden die eingegebenen Werte u. U. nicht korrekt aufgelöst. Achten Sie beim Speichern darauf, dass die Datei die Endung .csv besitzt. Tipp: Auf der Seite Apps importieren steht eine Musterdatei mit den korrekten Spaltennamen und der richtigen Spaltenreihenfolge zum Download zur Verfügung. So importieren Sie Apps aus einer CSV-Datei und fügen sie einer App-Gruppe hinzu: 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf App-Gruppen und wählen Sie anschließend die Plattform aus, für die Sie eine Gruppe anlegen wollen. 2. Klicken Sie auf der Seite App-Gruppen auf App-Gruppe erstellen. 3. Geben Sie auf der Seite App-Gruppe bearbeiten im Feld Name einen Namen für die neue App-Gruppe ein und klicken Sie anschließend auf App importieren. 4. Klicken Sie auf der Seite Apps importieren auf Datei hochladen und navigieren Sie anschließend zu der vorbereiteten CSV-Datei. Die Einträge werden aus der Datei eingelesen und angezeigt. 5. Wenn die Daten nicht korrekt oder inkonsistent formatiert sind, kann die gesamte Datei nicht importiert werden. Beachten Sie in diesem Fall die Fehlermeldungen, die neben den betroffenen Einträgen angezeigt werden, korrigieren Sie die CSV-Datei und laden Sie sie erneut hoch. 6. Klicken Sie auf Fertigstellen, um die Apps zu der App-Gruppe hinzuzufügen. 7. Klicken Sie auf der Seite App-Gruppe bearbeiten auf Speichern.
174
Administratorhilfe
16 Unternehmensdokumente Hinweis: Für diese Funktion benötigen Sie eine Lizenz vom Typ Mobile Advanced. In Sophos Mobile Control können Sie Dateien hochladen, damit diese an die Geräte Ihrer Benutzer verteilt werden. ■
In Sophos Mobile Control verwaltete Dokumente werden automatisch dem Bereich Unternehmensdokumente von Sophos Secure Workspace hinzugefügt.
■
Im Unternehmensdokumente-Store auf dem Gerät wird die Kategorie, die für jedes Dokument definiert werden kann, als Ordner angezeigt.
■
Wenn Sophos Secure Workspace nicht von Sophos Mobile Control verwaltet wird, ist der Unternehmensdokumente-Store nicht sichtbar.
■
Auf Dokumente in Unternehmensdokumente besteht nur Lesezugriff. Diese können in Sophos Secure Workspace nicht bearbeitet und erneut hochgeladen werden.
So verteilen Sie Unternehmensdokumente: 1. Installieren Sie die App „Sophos Secure Workspace“ auf den Geräten. Siehe Apps (Seite 163). 2. Ordnen Sie eine Sophos-Container-Richtlinie mit einer Konfiguration Corporate Documents zu. 3. Laden Sie Dokumente zu Sophos Mobile Control hoch.
16.1 Unternehmensdokumente hinzufügen Voraussetzung: Sie haben eine Lizenz vom Typ Mobile Advanced aktiviert. So verteilen Sie Dokumente an Geräte: 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Dokumente. Die Seite Dokumente wird angezeigt. 2. Klicken Sie auf Dokument hinzufügen. Die Seite Dokument bearbeiten wird angezeigt. 3. Geben Sie eine Kategorie für das Dokument ein. ■
Die Kategorie ist der Name des Ordners, in dem das Dokument im Unternehmensdokumente-Store auf dem Gerät angezeigt wird.
■
Es können mehrere Dateien derselben Kategorie zugewiesen sein.
■
Wenn Sie dieses Feld leer lassen, wird die Datei im Root-Ordner von Unternehmensdokumente angezeigt.
175
Sophos Mobile Control (in Sophos Central)
4. Legen Sie die Einstellungen für das Dokument fest: ■
Wählen Sie In die Zwischenablage kopieren aus, um Benutzern zu erlauben, das Dokument in die Zwischenablage zu kopieren.
■
Wählen Sie Dokument teilen aus, um Benutzern zu erlauben, das Dokument zu teilen.
■
Wählen Sie Dokument offline verwenden aus, um Benutzern zu erlauben, einen Favorit für das Dokument zu erstellen. Wenn ein Klartext-Dokument aus Unternehmensdokumente als Favorit markiert ist, wird es verschlüsselt in der App „Sophos Secure Workspace“ gespeichert. Wenn das Teilen des Dokuments erlaubt ist, wird die verschlüsselte Favoriten-Datei automatisch entschlüsselt, bevor sie an andere Apps weitergeleitet wird. Wenn Sie das Kontrollkästchen Dokument offline verwenden aktivieren, werden Offline-Kopien, die sich bereits in der Liste Favoriten von Sophos Secure Workspace befinden, automatisch bei der nächsten Synchronisierung entfernt.
5. Klicken Sie auf Anzeigen neben Zugewiesene Gruppen und wählen Sie die Gruppe aus, die Zugriff auf das Dokument haben soll. 6. Fügen Sie eine Beschreibung für das Dokument hinzu. 7. Klicken Sie auf Datei hochladen und navigieren Sie zu dem Dokument. Wählen Sie es aus und klicken Sie auf Öffnen. Die Dateigröße des Dokuments darf einen festgelegten Wert nicht übersteigen. 8. Wiederholen Sie diesen Schritt für alle Dokumente, die Sie verteilen möchten. Das Dokument wird der Dokumentenliste hinzugefügt. Es wird an die Benutzer verteilt, die es sich in der Sophos Secure Workspace App anschauen können.
176
Administratorhilfe
17 Android for Work Android for Work ist ein Programm von Google, das dazu dient, private und berufliche Daten auf einem Android-Gerät zu trennen. Wenn Sie Ihr Unternehmen für Android for Work registriert haben, können Sie Sophos Mobile Control als externen EMM-Anbieter (Enterprise-Mobility-Management-Anbieter) für Ihre Android-for-Work-Domäne einrichten. Android for Work unterstützt unterschiedliche Bereitstellungs-Szenarien. Sophos Mobile Control verwendet das Szenario BYOD (Bring Your Own Device): ■
Die Benutzer müssen auf Ihren Geräten ein Arbeitsprofil erstellen.
■
Das Arbeitsprofil wird mit dem primären Geräteprofil, d.h. dem privaten Profil, verknüpft. Das private Profil kann dann auf den Inhalt des Arbeitsprofils zugreifen.
■
Sophos Mobile Control verwaltet den Inhalt des Arbeitsprofils. Es registriert sich auf dem Gerät als Profilbesitzer (Profile Owner).
■
Wenn ein Gerät bei Android for Work registriert ist, sind alle Apps im Arbeitsprofil (inklusive der App „Sophos Mobile Control“) mit einem Aktentaschensymbol gekennzeichnet.
■
Benutzer verwenden die mit dem Aktentaschensymbol gekennzeichnete Version der App „Google Play Store“, um berufliche Apps aus Google Play for Work zu installieren.
■
Mit Sophos Mobile Control können Sie Inhalt und Layout von Google Play for Work konfigurieren.
Verwandte Links Android for Work Help Center (externer Link)
17.1 Android for Work einrichten Sie müssen Android for Work zunächst für einen Kunden einrichten, um die Funktionen für Android for Work zu aktivieren. 1. Registrieren Sie eine Android-for-Work-Domäne bei Google. 2. Erstellen Sie ein Unternehmens-Dienstkonto und konfigurieren Sie die APIs, die für die Kommunikation mit den Google-Diensten benötigt werden. 3. Verbinden Sie Sophos Mobile Control mit Ihrer Android-for-Work-Domäne.
17.1.1 Domäne bei Google registrieren Als erste Phase der Einrichtung von Android for Work registrieren Sie eine Domäne bei Google (Managed Google Domain), erstellen einen Domänen-Administrator (Managed Google Account) und bestätigen Ihre Domänen-Inhaberschaft. Hinweis: Falls Sie bereits eine Managed Google Domain registriert haben, zum Beispiel, weil Sie sich für „G Suite“ (vormals „Google Apps“) angemeldet haben, können Sie diesen
177
Sophos Mobile Control (in Sophos Central)
Abschnitt überspringen. Aktivieren Sie Android for Work für Ihre Domäne stattdessen in der Google-Admin-Konsole. 1. Klicken Sie auf den nachfolgenden Link https://www.google.com/a/signup/?enterprise_product=ANDROID_WORK&hl=de, um sich für Android for Work anzumelden. 2. Tragen Sie im Webformular die erforderlichen Informationen ein. ■
Im Abschnitt Über Ihr Unternehmen tragen Sie in Geschäftliche Domainadresse die Domäne ein, die als Managed Google Domain verwendet wird. Verwenden Sie zum Beispiel die Domäne Ihres Sophos Mobile Control Servers. Hinweis: Falls Sie Android for Work für mehrere Kunden in Sophos Mobile Control konfigurieren wollen, müssen Sie für jeden Kunden eine eigene Domäne verwenden.
■
Im Abschnitt Ihr Google Admin-Konto tragen Sie die Anmeldedaten für einen neuen Domänen-Administrator ein. Hinweis: Notieren Sie sich die Anmeldedaten. Sie benötigen diese im weiteren Verlauf der Einrichtung von Android for Work.
3. Klicken Sie die Schaltfläche zum Erstellen eines neuen Kontos. Es öffnet sich die Google-Admin-Konsole mit der Seite zum Einrichten von Android for Work. Tipp: Sie können diese Seite auch manuell öffnen: Öffnen Sie die nachfolgende Webadresse https://admin.google.com und melden Sie sich mit den Anmeldeinformationen des Domänen-Administrators an, den Sie erstellt haben. 4. Starten Sie in der Google-Admin-Konsole die Prozedur zur Bestätigung Ihrer Domänen-Inhaberschaft. Folgen Sie den Anweisungen von Google, um Ihre Domäne zu bestätigen. Nachdem Sie Ihre Domänen-Inhaberschaft bestätigt haben, erhalten Sie ein Token, mit dem Sie Ihre Android-for-Work-Domäne mit Ihrem EMM-Anbieter (also mit Sophos Mobile Control) verbinden. Als nächstes müssen Sie ein Google-Dienstkonto erstellen und die für Android for Work benötigten APIs konfigurieren. Siehe Google-Dienstkonto konfigurieren (Seite 178).
17.1.2 Google-Dienstkonto konfigurieren Als zweite Phase der Einrichtung von Android for Work erstellen und konfigurieren Sie ein Google-Dienstkonto. Voraussetzung: Sie haben ein Administratorkonto für Ihre Android-for-Work-Domain. Ein Google-Dienstkonto ist ein spezielles Google-Konto, das von Anwendungen benutzt wird. Dieses Konto wird von Sophos Mobile Control verwendet, um mit den Android-for-Work-Diensten von Google zu kommunizieren. Erstellen Sie ein Projekt: 1. Klicken Sie auf den nachfolgenden Link https://console.developers.google.com/apis/library, um die Google-API-Konsole zu öffnen. Melden Sie sich mit den Anmeldeinformationen Ihres Domänen-Administratorkontos an. 2. Klicken Sie in der Titelzeile der Google-API-Konsole auf Projekt > Projekt erstellen. Wenn Sie zuvor bereits ein Projekt erstellt haben, wird in der Titelzeile der Projektname angezeigt anstatt das Wort Projekt.
