Richtlinien - Android

Zusammenfassung

Android-Richtlinien sind die Kerneinheiten des Systems: Sie definieren die Regeln, die auf verwalteten Geräten angewendet und durchgesetzt werden.

Sie können Ihre Richtlinien im Bereich Richtlinien des Dashboards durchsuchen und neue erstellen. Um eine Android-Richtlinie zu öffnen, klicken Sie auf die entsprechende Zeile in der Tabelle: Das System öffnet dann die Seite Richtlinien-Editor.

Eine Richtlinie kann mit einem Registrierungstoken verknüpft werden, sodass sie während des Bereitstellungsprozesses automatisch auf die Geräte angewendet wird. Sie können auch die einem Gerät zugewiesene Richtlinie nach der Bereitstellung ändern.

Jedes Gerät kann nur mit einer Richtlinie gleichzeitig verknüpft werden.

Viele Richtlinienoptionen gelten nur für bestimmte Gerätetypen (vollständig verwaltet, dediziert, Arbeitsprofil) und Android-Versionen. Nicht unterstützte Einstellungen können vom Gerät ignoriert oder als nicht richtlinienkonform gemeldet werden.

Layout des Richtlinien-Editors

Der Richtlinien-Editor ist als eine Reihe von erweiterbaren Abschnitten organisiert. Am oberen Seitenrand können Sie jederzeit Folgendes bearbeiten:

Die folgenden Abschnitte entsprechen den Panels des Richtlinien-Editors (zum Beispiel: App-Verwaltung, Sicherheit, Netzwerk, System, Private Nutzung, profilübergreifende Richtlinien und mehr). Verwenden Sie die Kapitelseiten dieses Handbuchs, um jedes Panel im Detail zu verstehen.

Speichern, Löschen und zugehörige Geräte

Verwenden Sie Richtlinie speichern, um Ihre Änderungen anzuwenden. Die Schaltfläche ist deaktiviert, wenn keine ausstehenden Bearbeitungen vorliegen oder die Lizenz abgelaufen ist.

Wenn Sie eine bestehende Richtlinie geöffnet haben (sie besitzt eine ID), zeigt die Seite unten die Aktion Richtlinie löschen sowie eine Liste Zugehörige Geräte an, damit Sie sehen können, wie viele Geräte die Richtlinie aktuell verwenden.

App-Management

In diesem Abschnitt können Sie Richtlinien festlegen, die sich auf die Verfügbarkeit von Apps, deren Installation, Updates und das Berechtigungsmanagement beziehen.

Managed Google Play-Konten werden automatisch erstellt, wenn Geräte provisioniert werden.

 

1. Play-Store-Modus

Dieser Modus steuert, welche Apps dem Benutzer im Play Store zur Verfügung stehen, sowie das Verhalten auf dem Gerät, wenn Apps aus der Policy entfernt werden.

Whitelist (Standard): Nur Apps, die in der Policy enthalten sind, stehen zur Verfügung; alle Apps, die nicht in der Policy enthalten sind, werden automatisch vom Gerät deinstalliert. Der Play Store zeigt nur verfügbare Apps an.

Blacklist: Alle Apps sind verfügbar. Jede App, die nicht auf dem Gerät sein soll, muss in der Anwendungs-Policy explizit als blockiert markiert werden. Der Play Store zeigt alle Apps an, außer den blockierten.

 

2. Policy für nicht vertrauenswürdige Apps

Die Policy für nicht vertrauenswürdige Apps (Apps aus unbekannten Quellen), die auf dem Gerät erzwungen wird. Diese Option steuert die Android-Systemeinstellung, die festlegt, ob ein Benutzer Apps von außerhalb des Play Stores installieren kann (Sideloading).

Untersagen (Standard): Installationen von nicht vertrauenswürdigen Apps auf dem gesamten Gerät untersagen.

Nur persönliches Profil: Bei Geräten mit Arbeitsprofilen werden Installationen von nicht vertrauenswürdigen Apps nur im persönlichen Profil des Geräts erlaubt.

Erlauben: Installationen von nicht vertrauenswürdigen Apps auf dem gesamten Gerät erlauben.

 

3. Google Play Protect

Ob die App-Verifizierung durch Google Play Protect erzwungen wird.

Erzwungen (Standard): Erzwingt die App-Verifizierung.

Wahl des Benutzers: Ermöglicht dem Benutzer zu wählen, ob die App-Verifizierung aktiviert werden soll.

 

4. Standard-Berechtigungsrichtlinie

Die Richtlinie für die Erteilung von Laufzeit-Berechtigungsanfragen an Apps.

Abfrage (Standard): Der Benutzer wird aufgefordert, eine Berechtigung zu erteilen.

Erteilen: Eine Berechtigung automatisch erteilen.

Ablehnen: Eine Berechtigung automatisch ablehnen.

 

5. App-Funktionen

Steuert, ob Apps auf voll verwalteten Geräten oder in Arbeitsprofilen die Berechtigung haben, App-Funktionen bereitzustellen. Erfordert Android 16 oder höher.

Erlaubt (Standard): Apps auf voll verwalteten Geräten oder in Arbeitsprofilen können App-Funktionen bereitstellen.

Untersagt: Apps auf voll verwalteten Geräten oder in Arbeitsprofilen können keine App-Funktionen bereitstellen.

 

6. App-Installation deaktiviert

Ob die Installation von Apps durch den Benutzer deaktiviert ist.

 

7. App-Deinstallation deaktiviert

Ob die Deinstallation von Apps durch den Benutzer deaktiviert ist.

 

8. Berechtigungsrichtlinien

Explizite Berechtigungen oder Gruppen-Zuweisungen bzw. -Ablehnungen für alle Apps. Diese Werte überschreiben die Einstellung Default permission policy.

Verwenden Sie Add permission policy, um Einträge zu erstellen, und entfernen Sie diese mit der Löschaktion.

Jeder Eintrag enthält:

Android-Berechtigung/Gruppe: Die Android-Berechtigung oder Gruppe (erforderlich), zum Beispiel android.permission.READ_CALENDAR oder android.permission_group.CALENDAR.

Policy: Erteilen / Ablehnen / Abfrage (verwendet dieselben Policy-Optionen wie Default permission policy).

 

9. Anwendungen

Liste der Anwendungen, die in der Policy enthalten sein müssen. Das Verhalten des Listeninhalts hängt vom Wert ein, der für den Play Store mode festgelegt wurde.

Wenn der Play Store mode auf whitelist eingestellt ist, sind nur Apps verfügbar, die in der Policy enthalten sind; alle Apps, die nicht in der Policy enthalten sind, werden automatisch vom Gerät deinstalliert.

Wenn der Play Store mode auf blacklist eingestellt ist, sind alle Apps verfügbar. Jede App, die nicht auf dem Gerät sein soll, muss in der Anwendungs-Policy explizit als blockiert markiert werden.

Um eine neue App hinzuzufügen, klicken Sie auf die Schaltfläche Add applications (oder das Add applications-Symbol), wählen Sie dann die App aus dem Play Store aus und klicken Sie in der App-Karte auf die Schaltfläche Select.

Alle Apps, die in Ihrem Land im Play Store veröffentlicht wurden, stehen standardmäßig zur Auswahl. Um Ihre eigenen privaten Apps oder Web-Apps auszuwählen, müssen Sie diese zuerst in das System hochladen. Weitere Informationen finden Sie auf der Seite Private apps).

Jede App kann mit eigenen Einstellungen konfiguriert werden, die visuell in einer Karte enthalten sind:

9.1. Installationsart

Die Art der Installation, die für eine App durchgeführt werden soll.

Verfügbar: Die App steht zur Installation bereit.

Vorinstalliert: Die App wird automatisch installiert und kann vom Benutzer entfernt werden.

Erzwungene Installation: Die App wird automatisch installiert und kann vom Benutzer nicht entfernt werden.

Blockiert: Die App ist blockiert und kann nicht installiert werden. Falls die App unter einer vorherigen Policy installiert wurde, wird sie deinstalliert.

Für Setup erforderlich: Die App wird automatisch installiert, kann vom Benutzer nicht entfernt werden und verhindert den Abschluss des Setups, bis die Installation abgeschlossen ist.

Kiosk: Die App wird automatisch im Kiosk-Modus installiert: Sie wird als bevorzugter Home-Intent festgelegt und für den Lock-Task-Modus auf die Whitelist gesetzt. Das Geräte-Setup wird erst abgeschlossen, wenn die App installiert ist. Nach der Installation können Benutzer die App nicht entfernen. Sie können diese Installationsart nur für eine App pro Policy festlegen. Wenn dies in der Policy vorhanden ist, wird die Statusleiste automatisch deaktiviert. Weitere Informationen finden Sie auf der speziellen Seite Kiosk mode).

9.2. Installationsbeschränkungen

Definiert eine Reihe von Einschränkungen für die App-Installation. Wenn mehrere Beschränkungen ausgewählt sind, müssen alle erfüllt sein, damit die App installiert werden kann.

Diese Option wird nur angezeigt, wenn die Installationsart auf Vorinstalliert oder Erzwungene Installation eingestellt ist.

Unmetered network: Die App nur installieren, wenn das Gerät mit einem unbegrenzten Netzwerk (z. B. WLAN) verbunden ist.

Laden: Die App nur installieren, wenn das Gerät geladen wird.

Idle: Die App nur installieren, wenn das Gerät im Leerlauf ist.

9.3. Auto-Update-Modus

Steuert den Auto-Update-Modus für die App.

Standard: Die App wird automatisch mit niedriger Priorität aktualisiert, um die Auswirkungen auf den Benutzer zu minimieren. Die App wird aktualisiert, wenn alle folgenden Bedingungen erfüllt sind: (1) das Gerät wird nicht aktiv genutzt, (2) das Gerät ist mit einem unbegrenzten Netzwerk verbunden, (3) das Gerät wird geladen. Das Gerät wird innerhalb von 24 Stunden nach der Veröffentlichung durch den Entwickler über ein neues Update benachrichtigt, woraufhin die App beim nächsten Mal aktualisiert wird, wenn die oben genannten Bedingungen erfüllt sind.

Aufgeschoben: Die App wird für maximal 90 Tage nach dem Veralten der App nicht automatisch aktualisiert. 90 Tage nachdem die App veraltet ist, wird die neueste verfügbare Version automatisch mit niedriger Priorität installiert (siehe Standard Auto-Update-Modus). Nach der Aktualisierung der App erfolgt keine automatische erneute Aktualisierung, bis 90 Tage nach dem erneuten Veralten der App. Der Benutzer kann die App jederzeit manuell aus dem Play Store aktualisieren.

Hohe Priorität: Die App wird so schnell wie möglich aktualisiert. Es werden keine Einschränkungen angewendet. Das Gerät wird sofort über ein neues Update benachrichtigt, sobald es verfügbar ist.

9.4. Mindestversionscode

Die Mindestversion der App, die auf dem Gerät ausgeführt wird. Wenn dieser Wert festgelegt ist, versucht das Gerät, die App auf mindestens diesen Versionscode zu aktualisieren. Wenn die App nicht auf dem neuesten Stand ist, zeigt das Gerät ein Non compliance detail mit dem Non compliance reasonAPP_NOT_UPDATED an. Die App muss bereits in Google Play mit einem Versionscode veröffentlicht worden sein, der größer als oder gleich diesem Wert ist. Pro Policy können maximal 20 Apps einen Mindestversionscode spezifizieren.

9.5. Delegierte Bereiche (Scopes)

Die von der Android Device Policy an die App delegierten Bereiche (Scopes). Sie können anderen Apps eine Auswahl an speziellen Android-Berechtigungen gewähren:

Zertifikatsinstallation: Gewährt Zugriff auf die Installation und Verwaltung von Zertifikaten.

Verwaltete Konfigurationen: Gewährt Zugriff auf die Verwaltung von verwalteten Konfigurationen.

Deinstallation blockieren: Gewährt Zugriff auf das Blockieren der Deinstallation.

