Benutzerhandbuch

• Einleitung
• Einrichtung
• Einrichtung von Android Management
• Apple Management-Einrichtung (APNs)
• Überblick über die Gerätebereitstellung
• Gerätebereitstellung - Android
• Unterstützte Geräte
• Enrollment-Token
• Geräte, die von Privatpersonen genutzt werden
• Geräte, die dem Unternehmen gehören und sowohl für die Arbeit als auch für den persönlichen Gebrauch bestimmt sind
• Geräte, die dem Unternehmen gehören und ausschließlich für geschäftliche Zwecke bestimmt sind
• Null-Konfiguration
• Authentifizieren Sie mit der Google-Anmeldung
• Gerätebereitstellung - Apple
• Apple-Bereitstellungsübersicht
• Manuelle Apple-Geräteregistrierung (Registrierungsprofil)
• Apple Automated Device Enrollment (ADE)
• Überblick über Richtlinien
• Richtlinien - Android
• Zusammenfassung
• App-Verwaltung
• Kioskmodus
• Sicherheit
• Multimedia
• Mobilfunk
• Netzwerkfunktionen
• System
• Standort und Geofence
• Benutzerverwaltung
• Privatnutzung
• Richtlinien für mehrere Profile
• Statusberichte
• Sonstiges
• Regeln zur Durchsetzung von Richtlinien
• Richtlinien - Apple
• Apple-Richtlinien
• Apple-Richtlinie: Passcode
• Apple-Richtlinie: Einschränkungen
• Apple-Richtlinie: Apps und Profile
• Gerätestatus
• Geräteübersicht
• Befehle
• Positionskarte
• Dashboard-Standortkarte
• Private Apps
• Zertifikatsverwaltung
• Geräte
• Geräte
• Benutzer
• Benutzer
• Benutzer-Editor
• Konto
• Einstellungen
• Mandantenfähigkeit
• Mehrtenanten-Übersicht
• Verwaltete Unternehmen
• Unternehmensumstellung
• Unterkonten
• Erkenntnisse

Einleitung

Cerberus Enterprise ist eine umfassende EMM-Lösung, die Ihnen hilft, Ihre Android- und Apple-Geräte zu sichern und zu verwalten. Sie bietet alle notwendigen Funktionen für eine effektive Verwaltung von Geräten, sowohl privaten als auch geschäftlichen, in einem übersichtlichen und benutzerfreundlichen Dashboard, und Sie können sofort loslegen.

Um Cerberus Enterprise effektiv nutzen zu können, sollten Sie einige grundlegende Konzepte darüber verstehen, wie das System funktioniert.

Das System unterstützt sowohl die Verwaltung von Android- als auch von Apple-Geräten:

Auf Android verwendet Cerberus Enterprise die offizielle Android Management API zur Verwaltung von Geräten über die Android Device Policy-App (ADP). Die meisten Einstellungen werden direkt von ADP durchgesetzt. Einige optionale Funktionen erfordern möglicherweise auch die Cerberus Enterprise-Begleit-App, die über das hinausgeht, was allein mit ADP möglich ist.

Bei Apple-Geräten verwaltet Cerberus Enterprise die Geräte über Apple MDM (Mobile Device Management). Für die Verwaltung von Apple-Geräten ist ein APNs-Zertifikat erforderlich, und optional kann die Integration mit Apple Business Manager für die automatische Registrierung und App-Lizenzen genutzt werden.

Jedes Gerät kann mit einem oder einem (Apple-Manuelleinrichtung) in das System registriert werden. Die verwendete Registrierungsmethode ist mit einer Richtlinie verknüpft, die die Regeln enthält, die auf Geräte angewendet werden sollen.

IT-Administratoren können die mit einem Gerät verbundene Richtlinie nach der Anmeldung ändern. Allerdings kann jedes Gerät jeweils nur mit einer einzigen Richtlinie verknüpft werden.

Während des Anmeldevorgangs (der Bereitstellung) werden die erforderlichen Verwaltungs-Komponenten automatisch installiert und konfiguriert. Bei Android-Geräten umfasst dies typischerweise die Android Device Policy-App (und, je nach Konfiguration, die Cerberus Enterprise-Begleit-App). Bei Apple-Geräten wird die Verwaltung über MDM angewendet, sobald das Gerät angemeldet ist. Infolgedessen wird die entsprechende Richtlinie automatisch auf das Gerät angewendet, und alle zugehörigen Regeln werden durch das Plattform-Management-System durchgesetzt.

Eine Richtlinie kann auf viele Geräte angewendet werden. Wenn Sie eine Richtlinie ändern, werden alle zugehörigen Geräte automatisch aktualisiert.

 

Einrichtung

Einrichtung von Android Management

Um Android-Geräte mit Cerberus Enterprise zu verwalten, müssen Sie zuerst Ihr Unternehmen mit Google Android Enterprise verbinden.

Der Einrichtungsprozess dauert normalerweise einige Minuten und erfordert eine E-Mail-Adresse Ihres Unternehmens (zum Beispiel name@enterprise.com).

Was passiert während der Einrichtung?

• Sie werden zu Google Android Enterprise weitergeleitet.
• Sie melden sich mit Ihrer Arbeits-E-Mail-Adresse an.
• Google erstellt das Android Management-Konto für Ihr Unternehmen.
• Sie werden zurück zu Cerberus Enterprise geleitet, um die Einrichtung abzuschließen.

Wichtige Informationen

Bitte verwenden Sie eine E-Mail-Adresse Ihres Unternehmens und keine private Gmail-Adresse. Diese E-Mail wird verwendet, um Ihr Google Admin-Konto für Android Management zu erstellen.

Nächste Schritte

Nach Abschluss der Einrichtung einen Enrollment-Token erstellen und die geeignete Bereitstellungsmethode für das Gerät auswählen.

Apple Management-Einrichtung (APNs)

Um Apple-Geräte zu verwalten, benötigt Cerberus Enterprise das Apple Push Notification Service (APNs)-Zertifikat.

Verwenden Sie die Apple ID, die mit Ihrem Unternehmen verknüpft ist. Das APNs-Zertifikat ist ein Jahr gültig und muss jährlich erneuert werden, um die Geräteverwaltung fortzusetzen.

Schritt 1: Laden Sie die CSR-Datei herunter

Im Dashboard den Apple-Management-Einrichtungsprozess starten und die vom Cerberus Enterprise generierte, vom Anbieter signierte Certificate Signing Request (CSR)-Datei herunterladen.

Schritt 2: Erstellen Sie das Push-Zertifikat im Apple-Portal

• Melden Sie sich mit Ihrer Apple ID im Apple Push Certificates Portal an.
• Klicken Sie auf "Zertifikat erstellen".
• Laden Sie die CSR-Datei aus Schritt 1 hoch.
• Laden Sie das erstellte Push-Zertifikat herunter.

Portal-Link: https://identity.apple.com/

Schritt 3: Laden Sie das Push-Zertifikat hoch

Laden Sie das Push-Zertifikat, das Sie von Apple heruntergeladen haben, zurück in Cerberus Enterprise hoch, um die Einrichtung abzuschließen.

Wenn das APNs-Zertifikat abläuft, funktioniert die Geräteverwaltung für Apple-Geräte nicht mehr, bis das Zertifikat erneuert wird.

Nächste Schritte

Nachdem APNs konfiguriert wurde, können Sie mit der Registrierung von Apple-Geräten fortfahren. Fahren Sie mit Apple-Gerätebereitstellung.

Überblick über die Gerätebereitstellung

Cerberus Enterprise unterstützt die Geräteverwaltung sowohl für Android- als auch für Apple-Plattformen. Sie können jede Plattform unabhängig voneinander konfigurieren, je nachdem, welche Geräte Sie registrieren möchten.

1. Richten Sie die Plattforminstallation im Dashboard ab

Bevor Sie Geräte registrieren, richten Sie die Plattforminstallation im Cerberus Enterprise-Dashboard ein. Wenn Ihr Konto noch nicht konfiguriert ist, führt Sie das Dashboard durch die erforderlichen Schritte.

Android-Einrichtung (Google Android Enterprise)

Für die vollständige Android-Einrichtungsprozedur, lesen Sie Android Management setup.

• Gehen Sie zum Anmeldebildschirm und wählen Sie Android Management einrichten.
• Sie werden zu Google weitergeleitet, um sich mit einem Arbeitskonto anzumelden und Android Enterprise zu autorisieren.
• Nach der Autorisierung werden Sie zurück zu Cerberus Enterprise weitergeleitet, um die Einrichtung abzuschließen.

Apple-Einrichtung (APNs-Push-Zertifikat)

Für die vollständige Einrichtung von Apple, lesen Sie Apple Management setup (APNs).

• Gehen Sie zum Anmeldebildschirm und wählen Sie Einrichtung von Apple Management.
• Laden Sie die CSR-Datei von Cerberus Enterprise herunter.
• Erstellen Sie das APNs-Zertifikat im Apple Push Certificates Portal und laden Sie das resultierende Zertifikat herunter.
• Laden Sie das heruntergeladene Zertifikat zurück in Cerberus Enterprise hoch, um die Verwaltung von Apple-Geräten zu aktivieren.

2. Geräte registrieren

Nach Abschluss der Plattformkonfiguration wählen Sie die Registrierungsmethode, die zu Ihrem Gerätebesitzmodell und dem Betriebssystem passt.

Android-Registrierung

Für Android wird die Registrierung über Registrierungstoken. Wählen Sie die passende Methode, je nachdem, ob das Gerät privat oder geschäftlich genutzt wird.

• Für privat genutzte Geräte (BYOD / Arbeitsprofil): folgen Sie dieser Anleitung.
• Firmenbesitz (Dienst- und Privatnutzung / Arbeitsprofil): folgen Sie dieser Anleitung.
• Geräte, die dem Unternehmen gehören (nur für geschäftliche Zwecke / vollständig verwaltet oder dediziert): Folgen Sie dieser Anleitung.
• Zero-touch: Folgen Sie dieser Anleitung.

Apple-Registrierung

Für Apple beginnen Sie mit der Konfiguration von APNs gemäß der oben beschriebenen Anleitung und folgen dann den Apple-Einrichtungsrichtlinien.

Gerätebereitstellung - Android

Unterstützte Geräte

Im Allgemeinen sind alle Geräte mit Android 6 oder höher und Google Play Services mit Cerberus Enterprise kompatibel.

Für eine bessere Benutzererfahrung empfehlen wir die Verwendung von Geräten, die die Anforderungen von Android Enterprise erfüllen.

Einige Funktionen sind auf bestimmte Android-Versionen beschränkt oder können sich je nach Betriebssystemversion unterschiedlich verhalten. Weitere Informationen zu einer bestimmten Funktion finden Sie im Abschnitt Richtlinien der Dokumentation.

Cerberus Enterprise unterstützt sowohl von Unternehmen gestellte als auch privat genutzte Geräte und zwei Verwaltungsmodi: Gerätebesitzer und Profilbesitzer.

Privat genutzte Geräte können über ein Arbeitsprofil verwaltet werden. Dies ermöglicht eine BYOD-Lösung, indem die Arbeitsdaten und -anwendungen der Mitarbeiter von persönlichen Daten und -anwendungen getrennt gehalten werden, was sowohl die Sicherheit als auch den Datenschutz verbessert. Diese Option ist geeignet für Geräte, die bereits im Besitz von Mitarbeitern sind und die Sie für den geschäftlichen Gebrauch in Ihre Organisation einbinden möchten.

Firmenbesessene Geräte können ebenfalls über ein Arbeitsprofil verwaltet werden, aber Sie können auch die vollständig verwaltete Option wählen, die eine strengere Kontrolle über das Gerät ermöglicht. Firmenbesessene Geräte mit einem Arbeitsprofil sind geeignet, wenn Sie Mitarbeitern Unternehmensgeräte für die Arbeit zur Verfügung stellen, während gleichzeitig eine private Nutzung erlaubt wird. Vollständig verwaltete Geräte eignen sich besser für Geräte, die ausschließlich für geschäftliche Zwecke verwendet werden müssen, oder für dedizierte Geräte (COSU, corporate-owned single-use), wie z. B. Terminals.

Weitere Informationen zur Gerätebereitstellung finden Sie auf der Seite "Gerätebereitstellung" .

Enrollment-Token

Cerberus Enterprise verwendet Enrollment-Token, um den Android-Geräte-Registrierungsprozess (Provisionierung) zu starten. Das von Ihnen ausgewählte Token bestimmt die anfängliche Richtlinie, die auf registrierte Geräte angewendet wird, und beeinflusst, welche Bereitstellungsmodi zulässig sind.

Der Tab "Android-Registrierungstoken" ist nur verfügbar, nachdem Sie die Android Management setup abgeschlossen haben.

Wo finde ich die Anmelde-Token?

Im Dashboard öffnen Sie Anmelde-Token. Je nach Konfiguration Ihres Kontos können auf der Seite mehrere Reiter angezeigt werden (Android-Token, Google-Sign-in-Anmeldung, manuelle Apple-Anmeldung und automatisierte Apple-Geräteanmeldung).

Wenn Ihr Android Enterprise von einer verwalteten Google-Domain (Google Workspace) unterstützt wird, kann das Dashboard auch einen Reiter "Authentifizierung mit Google-Anmeldung" anzeigen. Für Details zur Aktivierung und Verwendung finden Sie weitere Informationen unter Authentifizierung mit Google-Anmeldung.

Liste der Anmelde-Token (Android)

Der Tab "Android-Token" zeigt eine Tabelle aller Token. Durch Klicken auf eine Zeile wird die Detailseite des Tokens geöffnet.

Spalten

• ID: interner Token-Identifikator.
• Status: Verfügbar, Verwendet (Einmal-Token bereits verwendet) oder Abgelaufen.
• Ablaufdatum: Ablaufdatum und -uhrzeit oder niemals.
• Richtlinie: Die dem Token zugewiesene Richtlinie (der UI-Tooltipp zeigt ebenfalls die Richtlinien-ID).
• Private Nutzung: Erlaubt / Nicht erlaubt / Exklusives Gerät.
• Erlaubte Nutzung: Mehrfach oder nur einmalig.
• Benutzer: Optionaler Benutzer, der Geräten zugewiesen werden kann, die mit einem Token registriert wurden.

Aktionen

• Jede Zeile hat eine Löschfunktion (Registrierungstoken löschen). Das Löschen ist deaktiviert, wenn die Lizenz abgelaufen ist.
• Die Tabelle unterstützt die Auswahl mehrerer Zeilen: Sie können den Auswahmodus aktivieren, mehrere Token auswählen und diese mit Ausgewählte Token löschen löschen.
• Verwenden Sie die Aktualisierungsfunktion, um die Liste neu zu laden. Die Tabelle ist paginiert (10/25/50 Elemente pro Seite).

Erstellen Sie einen neuen Registrierungstoken

Im Tab "Android-Token" klicken Sie auf Neuen Registrierungstoken erstellen, um die Seite zur Token-Erstellung zu öffnen. Wenn Ihre Lizenz abgelaufen ist, ist die Schaltfläche "Erstellen" deaktiviert.

Token-Optionen

1. Richtlinie

Erforderlich. Die Richtlinie wird automatisch auf alle Geräte angewendet, die mit diesem Token registriert wurden. Wählen Sie eine Ihrer Android-Richtlinien. Wenn Sie noch keine Richtlinie haben, erstellen Sie zuerst eine.

2. Benutzer

Optional. Wenn eingestellt, werden neu registrierte Geräte automatisch diesem Benutzer zugeordnet.

3. Persönliche Nutzung

Legt fest, ob die persönliche Nutzung auf einem Gerät erlaubt ist, das mit diesem Anmelde-Token konfiguriert wurde:

• Erlaubt: Geeignet für privat genutzte Geräte (Arbeitsprofil) und firmeneigene Geräte für geschäftliche und private Nutzung.
• Nicht erlaubt: Geeignet für firmeneigene Geräte, die ausschließlich für geschäftliche Zwecke verwendet werden (vollständig verwaltet).
• Dediziertes Gerät: Geeignet für Kiosk- oder spezielle Geräte (das Gerät ist nicht mit einem einzelnen Benutzer verknüpft).

4. Erlaubte Nutzungsmöglichkeiten

Wählen Sie, ob das Token mehrfach (mehrmals) oder nur einmal (nur einmal) verwendet werden darf.

5. Ablaufdatum

Wählen Sie die Einheit für das Ablaufdatum (Minuten, Stunden, Tage oder Nie). Wenn kein Wert für "Nie" ausgewählt wurde, geben Sie den Ablaufwert ein. Der zulässige Bereich hängt von der ausgewählten Einheit ab und kann bis zu 10.000 Tage betragen.

Optionen für die Gerätebereitstellung (nur QR-Code)

Diese zusätzlichen Optionen sind im QR-Code enthalten und werden während der Bereitstellung von vollständig verwalteten Geräten angewendet, die durch Scannen des QR-Codes registriert wurden. Sie gelten nicht für Arbeitsprofile oder Geräte, die mit der Registrierungs-URL oder dem Token registriert wurden.

Wi-Fi-Konfiguration

Verwenden Sie dies, um ein Gerät automatisch mit einem Wi-Fi-Netzwerk während der Einrichtung zu verbinden, sodass es die Verwaltungs-App herunterladen und initialisieren kann. Verfügbare Felder sind SSID, Versteckter SSID, Sicherheit und (falls erforderlich) Passphrase.

Sie können auch einen HTTP-Proxy (Proxy) konfigurieren und, abhängig vom Modus, Host/Port, PAC-URI und Host für die Proxy-Umgehung festlegen.

Andere Optionen

Weitere Optionen umfassen die Ländereinstellung, die Zeitzone und die Option, die Verschlüsselung zu überspringen.

Details zum Anmelde-Token

Wenn Sie ein Token öffnen, zeigt die Detailseite die Token-Konfiguration und Nutzungsdetails an:

• Status, Ablaufdatum, Verwendung, Persönliche Nutzung, und Erlaubte Nutzungen.
• Token: Der Rohwert des Anmelde-Tokens (kopiermöglich).
• Anmelde-URL: Eine Google Android Enterprise Anmelde-URL (zum Kopieren und Versenden per E-Mail).
• QR-Code: Wird auf der rechten Seite der Seite angezeigt und dient zur Registrierung von Geräten mit vollständiger Verwaltung.

Für detaillierte Anleitungen zur Gerätekonfiguration, folgen Sie den Android-Einrichtungsrichtlinien: Privatgeräte, Firmenbesitzene Geräte für Arbeit und Privat, Firmenbesitzene Geräte nur für den beruflichen Gebrauch, und Zero-Touch.

Geräte, die von Privatpersonen genutzt werden

Link zum Registrierungstoken

Android-Version

6.0+

Fügen Sie ein Arbeitsprofil von "Einstellungen"

Android-Version

6.0+

Laden Sie die Android-Geräteeinstellungen herunter

Android-Version

6.0+

Geräte, die dem Unternehmen gehören und sowohl für die Arbeit als auch für den persönlichen Gebrauch bestimmt sind

• Die meisten Richtlinien für Apps, Daten und andere Einstellungen gelten nur für das Arbeitsprofil.
• Die persönlichen Profile der Mitarbeiter bleiben privat. Unternehmen können jedoch bestimmte geräteweite Richtlinien und Nutzungsrichtlinien für private Zwecke durchsetzen.
• Unternehmen können die Block-Funktion verwenden, um Compliance-Aktionen für ein gesamtes Gerät oder nur für dessen Arbeitsbereich durchzusetzen.
• Die Geräteabmeldung und die Gerätebefehle gelten für das gesamte Gerät.

Methode mit QR-Code

Android-Version

8.0+

Geräte, die dem Unternehmen gehören und ausschließlich für geschäftliche Zwecke bestimmt sind

Methode mit QR-Code

Android-Version

7.0+

Methode zur Identifizierung des Geräteverwaltungsprofils

Android-Version

5.1+

Null-Konfiguration

IT-Administratoren können firmeneigene Geräte mit der Methode der "Zero-Touch"-Registrierung bereitstellen, die in "Zero-Touch"-Registrierung für IT-Administratoren beschrieben ist. Beim ersten Einschalten des Geräts wird dieses automatisch in die vom IT-Administrator definierten Einstellungen versetzt.

IT-Administratoren können Geräte, die von autorisierten Händlern erworben wurden, vorkonfigurieren und mit dem Cerberus Enterprise Dashboard verwalten. Um Ihr Zero-Touch-Konto zu verknüpfen, gehen Sie zum Zero-Touch-Bereich im Dashboard und befolgen Sie dann die Anweisungen.

Android-Version	Arbeitsbereich	Vollständig verwaltetes Gerät	Exklusiv zugewiesenes Gerät
8.0+ (Pixel 7.1+)	✓	✓	✓

Authentifizieren Sie mit der Google-Anmeldung

Authentifizieren Sie mit der Google-Anmeldung (auch bekannt als Google-Authentifizierung für die Anmeldung), die es Benutzern ermöglicht, sich mit ihrem Google Workspace-Konto während der Android-Geräteanmeldung zu authentifizieren.

Diese Funktion ist nur für Android-Geräte verfügbar, die in einer verwalteten Google-Domäne (Google Workspace) registriert sind.

Wo finde ich das?

Im Dashboard öffnen Sie Enrollment-Token und wählen Sie den Reiter Authentifizierung mit Google Enrollment. Der Reiter wird nur angezeigt, wenn Android Management konfiguriert ist und die Google Workspace-Integration für Ihr Unternehmen verfügbar ist.

Aktivieren (oder deaktivieren) Sie die Google-Authentifizierung

Die Google-Authentifizierung ist über die Google Admin-Konsole aktiviert. Nachdem Sie die Einstellung geändert haben, kehren Sie zu Cerberus Enterprise zurück und verwenden Sie Status aktualisieren, um die aktuelle Konfiguration neu zu laden.

1. Melden Sie sich mit einem Administrator-Konto in Ihrer Google Admin-Konsole an.
2. Öffnen Sie Geräte.
3. Gehen Sie zu Mobile Geräte und Endpunkte → Einstellungen → Integrationen von Drittanbietern.
4. Finden Sie die Android EMM-Integration für Cerberus Enterprise und öffnen Sie diese.
5. Klicken Sie auf Verwalten von EMM-Anbietern.
6. Aktivieren Sie Authentifizierung mit Google, um die Google-Authentifizierung für die Anmeldung zu aktivieren oder zu deaktivieren.
7. Klicken Sie auf Speichern.
8. Gehen Sie zurück zum Cerberus Enterprise-Dashboard und klicken Sie auf Status aktualisieren im Reiter Authentifizierung mit Google-Registrierung.

Google-Authentifizierungs-Registrierungstoken

Wenn die Google-Authentifizierung aktiviert ist, zeigt das Dashboard ein spezielles Registrierungstoken, das für diesen Registrierungsmodus verwendet wird. Die Seite kann einen QR-Code, einen Registrierungstoken-Wert und eine Registrierungs-URL anzeigen (die kopiert und per E-Mail versendet werden kann).