178
Administratorhilfe
3. Geben Sie im Dialogfeld Neues Projekt einen Projektnamen ein, zum Beispiel Android for Work und klicken Sie anschließend auf Erstellen. Benötigte APIs aktivieren: 4. Klicken Sie in der seitlichen Menüleiste auf Bibliothek und geben Sie anschließend admin sdk im Suchfeld ein. 5. Klicken Sie in der Ergebnisliste auf Admin SDK. 6. Klicken Sie oben auf der Seite Admin SDK auf Aktivieren. 7. Klicken Sie erneut auf Bibliothek und wiederholen Sie die vorherigen drei Schritte für die Google Play EMM API. Geben Sie dieses Mal emm im Suchfeld ein. Dienstkonto erstellen: 8. Klicken Sie auf der Seite Google Play EMM API auf Anmeldedaten erstellen. 9. Klicken Sie in Schritt 1 der Seite Anmeldedaten zu Projekt hinzufügen auf den Link Dienstkonto. 10. Klicken Sie auf der Seite Dienstkonten auf Dienstkonto erstellen. 11. Geben Sie im Dialogfeld Dienstkonto erstellen die folgenden Einstellungen ein: a) Geben Sie in Name des Dienstkontos einen Namen ein, um das Konto zu identifizieren, zum Beispiel Android for Work. b) Wählen Sie Neuen privaten Schlüssel bereitstellen aus und wählen Sie anschließend JSON aus. c) Wählen Sie Domainweite G Suite-Delegation aktivieren aus. d) Geben Sie in Produktname für den Zustimmungsbildschirm zum Beispiel Android for Work ein. Wenn Sie auf Erstellen klicken, wird der private Schlüssel für Ihr Dienstkonto erzeugt und auf Ihrem Computer in einer JSON-Datei gespeichert. Hinweis: Verwahren Sie die JSON-Datei an einem sicheren Ort. Sie benötigen die Datei, um Sophos Mobile Control mit Ihrer Android-for-Work-Domäne zu verbinden. API-Zugriff konfigurieren: 12. Klicken Sie auf den nachfolgenden Link https://admin.google.com, um die Google-Admin-Konsole zu öffnen. Melden Sie sich mit den Zugangsdaten Ihres Domänen-Administrators an. 13. Klicken Sie auf Sicherheit und anschließend auf Erweiterte Einstellungen. Tipp: Sie müssen möglicherweise zunächst auf Mehr anzeigen klicken, um Erweiterte Einstellungen anzuzeigen. 14. Klicken Sie auf API-Client-Zugriff verwalten. 15. Öffnen Sie in einem Texteditor die JSON-Datei und kopieren Sie den Wert von client_id in das Feld Client-Name. Beispiel: Ihre JSON-Datei enthält die Zeile "client_id": "123456789", Geben Sie 123456789 im Feld Client Name ein.
179
Sophos Mobile Control (in Sophos Central)
16. Geben Sie im Feld Ein oder mehrere API-Bereiche die folgenden beiden URLs ein, mit Komma getrennt: https://www.googleapis.com/auth/admin.directory.user, https://www.googleapis.com/auth/androidenterprise 17. Klicken Sie auf Autorisieren. Sie können nun Sophos Mobile Control mit Ihrer Android-for-Work-Domäne verbinden. Siehe Sophos Mobile Control mit Ihrer Domäne verbinden (Seite 180).
17.1.3 Sophos Mobile Control mit Ihrer Domäne verbinden Als dritte Phase der Einrichtung von Android for Work verbinden Sie Sophos Mobile Control mit Ihrer Android-for-Work-Domäne. Voraussetzungen: ■
Sie haben ein Administratorkonto für Ihre Android-for-Work-Domain.
■
Sie haben Ihre Domänen-Inhaberschaft bestätigt.
■
Sie haben die APIs für Android for Work aktiviert.
■
Sie haben ein Dienstkonto für Android for Work erstellt.
1. Melden Sie sich an der Sophos Mobile Control Konsole an. Verwenden Sie die Zugangsdaten eines Administrators für den Kunden, für den Sie Android for Work einrichten wollen. 2. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Allgemein und öffnen Sie anschließend die Registerkarte Android. 3. Klicken Sie unter Android for Work auf Konfigurieren. 4. Dies öffnet ein Dialogfeld. Konfigurieren Sie folgende Einstellungen: Unternehmens-Domäne
Ihre bei Google bestätigte Android-for-Work-Domäne.
Domänen-Administrator
Der Name Ihres Domänen-Administratorkontos. Dies ist der Administrator, den Sie erstellt haben, als Sie Ihre Android-for-Work-Domäne bei Google registriert haben.
EMM-Token
Das Token, das Sie von Google erhalten haben, nachdem Sie Ihre Domain-Inhaberschaft bestätigt haben. Das Token wird Ihnen angezeigt, wenn Sie sich an der Google-Admin-Konsole (https://admin.google.com) mit den Zugangsdaten des Domain-Administrators anmelden und Sicherheit > Android for Work Einstellungen aufrufen.
5. Klicken Sie auf Datei hochladen und suchen Sie die JSON-Datei, die Sie von Google heruntergeladen haben, als Sie das Dienstkonto für Android for Work erstellt haben. 6. Klicken Sie auf Verbinden. 7. Klicken Sie auf der Registerkarte Android auf Speichern.
180
Administratorhilfe
Sophos Mobile Control kontaktiert den Google-Webservice, um sich als EMM-Anbieter mit Ihrer Android-for-Work-Domäne zu verbinden. Als letzte Phase der Einrichtung von Android for Work müssen Sie die Google-EMM-Einstellungen konfigurieren. Siehe EMM-Einstellungen konfigurieren (Seite 181).
17.1.4 EMM-Einstellungen konfigurieren Als letzte Phase der Einrichtung von Android for Work konfigurieren Sie die Google-EMM-Einstellungen. Voraussetzung: Sie haben Sophos Mobile Control mit Ihrer Android-for-Work-Domäne verbunden. 1. Klicken Sie auf den nachfolgenden Link https://admin.google.com, um die Google-Admin-Konsole zu öffnen. Melden Sie sich mit den Zugangsdaten Ihres Domänen-Administrators an. 2. Klicken Sie auf Sicherheit und danach auf EMM-Anbieter für Android verwalten. Tipp: Sie müssen möglicherweise zunächst auf Mehr anzeigen klicken, um EMM-Anbieter für Android verwalten anzuzeigen. 3. Wählen Sie unter Allgemeine Einstellungen die Option EMM-Richtlinien auf Android-Geräten erzwingen aus. Damit ist die Einrichtung von Android for Work abgeschlossen.
17.2 Android for Work konfigurieren Damit Ihre Benutzer ihre Geräte bei Android for Work registrieren können, müssen Sie die folgenden Konfigurationsaufgaben durchführen: 1. Erstellen Sie eine Android-for-Work-Richtlinie und konfigurieren Sie mindestens die Konfiguration Einschränkungen. Siehe Konfigurationen für Android-for-Work-Richtlinien (Seite 79). 2. Erstellen Sie ein Auftragspaket, das auf ein Gerät übertragen wird, wenn ein Benutzer es im Self Service Portal bei Android for Work registriert. Das Auftragspaket muss mindestens einen Auftrag Registrieren und einen Auftrag Profil installieren oder Richtlinie zuweisen für eine Android-for-Work-Richtlinie enthalten. Sie können unterschiedliche Auftragspakete für Firmengeräte und Privatgeräte verwenden. Siehe Auftragspaket erstellen (Seite 155). 3. Legen Sie in den Einstellungen für das Self Service Portal fest, ob die Registrierung bei Android for Work optional oder vorgeschrieben ist, wenn Benutzer ein Gerät bei Sophos Mobile Control registrieren. Siehe Geräteregistrierung bei Android for Work konfigurieren (Seite 181).
17.2.1 Geräteregistrierung bei Android for Work konfigurieren Ihre Benutzer verwenden das Self Service Portal, um ihre Geräte bei Android for Work zu registrieren. Als Administrator konfigurieren Sie in Sophos Mobile Control, ob die Registrierung bei Android for Work optional oder vorgeschrieben ist, und welche Auftragspakete an die Geräte übertragen werden. Voraussetzungen ■
Sie haben Android for Work für den Kunden eingerichtet.
■
Sie haben ein Auftragspaket für die Geräteregistrierung bei Android for Work erstellt. Das Auftragspaket muss mindestens einen Auftrag Registrieren und einen Auftrag Profil
181
Sophos Mobile Control (in Sophos Central)
installieren oder Richtlinie zuweisen für eine Android-for-Work-Richtlinie enthalten. Sie können unterschiedliche Auftragspakete für Firmengeräte und Privatgeräte verwenden. 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Self Service Portal und öffnen Sie anschließend die Registerkarte Gruppeneinstellungen. 2. Klicken Sie auf das blaue Dreieck neben der Self-Service-Portal-Gruppe, für die Sie die Geräteregistrierung bei Android for Work konfigurieren wollen, und klicken Sie anschließend auf Bearbeiten. Oder erstellen Sie eine neue Gruppe. Die Self-Service-Portal-Gruppe muss für die Plattform „Android“ konfiguriert sein. Informationen zur Konfiguration des Self Service Portals finden Sie in Self Service Portal Einstellungen konfigurieren (Seite 17). 3. Wählen Sie zumindest in einer der Spalten Einrichtungspaket - Firmengeräte und Einrichtungspaket - Privatgeräte ein Auftragspaket aus, das auf Firmen- bzw. Privatgeräten ausgeführt wird. 4. Wählen Sie in Android for Work - Firmengeräte und Android for Work - Privatgeräte aus, ob die Registrierung erforderlich oder optional ist. ■
■
Optional: Benutzer können wählen, ob sie ihr Gerät nur bei Sophos Mobile Control registrieren, oder zusätzlich bei Android for Work. Erforderlich: Die Registrierung bei Android for Work ist zwingend erforderlich.
5. Klicken Sie auf Anwenden. 6. Klicken Sie auf der Registerkarte Gruppeneinstellungen auf Speichern.
17.3 Android-for-Work-Benutzer verwalten Ein Benutzer benötigt ein Konto vom Typ Managed Google Account, um ein Gerät bei Android for Work zu registrieren. Dieses Konto ist mit der Android-for-Work-Domäne verknüpft, die Sie bei Google registriert haben. Kontonamen für Android for Work haben die Form von E-Mail-Adressen, zum Beispiel benutzer@ihre_android_for_work_domain. Wenn ein Benutzer im Self Service Portal ein Gerät bei Android for Work registriert, prüft Sophos Mobile Control, ob auf dem Google-Server bereits ein Android-for-Work-Konto für diesen Benutzer existiert. Dazu wird der linke Teil der E-Mail-Adresse, die für den Benutzer in Sophos Mobile Control angelegt ist, mit Ihrer Android-for-Work-Domäne kombiniert. Falls ein Konto mit diesem Namen nicht existiert, erstellt Sophos Mobile Control es. Beispiel: Die E-Mail-Adresse des Benutzers in Sophos Mobile Control lautet benutzer@ihre_firma.com und Ihre Android-for-Work-Domäne lautet ihre_android_for_work_domain. In diesem Fall sucht Sophos Mobile Control auf dem Google-Server nach einem Konto benutzer@ihre_android_for_work_domain. Abgesehen von dem Anlegen eines Android-for-Work-Kontos bei der Registrierung verwaltet Sophos Mobile Control nicht den Lebenszyklus von Konten. Wenn Sie ein Benutzerkonto in Sophos Mobile Control löschen, bleibt das Android-for-Work-Konto des Benutzers erhalten. Sie können die Android-for-Work-Konten für Ihre Domäne in der Google-Admin-Konsole verwalten. Falls erforderlich, können Sie GADS (Google Apps Directory Sync) verwenden, um Android-for-Work-Konten auf Basis Ihres LDAP-Verzeichnisses zu erstellen.
Verwandte Links Google-Admin-Konsole (externer Link) Über Google Apps Directory Sync (externer Link)
182
Administratorhilfe
17.4 Geräte bei Android for Work registrieren Ihre Benutzer registrieren ihre Geräte bei Android for Work im Sophos Central Self Service Portal, zusammen mit der Registrierung bei Sophos Mobile Control. Eine Registrierung bei Android for Work über die Sophos Central Admin Konsole ist nicht möglich. Allerdings können Sie in der Sophos Central Admin Konsole das Gerät eines Benutzers von Android for Work deregistrieren, zum Beispiel, um Unternehmensdaten vom Gerät zu entfernen, wenn es verloren gegangen ist oder gestohlen wurde. Hinweis: Sophos Mobile Control unterstützt die Registrierung bei Android for Work für Geräte mit Android 6 oder höher.