Berechtigungen: Gewährt Zugriff auf die Berechtigungsrichtlinie und den Status der Berechtigungserteilung.

Paketzugriff: Gewährt Zugriff auf den Status des Paketzugriffs.

System-App: Gewährt Zugriff zum Aktivieren von System-Apps.

9.6. Bevorzugtes Netzwerk

Der bevorzugte Netzwerkdienst, der für diese App verwendet werden soll. Wenn dieser festgelegt ist, nutzt die App bei Verfügbarkeit den angegebenen Enterprise-Network-Slice für ihre Verbindungen. Dies muss mit einem Network Slice übereinstimmen, der im Abschnitt 5G Network Slicing Configuration des Cellular-Panels konfiguriert wurde.

9.7. Standard-Berechtigungsrichtlinie

Die Standardrichtlinie für alle von der App angeforderten Berechtigungen. Wenn diese angegeben wird, überschreibt sie die auf Policy-Ebene geltende Default permission policy, die für alle Apps gilt. Sie überschreibt jedoch nicht die Permission policies, die für alle Apps gelten.

Abfrage (Standard): Der Benutzer wird aufgefordert, eine Berechtigung zu erteilen.

Erteilen: Eine Berechtigung automatisch erteilen.

Ablehnen: Eine Berechtigung automatisch ablehnen.

9.8. Verbindung zwischen Arbeits- und Privatprofil-Apps

Steuert, ob die App unter Vorbehalt der Zustimmung des Benutzers (Android 11+) zwischen dem Arbeits- und dem Privatprofil des Geräts kommunizieren kann.

Untersagt (Standard): Verhindert die profilübergreifende Kommunikation der App.

Erlaubt: Ermöglicht der App die profilübergreifende Kommunikation nach Erhalt der Zustimmung des Benutzers.

9.9. Ausnahme vom Always-on-VPN-Lockdown

Legt fest, ob der App die Netzwerkverbindung erlaubt ist, wenn das VPN nicht verbunden ist und lockdown enabled aktiv ist. Nur auf Geräten mit Android 10 oder höher unterstützt.

Erzwungen (Standard): Die App respektiert die Always-on-VPN-Lockdown-Einstellung.

Ausgenommen: Die App ist von der Always-on-VPN-Lockdown-Einstellung ausgenommen.

9.10. Arbeitsprofil-Widgets

Legt fest, ob die im Arbeitsprofil installierte App berechtigt ist, Widgets zum Startbildschirm hinzuzufügen.

Erlaubt: Die Anwendung kann Widgets zum Startbildschirm hinzufügen.

Untersagt: Die Anwendung kann keine Widgets zum Startbildschirm hinzufügen.

9.11. Benutzereinstellungen zur Kontrolle

Legt fest, ob die Benutzerkontrolle für eine bestimmte App zulässig ist. Die Benutzerkontrolle umfasst Aktionen wie das Beenden des Anwendungsprozesses (Force-Stop) und das Löschen von Anwendungsdaten (Android 11+). Wenn extensionConfig für eine App aktiviert ist, ist die Benutzerkontrolle unabhängig von dieser Einstellung untersagt. Bei Kiosk-Apps können Sie Allowed verwenden, um die Benutzerkontrolle zu erlauben.

Nicht spezifiziert: Verwendet das Standardverhalten der App, um zu bestimmen, ob die Benutzerkontrolle erlaubt oder untersagt ist.

Erlaubt: Die Benutzerkontrolle ist für die App erlaubt.

Untersagt: Die Benutzerkontrolle ist für die App untersagt.

9.12. Deaktiviert

Ob die App deaktiviert ist. Wenn sie deaktiviert ist, bleiben die Anwendungsdaten erhalten.

9.13. Anbieter für Anmeldedaten erlauben

Ob die App auf Android 14 und höher als Anbieter für Anmeldedaten fungieren darf.

9.14. Verwaltete Konfiguration

Um die verwalteten Einstellungen der App zu konfigurieren, klicken Sie auf die Schaltfläche Enable managed configuration. Wenn bereits eine verwaltete Konfiguration für die App festgelegt wurde, können Sie die Konfiguration mit der Schaltfläche Managed configuration ändern oder sie mit der Schaltfläche Remove configuration löschen.

Die Option Managed configuration steht nur für Apps zur Verfügung, die diese Funktionalität unterstützen.

9.15. Berechtigungsrichtlinien

Explizite Berechtigungserteilungen oder -ablehnungen für die App. Diese Werte überschreiben die Default permission policy sowie die Permission policies, die für alle Apps gelten.

Verwenden Sie Add permission policy, um eine oder mehrere Berechtigungsregeln für die App-Karte hinzuzufügen, und entfernen Sie diese mit der Löschaktion.

9.16. Track-IDs

Liste der geschlossenen Test-Track-IDs der App, auf die ein Gerät zugreifen kann. Wenn mehrere Track-IDs ausgewählt sind, erhalten die Geräte die neueste Version aus allen zugänglichen Tracks. Wenn keine Track-ID ausgewählt ist, haben die Geräte nur Zugriff auf den Produktions-Track der App.

Die Option Track IDs steht nur für Apps zur Verfügung, die mindestens eine Track-ID für Ihre Organisation bereitstellen. Weitere Einzelheiten dazu, wie Sie Ihre Organisation einem geschlossenen Test-Track für eine bestimmte App hinzufügen, finden Sie hier.

 

10. Standard-Anwendungseinstellungen

Legen Sie Standard-Apps für unterstützte Typen fest. Wenn eine Standard-App für mindestens einen Typ festgelegt wurde, wird den Benutzern das Ändern der Standard-Apps in diesem Profil verhindert.

Pro Default application type ist nur eine Standard-Anwendungseinstellung zulässig. Die Liste der Standard-Anwendungen darf keine Duplikate enthalten.

10.1. Standard-Anwendungstyp

Wählen Sie die App-Kategorie aus, die konfiguriert werden soll (z. B. Browser, Wählhilfe, SMS, Wallet oder Assistent). Die Verfügbarkeit hängt von der Android-Version und dem Verwaltungsmodus ab.

10.2. Standard-Anwendungsbereiche (Scopes)

Wählen Sie aus, wo die Standard-App gelten soll (Voll verwaltet, Arbeitsprofil oder Persönliches Profil). Es können nur Bereiche ausgewählt werden, die vom gewählten Typ unterstützt werden.

Wenn keiner der ausgewählten Bereiche für den Verwaltungsmodus des Geräts anwendbar ist, meldet das Gerät ein Detail zur Nichteinhaltung (Non-compliance detail).

10.3. Standard-Anwendungen

Liste der Apps, die für den ausgewählten Typ als Standard festgelegt werden können. Die erste installierte und berechtigte App wird als Standard gesetzt.

Wenn die Bereiche Fully managed oder Work profile beinhalten, muss jede App auch in der Liste Applications vorhanden sein, wobei die Install type nicht auf Blocked gesetzt sein darf.

 

11. Private-Key-Auswahl

Ermöglicht die Anzeige einer Benutzeroberfläche auf einem Gerät, damit ein Benutzer einen privaten Schlüssel-Alias auswählen kann, falls keine passenden Regeln in Choose private key rules vorhanden sind.

Bei Geräten mit einer Android-Version unter Android P kann das Festlegen dieser Option Enterprise-Schlüssel anfällig machen.

 

12. Regeln zur Auswahl des privaten Schlüssels festlegen

Steuert den Zugriff von Apps auf private Schlüssel. Die Regel bestimmt, welcher private Schlüssel (falls vorhanden) der Android Device Policy der angegebenen App gewährt wird. Der Zugriff wird entweder gewährt, wenn die App `KeyChain.choosePrivateKeyAlias` (oder eine Überladung davon) aufruft, um einen privaten Schlüssel-Alias für eine bestimmte URL anzufragen, oder bei Regeln, die nicht URL-spezifisch sind (das heißt, wenn `urlPattern` nicht gesetzt ist oder auf einen leeren String bzw. `.*` gesetzt wurde) ab Android 11 und höher direkt, sodass die App `KeyChain.getPrivateKey` aufrufen kann, ohne zuvor `KeyChain.choosePrivateKeyAlias` aufrufen zu müssen. Wenn eine App `KeyChain.choosePrivateKeyAlias` aufruft und mehr als eine `choosePrivateKeyRules` zutrifft, definiert die letzte passende Regel, welcher Schlüssel-Alias zurückgegeben wird.

Verwenden Sie Add private key rule, um Einträge zu erstellen, und entfernen Sie diese mit der Löschaktion.

12.1. Privater Schlüssel-Alias

Der Alias des zu verwendenden privaten Schlüssels.

12.2. URL-Muster

Das URL-Muster, das mit der URL der Anfrage abgeglichen wird. Wenn es nicht festgelegt oder leer ist, werden alle URLs abgeglichen. Dies verwendet die reguläre Ausdruckssyntax von java.util.regex.Pattern.

12.3. Paketnamen

Die Paketnamen, für die diese Regel gilt. Der Hash des Signierungszertifikats für jede App wird mit dem von Play bereitgestellten Hash abgeglichen. Wenn keine Paketnamen angegeben sind, wird der Alias allen Apps zur Verfügung gestellt, die `KeyChain.choosePrivateKeyAlias` oder eine Überladung davon aufrufen (jedoch nicht ohne den Aufruf von `KeyChain.choosePrivateKeyAlias`, selbst unter Android 11 und höher). Jede App mit derselben Android-UID wie ein hier spezifiziertes Paket erhält Zugriff, wenn sie `KeyChain.choosePrivateKeyAlias` aufruft.

Verwenden Sie Add package name, um Einträge hinzuzufügen, und entfernen Sie diese mit der Löschaktion.

 

Um eine App zu löschen, klicken Sie auf das Papierkorb-Symbol am unteren Rand der App-Karte.

 

 

Kiosk-Modus

Mit dem Kiosk-Modus können Sie die Funktionalität eines Geräts auf eine einzige App oder mehrere Apps beschränken. Die Entscheidung zwischen dem Single-App- und dem Multi-App-Kiosk-Modus hängt von Ihren Geschäftszielen ab.

Im Single-App-Kiosk-Modus wird ein Gerät für eine einzige Anwendung konfiguriert, sodass Endbenutzer nicht auf andere Apps auf dem Gerät zugreifen können. Sie können die App auch nicht verlassen, wodurch das Gerät zu einem dedizierten Endgerät für diese spezifische App wird. Um diesen Modus zu aktivieren, legen Sie eine App im Bereich App-Management mit dem Installationstyp auf Kiosk fest.

Im Multi-App-Kiosk-Modus haben Geräte Zugriff auf mehrere Anwendungen. Endbenutzer können über einen benutzerdefinierten Launcher zwischen mehreren Apps navigieren. Um diesen Modus zu aktivieren, schalten Sie die Option Kiosk-Custom-Launcher ein.

Wenn der Kiosk-Modus aktiviert ist, können Sie auch konfigurieren, ob Endbenutzer auf bestimmte Systemfunktionen wie die Systemeinstellungen und die Statusleiste zugreifen können.

 

Kiosk-Custom-Launcher

Gibt an, ob der Kiosk-Custom-Launcher aktiviert ist. Dieser ersetzt den Startbildschirm durch einen Launcher, der das Gerät auf die über die Einstellung App-Management installierten Apps beschränkt. Die Apps werden alphabetisch auf einer einzigen Seite angezeigt.

 

Aktionen der Ein-/Austaste

Legt das Verhalten des Geräts im Kiosk-Modus fest, wenn ein Benutzer die Ein-/Austaste gedrückt hält (Langdrücken).

Verfügbar (Standard): Das Power-Menü (z. B. Ausschalten, Neustart) wird angezeigt, wenn ein Benutzer die Ein-/Austaste eines Geräts im Kiosk-Modus gedrückt hält.