Wichtige Optionen

• Persönliche Nutzung zulassen: Steuert, ob das Token Geräte sowohl für geschäftliche als auch für private Zwecke (Work-Profile-Szenarien) oder nur für geschäftliche Zwecke (vollständig verwaltete/dedizierte Szenarien) registrieren kann.
• Fallback-Standardrichtlinie: Die Richtlinie, die angewendet wird, wenn dem Benutzer, der das Gerät registriert, keine spezifische Google-Authentifizierungs-Standardrichtlinie zugewiesen ist.

Richtlinien-Interaktion

Die Richtlinieneinstellung Authentifizierung bei der Einrichtung des Arbeitskontos (workAccountSetupConfig.authenticationType) steuert, wie Benutzer während der Einrichtung des Arbeitskontos authentifiziert werden, aber die Einstellung in der Google Admin-Konsole Authentifizierung mit Google und der Typ des Anmelde-Tokens können dennoch eine Authentifizierung erfordern.

Für Geräte, die bereits registriert sind, gilt diese Richtlinie nur, wenn das Gerät mit einem verwalteten Google Play-Konto verwaltet wird (d. h. die Registrierung erfolgte ohne Authentifizierung mit Google).

Einige Aktionen (z. B. das Ändern von Token-Optionen) können deaktiviert sein, wenn die Lizenz abgelaufen ist.

Ein Gerät registrieren

Während der Registrierung wird der Benutzer aufgefordert, sich mit seinem Google Workspace-Konto zu authentifizieren. Nach einer erfolgreichen Registrierung wird das Gerät mit dem authentifizierten Benutzer verknüpft.

Arbeitsprofil (persönlich genutzte Geräte)

• Teilen Sie die Anmelde-URL mit dem Benutzer. Wenn der Benutzer sie auf seinem Android-Gerät öffnet, wird er durch die Einrichtung des Arbeitsprofils und die Google-Authentifizierung geführt.
• Alternativ kann der Benutzer die Einrichtung über die Android-Einstellungen starten und den Assistenten zur Konfiguration des Arbeitsprofils auswählen. Anschließend wird er aufgefordert, den QR-Code zu scannen oder den Anmelde-Token einzugeben.

Geräte, die dem Unternehmen gehören

• Methode mit QR-Code: Bei einem neuen oder auf Werkseinstellungen zurückgesetzten Gerät mehrmals an derselben Stelle auf den Bildschirm tippen, bis der QR-Code-Aufforderung angezeigt wird, und dann den im Dashboard angezeigten QR-Code scannen.
• Methode zur Geräteidentifizierung (wenn das Scannen von QR-Codes nicht möglich ist): Folgen Sie dem Einrichtungsassistenten, verbinden Sie sich mit einem Wi-Fi-Netzwerk und geben Sie dann, wenn Sie zur Anmeldung aufgefordert werden, afw#setup ein und fahren Sie mit dem Scannen des QR-Codes oder der Eingabe des Registrierungstokens fort. Authentifizieren Sie sich anschließend mit dem Google Workspace-Konto, wenn Sie dazu aufgefordert werden.

Für allgemeine Android-Einrichtungsprozesse (Arbeitsprofil vs. vollständig verwaltetes Gerät) finden Sie weitere Informationen in den Standard-Android-Registrierungsseiten dieses Handbuchs.

Gerätebereitstellung - Apple

Apple-Bereitstellungsübersicht

Cerberus Enterprise unterstützt die Registrierung und Verwaltung von Apple-Geräten. Für die Apple-Bereitstellung ist ein APNs-Zertifikat erforderlich, und die Registrierung kann mit verschiedenen Methoden durchgeführt werden.

Voraussetzung: Konfigurieren Sie die Apple-Verwaltung (APNs)

Bevor Sie ein Apple-Gerät registrieren, konfigurieren Sie die Apple-Verwaltung (APNs).

Wählen Sie eine Anmeldemethode

Manuelle Anmeldung (Anmeldeprofil)

Diese Methode bietet eine Anmelde-URL und eine Konfigurationsprofil-Datei (mobileconfig), die Sie auf dem Gerät installieren. Lesen Sie die Apple manuelle Anmeldung.

Automatische Geräteanmeldung (ADE)

Diese Methode integriert sich in Apple Business Manager, um die Anmeldung für gerätebasierte Geräte zu automatisieren. Lesen Sie Apple Automated Device Enrollment (ADE).

Sie können die manuelle Registrierung und ADE parallel nutzen, abhängig von Ihrer Geräteflotte und Ihrem Beschaffungsprozess.

Manuelle Apple-Geräteregistrierung (Registrierungsprofil)

Cerberus Enterprise unterstützt die manuelle Registrierung von Apple-Geräten mithilfe einer Registrierungs-URL und einer Profil-Datei.

Die manuelle Registrierung ist verfügbar, wenn Apple Management (APNs) konfiguriert ist. Wenn Sie die APNs-Einrichtung noch nicht abgeschlossen haben, lesen Sie Apple Management setup (APNs).

Rufen Sie die Anmelde-URL und das Profil ab

• Öffnen Sie den Anmelde-bereich im Dashboard und wählen Sie den Tab für die manuelle Apple-Anmeldung (Anmeldeprofil).
• Kopieren Sie die Anmelde-URL oder verwenden Sie die "per E-Mail versenden"-Funktion.
• Laden Sie das Anmelde-Profil (mobileconfig-Datei) herunter.

So registrieren Sie ein iPhone oder iPad

iOS/iPadOS 15.0 oder höher

1. Senden Sie die Enrollment-Profil-Datei (enroll.mobileconfig) an das Gerät, oder öffnen Sie die Enrollment-URL im Safari-Browser auf dem Gerät.
2. Öffnen Sie auf dem Gerät Einstellungen → Profil heruntergeladen → Installieren und befolgen Sie dann die Anweisungen.
3. Nach der Anmeldung können Sie den Status in Einstellungen → Allgemein → VPN & Geräteverwaltung (oder Profile & Geräteverwaltung).

Installieren Sie nur Enrollment-Profile, die Sie von Ihrem Cerberus Enterprise-Dashboard erhalten haben.

Apple Automated Device Enrollment (ADE)

Automated Device Enrollment (ADE) integriert sich mit Apple Business Manager (ABM), um firmeneigene Geräte automatisch zu registrieren, wenn sie zum ersten Mal eingeschaltet werden (oder nach einem Werksreset).

ADE erfordert zunächst die Konfiguration von Apple Management (APNs). Falls erforderlich, lesen Sie die Anleitung zur Einrichtung von Apple Management (APNs).

Wie können Geräte automatisch registrieren?

1. Geräte Ihrem Apple Business Manager-Konto hinzufügen.
2. Nachdem Sie neue Geräte zu Ihrem ABM-Konto hinzugefügt haben, synchronisieren Sie diese in Cerberus Enterprise im Bereich Geräte mit der Aktion Synchronisieren aus ABM.
3. Erstellen Sie ein ADE-Profil im Dashboard unter Anmeldung → Apple Automated Device Enrollment (ADE) → Neues ADE-Profil.
4. Weisen Sie ein ADE-Profil einem Gerät über das Feld "ADE-Profil" auf der Detailseite des Geräts zu.

Einstellungen für ADE-Profile (Überblick)

Ein ADE-Profil steuert, wie das Gerät registriert wird und wie der Setup-Assistent funktioniert. In Cerberus Enterprise umfasst ein ADE-Profil einen Namen, eine optionale anfängliche Richtlinie und einige Registrierungsoptionen.

Profilname

Ein für den Benutzer lesbarer Name für das Profil (zum Beispiel Standard-ADE-Profil).

Richtlinie

Die Richtlinie galt anfänglich für registrierte Geräte. Sie können eine Richtlinie zuweisen, wenn Sie ein neues ADE-Profil erstellen.

Anmeldeoptionen

• MDM-Entfernung: Steuert, ob das MDM-Profil vom Gerät entfernt werden kann.
• Gerätekopplung erlauben: Steuert, ob die Gerätekopplung erlaubt ist (von Apple in iOS 13 veraltet).
• Automatische Assistenten-Konfiguration: Konfiguriert den Setup-Assistenten automatisch und führt ihn durch alle Bildschirme.
• Warten, bis das Gerät konfiguriert ist: Blockiert den Setup-Assistenten, bis der Server das Gerät als konfiguriert markiert.
• Pflichtfeld: verhindert das Überspringen der Profilinstallation während der Einrichtung.
• Mehrbenutzer (Shared iPad): Konfiguriert das Gerät für den Modus "Shared iPad".
• Überwacht: Fordert die Überwachung für das Gerät an.

Nachdem einem Gerät ein ADE-Profil zugewiesen wurde, ist es bereit für die automatische Registrierung.

Überblick über Richtlinien

Der Bereich Richtlinien im Dashboard (Dashboard → Richtlinien) zeigt alle Richtlinien in Ihrem Konto an und ermöglicht es Ihnen, diese zu erstellen, zu kopieren, zu bearbeiten und zu löschen.

Richtlinienliste

Die Richtlinien werden in einer Tabelle angezeigt. Durch Klicken auf eine Zeile wird der entsprechende Richtlinien-Editor geöffnet.

Spalten

• Id: interne Richtlinien-Kennung.
• MDM: die Plattform für die Richtlinie (Android oder Apple).
• Name: Name der Richtlinie.
• Beschreibung: Beschreibung der Richtlinie.
• Geräte: Anzahl der aktuell dieser Richtlinie zugewiesenen Geräte.

Filter und Suche

• Wenn sowohl Android-Management als auch Apple-Management konfiguriert sind, können Sie die Liste nach Alle, Android oder Apple filtern.
• Sie können die Funktion "Suche" aktivieren und nach Richtlinien anhand ihres Namens oder ihrer Beschreibung suchen.

Aktualisieren und Paginierung

• Verwenden Sie die Aktualisierungsfunktion, um die Liste neu zu laden.
• Die Tabelle ist paginiert (10/25/50 Elemente pro Seite).

Eine neue Richtlinie erstellen

Am unteren Rand der Seite "Richtlinien" können Sie eine neue Richtlinie erstellen. Je nachdem, welche Plattform in Ihrem Konto konfiguriert ist, sehen Sie möglicherweise eine oder beide dieser Optionen:

• Neue Android-Richtlinie erstellen
• Erstellen Sie eine neue Richtlinie für Apple-Geräte

Wenn Ihre Lizenz abgelaufen ist, werden die Erstellung von Richtlinien (und andere Schreibvorgänge) deaktiviert.

Richtlinien kopieren und löschen

Jede Richtlinienzeile hat ein Aktionenmenü, das eine Option zum Richtlinie kopieren sowie eine Option zum Richtlinie löschen enthält.

Warnhinweise zum Löschen von Richtlinien

Beim Löschen einer Richtlinie können je nach Verwendung der Richtlinie zusätzliche Warnhinweise im Dashboard angezeigt werden.

• Wenn die Richtlinie Geräten zugewiesen ist, führt das Löschen dazu, dass diese Geräte abgemeldet werden und ihre Apps sowie Daten gelöscht werden.
• Wenn die Richtlinie Enrollment-Token zugewiesen ist, können diese Token möglicherweise die Registrierung nicht mehr abschließen.
• Wenn die Richtlinie als Standard für die Google-Authentifizierungsregistrierung festgelegt ist (global oder für bestimmte Benutzer), kann das Löschen dazu führen, dass Registrierungen fehlschlagen.

Mehrere Richtlinien löschen

Die Liste der Richtlinien unterstützt die Auswahl mehrerer Einträge, um diese in einem Schritt zu löschen. Im Mehrfachauswahlmodus können Sie mehrere Richtlinien auswählen und diese mit einer einzigen Aktion löschen.

Die Massenlöschfunktion ist nur aktiviert, wenn alle ausgewählten Richtlinien zur selben Plattform gehören (entweder alle für Android oder alle für Apple).

Nächste: Richtlinieneinstellungen bearbeiten

Die Liste der Richtlinien ist der Ausgangspunkt. Um Richtlinieneinstellungen zu konfigurieren, verwenden Sie die entsprechende Editor-Dokumentation: Richtlinien → Android und Richtlinien → Apple.

Richtlinien, auf die sich Enrollment-Token beziehen, werden automatisch während der Geräteanmeldung angewendet.

Richtlinien - Android

Zusammenfassung

Android-Richtlinien sind die zentralen Elemente des Systems: Sie definieren die Regeln, die auf verwalteten Geräten angewendet und durchgesetzt werden.

Sie können Ihre Richtlinien im Abschnitt Richtlinien des Dashboards einsehen und neue erstellen. Um eine Android-Richtlinie zu öffnen, klicken Sie auf die entsprechende Zeile in der Tabelle: das System öffnet die Seite "Richtlinien-Editor".

Eine Richtlinie kann mit einem Anmelde-Token verknüpft werden, sodass sie automatisch auf Geräte während des Bereitstellungsprozesses angewendet wird. Sie können auch die einem Gerät zugewiesene Richtlinie nach der Bereitstellung ändern.

Jedes Gerät kann jeweils nur mit einer einzigen Richtlinie verknüpft werden.

Viele Richtlinienoptionen gelten nur für bestimmte Gerätetypen (vollständig verwaltet, dediziert, Arbeitsbereich) und Android-Versionen. Nicht unterstützte Einstellungen können vom Gerät ignoriert werden oder als nicht konform gemeldet werden.

Layout des Richtlinien-Editors

Der Richtlinien-Editor ist als eine Reihe von erweitbaren Abschnitten aufgebaut. Am oberen Rand der Seite können Sie jederzeit Folgendes bearbeiten:

• Name (erforderlich)
• ID (nur lesbar)
• Beschreibung (optional)

Die folgenden Abschnitte entsprechen den Bedienfeldern des Richtlinien-Editors (z. B.: App-Verwaltung, Sicherheit, Netzwerk, System, Private Nutzung, Richtlinien für mehrere Profile und mehr). Verwenden Sie die Kapitel dieser Anleitung, um jedes Bedienfeld im Detail zu verstehen.

Speichern, löschen und zugeordnete Geräte

Verwenden Sie Speichern, um Ihre Änderungen anzuwenden. Der Button ist deaktiviert, wenn es keine ausstehenden Änderungen gibt oder wenn die Lizenz abgelaufen ist.

Wenn Sie eine bestehende Richtlinie geöffnet haben (sie hat eine ID), zeigt die Seite eine Richtlinie löschen-Aktion und eine Verbundene Geräte-Liste am unteren Rand, sodass Sie sehen können, wie viele Geräte die Richtlinie derzeit verwenden.

App-Verwaltung

In diesem Abschnitt können Sie Richtlinien für die Verfügbarkeit, Installation, Aktualisierung und das Berechtigungsmanagement von Apps festlegen.

Verwaltete Google Play-Konten werden automatisch erstellt, wenn Geräte eingerichtet werden.

 

1. Play Store-Modus

Dieser Modus steuert, welche Apps dem Benutzer im Play Store angezeigt werden und wie sich das Gerät verhält, wenn Apps aus der Richtlinie entfernt werden.

Whitelist (Standard): Nur Apps, die in der Richtlinie enthalten sind, sind verfügbar, und alle Apps, die nicht in der Richtlinie enthalten sind, werden automatisch vom Gerät deinstalliert. Der Play Store zeigt nur verfügbare Apps an.

Blacklist: Alle Apps sind verfügbar, und Apps, die nicht auf dem Gerät sein sollen, müssen explizit in der App-Richtlinie als gesperrt gekennzeichnet werden. Der Play Store zeigt alle Apps an, außer den gesperrten.

 

2. Richtlinie für nicht vertrauenswürdige Apps

Die Richtlinie für nicht vertrauenswürdige Apps (Apps aus unbekannten Quellen), die auf dem Gerät durchgesetzt wird. Diese Option steuert die Android-Systemeinstellung, die bestimmt, ob ein Benutzer Apps außerhalb des Play Store installieren kann (Sideloading).

Nicht zulassen (Standard): Deaktivieren Sie die Installation von Apps aus unbekannten Quellen auf dem gesamten Gerät.

Nur für das persönliche Profil: Bei Geräten mit einem Arbeits-Profil, erlauben Sie die Installation von Apps aus unbekannten Quellen nur im persönlichen Profil des Geräts.

Erlauben: Erlaubt die Installation nicht vertrauenswürdiger Apps auf dem gesamten Gerät.

 

3. Google Play Protect

Ob die App-Überprüfung durch Google Play Protect erzwungen wird.

Erzwingen (Standard): Aktiviert die App-Überprüfung zwangsweise.

Benutzerwahl: Ermöglicht dem Benutzer die Auswahl, ob die App-Überprüfung aktiviert werden soll.

 

4. Standard-Berechtigungsrichtlinie

Die Richtlinie für die Vergabe von Berechtigungsanfragen an Apps zur Laufzeit.

Aufforderung (Standard): Fordert den Benutzer auf, eine Berechtigung zu erteilen.

Berechtigung erteilen: Eine Berechtigung automatisch erteilen.

Verweigern: Eine Berechtigung automatisch verweigern.

 

5. App-Funktionen

Legt fest, ob Apps auf vollständig verwalteten Geräten oder in Arbeitsbereichen Berechtigungen für den Zugriff auf App-Funktionen anfordern dürfen. Erfordert Android 16 oder höher.

Erlaubt (Standard): Apps auf vollständig verwalteten Geräten oder in Arbeitsbereichen können App-Funktionen freigeben.

Nicht erlaubt: Apps auf vollständig verwalteten Geräten oder in Arbeitsbereichen können keine App-Funktionen freigeben.

 

6. Installierte, deaktivierte Apps

Ob die Installation von Apps durch den Benutzer deaktiviert ist.

 

7. Deinstallation von Apps deaktiviert

Ist die Deinstallation von Anwendungen durch den Benutzer deaktiviert?

 

8. Berechtigungsrichtlinien

Explizite Berechtigungen oder Gruppenfreigaben bzw. -verweigerungen für alle Apps. Diese Werte überschreiben die Einstellung der Standard-Berechtigungsrichtlinie.

Verwenden Sie die Berechtigungsrichtlinie, um Einträge zu erstellen und diese mit der Löschfunktion zu entfernen.

Jeder Eintrag enthält:

Android-Berechtigung/Gruppe: Die Android-Berechtigung oder -Gruppe (erforderlich), z. B. android.permission.READ_CALENDAR oder android.permission_group.CALENDAR.

Richtlinie: Erlauben / Verweigern / Abfragen (verwendet dieselben Richtlinienoptionen wie die Standardberechtigungsrichtlinie).

 

9. Anwendungen

Liste der Anwendungen, die in der Richtlinie enthalten sein müssen. Das Verhalten des Inhalts der Liste hängt vom Wert ab, der für den Google Play Store-Modus eingestellt wurde.

Wenn der Play Store-Modus auf Whitelist eingestellt ist, sind nur Apps verfügbar, die in der Richtlinie enthalten sind, und alle Apps, die nicht in der Richtlinie enthalten sind, werden automatisch vom Gerät entfernt.

Wenn der Play Store-Modus auf "Blacklist" eingestellt ist, sind alle Apps verfügbar, und alle Apps, die nicht auf dem Gerät sein sollten, müssen explizit in der Anwendungsrichtlinie als gesperrt markiert werden.

Um eine neue App hinzuzufügen, klicken Sie auf die Anwendungen hinzufügen Schaltfläche (oder das Anwendungen hinzufügen Symbol), wählen Sie dann die App aus dem Play Store und klicken Sie auf die Auswählen Schaltfläche in der App-Karte.

Alle Apps, die im Play Store Ihres Landes veröffentlicht sind, können standardmäßig ausgewählt werden. Um eigene private oder Web-Apps auszuwählen, müssen Sie diese zuerst in das System hochladen. Weitere Informationen finden Sie auf der Private Apps-Seite.

Jede App kann mit ihren eigenen Einstellungen konfiguriert werden, die visuell in einer Karte dargestellt sind:

9.1. Installationsart

Der Art der Installation, die für eine App durchgeführt werden soll.

Verfügbar: Die App kann installiert werden.

Vorinstalliert: Die App wird automatisch installiert und kann vom Benutzer entfernt werden.

Vorgeinstalliert: Die App wird automatisch installiert und kann nicht vom Benutzer entfernt werden.

Blockiert: Die App ist gesperrt und kann nicht installiert werden. Wenn die App unter einer früheren Richtlinie installiert war, wird sie deinstalliert.

Erforderlich für die Einrichtung: Die App wird automatisch installiert und kann vom Benutzer nicht entfernt werden. Sie verhindert den Abschluss der Einrichtung, bis die Installation abgeschlossen ist.

Kioskmodus: Die App wird automatisch im Kioskmodus installiert. Sie wird als bevorzugte Start-App festgelegt und für den Sperrmodus zugelassen. Die Gerätekonfiguration wird erst abgeschlossen, wenn die App installiert ist. Nach der Installation können Benutzer die App nicht deinstallieren. Sie können diesen Installationsmodus nur für eine App pro Richtlinie festlegen. Wenn dieser Parameter in der Richtlinie vorhanden ist, wird die Statusleiste automatisch deaktiviert. Weitere Informationen finden Sie auf der entsprechenden Seite zum Kioskmodus.

9.2. Installationsbeschränkungen

Definiert eine Reihe von Einschränkungen für die App-Installation. Wenn mehrere Einschränkungen ausgewählt sind, müssen alle erfüllt sein, damit die App installiert werden kann.

Diese Option wird nur angezeigt, wenn der Installationsmodus auf Vorinstalliert oder Erzwungene Installation eingestellt ist.

Netzwerk ohne Datenvolumen: Installieren Sie die App nur, wenn das Gerät mit einem Netzwerk ohne Datenvolumen verbunden ist (z. B. Wi-Fi).

Laden: Installieren Sie die App nur, wenn das Gerät gerade aufgeladen wird.

Leerlauf: Installieren Sie die App nur, wenn das Gerät sich im Leerlauf befindet.

9.3. Automatischer Update-Modus

Steuert den automatischen Update-Modus für die App.

Standardmäßig: Die App wird automatisch mit geringer Priorität aktualisiert, um die Auswirkungen auf den Benutzer zu minimieren. Die App wird aktualisiert, wenn alle folgenden Bedingungen erfüllt sind: (1) das Gerät wird nicht aktiv genutzt, (2) das Gerät ist mit einem Netzwerk ohne Datenverbrauch verbunden, (3) das Gerät wird geladen. Der Benutzer wird innerhalb von 24 Stunden nach der Veröffentlichung eines neuen Updates durch den Entwickler über ein neues Update informiert, danach wird die App beim nächsten Mal aktualisiert, wenn die oben genannten Bedingungen erfüllt sind.

Verschoben: Die App wird maximal 90 Tage lang nicht automatisch aktualisiert, nachdem sie veraltet ist. 90 Tage nachdem die App veraltet ist, wird die neueste verfügbare Version automatisch mit niedriger Priorität installiert (siehe Standard-Auto-Update-Modus). Nach dem Update wird die App nicht erneut automatisch aktualisiert, bis sie 90 Tage nach dem erneuten Veralten aktualisiert ist. Der Benutzer kann die App jederzeit manuell aus dem Play Store aktualisieren.