17.5 Arbeitsprofil sperren Auf Geräten, die bei Android for Work registriert sind, können Sie das Arbeitsprofil sperren oder entsperren. Wenn Sie ein Arbeitsprofil sperren, sind keine beruflichen Apps mehr verfügbar und es werden auch keine Benachrichtigungen von beruflichen Apps angezeigt. Tipp: Benutzer können das Arbeitsprofil über die Schnelleinstellungsleiste ihres Gerätes sperren, zum Beispiel im Urlaub. 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. 2. Klicken Sie auf das blaue Dreieck neben dem Gerät, auf dem Sie das Arbeitsprofil sperren oder entsperren wollen, und klicken Sie anschließend auf Anzeigen. 3. Klicken Sie auf Aktionen > Container-Zugriff festlegen. 4. Wählen Sie die Zugriffsrechte aus. ■
■ ■
Sperren: Das Arbeitsprofil ist gesperrt. Benutzer können nicht mehr auf Apps oder Daten innerhalb des Arbeitsprofils zugreifen. Erlauben: Das Arbeitsprofil ist entsperrt. Automatischer Modus: Das Arbeitsprofil ist gesperrt, wenn das Gerät gegen eine Compliance-Regel verstößt, bei der die Aktion Container sperren aktiviert ist. Dies ist das Standardverhalten, wenn Sie keine Zugriffsrechte festgelegt haben.
5. Klicken Sie auf Ja. Das Gerät wird mit dem Sophos Mobile Control Server synchronisiert. Dadurch wird die Einstellung auf dem Gerät angewendet.
17.6 Arbeitsprofil vom Gerät entfernen Auf Geräten, die bei Android for Work registriert sind, können Sie das Arbeitsprofil entfernen. So können Sie zum Beispiel Unternehmensdaten vom Gerät entfernen, falls es verloren geht oder gestohlen wird. Wenn Sie das Arbeitsprofil von einem Gerät entfernen, werden auch alle Work-Apps, inklusive der App „Sophos Mobile Control“, entfernt. In der Sophos Mobile Control Konsole wird das Gerät mit dem Status Deregistriert angezeigt. 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. 2. Klicken Sie auf das blaue Dreieck neben dem Gerät, von dem Sie das Arbeitsprofil entfernen wollen, und klicken Sie anschließend auf Anzeigen. 3. Klicken Sie auf Aktionen > Android for Work zurücksetzen.
183
Sophos Mobile Control (in Sophos Central)
Ein Auftrag zum Entfernen des Arbeitsprofils wird erstellt und an das Gerät übertragen. Sie können den Auftragsstatus auf der Seite Auftragsstatus anzeigen. Hinweis: Falls der Benutzer das Arbeitsprofil bereits manuell entfernt hat, schlägt der Auftrag fehl, da das Gerät ihn nicht mehr empfangen kann. Um das Gerät erneut bei Android for Work zu registrieren, muss der Benutzer die Registrierungsprozedur im Self Service Portal wiederholen.
17.7 Benutzerinitiiertes Entfernen des Arbeitsprofils Benutzer sind in der Lage, das Arbeitsprofil von ihren Geräten entfernen. Dies kann absichtlich als auch versehentlich geschehen. Wenn das Arbeitsprofil auf diese Weise entfernt wird, kann Sophos Mobile Control dies nicht erkennen. Der Gerätestatus wird weiterhin als Verwaltet (Android for Work) angezeigt. Nachdem der Benutzer das Arbeitsprofil entfernt hat, kann sich das Gerät nicht mehr mit dem Sophos Mobile Control Server synchronisieren. Tipp: Sie können den Bericht Geräte, die sich in den letzten 7 Tagen nicht synchronisiert haben verwenden, um potentiell betroffene Geräte zu identifizieren. Falls das Arbeitsprofil versehentlich entfernt wurde, können Sie das Gerät erneut bei Android for Work registrieren: 1. Sie löschen das Gerät aus Sophos Mobile Control. 2. Der Benutzer führt im Self Service Portal eine erneute Registrierung durch.
17.8 Berufliche Apps Berufliche Apps sind Apps, die mit Android for Work kompatibel sind. Sie verwenden Google Play for Work, um die beruflichen Apps auszuwählen, die Ihren Android-for-Work-Benutzern zur Verfügung stehen. Ihre Benutzer installieren diese Apps über die App „Google Play Store“ in ihrem Arbeitsprofil. Um Ihren Benutzern berufliche Apps zur Verfügung zu stellen, müssen Sie die folgenden Aufgaben in Google Play for Work und in Sophos Mobile Control durchführen: 1. In Google Play for Work wählen Sie die Apps für Ihre Android-for-Work-Domäne aus. Dies beinhaltet: ■
Die App genehmigen.
■
App-Lizenzen erwerben.
■
App-Berechtigungen akzeptieren.
Siehe Berufliche App genehmigen (Seite 185). 2. In Sophos Mobile Control konfigurieren Sie die App. Dies beinhaltet: ■
Den Ort festlegen, an dem die App in der App „Google Play Store“ auf den Geräten der Benutzer angezeigt wird.
■
Benutzerdefinierte App-Einstellungen konfigurieren, falls die App dies unterstützt.
■
Für kostenpflichtige Apps Benutzern eine Lizenz für die App zuordnen.
Siehe Berufliche App bearbeiten (Seite 185).
184
Administratorhilfe
17.8.1 Berufliche App genehmigen 1. Öffnen Sie den Google Play for Work Store (https://play.google.com/work) und melden Sie sich mit Ihrem Google-Administratorkonto an. 2. Wählen Sie im Google Play for Work Store die App aus, die Sie für Ihre Benutzer einrichten wollen. 3. Klicken Sie auf Genehmigen (bei kostenlosen Apps) bzw. auf Kaufen (bei kostenpflichtigen Apps). Hinweis: Kostenpflichtige Apps für Android for Work sind derzeit nur in den USA und in Kanada verfügbar. 4. Wenn die App Berechtigungen erfordert, müssen Sie diese für Ihr Unternehmen akzeptieren. Wenn Ihre Benutzer die App installieren, werden sie nicht aufgefordert, Berechtigungen zuzulassen. 5. Für kostenpflichtige Apps geben Sie die Lizenz-Anzahl und die Bezahlmethode ein. Hinweis: Falls Sie während des Kaufvorgangs eine Fehlermeldung erhalten, überprüfen Sie in der Google-Admin-Konsole, ob die Google-Bezahldienste für Ihre Domäne oder Ihr Konto aktiviert sind. Die App ist nun für Ihre Domäne genehmigt. Benutzer sind aber noch nicht in der Lage, die App zu installieren. Sie müssen erst noch den Zuweisungsvorgang in Sophos Mobile Control fertigstellen. Siehe Berufliche App bearbeiten (Seite 185). Hinweis: Wenn durch die Aktualisierung einer beruflichen App zusätzliche Berechtigungen erforderlich werden, müssen Sie diesen zustimmen, bevor Ihre Benutzer die App aktualisieren können. Klicken Sie im Menü von Google Play for Work auf Aktualisierungen, um neue Berechtigungen anzuzeigen und zu akzeptieren.
Verwandte Links Google Play for Work (externer Link) Google-Admin-Konsole (externer Link) Google Play for Work Help Center (externer Link)
17.8.2 Berufliche App bearbeiten Nachdem Sie eine App in Google Play for Work genehmigt haben, müssen Sie die App in Sophos Mobile Control konfigurieren, um sie Ihren Benutzern zur Verfügung zu stellen. 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Apps und klicken Sie anschließend auf Android. 2. Klicken Sie auf der Seite Apps auf Apps für Android for Work. Dies öffnet die Seite Apps für Android for Work, auf der die beruflichen Apps angezeigt werden, die Sie in Google Play for Work genehmigt haben. 3. Klicken Sie auf App-Liste von Google abrufen, um Änderungen zu laden, die Sie in Google Play for Work gemacht haben. Nach der Synchronisierung können Benutzer die Apps über die in Ihrem Arbeitsprofil befindliche App Google Play Store installieren. 4. Klicken Sie auf das blaue Dreieck neben der gewünschten App und dann auf Bearbeiten.
185
Sophos Mobile Control (in Sophos Central)
5. Definieren Sie in den Feldern Seite und App-Kategorie die Position der App in der App „Google Play Store“ auf den Geräten der Benutzer: a) Wählen Sie in der Liste Seite aus, auf welcher Seite die App angezeigt wird. Die Werte sind von Sophos Mobile Control vorkonfiguriert und können nicht geändert werden. b) Geben Sie im Feld App-Kategorie den Namen einer Kategorie ein, unter der die App angezeigt wird. Sobald Sie im Feld App-Kategorie die ersten Zeichen eintippen, wird Ihnen eine Liste passender Kategorien angezeigt. Wenn Sie eine nicht vorhandene Kategorie eingeben, wird diese erstellt. 6. Bei kostenpflichtigen Apps enthält die Seite Berufliche App bearbeiten ein Feld Lizenzen. Klicken Sie neben dem Feld Lizenzen auf Anzeigen, um die Lizenzinformationen für die App anzuzeigen oder zu bearbeiten. Es dauert möglicherweise einige Sekunden, bis Sophos Mobile Control die Lizenzinformationen von Google abgerufen hat. a) Im Dialogfeld Lizenzen wird die Anzahl der zugewiesenen und verfügbaren Lizenzen angezeigt, sowie die Android-for-Work-Benutzer, denen eine Lizenz zugewiesen ist. b) Wählen Sie Benutzer aus, um ihnen eine Lizenz für die App zuzuordnen, oder entfernen Sie Benutzer, um ihnen die Lizenz zu entziehen. Klicken Sie auf Anwenden, um den Dialog Lizenzen zu schließen. 7. Bei Apps, die eine verwaltete Konfiguration bieten, enthält die Seite Berufliche App bearbeiten eine Schaltfläche App-Einstellungen. Klicken Sie auf diese Schaltfläche, um die verfügbaren Einstellungen anzuzeigen oder zu bearbeiten. Informationen zu den verfügbaren Einstellungen finden Sie in der Dokumentation, die vom jeweiligen Entwickler der App bereitgestellt wird. 8. Klicken Sie auf der Seite Berufliche App bearbeiten auf Speichern, um Ihre Änderungen zu speichern. 9. Klicken Sie auf der Seite Apps für Android for Work auf Konfiguration an Google senden, um die geänderten Layouteinstellungen und App-Einstellungen an Google zu senden. Hinweis: Wenn Sie diesen letzten Schritt überspringen, wird die App-Konfiguration nur lokal in Sophos Mobile Control gespeichert. Die Konfiguration wird nicht an Google übertragen und steht Ihren Benutzern nicht zur Verfügung. Nachdem die Daten an den Google-Server gesendet worden sind, steht die berufliche App in der App „Google Play Store“ im Arbeitsprofil zur Verfügung. Kostenlose Apps stehen allen Ihren Benutzern zur Verfügung, kostenpflichtige Apps nur Benutzern, denen Sie eine Lizenz zugeordnet haben.
17.8.3 Einstellungen für berufliche Apps
186
Einstellung/Feld
Beschreibung
Titel
Der externe Name der App, wie er im Google Play for Work Store angezeigt wird.
Product ID
Der interne Name der App.
Administratorhilfe
Einstellung/Feld
Beschreibung
Preismodell
Der Kostentyp: Kostenlos Kostenlos mit In-App-Käufen Kostenpflichtig
Verteilungsart
Öffentlich (über Google bereitgestellt): Die App ist im Google Play for Work Store öffentlich verfügbar. Privat (über Google bereitgestellt): Eine von Ihnen entwickelte App, die nur für Benutzer in Ihrer Android-for-Work-Domäne verfügbar ist. Die APK-Datei ist zu Google Play for Work hochgeladen. Privat (intern bereitgestellt): Wie Privat (über Google bereitgestellt), aber die APK-Datei wird von Ihrem lokalen Server installiert. Google Play for Work verwaltet nur die Verteilung der App.
Google Play for Work URL, Google Play URL
Die Webadresse der App in Google Play for Work beziehungsweise in Google Play. Klicken Sie auf den Link, um die jeweilige Seite in einem neuen Browserfenster zu öffnen.
Seite
Die Seite, auf der die App auf dem Gerät in der App „Google Play Store“ erscheint. Die Werte sind von Sophos Mobile Control vorkonfiguriert und können nicht geändert werden.
App-Kategorie
Der Name der Kategorie, unter der die App auf dem Gerät in der App „Google Play Store“ erscheint.
Lizenzen
Klicken Sie neben Lizenzen auf Anzeigen, um die Lizenzinformationen für die App anzuzeigen oder zu bearbeiten. Diese Einstellung ist nur für kostenpflichtige Apps verfügbar.
App-Einstellungen
Klicken Sie auf App-Einstellungen, um App-spezifische Einstellungen anzuzeigen oder zu bearbeiten. Informationen zu den verfügbaren Einstellungen finden Sie in der Dokumentation, die vom jeweiligen Entwickler der App bereitgestellt wird. Diese Einstellung ist nur verfügbar, wenn die App eine verwaltete Konfiguration unterstützt.