Blockiert: Das Power-Menü (z. B. Ausschalten, Neustart) wird nicht angezeigt, wenn ein Benutzer die Ein-/Austaste eines Geräts im Kiosk-Modus gedrückt hält. Hinweis: Dies kann verhindern, dass Benutzer das Gerät ausschalten.

 

Systemfehlermeldungen

Legt fest, ob Systemfehlermeldungen für abgestürzte oder nicht reagierende Apps im Kiosk-Modus blockiert werden. Wenn sie blockiert sind, wird das System die App zwangsweise beenden, als hätte der Benutzer die Option „App schließen“ in der Benutzeroberfläche ausgewählt.

Blockiert (Standard): Alle Systemfehlermeldungen, wie Abstürze oder „App reagiert nicht“ (ANR), werden blockiert. Wenn sie blockiert sind, beendet das System die App zwangsweise, als würde der Benutzer die App über die Benutzeroberfläche schließen.

Aktiviert: Alle Systemfehlermeldungen wie Abstürze oder „App reagiert nicht“ (ANR) werden angezeigt.

Systemnavigation

Legt fest, welche Navigationsfunktionen (z. B. Home- und Übersichtstasten) im Kiosk-Modus aktiviert sind.

Deaktiviert (Standard): Die Home- und Übersichtstasten sind nicht zugänglich.

Nur Home: Nur die Home-Taste ist aktiviert.

Aktiviert: Die Home- und Übersichtstasten sind aktiviert.

 

Statusleiste

Legt fest, ob Systeminformationen und Benachrichtigungen im Kiosk-Modus deaktiviert sind.

Deaktiviert (Standard): Systeminformationen und Benachrichtigungen sind im Kiosk-Modus deaktiviert.

Nur System: Nur Systeminformationen werden in der Statusleiste angezeigt.

Aktiviert: Systeminformationen und Benachrichtigungen werden in der Statusleiste im Kiosk-Modus angezeigt. Hinweis: Damit diese Richtlinie wirksam wird, muss die Home-Taste des Geräts über kioskCustomization.systemNavigation aktiviert sein.

 

Geräteeinstellungen

Legt fest, ob die Einstellungen-App im Kiosk-Modus zulässig ist.

Zulässig (Standard): Der Zugriff auf die Einstellungen-App ist im Kiosk-Modus erlaubt.

Blockiert: Der Zugriff auf die Einstellungen-App ist im Kiosk-Modus nicht erlaubt.

Sicherheit

In diesem Abschnitt können Sie sicherheitsrelevante Richtlinien konfigurieren.

 

Aktionen bei Sicherheitsrisiken

Wählen Sie aus, was zu tun ist, wenn ein Gerät in Statusberichten ein Sicherheitsrisiko meldet.

 

Unterstützte Sicherheitsrisiko-Typen:

Unbekanntes Betriebssystem: Die Play Integrity API erkennt, dass das Gerät ein unbekanntes Betriebssystem ausführt (der basicIntegrity-Check ist erfolgreich, aber ctsProfileMatch schlägt fehl).

Kompromittiertes Betriebssystem: Die Play Integrity API erkennt, dass das Gerät ein kompromittiertes Betriebssystem ausführt (der basicIntegrity-Check schlägt fehl).

Hardwaregestützte Bewertung fehlgeschlagen: Die Play Integrity API erkennt, dass das Gerät keine starke Garantie für die Systemintegrität bietet, falls das Label MEETS_STRONG_INTEGRITY nicht im Feld für Geräteintegrität angezeigt wird.

 

Verfügbare Aktionen:

Unternehmensdaten löschen (Standard): Gerät abmelden und Arbeitsdaten löschen (das gesamte Gerät bei vollständiger Verwaltung oder nur das Arbeitsprofil bei profilgesteuerten Geräten).

Keine Aktion: Das Gerät bleibt angemeldet und es erfolgt keine automatische Aktion.

 

Wenn Sie Unternehmensdaten löschen auswählen, können Sie auch die Löschoptionen konfigurieren:

Werkseinstellungs-Schutz beibehalten: Daten zum Werkseinstellungs-Schutz (FRP) beim Löschen des Geräts beibehalten.

Externen Speicher löschen: Zusätzlich zum Löschen des Geräts wird auch der externe Speicher (wie SD-Karten) gelöscht.

eSIMs löschen: Bei unternehmenseigenen Geräten werden beim Löschen des Geräts alle eSIMs vom Gerät entfernt. Bei im Privatbesitz befindlichen Geräten werden nur verwaltete eSIMs (eSIMs, die über den Befehl ADD_ESIM hinzugefügt wurden) auf den Geräten entfernt; privatmäßig hinzugefügte eSIMs werden nicht gelöscht.

 

1. Max. Zeit bis zur Sperrung

Maximale Zeit (in Sekunden) für Benutzeraktivität, bis das Gerät gesperrt wird. Ein Wert von 0 bedeutet, dass keine Einschränkung besteht.

 

2. Bildschirm an beim Laden

Die Modi mit angeschlossenem Akku, in denen das Gerät eingeschaltet bleibt. Wenn Sie diese Einstellung verwenden, wird empfohlen, Max. Zeit bis zur Sperrung zu leeren, damit sich das Gerät nicht selbst sperrt, während es eingeschaltet bleibt.

Netzteil: Die Stromquelle ist ein Netzteil.

USB-Anschluss: Die Stromquelle ist ein USB-Anschluss.

Kabelloses Ladegerät: Die Stromquelle ist kabellos.

 

3. Sperrbildschirm deaktiviert

Wenn dies aktiviert ist, wird der Sperrbildschirm für primäre und/oder sekundäre Displays deaktiviert. Diese Richtlinie wird nur im Modus für dedizierte Geräteverwaltung unterstützt.

 

4. Passwortanforderungen

Richtlinien für Passwortanforderungen.

Verwenden Sie Passwortanforderungen konfigurieren, um einen oder mehrere Blöcke für Passwortanforderungen hinzuzufügen. Verwenden Sie Alle löschen, um alle konfigurierten Passwortanforderungen zu entfernen.

Passwortanforderungen können den Auto-Bereich (einzelne Anforderung) oder separate Gerät/Arbeitsprofil-Bereiche verwenden. Komplexitätsbasierte Anforderungen müssen mit qualitätsbasierten Anforderungen für denselben Bereich gekoppelt werden.

4.1. Bereich

Der Bereich, auf den sich die Passwortanforderung bezieht.

Auto: Der Bereich ist nicht festgelegt. Die Passwortanforderungen werden auf das Arbeitsprofil für Geräte mit Arbeitsprofil und auf das gesamte Gerät für vollständig verwaltete oder dedizierte Geräte angewendet.

Gerät: Die Passwortanforderungen werden nur auf das Gerät angewendet.

Arbeitsprofil: Die Passwortanforderungen werden nur auf das Arbeitsprofil angewendet.

4.2. Länge des Passwortverlaufs

Die Länge des Passwortverlaufs. Nach dem Festlegen dieses Feldes kann der Benutzer kein neues Passwort eingeben, das mit einem Passwort aus dem Verlauf identisch ist. Ein Wert von 0 bedeutet, dass keine Einschränkung besteht.

4.3. Max. fehlgeschlagene Passworteingaben für Löschung

Anzahl der fehlerhaften Passworteingaben zur Geräteentsperrung, die eingegeben werden können, bevor das Gerät gelöscht wird. Ein Wert von 0 bedeutet, dass keine Einschränkung besteht.

4.4. Ablauf der Passwortgültigkeit (Tage)

Diese Einstellung zwingt den Benutzer dazu, sein Passwort nach der angegebenen Anzahl von Tagen regelmäßig zu aktualisieren.

4.5. Passwort-Entsperrung erforderlich

Die Zeitspanne, in der ein Gerät oder Arbeitsprofil nach einer Entsperrung mittels starker Authentifizierung (Passwort, PIN, Muster) mit anderen Authentifizierungsmethoden (z. B. Fingerabdruck, Trust-Agents, Gesichtserkennung) entsperrt werden kann. Nach Ablauf des angegebenen Zeitraums können nur noch starke Authentifizierungsmethoden zur Entsperrung des Geräts oder Arbeitsprofils verwendet werden.

Standard des Geräts: Der Zeitablauf wird auf den Standard des Geräts gesetzt.

Jeden Tag: Der Zeitablauf wird auf 24 Stunden gesetzt.

4.6. Passwortqualität

Die erforderliche Passwortqualität.

Hohe Komplexität: Definiert die hohe Passwortkomplexität als: Ab Android 12: PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen, Länge mindestens 8; alphabetisch, Länge mindestens 6; alphanumerisch, Länge mindestens 6.

Mittlere Komplexität: Definiert die mittlere Passwortkomplexität als: PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen, Länge mindestens 4; alphabetisch, Länge mindestens 4; alphanumerisch, Länge mindestens 4.

Niedrige Komplexität: Definiert die niedrige Passwortkomplexität als: Muster; PIN mit sich wiederholenden (4444) oder geordneten (1234, 4321, 2468) Sequenzen.

Keine: Es gibt keine Passwortanforderungen.

Schwach: Das Gerät muss mindestens mit einer biometrischen Erkennungstechnologie mit geringer Sicherheit gesichert sein. Dies umfasst Technologien, die die Identität einer Person erkennen können und in etwa einer 3-stelligen PIN entsprechen (Fehlererkennungsrate weniger als 1 zu 1.000).

Beliebig: Ein Passwort ist erforderlich, aber es gibt keine Einschränkungen bezüglich des Inhalts des Passworts.

Numerisch: Das Passwort muss numerische Zeichen enthalten.

Numerisch komplex: Das Passwort muss numerische Zeichen enthalten, jedoch ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen.

Alphabetisch: Das Passwort muss alphabetische (oder Symbol-) Zeichen enthalten.

Alphanumerisch: Das Passwort muss sowohl numerische als auch alphabetische (oder Symbol-) Zeichen enthalten.

Komplex: Das Passwort muss die Mindestanforderungen erfüllen, die in passwordMinimumLength, passwordMinimumLetters, passwordMinimumSymbols usw. angegeben sind. Wenn beispielsweise passwordMinimumSymbols auf 2 gesetzt ist, muss das Passwort mindestens zwei Symbole enthalten.

4.7. Mindestlänge

Die minimal zulässige Passwortlänge. Ein Wert von 0 bedeutet, dass keine Einschränkung besteht.

4.8. Mindestanzahl an Buchstaben

Mindestanzahl der im Passwort erforderlichen Buchstaben.

4.9. Mindestanzahl an Kleinbuchstaben

Mindestanzahl der im Passwort erforderlichen Kleinbuchstaben.

4.10. Mindestanzahl an Großbuchstaben

Mindestanzahl der im Passwort erforderlichen Großbuchstaben.

4.11. Mindestanzahl an Nicht-Buchstaben-Zeichen

Mindestanzahl der im Passwort erforderlichen Nicht-Buchstaben-Zeichen (Ziffern oder Symbole).

4.12. Mindestanzahl an Ziffern

Mindestanzahl der im Passwort erforderlichen Ziffern.

4.13. Mindestanzahl an Symbolen

Mindestanzahl der im Passwort erforderlichen Symbole.

4.14. Einheitliche Sperre

Steuert, ob eine einheitliche Sperre für das Gerät und das Arbeitsprofil zulässig ist (auf Geräten mit Android 9 oder höher und einem Arbeitsprofil). Dies hat keine Auswirkungen auf andere Geräte.

Einheitliche Sperre zulassen: Eine gemeinsame Sperre für das Gerät und das Arbeitsprofil ist zulässig.

Getrennte Arbeitssperre erforderlich: Eine separate Sperre für das Arbeitsprofil ist erforderlich.

 

5. Werkseinstellung deaktiviert

Ob das Zurücksetzen auf Werkseinstellungen über die Einstellungen deaktiviert ist. Nur anwendbar auf vollständig verwaltete Geräte.