Hohe Priorität: Die App wird so schnell wie möglich aktualisiert. Es werden keine Einschränkungen angewendet. Das Gerät wird sofort über eine neue Aktualisierung informiert, sobald diese verfügbar ist.

9.4. Minimale Versionsnummer

Die minimale Version der App, die auf dem Gerät ausgeführt wird. Wenn ein Wert festgelegt ist, versucht das Gerät, die App auf mindestens diese Versionsnummer zu aktualisieren. Wenn die App nicht auf dem neuesten Stand ist, enthält das Gerät einen Nicht-Konformitäts-Hinweis mit Nicht-Konformitäts-Grund, der auf APP_NOT_UPDATED gesetzt ist. Die App muss bereits im Google Play Store mit einer Versionsnummer veröffentlicht sein, die größer oder gleich diesem Wert ist. Maximal 20 Apps dürfen pro Richtlinie eine minimale Versionsnummer angeben.

9.5. Delegierte Berechtigungen

Die Berechtigungen, die der App von der Android-Geräterichtlinie zugewiesen wurden. Sie können anderen Apps eine Auswahl an speziellen Android-Berechtigungen gewähren:

Zertifikatsinstallation: Ermöglicht den Zugriff auf die Installation und Verwaltung von Zertifikaten.

Verwaltete Konfigurationen: Ermöglicht den Zugriff auf die Verwaltung von verwalteten Konfigurationen.

Deinstallation blockieren: Ermöglicht den Zugriff auf die Funktion zum Blockieren der Deinstallation.

Berechtigungen: Ermöglicht den Zugriff auf die Berechtigungsrichtlinie und den Status der Berechtigungsvergabe.

Paketberechtigungen: Ermöglicht den Zugriff auf den Status der Paketberechtigungen.

System-App: Ermöglicht den Zugriff zum Aktivieren von System-Apps.

9.6. Bevorzugtes Netzwerk

Der bevorzugte Netzwerkdienst, der für diese App verwendet werden soll. Wenn dieser Wert festgelegt ist, verwendet die App bei Verfügbarkeit den angegebenen Unternehmens-Netzwerkslice für ihre Verbindungen. Dieser muss mit einem in der 5G-Netzwerkslice-Konfiguration des Mobilfunk-Bereichs konfigurierten Netzwerkslice übereinstimmen.

9.7. Standard-Berechtigungsrichtlinie

Die Standardrichtlinie gilt für alle Berechtigungen, die von der App angefordert werden. Falls angegeben, überschreibt dies die auf Richtlinienebene definierte Standardberechtigungsrichtlinie, die für alle Apps gilt. Sie überschreibt jedoch nicht die Berechtigungsrichtlinien, die für alle Apps gelten.

Aufforderung (Standard): Fordert den Benutzer auf, eine Berechtigung zu erteilen.

Berechtigung erteilen: Eine Berechtigung automatisch erteilen.

Verweigern: Eine Berechtigung automatisch verweigern.

9.8. Verbundene Arbeits- und persönliche Anwendungen

Steuert, ob die App über die Work- und Personalprofile eines Geräts hinweg kommunizieren darf, vorbehaltlich der Zustimmung des Benutzers (Android 11+).

Nicht erlaubt (Standard): Verhindert die Kommunikation der App zwischen verschiedenen Profilen.

Erlaubt: Ermöglicht der App die Kommunikation zwischen verschiedenen Profilen, nachdem die Benutzererlaubnis erteilt wurde.

9.9. Ausnahme für die Always-On-VPN-Sperre

Gibt an, ob die App Netzwerkverbindungen nutzen darf, wenn kein VPN verbunden ist und die Sperre aktiviert ist. Nur auf Geräten mit Android 10 und höher unterstützt.

Erzwungen (Standard): Die App respektiert die Einstellung für das Always-On-VPN, die aktiviert wurde.

Ausgenommen: Die App unterliegt nicht der Einstellung für das Always-On-VPN.

9.10. Arbeitsbereich-Widgets

Gibt an, ob die im Arbeitsbereich installierte App erlaubt ist, Widgets zum Home-Bildschirm hinzuzufügen.

Erlaubt: Die Anwendung darf Widgets zum Home-Bildschirm hinzufügen.

Nicht erlaubt: Die Anwendung darf keine Widgets zum Home-Bildschirm hinzufügen.

9.11. Benutzereinstellungen für die Steuerung

Gibt an, ob die Benutzersteuerung für eine bestimmte App zulässig ist. Die Benutzersteuerung umfasst Benutzeraktionen wie das erzwungene Beenden und Löschen von App-Daten (Android 11+). Wenn für eine App extensionConfig aktiviert ist, ist die Benutzersteuerung unabhängig von dieser Einstellung nicht zulässig. Bei Kiosk-Apps können Sie mit Erlaubt die Benutzersteuerung aktivieren.

Nicht spezifiziert: Verwendet das Standardverhalten der App, um zu bestimmen, ob die Benutzersteuerung erlaubt oder verboten ist.

Erlaubt: Die App erlaubt die Benutzersteuerung.

Nicht erlaubt: Die App erlaubt keine Benutzersteuerung.

9.12. Deaktiviert

Ob die App deaktiviert ist. Wenn die App deaktiviert ist, bleiben die App-Daten erhalten.

9.13. Credential-Anbieter erlauben

Ob die App als Anmeldeinformationsanbieter auf Android 14 und höher verwendet werden darf.

9.14. Konfigurationsverwaltung

Um die verwalteten Einstellungen der App zu konfigurieren, klicken Sie auf die Schaltfläche "Verwaltete Konfiguration aktivieren. Wenn für die App bereits eine verwaltete Konfiguration festgelegt ist, können Sie diese mit der Schaltfläche "Verwaltete Konfiguration ändern oder mit der Schaltfläche "Konfiguration entfernen löschen.

Die Option "Verwaltete Konfiguration" ist nur für Apps verfügbar, die diese Funktionalität unterstützen.

9.15. Berechtigungsrichtlinien

Explizite Berechtigungen, die für die App gewährt oder verweigert werden. Diese Werte überschreiben die Standardberechtigungsrichtlinie und die Berechtigungsrichtlinien, die für alle Apps gelten.

Verwenden Sie die Richtlinie zur Berechtigungsverwaltung, um eine oder mehrere Berechtigungsregeln für die App-Karte hinzuzufügen, und entfernen Sie diese mit der Löschfunktion.

9.16. Verfolgen Sie IDs

Liste der Test-IDs für die geschlossene Testphase der App, auf die ein Gerät zugreifen kann. Wenn mehrere Test-IDs ausgewählt sind, erhalten die Geräte die neueste Version unter allen verfügbaren Testversionen. Wenn keine Test-IDs ausgewählt sind, haben die Geräte nur Zugriff auf die Produktionsversion der App.

Die Option "Track-IDs" ist nur für Apps verfügbar, die mindestens eine Track-ID für Ihr Unternehmen bereitstellen. Weitere Informationen zum Hinzufügen Ihres Unternehmens zu einem geschlossenen Testprogramm für eine bestimmte App finden Sie hier.

 

10. Standardmäßige Anwendungseinstellungen

Standard-Apps für unterstützte Typen festlegen. Wenn für mindestens einen Typ eine Standard-App festgelegt ist, können Benutzer in diesem Profil keine Standard-Apps ändern.

Es ist nur eine Standard-App-Einstellung pro Standard-App-Typ erlaubt. Die Liste der Standard-Anwendungen darf keine Duplikate enthalten.

10.1. Standard-App-Typ

Wählen Sie die App-Kategorie aus, die Sie konfigurieren möchten (z. B. Browser, Wählprogramm, SMS, Wallet oder Assistent). Die Verfügbarkeit hängt von der Android-Version und dem Verwaltungsmodus ab.

10.2. Standardmäßige Anwendungsbereiche

Wählen Sie aus, wo die Standard-App angewendet werden soll (vollständig verwaltet, Arbeitsbereich oder privater Bereich). Nur die für den ausgewählten Typ unterstützten Bereiche können ausgewählt werden.

Wenn keiner der ausgewählten Bereiche für den Verwaltungsmodus des Geräts relevant ist, meldet das Gerät einen Nicht-Konformitäts-Hinweis.

10.3. Voreinstellungen für Anwendungen

Liste der Apps, die als Standard für den ausgewählten Typ festgelegt werden können. Die zuerst installierte und geeignete App wird als Standard festgelegt.

Wenn die Berechtigungen "Vollständig verwaltet" oder "Arbeitsprofil" umfassen, muss jede App auch in der Liste der "Anwendungen" vorhanden sein, wobei der "Installationsmodus" nicht auf "Blockiert" eingestellt sein darf.

 

11. Auswahl des privaten Schlüssels

Ermöglicht die Anzeige einer Benutzeroberfläche auf einem Gerät, damit der Benutzer einen privaten Schlüssel-Alias auswählen kann, falls keine passenden Regeln in Regeln für die Auswahl des privaten Schlüssels vorhanden sind.

Für Geräte mit Android-Versionen vor P kann das Aktivieren dieser Einstellung dazu führen, dass Unternehmensschlüssel anfällig werden.

 

12. Wählen Sie Regeln für private Schlüssel

Steuert den Zugriff von Apps auf private Schlüssel. Die Regel bestimmt, welcher private Schlüssel, falls vorhanden, von Android Device Policy für die angegebene App gewährt wird. Der Zugriff wird entweder gewährt, wenn die App KeyChain.choosePrivateKeyAlias (oder eine der Varianten) aufruft, um einen privaten Schlüssel-Alias für eine bestimmte URL anzufordern, oder für Regeln, die nicht URL-spezifisch sind (d.h. wenn urlPattern nicht gesetzt ist oder leer ist oder .* lautet), direkt, sodass die App KeyChain.getPrivateKey aufrufen kann, ohne vorher KeyChain.choosePrivateKeyAlias aufrufen zu müssen. Wenn eine App KeyChain.choosePrivateKeyAlias aufruft und mehr als eine choosePrivateKeyRules übereinstimmt, bestimmt die letzte übereinstimmende Regel, welcher Schlüssel-Alias zurückgegeben wird.

Verwenden Sie Regel für privaten Schlüssel hinzufügen, um Dateneinträge zu erstellen und diese mit der Löschfunktion zu entfernen.

12.1. Alias für den privaten Schlüssel

Der Alias des privaten Schlüssels, der verwendet werden soll.

12.2. Muster für die URL

Das URL-Muster, das mit der URL der Anfrage verglichen wird. Wenn es nicht gesetzt oder leer ist, werden alle URLs abgeglichen. Dabei wird die reguläre Ausdrucks-Syntax von java.util.regex.Pattern verwendet.

12.3. Paketnamen

Die Paketnamen, auf die diese Regel angewendet wird. Der Hash des Signaturzertifikats für jede App wird mit dem von Play bereitgestellten Hash abgeglichen. Wenn keine Paketnamen angegeben sind, wird der Alias allen Apps zur Verfügung gestellt, die KeyChain.choosePrivateKeyAlias oder eine seiner Varianten aufrufen (aber nicht ohne den Aufruf von KeyChain.choosePrivateKeyAlias, auch auf Android 11 und höher). Jede App mit der gleichen Android-UID wie ein hier angegebenes Paket hat Zugriff, wenn sie KeyChain.choosePrivateKeyAlias aufruft.

Verwenden Sie Paketnamen hinzufügen, um Einträge hinzuzufügen und sie mit der Löschfunktion zu entfernen.

 

Um eine App zu löschen, klicken Sie auf das Papierkorb-Symbol, das sich am unteren Rand der App-Karte befindet.

 

 

Kioskmodus

Mit dem Kioskmodus können Sie die Funktionalität eines Geräts auf eine einzelne App oder mehrere Apps beschränken. Die Wahl zwischen einem Kioskmodus für eine einzelne App und einem für mehrere Apps hängt von Ihren Geschäftszielen ab.

Im Kioskmodus für eine einzelne App wird ein Gerät für eine einzelne Anwendung konfiguriert und verhindert, dass Endbenutzer auf andere Apps auf dem Gerät zugreifen. Sie können auch nicht aus der App heraus, wodurch das Gerät ausschließlich für diese bestimmte App bestimmt ist. Um diesen Modus zu aktivieren, geben Sie eine App im Abschnitt App-Verwaltung an und setzen Sie den Installationsmodus auf Kiosk.

Im Mehr-App-Kioskmodus können Geräte auf mehrere Anwendungen zugreifen. Endbenutzer können mit einem benutzerdefinierten Launcher zwischen mehreren Apps wechseln. Um diesen Modus zu aktivieren, aktivieren Sie die Option "Benutzerdefinierter Kiosk-Launcher".

Wenn der Kioskmodus aktiviert ist, können Sie auch konfigurieren, ob Endbenutzer auf bestimmte Systemfunktionen zugreifen können, wie z. B. Systemeinstellungen und die Statusleiste.

 

Benutzerdefinierter Kiosk-Launcher

Gibt an, ob der angepasste Kiosk-Launcher aktiviert ist. Dieser ersetzt den Startbildschirm durch einen Launcher, der das Gerät auf die über die App-Verwaltung-Einstellungen installierten Apps beschränkt. Die Apps werden auf einer einzigen Seite in alphabetischer Reihenfolge angezeigt.

 

Aktionen für den Power-Button

Legt das Verhalten eines Geräts im Kioskmodus fest, wenn ein Benutzer den Power-Button gedrückt hält.

Verfügbar (Standard): Das Power-Menü (z. B. Ausschalten, Neustarten) wird angezeigt, wenn ein Benutzer im Kioskmodus den Power-Button eines Geräts gedrückt hält.

Blockiert: Das Power-Menü (z. B. Ausschalten, Neustarten) wird nicht angezeigt, wenn ein Benutzer im Kioskmodus die Power-Taste eines Geräts gedrückt hält. Hinweis: Dies kann verhindern, dass Benutzer das Gerät ausschalten.

 

Systemfehlerwarnungen

Legt fest, ob Systemfehlerdialoge für abgestürzte oder nicht reagierende Apps im Kioskmodus unterdrückt werden. Wenn die Anzeige unterdrückt wird, beendet das System die App, als ob der Benutzer die Option "App schließen" in der Benutzeroberfläche wählt.

Blockiert (Standard): Alle Systemfehlerdialoge, z. B. bei Abstürzen oder wenn eine App nicht reagiert (ANR), werden unterdrückt. Wenn die Anzeige unterdrückt ist, beendet das System die App, als ob der Benutzer die App über die Benutzeroberfläche schließen würde.

Aktiviert: Alle Systemfehlerdialoge, wie z. B. bei Abstürzen oder wenn eine App nicht reagiert (ANR), werden angezeigt.

Systemnavigation

Legt fest, welche Navigationsfunktionen (z. B. Home- und Übersichts-Buttons) im Kioskmodus aktiviert sind.

Deaktiviert (Standard): Die Schaltflächen "Home" und "Übersicht" sind nicht zugänglich.

Nur Startseite: Nur die Schaltfläche "Startseite" ist aktiviert.

Aktiviert: Die Schaltflächen "Startseite" und "Übersicht" sind aktiviert.

 

Statusleiste

Gibt an, ob Systeminformationen und Benachrichtigungen im Kioskmodus deaktiviert werden sollen.

Deaktiviert (Standard): Systeminformationen und Benachrichtigungen sind im Kioskmodus deaktiviert.

Nur System: Nur Systeminformationen werden in der Statusleiste angezeigt.

Aktiviert: Im Kioskmodus werden Systeminformationen und Benachrichtigungen in der Statusleiste angezeigt. Hinweis: Damit diese Richtlinie wirksam wird, muss die Home-Taste des Geräts über kioskCustomization.systemNavigation aktiviert sein.

 

Geräteeinstellungen

Legt fest, ob die Einstellungen-App im Kioskmodus zulässig ist.

Zulässig (Standard): Der Zugriff auf die Einstellungen-App ist im Kioskmodus erlaubt.

Blockiert: Der Zugriff auf die Einstellungen-App ist im Kioskmodus nicht erlaubt.

Sicherheit

In diesem Abschnitt können Sie sicherheitsrelevante Richtlinien konfigurieren.

 

Aktionen bei Sicherheitsrisiken

Wählen Sie, was passieren soll, wenn ein Gerät in den Statusberichten ein Sicherheitsrisiko meldet.

 

Unterstützte Sicherheitsproblemtypen:

Unbekanntes Betriebssystem: Die Play Integrity API erkennt, dass das Gerät ein unbekanntes Betriebssystem verwendet (der grundlegende Integritätscheck ist erfolgreich, aber ctsProfileMatch schlägt fehl).

Kompromittiertes Betriebssystem: Die Play Integrity API hat erkannt, dass das Gerät ein kompromittiertes Betriebssystem verwendet (die grundlegende Integritätsprüfung ist fehlgeschlagen).

Hardware-basierte Überprüfung fehlgeschlagen: Die Play Integrity API hat festgestellt, dass das Gerät keine starke Garantie für die Systemintegrität aufweist, falls das Label "MEETS_STRONG_INTEGRITY" nicht im Bereich "Geräteintegrität" angezeigt wird.

 

Verfügbare Aktionen:

Firmendaten löschen (Standard): Abmelden und Arbeitsdaten löschen (gesamtes Gerät, wenn vollständig verwaltet, oder nur das Arbeitsprofil bei gerätebesessenem Profil).

Keine Aktion: Das Gerät bleibt registriert und es wird automatisch nichts unternommen.

 

Wenn Sie Firmen-Daten löschen auswählen, können Sie auch Optionen für das Löschen konfigurieren:

Werkseinstellungen-Schutz beibehalten: Behält die Factory Reset Protection (FRP)-Daten bei, wenn das Gerät gelöscht wird.

Externen Speicher löschen: Löscht zusätzlich den externen Speicher des Geräts (z. B. SD-Karten) während des Löschvorgangs.

eSIMs löschen: Bei Geräten, die dem Unternehmen gehören, werden bei einem Löschvorgang alle eSIMs vom Gerät entfernt. Bei Geräten, die sich im privaten Besitz befinden, werden nur die verwalteten eSIMs (eSIMs, die über den Befehl ADD_ESIM hinzugefügt wurden) entfernt, und es werden keine eSIMs entfernt, die sich im privaten Besitz befinden.

 

1. Maximale Sperrzeit

Maximale Zeit (in Sekunden) für Benutzeraktivität, bevor das Gerät gesperrt wird. Ein Wert von 0 bedeutet, dass es keine Beschränkung gibt.

 

2. Immer eingeschaltet lassen, wenn das Gerät geladen wird

Die Modi für das Laden des Akkus, bei denen das Gerät eingeschaltet bleibt. Wenn Sie diese Einstellung verwenden, wird empfohlen, "Maximale Sperrzeit" zu deaktivieren, damit sich das Gerät nicht selbst sperrt, während es eingeschaltet bleibt.

Netzteil: Die Stromquelle ist ein Netzteil.

USB-Anschluss: Die Stromquelle ist ein USB-Anschluss.

Kabelloses Ladegerät: Die Stromquelle ist drahtlos.

 

3. Keyguard deaktiviert

Wenn aktiviert, wird der Sperrbildschirm für den primären und/oder sekundären Bildschirm deaktiviert. Diese Richtlinie wird nur im dedizierten Geräteverwaltungsmodus unterstützt.

 

4. Passwortanforderungen

Passwortrichtlinien.

Verwenden Sie Konfigurieren Sie Passwortrichtlinien, um einen oder mehrere Passwortrichtlinien-Blöcke hinzuzufügen. Verwenden Sie Alle löschen, um alle konfigurierten Passwortrichtlinien zu entfernen.

Die Passwortrichtlinien können den Auto-Bereich (eine einzige Anforderung) oder separate Geräte/Arbeitsprofil-Bereiche verwenden. Anforderungsrichtlinien, die auf Komplexität basieren, müssen mit Anforderungsrichtlinien kombiniert werden, die auf Qualität basieren, und zwar für denselben Bereich.

4.1. Anwendungsbereich

Der Anwendungsbereich, auf den die Passwortrichtlinie Anwendung findet.

Automatisch: Der Gültigkeitsbereich ist nicht definiert. Die Passwortrichtlinien gelten für das Arbeitsprofil bei Geräten mit Arbeitsprofil und für das gesamte Gerät bei vollständig verwalteten oder dedizierten Geräten.

Gerät: Die Passwortrichtlinien gelten nur für das Gerät.

Arbeitsprofil: Die Passwortrichtlinien gelten nur für das Arbeitsprofil.

4.2. Länge des Passwort-Verlaufs

Die Länge der Passwort-Historie. Nach dem Festlegen dieses Wertes kann der Benutzer kein neues Passwort eingeben, das mit einem Passwort in der Historie übereinstimmt. Ein Wert von 0 bedeutet, dass es keine Einschränkung gibt.

4.3. Maximale Anzahl fehlgeschlagener Passworteingaben, bevor ein Löschvorgang ausgelöst wird

Anzahl der zulässigen falschen Passwörter zum Entsperren des Geräts, bevor eine Löschung erfolgt. Ein Wert von 0 bedeutet, dass es keine Einschränkung gibt.

4.4. Passwort-Ablaufzeit (Tage)

Diese Einstellung zwingt den Benutzer, sein Passwort regelmäßig zu ändern, und zwar nach der angegebenen Anzahl von Tagen.

4.5. Passwort zum Entsperren erforderlich

Die Zeit, die vergeht, bevor ein Gerät oder ein Arbeitsbereich nach der Entsperrung mit einer starken Authentifizierungsmethode (Passwort, PIN, Muster) mit einer anderen Authentifizierungsmethode (z. B. Fingerabdruck, Vertrauensagenten, Gesichtserkennung) entsperrt werden kann, beträgt. Nach Ablauf dieser Zeit können nur starke Authentifizierungsmethoden verwendet werden, um das Gerät oder den Arbeitsbereich zu entsperren.

Geräteeinstellung: Der Timeout-Wert ist auf die Geräteeinstellung festgelegt.

Jeden Tag: Die Timeout-Dauer ist auf 24 Stunden eingestellt.

4.6. Qualität des Passworts

Die erforderliche Passwortqualität.

Hohe Komplexität: Definieren Sie den Bereich für hohe Passwortkomplexität wie folgt: Bei Android 12 und höher: PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen, mindestens 8 Zeichen; alphabetisch, mindestens 6 Zeichen; alphanumerisch, mindestens 6 Zeichen.

Mittlere Komplexität: Definieren Sie den Bereich für mittlere Passwortkomplexität wie folgt: PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen, mindestens 4 Zeichen; alphabetisch, mindestens 4 Zeichen; alphanumerisch, mindestens 4 Zeichen.

Geringe Komplexität: Definieren Sie den Bereich für geringe Passwortkomplexität wie folgt: Muster; PIN mit wiederholenden (4444) oder geordneten (1234, 4321, 2468) Sequenzen.

Keine: Es gibt keine Passwortanforderungen.

Schwache: Das Gerät muss mit einer biometrischen Technologie mit geringem Sicherheitsniveau gesichert sein, mindestens aber. Dies umfasst Technologien, die die Identität einer Person erkennen können und in etwa der Sicherheit eines 3-stelligen PINs entsprechen (die Fehlerrate beträgt weniger als 1 von 1.000).