187
Sophos Mobile Control (in Sophos Central)
17.8.4 Berufliche App installieren Nachdem Sie in Google Play for Work eine berufliche App genehmigt haben und Ihren Benutzern Lizenzen zugewiesen haben, können Sie die App auf einzelnen Geräten oder Gerätegruppen installieren. Hinweis: Benutzer können genehmigte Apps über die App „Google Play Store“ in ihrem Arbeitsprofil installieren. 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Apps und klicken Sie anschließend auf Android. 2. Klicken Sie auf der Seite Apps auf Apps für Android for Work. 3. Klicken Sie auf das blaue Dreieck neben der gewünschten App und dann auf Installieren. 4. Wählen Sie die Geräte aus, auf denen Sie die App installieren wollen. Gehen Sie auf eine der folgenden Weisen vor: ■ ■
Wählen Sie einzelne Geräte aus. Klicken Sie auf Gerätegruppen auswählen und wählen Sie anschließend eine oder mehrere Gerätegruppen aus.
Wenn Sie fertig sind, klicken Sie auf Weiter. 5. Geben Sie auf der Seite Ausführungszeit wählen den Zeitpunkt an, zu dem die App installiert wird: ■ ■
Für eine sofortige Ausführung wählen Sie Sofort aus. Für eine geplante Ausführung wählen Sie Datum aus und geben Sie anschließend Datum und Uhrzeit ein.
6. Klicken Sie auf Fertigstellen. Der Installationsauftrag wird an Google gesendet. Die eigentliche Installation der App auf dem Gerät wird von Google verwaltet. Auf der Seite Auftragsstatus wird der Auftragsstatus als erfolgreich angezeigt, sobald er an Google gesendet wurde.
17.8.5 Berufliche App deinstallieren Sie können eine berufliche App von ausgewählten Geräten oder Gerätegruppen deinstallieren. 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Apps und klicken Sie anschließend auf Android. 2. Klicken Sie auf der Seite Apps auf Apps für Android for Work. 3. Klicken Sie auf der Seite Apps für Android for Work auf Deinstallieren. 4. Wählen Sie die Geräte aus, von denen Sie die App deinstallieren wollen. Gehen Sie auf eine der folgenden Weisen vor: ■ ■
Wählen Sie einzelne Geräte aus. Klicken Sie auf Gerätegruppen auswählen und wählen Sie anschließend eine oder mehrere Gerätegruppen aus.
Wenn Sie fertig sind, klicken Sie auf Weiter. 5. Wählen Sie auf der Seite App auswählen die gewünschte App aus. 6. Geben Sie auf der Seite Ausführungszeit wählen den Zeitpunkt an, zu dem die App deinstalliert wird: ■
188
Für eine sofortige Ausführung wählen Sie Sofort aus.
Administratorhilfe
■
Für eine geplante Ausführung wählen Sie Datum aus und geben Sie anschließend Datum und Uhrzeit ein.
7. Klicken Sie auf Fertigstellen. Ein Auftrag zur Deinstallation der App wird an einen Google-Dienst gesendet. Das eigentliche Entfernen der App vom Gerät wird von Google verwaltet. Auf der Seite Auftragsstatus wird der Auftragsstatus als erfolgreich angezeigt, sobald er an Google gesendet wurde. Tipp: Alternativ können Sie mit der folgenden Methode eine App von einem einzelnen Gerät deinstallieren: Gehen Sie zu der Seite Gerät anzeigen für das gewünschte Gerät, öffnen Sie die Registerkarte Installierte Apps und klicken Sie auf das Mülleimer-Symbol neben dem App-Namen.
17.8.6 Lizenzen für berufliche Apps Indem Sie Benutzern Lizenzen für kostenpflichtige berufliche Apps zuweisen, definieren Sie, welche Apps für einen Benutzer zur Verfügung stehen. Sie weisen Benutzern nur Lizenzen für kostenpflichtige Apps zu. Kostenlose Apps, die Sie in Google Play for Work genehmigt haben, stehen automatisch allen Ihren Benutzern zur Verfügung, sobald Sie die Liste Ihrer Apps von Google nach Sophos Mobile Control synchronisiert haben. Tipp: Für App-Installationen, die vom Administrator initiiert werden, brauchen Sie keine Lizenzen zuzuordnen. Wenn Sie eine Work-App wie in Berufliche App installieren (Seite 188) beschrieben installieren, wird eine Lizenz aus Ihrem Lizenzpool automatisch den jeweiligen Benutzern zugeordnet. Sie konfigurieren die Zuordnung von Lizenzen auf der Seite Berufliche App bearbeiten. Siehe Berufliche App bearbeiten (Seite 185).
17.8.7 Layout von Google Play for Work Sie können festlegen, an welcher Position in der App „Google Play Store“ eine berufliche App angezeigt wird. Die konfigurierbaren Layout-Elemente sind Seiten und Kategorien. ■
Seiten sind benannte, vertikal scrollbare Ansichten. Seiten und Seitennamen sind von Sophos Mobile Control vordefiniert.
■
Kategorien sind benannte, horizontal scrollbare Unterabschnitte einer von Ihnen definierten Seite. Google bezeichnet diese Kategorien auch als Cluster.
■
Jede Kategorie gehört zu einer bestimmten Seite und jede App gehört zu einer bestimmten Kategorie.
■
Seiten, auf denen sich keine App befindet, werden nicht angezeigt.
■
Sie können maximal 30 Kategorien pro Seite und 100 Apps pro Kategorie konfigurieren.
Für jede App definieren Sie die Seite und optional die Kategorie, in der die App in der App „Google Play Store“ auf den Geräten angezeigt wird. Standardmäßig werden Apps auf der Seite Sonstiges angezeigt. Sie konfigurieren das Layout von Google Play for Work auf der Seite Berufliche App bearbeiten. Siehe Berufliche App bearbeiten (Seite 185).
189
Sophos Mobile Control (in Sophos Central)
17.8.8 Konfigurierbare berufliche Apps Eine berufliche App kann eine verwaltete Konfiguration anbieten. Diese Funktion wird vom jeweiligen Entwickler der App bereitgestellt und erlaubt Ihnen, benutzerdefinierte Einstellungen für die App zu konfigurieren. Wenn die App eine verwaltete Konfiguration unterstützt, wird in Google Play for Work auf der Seite App ein Hinweis Diese App bietet eine verwaltete Konfiguration angezeigt. Sie konfigurieren die Einstellungen der App auf der Seite Berufliche App bearbeiten. Siehe Berufliche App bearbeiten (Seite 185).
17.8.9 Private und selbst gehostete Apps Alle beruflichen Apps, die Ihren Benutzern zur Verfügung stehen sollen, müssen über Google Play for Work bereitgestellt werden. ■
Öffentliche berufliche Apps sind Apps, die allen Benutzer mit einem Google-Play-for-Work-Konto zur Verfügung stehen.
■
Private berufliche Apps sind Apps, die Sie selbst entwickelt haben und die nur den Benutzern in Ihrer Domäne zur Verfügung stehen.
■
Selbst gehostete berufliche Apps sind private Apps, deren Paketdatei (d.h. die APK-Datei) auf einem Server Ihres Unternehmens liegt anstatt auf dem Google-Server. Allerdings müssen bei selbst gehosteten Apps die Store-Metadaten der App zu Google hochgeladen werden, damit die App über Google Play for Work bereitgestellt werden kann.
Informationen zu privaten beruflichen Apps finden Sie auf der Website Android for Work Developer (externer Link).
190
Administratorhilfe
18 Nachricht an Geräte senden Sie können eine selbstdefinierte Nachricht an verwaltete Geräte senden. Hinweis: Sie können keine Nachrichten an Windows-Desktop-Geräte senden. 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. Die Seite Geräte wird angezeigt. 2. Wählen Sie ein oder mehrere Geräte aus, klicken Sie auf Aktionen und anschließend auf Nachricht senden. 3. Geben Sie im Dialog Mitteilungstext eingeben den zu sendenden Text ein. Die Nachricht kann bis zu 500 Zeichen enthalten. Unterhalb des Textfeldes wird die verbleibende Zeichenanzahl angezeigt. 4. Klicken Sie auf Fertigstellen.
191
Sophos Mobile Control (in Sophos Central)
19 Standalone-EAS-Proxy Sie können einen EAS-Proxy einrichten, um den Zugriff Ihrer verwalteten Geräte auf einen E-Mail-Server zu steuern. Der E-Mail-Datenverkehr Ihrer verwalteten Geräte wird über diesen Proxy-Server geleitet. Sie können den E-Mail-Zugriff für bestimmte Geräte blockieren, zum Beispiel für Geräte, die gegen Compliance-Regeln verstoßen. Auf den Geräten muss der EAS-Proxy als E-Mail-Server für eingehende und ausgehende E-Mails konfiguriert werden. Der EAS-Proxy leitet den Datenverkehr nur dann an den eigentlichen E-Mail-Server weiter, wenn das Gerät in Sophos Mobile Control registriert ist und die relevanten Richtlinien erfüllt sind. Hierdurch wird eine erhöhte Sicherheit gewährleistet. Der E-Mail-Server muss nicht aus dem Internet erreichbar sein und nur autorisierte Geräte können auf ihn zugreifen. Autorisierte Geräte sind solche Geräte, die korrekt konfiguriert sind, das heißt, bei denen zum Beispiel bestimmte Kennwortrichtlinien eingehalten werden. Außerdem können Sie den EAS-Proxy so konfigurieren, dass der Zugriff von bestimmten Geräten gesperrt wird. Der Standalone-EAS-Proxy wird separat von Sophos Mobile Control heruntergeladen und installiert. Dieser kommuniziert mit dem Sophos Mobile Control Server über eine HTTPS-Web-Schnittstelle. Hinweis: Aus Gründen der Leistungsfähigkeit empfehlen wir Ihnen, den Standalone-EAS-Proxy anstelle des internen Proxy zu verwenden, wenn der E-Mail-Datenverkehr für mehr als 500 Client-Geräte verwaltet werden muss.
Funktionen ■
Unterstützung mehrerer E-Mail-Server von Microsoft Exchange oder IBM Notes Traveler. Sie können für jeden E-Mail-Server eine eigene EAS-Proxy-Instanz einrichten.
■
Unterstützung von Lastverteilung. Sie können Instanzen von Standalone-EAS-Proxys auf mehreren Rechnern einrichten und mit Hilfe eines Load Balancers die Client-Anfragen auf diese Instanzen verteilen.
■
Unterstützung einer zertifikatbasierten Client-Authentifizierung. Sie können ein Zertifikat einer Zertifizierungsstelle (CA) auswählen, von dem die Client-Zertifikate abgeleitet sein müssen.
■
Unterstützung einer PowerShell-basierten E-Mail-Zugriffssteuerung. In diesem Modus kommuniziert der EAS-Proxy-Dienst über PowerShell mit dem E-Mail-Server, um den E-Mail-Zugriff Ihrer verwalteten Geräte zu steuern. Der E-Mail-Datenverkehr erfolgt direkt zwischen den Geräten und dem E-Mail-Server und wird nicht über einen Proxy-Server geleitet. Siehe E-Mail-Zugriffssteuerung über PowerShell einrichten (Seite 196).
Hinweis: Bei Nicht-iOS-Geräten sind die Filtermöglichkeiten des Standalone-EAS-Proxy aufgrund der Gegebenheiten des von IBM Notes Traveler verwendeten Protokolls eingeschränkt. Traveler-Clients auf Nicht-iOS-Geräten senden nicht bei jeder Anfrage die Geräte-ID mit. Anfragen ohne Geräte-ID werden trotzdem an den Traveler-Server weitergeleitet, auch wenn der EAS-Proxy nicht überprüfen kann, ob das Gerät legitimiert ist.
19.1 Anwendungsszenarien für den Standalone-EAS-Proxy In folgenden Szenarien sollte ein Standalone-EAS-Proxy eingesetzt werden.