 

6. Werkseinstellungs-Schutz

E-Mail-Adressen von Geräteadministratoren für den Werkseinstellungs-Schutz. Wenn das Gerät einen unbefugten Werksreset erfährt, muss sich einer dieser Administratoren mit der Google-Konten-E-Mail und dem Passwort anmelden, um das Gerät zu entsperren. Wenn keine Administratoren angegeben sind, bietet das Gerät keinen Werkseinstellungs-Schutz. Nur anwendbar auf vollständig verwaltete Geräte.

Administrator-E-Mails: Verwenden Sie Werkseinstellungs-Schutz aktivieren, um mit der Konfiguration der Administratoren zu beginnen. Verwenden Sie dann Administrator-E-Mail hinzufügen, um Adressen hinzuzufügen, und die Löschaktion, um sie zu entfernen.

 

7. Sperrbildschirm-Funktionen

Sperrbildschirm-Funktionen (Lockscreen), die deaktiviert werden können.

7.1. Alle deaktivieren

Deaktiviert alle aktuellen und zukünftigen Anpassungen des Sperrbildschirms.

7.2. Kamera deaktivieren

Deaktiviert die Kamera auf gesicherten Sperrbildschirmen (z. B. PIN).

7.3. Benachrichtigungen deaktivieren

Deaktiviert die Anzeige aller Benachrichtigungen auf gesicherten Sperrbildschirmen.

7.4. Unzensierte Benachrichtigungen deaktivieren

Deaktiviert unzensierte Benachrichtigungen auf gesicherten Sperrbildschirmen.

7.5. Status von Trust-Agents ignorieren

Ignoriert den Status von Trust-Agents auf gesicherten Sperrbildschirmen.

7.6. Fingerabdruck deaktivieren

Deaktiviert den Fingerabdrucksensor auf gesicherten Sperrbildschirmen.

7.7. Texteingabe in Benachrichtigungen deaktivieren

Deaktiviert die Texteingabe in Benachrichtigungen auf gesicherten Sperrbildschirmen.

7.8. Gesichtserkennung deaktivieren

Deaktiviert die Gesichtserkennung auf gesicherten Sperrbildschirmen.

7.9. Iris-Erkennung deaktivieren

Deaktiviert die Iris-Erkennung auf gesicherten Sperrbildschirmen.

7.10. Alle biometrischen Authentifizierungen deaktivieren

Deaktiviert alle biometrischen Authentifizierungen auf gesicherten Sperrbildschirmen.

7.11. Alle Verknüpfungen deaktivieren

Deaktiviert alle Verknüpfungen auf dem gesicherten Sperrbildschirm bei Android 14 und höher.

Multimedia

In diesem Abschnitt können Sie das Verhalten von Kamera/Mikrofon, den USB-Datenzugriff, das Drucken sowie Anzeigeeinschränkungen konfigurieren.

 

1. Kamerazugriff

Steuert die Verwendung der Kamera und ob der Benutzer auf den Schalter für den Kamerazugriff zugreifen kann (Android 12+). Im Allgemeinen gilt das Deaktivieren der Kamera geräteweit bei vollständig verwalteten Geräten und nur innerhalb des Arbeitsprofils bei Geräten mit Arbeitsprofil.

Wahl des Benutzers (Standard): Standardverhalten des Geräts. Kameras sind verfügbar und (ab Android 12+) kann der Benutzer den Kamerazugriff umschalten.

Deaktiviert: Alle Kameras sind deaktiviert (vollständig verwaltet: geräteweit; Arbeitsprofil: nur für Apps im Arbeitsprofil). Der Schalter für den Kamerazugriff hat im verwalteten Bereich keine Auswirkung.

Erzwungen: Kameras sind verfügbar. Auf vollständig verwalteten Geräten mit Android 12+ kann der Benutzer den Kamerazugriff nicht umschalten. Auf anderen Geräten/Versionen verhält sich dies wie die Option „Wahl des Benutzers“.

 

2. Mikrofonzugriff

Auf vollständig verwalteten Geräten steuert dies die Verwendung des Mikrofons und ob der Benutzer auf den Schalter für den Mikrofonzugriff zugreifen kann (Android 12+). Diese Einstellung hat keine Auswirkungen auf Geräte, die nicht vollständig verwaltet sind.

Wahl des Benutzers (Standard): Standardverhalten. Das Mikrofon ist verfügbar und (ab Android 12+) kann der Benutzer den Mikrofonzugriff umschalten.

Deaktiviert: Das Mikrofon ist deaktiviert (geräteweit). Der Schalter für den Mikrofonzugriff hat keine Auswirkung.

Erzwungen: Das Mikrofon ist verfügbar. Auf Android 12+ kann der Benutzer den Mikrofonzugriff nicht umschalten. Auf Android 11 oder niedriger verhält sich dies wie die Option „Wahl des Benutzers“.

 

3. USB-Datenzugriff

Steuert, welche Dateien und/oder Daten über USB übertragen werden können. Wird nur auf unternehmenseigenen Geräten unterstützt.

Dateiübertragung untersagen (Standard): Dateiübertragungen sind untersagt, aber andere USB-Datenverbindungen (z. B. Maus/Tastatur) sind erlaubt.

Datenübertragung untersagen: Alle Arten von USB-Datenübertragungen sind verboten (Android 12+ mit USB HAL 1.3+). Falls nicht unterstützt, fällt das Gerät auf „Dateiübertragung untersagen“ zurück.

Datenübertragung zulassen: Alle Arten von USB-Datenübertragungen sind erlaubt.

 

4. Drucken

Steuert, ob das Drucken erlaubt ist (Android 9+).

Zulässig (Standard): Das Drucken ist erlaubt.

Untersagt: Das Drucken ist untersagt (Android 9+).

 

5. Bildschirmohelligkeitseinstellungen

Steuert den Modus der Bildschirmhelligkeit und (optional) den Helligkeitswert.

Bildschirmhelligkeitsmodus:

Wahl des Benutzers (Standard): Der Benutzer darf die Bildschirmhelligkeit konfigurieren.

Automatisch: Die Helligkeit wird automatisch geregelt und der Benutzer kann sie nicht ändern. Sie können dennoch einen Helligkeitswert festlegen, der als Teil der automatischen Anpassung verwendet wird (vollständig verwaltetes Android 9+; Arbeitsprofile auf unternehmenseigenen Android 15+).

Fest: Die Helligkeit wird auf den konfigurierten Wert gesetzt und der Benutzer kann ihn nicht ändern. Der Helligkeitswert ist erforderlich (vollständig verwaltetes Android 9+; Arbeitsprofile auf unternehmenseigenen Android 15+).

Bildschirmhelligkeit:

Wert von 1 bis 255 (1 = niedrigste, 255 = höchste Helligkeit). Ein Wert von 0 bedeutet, dass kein Helligkeitswert festgelegt ist.

 

6. Einstellungen zum Bildschirm-Timeout

Steuert, ob der Benutzer das Bildschirm-Timeout konfigurieren kann und (wenn erzwungen) den Timeout-Wert.

Das Feld Bildschirm-Timeout-Modus ermöglicht die Auswahl zwischen benutzergesteuertem und erzwungenem Verhalten.

Wahl des Benutzers (Standard): Der Benutzer darf das Bildschirm-Timeout konfigurieren.

Erzwungen: Das Bildschirm-Timeout wird auf den konfigurierten Wert gesetzt und der Benutzer kann ihn nicht ändern (vollständig verwaltetes Android 9+; Arbeitsprofile auf unternehmenseigenen Android 15+).

Bildschirm-Timeout:

Timeout-Dauer in Sekunden. Der Wert muss größer als 0 sein. Wenn er größer als Maximale Sperrzeit ist, kann das System den Wert begrenzen und eine Nichtkonformität melden.

 

7. Bildschirmaufnahme deaktiviert

Ob die Bildschirmaufnahme deaktiviert ist.

 

8. Lautstärkeregelung deaktiviert

Ob die Anpassung der Hauptlautstärke deaktiviert ist.

 

9. Einbinden physischer Medien deaktiviert

Ob das Einbinden physischer externer Medien deaktiviert ist.

Cellular

In diesem Abschnitt können Sie Richtlinien im Zusammenhang mit dem Mobilfunk konfigurieren.

 

1. Flugmodus

Steuert, ob der Flugmodus durch den Benutzer ein- oder ausgeschaltet werden kann.

Wahl des Benutzers (Standard): Dem Benutzer ist es erlaubt, den Flugmodus ein- oder auszuschalten.

Deaktiviert: Der Flugmodus ist deaktiviert. Dem Benutzer ist es nicht erlaubt, den Flugmodus einzuschalten. Unterstützt auf Android 9 und höher.

 

2. Mobilfunk 2G

Steuert, ob die Mobilfunk-2G-Einstellung durch den Benutzer ein- oder ausgeschaltet werden kann.

Wahl des Benutzers (Standard): Dem Benutzer ist es erlaubt, die Mobilfunk-2G-Unterstützung ein- oder auszuschalten.

Deaktiviert: Mobilfunk 2G ist deaktiviert. Dem Benutzer ist es nicht erlaubt, Mobilfunk 2G über die Einstellungen einzuschalten. Unterstützt auf Android 14 und höher.

 

3. APNs überschreiben

Steuert, ob das Überschreiben von APNs aktiviert oder deaktiviert ist. Wenn es aktiviert ist, werden nur die konfigurierten Ersatz-APNs verwendet und alle anderen APNs auf dem Gerät ignoriert.

Deaktiviert (Standard): Alle konfigurierten APN-Einstellungen werden auf dem Gerät gespeichert, sind jedoch deaktiviert und haben keine Auswirkung. Alle anderen APNs auf dem Gerät bleiben in Gebrauch.

Aktiviert: Es werden nur die Ersatz-APNs verwendet, alle anderen APNs werden ignoriert. Diese Einstellung kann nur auf voll verwalteten Geräten mit Android 10 oder höher konfiguriert werden.

 

4. APN-Einstellungen

Konfigurieren Sie einen oder mehrere APN-Einträge. Verwenden Sie Add APN, um einen Eintrag zu erstellen, und Remove APN, um ihn zu löschen.

Jeder APN hat erforderliche Felder:

APN-Typen: Wählen Sie einen oder mehrere Datentypen für diesen APN aus (die Verfügbarkeit hängt vom Verwaltungsmodus und der Android-Version ab).

APN-Name: Die vom Mobilfunkanbieter bereitgestellte APN-Kennung.

Anzeigename: Benutzerfreundlicher Name, der in der Benutzeroberfläche angezeigt wird.

 

Optionale APN-Felder:

Authentifizierungstyp, Benutzername, Passwort: Konfiguration der Anbieterauthentifizierung (falls erforderlich).

Protokoll und Roaming-Protokoll: Konfiguration des IP-Protokolls.

Netzwerktypen: Beschränkung der Mobilfunktechnologien, die der APN verwenden darf (z. B. LTE/5G NR).

Proxy-Adresse und Proxy-Port: HTTP-Proxy für den Datenverkehr (falls zutreffend).

MMS-Proxy-Adresse, MMS-Proxy-Port, MMSC (MMS Center URI): Einstellungen im Zusammenhang mit MMS.

Numerische Betreiber-ID (MCC+MNC) und Carrier ID: Felder zur Identifizierung des Anbieters.

Always On Einstellung: Ob die durch diesen APN aktivierte PDU-Sitzung dauerhaft (always-on) aktiv bleiben soll. Unterstützt auf Android 15 und höher.

MVNO-Typ: Identifikationstyp des mobilen virtuellen Netzbetreibers.

MTU IPv4 und MTU IPv6: Maximum Transmission Unit für IPv4/IPv6-Routen. Unterstützt auf Android 13 und höher.

 

5. Zellbroadcast-Konfiguration deaktiviert

Ob die Konfiguration von Zellbroadcast deaktiviert ist.

 

6. Mobilfunknetz-Konfiguration deaktiviert

Ob die Konfiguration von Mobilfunknetzen deaktiviert ist.