Beliebig: Ein Passwort ist erforderlich, aber es gibt keine Einschränkungen hinsichtlich des Passwortinhalts.

Zahlen: Das Passwort muss numerische Zeichen enthalten.

Zahlenfolge: Das Passwort muss numerische Zeichen enthalten, wobei sich keine Ziffern wiederholen dürfen (z.B. 4444) und keine aufsteigenden oder absteigenden Reihenfolgen enthalten sein dürfen (z.B. 1234, 4321, 2468).

Alphabetische Zeichen: Das Passwort muss alphabetische (oder Sonderzeichen) enthalten.

Alphanumerisch: Das Passwort muss sowohl numerische als auch alphabetische (oder Sonderzeichen) enthalten.

Komplex: Das Passwort muss die in den Einstellungen `passwordMinimumLength`, `passwordMinimumLetters`, `passwordMinimumSymbols` usw. definierten Mindestanforderungen erfüllen. Beispielsweise muss das Passwort, wenn `passwordMinimumSymbols` den Wert 2 hat, mindestens zwei Sonderzeichen enthalten.

4.7. Mindestlänge

Die Mindestlänge für Passwörter. Ein Wert von 0 bedeutet, dass es keine Beschränkung gibt.

4.8. Mindestanzahl an Buchstaben

Mindestanzahl an Buchstaben für das Passwort.

4.9. Mindestanzahl an Kleinbuchstaben

Mindestanzahl an Kleinbuchstaben, die im Passwort erforderlich sind.

4.10. Mindestanzahl an Großbuchstaben

Mindestanzahl an Großbuchstaben, die im Passwort erforderlich sind.

4.11. Mindestanzahl an nicht-alphabetischen Zeichen

Mindestanzahl an nicht-alphabetischen Zeichen (Ziffern oder Symbolen), die im Passwort erforderlich sind.

4.12. Mindestanzahl an Ziffern

Mindestanzahl an Ziffern, die im Passwort enthalten sein müssen.

4.13. Mindestanzahl an Symbolen

Mindestanzahl an Symbolen, die im Passwort erforderlich sind.

4.14. Einheitliche Sperre

Legt fest, ob für das Gerät und das Arbeitskonto eine einheitliche Sperre zulässig ist, bei Geräten mit Android 9 oder höher und einem Arbeitskonto. Dies hat keine Auswirkung auf andere Geräte.

Einheitliche Sperre erlauben: Eine gemeinsame Sperre für das Gerät und das Arbeitskonto ist zulässig.

Separate Work-Profil-Sperre erforderlich: Für das Arbeitskonto ist eine separate Sperre erforderlich.

 

5. Zurücksetzen auf Werkseinstellungen deaktiviert

Ob das Zurücksetzen auf Werkseinstellungen in den Einstellungen deaktiviert ist. Gilt nur für vollständig verwaltete Geräte.

 

6. Schutz vor dem Zurücksetzen auf Werkseinstellungen

E-Mail-Adressen der Geräteadministratoren für den Schutz vor dem Zurücksetzen auf Werkseinstellungen. Wenn das Gerät ein nicht autorisiertes Zurücksetzen auf Werkseinstellungen durchführt, muss einer dieser Administratoren mit der E-Mail-Adresse und dem Passwort des Google-Kontos anmelden, um das Gerät zu entsperren. Wenn keine Administratoren angegeben sind, bietet das Gerät keinen Schutz vor dem Zurücksetzen auf Werkseinstellungen. Nur für vollständig verwaltete Geräte.

E-Mail-Adressen der Geräteadministratoren: Verwenden Sie Factory Reset Protection aktivieren, um mit der Konfiguration der Administratoren zu beginnen. Verwenden Sie dann E-Mail-Adresse eines Administrators hinzufügen, um Adressen hinzuzufügen, und entfernen Sie sie mit der Löschfunktion.

 

7. Keyguard-Funktionen

Keyguard-Funktionen (Bildschirmsperre), die deaktiviert werden können.

7.1. Alle deaktivieren

Alle aktuellen und zukünftigen Anpassungen des Bildschirmsperrbildschirms deaktivieren.

7.2. Kamera deaktivieren

Kamera auf gesicherten Sperrbildschirmen (z. B. PIN) deaktivieren.

7.3. Benachrichtigungen deaktivieren

Benachrichtigungen nicht auf gesicherten Sperrbildschirmen anzeigen.

7.4. Nicht bearbeitete Benachrichtigungen deaktivieren

Nicht bearbeitete Benachrichtigungen auf gesicherten Sperrbildschirmen deaktivieren.

7.5. Zustand des Vertrauens-Agenten ignorieren

Zustand des Vertrauens-Agenten auf gesicherten Sperrbildschirmen ignorieren.

7.6. Fingerabdrucksensor deaktivieren

Fingerabdrucksensor für gesicherte Sperrbildschirme deaktivieren.

7.7. Texteingabe in Benachrichtigungen deaktivieren

Texteingabe in Benachrichtigungen auf gesicherten Sperrbildschirmen deaktivieren.

7.8. Gesichtserkennung deaktivieren

Gesichtserkennung für gesicherte Sperrbildschirme deaktivieren.

7.9. Iris-Authentifizierung deaktivieren

Iris-Authentifizierung für gesicherte Sperrbildschirme deaktivieren.

7.10. Gesamte biometrische Authentifizierung deaktivieren

Gesamte biometrische Authentifizierung für gesicherte Sperrbildschirme deaktivieren.

7.11. Alle Verknüpfungen deaktivieren

Alle Verknüpfungen auf dem gesicherten Sperrbildschirm bei Android 14 und höher deaktivieren.

Multimedia

In diesem Abschnitt können Sie das Verhalten von Kamera/Mikrofon, den USB-Datenzugriff, das Drucken sowie bildschirmspezifische Einschränkungen konfigurieren.

 

1. Zugriff auf die Kamera

Steuert die Nutzung der Kamera und ob der Benutzer den Kameraschalter aktivieren/deaktivieren kann (Android 12+). Im Allgemeinen gilt: Die Deaktivierung der Kamera wirkt sich bei vollständig verwalteten Geräten geräteweit aus und nur innerhalb des Arbeitsbereichs bei Geräten mit Arbeitsbereich.

Benutzerwahl (Standard): Standardverhalten des Geräts. Kameras sind verfügbar und (ab Android 12) kann der Benutzer den Zugriff auf die Kamera aktivieren/deaktivieren.

Deaktiviert: Alle Kameras sind deaktiviert (bei vollständiger Verwaltung: geräuzweit; bei Arbeitsprofil: nur für Apps im Arbeitsprofil). Der Kameraschalter hat im verwalteten Bereich keine Wirkung.

Erzwungen: Kameras sind verfügbar. Bei vollständig verwalteten Geräten mit Android 12 oder höher kann der Benutzer den Zugriff auf die Kamera nicht selbst aktivieren oder deaktivieren. Bei anderen Geräten/Versionen verhält sich dies wie bei der Benutzereinstellung.

 

2. Zugriff auf das Mikrofon

Bei vollständig verwalteten Geräten steuert diese Einstellung die Nutzung des Mikrofons und ob der Benutzer den Mikrofontast (Android 12+) aktivieren oder deaktivieren kann. Diese Einstellung hat keine Auswirkungen auf Geräte, die nicht vollständig verwaltet werden.

Benutzerwahl (Standard): Standardverhalten. Das Mikrofon ist verfügbar und (ab Android 12) kann der Benutzer den Mikrofonzugriff aktivieren oder deaktivieren.

Deaktiviert: Das Mikrofon ist deaktiviert (für das gesamte Gerät). Der Umschalter für den Mikrofonzugriff hat keine Auswirkung.

Erzwungen: Das Mikrofon ist verfügbar. Unter Android 12+ kann der Benutzer den Mikrofonzugriff nicht selbst aktivieren oder deaktivieren. Unter Android 11 oder älter verhält sich dies wie bei einer Benutzerwahl.

 

3. Zugriff auf USB-Daten

Steuert, welche Dateien und/oder Daten über USB übertragen werden können. Nur auf firmeneigenen Geräten unterstützt.

Dateitransfer deaktivieren (Standard): Der Dateitransfer ist deaktiviert, aber andere USB-Datenverbindungen (z. B. Maus/Tastatur) sind weiterhin möglich.

Datenübertragung verbieten: Alle Arten von USB-Datenübertragungen sind verboten (Android 12+ mit USB HAL 1.3+). Wenn nicht unterstützt, wechselt das Gerät in den Modus "Dateiübertragung verbieten".

Datenübertragung zulassen: Alle Arten von USB-Datenübertragungen sind erlaubt.

 

4. Drucken

Legt fest, ob das Drucken erlaubt ist (Android 9+).

Erlaubt (Standard): Das Drucken ist erlaubt.

Nicht erlaubt: Das Drucken ist nicht erlaubt (Android 9+).

 

5. Einstellungen für die Bildschirmhelligkeit

Steuert den Bildschirmhelligkeitsmodus und (optional) den Helligkeitswert.

Bildschirmhelligkeitsmodus:

Benutzereinstellung (Standard): Der Benutzer darf die Bildschirmhelligkeit konfigurieren.

Automatisch: Die Helligkeit wird automatisch eingestellt, und der Benutzer kann diese Einstellung nicht ändern. Sie können dennoch einen Helligkeitswert festlegen, der bei der automatischen Anpassung verwendet wird (vollständig verwaltete Android-Geräte ab Version 9; Arbeitsprofile auf firmeneigenen Android-Geräten ab Version 15).

Behoben: Die Helligkeit wird auf den konfigurierten Wert eingestellt, und der Benutzer kann diese Einstellung nicht ändern. Ein Helligkeitswert ist erforderlich (vollständig verwaltete Android-Geräte ab Version 9; Arbeitsprofile auf firmeneigenen Android-Geräten ab Version 15).

Bildschirmhelligkeit:

Wert von 1 bis 255 (1 = niedrigste, 255 = höchste Helligkeit). Ein Wert von 0 bedeutet, dass keine Helligkeit eingestellt ist.

 

6. Einstellungen für die Bildschirm-Timeout-Funktion

Steuert, ob der Benutzer die Bildschirm-Timeout-Funktion konfigurieren kann, und, falls erzwungen, den Timeout-Wert.

Das Feld Bildschirmsperr-Modus ermöglicht die Auswahl zwischen benutzerdefinierter und erzwungener Einstellung.

Benutzerdefinierte Einstellung (Standard): Der Benutzer kann die Bildschirm-Timeout-Funktion selbst konfigurieren.

Erzwungen: Die Bildschirm-Timeout-Funktion wird auf den konfigurierten Wert gesetzt und der Benutzer kann diese Einstellung nicht ändern (vollständig verwaltetes Android 9+; Arbeitsprofile auf firmeneigenen Android-Geräten ab Version 15).

Bildschirm-Timeout: Erzwingt den konfigurierten Wert, den der Benutzer nicht ändern kann (vollständig verwaltetes Android 9+; Arbeitsprofile auf firmeneigenen Android-Geräten ab Version 15)

Zeitspanne bis zum Timeout in Sekunden. Der Wert muss größer als 0 sein. Wenn er größer ist als Maximale Sperrzeit, kann das System ihn möglicherweise begrenzen und eine Nichtkonformität melden.

 

7. Bildschirmaufnahme deaktiviert

Ob die Bildschirmaufnahme deaktiviert ist.

 

Lautstärkeanpassung deaktiviert

Ob die Einstellung der Hauptlautstärke deaktiviert ist.

 

9. Das Mounten von physischen Medien ist deaktiviert

Ob das Mounten von physischen externen Medien deaktiviert ist.

Mobilfunk

In diesem Abschnitt können Sie zelluläreinstellungen konfigurieren.

 

1. Flugmodus

Steuert, ob der Benutzer den Flugmodus aktivieren und deaktivieren kann.

Benutzereinstellung (Standard): Der Benutzer darf den Flugmodus aktivieren oder deaktivieren.

Deaktiviert: Der Flugmodus ist deaktiviert. Der Benutzer darf den Flugmodus nicht aktivieren. Unterstützt auf Android 9 und höher.

 

2. Mobilfunk 2G

Legt fest, ob der Benutzer die Einstellung für Mobilfunk 2G aktivieren oder deaktivieren kann.

Benutzereinstellung (Standard): Der Benutzer darf die Einstellung für Mobilfunk 2G aktivieren oder deaktivieren.

Deaktiviert: Mobilfunk 2G ist deaktiviert. Der Benutzer darf Mobilfunk 2G über die Einstellungen nicht aktivieren. Unterstützt auf Android 14 und höher.

 

3. APN-Einstellungen überschreiben

Steuert, ob das Überschreiben der APN-Einstellungen aktiviert oder deaktiviert ist. Wenn aktiviert, werden nur die konfigurierten APN-Überschreibungen verwendet und alle anderen APNs auf dem Gerät werden ignoriert.

Deaktiviert (Standard): Alle konfigurierten APN-Einstellungen werden auf dem Gerät gespeichert, sind aber deaktiviert und haben keine Wirkung. Alle anderen APNs auf dem Gerät bleiben aktiv.

Aktiviert: Nur die überschreibenden APN-Einstellungen werden verwendet, alle anderen APN-Einstellungen werden ignoriert. Diese Einstellung kann nur auf vollständig verwalteten Geräten mit Android 10 und höher konfiguriert werden.

 

4. APN-Einstellungen

Konfigurieren Sie einen oder mehrere APN-Einträge. Verwenden Sie APN hinzufügen, um einen Eintrag zu erstellen, und APN entfernen, um ihn zu löschen.

Jeder APN hat erforderliche Felder:

APN-Typen: Wählen Sie einen oder mehrere Datentypen für diesen APN aus (die Verfügbarkeit hängt vom Verwaltungsmodus und der Android-Version ab).

APN-Name: Die vom Netzbetreiber bereitgestellte APN-Kennung.

Anzeigename: Freundlicher Name, der in der Benutzeroberfläche angezeigt wird.

 

Optionale APN-Felder:

Authentifizierungstyp, Benutzername, Passwort: Konfigurieren Sie die Anmeldemethode des Anbieters (falls erforderlich).

Protokoll und Roaming-Protokoll: Konfiguration des IP-Protokolls.

Netzwerktypen: Beschränken Sie die verwendeten Mobilfunktechnologien (z. B. LTE/5G NR).

Proxy-Adresse und Proxy-Port: HTTP-Proxy für Datenverkehr (falls zutreffend).

MMS-Proxy-Adresse, MMS-Proxy-Port, MMSC (URI des MMS-Zentrums): Einstellungen für MMS.

Numerische Operator-ID (MCC+MNC) und Träger-ID: Felder zur Identifizierung des Mobilfunkanbieters.

Immer aktiv: Gibt an, ob die durch dieses APN aktivierte PDN-Verbindung immer aktiv sein soll. Unterstützt ab Android 15.

MVNO-Typ: Kennzeichnet den Typ des virtuellen Mobilfunknetzbetreibers.

MTU IPv4 und MTU IPv6: Maximale Übertragungseinheit für IPv4-/IPv6-Verbindungen. Unterstützt ab Android 13.

 

5. Cell-Broadcast-Konfiguration deaktiviert

Ob die Konfiguration für Cell Broadcast deaktiviert ist.

 

6. Mobile Netzwerkkonfiguration deaktiviert

Ob die Konfiguration für mobile Netzwerke deaktiviert ist.

 

7. Roaming-Daten deaktiviert

Ob Roaming-Daten aktiviert sind.

 

8. Ausgehende Anrufe deaktiviert

Ob ausgehende Anrufe deaktiviert sind.

 

9. SMS-Funktion deaktiviert

Ob das Senden und Empfangen von SMS-Nachrichten deaktiviert ist.

 

10. Konfiguration der 5G-Netz-Slicing-Funktion

Konfigurieren Sie die Einstellungen für bevorzugte Netzwerkdienste, um Enterprise-5G-Netz-Slicing zu aktivieren. Sie können bis zu 5 Enterprise-Slices einrichten und Anwendungen bestimmten Netzwerken zuweisen, um die Datenübertragung zu optimieren.

10.1. Standardmäßige bevorzugte Netzwerkeinstellungen

Standardmäßige bevorzugte Netzwerk-ID für Anwendungen, die nicht in der Anwendungsliste enthalten sind, oder wenn eine Anwendung keine bevorzugte Netzwerkeinstellung hat. Es muss eine Konfiguration für die angegebene Netzwerk-ID vorhanden sein (es sei denn, sie ist auf keine bevorzugte Netzwerk eingestellt).

Hinweis: Kritische Anwendungen wie com.google.android.apps.work.clouddpc und com.google.android.gms sind von dieser Standardeinstellung ausgenommen.

 

10.2. Konfigurationen für Netzwerkdienste

Verwenden Sie Netzwerkkonfiguration hinzufügen, um eine Slice-Konfiguration zu erstellen. Sie können bis zu 5 Konfigurationen hinzufügen. Jede Konfiguration hat:

Bevorzugte Netzwerk-ID (automatisch zugewiesen): Die Netzwerk-ID wird automatisch zugewiesen und kann nicht geändert werden.

Fallback auf die Standardverbindung: Legt fest, ob auf die standardmäßige Netzwerkverbindung des Geräts zurückgegriffen werden darf. Wenn dies nicht zulässig ist, können Apps nicht auf das Internet zugreifen, wenn das 5G-Netzwerk nicht verfügbar ist.

Nicht übereinstimmende Netzwerke: Legt fest, ob Apps, die dieser Konfiguration unterliegen, Netzwerke verwenden dürfen, die nicht der bevorzugten Verbindung entsprechen. Wenn dies auf Deaktiviert eingestellt ist, muss auch Fallback auf die Standardverbindung ebenfalls auf Deaktiviert eingestellt sein. Erfordert Android 14 oder höher.

Netzwerkfunktionen

In diesem Abschnitt können Sie netzwerkbezogene Richtlinien konfigurieren.

Wi-Fi-Einstellungen können vom System bereitgestellt und verwaltet werden, über die Wi-Fi-Einstellungen. Je nach Wert, der bei Wi-Fi-Konfiguration eingestellt ist, haben Benutzer möglicherweise eingeschränkte oder keine Kontrolle über das Hinzufügen/Ändern von Netzwerken.

 

Zustand des drahtlosen Geräts

1. Wi-Fi-Status

Steuert den aktuellen Wi-Fi-Status und ermöglicht dem Benutzer, diesen zu ändern.

Benutzerwahl (Standard): Der Benutzer darf Wi-Fi aktivieren/deaktivieren.

Aktiviert: Wi-Fi ist eingeschaltet und der Benutzer darf es nicht deaktivieren (Android 13+).

Deaktiviert: Wi-Fi ist ausgeschaltet, und der Benutzer darf es nicht aktivieren (Android 13+).

 

2. Mindest-Sicherheitsstufe für Wi-Fi

Die minimale erforderliche Sicherheitsstufe für Wi-Fi-Netzwerke, mit denen sich das Gerät verbinden kann. Unterstützt ab Android 13 für vollständig verwaltete Geräte und Arbeitsprofile auf firmeneigenen Geräten.

Offenes Netzwerk (Standard): Das Gerät kann mit allen Arten von Wi-Fi-Netzwerken verbunden werden.

Persönliches Netzwerk: Verhindert die Nutzung offener Wi-Fi-Netzwerke; erfordert mindestens eine persönliche Sicherheitsfunktion (z. B. WPA2-PSK).

Unternehmensnetzwerk: Erfordert Unternehmens-EAP-Netzwerke; verbietet Wi-Fi-Netzwerke mit einem niedrigeren Sicherheitsniveau.

Unternehmensnetzwerk mit 192 Bit: Erfordert Unternehmensnetzwerke mit 192 Bit; die strengste Option.

 

3. Status von Ultra-Weitband (UWB)

Steuert den Status der Ultra-Weitband-Einstellung und ob der Benutzer sie aktivieren oder deaktivieren kann.

Benutzerwahl (Standard): Der Benutzer kann Ultra-Weitband aktivieren oder deaktivieren.

Deaktiviert: UWB ist deaktiviert und der Benutzer kann diese Einstellung über die Einstellungen nicht ändern (Android 14+).

 

Gerätekonnektivitätsverwaltung

4. Bluetooth-Freigabe

Steuert, ob das Teilen über Bluetooth erlaubt ist.

Erlaubt: Bluetooth-Freigabe ist erlaubt (standardmäßig bei vollständig verwalteten Geräten, Android 8+).

Nicht erlaubt: Bluetooth-Freigabe ist nicht erlaubt (standardmäßig für verwaltete Profile, Android 8+).

 

5. Wi-Fi konfigurieren

Steuert die Berechtigungen zur Konfiguration von Wi-Fi. Je nach gewählter Option hat der Benutzer volle, eingeschränkte oder keine Kontrolle über die Konfiguration von Wi-Fi-Netzwerken.

Wi-Fi-Konfiguration zulassen (Standard): Der Benutzer darf Wi-Fi-Netzwerke konfigurieren.

Wi-Fi-Konfiguration verbieten: Das Hinzufügen neuer Wi-Fi-Konfigurationen ist nicht zulässig. Der Benutzer kann zwischen bereits konfigurierten Netzwerken wechseln (Android 13+; vollständig verwaltete und firmeneigenen Arbeitsumgebungen).

Das Konfigurieren von Wi-Fi verbieten: Verhindert das Konfigurieren von Wi-Fi-Netzwerken. Bei vollständig verwalteten Geräten werden benutzerkonfigurierte Netzwerke entfernt und nur Netzwerke beibehalten, die über Wi-Fi-Konfigurationen konfiguriert wurden. Bei firmeneigenen Arbeitsumgebungen bleiben bestehende Netzwerke unverändert, aber Benutzer können keine Wi-Fi-Netzwerke hinzufügen, entfernen oder ändern.

Wenn die Wi-Fi-Konfiguration deaktiviert ist und das Gerät beim Start keine Verbindung herstellen kann, kann das System die Notfallverbindung anzeigen, damit der Benutzer sich vorübergehend verbinden und die Richtlinie aktualisieren kann.

 

6. Einstellungen für Wi-Fi Direct

Steuerelemente zum Konfigurieren und Verwenden von Wi-Fi Direct-Einstellungen. Unterstützt auf firmeneigenen Geräten mit Android 13 und höher.

Erlauben (Standard): Der Benutzer darf Wi-Fi Direct verwenden.

Deaktivieren: Der Benutzer darf Wi-Fi Direct nicht verwenden.

 

7. Einstellungen für den mobilen Hotspot

Steuert die Einstellungen für die mobile Hotspot-Funktion. Je nach gewählter Einstellung kann die Nutzung verschiedener Formen der mobilen Hotspot-Funktion teilweise oder vollständig eingeschränkt werden.

Alle Verbindungsarten zulassen (Standard): Ermöglicht die Konfiguration und Nutzung aller Verbindungsarten.

Wi-Fi-Tethering deaktivieren: Verhindert, dass der Benutzer Wi-Fi als Hotspot nutzt (bei Android-Geräten ab Version 13 im Besitz des Unternehmens).