192
Administratorhilfe
Sie verwenden IBM Notes Traveler (vormals IBM Lotus Notes Travel) für Nicht-iOS-Geräte Microsoft Exchange und IBM Notes Traveler für iOS-Geräte verwenden für die Kommunikation zwischen E-Mail-Server und Client das ActiveSync-Protokoll, während IBM Notes Traveler für Nicht-iOS-Geräte (zum Beispiel Android) ein anderes Protokoll verwendet. Der Standalone-EAS-Proxy unterstützt dieses Protokoll. Für Nicht-iOS-Geräte benötigen Sie eine spezielle Version des Lotus-Traveler-Clients. Diese Version ist verfügbar in /servlet/traveler oder im Traveler-Installationsverzeichnis. Sie können die Funktionen App installieren und App deinstallieren von Sophos Mobile Control verwenden, um den Traveler-Client zu installieren und zu deinstallieren. Die Konfiguration muss manuell erfolgen.
Sie wollen mehrere Backend-Server unterstützen Mit dem Standalone-EAS-Proxy können Sie mehrere Instanzen von Backend-E-Mail-Systemen einrichten. Jede Instanz benötigt einen eigenen TCP-Eingangsport. Jeder Port kann sich mit einem unterschiedlichen Backend verbinden. Sie benötigen für jede EAS-Proxy-Instanz eine eigene URL.
Sie möchten eine EAS-Lastverteilung einrichten Sie können Instanzen von Standalone-EAS-Proxys auf mehreren Rechnern einrichten und mit Hilfe eines Load Balancers die Client-Anfragen auf diese Instanzen verteilen. Für dieses Szenario ist ein vorhandener HTTP Load Balancer erforderlich.
Sie wollen eine zertifikatbasierte Client-Authentifizierung verwenden Für dieses Szenario ist eine vorhandene Public-Key-Infrastruktur (PKI) erforderlich. Der öffentliche Teil des CA-Zertifikats muss im EAS-Proxy installiert werden.
Sie wollen mehr als 500 Geräte verwalten Aus Gründen der Leistungsfähigkeit empfehlen wir Ihnen, den Standalone-EAS-Proxy anstelle des internen Proxy zu verwenden, wenn der E-Mail-Datenverkehr für mehr als 500 Client-Geräte verwaltet werden muss.
19.2 EAS-Proxy-Installationsprogramm herunterladen 1. Melden Sie sich an der Sophos Central Admin Konsole an. 2. Klicken Sie im Abschnitt Meine Produkte der Menüleiste auf Mobil. 3. Klicken Sie in der Ansicht Mobil im Abschnitt Einstellungen der Menüleiste auf Einrichtung > Systemeinstellungen und öffnen Sie anschließend die Registerkarte EAS-Proxy. 4. Klicken Sie unter Extern auf den Link zum Herunterladen des Installationsprogramms für den EAS-Proxy. Das Installationsprogramm wird auf Ihrem lokalen Computer gespeichert.
193
Sophos Mobile Control (in Sophos Central)
19.3 Standalone-EAS-Proxy installieren Voraussetzung: ■
Alle erforderlichen E-Mail-Server sind erreichbar. Das Installationsprogramm für den EAS-Proxy konfiguriert nur Verbindungen zu Servern, die erreichbar sind.
■
Sie sind Administrator für den Computer, auf dem Sie den EAS-Proxy installieren.
1. Führen Sie die Datei Sophos Mobile Control EAS Proxy Setup.exe aus, um den Assistenten zum Einrichten des EAS-Proxy (Sophos Mobile Control EAS Proxy - Setup Wizard) zu starten. 2. Prüfen Sie auf der Seite Choose Install Location den Zielordner und klicken Sie auf Install, um die Installation zu starten. Nach Abschluss der Installation wird automatisch der Assistent Sophos Mobile Control EAS Proxy - Configuration Wizard gestartet, der Sie durch die Konfigurationsschritte leitet. 3. Geben Sie im Dialogfeld SMC Server configuration die URL des SMC-Servers ein, mit dem sich der EAS-Proxy verbinden soll. Sie sollten außerdem Use SSL for incoming connections (Clients to EAS Proxy) auswählen, um eine sichere Kommunikation zwischen den Clients und dem EAS-Proxy zu verwenden. Optional können Sie Use client certificates for authentication auswählen, damit die Clients sich zusätzlich zu den EAS-Proxy-Anmeldeinformationen mit einem Zertifikat authentisieren müssen. Hierdurch wird die Kommunikation zusätzlich abgesichert. Aktivieren Sie Allow all certificates, falls Ihr Sophos Mobile Control Server dem EAS-Proxy unterschiedliche Zertifikate präsentiert, zum Beispiel, weil es mehrere Server-Instanzen hinter einem Load Balancer gibt, die verschiedene Zertifikate verwenden. Wenn diese Option aktiviert ist, akzeptiert der EAS-Proxy beliebige Zertifikate vom Sophos Mobile Control Server. Wichtig: Da durch die Option Allow all certificates die Sicherheit der Serverkommunikation herabgesetzt wird, empfehlen wir Ihnen, dies nur zu aktivieren, wenn es aufgrund Ihrer Netzwerkumgebung unbedingt erforderlich ist. 4. Wenn Sie zuvor Use SSL for incoming connections (Clients to EAS Proxy) ausgewählt haben, wird die Seite Configure server certificate angezeigt. Auf dieser Seite erstellen oder importieren Sie ein Zertifikat für die sichere HTTPS-Verbindung mit dem EAS-Proxy. Hinweis: Sie können von MySophos einen SSL-Zertifikat-Assistent herunterladen, mit dem Sie Ihr SSL-Zertifikat für den Sophos Mobile Control EAS-Proxy anfordern können. Allgemeine Informationen zum Herunterladen von Sophos-Software finden Sie im Sophos-Knowledgebase-Artikel 111195.
194
■
Wenn Sie noch kein vertrauenswürdiges Zertifikat besitzen, wählen Sie Create self-signed certificate aus.
■
Wenn Sie ein vertrauenswürdiges Zertifikat besitzen, klicken Sie auf Import a certificate from a trusted issuer und wählen eine der folgenden Optionen aus der Liste aus: ■
PKCS12 with certificate, private key and certificate chain (intermediate and CA)
■
Separate files for certificate, private key, intermediate and CA certificate
Administratorhilfe
5. Geben Sie auf der nächsten Seite die benötigten Zertifikatinformationen ein. Diese sind abhängig vom ausgewählten Zertifikattyp. Hinweis: Im Falle eines selbstsignierten Zertifikats müssen Sie einen Server angeben, der von den Client-Geräten erreichbar ist. 6. Wenn Sie zuvor Use client certificates for authentication ausgewählt haben, wird die Seite SMC client authentication configuration angezeigt. Auf dieser Seite wählen Sie ein Zertifikat einer Zertifizierungsstelle (CA) aus, von dem die Client-Zertifikate abgeleitet sein müssen. Wenn sich ein Client verbindet, prüft der EAS-Proxy, ob das vorgelegte Zertifikat von der hier angegebenen CA abgeleitet ist. 7. Auf der Seite EAS Proxy instance setup konfigurieren Sie eine oder mehrere EAS-Proxy-Instanzen. ■ ■ ■
■
■
■
■
Instance type: Wählen Sie EAS proxy aus. Instance name: Ein Name, um die Instanz zu identifizieren. Server port: Der Port des EAS-Proxy für eingehende E-Mails. Wenn Sie mehr als eine Proxy-Instanz einrichten, müssen alle Instanzen unterschiedliche Ports verwenden. Require client certificate authentication: E-Mail-Clients müssen sich für die Verbindung mit dem EAS-Proxy authentisieren. ActiveSync server: Name oder IP-Adresse des Servers, mit dem sich die Proxy-Instanz verbindet. SSL: Die Verbindung zwischen der Proxy-Instanz und dem ActiveSync-Server ist mit SSL geschützt. Allow EWS subscription requests from Secure Email: Wählen Sie diese Option aus, um der iOS-App Sophos Secure Email zu erlauben, mittels EWS (Exchange Web Services) eine Anforderung für Push-Benachrichtigungen zu stellen. Mit Push-Benachrichtigungen wird das Gerät informiert, dass Nachrichten für Secure Email vorliegen, auch, wenn die App nicht läuft. Hinweis: Standardmäßig blockiert der EAS-Proxy aus Sicherheitsgründen alle an die EWS-Schnittstelle des Exchange-Servers gerichteten Anforderungen. Wenn Sie dieses Kontrollkästchen auswählen, sind Benachrichtigungsanforderungen erlaubt. Sonstige Anforderungen werden weiterhin blockiert.
■
Enable Traveler client access: Aktivieren Sie dieses Kontrollkästchen nur, wenn Sie den Zugriff von Nicht-iOS-Geräten mit IBM Notes Traveler zulassen müssen.
8. Nachdem Sie die Instanzdetails eingegeben haben, klicken Sie auf Add, um die Instanz zu der Liste Instances hinzuzufügen. Das Installationsprogramm erstellt für jede Proxy-Instanz ein Zertifikat, das Sie auf den Sophos Mobile Control Server hochladen müssen. Wenn Sie auf Add klicken, wird in einem Benachrichtigungsfenster erläutert, wie das Zertifikat hochgeladen wird. 9. Klicken Sie in dem Benachrichtigungsfenster auf OK. In einem Dialogfeld wird Ihnen der Ordner angezeigt, in dem das Zertifikat erstellt wurde. Hinweis: Sie können dieses Dialogfeld auch öffnen, indem Sie auf der Seite EAS Proxy instance setup die jeweilige Instanz auswählen und auf den Link Export config and upload to SMC klicken. 10. Notieren Sie sich den Ordner, in dem das Zertifikat liegt. Sie benötigen diese Information, wenn Sie das Zertifikat zu Sophos Mobile Control hochladen. 11. Optional: Klicken Sie erneut auf Add, um weitere EAS-Proxy-Instanzen zu konfigurieren.
195
Sophos Mobile Control (in Sophos Central)
12. Nachdem Sie alle benötigten EAS-Proxy-Instanzen konfiguriert haben, klicken Sie auf Next. Die eingegebenen Serverports werden geprüft und es werden Eingangsregeln für die Windows-Firewall konfiguriert. 13. Auf der Seite Allowed mail user agents können Sie Mail User Agents (d.h. E-Mail-Clientprogramme) angeben, die sich mit dem EAS-Proxy verbinden dürfen. Wenn sich ein Client mit einem nicht aufgeführten E-Mail-Programm mit dem EAS-Proxy verbindet, wird die Anfrage abgewiesen. ■
■
Wählen Sie Allow all mail user agents aus, um keine Einschränkungen zu konfigurieren. Wählen Sie Only allow the specified mail user agents aus und wählen Sie anschließend einen Mail User Agent aus der Liste aus. Klicken Sie auf Add, um den Mail User Agent zu der Liste hinzuzufügen. Wiederholen Sie diese Schritte für alle Mail User Agents, die sich mit dem EAS-Proxy verbinden dürfen.
14. Klicken Sie auf der Seite Sophos Mobile Control EAS Proxy - Configuration Wizard finished auf Finish, um den Konfigurations-Assistenten zu schließen und zum Setup-Assistenzen zurückzukehren. 15. Stellen Sie im Setup-Assistenten sicher, dass Start Sophos Mobile Control EAS Proxy server now ausgewählt ist. Klicken Sie anschließend auf Finish, um die Konfiguration abzuschließen und den Sophos Mobile Control EAS-Proxy erstmalig zu starten. Um die Konfiguration des EAS-Proxy abzuschließen, laden Sie die für die einzelnen Proxy-Instanzen erstellten Zertifikate zu Sophos Mobile Control hoch: 16. Melden Sie sich an der Sophos Central Admin Konsole an. 17. Klicken Sie im Abschnitt Meine Produkte der Menüleiste auf Mobil. 18. Klicken Sie in der Ansicht Mobil im Abschnitt Einstellungen der Menüleiste auf Einrichtung > Systemeinstellungen und öffnen Sie anschließend die Registerkarte EAS-Proxy. 19. Klicken Sie unter Extern auf Datei hochladen und laden Sie das Zertifikat hoch, das der Sophos Mobile Control EAS Proxy - Setup Wizard für die PowerShell-Verbindung erstellt hat. Falls Sie mehrere Instanzen eingerichtet haben, wiederholen Sie den Vorgang für alle Instanzen. 20. Klicken Sie auf Speichern. 21. Öffnen Sie in Windows das Dialogfeld Dienste und starten Sie den Dienst EASProxy neu. Damit ist die erstmalige Einrichtung des Standalone-EAS-Proxy abgeschlossen. Hinweis: Die Log-Einträge für den EAS-Proxy werden täglich in eine neue Datei EASProxy.log.yyyy-mm-dd verschoben. Diese täglichen Log-Dateien werden nicht automatisch gelöscht. Dadurch können sich mit der Zeit Speicherplatzprobleme ergeben. Wir empfehlen Ihnen, die Log-Dateien automatisiert in einen Datensicherungsbereich zu verschieben.