 

7. Daten-Roaming deaktiviert

Ob die Daten-Roaming-Dienste deaktiviert sind.

 

8. ausgehende Anrufe deaktiviert

Ob ausgehende Anrufe deaktiviert sind.

 

9. SMS deaktiviert

Ob das Senden und Empfangen von SMS-Nachrichten deaktiviert ist.

 

10. 5G Network Slicing Konfiguration

Konfigurieren Sie die Einstellungen für den bevorzugten Netzwerkdienst, um das unternehmensweite 5G-Network-Slicing zu aktivieren. Sie können bis zu 5 Unternehmens-Slices einrichten und Anwendungen spezifischen Netzwerken zuweisen, um das Traffic-Routing zu optimieren.

10.1. Standard-bevorzugtes Netzwerk

Standard-ID des bevorzugten Netzwerks für Anwendungen, die nicht in der Anwendungsliste enthalten sind, oder falls das Preferential Network einer App nicht festgelegt ist. Es muss eine Konfiguration für die angegebene Netzwerk-ID vorhanden sein (außer wenn No Preferential Network eingestellt ist).

Hinweis: Kritische Apps wie com.google.android.apps.work.clouddpc und com.google.android.gms sind von dieser Standardeinstellung ausgeschlossen.

 

10.2. Netzwerkdienst-Konfigurationen

Verwenden Sie Add Network Configuration, um eine Slice-Konfiguration zu erstellen. Sie können bis zu 5 Konfigurationen hinzufügen. Jede Konfiguration enthält:

Preferential Network ID (Auto-assigned): Die Netzwerk-ID wird automatisch zugewiesen und kann nicht geändert werden.

Fallback to Default Connection: Ob ein Fallback auf das geräteweite Standardnetzwerk erlaubt ist. Wenn dies untersagt ist, können Apps nicht auf das Internet zugreifen, falls der 5G-Slice nicht verfügbar ist.

Non-Matching Networks: Ob Apps, die dieser Konfiguration unterliegen, Netzwerke verwenden dürfen, die nicht dem bevorzugten Dienst entsprechen. Wenn dies auf Disallowed gesetzt ist, muss auch Fallback to Default Connection auf Disallowed stehen. Erfordert Android 14 oder höher.

Netzwerk

In diesem Abschnitt können Sie Richtlinien im Zusammenhang mit dem Netzwerk konfigurieren.

Wi-Fi-Konfigurationen können durch das System über Wi-Fi-Konfigurationen bereitgestellt und verwaltet werden. Je nach dem unter Wi-Fi konfigurieren festgelegten Wert haben Benutzer möglicherweise nur begrenzten oder gar keinen Zugriff auf das Hinzufügen/Ändern von Netzwerken.

 

Funkstatus des Geräts

1. Wi-Fi-Status

Steuert den aktuellen Wi-Fi-Status und ob der Benutzer diesen ändern kann.

Wahl des Benutzers (Standard): Der Benutzer darf Wi-Fi aktivieren/deaktivieren.

Aktiviert: Wi-Fi ist eingeschaltet und der Benutzer darf es nicht ausschalten (Android 13+).

Deaktiviert: Wi-Fi ist ausgeschaltet und der Benutzer darf es nicht einschalten (Android 13+).

 

2. Mindest-Wi-Fi-Sicherheitsstufe

Die erforderliche Mindestsicherheitsstufe für Wi-Fi-Netzwerke, mit denen sich das Gerät verbinden kann. Unterstützt ab Android 13 für vollständig verwaltete Geräte und Arbeitsprofile auf unternehmenseigenen Geräten.

Offenes Netzwerk (Standard): Das Gerät kann sich mit allen Arten von Wi-Fi-Netzwerken verbinden.

Persönliches Netzwerk: Verbietet offene Wi-Fi-Netzwerke; erfordert mindestens persönliche Sicherheit (zum Beispiel WPA2-PSK).

Unternehmensnetzwerk: Erfordert EAP-Unternehmensnetzwerke; verbietet Wi-Fi-Netzwerke unterhalb dieser Sicherheitsstufe.

192-Bit-Unternehmensnetzwerk: Erfordert 192-Bit-Unternehmensnetzwerke; strengste Option.

 

3. Ultra-Breitband (UWB)-Status

Steuert den Status der Ultra-Breitband-Einstellung und ob der Benutzer diese ein- oder ausschalten kann.

Wahl des Benutzers (Standard): Der Benutzer darf UWB ein- oder ausschalten.

Deaktiviert: UWB ist deaktiviert und der Benutzer darf es nicht über die Einstellungen umschalten (Android 14+).

 

Geräte-Konnektivitätsmanagement

4. Bluetooth-Freigabe

Steuert, ob die Bluetooth-Freigabe zulässig ist.

Zulässig: Die Bluetooth-Freigabe ist erlaubt (Standard bei vollständig verwalteten Geräten, Android 8+).

Untersagt: Die Bluetooth-Freigabe ist untersagt (Standard bei Arbeitsprofilen, Android 8+).

 

5. Wi-Fi konfigurieren

Steuert die Berechtigungen zur Wi-Fi-Konfiguration. Je nach gewählter Option hat der Benutzer die volle, begrenzte oder gar keine Kontrolle bei der Konfiguration von Wi-Fi-Netzwerken.

Wi-Fi konfigurieren erlauben (Standard): Der Benutzer darf Wi-Fi konfigurieren.

Hinzufügen von Wi-Fi-Konfigurationen untersagen: Das Hinzufügen neuer Wi-Fi-Konfigurationen ist untersagt. Der Benutzer kann zwischen bereits konfigurierten Netzwerken wechseln (Android 13+; vollständig verwaltete Geräte und unternehmenseigene Arbeitsprofile).

Wi-Fi-Konfiguration untersagen: Das Konfigurieren von Wi-Fi-Netzwerken ist untersagt. Bei vollständig verwalteten Geräten werden benutzerkonfigurierte Netzwerke entfernt und es bleiben nur über Wi-Fi-Konfigurationen konfigurierte Netzwerke beibehalten. Bei unternehmenseigenen Arbeitsprofilen sind bestehende Netzwerke nicht betroffen, aber Benutzer können keine Wi-Fi-Netzwerke hinzufügen, entfernen oder ändern.

Wenn die Wi-Fi-Konfiguration deaktiviert ist und das Gerät beim Booten keine Verbindung herstellen kann, kann das System die Netzwerk-Notausgang anzeigen, um dem Benutzer eine vorübergehende Verbindung zu ermöglichen und die Richtlinie zu aktualisieren.

 

6. Wi-Fi-Direct-Einstellungen

Steuert die Konfiguration und Nutzung von Wi-Fi-Direct-Einstellungen. Wird auf unternehmenseigenen Geräten mit Android 13 und höher unterstützt.

Zulassen (Standard): Der Benutzer darf Wi-Fi Direct verwenden.

Untersagen: Der Benutzer darf kein Wi-Fi Direct verwenden.

 

7. Tethering-Einstellungen

Steuert die Tethering-Einstellungen. Je nach gewähltem Wert wird dem Benutzer die Nutzung verschiedener Formen des Tetherings teilweise oder vollständig untersagt.

Alle Tethering-Arten erlauben (Standard): Erlaubt die Konfiguration und Nutzung aller Formen des Tetherings.

Wi-Fi-Tethering untersagen: Verhindert, dass der Benutzer Wi-Fi-Tethering verwendet (unternehmenseigene Android 13+).

Alle Tethering-Arten untersagen: Verbietet alle Formen des Tetherings (vollständig verwaltete Geräte + unternehmenseigene Arbeitsprofile).

 

8. Wi-Fi-SSID-Richtlinie

Beschränkungen für die Wi-Fi-SSIDs, mit denen sich das Gerät verbinden kann (dies hat keinen Einfluss darauf, welche Netzwerke auf dem Gerät konfiguriert werden können). Wird auf unternehmenseigenen Geräten mit Android 13 und höher unterstützt.

SSID-Denylist (Standard): Das Gerät kann sich mit keinem Wi-Fi-Netzwerk verbinden, dessen SSID in der Liste steht, kann sich aber mit anderen Netzwerken verbinden.

SSID-Allowlist: Das Gerät kann sich nur mit den aufgeführten SSIDs verbinden. Die SSID-Liste darf nicht leer sein.

Verwenden Sie SSID hinzufügen, um Einträge hinzuzufügen. Je nach gewähltem Richtlinientyp wird die Liste als erlaubte oder verbotene SSIDs interpretiert.

In der Benutzeroberfläche des Richtlinien-Editors wird die SSID-Liste für Allowlisten als Erlaubte Wi-Fi-SSIDs und für Denylists als Verbotene Wi-Fi-SSIDs bezeichnet.

 

9. Wi-Fi-Roaming-Einstellungen

Konfigurieren Sie den Wi-Fi-Roaming-Modus pro SSID. Verwenden Sie Wi-Fi-Roaming-Einstellung hinzufügen, um Einträge zu erstellen.

Jeder Eintrag enthält:

SSID: Die SSID, für die die Roaming-Einstellung gilt (erforderlich).

Wi-Fi-Roaming-Modus: Standard / Deaktiviert / Aggressiv. Die Optionen „Deaktiviert“ und „Aggressiv“ erfordern Android 15+ und werden nur auf vollständig verwalteten Geräten sowie Arbeitsprofilen auf unternehmenseigenen Geräten unterstützt.

 

Netzwerkbeschränkungen

10. Bluetooth deaktiviert

Ob Bluetooth deaktiviert ist. Diese Einstellung wird der Option „Bluetooth-Konfiguration deaktiviert“ vorgezogen, da die Bluetooth-Konfiguration vom Benutzer umgangen werden kann.

 

11. Bluetooth-Kontaktsymbole-Freigabe deaktiviert

Ob die Bluetooth-Kontaktsymbole-Freigabe deaktiviert ist.

 

12. Bluetooth-Konfiguration deaktiviert

Ob die Konfiguration von Bluetooth deaktiviert ist.

 

13. Netzwerk-Reset deaktiviert

Ob das Zurücksetzen der Netzwerkeinstellungen deaktiviert ist.

 

14. Android Beam (ausgehend) deaktiviert

Ob die Verwendung von NFC zum Senden von Daten aus Apps deaktiviert ist.

 

VPN

15. Always-on-VPN-App

Geben Sie einen Paketnamen für die Always-on-VPN-App an, um sicherzustellen, dass Daten von den angegebenen verwalteten Apps immer über ein konfiguriertes VPN gesendet werden.

Hinweis: Diese Funktion erfordert den Einsatz eines VPN-Clients, der sowohl die Always-on- als auch die App-spezifische VPN-Funktion unterstützt.

 

16. VPN-Lockdown

Verhindert die Nutzung des Netzwerks, wenn keine VPN-Verbindung besteht.

 

17. VPN-Konfiguration deaktiviert

Ob die Konfiguration von VPN deaktiviert ist.

 

Proxy und Netzwerkdienste

18. Bevorzugter Netzwerkdienst

Steuert, ob ein bevorzugter Netzwerkdienst im Arbeitsprofil aktiviert ist. Beispielsweise kann eine Organisation mit einem Mobilfunkanbieter vereinbart haben, dass geschäftliche Daten über einen speziellen Netzwerkdienst für die Unternehmensnutzung gesendet werden (z. B. ein Enterprise-Slice in 5G-Netzen). Dies hat keine Auswirkungen auf vollständig verwaltete Geräte.

Deaktiviert: Der bevorzugte Netzwerkdienst ist im Arbeitsprofil deaktiviert.

Aktiviert: Der bevorzugte Netzwerkdienst ist im Arbeitsprofil aktiviert.

Wenn Sie Enterprise-Network-Slicing verwenden, konfigurieren Sie zusätzlich die 5G-Network-Slicing-Konfiguration im Bereich Mobilfunk und weisen Apps einem Slice über die Einstellung Bevorzugter Netzwerkdienst zu.