Alle Verbindungsfreigabe-Optionen deaktivieren: Verhindert alle Arten von Verbindungsfreigabe (vollständig verwaltet + firmeneigene Arbeitsumgebungen).

 

8. Wi-Fi SSID-Richtlinie

Einschränkungen, zu welchen Wi-Fi SSIDs sich das Gerät verbinden kann (diese Einstellung beeinflusst nicht, welche Netzwerke auf dem Gerät konfiguriert werden können). Unterstützt auf firmeneigenen Geräten mit Android 13 oder höher.

SSID-Sperrliste (Standard): Das Gerät kann sich nicht mit Wi-Fi-Netzwerken verbinden, deren SSID in dieser Liste aufgeführt ist, kann aber mit anderen Netzwerken verbunden werden.

SSID-Zulassungsliste: Das Gerät kann sich nur mit den in dieser Liste aufgeführten Wi-Fi-Netzwerken verbinden. Die SSID-Liste darf nicht leer sein.

Verwenden Sie "SSID hinzufügen", um Einträge hinzuzufügen. Je nach ausgewähltem Richtlinientyp wird die Liste als Liste der zulässigen oder der verbotenen SSIDs interpretiert.

Im Policy Editor-Interface wird die SSID-Liste als Zulässige Wi-Fi-SSIDs für Erlaubnislisten und als Verbotene Wi-Fi-SSIDs für Sperrlisten bezeichnet.

 

9. Wi-Fi-Roaming-Einstellungen

Konfigurieren Sie den Wi-Fi-Roaming-Modus pro SSID. Verwenden Sie Hinzufügen der Wi-Fi-Roaming-Einstellungen, um Einträge zu erstellen.

Jeder Eintrag enthält:

SSID: Der SSID, für den die Roaming-Einstellungen gelten (erforderlich).

Wi-Fi-Roaming-Modus: Standard / Deaktiviert / Aggressiv. Die Optionen "Deaktiviert" und "Aggressiv" erfordern Android 15 oder höher und werden nur auf vollständig verwalteten Geräten und Unternehmensprofilen auf firmeneigenen Geräten unterstützt.

 

Netzwerkbeschränkungen

Bluetooth deaktiviert

Ob Bluetooth deaktiviert ist. Bevorzugen Sie diese Einstellung gegenüber „Bluetooth-Konfiguration deaktiviert“, da „Bluetooth-Konfiguration deaktiviert“ vom Benutzer umgangen werden kann.

 

11. Bluetooth-Kontaktfreigabe deaktiviert

Ob die Bluetooth-Kontaktfreigabe deaktiviert ist.

 

12. Bluetooth-Konfiguration deaktiviert

Ob die Bluetooth-Konfiguration deaktiviert ist.

 

13. Netzwerk-Reset deaktiviert

Ob das Zurücksetzen der Netzwerkeinstellungen deaktiviert ist.

 

14. Ausgehendes Beam deaktiviert

Ob die Verwendung von NFC zum Übertragen von Daten von Apps deaktiviert ist.

 

VPN

15. Immer verbunden VPN-App

Geben Sie einen Paketnamen für das "Always On VPN" an, um sicherzustellen, dass Daten von den konfigurierten verwalteten Apps immer über ein VPN übertragen werden.

Hinweis: Diese Funktion erfordert die Installation eines VPN-Clients, der sowohl die "Always On"- als auch die VPN-Funktionen pro App unterstützt.

 

16. VPN-Sperre

Verhindert Netzwerkzugriff, wenn keine VPN-Verbindung besteht.

 

17. VPN-Konfiguration deaktiviert

Ob die VPN-Konfiguration deaktiviert ist.

 

Proxy- und Netzwerkdienste

18. Bevorzugter Netzwerkdienst

Aktiviert den bevorzugten Netzwerkdienst für das Arbeitskonto. Beispielsweise kann ein Unternehmen eine Vereinbarung mit einem Mobilfunkanbieter haben, die besagt, dass Arbeitsdaten über einen speziellen Mobilfunkdienst für Unternehmen übertragen werden (z. B. einen dedizierten Kanal in 5G-Netzwerken). Dies hat keine Auswirkungen auf vollständig verwaltete Geräte.

Deaktiviert: Der bevorzugte Netzwerkdienst ist im Arbeitsbereich deaktiviert.

Aktiviert: Der bevorzugte Netzwerkdienst ist im Arbeitsbereich aktiviert.

Wenn Sie Network Slicing im Unternehmensbereich verwenden, konfigurieren Sie außerdem 5G-Netzwerk-Slicing-Konfiguration im Bereich Mobilfunk der Richtlinie und weisen Sie Apps mithilfe ihrer Bevorzugte Netzwerk-Einstellung einem Slice zu.

 

19. Empfohlener globaler Proxy

Der netzwerkunabhängige globale HTTP-Proxy. Proxies sollten in der Regel pro Netzwerk in den WLAN-Einstellungen konfiguriert werden. Ein globaler Proxy kann für ungewöhnliche Konfigurationen, z. B. allgemeine interne Filterung, nützlich sein. Der globale Proxy ist nur eine Empfehlung, und einige Apps können ihn ignorieren.

Deaktiviert

Direkter Proxy

Automatische Proxy-Konfiguration (PAC)

19.1. Host

Der Host des direkten Proxys.

19.2. Port

Der Port des direkten Proxys.

19.3. PAC-URI

Die URI des PAC-Skripts, das zur Konfiguration des Proxys verwendet wird.

19.4. Ausgeschlossene Hosts

Für einen direkten Proxy sind dies die Hosts, für die der Proxy umgangen wird. Hostnamen dürfen Platzhalter enthalten, z. B. *.example.com.

Verwenden Sie Hinzufügen ausgeschlossener Hosts, um Einträge hinzuzufügen (nur für direkten Proxy verfügbar).

 

WLAN-Konfigurationen

Definieren Sie WLAN-Netzwerkkonfigurationen, die das System auf Geräten anwendet. Verwenden Sie Hinzufügen einer WLAN-Konfiguration, um einen Eintrag zu erstellen, und entfernen Sie ihn mit der Löschfunktion.

20. Felder für die Wi-Fi-Konfiguration

Jede Konfiguration beinhaltet:

Konfigurationsname: Erforderlich.

SSID: Erforderlich.

Automatische Verbindung: Legt fest, ob automatisch eine Verbindung zu dem Netzwerk hergestellt werden soll, wenn es in Reichweite ist.

Schneller Übergang: Gibt an, ob der Client versuchen soll, den schnellen Übergang (IEEE 802.11r-2008) für das Netzwerk zu verwenden.

Verstecktes SSID: Gibt an, ob das SSID übertragen wird.

MAC-Adress-Randomisierung: Hardware oder Automatisch (Android 13+).

 

20.1. Sicherheit

Wi-Fi-Sicherheitsoptionen:

WEP-PSK: WEP (vorgegebener Schlüssel).

WPA‑PSK: WPA/WPA2/WPA3-Personal (Vorgegebener Schlüssel).

WPA‑EAP: WPA/WPA2/WPA3-Enterprise (Erweitertes Authentifizierungsprotokoll).

WPA3-Modus mit 192-Bit-Verschlüsselung: Ein WPA‑EAP-Netzwerk, das nur den WPA3-Modus mit 192-Bit-Verschlüsselung zulässt.

20.2. Passphrase (vorgegebener Schlüssel)

Wird angezeigt, wenn die Sicherheit auf WEP-PSK oder WPA-PSK eingestellt ist. Die Passphrase ist erforderlich.

20.3. EAP-Methode (Enterprise)

Wird angezeigt, wenn die Sicherheit auf WPA‑EAP oder WPA3 192-Bit-Modus eingestellt ist. Wählen Sie eine EAP-Außenmethode:

EAP-TLS

EAP-TTLS

PEAP

EAP‑SIM

EAP‑AKA

20.4. Authentifizierung in Phase 2

Wird für das Tunneling von äußeren Methoden (EAP‑TTLS und PEAP) angezeigt.

MSCHAPv2

PAP

20.5. EAP-Anmeldedaten von Benutzern

Wenn aktiviert, wendet das System automatisch EAP-Anmeldedaten auf Geräten pro Benutzer an. Sie können Benutzeranmeldedaten im Abschnitt Benutzer konfigurieren.

20.6. Client-Zertifikat

Für EAP‑TLS können Sie ein Client-Zertifikat zuweisen, das für die Wi-Fi-Authentifizierung verwendet wird. Weitere Informationen finden Sie auf der Seite Zertifikatsverwaltung.

Wenn ein Zertifikat bereits zugewiesen ist, können Sie mit "Zertifikat öffnen" dieses anzeigen oder mit "Zertifikat ändern" ein anderes auswählen.

Alternativ können Sie einen Client-Zertifikats-Schlüsselpaar-Alias angeben, der auf ein im Android-Schlüsselbund gespeichertes Client-Zertifikat verweist und für die Wi-Fi-Authentifizierung verwendet wird.

Wenn sowohl das Client-Zertifikat als auch der Alias für das Client-Zertifikats-Schlüsselpaar angegeben sind, wird der Alias für das Schlüsselpaar ignoriert.

20.7. Identität

Identität des Benutzers. Für Tunneling von äußeren Protokollen (PEAP, EAP‑TTLS) wird dies zur Authentifizierung innerhalb des Tunnels verwendet, und die anonyme Identität wird für die EAP-Identität außerhalb des Tunnels verwendet. Für nicht-tunnelnde äußere Protokolle wird dies für die EAP-Identität verwendet.

20.8. Anonyme Identität

Nur für Tunneling-Protokolle: Dies gibt die Identität des Benutzers an, der dem äußeren Protokoll präsentiert wird.

20.9. Passwort

Passwort des Benutzers. Wenn nicht angegeben, wird der Benutzer aufgefordert, ein Passwort einzugeben.

20.10. Server-CA-Zertifikate

Liste der CA-Zertifikate, die zur Überprüfung der Zertifikatskette des Hosts verwendet werden. Mindestens ein CA-Zertifikat muss übereinstimmen. Weitere Informationen finden Sie auf der Zertifikatsverwaltung-Seite.

Verwenden Sie das Hinzufügen des Server-CA-Zertifikats, um Einträge hinzuzufügen und sie mit der Löschfunktion zu entfernen.

20.11. Das Domänenpräfix stimmt überein

Eine Liste von Einschränkungen für den Server-Domänennamen. Die Einträge werden als Suffix-Übereinstimmungsanforderungen für den/die DNS-Namen des alternativen Betreffnamens eines Authentifizierungsserver-Zertifikats verwendet.

 

System

In diesem Abschnitt können Sie systembezogene Richtlinien konfigurieren.

 

1. Minimale API-Version

Die minimale zulässige Android API-Version.

 

2. Verschlüsselungsrichtlinie

Ob die Verschlüsselung aktiviert ist.

Standardwert: Dieser Wert wird ignoriert, d. h. keine Verschlüsselung erforderlich.

Aktiviert ohne Passwort: Verschlüsselung erforderlich, aber kein Passwort erforderlich, um das Gerät zu starten.

Aktiviert mit Passwort: Verschlüsselung erforderlich, ein Passwort ist zum Starten des Geräts notwendig.

 

3. Automatische Datums- und Uhrzeit-Synchronisierung

Ist die automatische Datums-, Zeit- und Zeitzonensynchronisierung für Geräte, die dem Unternehmen gehören, aktiviert?

Benutzerwahl (Standard): Ob die automatische Datums-, Zeit- und Zeitzonensynchronisierung aktiviert ist, wird vom Benutzer festgelegt.

Erzwungen: Erzwingen Sie die automatische Datums-, Zeit- und Zeitzonensynchronisierung auf dem Gerät.

 

4. Entwickleroptionen

Steuert den Zugriff auf die Entwicklereinstellungen: Entwickleroptionen und sicherer Start.

Deaktiviert (Standard): Deaktiviert alle Entwicklereinstellungen und verhindert, dass der Benutzer darauf zugreifen kann.

Erlaubt: Ermöglicht alle Entwicklereinstellungen. Der Benutzer kann auf diese zugreifen und sie optional konfigurieren.

 

5. Modus für Common Criteria

Steuerelemente für den Common Criteria Modus – Sicherheitsstandards, die im Common Criteria for Information Technology Security Evaluation (CC) definiert sind. Durch das Aktivieren des Common Criteria Modus werden bestimmte Sicherheitskomponenten auf einem Gerät erhöht (z. B. AES-GCM-Verschlüsselung von Bluetooth Long Term Keys, zusätzliche Validierung für einige Netzwerkzertifikate und kryptografische Richtlinieneintegritätsprüfungen). Der Common Criteria Modus wird nur auf firmeneigenen Geräten mit Android 11 oder höher unterstützt. Warnung: Der Common Criteria Modus erzwingt ein striktes Sicherheitsmodell, das in der Regel nur für hochsensible Organisationen erforderlich ist. Die normale Gerätefunktionalität kann beeinträchtigt werden; aktivieren Sie ihn nur, wenn dies erforderlich ist.

Deaktiviert (Standard): Deaktiviert den Common Criteria Modus.

Aktiviert: Aktiviert den Common Criteria Modus.

 

6. Memory Tagging Extension (MTE)

Steuert die Memory Tagging Extension (MTE) auf dem Gerät.

Benutzereinstellung (Standard): Der Benutzer kann MTE auf dem Gerät aktivieren oder deaktivieren (sofern vom Gerät unterstützt).

Erzwungen: MTE ist aktiviert und der Benutzer darf diese Einstellung nicht ändern (Android 14+; unterstützt auf vollständig verwalteten Geräten und in Arbeitsbereichen auf geräteeigenen Geräten).

Deaktiviert: MTE ist deaktiviert und der Benutzer darf diese Einstellung nicht ändern (Android 14+; unterstützt nur auf vollständig verwalteten Geräten).

 

7. Inhalts-Schutz

Aktiviert den Inhalts-Schutz (der nach betrügerischen Apps sucht). Dies wird ab Android 15 unterstützt.

Deaktiviert (Standard): Der Inhalts-Schutz ist deaktiviert und der Benutzer kann dies nicht ändern.

Erzwungen: Der Inhalts-Schutz ist aktiviert und kann vom Benutzer nicht geändert werden (Android 15+).

Benutzerwahl: Der Inhalts-Schutz wird nicht durch die Richtlinie gesteuert; der Benutzer kann dies selbst bestimmen (Android 15+).

 

8. Inhaltsunterstützung

Steuert, ob AssistContent an privilegierte Apps wie Assistenten-Apps (z. B. Circle to Search) gesendet werden darf. AssistContent enthält Screenshots und Informationen über eine App, z. B. den Paketnamen. Dies wird ab Android 15 unterstützt.

Erlaubt (Standard): Assist-Inhalte dürfen an eine privilegierte App gesendet werden (Android 15+).

Nicht erlaubt: Das Senden von Assist-Inhalten an eine privilegierte App ist blockiert (Android 15+).

 

9. Windows deaktivieren

Ob das Erstellen von Fenstern zusätzlich zu den Anwendungsfenstern deaktiviert ist. Diese Option verhindert die Anzeige der folgenden System-Benutzeroberflächen: Benachrichtigungen und Snackbars, Telefonaktivitäten (z. B. eingehende Anrufe) und Prioritäts-Telefonaktivitäten (z. B. laufende Anrufe), Systemwarnungen, Systemfehler und System-Overlays.

 

10. Netzwerk-Notausgang

Ob die Netzwerk-Notausgangsfunktion aktiviert ist. Wenn beim Starten des Geräts keine Netzwerkverbindung hergestellt werden kann, fordert die Notausgangsfunktion den Benutzer auf, sich vorübergehend mit einem Netzwerk zu verbinden, um die Gerätekonfiguration zu aktualisieren. Nach dem Anwenden der Konfiguration wird die temporäre Netzwerkverbindung vergessen, und das Gerät startet den Startvorgang fort. Dies verhindert, dass das Gerät keine Netzwerkverbindung herstellen kann, wenn im letzten Konfigurationsprofil kein geeignetes Netzwerk vorhanden ist, oder wenn sich das Gerät in einem App-Lock-Task-Modus befindet oder der Benutzer anderweitig nicht auf die Geräteeinstellungen zugreifen kann.

 

11. Standardaktivitäten

Eine Liste von Standardaktivitäten zur Verarbeitung von Intents, die einem bestimmten Intent-Filter entsprechen. Beispielsweise können IT-Administratoren mit dieser Funktion festlegen, welche Browser-App automatisch Web-Links öffnet oder welche Launcher-App beim Tippen auf die Home-Taste verwendet wird.

Verwenden Sie Standardaktivität hinzufügen, um Einträge zu erstellen. Innerhalb eines Eintrags verwenden Sie Aktion hinzufügen und Kategorie hinzufügen, um den Intent-Filter zu erstellen.

11.1. Empfänger-Aktivität

Die Aktivität, die als Standard-Intent-Handler verwendet werden soll. Dies sollte ein Name einer Android-Komponente sein, z. B. com.android.enterprise.app/.MainActivity. Alternativ kann der Wert auch der Paketname einer App sein, wodurch Android Device Policy eine geeignete Aktivität aus der App zur Verarbeitung des Intents auswählt.

11.2. Aktion

Die Aktionen, die im Filter übereinstimmen müssen. Wenn Aktionen im Filter enthalten sind, muss die Aktion einer Absicht einer dieser Werte entsprechen, um übereinzustimmen. Wenn keine Aktionen enthalten sind, wird die Aktion der Absicht ignoriert.

11.3. Kategorie

Die Kriterienkategorien, die im Filter übereinstimmen müssen. Eine Kriterienkategorie enthält die Kategorien, die sie benötigt, und alle diese Kategorien müssen im Filter enthalten sein, damit eine Übereinstimmung erzielt wird. Mit anderen Worten: Das Hinzufügen einer Kategorie zum Filter hat keinen Einfluss auf die Übereinstimmung, es sei denn, diese Kategorie ist in der Kriterienkategorie selbst angegeben.

 

12. Erlaubte Eingabemethoden

Gibt die zulässigen Eingabemethoden an.

Alle zulässigen: Es werden keine Einschränkungen angewendet. Alle Eingabemethoden sind erlaubt.

Nur System: Nur die vom System integrierten Eingabemethoden sind zulässig.

Nur vom System und bereitgestellte: Nur die vom System integrierten und bereitgestellten Eingabemethoden sind zulässig.

12.1. Erlaubte Eingabemethoden

Ermöglichte Paketnamen für Eingabemethoden. Gilt nur, wenn Erlaubte Eingabemethoden auf Nur System- und angegebene eingestellt ist.

Verwenden Sie die Option zum Hinzufügen einer Eingabemethode, um Einträge hinzuzufügen und entfernen Sie sie mit der Löschfunktion.

 

13. Erlaubte Bedienhilfen

Legt die zulässigen Barrierefreiheitsdienste fest.

Alle zulässigen: Jeder Barrierefreiheitsdienst kann verwendet werden.

Nur System-: Nur die vom System integrierten Barrierefreiheitsdienste können verwendet werden.

Nur System- und angegebene: Nur die angegebenen und die in das System integrierten Bedienhilfen können verwendet werden.

13.1. Erlaubte Barrierefreiheitsdienste

Erlaubte Barrierefreiheitsdienste. Gilt nur, wenn Erlaubte Barrierefreiheitsdienste auf Nur System- und angebotene eingestellt ist.

Verwenden Sie den Barrierefreiheitsdienst zum Hinzufügen und entfernen Sie Einträge mit der Löschfunktion.

 

14. Systemaktualisierungsrichtlinie

Konfiguration für die Verwaltung von Systemupdates.

Standard: Das Gerät verhält sich beim Update standardmäßig so, dass der Benutzer Systemupdates akzeptieren muss.

Automatisch: Installiert die Updates automatisch, sobald eine neue Version verfügbar ist.

Im Zeitfenster: Installiert Updates automatisch innerhalb eines definierten Wartungszeitfensters. Dies konfiguriert auch Play-Apps so, dass sie innerhalb dieses Zeitfensters aktualisiert werden. Dies wird dringend für Geräte im Kiosk-Modus empfohlen, da dies die einzige Möglichkeit ist, Apps, die dauerhaft im Vordergrund fixiert sind, mit Play zu aktualisieren.

Verschieben: Automatischer Update-Vorgang kann um maximal 30 Tage verschoben werden.

 

14.1. Wartungsfenster (Nur für Fenster)

Wenn "Richtlinie für Systemupdates" auf "Grafische Oberfläche" eingestellt ist, können Sie das tägliche Wartungsfenster mit den Feldern "von" und "bis" festlegen.

 

14.2. Systemupdate-Sperrzeiten

Ein jährlich wiederkehrender Zeitraum, in dem Over-the-Air (OTA)-Systemupdates verschoben werden, um die auf einem Gerät laufende Betriebssystemversion zu fixieren. Um ein dauerhaftes Einfrieren des Geräts zu vermeiden, muss jeder Fixierungszeitraum durch mindestens 60 Tage getrennt sein. Jeder Fixierungszeitraum darf nicht länger als 90 Tage dauern.

Verwenden Sie "System-Update-Sperrzeit festlegen", um Einträge zu erstellen.

 

15. Standardmäßige Anmeldeinformationsanbieter

Steuert, welche Apps unter Android 14 und höher als Anmeldeinformationsanbieter fungieren dürfen.

Nicht erlaubt (Standard): Apps, bei denen die credentialProviderPolicy nicht angegeben ist, dürfen nicht als Anmeldeinformationsanbieter fungieren.

Nicht zulässig, außer für Systemanwendungen: Apps, bei denen die `credentialProviderPolicy` nicht angegeben ist, dürfen nicht als Anmeldeinformationsanbieter fungieren, außer für die standardmäßigen Anmeldeinformationsanbieter des Geräteherstellers.

Standort und Geofence

Dieses Panel gruppiert die Android-Richtlinien-Einstellungen, die die Standortmeldungen, die Standortdurchsetzung und die Geofence-Definitionen steuern. Verwenden Sie es, wenn Sie möchten, dass Cerberus Enterprise Standortdaten erfasst oder erkennt, wenn Geräte konfigurierte Bereiche betreten oder verlassen.

Standortmeldungen

Standort melden

Aktiviert die Standortbestimmungsberichterstattung für Geräte. Standortdaten, die über diese Einstellung erfasst werden, werden von der Standortkarte im Dashboard, der Geräteübersicht-Standorthistorie und der Geofencing-Verarbeitung verwendet.

Bei Geräten, die nicht vollständig verwaltet werden, können Standortdaten weiterhin davon abhängen, dass die Cerberus Enterprise-App die erforderlichen Standortberechtigungen besitzt und die Standortdienste auf dem Gerät aktiviert sind.

Standortmodus

Steuert die Standortfunktion für dienstlich gestellte Geräte.

• Benutzerwahl: Standortdienste werden nicht durch die Richtlinie eingeschränkt.
• Erzwungen: Standortdienste sind auf dem Gerät aktiviert.
• Deaktiviert: Standortdienste sind auf dem Gerät deaktiviert.