19.4 E-Mail-Zugriffssteuerung über PowerShell einrichten Sie können eine PowerShell-Verbindung zu einem Exchange- oder einem Office-365-Server einrichten. Der EAS-Proxy-Dienst kommuniziert dann über PowerShell mit dem E-Mail-Server, um den E-Mail-Zugriff Ihrer verwalteten Geräte zu steuern. Der E-Mail-Datenverkehr erfolgt direkt zwischen den Geräten und dem E-Mail-Server. Es erfolgt keine Umleitung über einen Proxy-Server.
196
Administratorhilfe
Das PowerShell-Szenario hat folgende Vorteile: ■
Die Geräte kommunizieren direkt mit dem Exchange-Server.
■
Sie müssen auf Ihrem Server keinen Port für eingehende E-Mails von Ihren verwalteten Geräten öffnen.
Es werden folgende E-Mail-Server unterstützt: ■
Exchange Server 2010
■
Exchange Server 2013
■
Exchange Server 2016
■
Office 365 mit einem Plan „Exchange Online“
So richten Sie PowerShell ein: 1. Konfigurieren Sie PowerShell. 2. Erstellen Sie auf dem Exchange-Server oder in Office 365 ein Dienstkonto. Dieses Konto wird von Sophos Mobile Control verwendet, um PowerShell-Befehle auszuführen. 3. Richten Sie eine oder mehrere PowerShell-Verbindungsinstanzen zu Exchange oder Office 365 ein. 4. Laden Sie die Zertifikate der Instanzen zu Sophos Mobile Control hoch. PowerShell konfigurieren 1. Öffnen Sie als Administrator auf dem Computer, auf dem Sie den EAS-Proxy installieren wollen, Windows PowerShell und geben Sie folgendes ein: PS C:\Windows\system32> Set-ExecutionPolicy RemoteSigned Hinweis: Falls PowerShell nicht verfügbar ist, installieren Sie es wie im Microsoft-Artikel Installieren von Windows PowerShell (externer Link) beschrieben. 2. Wenn Sie eine Verbindung zu einem lokalen Exchange-Server einrichten wollen, öffnen Sie als Administrator auf diesem Computer Windows PowerShell und geben Sie den gleichen Befehl wie zuvor ein: PS C:\Windows\system32> Set-ExecutionPolicy RemoteSigned Hinweis: Für Office 365 ist dieser Schritt nicht erforderlich. Dienstkonto erstellen 3. Melden Sie sich an der jeweiligen Administratorkonsole an: ■ ■ ■
Für Exchange Server 2010: Exchange Management Console Für Exchange Server 2013/2016: Exchange Admin Center Für Office 365: Office 365 Admin Center
4. Erstellen Sie ein Benutzerkonto. Dieses Konto wird von Sophos Mobile Control als Dienstkonto verwendet, um PowerShell-Befehle auszuführen. ■
Verwenden Sie einen Namen, der diesen Verwendungszweck kennzeichnet, zum Beispiel smc_powershell.
■
Deaktivieren Sie für dieses Konto die Einstellung, dass der Benutzer bei der nächsten Anmeldung das Kennwort ändern muss.
■
Entfernen Sie alle Office-365-Lizenzen, die dem neuen Konto automatisch zugewiesen worden sind. Dienstkonten benötigen keine Lizenzen.
197
Sophos Mobile Control (in Sophos Central)
5. Erstellen Sie eine neue Rollengruppe und weisen Sie dieser die erforderlichen Berechtigungen zu. ■
Nennen Sie die Rollengruppe zum Beispiel smc_powershell.
■
Fügen Sie die Rollen Mail Recipients und Organization Client Access hinzu.
■
Fügen Sie das Dienstkonto als Mitglied hinzu.
PowerShell-Verbindungen einrichten 6. Verwenden Sie den Assistenten Sophos Mobile Control EAS Proxy - Setup Wizard so, als wollten Sie einen Standalone-EAS-Proxy einrichten. Konfigurieren Sie im Schritt EAS Proxy instance setup des Assistenten die folgenden Einstellungen: ■ ■ ■
■
■
Instance type: Wählen Sie PowerShell Exchange/Office 365 aus. Instance name: Ein Name, um die Instanz zu identifizieren. Exchange server: Name oder IP-Adresse des Exchange-Servers (für einen lokalen Exchange-Server) oder outlook.office365.com (für Office 365). Geben Sie den Wert ohne https:// am Anfang und /powershell am Ende ein. Diese Bestandteile werden automatisch ergänzt. Allow all certificates: Das vom Exchange-Server präsentierte Zertifikat wird nicht verifiziert. Verwenden Sie diese Einstellung zum Beispiel, wenn auf Ihrem Exchange-Server ein selbstsigniertes Zertifikat installiert ist. Da durch die Option Allow all certificates die Sicherheit der Serverkommunikation herabgesetzt wird, empfehlen wir Ihnen, dies nur zu aktivieren, wenn es aufgrund Ihrer Netzwerkumgebung unbedingt erforderlich ist. Allow EWS subscription requests from Secure Email: Wählen Sie diese Option aus, um der iOS-App Sophos Secure Email zu erlauben, mittels EWS (Exchange Web Services) eine Anforderung für Push-Benachrichtigungen zu stellen. Mit Push-Benachrichtigungen wird das Gerät informiert, dass Nachrichten für Secure Email vorliegen, auch, wenn die App nicht läuft. Hinweis: Standardmäßig blockiert der EAS-Proxy aus Sicherheitsgründen alle an die EWS-Schnittstelle des Exchange-Servers gerichteten Anforderungen. Wenn Sie dieses Kontrollkästchen auswählen, sind Benachrichtigungsanforderungen erlaubt. Sonstige Anforderungen werden weiterhin blockiert.
■
■
Service account: Der Name des Benutzerkontos, das Sie in der Administratorkonsole von Exchange oder Office 365 erstellt haben. Kennwort: Das Kennwort für das Benutzerkonto.
7. Klicken Sie auf Add, um die Instanz zu der Liste Instances hinzuzufügen. 8. Optional: Wiederholen Sie die vorherigen Schritte, um PowerShell-Verbindungen zu weiteren Exchange- oder Office-365-Servern einzurichten. 9. Führen Sie die weiteren Schritte des Assistenten Sophos Mobile Control EAS Proxy Setup Wizard aus, wie in Standalone-EAS-Proxy installieren (Seite 194) beschrieben. Zertifikate hochladen 10. Melden Sie sich an der Sophos Central Admin Konsole an. 11. Klicken Sie im Abschnitt Meine Produkte der Menüleiste auf Mobil. 12. Klicken Sie in der Ansicht Mobil im Abschnitt Einstellungen der Menüleiste auf Einrichtung > Systemeinstellungen und öffnen Sie anschließend die Registerkarte EAS-Proxy.
198
Administratorhilfe
13. Klicken Sie unter Extern auf Datei hochladen. Laden Sie das Zertifikat hoch, das der Sophos Mobile Control EAS Proxy - Setup Wizard für die PowerShell-Verbindung erstellt hat. Falls Sie mehrere Instanzen eingerichtet haben, wiederholen Sie den Vorgang für alle Instanzen. 14. Klicken Sie auf Speichern. 15. Öffnen Sie in Windows das Dialogfeld Dienste und starten Sie den Dienst EASProxy neu. Damit ist die erstmalige Einrichtung der PowerShell-Verbindung abgeschlossen. Der E-Mail-Datenverkehr zwischen einem verwalteten Gerät und den Exchange- oder Office-365-Servern wird blockiert, falls das Gerät gegen eine Compliance-Regel verstößt. Sie können ein einzelnes Gerät blockieren, indem Sie den E-Mail-Zugriffsmodus für dieses Gerät auf Sperren setzen. Hinweis: Je nach der Konfiguration Ihren Exchange-Servers wird eine Hinweis-E-Mail an Geräte gesendet, deren E-Mail-Zugriff gesperrt ist.
19.5 Verbindung zum internen EAS-Proxy-Server konfigurieren 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Systemeinstellungen. 2. Öffnen Sie auf der Seite Systemeinstellungen die Registerkarte EAS-Proxy. 3. Geben Sie unter Intern die URL des Exchange- oder Groupware-Servers in Exchange/Groupware-Server-URL ein. 4. Wählen Sie SSL verwenden aus, um eine gesicherte Verbindung zu verwenden. 5. Wählen Sie EWS-Benachrichtigungsanforderungen von Secure Email erlauben aus, um der iOS-App Sophos Secure Email zu erlauben, mittels EWS (Exchange Web Services) eine Anforderung für Push-Benachrichtigungen zu stellen. Mit Push-Benachrichtigungen wird das Gerät informiert, dass Nachrichten für Secure Email vorliegen, auch, wenn die App nicht läuft. Standardmäßig blockiert der EAS-Proxy aus Sicherheitsgründen alle an die EWS-Schnittstelle des Exchange-Servers gerichteten Anforderungen. Wenn Sie dieses Kontrollkästchen auswählen, sind Benachrichtigungsanforderungen erlaubt. Sonstige Anforderungen werden weiterhin blockiert. 6. Klicken Sie auf Verbindung prüfen, um die Verbindung zu prüfen. Sie erhalten eine Meldung, ob auf den Server zugegriffen werden kann. 7. Klicken Sie auf Speichern.
19.6 Verbindung zum externen EAS-Proxy-Server konfigurieren Um die Verbindung zwischen Sophos Mobile Control und dem Standalone-EAS-Proxy zu konfigurieren, laden Sie das Zertifikat des EAS-Proxy-Servers zu Sophos Mobile Control hoch. Das Zertifikat wurde erstellt, als Sie die EAS-Proxy-Instanz konfiguriert haben. Informationen zur Installation und Konfiguration des Standalone-EAS-Proxy finden Sie in Standalone-EAS-Proxy (Seite 192).
199
Sophos Mobile Control (in Sophos Central)
Wichtig: Wenn der EAS-Proxy-Dienst gestartet wird, bevor Sie das Zertifikat hochgeladen haben, weist Sophos Mobile Control die Verbindung mit dem Server ab und das Starten des Dienstes schlägt fehl. So laden Sie das Zertifikat des externen EAS-Proxy-Servers hoch: 1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Systemeinstellungen und öffnen Sie anschließend die Registerkarte EAS-Proxy. 2. Klicken Sie unter Extern auf Datei hochladen und navigieren Sie zu der Zertifikatsdatei. Falls Sie mehrere EAS-Proxy-Instanzen eingerichtet haben, wiederholen Sie den Vorgang für alle Instanzen. 3. Klicken Sie auf Speichern. 4. Öffnen Sie in Windows das Dialogfeld Dienste und starten Sie den Dienst EASProxy neu.
200
Administratorhilfe
20 Advanced-Lizenz Wenn Sie eine Lizenz vom Typ Mobile Advanced aktivieren, können Sie die Apps „Sophos Secure Workspace“ und „Sophos Secure Email“ verwalten. Siehe Sophos-Container-Apps verwalten (Seite 207). Nachdem Sie Ihren Lizenzschlüssel erhalten haben, müssen Sie die Lizenz aktivieren.
Eine Lizenz vom Typ Mobile Advanced aktivieren Klicken Sie in der Sophos Central Admin Konsole auf Ihren Kontonamen (oben-rechts auf dem Bildschirm), wählen Sie Lizenzen aus und geben Sie anschließend Ihren Lizenzschlüssel im Feld Aktivierungscode anwenden ein.
201
Sophos Mobile Control (in Sophos Central)
21 Sophos Mobile Security verwalten Hinweis: Für diese Funktion benötigen Sie eine Lizenz vom Typ Mobile Security oder Mobile Advanced. Sophos Mobile Security ist eine Sicherheits-App für Android-Geräte, die Geräte vor schädlichen Apps schützt und Benutzer beim Erkennen von App-Berechtigungen unterstützt, die möglicherweise ein Sicherheitsrisiko darstellen. Seine Webfilter-Funktion erlaubt Ihnen, Websites nach Kategorien zu filtern und unpassende Inhalte zu blockieren. So verwalten Sie die App „Sophos Mobile Security“ auf Geräten, die bei Sophos Mobile Control registriert sind: ■
Sie können Einstellungen für die App „Sophos Mobile Security“ auf allen verwalteten Geräten ferngesteuert und zentral konfigurieren.