 

Der netzwerkunabhängige globale HTTP-Proxy. Normalerweise sollten Proxys pro Netzwerk in den Wi-Fi-Konfigurationen eingerichtet werden. Ein globaler Proxy kann bei ungewöhnlichen Konfigurationen, wie etwa einer allgemeinen internen Filterung, nützlich sein. Der globale Proxy ist lediglich eine Empfehlung und einige Apps ignorieren ihn möglicherweise.

Deaktiviert

Direkt-Proxy

Proxy-Autokonfiguration (PAC)

19.1. Host

Der Host des Direkt-Proxys.

19.2. Port

Der Port des Direkt-Proxys.

19.3. PAC-URI

Die URI des zum Konfigurieren des Proxys verwendeten PAC-Skripts.

19.4. Ausgeschlossene Hosts

Bei einem Direkt-Proxy sind dies die Hosts, für die der Proxy umgangen wird. Hostnamen können Platzhalter wie *.example.com enthalten.

Verwenden Sie Ausgeschlossenen Host hinzufügen, um Einträge hinzuzufügen (nur für Direkt-Proxy verfügbar).

 

Wi-Fi-Konfigurationen

Definieren Sie Wi-Fi-Netzwerkkonfigurationen, die das System auf Geräten anwendet. Verwenden Sie Wi-Fi-Konfiguration hinzufügen, um einen Eintrag zu erstellen und diesen mit der Löschaktion wieder zu entfernen.

20. Wi-Fi-Konfigurationsfelder

Jede Konfiguration umfasst:

Konfigurationsname: Erforderlich.

SSID: Erforderlich.

Automatischer Verbindungsaufbau: Gibt an, ob das Netzwerk automatisch verbunden werden soll, wenn es in Reichweite ist.

Fast Transition: Gibt an, ob der Client versuchen soll, Fast Transition (IEEE 802.11r-2008) mit dem Netzwerk zu nutzen.

Versteckte SSID: Gibt an, ob die SSID ausgestrahlt wird.

MAC-Randomisierungsmodus: Hardware oder Automatisch (Android 13+).

 

20.1. Sicherheit

Wi-Fi-Sicherheitsoptionen:

WEP-PSK: WEP (Pre-Shared Key).

WPA-PSK: WPA/WPA2/WPA3-Personal (Pre-Shared Key).

WPA-EAP: WPA/WPA2/WPA3-Enterprise (Extensible Authentication Protocol).

WPA3 192-Bit-Modus: WPA-EAP-Netzwerk, das nur den WPA3 192-Bit-Modus zulässt.

20.2. Passphrase (Pre-Shared Key)

Wird angezeigt, wenn die Sicherheit auf WEP-PSK oder WPA-PSK eingestellt ist. Die Passphrase ist erforderlich.

20.3. EAP-Methode (Enterprise)

Wird angezeigt, wenn die Sicherheit auf WPA‑EAP oder WPA3 192-Bit-Modus eingestellt ist. Wählen Sie eine EAP-äußere Methode:

EAP‑TLS

EAP‑TTLS

PEAP

EAP‑SIM

EAP‑AKA

20.4. Authentifizierung der Phase 2

Wird für Tunneling-äußere Methoden (EAP‑TTLS und PEAP) angezeigt.

MSCHAPv2

PAP

20.5. EAP-Anmeldedaten von Benutzern

Wenn diese Funktion aktiviert ist, wendet das System EAP-Anmeldedaten automatisch auf Benutzerbasis auf den Geräten an. Sie können Benutzeranmeldedaten im Bereich Benutzer konfigurieren.

20.6. Client-Zertifikat

Für EAP‑TLS können Sie ein Client-Zertifikat zuweisen, das für die Wi‑Fi-Authentifizierung verwendet wird. Weitere Informationen finden Sie auf der Seite Zertifikatsverwaltung.

Wenn bereits ein Zertifikat zugewiesen ist, können Sie Zertifikat öffnen verwenden, um es anzuzeigen, oder Zertifikat ändern, um ein anderes auszuwählen.

Alternativ können Sie einen Alias für das Client-Zertifikatsschlüsselpaar angeben, der auf ein im Android-Schlüsselbund gespeichertes und für die Wi‑Fi-Authentifizierung zugelassenes Client-Zertifikat verweist.

Wenn sowohl das Client-Zertifikat als auch der Alias für das Client-Zertifikatsschlüsselpaar festgelegt sind, wird der Schlüsselpaar-Alias ignoriert.

20.7. Identität

Identität des Benutzers. Bei Tunneling-äußeren Protokollen (PEAP, EAP‑TTLS) wird dies zur Authentifizierung innerhalb des Tunnels verwendet, während die Anonyme Identität für die EAP-Identität außerhalb des Tunnels verwendet wird. Bei Protokollen ohne Tunneling dient dies als EAP-Identität.

20.8. Anonyme Identität

Nur für Tunneling-Protokolle gibt dies die Identität des Benutzers an, die dem äußeren Protokoll übermittelt wird.

20.9. Passwort

Passwort des Benutzers. Wenn nicht angegeben, wird der Benutzer standardmäßig zur Eingabe aufgefordert.

20.10. Server-CA-Zertifikate

Liste der CA-Zertifikate, die zur Überprüfung der Zertifikatskette des Hosts verwendet werden sollen. Mindestens ein CA-Zertifikat muss übereinstimmen. Weitere Informationen finden Sie auf der Seite Zertifikatsverwaltung.

Verwenden Sie Server-CA-Zertifikat hinzufügen, um Einträge hinzuzufügen, und die Löschaktion, um sie zu entfernen.

20.11. Übereinstimmung der Domänen-Suffixe

Eine Liste von Einschränkungen für den Server-Domänennamen. Die Einträge werden als Anforderungen für die Suffix-Übereinstimmung mit dem(n) DNS-Namen des alternativen Subjektnamens eines Authentifizierungsserver-Zertifikats verwendet.

 

System

In diesem Abschnitt können Sie systemrelevante Richtlinien konfigurieren.

 

1. Mindest-API-Level

Das minimal zulässige Android-API-Level.

 

2. Verschlüsselungsrichtlinie

Ob die Verschlüsselung aktiviert ist.

Standard: Dieser Wert wird ignoriert, d. h. es ist keine Verschlüsselung erforderlich.

Aktiviert ohne Passwort: Verschlüsselung erforderlich, aber kein Passwort für den Systemstart notwendig.

Aktiviert mit Passwort: Verschlüsselung erforderlich, wobei ein Passwort für den Systemstart notwendig ist.

 

3. Automatische Datum- und Zeiteinstellung

Ob die automatische Einstellung von Datum, Uhrzeit und Zeitzone auf einem unternehmenseigenen Gerät aktiviert ist.

Wahl des Benutzers (Standard): Automatische Einstellung von Datum, Uhrzeit und Zeitzone werden der Entscheidung des Benutzers überlassen.

Erzwungen: Erzwingt die automatische Einstellung von Datum, Uhrzeit und Zeitzone auf dem Gerät.

 

4. Entwickleroptionen

Steuert den Zugriff auf die Entwickleroptionen: Entwickleroptionen und sicherer Startmodus.

Deaktiviert (Standard): Deaktiviert alle Entwickleroptionen und verhindert den Zugriff des Benutzers darauf.

Zugelassen: Alle Entwickleroptionen sind erlaubt. Der Benutzer kann auf die Einstellungen zugreifen und diese optional konfigurieren.

 

5. Common-Criteria-Modus

Steuert den Common-Criteria-Modus – Sicherheitsstandards, die in den Common Criteria for Information Technology Security Evaluation (CC) definiert sind. Durch das Aktivieren des Common-Criteria-Modus werden bestimmte Sicherheitskomponenten auf einem Gerät verstärkt (z. B. AES-GCM-Verschlüsselung von Bluetooth Long Term Keys, zusätzliche Validierung für einige Netzwerkerzeugnisse und kryptografische Richtlinienintegritätsprüfungen). Der Common-Criteria-Modus wird nur auf unternehmenseigenen Geräten mit Android 11 oder höher unterstützt. Warnung: Der Common-Criteria-Modus erzwingt ein strenges Sicherheitsmodell, das in der Regel nur für hochsensible Organisationen erforderlich ist. Die Standardnutzung des Geräts kann beeinträchtigt werden; aktivieren Sie ihn nur, wenn dies erforderlich ist.

Deaktiviert (Standard): Deaktiviert den Common-Criteria-Modus.

Aktiviert: Aktiviert den Common-Criteria-Modus.

 

6. Memory Tagging Extension (MTE)

Steuert die Memory Tagging Extension (MTE) auf dem Gerät.

Wahl des Benutzers (Standard): Der Benutzer kann entscheiden, MTE auf dem Gerät zu aktivieren oder zu deaktivieren (sofern das Gerät dies unterstützt).

Erzwungen: MTE ist aktiviert und der Benutzer darf dies nicht ändern (Android 14+; unterstützt auf vollständig verwalteten Geräten und Arbeitsprofilen auf unternehmenseigenen Geräten).

Deaktiviert: MTE ist deaktiviert und der Benutzer darf dies nicht ändern (Android 14+; nur auf vollständig verwalteten Geräten unterstützt).

 

7. Inhalts-Schutz

Steuert, ob der Inhaltsschutz (der nach betrügerischen Apps scannt) aktiviert ist. Dies wird ab Android 15 unterstützt.

Deaktiviert (Standard): Der Inhaltsschutz ist deaktiviert und der Benutzer kann dies nicht ändern.

Erzwungen: Der Inhaltsschutz ist aktiviert und der Benutzer kann dies nicht ändern (Android 15+).

Wahl des Benutzers: Der Inhaltsschutz wird nicht durch die Richtlinie gesteuert; der Benutzer kann wählen (Android 15+).

 

8. Assist-Inhalt

Steuert, ob die Weitergabe von Assist-Inhalten an eine privilegierte App wie eine Assistenten-App (z. B. Circle to Search) zulässig ist. Assist-Inhalte umfassen Screenshots und Informationen über eine App, wie z. B. den Paketnamen. Dies wird ab Android 15 unterstützt.

Zugelassen (Standard): Die Weitergabe von Assist-Inhalten an eine privilegierte App ist zulässig (Android 15+).

Nicht zulässig: Die Weitergabe von Assist-Inhalten an eine privilegierte App wird blockiert (Android 15+).

 

9. Fenstererstellung deaktiviert

Ob das Erstellen von Fenstern (außer App-Fenstern) deaktiviert ist. Diese Option verhindert die Anzeige der folgenden System-UIs: Toasts und Snackbars, Telefonaktivitäten (wie eingehende Anrufe) und prioritäre Telefonaktivitäten (wie laufende Anrufe), Systemwarnungen, Systemfehler und System-Overlays.

 

10. Netzwerk-Notausstieg

Ob der Netzwerk-Notausstieg aktiviert ist. Wenn zum Zeitpunkt des Systemstarts keine Netzwerkverbindung hergestellt werden kann, fordert der Notausstieg den Benutzer auf, sich vorübergehend mit einem Netzwerk zu verbinden, um die Geräterichtlinie zu aktualisieren. Nach der Anwendung der Richtlinie wird das temporäre Netzwerk vergessen und das Gerät setzt den Startvorgang fort. Dies verhindert, dass eine Verbindung zu einem Netzwerk unmöglich wird, falls in der letzten Richtlinie kein geeignetes Netzwerk vorhanden war und das Gerät in den App-Lock-Task-Modus startet oder der Benutzer anderweitig keinen Zugriff auf die Geräteeinstellungen hat.

 

11. Standardaktivitäten

Eine Liste von Standardaktivitäten zur Verarbeitung von Intents, die einem bestimmten Intent-Filter entsprechen. Beispielsweise würde diese Funktion es IT-Administratoren ermöglichen, auszuwählen, welche Browser-App Web-Links automatisch öffnet oder welche Launcher-App beim Tippen auf die Home-Taste verwendet wird.