Standortfreigabe deaktiviert

Deaktiviert die Standortfreigabe für Arbeits-Apps. Bei geräteeigenen Profilen wirkt sich dies auf das Arbeitsprofil aus. Bei vollständig verwalteten Geräten wird die Standortfunktion für das gesamte Gerät deaktiviert und der Geräte-Standortmodus außer Kraft gesetzt.

Automatisches Verhalten bei aktiven Geozäunen

Aktive Geozäune benötigen Standortmeldungen, um zu funktionieren. Wenn mindestens ein Geozäun aktiv ist, hält Cerberus Enterprise die zugehörigen Standorteinstellungen automatisch konsistent.

• Die Standortmeldung wird erzwungen, während aktive Geozäune vorhanden sind.
• Standortmodus wird auf Erzwungen gesetzt.
• Die Ortungsfreigabe deaktiviert wird erzwungen.

Wenn Sie versuchen, Standort melden zu deaktivieren, während eine oder mehrere Geofences aktiv sind, zeigt Cerberus Enterprise einen Bestätigungsdialog an. Wenn Sie fortfahren, werden alle aktiven Geofences in der Richtlinie deaktiviert.

Geofence-Liste

Eine Richtlinie kann bis zu 10 Geofences enthalten. Geofence-Namen müssen innerhalb der Richtlinie eindeutig sein.

Verwenden Sie Geofence hinzufügen, um einen neuen Eintrag zu erstellen. Jedes Geofence enthält diese Hauptfelder:

• Name: erforderlich und eindeutig.
• Latitude und Longitude: der Mittelpunkt des Bereichs.
• Radius (m): erforderlich, von 100 bis 10000 Meter.
• Beschreibung: optionale Notizen für Administratoren.
• Berichteingabe und Berichteausgang: wählen Sie aus, welche Übergangsereignisse generiert werden sollen.
• Aktiv: aktiviert oder deaktiviert den geografischen Zaun, ohne ihn zu löschen.

Mindestens eines von Report enter oder Report exit muss für jeden geografischen Zaun aktiviert bleiben.

Kartenbearbeitungswerkzeuge

Jede Geofence-Karte enthält eine Kartenansicht des Bereichs. Sie können die Geometrie direkt aus der Karte oder aus den numerischen Feldern bearbeiten.

• Klicken Sie auf die Karte, um den Geofence-Mittelpunkt zu verschieben, wenn die Bearbeitung des Bereichs freigeschaltet ist.
• Verwenden Sie die Aktuelle Position Schaltfläche, um die Karte auf Ihre aktuelle Browserposition zu zentrieren.
• Verwenden Sie die Recenter map Schaltfläche, um die bevorzugte Ansicht für dieses Geofence wiederherzustellen.
• Verwenden Sie die Schloss-Schaltfläche, um unbeabsichtigte Änderungen an der Geofence-Geometrie zu verhindern.

Wo Geofencedaten angezeigt werden

Geofence-Übergänge können im Android Geräteübersicht Seite, im Geofence Reiter des Standort-Panels gefunden werden. Dieser Reiter zeigt Übergänge auf einer speziellen Karte zusammen mit Filtertools und der Übergangsliste.

Benutzerverwaltung

Benutzer hinzufügen (deaktiviert)

Gibt an, ob das Hinzufügen neuer Benutzer und Profile deaktiviert ist. Bei Geräten, bei denen managementMode auf DEVICE_OWNER eingestellt ist, wird dieses Feld ignoriert, und der Benutzer darf keine Benutzer hinzufügen oder entfernen.

 

Kontenänderungen deaktiviert

Ob das Hinzufügen oder Entfernen von Konten deaktiviert ist.

 

Benutzeranmeldedaten-Konfiguration deaktiviert

Ob die Konfiguration der Benutzeranmeldedaten deaktiviert ist.

 

Benutzer deaktivieren entfernen

Ob das Entfernen anderer Benutzer deaktiviert ist.

 

Benutzer-Symbol festlegen deaktiviert

Ob das Ändern des Benutzer-Symbols deaktiviert ist.

 

Hintergrundbild festlegen deaktiviert

Ob das Ändern des Hintergrundbilds deaktiviert ist.

 

Authentifizierung für die Einrichtung des Arbeitskontos

Steuert, wie Benutzer bei der Einrichtung eines Arbeitskontos authentifiziert werden. Diese Option ist nur für Android-Unternehmensstrukturen verfügbar, die von einer verwalteten Google-Domain (Google Workspace) unterstützt werden.

Während der Gerätekonfiguration/Registrierung beeinflusst diese Richtlinie, ob eine Anmeldung für ein Arbeitskonto erforderlich ist, aber die Einstellung "Authentifizierung mit Google" in der Google Admin-Konsole sowie der Typ des Registrierungstokens können weiterhin eine Authentifizierung erfordern.

Für Geräte, die bereits registriert sind, gilt diese Richtlinie nur, wenn das Gerät über ein verwaltetes Google Play-Konto verwaltet wird (d. h. wenn es ohne Authentifizierung mit Google registriert wurde).

Für weitere Details und zur Fehlerbehebung, siehe Authentifizierung mit Google.

 

Blockierte Kontotypen

Kontotypen, die der Benutzer nicht verwalten kann. Diese Option verhindert, dass Benutzer Geräte nicht genehmigte Konten hinzufügen.

Verwenden Sie Kontoart für Sperrung hinzufügen, um eine oder mehrere Kontoarten hinzuzufügen.

Jeder Eintrag hat ein Kontotypfeld (erforderlich). Geben Sie eine Zeichenkette wie z. B. com.google ein. Entfernen Sie einen Eintrag mit der Löschfunktion.

Privatnutzung

Beim Bereitstellen eines dienstlich genutzten Geräts für Arbeit und Privat, können Sie bestimmte Regeln festlegen, um die Nutzung des Geräts durch den Benutzer außerhalb des Arbeitsbereichs einzuschränken.

Dieser Abschnitt gilt nur für dienstlich genutzte Geräte mit Arbeitsprofil. Er hat keine Auswirkungen auf vollständig verwaltete oder privat genutzte Geräte.

1. Kamera deaktiviert

Ist die Kamera deaktiviert?

 

2. Bildschirmaufnahme deaktiviert

Ob die Bildschirmaufnahme deaktiviert ist.

 

3. Maximale Anzahl an Tagen mit Freizeitausgleich

Steuert, wie lange das Arbeits-Profil deaktiviert bleiben kann.

 

4. Bluetooth-Freigabe

Steuert, ob Bluetooth-Freigabe im persönlichen Profil eines geräteverwalteten Geräts mit einem Arbeitsbereich erlaubt ist.

 

5. Privater Bereich

Legt fest, ob auf dem Gerät ein privater Bereich erlaubt ist.

 

6. Play Store-Modus

Dieser Modus steuert, welche Apps für den Benutzer im Play Store des persönlichen Profils erlaubt oder blockiert sind.

Blacklist (Standard): Alle Apps sind verfügbar, und alle Apps, die nicht auf dem Gerät sein sollten, müssen explizit im Abschnitt Anwendungen als Blockiert markiert werden.

Allowlist: Nur Anwendungen, die explizit im Abschnitt Anwendungen angegeben sind und bei denen der Installationsmodus auf Verfügbar eingestellt ist, dürfen im persönlichen Profil installiert werden.

 

7. Anwendungen

Liste der Anwendungen, die im persönlichen Profil erlaubt oder gesperrt werden müssen. Das Verhalten der Liste hängt vom Wert ab, der für Installationsmodus eingestellt ist.

Um eine neue App aus dem Play Store hinzuzufügen, klicken Sie auf das +-Symbol.

7.1. Installationsart

Arten von Installationsverhalten, die eine persönliche Profil-Anwendung haben kann.

Blockiert: Die App ist gesperrt und kann nicht im persönlichen Profil installiert werden.

Verfügbar: Die App kann im persönlichen Profil installiert werden.

 

8. Blockierte Kontotypen

Kontotypen, die der Benutzer nicht verwalten kann. Diese Option verhindert, dass Gerätebenutzer nicht genehmigte Konten in ihrem persönlichen Profil hinzufügen.

Richtlinien für mehrere Profile

Gilt nur für Geräte mit persönlichem und geschäftlichem Profil.

Kopieren und Einfügen zwischen Profilen

Ob Text, der aus einem Profil (privat oder geschäftlich) kopiert wurde, in das andere Profil eingefügt werden kann.

Nicht erlaubt (Standard): Verhindert, dass Benutzer Text, der aus dem Arbeits-Profil kopiert wurde, in das persönliche Profil einfügen. Text, der aus dem persönlichen Profil kopiert wurde, kann in das Arbeits-Profil eingefügt werden.

Erlaubt: Text, der in einem der Profile kopiert wurde, kann in das andere Profil eingefügt werden.

 

Datenaustausch zwischen Profilen

Legt fest, ob Daten von einem Profil (privat oder geschäftlich) mit Apps im anderen Profil geteilt werden können. Steuert insbesondere den einfachen Datenaustausch über Intents. Die Verwaltung anderer Kommunikationskanäle zwischen Profilen, wie z. B. Kontaktsuche, Kopieren/Einfügen
oder verbundene geschäftliche und private Apps, wird separat konfiguriert.

Nicht zulässig: Verhindert den Datenaustausch sowohl vom privaten Profil zum geschäftlichen Profil als auch vom geschäftlichen Profil zum privaten Profil.

Datenübertragung vom Unternehmensprofil zum privaten Profil nicht zulässig (Standard): Verhindert, dass Benutzer Daten vom Unternehmensprofil an Apps im privaten Profil weitergeben. Persönliche Daten können mit Unternehmens-Apps geteilt werden.

Erlaubt: Daten können von jedem Profil mit dem anderen Profil geteilt werden.

 

Standardmäßig werden Widgets für das Arbeitsbereichsprofil angezeigt

Standardverhalten für Widgets im Arbeitsbereich. Wenn eine bestimmte App keine Widget-Richtlinie definiert, wird die hier festgelegte Standardeinstellung verwendet.

 

Funktionen von Apps, die mehrere Profile nutzen

Steuert, ob Apps im persönlichen Profil Funktionen von Apps im Arbeitsbereich aufrufen können. Dies erfordert Android 16 oder höher.

Diese Einstellung hängt von der auf Richtlinien-Ebene festgelegten Option App-Funktionen ab (im Bereich App-Verwaltung). Wenn "App-Funktionen" auf Nicht zulässig eingestellt ist, lehnt die API App-Funktionen zwischen Profilen ab, die auf Zulässig eingestellt sind.

 

Kontakte aus dem Arbeitsbereich im persönlichen Profil

Ob Kontakte, die im Arbeitsbereich gespeichert sind, in den Kontaktsuchen und eingehenden Anrufen des persönlichen Profils angezeigt werden können.

Erlaubt (Standard): Ermöglicht die Anzeige von Kontakten des Arbeitsbereichs im persönlichen Profil.

Deaktiviert: Verhindert, dass persönliche Apps auf Kontakte des Arbeitsbereichs zugreifen und diese suchen können.

Nicht erlaubt, außer für System-Anwendungen: Verhindert, dass die meisten privaten Apps auf Kontakte des Arbeitsbereichsprofils zugreifen, außer für die Standard-Telefon-, Nachrichten- und Kontakte-Apps des Geräteherstellers (Android 14+).

Wenn die Kontakte für den Arbeitsbereich im persönlichen Profil konfiguriert sind, können Sie optional eine Liste von ausgenommenen Paketnamen definieren. Je nach ausgewähltem Modus verhalten sich diese Ausnahmen wie eine Zulassungs- oder Sperrliste für persönliche Apps.

Statusberichte

In diesem Abschnitt können Sie konfigurieren, welche Daten vom Gerät abgerufen werden sollen. Die Statusdaten können im Gerätestatus-Dashboard angezeigt werden.

 

Anwendungsberichte

Sind Anwendungsberichte aktiviert? (Informationen über installierte Anwendungen werden angezeigt.)

Diese Option ist vom System erforderlich (für die Integration mit der Begleit-App) und ist immer aktiviert; sie kann nicht deaktiviert werden.

 

Entfernte Apps einschließen

Ob entfernte Apps in den App-Berichten enthalten sind.

 

Geräteeinstellungen

Ob die Berichterstellung für Geräte-Einstellungen aktiviert ist. (Informationen zu sicherheitsrelevanten Geräte-Einstellungen auf dem Gerät.)

 

Software-Informationen

Ob die Berichterstattung über Software-Informationen aktiviert ist. (Informationen zur Software des Geräts.)

 

Speicherinformationen

Ist die Speicherberichterstattung aktiviert? (Ein Ereignis im Zusammenhang mit Speicher- und Speichermessungen.)

 

Netzwerkinformationen

Ob die Berichterstellung von Netzwerkinformationen aktiviert ist. (Netzwerkinformationen des Geräts.)

 

Information anzeigen

Ob die Anzeige von Berichten aktiviert ist. Berichtsdaten sind für persönlich genutzte Geräte mit Arbeitsumgebungen nicht verfügbar. (Anzeigeinformationen des Geräts.)

 

Energieverwaltungsereignisse

Ob die Berichterstellung von Energieverwaltungsereignissen aktiviert ist. Daten sind für privat genutzte Geräte mit Arbeits-Profilen nicht verfügbar.

 

Gerätestatus

Ob die Statusberichte für die Hardware aktiviert sind. Daten für Geräte, die sich im privaten Besitz befinden und nur ein Arbeitsbereich haben, sind nicht verfügbar.

 

Systemeigenschaften

Ob die Berichterstellung von Systemeigenschaften aktiviert ist.

 

Modus für Common Criteria

Ob die Berichterstellung im Common Criteria Modus aktiviert ist.

Sonstiges

1. Osterei-Spiel deaktiviert

Ob das Osterei-Spiel in den Einstellungen deaktiviert ist.

 

2. Erste Bedienungshinweise überspringen

Flag, um Hinweise beim ersten Gebrauch zu überspringen. Enterprise-Administratoren können die Systemempfehlung aktivieren, damit Apps ihr Benutzer-Tutorial und andere Einführungshinweise beim ersten Start überspringen.

 

3. Kurze Support-Nachricht

Eine Nachricht, die dem Benutzer im Einstellungsbereich angezeigt wird, wenn eine Funktion vom Administrator deaktiviert wurde. Wenn die Nachricht länger als 200 Zeichen ist, kann sie abgeschnitten werden.

 

4. Längere Supportmeldung

Eine Nachricht, die dem Benutzer im Bereich "Geräteadministratoren-Einstellungen" angezeigt wird.

 

5. Informationen zur Sperre durch den Gerätebesitzer

Informationen zum Gerätebesitzer, die auf dem Sperrbildschirm angezeigt werden.

 

6. Einrichtungsschritte

Aktionen, die während des Einrichtungsprozesses ausgeführt werden. Während der Registrierung können Sie den Benutzer auffordern, eine oder mehrere Apps zu öffnen, die für die Gerätekonfiguration erforderlich sind.

Verwenden Sie die Option Aktion zum Hinzufügen einrichten, um Einträge zu erstellen, und entfernen Sie sie mit der Löschaktion.

6.1. App starten

Paketname der zu startenden App

6.2. Titel

Zeigt eine Nachricht für den Benutzer an, um zu erklären, warum die App gestartet werden muss.

6.3. Beschreibung

Zeigt eine Nachricht für den Benutzer an, um zu erklären, warum die App gestartet werden muss.

 

7. Sichtbarkeit des Anzeigenamens für Unternehmen

Steuert, ob der Anzeigename des Unternehmens auf dem Gerät sichtbar ist (z. B. als Nachricht auf dem Sperrbildschirm bei geräteverwalteten Geräten).

Sichtbar (Standard): Der Anzeigename des Unternehmens ist auf dem Gerät sichtbar (wird auf Work Profiles unter Android 7+ und auf vollständig verwalteten Geräten unter Android 8+ unterstützt).

Versteckt: Der Anzeigename des Unternehmens ist auf dem Gerät ausgeblendet.

Regeln zur Durchsetzung von Richtlinien

Wenn ein Gerät oder ein Arbeitsbereich nicht mit einer der unten aufgeführten Richtlinien übereinstimmt, blockiert Android Device Policy standardmäßig die Nutzung des Geräts oder des Arbeitsbereichs

• Passwortanforderungen
• Verschlüsselungsrichtlinie
• Keyguard deaktiviert
• Erlaubte Eingabemethoden
• Erlaubte Bedienhilfen

Wenn das Gerät oder das Arbeitskonto auch nach 10 Tagen nicht mehr den Richtlinien entspricht, setzt die Android-Geräterichtlinie das Gerät auf die Werkseinstellungen zurück oder löscht das Arbeitskonto.

In diesem Abschnitt können Sie die Standard-Richtlinien für die Durchsetzung der Compliance außer Kraft setzen oder neue hinzufügen.

Regeln

Liste der Regeln, die das Verhalten definieren, wenn eine bestimmte Richtlinie nicht auf ein Gerät angewendet werden kann.

Verwenden Sie Regel hinzufügen, um eine neue Regel zu erstellen. Jede Regelkarte kann mit der Löschfunktion entfernt werden.

Name der Einstellung

Die Top-Level-Richtlinie, die durchgesetzt werden soll. Zum Beispiel Anwendungen oder Passwortrichtlinien.

Erforderlich. Der Wert muss mit einem unterstützten, übergeordneten Richtliniennamen übereinstimmen; andernfalls wird das Feld als ungültig markiert.

Sperren nach Tagen

Anzahl der Tage, nach denen ein Gerät oder ein Arbeitsbereich gesperrt wird, wenn die Richtlinie nicht eingehalten wird. Um den Zugriff sofort zu sperren, setzen Sie den Wert auf 0. "Sperren nach Tagen" muss kleiner sein als "Löschen nach Tagen". Gilt nur für Geräte, die dem Unternehmen gehören.

Erlaubter Bereich: 0–300.

Block-Scope

Definiert den Gültigkeitsbereich einer Blockaktion. Nur für firmeneigene Geräte anwendbar.

Standard (neue Regel): Arbeitsprofil.

Arbeitsprofil: Die Blockierungsaktion wird nur auf Apps im Arbeitsprofil angewendet. Apps im privaten Profil sind nicht betroffen.

Gesamtes Gerät: Die Blockieraktion wird für das gesamte Gerät angewendet, einschließlich der Apps im persönlichen Profil.

Daten löschen nach Tagen

Anzahl der Tage, an denen ein Gerät oder ein Arbeitsbereich nicht den Richtlinien entspricht, bevor es gelöscht wird.
Anzahl der Tage bis zum Löschen muss größer sein als Anzahl der Tage bis zur Sperrung. Nur für von der Firma gestellte Geräte gültig.

Erforderlich. Standardwert (neue Regel): 1.

Erlaubter Bereich: 1–300.

Werksseitigen Schutz beibehalten

Ob die Daten zum Werksreset-Schutz auf dem Gerät gespeichert bleiben. Diese Einstellung gilt nicht für Arbeitsprofile.

Standard (neue Regel): aktiviert.

Richtlinien - Apple

Apple-Richtlinien

Die Apple-Richtlinien definieren die Verwaltungseinstellungen, die Cerberus Enterprise über MDM auf Apple-Geräte anwendet. Diese Einstellungen werden im Dashboard im Apple-Richtlinien-Editor konfiguriert.

Bevor Sie beginnen

Für die Verwaltung von Apple-Geräten ist die Konfiguration von Apple Management (APNs) erforderlich. Wenn erforderlich, lesen Sie die Seite zur Einrichtung von Apple Management (APNs).

Öffnen Sie den Apple Policy Editor

Im Dashboard öffnen Sie Richtlinien und klicken Sie auf Neue Apple-Richtlinie erstellen. Um eine bestehende Apple-Richtlinie zu bearbeiten, klicken Sie auf die entsprechende Zeile in der Tabelle.

Editoransicht

Der Apple-Richtlinien-Editor ist als eine Reihe von erweiterten Abschnitten aufgebaut. Oben auf der Seite können Sie jederzeit Folgendes bearbeiten:

• Name (erforderlich)
• ID (nur lesbar)
• Beschreibung (optional)

Richtlinienbereiche

Die folgenden Abschnitte entsprechen den aktuell im Apple Policy Editor verfügbaren Bereichen:

• App-Verwaltung: Konfigurieren Sie app-bezogene Einschränkungen und verwalten Sie Apps.
• Passworteinstellungen: Konfigurieren Sie Passwortrichtlinien und zugehörige Regeln.
• Sicherheit: Steuern Sie Funktionen wie automatisches Entsperren und biometrisches Entsperren.
• iCloud: Ermöglichen oder verbieten Sie bestimmte iCloud-Dienste (z. B. Backup, Schlüsselbund-Synchronisierung, Private Relay).
• Multimedia: Erlauben oder verbieten Sie die Nutzung von Kamera und zugehörigen Funktionen.
• Mobilfunk: Steuern Sie mobilfunkbezogene Einstellungen (App-Datenverbindungen, eSIM, Tarifänderungen).
• Netzwerk: Steuern Sie AirDrop-, AirPrint- und AirPlay-Einstellungen sowie andere Verbindungseinstellungen.
• Konten: Beschränken Sie die Änderung von Konten und konfigurieren Sie (optional) Google- und E-Mail-Konten.

Viele Optionen im Apple-Richtlinien-Editor enthalten einen Tooltip, der Anforderungen und unterstützte Betriebssystemversionen dokumentiert.

Speichern, löschen und zugeordnete Geräte

Verwenden Sie Richtlinie speichern, um Ihre Änderungen anzuwenden. Die Schaltfläche ist deaktiviert, wenn es keine ausstehenden Änderungen gibt oder wenn die Lizenz abgelaufen ist.

Beim Bearbeiten einer bestehenden Richtlinie zeigt die Seite außerdem eine Richtlinie löschen-Funktion. Der Editor kann eine Verbundene Geräte-Liste am unteren Rand anzeigen, sodass Sie sehen können, wie viele Geräte die Richtlinie derzeit verwenden.

Nächste Seiten

• Passcode: Konfigurieren Sie die Anforderungen für den Passcode und verwandte Sicherheitsoptionen.
• Einschränkungen: Definieren Sie zulässige Funktionen und Betriebssystem-basierte Beschränkungen.
• Apps und Profile: Konfigurieren Sie installierte Apps und Konfigurationsprofile.

Apple-Richtlinie: Passcode

Der Bereich Passcode-Einstellungen steuert die Anforderungen an den Geräte-Passcode sowie zugehörige Sicherheitsregeln (z. B. Mindestlänge und Komplexität).

Optionen

Im Apple-Richtlinien-Editor werden Passcode-Optionen mithilfe einer Kombination aus Schaltern und numerischen Feldern konfiguriert. Viele Felder enthalten Tooltips, die unterstützte Betriebssystemversionen und Überwachungsanforderungen angeben.