■
Sie können sicherstellen, dass die Sophos Mobile Security App auf den Geräten installiert ist und in festgelegten Intervallen Scans durchführt. Sie können dies als Compliance-Regel definieren.
■
Sie können Scans bei bestimmten Geräten auslösen.
■
Sie können die Scan-Ergebnisse für Geräte anzeigen.
Weitere Informationen zu Sophos Mobile Security finden Sie in der Sophos Mobile Security Hilfe.
21.1 Antivirus-Einstellungen für Sophos Mobile Security konfigurieren Voraussetzung: Sie haben eine Lizenz vom Typ Mobile Security aktiviert. 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Profile, Richtlinien und klicken Sie anschließend auf Android. Die Seite Profile und Richtlinien wird angezeigt. 2. Klicken Sie auf Erstellen und wählen Sie Mobile-Security-Richtlinie aus. Die Seite Richtlinie bearbeiten wird angezeigt. 3. Geben Sie einen Name und eine Version für das neue Profil ein. 4. Geben Sie im Feld Beschreibung eine Beschreibung für das Profil ein. 5. Klicken Sie auf Konfiguration hinzufügen. Die Seite Verfügbare Konfigurationen wird angezeigt. 6. Wählen Sie Antivirus und klicken Sie auf Weiter. Die Einstellungen-Ansicht der Konfiguration wird angezeigt. 7. Öffnen Sie die Registerkarte Antivirus. 8. Unter Allgemein können Sie folgende Einstellungen festlegen: a) Legen Sie im Feld Cloud Scan-Modus fest, wann Sophos Mobile Security einen Scan nach den aktuellen Malware-Informationen durchführen soll. Wählen Sie eine der
202
Administratorhilfe
folgenden Optionen, um festzulegen, wann die Anwendung eine Cloud-Abfrage nutzen soll: ■
Immer
■
Nicht bei Roaming
■
Nur WLAN
Mit dieser Einstellung lässt sich der Datenverkehr der Anwendung steuern. Wenn Sie den Cloud Scan-Modus auf Nur WLAN einstellen, wird die Cloud-Abfrage nur dann durchgeführt, wenn das Gerät eine WLAN-Verbindung hat. Wenn Sie den Cloud Scan-Modus auf Nicht bei Roaming einstellen, wird keine Cloud-Abfrage durchgeführt, während das Gerät einen Roaming-Vorgang in einem fremden Netzwerk durchführt. b) Wählen Sie in der Liste Scan-Intervall aus, wie oft Scans ausgeführt werden sollen. 9. Unter Ziele können Sie folgende Einstellungen festlegen: a) Wählen Sie System Apps scannen, um System Apps in die Scan-Vorgänge einzubeziehen. System Apps werden standardmäßig nicht gescannt, da diese durch das Android-Betriebssystem geschützt sind und nicht vom Benutzer entfernt werden können. Sie können jedoch hier das Scannen von System Apps aktivieren. b) Wenn Sie Speichermedien werden gescannt wählen, werden neben dem standardmäßigen Scan aller installierten Anwendungen auch alle Dateien auf SD-Karten, USB und anderen Speichermedien gescannt. 10. Unter PUAs können Sie Folgendes auswählen: a) Wenn Sie PUAs feststellen wählen, wird ein Scan-Vorgang nach PUAs (Potentially Unwanted Applications) durchgeführt. Potenziell unerwünschte Apps (PUAs) sind Apps, die zwar nicht schädlich sind, jedoch für Unternehmensnetzwerke als ungeeignet angesehen werden. Dazu gehören beispielsweise Adware, Dialer (Einwahlprogramme), Systemmonitore, Remote-Verwaltungs- und Hacking-Tools. Einige Apps, die unter PUAs fallen, können für manche Benutzer jedoch hilfreich sein. Wenn Sie diese Option wählen, erkennt Sophos Mobile Security potenziell unerwünschte Apps im Rahmen von Scan-Vorgängen und benachrichtigt den Benutzer entsprechend. b) Wählen Sie Benutzer darf Apps erlauben, damit die Benutzer Apps erlauben können, obwohl diese als PUAs erkannt wurden. Der Benutzer kann diese Apps als ignoriert kennzeichnen. In nachfolgenden Scans werden diese Apps nicht als PUAs angezeigt. 11. Unter Apps mit niedriger Reputation können Sie definieren, wie mit derartigen Apps umgegangen werden soll. Die Klassifizierung von Apps basiert auf Sophos Live Protection Daten. Unter Modus können Sie Folgendes auswählen: a) Wählen Sie Erlauben, um das Scannen nach Apps niedriger Reputation auszuschalten. b) Wählen Sie Warnen, um eine Warnung am Gerät anzuzeigen, wenn eine App niedriger Reputation erkannt wurde. Die Benutzer können dann wählen, wie die App behandelt werden soll. Sie können sie zu einer Liste von erlaubten Apps hinzufügen, so dass keine weiteren Warnungen angezeigt werden, wenn diese App erkannt wird. c) Wählen Sie Blockieren aus, um zu verhindern, dass Apps niedriger Reputation gestartet werden. Eine Warnung wird angezeigt, und der Benutzer kann die App nicht starten.
203
Sophos Mobile Control (in Sophos Central)
12. Unter Echtzeitschutz können Sie Folgendes auswählen: a) Wählen Sie Scan-Benachrichtigungen, um Scan-Benachrichtigungen auf dem Gerät zu erhalten. b) Wählen Sie SD-Karte überwachen, um die SD-Karte auf Änderungen zu überprüfen. Wenn neue Dateien auf der SD-Karte gespeichert werden, werden diese gescannt. 13. Wenn die Scanergebnisse Apps enthalten, die gestartet werden dürfen, können Sie diese zur Liste der erlaubten Apps hinzufügen. Apps auf dieser Liste dürfen immer gestartet werden. Die Apps werden nicht gemeldet. Um eine solche App zu identifizieren, können Sie die Scan-Ergebnisse von Sophos Mobile Security verwenden. Siehe Scan-Resultate von Sophos Mobile Security anzeigen (Seite 205). Bevor Sie erlauben können, dass diese Apps auf den Geräten gestartet werden dürfen, müssen Sie sie zu einer App-Gruppe hinzufügen, wie in App-Gruppen (Seite 173) beschrieben. 14. Um erlaubte Apps hinzuzufügen, wählen Sie die App-Gruppe aus, welche die erlaubten Apps enthält. 15. Klicken Sie auf Anwenden.
21.2 Webfilter-Einstellungen für Sophos Mobile Security konfigurieren Voraussetzung: Sie haben eine Lizenz vom Typ Mobile Security aktiviert. Die App „Sophos Mobile Security“ schützt Sie vor Internetseiten mit schädlichem, unerwünschtem oder illegalem Inhalt. Hinweis: Web Filtering funktioniert nur mit dem Android-Webbrowser, dem Samsung-Webbrowser, dem ASUS-Webbrowser oder mit Google Chrome. Auf Geräten mit Android 6.0 oder höher werden außerdem Firefox, Opera und Opera Mini unterstützt. 1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Profile, Richtlinien und klicken Sie anschließend auf Android. Die Seite Profile und Richtlinien wird angezeigt. 2. Klicken Sie auf Erstellen und wählen Sie Mobile-Security-Richtlinie aus. Die Seite Richtlinie bearbeiten wird angezeigt. 3. Geben Sie einen Name und eine Version für das neue Profil ein. 4. Geben Sie im Feld Beschreibung eine Beschreibung für das Profil ein. 5. Klicken Sie auf Konfiguration hinzufügen. Die Seite Verfügbare Konfigurationen wird angezeigt. 6. Wählen Sie Webfilter und klicken Sie auf Weiter. Die Seite Web-Filter wird angezeigt. 7. Geben Sie im Feld Schädliche Websites filtern an, ob Sie schädliche Websites Erlauben wollen, ob Sie den Benutzer vor schädlichen Websites Warnen wollen, oder ob Sie diese Sites Blockieren wollen.
204
Administratorhilfe
8. Unter Websites nach Kategorien filtern geben Sie für jede Kategorie an, ob Sie Zugriff auf Websites dieser Kategorie Erlauben wollen, ob Sie den Benutzer vor möglicherweise schädlichem, unerwünschtem oder illegalen Inhalt Warnen wollen, oder ob Sie Websites dieser Kategorie Blockieren wollen. Websites werden basierend auf Daten von SophosLabs kategorisiert. Die Daten werden laufend aktualisiert. 9. Unter Website-Ausschlüsse können Sie Folgendes festlegen: a) Erlaubte Domänen: Fügen Sie Domänen oder IP-Adressen hinzu, die auch dann erlaubt sind, wenn die Kategorie, der sie angehören, blockiert wird. b) Blockierte Domänen: Fügen Sie Domänen oder IP-Adressen hinzu, die auch dann blockiert sind, wenn die Kategorie, der sie angehören, erlaubt wird. Sie können Domänen-Namen oder IP-Adressen eingeben. Beispiel: www.firma.de, *.firma.de, 10.2.0.1, 10.2.0.1/24 10. Klicken Sie auf Anwenden. Einstellungen, die Sie in Sophos Mobile Control machen, können von den Benutzern nicht geändert werden.
21.3 Compliance-Regeln für Sophos Mobile Security definieren Voraussetzung: Sie haben eine Lizenz vom Typ Mobile Security aktiviert. Sie können Compliance-Regeln konfigurieren, die sich auf Sophos Mobile Security beziehen. 1. Fügen Sie eine neue Compliance-Richtlinie hinzu oder öffnen Sie eine bereits vorhandene zum Bearbeiten. Weitere Informationen finden Sie in Compliance-Richtlinien (Seite 28). 2. Öffnen Sie die Registerkarte Android. 3. Im Feld Max. SMSec-Scanintervall können Sie das maximale Scanintervall zwischen Malware-Scans angeben, die von der App „Sophos Mobile Security“ durchgeführt werden. 4. Wählen Sie in der Liste Ablehnung von SMSec-Berechtigungen erlaubt aus, ob die Ablehnung der erforderlichen Berechtigungen ein Compliance-Verstoß ist. 5. Wählen Sie in der Liste Malware Apps zugelassen aus, ob Malware-Apps erlaubt sind. 6. Wählen Sie in der Liste Verdächtige Apps zugelassen aus, ob verdächtige Apps erlaubt sind. 7. Wählen Sie in der Liste PUA zugelassen aus, ob PUAs (Potentially Unwanted Apps) erlaubt sind. 8. Wenn Sie alle erforderlichen Einstellungen konfiguriert haben, klicken Sie auf Speichern.
21.4 Scan-Resultate von Sophos Mobile Security anzeigen Voraussetzung: Sie haben eine Lizenz vom Typ Mobile Security aktiviert. 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. Die Seite Geräte wird angezeigt. Diese zeigt alle Geräte, die für diesen Kunden bei Sophos Mobile Control registriert sind.
205
Sophos Mobile Control (in Sophos Central)
2. Klicken Sie auf das blaue Dreieck neben dem gewünschten Gerät und dann auf Bearbeiten, oder klicken Sie auf dessen Namen. Die Seite Gerät anzeigen oder die Seite Gerät bearbeiten wird angezeigt. 3. Öffnen Sie die Registerkarte Scan-Ergebnisse. Diese Registerkarte zeigt die Sophos Mobile Security Scan-Ergebnisse. Die unsauberen Pakete, zum Beispiel PUAs (Potentially Unwanted Apps), werden in einer Tabelle angezeigt. Unter Threat-Name können Sie auf die Links klicken, um weitere Informationen von Sophos Labs zur den einzelnen Bedrohungen anzuzeigen. 4. Öffnen Sie die Registerkarte Compliance-Verstöße, um die mit den Scan-Ergebnissen verbundenen Compliance-Verstöße zu sehen. Welche Verstöße angezeigt werden, richtet sich nach den Sophos Mobile Security Compliance-Regeln.