Verwenden Sie Standardaktivität hinzufügen, um Einträge zu erstellen. Verwenden Sie innerhalb eines Eintrags Aktion hinzufügen und Kategorie hinzufügen, um den Intent-Filter aufzubauen.

11.1. Empfänger-Aktivität

Die Aktivität, die als Standard-Intent-Handler fungieren soll. Dies sollte ein Android-Komponentenname sein, z. B. com.android.enterprise.app/.MainActivity. Alternativ kann der Wert der Paketname einer App sein, woraufhin die Android Device Policy eine geeignete Aktivität aus dieser App zur Verarbeitung des Intents auswählt.

11.2. Aktion

Die in den Filter einzubeziehenden Intent-Aktionen. Wenn Aktionen im Filter enthalten sind, muss die Aktion eines Intents mit einem dieser Werte übereinstimmen, damit er passt. Wenn keine Aktionen enthalten sind, wird die Intent-Aktion ignoriert.

11.3. Kategorie

Die in den Filter einzubeziehenden Intent-Kategorien. Ein Intent enthält die Kategorien, die er erfordert; alle diese müssen im Filter enthalten sein, damit eine Übereinstimmung erfolgt. Mit anderen Worten: Das Hinzufügen einer Kategorie zum Filter hat keine Auswirkungen auf die Übereinstimmung, es sei denn, diese Kategorie ist im Intent spezifiziert.

 

12. Zulässige Eingabemethoden

Legt die zulässigen Eingabemethoden fest.

Alle erlaubten: Es werden keine Einschränkungen angewendet. Alle Eingabemethoden sind zulässig.

Nur die des Systems: Nur die im System integrierten Eingabemethoden sind zulässig.

Nur die des Systems und bereitgestellten: Nur die bereitgestellten und die im System integrierten Eingabemethoden sind zulässig.

12.1. Zugelassene Eingabemethoden

Paketnamen der erlaubten Eingabemethoden. Dies gilt nur, wenn Zulässige Eingabemethoden auf Nur die des Systems und bereitgestellten gesetzt ist.

Verwenden Sie Eingabemethode hinzufügen, um Einträge hinzuzufügen, und die Löschaktion, um sie zu entfernen.

 

13. Zulässige Bedienungshilfen

Legt die zulässigen Bedienungshilfen fest.

Alle erlaubten: Jede beliebige Bedienungshilfe kann verwendet werden.

Nur die des Systems: Nur die im System integrierten Bedienungshilfen können verwendet werden.

Nur die des Systems und bereitgestellten: Nur die bereitgestellten und die im System integrierten Bedienungshilfen können verwendet werden.

13.1. Zugelassene Bedienungshilfen

Zugelassene Bedienungshilfen. Dies gilt nur, wenn Zulässige Bedienungshilfen auf Nur die des Systems und bereitgestellten gesetzt ist.

Verwenden Sie Bedienungshilfe hinzufügen, um Einträge hinzuzufügen, und die Löschaktion, um sie zu entfernen.

 

14. System-Update-Richtlinie

Konfiguration zur Verwaltung von System-Updates.

Standard: Das Standard-Updateverhalten des Geräts wird befolgt, was in der Regel erfordert, dass der Benutzer System-Updates akzeptiert.

Automatisch: Automatische Installation, sobald ein Update verfügbar ist.

Fensterbasiert: Automatische Installation innerhalb eines täglichen Wartungsfensters. Dies konfiguriert auch Play-Apps so, dass sie innerhalb des Fensters aktualisiert werden. Dies wird für Kiosk-Geräte dringend empfohlen, da dies der einzige Weg ist, wie im Vordergrund fixierte Apps durch Play aktualisiert werden können.

Aufschieben: Die automatische Installation wird um maximal 30 Tage aufgeschoben.

 

14.1. Wartungsfenster (nur für Fensterbasiert)

Wenn die System-Update-Richtlinie auf Fensterbasiert eingestellt ist, können Sie das tägliche Wartungsfenster über die Felder von und |>bis definieren.

 

14.2. Sperrzeiten für System-Updates

Ein jährlich wiederkehrender Zeitraum, in dem Over-the-Air (OTA) System-Updates aufgeschoben werden, um die auf einem Gerät laufende Betriebssystemversion einzufrieren. Um ein unendliches Einfrieren des Geräts zu verhindern, muss jede Sperrperiode durch mindestens 60 Tage getrennt sein. Jede Sperrperiode darf 90 Tage nicht überschreiten.

Verwenden Sie System-Update-Sperrperiode hinzufügen, um Einträge zu erstellen.

 

15. Standard-Anmeldeinformationsanbieter

Steuert, welche Apps auf Android 14 und höher als Anmeldeinformationsanbieter fungieren dürfen.

Nicht zulässig (Standard): Apps, für die keine credentialProviderPolicy festgelegt wurde, dürfen nicht als Anmeldeinformationsanbieter fungieren.

Nicht zulässig, außer System: Apps, für die keine credentialProviderPolicy festgelegt wurde, dürfen nicht als Anmeldeinformationsanbieter fungieren, außer den standardmäßigen Anmeldeinformationsanbietern des Herstellers (OEM).

Standort und Geofencing

Dieses Panel gruppiert die Android-Richtlinieneinstellungen, mit denen die Standortberichterstattung des Geräts, die Durchsetzung von Standorten und Geofencing-Definitionen gesteuert werden. Verwenden Sie es, wenn Cerberus Enterprise die Standorte von Geräten erfassen oder erkennen soll, wenn Geräte konfigurierte Bereiche betreten oder verlassen.

Standortberichterstattung

Standort melden

Aktiviert die Berichterstattung über die Geolokalisierung des Geräts. Die über diese Einstellung erfassten Standortdaten werden für die Standortkarte im Dashboard, den Standortverlauf in der Geräteübersicht und die Geofencing-Verarbeitung verwendet.

Bei Geräten, die nicht vollständig verwaltet werden, können die Standortdaten weiterhin davon abhängen, dass die Cerberus Enterprise App über die erforderlichen Standortberechtigungen verfügt und die Standortdienste auf dem Gerät aktiviert sind.

Standortmodus

Steuert die Standorteinstellung auf unternehmenseigenen Geräten.

Standortfreigabe deaktiviert

Deaktiviert die Standortfreigabe für Work-Apps. Auf Geräten mit Profile Owner wirkt sich dies auf das Arbeitsprofil aus. Bei vollständig verwalteten Geräten wird der Standort für das gesamte Gerät deaktiviert und überschreibt den Standortmodus des Geräts.

Automatisches Verhalten bei aktiven Geofences

Aktive Geofences erfordern die Standortberichterstattung, um zu funktionieren. Wenn mindestens ein Geofence aktiv ist, hält Cerberus Enterprise die zugehörigen Standorteinstellungen automatisch konsistent.

Wenn Sie versuchen, Standort melden zu deaktivieren, während ein oder mehrere Geofences aktiv sind, zeigt Cerberus Enterprise einen Bestätigungsdialog an. Wenn Sie fortfahren, werden alle aktiven Geofences in der Richtlinie deaktiviert.

Geofence-Liste

Eine Richtlinie kann bis zu 10 Geofences enthalten. Geofence-Namen müssen innerhalb der Richtlinie eindeutig sein.

Verwenden Sie Geofence hinzufügen, um einen neuen Eintrag zu erstellen. Jeder Geofence enthält diese Hauptfelder:

Mindestens eine der Optionen Betreten melden oder Verlassen melden muss für jeden Geofence aktiviert bleiben.

Kartenbearbeitungswerkzeuge

Jede Geofence-Karte enthält eine Kartenvorschau des Bereichs. Sie können die Geometrie direkt über die Karte oder über die numerischen Felder bearbeiten.

Wo Geofence-Daten angezeigt werden

Geofence-Übergänge können auf der Android-Geräteübersicht-Seite im Geofence-Tab des Standort-Panels eingesehen werden. Dieser Tab zeigt Übergänge auf einer dedizierten Karte zusammen mit Filterwerkzeugen und der Übergangsliste an.

Benutzerverwaltung

Benutzer hinzufügen deaktiviert

Ob das Hinzufügen neuer Benutzer und Profile deaktiviert ist. Bei Geräten, bei denen der managementMode auf DEVICE_OWNER eingestellt ist, wird dieses Feld ignoriert und der Benutzer darf niemals Benutzer hinzufügen oder entfernen.

 

Kontenbearbeitung deaktiviert

Ob das Hinzufügen oder Entfernen von Konten deaktiviert ist.

 

Konfiguration von Benutzeranmeldedaten deaktiviert

Ob die Konfiguration von Benutzeranmeldedaten deaktiviert ist.

 

Benutzerentfernung deaktiviert

Ob das Entfernen anderer Benutzer deaktiviert ist.

 

Festlegen des Benutzer-Icons deaktiviert

Ob das Ändern des Benutzer-Icons deaktiviert ist.

 

Festlegen des Hintergrundbilds deaktiviert

Ob das Ändern des Hintergrundbilds deaktiviert ist.

 

Authentifizierung bei der Einrichtung des Geschäftskontos

Steuert, wie sich Benutzer bei der Einrichtung des Geschäftskontos authentifizieren. Diese Option ist nur für Android-Unternehmen verfügbar, die durch eine verwaltete Google-Domain (Google Workspace) unterstützt werden.

Während der Geräteeinrichtung/Registrierung beeinflusst diese Richtlinie, ob eine Anmeldung mit einem Geschäftskonto erforderlich ist, aber die Einstellung Authentifizierung über Google in der Google Admin Konsole und der Registrierungstyp können weiterhin eine Authentifizierung erfordern.

Bei bereits registrierten Geräten gilt diese Richtlinie nur, wenn das Gerät über ein verwaltetes Google Play-Konto verwaltet wird (d. h. registriert ohne Registrierung über Authentifizierung mit Google).

Weitere Einzelheiten und Fehlerbehebung finden Sie unter Registrierung über Authentifizierung mit Google.

 

Blockierte Kontotypen

Kontotypen, die nicht vom Benutzer verwaltet werden können. Diese Option verhindert, dass Gerätebenutzer nicht genehmigte Konten hinzufügen.

Verwenden Sie Blockierten Kontotyp hinzufügen, um einen oder mehrere Kontotypen hinzuzufügen.

Jeder Eintrag hat ein Pflichtfeld Kontotyp. Geben Sie eine Zeichenfolge wie com.google ein. Entfernen Sie einen Eintrag über die Löschaktion.

Private Nutzung

Wenn Sie ein unternehmenseigenes Gerät für die geschäftliche und private Nutzung bereitstellen, können Sie bestimmte Regeln festlegen, um die Nutzung des Geräts für private Zwecke außerhalb des Arbeitsprofils einzuschränken.

Dieser Abschnitt gilt nur für unternehmenseigene Geräte mit Arbeitsprofil. Er hat keine Auswirkungen auf vollständig verwaltete oder im Privatbesitz befindliche Geräte.

1. Kamera deaktiviert

Ob die Kamera deaktiviert ist.

 

2. Bildschirmaufnahme deaktiviert

Ob die Bildschirmaufnahme deaktiviert ist.

 

3. Max. Tage mit deaktiviertem Arbeitsprofil

Steuert, wie lange das Arbeitsprofil deaktiviert bleiben kann.

 

4. Bluetooth-Freigabe

Steuert, ob die Bluetooth-Freigabe im persönlichen Profil eines unternehmenseigenen Geräts mit Arbeitsprofil zulässig ist.

 

5. Privater Bereich

Steuert, ob ein privater Bereich auf dem Gerät zulässig ist.

 

6. Play-Store-Modus

Dieser Modus steuert, welche Apps dem Benutzer im Play Store des persönlichen Profils erlaubt oder blockiert werden.

Blacklist (Standard): Alle Apps sind verfügbar; jede App, die nicht auf dem Gerät sein darf, muss im Bereich Anwendungen explizit als Blockiert markiert werden.