Passcode-Umschalter

• Passwort-Änderung beim nächsten Login: Erzwingt ein Passwort-Zurücksetzen beim nächsten Benutzer-Login.
• Alphanumerischer Passcode erforderlich: Erfordert mindestens einen Buchstaben und eine Zahl.
• Benötigt einen komplexen Passcode: Erfordert einen "komplexen" Passcode (keine wiederholten/sequenziellen Muster und mindestens ein nicht-alphanumerisches Zeichen).
• Passcode erforderlich: Erfordert einen Passcode ohne zusätzliche Anforderungen an Länge oder Qualität. Hinweis: Die Einstellung anderer Passcode-Optionen setzt implizit einen Passcode voraus.

Numerische Felder

• GesetzteAnzahlVersucheZurücksetzenInMinuten: Minuten, bevor der Zähler für fehlgeschlagene Versuche zurückgesetzt wird (erfordert MaximaleAnzahlFehlgeschlagenerVersuche).
• Maximale Anzahl fehlgeschlagener Versuche: Anzahl der maximal zulässigen fehlgeschlagenen Versuche, bevor das Gerät gelöscht oder gesperrt wird (Bereich: 2–11).
• MaximaleKulanzzeitInMinuten: Gibt an, wie lange ein Gerät entsperrt bleiben kann, ohne dass ein Passwort erforderlich ist (0 = keine Kulanzzeit).
• MaximaleInaktivitätszeitInMinuten: Zeitspanne, nach der das Gerät bei Inaktivität gesperrt wird (Bereich: 0–15).
• MaximalePasswortalterInTagen: Maximale Gültigkeitsdauer eines Passworts, bevor eine neue Eingabe erforderlich ist (Bereich: 0–730).
• MindestanzahlKomplexerZeichen: Minimale Anzahl von "komplexen" Zeichen (Bereich: 0–4).
• Mindestlänge: Minimale Länge des Passworts (Bereich: 0–16).
• Passwortwiederholungsbeschränkung: Anzahl der gespeicherten Passwörter, um die Wiederverwendung alter Passwörter zu verhindern (Bereich: 1–50).

Apple-Richtlinie: Einschränkungen

Der Abschnitt "Einschränkungen" steuert, welche Funktionen des Betriebssystems auf verwalteten Apple-Geräten erlaubt sind. Im Apple-Richtlinien-Editor werden diese Optionen als gruppierte Bedienfelder mit mehreren Umschaltoptionen angezeigt.

Viele Einschränkungen werden nur von bestimmten Betriebssystemversionen unterstützt und erfordern möglicherweise verwaltete Geräte. Verwenden Sie die Tooltips im Dashboard, um detaillierte Informationen zu den Voraussetzungen zu erhalten.

Sicherheit

• Automatische Entsperrung erlauben
• Fingerabdruck für die Entsperrung zulassen
• Fingerabdruck für die Entsperrung zulassen

iCloud

• iCloud-Adressbuch erlauben
• iCloud-Backup zulassen
• iCloud-Lesezeichen zulassen
• iCloud-Kalender zulassen
• iCloud-Desktop und -Dokumente zulassen
• iCloud-Desktop und -Dokumente zulassen
• iCloud Freeform erlauben
• iCloud-Schlüsselbund-Synchronisierung aktivieren
• iCloud Mail aktivieren
• iCloud Notes aktivieren
• iCloud-Fotos aktivieren
• iCloud Private Relay aktivieren
• iCloud-Erinnerungen zulassen

Multimedia

• Kamera aktivieren
• Änderungen bei der Dateifreigabe zulassen
• Änderungen bei der Dateifreigabe über USB-Laufwerke zulassen

Mobilfunk

• Änderung der Mobilfunkdaten für die App erlauben
• Änderungen des Mobilfunkvertrags erlauben
• Änderungen der eSIM-Einstellungen erlauben
• eSIM-Ausgehende Übertragungen zulassen

Netzwerkfunktionen

• AirDrop erlauben
• Eingehende AirPlay-Anfragen zulassen
• AirPrint aktivieren
• AirPrint-Anmeldeinformationen speichern zulassen
• AirPrint iBeacon-Erkennung zulassen
• Bluetooth-Änderungen zulassen
• Bluetooth-Freigabe-Änderungen zulassen
• Zugriff auf Netzwerkfreigaben für Dateien erlauben
• Änderung der Internetfreigabe erlauben

Konten (Einschränkung)

Das Konto-Panel enthält sowohl eine Einschränkung als auch (optional) eine Kontoeinrichtung. Der Einschränkungs-Schalter steuert, ob der Benutzer Systemkonten ändern kann.

• Änderung von Konten erlauben

Apple-Richtlinie: Apps und Profile

Dieser Abschnitt beschreibt, wie Sie verwaltete Anwendungen und Kontodaten für Apple-Geräte konfigurieren.

App-Verwaltung

Das Panel "App-Verwaltung" enthält sowohl allgemeine app-bezogene Einschränkungen als auch eine Liste der verwalteten Apps.

Allgemeine App-Einschränkungen

• App-Clips erlauben
• App-Installationen zulassen
• App-Deinstallation zulassen
• Automatische App-Downloads erlauben
• Apps ausblenden erlauben
• Apps sperren erlauben
• In-App-Käufe erlauben

Verwaltete Apps

Verwenden Sie Anwendung hinzufügen, um eine App zur Richtlinie hinzuzufügen. Jede verwaltete App wird als Karte angezeigt. Sie können die Karte erweitern, um ihre Einstellungen zu bearbeiten und die App mit der Löschfunktion zu entfernen.

• App Store ID: Die App Store-Kennung der verwalteten App.
• Bundle-ID: Die App-Bundle-Kennung.
• Installationsverhalten: Steuert, ob die App installiert bleiben muss oder ob sie vom Benutzer installiert und deinstalliert werden kann.
• Zuweisung: Art der Lizenzzuweisung.
• VPP-Lizenz: Art der VPP-Lizenz, die für die Installation über den App Store verwendet wird.

Konten

Das Konten-Panel ermöglicht die Konfiguration von Konten, die auf verwalteten Geräten angewendet werden. Es enthält außerdem einen Schalter, um Änderungen an Konten einzuschränken.

Einschränkung

• Kontoänderungen zulassen: Wenn diese Option deaktiviert ist, können Benutzer keine Konten wie Apple-Konten oder Internetkonten ändern.

Konten hinzufügen

Verwenden Sie Google-Konto hinzufügen oder E-Mail-Konto hinzufügen, um Kontodaten zur Richtlinie hinzuzufügen. Jedes Konto wird als Karte mit seinen Konfigurationsfeldern angezeigt.

Benutzerkonten und ihre Anmeldedaten

Sowohl Google- als auch Mail-Kontokarten bieten einen Anmeldedaten von Benutzern-Umschalter. Wenn dieser aktiviert ist, werden die Anmeldedaten für jeden Benutzer einzeln angewendet. Wenn er deaktiviert ist, geben Sie die Kontoinformationen in der Richtlinie ein.

Google-Kontoeinstellungen

• Anzeigename: Der Name, der dem Benutzer für das Konto angezeigt wird.
• Google-E-Mail-Adresse: Die E-Mail-Adresse des Benutzers.
• Vollständiger Name: Der vollständige Name des Benutzers.

E-Mail-Kontoeinstellungen

E-Mail-Konten enthalten Identifikationsfelder sowie die Konfiguration für eingehende und ausgehende Server. Hostnamen sind erforderlich.

• Sichtbarer Name: Der Name, der dem Benutzer für das E-Mail-Konto angezeigt wird.
• E-Mail-Adresse: Die E-Mail-Adresse des Benutzers.
• Vollständiger Name: Der vollständige Name des Benutzers.

Eingehender Server

• Servertyp: Mailprotokoll (z. B. IMAP oder POP).
• Authentifizierungsmethode: Authentifizierungsmethode für den Server.
• IMAP-Pfadpräfix: Wird nur angezeigt, wenn der Server-Typ IMAP ist.
• Host-Name: erforderlich.
• Port: Server-Port (1–65535).

Ausgehender Server

• Authentifizierungsmethode
• Host-Name: erforderlich.
• Port: Server-Port (1–65535).

S/MIME-Optionen

Für E-Mail-Konten können Sie auch die S/MIME-Verschlüsselungs- und Signatur-Einstellungen konfigurieren.

Verschlüsselung

• S/MIME-Verschlüsselung
• Benutzeridentität, die vom Benutzer überschrieben werden kann
• Aktivierung des Nachrichten-spezifischen Schalters
• Benutzer kann Einstellungen überschreiben

Anmelden

• S/MIME-Signatur
• Benutzeridentität, die vom Benutzer überschrieben werden kann
• Benutzer kann Einstellungen überschreiben

Optionen für Konten und Einschränkungen enthalten Tooltips im Dashboard, die Voraussetzungen und unterstützte Betriebssystemversionen dokumentieren.

Gerätestatus

Geräteübersicht

Öffnen Sie ein Gerät über das Dashboard → Geräte, indem Sie auf die Zeile des Geräts klicken. Der Seitentitel zeigt das Gerätemodell (sofern verfügbar) und die interne ID.

Historische Daten im Vergleich zur aktuellen Anmeldung

Wenn ein Gerät mehrere Anmeldungen hat, kann Cerberus Enterprise einen schreibgeschützten historischen Verlauf anzeigen. In diesem Fall wird ein Banner mit den historischen Daten angezeigt und eine Schaltfläche, um zu den aktuellen Anmeldedaten zurückzukehren.

Top-Felder

Der obere Bereich fasst die Geräteidentität, die Zuweisung und den Verwaltungsstatus zusammen. Einige Felder sind plattformspezifisch und werden nur für Android- oder Apple-Geräte angezeigt.

• ID und Modell: schreibgeschützte Identifikatoren.
• Benutzer: Zeigt den aktuell zugewiesenen Benutzer an (falls vorhanden). Über das Benutzermenü können Sie einen Benutzer öffnen oder ändern, oder einen Benutzer zuweisen, wenn keiner zugewiesen ist.
• Verwaltungsmodus und Besitzverhältnisse: werden in der Benutzeroberfläche mit Tooltips angezeigt.
• Status: aktueller Geräte-Status (mit Symbol und zusätzlichen Informationen im Tooltip).
• ADE-Profil (nur für Apple-Geräte): zeigt das zugewiesene Automatische Geräte-Einrichtungs-Profil (falls vorhanden) und ermöglicht das Öffnen oder Ändern.
• Richtlinie: Zeigt die zugewiesene Richtlinie und ermöglicht das Öffnen oder Ändern, oder weist eine Richtlinie zu, falls keine vorhanden ist.
• Richtlinienkonformitätsstatus (wenn eine Richtlinie zugewiesen ist): Zeigt an, ob das Gerät den Richtlinien entspricht.
• Richtlinienversion (wenn eine Richtlinie zugewiesen ist): Zeigt an, ob die neueste Version der Richtlinie auf dem Gerät angewendet ist.
• Registriert am und Letzter Statusbericht: Zeitstempel für die Registrierung und den letzten Statusbericht.
• Abgemeldet am: Wird angezeigt, wenn das Gerät abgemeldet wurde.

Einige Daten und Bedienelemente sind nur verfügbar, wenn die entsprechende Kategorie in der Geräte-Richtlinie aktiviert ist. Weitere Informationen finden Sie im Status reporting und Location and geofence Bereich.

Panels

Der Geräte-Editor ist in erweiterbaren Abschnitten organisiert. Je nach Plattform und Status können Sie einen oder mehrere der folgenden Bereiche sehen:

• Standortkarte: ein tabbed Bereich mit Standortverlauf für das aktuelle Gerät und, auf Android-Geräten, eine Geofence-Register für Geofence-Übergänge, wenn Geofencedaten verfügbar sind.
• Befehle: Senden Sie Befehle an das Gerät und sehen Sie den Befehlsverlauf (plattformspezifisch).
• Sicherheitsstatus (nur Android): Sicherheitsstatus, Play Integrity-Vergebnis und Sicherheitsrisiken.
• Anwendungsberichte (nur Android): installierte Anwendungen und Feedback-/Fehlermeldungen.
• Verwaltete Anwendungen (nur Apple): Status der verwalteten Apps und Installationsdetails.
• Details zur Nichteinhaltung: werden angezeigt, wenn ein Gerät nicht den Richtlinien entspricht; listet die Richtlinieneinstellungen auf, die nicht eingehalten werden.
• Statusberichte: Zusätzliche vom Gerät gemeldete Daten, dargestellt als eine Baumstruktur aus Kategorien und Werten.
• Einrichtungs-Historie: vorherige Anmeldungen für dieses Gerät, dargestellt als Liste.

Standregister im Standort-Panel

Das Standortkarten-Panel verwendet jetzt Register, damit Standortverlauf und Geofence-Übergänge getrennt bleiben.

• Standort: Zeigt Verlauf, Filter, eine Datumsbereichssuche, Standortmarkierungen, den Genauigkeitskreis und die Steuerelemente für die Live-Verfolgung des aktuellen Geräts.
• Geofence (nur Android): Zeigt den Geofence-Übergangshistorie auf einer speziellen Karte, mit periodischen Filtern, einer optionalen Schaltfläche zum Anzeigen archivierter Geofences und einer Seitenleiste mit Übergängen.

Für das vollständige Verhalten dieser Registerkarten, siehe Standortkarte.

Aktionen

Am unteren Rand der Seite können Sie Daten aktualisieren und Aktionen ausführen, abhängig von der Plattform, dem Geräte-Status und dem Lizenzstatus.

• Aktualisieren Sie die Daten: Laden Sie den Geräte-Eintrag neu.
• Gerät deaktivieren / Gerät aktivieren (nur Android): verfügbar in unterstützten Zuständen.
• Gerät aus dem Verzeichnis entfernen: Entfernt die Geräteverwaltung. Das genaue Verhalten hängt von der Plattform und dem Eigentümer ab (z. B. kann Android ein Arbeitsprofil löschen oder das Gerät auf Werkseinstellungen zurücksetzen).
• Gerät löschen: Diese Option ist verfügbar, wenn das Gerät bereits abgemeldet wurde und sein Eintrag entfernt werden kann.

Befehle

Der Geräte-Editor bietet ein Befehle-Panel, um Remote-Befehle an ein verwaltetes Gerät zu senden. Die verfügbaren Befehle hängen von der Plattform (Android oder Apple) und dem Geräte-Status ab.

Wenn das Gerät nicht mit dem Internet verbunden ist, wird der Befehl übermittelt und ausgeführt, sobald das Gerät wieder eine Verbindung zum Internet herstellt. Bei Android-Befehlen können Sie den Parameter Dauer festlegen, um zu bestimmen, wie lange ein nicht übermittelte Befehl gültig bleibt.

Android (AMAPI)-Befehle

Für Android-Geräte enthält das Befehle-Panel ein Dauer-Feld (Wert + Einheit) und einen Befehl-Auswahl. Einige Befehle erfordern zusätzliche Parameter, die dynamisch angezeigt werden, wenn Sie den Befehl auswählen.

Häufig verwendete Parameter

• Dauer: wie lange der Befehl gültig ist, wenn er nicht sofort ausgeführt werden kann.
• Befehl: Wählen Sie die auszuführende Aktion für das Gerät.

Befehle mit zusätzlichen Feldern

• Passwort zurücksetzen. Erfordert Neues Passwort und Bestätigung des neuen Passworts. Optionale Einstellungen sind: Jetzt sperren, PIN-Eingabe erforderlich und Keine Anmeldeaufforderung beim Start.
• App-Daten löschen: erfordert den Ziel-Paketnamen.
• Gerät in den "Verloren"-Modus versetzen: erfordert eine Verlustmeldung und unterstützt optionale Kontaktfelder (Straße, Firma, Telefonnummer, E-Mail-Adresse).
• Geräteinformationen anfordern: erfordert die Auswahl, welche Geräteinformationen angefordert werden sollen.
• eSIM hinzufügen: erfordert einen Aktivierungscode und einen Aktivierungsstatus.
• eSIM entfernen: hierfür ist die eSIM ICCID erforderlich.
• Löschen: unterstützt eine Nachricht zur Begründung des Löschvorgangs (die auf persönlichen Geräten für Benutzer angezeigt wird) sowie optionale Löschflags.

Befehlsverlauf

Unterhalb der Sende-Steuerelemente zeigt das Dashboard eine Tabelle mit der Befehlshistorie. Die Tabelle ist sortierbar und unterstützt die Paginierung. Einige Zeilen können erweitert werden, um zusätzliche Parameter oder Ausführungsdetails anzuzeigen.

Android-Aktivitätsverlauf-Spalten

• Erstellungsdatum
• Befehl
• Gültigkeit
• Status
• Fehler
• Ausführungsdatum

Apple (MDM) Befehle

Für Apple-Geräte bietet das Bereich "Befehle" einen Befehl-Auswahldialog. Einige Befehle erfordern zusätzliche Eingaben. Wie bei Android wird unten eine Befehlshistoriktabelle angezeigt.

Befehle mit zusätzlichen Feldern

• InstallApplication: erfordert die Angabe der Anwendungs-ID.
• SendNotification: erfordert eine Benachrichtigungsnachricht (maximale Länge: 200 Zeichen).

Apple-Aktivitätsverlauf

• Erstellungsdatum
• Befehl
• Status
• Gerätezustand

Aktualisieren

Verwenden Sie die "Aktualisieren"-Funktion im Befehlspanel, um den Befehlsverlauf neu zu laden.

Positionskarte

Diese Seite dokumentiert die gerätespezifischen Standorttools, die in Geräteübersicht verfügbar sind. Das Panel enthält einen Standort-Tab für Positionsverlauf und, bei Android-Geräten, einen Geofence-Tab für Geofence-Übergänge.

Voraussetzungen

Standortdaten werden nur angezeigt, wenn die Standortmeldung in der Geräte Richtlinie aktiviert ist. Um dies zu aktivieren, öffnen Sie die Richtlinie und schalten Sie Standort und Geofence → Standort melden ein. Weitere Details finden Sie unter Standort und Geofence.

Bei Geräten, die nicht vollständig verwaltet werden, können Standortdaten weiterhin davon abhängen, dass die Cerberus Enterprise-App die erforderlichen Standortberechtigungen besitzt und die Standortdienste auf dem Gerät aktiviert sind.

Für die globale Mehrfachgeräte-Karte, die im Dashboard verfügbar ist, siehe Dashboard-Standortkarte.

Laden... Keine Daten vorhanden

• Während Standortdaten geladen werden, zeigt das Panel eine Ladeanzeige auf der Karte.
• Wenn das Gerät keine Standortdaten hat, zeigt das Panel eine Meldung mit Keine Standortdaten verfügbar an, zusammen mit einer Erinnerung, die Standortmeldung in der zugewiesenen Richtlinie zu aktivieren.
• Wenn ein Datumsfilter aktiv ist und keine Übereinstimmungen gefunden werden, zeigt das Panel Keine Daten für den ausgewählten Zeitraum verfügbar.

Standort-Registerkarte

Öffnen Sie die Standort-Registerkarte, um den Verlauf für ein einzelnes Gerät einzusehen. Die verfügbaren Filter umfassen den letzten bekannten Standort, aktuelle Verlaufspannen, einen benutzerdefinierten Datumsbereich und die Live-Verfolgung.

• Letzter: zeigt den zuletzt bekannten Standort.
• Heute, Letzte 7 Tage und Letzte 30 Tage: zeigen aufgezeichnete Orte für den ausgewählten Zeitraum.
• Suche: ermöglicht die Auswahl eines benutzerdefinierten Datumsbereichs.
• Live: startet oder stoppt die Live-Verfolgung für das aktuelle Gerät.

Details zum Symbol

Wenn Sie auf einen Standortmarker klicken, öffnet sich ein Informationsfenster mit:

• Der Zeitstempel des Standortdatensatzes.
• Die angegebene Genauigkeit (in Metern).
• Die gemeldete Geschwindigkeit, sofern das Gerät sie bereitstellt.
• Die gemeldete Kopfrichtung oder -peilung, sofern das Gerät sie bereitstellt.

Genauigkeitsbereich

Wenn das Informationsfenster geöffnet ist, wird ein Genauigkeitsbereich um den Marker angezeigt. Der Radius des Kreises entspricht der angegebenen Genauigkeit (in Metern). Durch Schließen des Informationsfensters wird der Kreis ausgeblendet.

Echtzeit-Tracking

In the device history view, selecting the Live filter startet eine Echtzeit-Tracking-Anfrage für das spezifische Gerät. Cerberus Enterprise fragt nach einer Bestätigung, bevor die Anfrage gestartet wird.

• Echtzeit-Tracking läuft für bis zu 15 Minuten.
• Das Gerät zeigt eine Benachrichtigung während der Live-Verfolgung an.
• Während der Live-Verfolgung aktualisiert das Panel kontinuierlich den neuesten Standort, und der Live-Indikator bleibt sichtbar.
• Die erneute Auswahl des Live-Filters ermöglicht das Beenden der Live-Verfolgung vor Ablauf des Timeouts.

Geofence-Tab

Auf Android-Geräten zeigt der zweite Tab Geofence-Übergänge an, die aus den in der zugewiesenen Richtlinie definierten Geofences generiert wurden. Dieser Tab ist verfügbar, wenn Geofence-Daten für das Gerät vorhanden sind.

• Die Karte zeigt die aktuellen Geofence-Bereiche zusammen mit den aufgezeichneten Übergangspunkten.
• Die Übergangsliste auf der rechten Seite ermöglicht es Ihnen, Eingangs- und Ausgangsereignisse zu prüfen.
• Die verfügbaren Filter sind Heute, Letzte 7 Tage, Letzte 30 Tage und eine benutzerdefinierte Datumsbereichssuche.
• Einschließlich archivierter Übergänge, die sich auf frühere Geofence-Definitionen beziehen, die nicht mehr in der aktuellen Richtlinie vorhanden sind.

Geofence-Übergangsdetails

Die Auswahl einer Übergangsaktion öffnet ihre Details auf der Karte und hebt den entsprechenden Listeneintrag hervor. Wenn verfügbar, zeigt Cerberus Enterprise auch die Gerätekoordinaten und die gemeldete Genauigkeit für diese Übergangsaktion an.

Dashboard-Standortkarte

Die Standortkarte im Dashboard bietet einen globalen Überblick über die zuletzt bekannte Position von Geräten, die Standortdaten melden. Öffnen Sie diese über Dashboard, um mehrere Geräte auf derselben Google Karte zu überprüfen.

Voraussetzungen

Ein Gerät erscheint auf dieser Karte nur, wenn die Standortmeldung in seiner zugewiesenen Richtlinie aktiviert ist. Um dies zu aktivieren, öffnen Sie die Richtlinie und schalten Sie Standort und Geofence → Standort melden ein. Weitere Details finden Sie unter Standort und Geofence.

Bei Geräten, die nicht vollständig verwaltet werden, können Standortdaten weiterhin davon abhängen, dass die Cerberus Enterprise-App die erforderlichen Standortberechtigungen besitzt und die Standortdienste auf dem Gerät aktiviert sind.

Für die pro Gerät verfügbaren Historien und Geofence-Übergänge im Geräte-Editor, siehe Standortkarte.

Laden... Keine Daten vorhanden

• Während Standortdaten geladen werden, zeigt die Karte eine Ladeanzeige.
• Wenn derzeit keine Geräte Standortdaten bereitstellen, wird eine Keine Standortdaten verfügbar-Meldung angezeigt.