21.4.1 Liste erlaubter PUAs und Apps mit niedriger Reputation erstellen Sie können die Scan-Ergebnisse verwenden, um eine Liste der erlaubten Apps zu erstellen. Die Liste gilt für alle Android-Geräte, auf denen die Sophos Mobile Security App installiert ist, in dem Kunden, an dem Sie angemeldet sind. 1. Öffnen Sie die Registerkarte Scan-Ergebnisse eines Ihrer gescannten Geräte. Die unsauberen Pakete werden in einer Tabelle angezeigt. Die Spalte Threat-Name zeigt an, ob das angezeigte Paket eine App niedriger Reputation, eine PUA oder Malware ist. Sie können auf die Links klicken, um weitere Informationen zur den einzelnen Bedrohungen von SophosLabs abzurufen. Gefundene Apps mit niedriger Reputation und PUAs haben ein blaues Häkchen-Symbol links vom Paketnamen. Nur diese Apps können zur Liste der erlaubten Apps hinzugefügt werden. 2. Klicken Sie auf das blaue Häkchen-Symbol, um die App zur Liste der erlaubten Apps hinzuzufügen. 3. Klicken Sie im Dialogfeld auf Ja, um die Aktion zu bestätigen. Die App wird zur Liste der erlaubten Apps hinzugefügt. 4. Wiederholen Sie diesen Schritt für alle Apps, die Sie hinzufügen möchten. 5. Um die Liste anzuzeigen, gehen Sie auf Einstellungen und klicken Sie auf Allgemein. 6. Klicken Sie auf Liste der erlaubten Apps anzeigen. Alle Apps, die Sie hinzugefügt haben, werden angezeigt. Apps auf dieser Liste dürfen auf allen verwalteten Geräten gestartet werden. Die Apps werden nicht mehr gemeldet. Wenn Sie auf Liste der erlaubten Apps löschen klicken, werden alle Listeneinträge gelöscht.
206
Administratorhilfe
22 Sophos-Container-Apps verwalten Hinweis: Für diese Funktion benötigen Sie eine Lizenz vom Typ Mobile Advanced. Für eine bessere Trennung der Daten auf den mit Sophos Mobile Control verwalteten Geräten stehen die Sophos-Container-Apps Sophos Secure Email und Sophos Secure Workspace zur Verfügung: ■
Sophos Secure Email ist eine App für Geräte mit Android oder iOS, die einen sicheren Container zur Verwaltung Ihrer E-Mails, Ihres Kalenders und Ihrer Kontakte bereitstellt.
■
Sophos Secure Workspace ist eine App für Geräte mit Android oder iOS, die es Benutzern erlaubt, auf verschlüsselte Dateien zuzugreifen, die in der Cloud gespeichert sind. Dateien können nahtlos entschlüsselt und angezeigt werden. Verschlüsselte Dateien können von anderen Apps übergeben und zu einem der unterstützten Cloudspeicher-Anbietern hochgeladen werden. Alternativ können die Dokumente lokal innerhalb der App gespeichert werden. Mit Sophos Secure Workspace können Sie mit SafeGuard Cloud Storage oder SafeGuard Data Exchange verschlüsselte Dateien lesen. SafeGuard Cloud Storage und SafeGuard Data Exchange sind Module von SafeGuard Enterprise oder einer der verschiedenen Produkteditionen. Mit diesen Modulen lassen sich Dateien mit einem lokalen Schlüssel verschlüsseln. Diese lokalen Schlüssel werden aus einer Passphrase abgeleitet, die von einem Benutzer eingegeben wird. Sie können eine Datei nur dann entschlüsseln, wenn Sie die Passphrase kennen, mit der die Datei verschlüsselt wurde.
Durch den Sophos-Container wird folgendes verwaltet: ■
Zentral festgelegte Kennwort-Regeln
■
Kennwort-Regeln für alle Container-Apps
■
Single-Sign-On für alle Container-Apps
■
Dokumenteinstellungen für Sophos Secure Workspace
■
Browser-Einstellungen für Sophos Secure Workspace
■
Einstellungen für Sophos Secure Email
So verwalten Sie die Sophos-Apps mit Sophos Mobile Control: ■
Sie können die Einstellungen für die Sophos-Container-Apps auf allen verwalteten Geräten zentral und per Fernzugriff in Sophos Mobile Control konfigurieren. Siehe Konfigurationen für Sophos-Container-Richtlinien für Android (Seite 89) und Konfigurationen für Sophos-Container-Richtlinien für iOS (Seite 130).
■
Sie können sicherstellen, dass die Sophos-Container-Apps auf den Geräten installiert sind. Sie können dies als Compliance-Regel definieren.
■
Sie können die sichere Verteilung von Dokumenten aktivieren, indem Sie den Speicheranbieter Unternehmensdokumente verwenden. Siehe Unternehmensdokumente (Seite 175).
Hinweis: Um die Sophos-Container-Apps verwalten zu können, müssen diese mit Sophos Mobile Control verteilt worden sein. Falls Benutzer bereits eine nicht verwaltete Version von Sophos Secure Workspace auf ihren Geräten installiert haben, müssen Sie diese zunächst deinstallieren und anschließend die verwaltete Version installieren.
207
Sophos Mobile Control (in Sophos Central)
Weitere Informationen zu Sophos Secure Workspace finden Sie in der Hilfe zu Sophos Secure Workspace.
22.1 Sophos-Container-Kennwort zurücksetzen Voraussetzung: Sie haben eine Lizenz vom Typ Mobile Advanced aktiviert. Hinweis: Dieser Abschnitt gilt nur für Geräte, denen eine Sophos-Container-Richtlinie zugewiesen ist. Sie können das Sophos-Container-Kennwort zurücksetzen. Das ist zum Beispiel hilfreich, wenn Benutzer ihr Kennwort vergessen haben. Wenn Sie ein Sophos-Container-Kennwort zurücksetzen, werden die Benutzer aufgefordert, ein neues Container-Kennwort festzulegen. 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. Die Seite Geräte wird angezeigt. 2. Klicken Sie auf das Gerät, für das Sie das Sophos-Container-Kennwort zurücksetzen wollen. Die Seite Gerät anzeigen wird angezeigt. 3. Klicken Sie auf Aktionen. Das Menü Aktionen wird angezeigt. 4. Klicken Sie auf Sophos-Container-Kennwort zurücksetzen. 5. Klicken Sie im Dialogfeld auf Ja, um die Aktion zu bestätigen. Das Sophos-Container-Kennwort wird zurückgesetzt. Der Benutzer muss ein neues Sophos-Container-Kennwort eingeben.
22.2 Sophos-Container sperren und entsperren Voraussetzung: Sie haben eine Lizenz vom Typ Mobile Advanced aktiviert. Hinweis: Dieser Abschnitt gilt nur für Geräte, denen eine Sophos-Container-Richtlinie zugewiesen ist. Sie können den Sophos-Container sperren oder entsperren, d.h. die Zugriffsrechte für die Sophos-Container-Apps und für im Container vorhandene Daten festlegen. 1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte. 2. Klicken Sie auf der Seite Geräte auf das blaue Dreieck neben dem Gerät, auf dem Sie den Sophos-Container sperren oder entsperren wollen, und klicken Sie anschließend auf Anzeigen. 3. Klicken Sie auf der Seite Gerät anzeigen auf Aktionen > Sophos-Container-Zugriff festlegen. 4. Im Dialogfeld zum Festlegen der Zugriffsrechte wählen Sie eine der folgenden Einstellungen aus: ■
■ ■
208
Sperren: Der Sophos-Container wird gesperrt. Benutzer können den Sophos-Container nicht mehr verwenden. Erlauben: Der Sophos-Container wird entsperrt. Automatischer Modus: Der Sophos-Container ist gesperrt, solange das Gerät gegen eine Compliance-Regel verstößt, bei der die Aktion Container sperren aktiviert ist. Dies ist das Standardverhalten, wenn Sie keine Zugriffsrechte festgelegt haben.
Administratorhilfe
5. Klicken Sie auf Ja. Dies weist das Gerät an, sich mit dem Sophos Mobile Control Server zu synchronisieren. Bei der Synchronisierung wird die Einstellung auf dem Gerät angewendet.
209
Sophos Mobile Control (in Sophos Central)
23 Glossar Auftragspaket
Sie erstellen ein Auftragspaket, um mehrere Aufträge zu einem Vorgang zu bündeln. Sie können alle Aufträge bündeln, die zur vollständigen Bereitstellung eines Geräts notwendig sind.
Enterprise App Store
Ein App-Archiv auf dem Sophos Mobile Control Server. Der Administrator kann in der Sophos Central Admin Konsole Apps zum Enterprise App Store hinzufügen. Endbenutzer können diese Apps dann mit der App „Sophos Mobile Control“ auf ihren Geräten installieren.
Ersteinrichtung
Der Installationsvorgang der App „Sophos Mobile Control“ auf einem Gerät.
Gerät
Das zu verwaltende Gerät (zum Beispiel ein Smartphone oder Tablet, oder ein Gerät mit Windows 10).
Mobile-Advanced-Lizenz Mit einer Lizenz vom Typ Mobile Advanced können Sie die Apps Sophos Mobile Security, Sophos Secure Workspace und Sophos Secure Email mit Sophos Mobile Control verwalten. Registrierung
Der Vorgang der Registrierung von Geräten mit Sophos Mobile Control.
SMSec
Abkürzung für Sophos Mobile Security.
Sophos Central Admin-Konsole
Die Web-Oberfläche, mit der Sie Geräte verwalten.
Sophos Central Self Service Portal
Die Web-Benutzeroberfläche, über die Benutzer ihre eigenen Geräte registrieren und andere Aufgaben ausführen können. Hierzu ist keine Unterstützung durch den Helpdesk erforderlich.
Sophos Mobile Control Die App „Sophos Mobile Control“, die auf dem Gerät installiert Client ist. Sophos Mobile Security Eine Sicherheits-App für Android-Geräte. Sie können diese App mit Sophos Mobile Control verwalten, vorausgesetzt, eine Lizenz vom Typ Mobile Advanced ist aktiviert.
210
Sophos Secure Email
Eine App für Geräte mit Android oder iOS, die eine geschützte Arbeitsumgebung für die Verwaltung Ihrer E-Mails, Kontakte und Kalender bereitstellt. Sie können diese App mit Sophos Mobile Control verwalten, vorausgesetzt, eine Lizenz vom Typ Mobile Advanced ist aktiviert.
Sophos Secure Workspace
Eine App für Geräte mit Android oder iOS, die einen gesicherten Arbeitsbereich bereitstellt, um Dokumente zu verwalten, zu
Administratorhilfe
bearbeiten, zu teilen, zu verschlüsseln, zu entschlüsseln, oder um auf sie in einem Browser zuzugreifen. Die Dokumente können bei verschiedenen Speicheranbietern abgelegt sein oder von Ihrem Unternehmen verteilt werden. Sie können diese App mit Sophos Mobile Control verwalten, vorausgesetzt, eine Lizenz vom Typ Mobile Advanced ist aktiviert.
211
Sophos Mobile Control (in Sophos Central)
24 Technischer Support Technischen Support zu Sophos Produkten finden Sie hier:
212
■
Besuchen Sie die Sophos Community unter community.sophos.com/ und suchen Sie nach Benutzern mit dem gleichen Problem.
■
Besuchen Sie die Sophos Support-Knowledgebase unter www.sophos.com/de-de/support.aspx.
■
Laden Sie die Produktdokumentation herunter unter www.sophos.com/de-de/support/documentation.aspx.
■
Öffnen Sie ein Ticket bei unserem Support-Team unter https://secure2.sophos.com/de-de/support/contact-support/support-query.aspx.
Administratorhilfe
25 Rechtliche Hinweise Copyright © 2011-2017 Sophos Limited. Alle Rechte vorbehalten. Diese Publikation darf weder elektronisch oder mechanisch reproduziert, elektronisch gespeichert oder übertragen, noch fotokopiert oder aufgenommen werden, es sei denn, Sie verfügen entweder über eine gültige Lizenz, gemäß der die Dokumentation in Übereinstimmung mit dem Lizenzvertrag reproduziert werden darf, oder Sie verfügen über eine schriftliche Genehmigung des Urheberrechtsinhabers. Sophos ist eine eingetragene Marke von Sophos Limited und Sophos Group. Alle anderen erwähnten Produkt- und Unternehmensnamen sind Marken oder eingetragene Marken der jeweiligen Inhaber. Letzte Aktualisierung: 20170405
213