Whitelist: Nur Apps, die im Bereich Anwendungen explizit angegeben sind und bei denen der Installationstyp auf Verfügbar gesetzt ist, dürfen im persönlichen Profil installiert werden.

 

7. Anwendungen

Liste der Anwendungen, die im persönlichen Profil erlaubt oder blockiert werden müssen. Das Verhalten des Listeninhalts hängt vom Wert des Play-Store-Modus ab.

Um eine neue App aus dem Play Store hinzuzufügen, klicken Sie auf das +-Symbol.

7.1. Installationstyp

Arten von Installationsverhalten, die eine Anwendung im persönlichen Profil haben kann.

Blockiert: Die App ist blockiert und kann nicht im persönlichen Profil installiert werden.

Verfügbar: Die App steht zur Installation im persönlichen Profil zur Verfügung.

 

8. Blockierte Kontotypen

Kontotypen, die nicht vom Benutzer verwaltet werden können. Diese Option verhindert, dass Gerätebenutzer nicht genehmigte Konten in ihrem persönlichen Profil hinzufügen.

Profilübergreifende Policies

Gilt nur für Geräte mit persönlichen und Arbeitsprofilen.

Profilübergreifendes Kopieren/Einfügen

Ob Text, der aus einem Profil (privat oder Arbeit) kopiert wurde, in das andere Profil eingefügt werden kann.

Untersagt (Standard): Verhindert, dass Benutzer Text, der aus dem Arbeitsprofil kopiert wurde, in das persönliche Profil einfügen können. Text, der aus dem persönlichen Profil kopiert wurde, kann in das Arbeitsprofil eingefügt werden.

Erlaubt: In einem beliebigen Profil kopierter Text kann in das andere Profil eingefügt werden.

 

Profilübergreifender Datenaustausch

Ob Daten aus einem Profil (privat oder Arbeit) mit Apps im anderen Profil geteilt werden können. Dies steuert speziell den einfachen Datenaustausch über Intents. Die Verwaltung anderer profilübergreifender Kommunikationskanäle, wie z. B. die Kontaktsuche, Kopieren/Einfügen
oder die Verbindung zwischen Arbeits- und Privat-Apps, wird separat konfiguriert.

Untersagt: Verhindert den Datenaustausch sowohl vom persönlichen Profil zum Arbeitsprofil als auch vom Arbeitsprofil zum persönlichen Profil.

Arbeit zu Privat untersagt (Standard): Verhindert, dass Benutzer Daten vom Arbeitsprofil an Apps im persönlichen Profil weitergeben. Private Daten können mit Arbeits-Apps geteilt werden.

Erlaubt: Daten aus jedem der beiden Profile können mit dem anderen Profil geteilt werden.

 

Standard-Arbeitsprofil-Widgets

Standardverhalten für Arbeitsprofil-Widgets. Wenn eine bestimmte App keine Widget-Richtlinie definiert, wird das hier festgelegte Standardverhalten angewendet.

 

Profilübergreifende App-Funktionen

Steuert, ob Apps im persönlichen Profil die App-Funktionen von Apps im Arbeitsprofil aufrufen können. Dies erfordert Android 16 oder höher.

Diese Einstellung hängt von der Option App functions auf Policy-Ebene (im Abschnitt App-Management) ab. Wenn die Option App-Funktionen auf Disallowed gesetzt ist, wird die API die auf Allowed gesetzten profilübergreifenden App-Funktionen ablehnen.

 

Arbeitskontakte im persönlichen Profil

Ob Kontakte, die im Arbeitsprofil gespeichert sind, in den Kontaktsuchen und bei eingehenden Anrufen des persönlichen Profils angezeigt werden können.

Erlaubt (Standard): Ermöglicht es, dass Kontakte aus dem Arbeitsprofil im persönlichen Profil angezeigt werden.

Untersagt: Verhindert, dass Apps im persönlichen Profil auf Kontakte aus dem Arbeitsprofil zugreifen oder diese suchen können.

Untersagt, außer für System-Apps: Verhindert, dass die meisten persönlichen Apps auf Kontakte aus dem Arbeitsprofil zugreifen können; ausgenommen hiervon sind die vom OEM vorinstallierten Standard-Apps für Telefon, Nachrichten und Kontakte (Android 14+).

Wenn die Funktion „Work-Kontakte im persönlichen Profil“ konfiguriert ist, können Sie optional eine Liste von ausgenommenen Paketnamen festlegen. Je nach gewähltem Modus fungieren diese Ausnahmen als Allowlist oder Blocklist für persönliche Apps.

Statusberichterstattung

In diesem Abschnitt können Sie konfigurieren, welche Daten vom Gerät abgerufen werden sollen. Die Statusdaten können auf der Dashboard-Seite Gerätestatus eingesehen werden.

 

Anwendungsberichte

Ob App-Berichte aktiviert sind. (Informationen, die über eine installierte App gemeldet werden.)

Diese Option ist systembedingt erforderlich (für die Integration von Begleit-Apps) und ist immer aktiviert; sie kann nicht deaktiviert werden.

 

Entfernte Apps einbeziehen

Ob entfernte Apps in die Anwendungsberichte einbezogen werden.

 

Geräteeinstellungen

Ob die Berichterstattung über Geräteeinstellungen aktiviert ist. (Informationen über sicherheitsrelevante Geräteeinstellungen auf dem Gerät.)

 

Software-Info

Ob die Berichterstattung über Software-Infos aktiviert ist. (Informationen über die Software des Geräts.)

 

Speicherinfo

Ob die Berichterstattung über den Speicher aktiviert ist. (Ein Ereignis im Zusammenhang mit Speicher- und Speicherkapazitätsmessungen.)

 

Netzwerkinfo

Ob die Berichterstattung über Netzwerk-Infos aktiviert ist. (Netzwerkinfo des Geräts.)

 

Anzeige-Info

Ob die Berichterstattung über Displays aktiviert ist. Berichtdaten sind für im Privatbesitz befindliche Geräte mit Arbeitsprofilen nicht verfügbar. (Anzeigeinformationen des Geräts.)

 

Energieverwaltungsereignisse

Ob die Berichterstattung über Energieverwaltungsereignisse aktiviert ist. Berichtdaten sind für im Privatbesitz befindliche Geräte mit Arbeitsprofilen nicht verfügbar.

 

Hardwarestatus

Ob die Berichterstattung über den Hardwarestatus aktiviert ist. Berichtdaten sind für im Privatbesitz befindliche Geräte mit Arbeitsprofilen nicht verfügbar.

 

Systemeigenschaften

Ob die Berichterstattung über Systemeigenschaften aktiviert ist.

 

Common-Criteria-Modus

Ob die Berichterstattung über den Common-Criteria-Modus aktiviert ist.

Verschiedenes

1. Easter-Egg-Spiel deaktiviert

Gibt an, ob das Easter-Egg-Spiel in den Einstellungen deaktiviert ist.

 

2. Erste Nutzungshinweise überspringen

Kennzeichnung zum Überspringen von Hinweisen bei der ersten Nutzung. Ein Enterprise-Administrator kann die Systemempfehlung aktivieren, dass Apps beim ersten Start ihre Benutzer-Tutorials und andere Einführungshinweise überspringen.

 

3. Kurze Support-Nachricht

Eine Nachricht, die dem Benutzer im Einstellungsbildschirm angezeigt wird, wenn Funktionen durch den Administrator deaktiviert wurden. Wenn die Nachricht länger als 200 Zeichen ist, kann sie gekürzt werden.

 

4. Lange Support-Nachricht

Eine Nachricht, die dem Benutzer im Einstellungsbildschirm des Geräteadministrators angezeigt wird.

 

5. Informationen zum Sperrbildschirm des Besitzers

Die Informationen zum Gerätebesitzer, die auf dem Sperrbildschirm angezeigt werden sollen.

 

6. Einrichtungsaktionen

Aktionen, die während des Einrichtungsprozesses durchgeführt werden. Während der Registrierung können Sie von dem Benutzer verlangen, eine oder mehrere Apps zu öffnen, die für die Geräteeinrichtung erforderlich sind.

Verwenden Sie Einrichtungsaktion hinzufügen, um Einträge zu erstellen und diese mit der Löschaktion wieder zu entfernen.

6.1. App starten

Paketname der zu startenden App

6.2. Titel

Bietet eine für den Benutzer sichtbare Nachricht, um zu erklären, warum das Starten der App erforderlich ist.

6.3. Beschreibung

Bietet eine für den Benutzer sichtbare Nachricht, um dem Benutzer zu erklären, warum das Starten der App erforderlich ist.

 

7. Sichtbarkeit des Unternehmens-Anzeigenamens

Steuert, ob der Anzeigename des Unternehmens auf dem Gerät sichtbar ist (zum Beispiel als Nachricht auf dem Sperrbildschirm bei unternehmenseigenen Geräten).

Sichtbar (Standard): Der Anzeigename des Unternehmens ist auf dem Gerät sichtbar (unterstützt für Arbeitsprofile ab Android 7+ und vollständig verwaltete Geräte ab Android 8+).

Ausgeblendet: Der Anzeigename des Unternehmens wird auf dem Gerät ausgeblendet.

Richtlinien-Durchsetzungsregeln

Wenn ein Gerät oder Arbeitsprofil gegen eine der unten aufgeführten Richtlinieneinstellungen verstößt, blockiert die Android Device Policy standardmäßig sofort die Nutzung des Geräts oder Arbeitsprofils:

Wenn das Gerät oder Arbeitsprofil nach 10 Tagen weiterhin nicht richtlinienkonform ist, führt die Android Device Policy einen Werksreset des Geräts durch oder löscht das Arbeitsprofil.

In diesem Abschnitt können Sie die standardmäßigen Durchsetzungsregeln für die Richtlinienkonformität überschreiben oder neue hinzufügen.

Regeln

Liste der Regeln, die das Verhalten definieren, wenn eine bestimmte Richtlinie nicht auf ein Gerät angewendet werden kann.

Verwenden Sie Regel hinzufügen, um eine neue Regel zu erstellen. Jede Regelkarte kann über die Löschaktion entfernt werden.

Name der Einstellung

Die übergeordnete Richtlinie, die durchgesetzt werden soll. Zum Beispiel Anwendungen oder Passwortanforderungen.

Erforderlich. Der Wert muss mit einem unterstützten übergeordneten Richtliniennamen übereinstimmen; andernfalls wird das Feld als ungültig markiert.

Blockieren nach Anzahl der Tage

Anzahl der Tage, die die Richtlinie nicht konform ist, bevor das Gerät oder Arbeitsprofil blockiert wird. Um den Zugriff sofort zu blockieren, setzen Sie den Wert auf 0. Blockieren nach Anzahl der Tage muss kleiner sein als Löschen nach Anzahl der Tage. Nur anwendbar auf unternehmenseigene Geräte.

Zulässiger Bereich: 0–300.

Blockumfang

Gibt den Umfang der Blockierungsaktion an. Nur anwendbar auf unternehmenseigene Geräte.

Standard (neue Regel): Arbeitsprofil.

Arbeitsprofil: Die Blockierungsaktion wird nur auf Apps im Arbeitsprofil angewendet. Apps im persönlichen Profil sind nicht betroffen.

Gesamtes Gerät: Die Blockierungsaktion wird auf das gesamte Gerät angewendet, einschließlich der Apps im persönlichen Profil.

Löschen nach Anzahl der Tage

Anzahl der Tage, die die Richtlinie nicht konform ist, bevor das Gerät oder Arbeitsprofil gelöscht wird.
Löschen nach Anzahl der Tage muss größer sein als Blockieren nach Anzahl der Tage. Nur anwendbar auf unternehmenseigene Geräte.

Erforderlich. Standard (neue Regel): 1.

Zulässiger Bereich: 1–300.

Werkseinstellungs-Schutz beibehalten

Ob die Daten zum Werkseinstellungs-Schutz auf dem Gerät erhalten bleiben. Diese Einstellung gilt nicht für Arbeitsprofile.

Standard (neue Regel): aktiviert.