Marker und Cluster

Jedes Gerät mit verfügbaren Standortdaten wird als Marker angezeigt. Wenn viele Geräte nahe beieinander liegen, werden Marker automatisch gruppiert, um die Übersichtlichkeit der Karte zu gewährleisten.

Geräte, die sich aktuell in der Live-Verfolgung befinden, werden mit einem animierten Marker hervorgehoben, damit sie auf der Karte leichter zu erkennen sind.

Kartenbedienung

Wenn die Karte Gerätepositionen enthält, zeigt Cerberus Enterprise Aktionsschaltflächen in der oberen rechten Ecke der Karte an.

• Aktueller Standort: verwendet deine Browser-Standortbestimmung, um die Karte zu deiner aktuellen Position zu verschieben und den Bereich der angegebenen Genauigkeit anzupassen.
• Karte zentrieren: passt die Karte erneut an die aktuell angezeigten Geräte-Marker an.
• Verfolgung in Echtzeit: erscheint, wenn ein oder mehrere Geräte in Echtzeit verfolgt werden, und zeigt an, wie viele aktuell aktiv sind.
• Live-Verfolgung stoppen: Der Symbol-Button innerhalb des Live-Tracking-Elements stoppt die Live-Verfolgung für alle aktuell verfolgten Geräte nach einer Bestätigung.

Details zum Symbol

Ein Klick auf einen Marker öffnet ein Informationsfenster mit:

• Das Gerät Modell und interne Id.
• Der Zeitstempel des zuletzt gemeldeten Standorts.
• Die gemeldete Genauigkeit in Metern.
• Die angegebene Geschwindigkeit, falls verfügbar.
• Der gemeldete Titel oder Kurs, falls verfügbar.

Die Geräteidentifikator im Informationsfenster ist ein Link, der die entsprechende Geräteübersicht-Seite öffnet.

Info-Fenster Aktionen

Jedes Informationsfenster enthält außerdem Aktionsschaltflächen für das ausgewählte Gerät.

• Geräteverbindung: Der Gerätename und die ID oben im Informationsfenster öffnen die entsprechende Geräteübersichtseite.
• Zoomen: zentriert die Karte auf das ausgewählte Gerät und passt den gemeldeten Genauigkeitskreis enger um es herum an.
• Live: startet die Live-Verfolgung für dieses Gerät. Wenn die Live-Verfolgung bereits aktiv ist, stoppt derselbe Button sie nach Bestätigung.
• Live-Verfolgung aktiv: Wenn diese Statusleiste angezeigt wird, bedeutet dies, dass das ausgewählte Gerät bereits in Echtzeit verfolgt wird.

Genauigkeitsbereich

Wenn ein Marker ausgewählt wird, zeigt die Karte einen Genauigkeitskreis um den Standort an. Der Radius des Kreises entspricht der gemeldeten Genauigkeit.

Echtzeit-Tracking-Verhalten

Das Starten der Live-Verfolgung aus einem Informationsfenster sendet eine Echtzeit-Tracking-Anfrage an dieses Gerät. Cerberus Enterprise aktualisiert dann die Karte automatisch während der aktiven Sitzung.

• Jede Live-Tracking-Sitzung läuft bis zu 15 Minuten.
• Das Gerät zeigt eine Benachrichtigung während der Live-Verfolgung an.
• Die Live-Verfolgung kann entweder aus dem ausgewählten Geräte-Info-Fenster oder aus der globalen Live-Verfolgung stoppen Schaltfläche auf der Karte gestoppt werden.

Private Apps

Von diesem Abschnitt des Dashboards aus können Sie Ihre eigenen privaten Android-Apps hochladen oder Web-Apps erstellen, die Sie auf Ihren Geräten verteilen können.

Die einzigen Angaben, die Sie benötigen, sind der Titel und die APK-Datei der App. Private Apps werden automatisch für Ihr Unternehmen genehmigt und sind in der Regel innerhalb von 10 Minuten zur Verteilung bereit. Sie können insgesamt 15 private Apps pro Tag hochladen. Beachten Sie, dass auch Web-Apps zu dieser Gesamtzahl zählen.

Wenn Sie zum ersten Mal eine private App veröffentlichen, benötigen Sie eine E-Mail-Adresse, um Benachrichtigungen von der Google Play Console über Ihre Apps und Ihr Google Play Entwicklerkonto zu erhalten. Außerdem erstellt Managed Play automatisch ein Google Play Entwicklerkonto im Namen Ihrer Organisation. Für dieses Konto fallen keine Anmeldegebühren an.

Private Apps, die über den iFrame veröffentlicht werden:

• Unterliegen nicht den gleichen Prüfungen wie andere Apps. Daher können sie nicht in öffentliche Apps umgewandelt werden.
• Sind nicht übertragbar. Sie können den Besitz einer App nicht auf ein anderes Play Developer-Konto übertragen.

Für weitere Details besuchen Sie bitte die Google Play Hilfe für Geräte mit Management

Zertifikatsverwaltung

Das Dashboard enthält einen Zertifikate-Bereich, mit dem Sie Zertifikate importieren, anzeigen und löschen können. Durch Klicken auf eine Zeile in der Zertifikatsliste wird der Zertifikateditor geöffnet.

Liste der Zertifikate

Zertifikate werden in einer sortierbaren und paginierten Tabelle angezeigt. Die Liste enthält sowohl Client-Zertifikate als auch Zertifizierungsstellen (CAs).

Filter

Oben auf der Seite können Sie Filter mithilfe der Chip-Liste aktivieren. Einige Filter schließen sich gegenseitig aus.

• Alle: Zeigt alle Zertifikate.
• Client: Zeigt nur Client-Zertifikate.
• Zertifizierungsstelle (CA): Zeigt nur CA-Zertifikate.
• Suche: Zeigt ein Textfeld (Beschriftung: Name oder Dateiname) an, um nach Zertifikatsnamen oder importierten Dateinamen zu suchen.
• Ohne Benutzer: Zeigt Client-Zertifikate an, die nicht mit einem Benutzer verknüpft sind.

Tabellenspalten

• Name
• Typ
• Ablaufdatum
• Benutzer (wird für Client-Zertifikate angezeigt)
• Importierter Dateiname
• Importiertes Datum

Aktionen

• Zertifikat öffnen: Klicken Sie auf eine Zeile, um den Zertifikateditor zu öffnen.
• Zertifikat löschen: Diese Option ist nur verfügbar, wenn das Zertifikat nicht mit Benutzern/Richtlinien verknüpft ist und von keinen Geräten verwendet wird. Die Funktion kann auch deaktiviert sein, wenn die Lizenz abgelaufen ist.
• Auswahl mehrerer Zeilen: Sie können die Auswahl mehrerer Zeilen aktivieren, um mehrere Zertifikate gleichzeitig zu löschen. Nur Zertifikate, die gelöscht werden können, können ausgewählt werden.
• Aktualisieren: Lädt die Liste der Zertifikate neu.

Zertifikate importieren

Um Zertifikate zu importieren, klicken Sie auf Zertifikat importieren und wählen Sie eine oder mehrere Dateien aus. Die unterstützten Formate werden im Tooltip des Import-Buttons angezeigt.

Clients

Unterstütztes Format: Base64-kodiertes PKCS#12-Format (.p12 / .pfx).

Client-Zertifikate identifizieren einen Benutzer oder ein Gerät im Unternehmensnetzwerk. Client-Zertifikate können einem bestimmten Benutzer zugeordnet werden.

Jedes Client-Zertifikat kann optional einem bestimmten Benutzer zugewiesen werden: Dies ermöglicht die Verwendung der gleichen Wi-Fi EAP-Konfiguration auf vielen Geräten. Dies können Sie im Abschnitt Netzwerkkonfiguration verwenden, wobei Sie die Option EAP-Zugangsdaten von Benutzern auswählen.

Alternativ können Sie einem Benutzer ein Zertifikat von der Seite Benutzer zuweisen.

Zertifizierungsstellen (CA)

Unterstützte Formate: Base64-kodiertes X.509 (.crt / .pem / .cer / .der).

CA-Zertifikate identifizieren eine Zertifizierungsstelle und signalisieren dem Gerät, dass alle von dieser Zertifizierungsstelle ausgestellten Zertifikate als vertrauenswürdig gelten sollen. Das Dashboard überprüft, ob ein importiertes X.509-Zertifikat eine CA-Zertifikat ist.

Zertifikatseditor

Wenn Sie ein Zertifikat öffnen, zeigt der Editor seine Hauptfelder sowie ein schreibgeschütztes Zertifikatsinformationen-Panel an.

Hauptfelder

• Name (erforderlich)
• ID (nur lesbar)
• Typ (schreibgeschützt)
• Ablaufdatum (schreibgeschützt)
• Importdatum (schreibgeschützt)
• Importierter Dateiname (schreibgeschützt)

Benutzerzuordnung (Client-Zertifikate)

Für Client-Zertifikate zeigt der Editor ein Benutzer-Feld. Wenn ein Benutzer zugewiesen ist, ermöglicht ein Menü, den Benutzer zu öffnen, ändern oder abzumelden. Wenn kein Benutzer zugewiesen ist, können Sie einen Benutzer über die Schaltfläche "Benutzeraktion" zuweisen.

Zertifikat löschen

Die Löschfunktion ist deaktiviert, wenn das Zertifikat aktuell einem Benutzer zugeordnet ist oder in Richtlinien verwendet wird. Sie kann auch deaktiviert sein, wenn die Lizenz abgelaufen ist.

Geräte

Geräte

Im Bereich Geräte des Dashboards (Dashboard → Geräte) werden alle registrierten Geräte in Ihrem Konto aufgelistet. Von dieser Seite aus können Sie die Liste filtern, einen Geräte-Eintrag öffnen und Aktionen für Geräte ausführen, z. B. das Deaktivieren oder Abmelden.

Filter

Oben auf der Seite können Sie mit der Chip-Liste einen oder mehrere Filter aktivieren. Die ausgewählten Chips zeigen die aktuell aktiven Filter an.

Verfügbare Filter

• Alle: Zeigt alle Geräte.
• Android: Zeigt nur Android-Geräte.
• Apple: Zeigt nur Apple-Geräte.
• Geräte des Unternehmens: Zeigt nur Geräte, die dem Unternehmen gehören.
• Privat besessen: Zeigt nur privat besessene Geräte.
• Profilinhaber: Zeigt nur Geräte, die mit einem Android-Arbeitsprofil eingerichtet sind.
• Geräteadministrator: Zeigt nur Android-Geräte, die vollständig verwaltet werden.
• Aktiv: Zeigt Geräte im aktiven Zustand an.
• Konform: Zeigt Geräte an, die den Richtlinien entsprechen.
• Nicht konform: Zeigt Geräte an, die nicht den Richtlinien entsprechen.
• Sicher: Zeigt Geräte mit einem sicheren Status an.
• Nicht sicher: Zeigt Geräte mit einem unsicheren Status an.
• Richtlinie nicht aktualisiert: Zeigt Geräte an, bei denen Richtlinienänderungen ausstehend sind.
• Status nicht aktualisiert: Zeigt Geräte an, die ihren Status in den letzten 72 Stunden nicht gemeldet haben.
• Anwendungsfehler: Zeigt Geräte an, deren Anwendungen Fehler gemeldet haben.
• Suche: Aktiviert ein Textsuchfeld.

Suche: Aktiviert ein Textsuchfeld

Wenn Sie den Such-Filter aktivieren, erscheint ein Textfeld mit der Bezeichnung ID, Modell oder Benutzer. Die Liste wird automatisch aktualisiert, sobald Sie das Tippen beenden.

Gerätetabelle

Geräte werden in einer sortierbaren und paginierten Tabelle angezeigt. Durch Klicken auf eine Zeile wird der Geräteeditor geöffnet.

Spalten

• ID: Interne Geräte-ID.
• MDM: Plattform (Android oder Apple).
• Modell: Gerätemodell.
• Besitz: Firmenbesitz oder Privatbesitz (mit Detailinformationen in der Tooltip).
• Verwaltungsmodus: Betriebsmodus (mit Detailinformationen im Tooltip).
• Richtlinie: aktuell zugewiesene Richtlinie.
• Benutzer: zugeordnete Benutzerinformationen (Name, E-Mail-Adresse oder ID, abhängig von der Verfügbarkeit).
• Letzter Statusbericht: Zeitstempel des aktuellsten Statusberichts (falls verfügbar).
• Status: Geräte-Status (mit Details im Tooltip).
• Compliance: Anzeige des Compliance-Status.
• Sicherheit: Sicherheitsstatus (mit detaillierten Informationen in der Tooltip).
• Fehler bei Apps: Anzeige für Fehler bei Apps.

Aktualisieren und Paginierung

• Verwenden Sie die Aktualisierungsfunktion, um die Liste neu zu laden.
• Die Tabelle ist paginiert (10/25/50 Elemente pro Seite).

Geräteaktionen

Jede Gerätezeile kann Aktionen anbieten, abhängig von der Plattform und dem Geräte-Status. Einige Aktionen sind deaktiviert, wenn Ihre Lizenz abgelaufen oder gekündigt ist.

Aktionen pro Gerät

• Gerät deaktivieren / Gerät aktivieren: verfügbar für Android-Geräte in unterstützten Zuständen.
• Gerät aus dem Verzeichnis entfernen: entfernt die Geräteverwaltung. Bei Android-Geräten kann dies dazu führen, dass das Arbeitskonto gelöscht oder das Gerät auf die Werkseinstellungen zurückgesetzt wird (abhängig vom Eigentümer); bei Apple-Geräten werden die Richtlinseinstellungen entfernt.
• Gerät entfernen: verfügbar für Geräte, die bereits abgemeldet wurden (löscht den Eintrag aus dem System).

Mehrfachauswahl

Sie können die Mehrfachauswahl in der Aktionsleiste unterhalb der Tabelle aktivieren. Wenn aktiviert, können Sie mehrere Zeilen auswählen und Massenaktionen ausführen (deaktivieren, aktivieren, abmelden oder löschen), je nachdem, welche Geräte ausgewählt sind.

Apple Business Manager-Synchronisierung

Wenn Apple Management konfiguriert ist und ein Token für die automatische Geräteanmeldung vorhanden ist, kann die Seite die Aktion "Geräte von ABM importieren" anzeigen.

Ein Gerät registrieren

Verwenden Sie Gerät registrieren, um den Abschnitt für Registrierungstoken zu öffnen und ein neues Gerät zu registrieren.

Benutzer

Benutzer

Der Bereich Benutzer im Dashboard (Dashboard → Benutzer) listet alle Benutzer auf, die in Ihrem Konto konfiguriert sind. Von dieser Seite aus können Sie Benutzer suchen, den Benutzereditor öffnen, neue Benutzer erstellen und Benutzer löschen, die derzeit nicht mit Geräten verknüpft sind.

Suche: Aktiviert ein Textsuchfeld

Oben auf der Seite befindet sich ein Suchfeld mit der Bezeichnung Suche und dem Platzhalter Name, Benutzername oder E-Mail. Die Liste wird automatisch aktualisiert, sobald Sie die Eingabe beenden.

Benutzertabelle

Benutzer werden in einer sortierbaren, paginierten Tabelle angezeigt. Ein Klick auf eine Zeile öffnet den Benutzereditor.

Spalten

• ID: interner Benutzerbezeichner.
• Vorname: Benutzername.
• Nachname: Benutzername.
• Benutzername: Benutzername (oft ein Verzeichnisbenutzername).
• E-Mail: E-Mail-Adresse des Benutzers.
• Geräte: Anzahl der aktuell dem Benutzer zugeordneten Geräte.
• WLAN-Zertifikat: Anzeige, ob ein WLAN-Zertifikat dem Benutzer zugewiesen ist.

Aktualisieren und Paginierung

• Die Aktualisierungsfunktion lädt die Liste neu.
• Die Tabelle ist paginiert (10/25/50 Elemente pro Seite).

Benutzeraktionen

Neuen Benutzer erstellen

Verwenden Sie Neuen Benutzer erstellen, um den Dialog zur Benutzererstellung zu öffnen. Diese Aktion ist deaktiviert, wenn Ihre Lizenz abgelaufen ist.

Synchronisieren Sie Daten von Google Workspace

Wenn die Synchronisierung mit dem Google Workspace-Verzeichnis für Ihr Konto verfügbar ist, wird auf der Seite Folgendes angezeigt: Synchronisieren von Google Workspace. Während der Synchronisierung wird ein Fortschrittsbalken angezeigt.

Einen Benutzer löschen

Sie können einen Benutzer nur dann löschen, wenn dieser nicht mit einem Gerät verknüpft ist (die Spalte Geräte muss 0 sein). Die Löschfunktion ist deaktiviert, wenn Ihre Lizenz abgelaufen oder gekündigt ist.

Mehrfachauswahl und Massenlöschung

Über die Aktionsleiste unterhalb der Tabelle können Sie die Mehrfachauswahl aktivieren. In diesem Modus können Sie mehrere Benutzer auswählen und diese in einem Schritt löschen.

• Berechtigung: Nur Benutzer mit Geräten = 0 können für die Löschung ausgewählt werden.
• Alle auswählen: Das Kontrollkästchen "Alle" wählt alle verfügbaren Zeilen auf der aktuellen Seite aus.
• Massentfernung: Die Funktion Benutzer löschen ist deaktiviert, wenn keine Zeilen ausgewählt sind oder wenn Ihre Lizenz abgelaufen oder gekündigt ist.

Wi-Fi-Zertifikate und EAP

Die Spalte "WLAN-Zertifikat" zeigt an, ob einem Benutzer ein Zertifikat zugewiesen ist. Benutzerzertifikate werden typischerweise für WLAN-EAP-Konfigurationen (z. B. EAP-TLS) verwendet. Informationen zur Zertifikatszuweisung und -verwaltung finden Sie unter Zertifikatsverwaltung.

Benutzer-Editor

Der Benutzer-Editor ist verfügbar über Dashboard → Benutzer, indem Sie eine Benutzerzeile auswählen. Er ermöglicht die Bearbeitung von Benutzerdetails, die Konfiguration von Wi-Fi EAP-Zugangsdaten für einzelne Benutzer und die Anzeige der zugehörigen Geräte des Benutzers.

Benutzerdetails

Der obere Bereich enthält die wichtigsten Benutzerinformationen. Einige Felder sind erforderlich, und der Editor zeigt Validierungsfehler, wenn diese fehlen oder ungültig sind.

• ID: schreibgeschützter Bezeichner.
• Vorname: erforderlich.
• Nachname: erforderlich.
• Benutzername: erforderlich.
• E-Mail-Adresse: erforderlich und muss eine gültige E-Mail-Adresse sein.
• Telefonnummer: optional.
• Google-Konto: optional und muss, falls angegeben, eine gültige E-Mail-Adresse sein.

Google-Authentifizierung: Standardrichtlinie

In Google Workspace-Umgebungen mit aktivierter Google-Authentifizierung kann der Editor die Google-Authentifizierung: Standardrichtlinie anzeigen. Dies ist die Richtlinie, die auf Geräte angewendet wird, die mit Google-Authentifizierung durch diesen Benutzer registriert wurden.

• Richtlinie ändern: Öffnet den Dialog zur Richtlinienauswahl.
• Richtlinie öffnen: Öffnet die ausgewählte Richtlinie im Richtlinien-Editor (wenn eine Richtlinie eingestellt ist).
• Nachdem Sie eine neue Standardrichtlinie ausgewählt haben, müssen Sie den Benutzer speichern, um die Änderung anzuwenden. Der Editor zeigt eine Benachrichtigung, die Sie daran erinnert, zu speichern.

Wi-Fi EAP-Zugangsdaten

Der Bereich WLAN EAP-Anmeldedaten wird verwendet, um pro Benutzer spezifische Anmeldedaten zu konfigurieren, die automatisch auf den Geräten der Benutzer installiert werden, wenn deren zugewiesene Richtlinie eine WLAN EAP-Konfiguration enthält, die diese erfordert. Die WLAN EAP-Konfiguration ist Teil der Android-Richtlinie Netzwerkkonfiguration.

Client-Zertifikat

Sie können einem Benutzer optional ein Client-Zertifikat zuweisen. Wenn ein Zertifikat zugewiesen wurde, wird es im Feld Client-Zertifikat angezeigt, und ein Menü bietet Aktionen. Wenn kein Zertifikat zugewiesen ist, wird im Feld Kein Zertifikat zugewiesen angezeigt, und Sie können eines zuweisen.

• Zertifikat zuweisen: Öffnet den Dialog zur Zertifikatauswahl.
• Zertifikat öffnen: Öffnet den Zertifikateditor.
• Zertifikat ändern: Wählt ein anderes Client-Zertifikat aus.
• Zertifikat entfernen: Entfernt das Zertifikat vom Benutzer. Das System entfernt das Zertifikat auch von allen Geräten, die mit diesem Benutzer verknüpft sind.

Für den Import und die Verwaltung von Zertifikaten, siehe Zertifikatsverwaltung.

Identität, anonyme Identität und Passwort

• Identität: Die Identität des Benutzers. Für das Tunneln von äußeren Protokollen (PEAP, EAP‑TTLS) wird dies innerhalb des Tunnels verwendet.
• Anonyme Identität: Wird für das Tunneln äußerer Protokolle verwendet und stellt die außerhalb des Tunnels präsentierte Identität dar. Wenn sie nicht angegeben ist, wird standardmäßig eine leere Zeichenkette verwendet.
• Passwort: Das Benutzerpasswort für EAP-Methoden, die es erfordern. Wenn es nicht angegeben ist, kann das Gerät den Benutzer auffordern. Eine Schaltfläche zum Anzeigen/Verbergen schaltet die Passwortsichtbarkeit um.

Verbundene Geräte

Der Bereich Verbundene Geräte zeigt die Liste der Geräte, die derzeit mit dem Benutzer verknüpft sind. Wenn der Benutzer ein oder mehrere verbundene Geräte hat, kann der Benutzer nicht gelöscht werden.

Speichern und löschen

• Benutzer speichern: Nur aktiviert, wenn das Formular gültig ist, ausstehende Änderungen vorhanden sind und die Lizenz aktiv ist. Ein Fortschrittsbalken wird angezeigt, während der Vorgang ausgeführt wird.
• Benutzer löschen: Diese Option ist deaktiviert, wenn der Benutzer mit Geräten verknüpft ist oder wenn die Lizenz abgelaufen oder gekündigt ist. Wenn das Löschen zulässig ist, wird ein Bestätigungsdialog angezeigt. Wenn der Benutzer Enrollment-Token zugewiesen sind, warnt der Dialog, dass Geräte, die mit diesen Token registriert wurden, nicht mehr einem Benutzer zugeordnet sind.

Warnung: Änderungen wurden noch nicht gespeichert

Wenn Sie nicht gespeicherte Änderungen haben und die Seite verlassen möchten, fragt das Dashboard, ob Sie die Änderungen verwerfen möchten.

Konto

Einstellungen

Die Einstellungen-Seite (Übersicht → Einstellungen) fasst Kontoinformationen und Lizenzdetails zusammen und bietet Aktionen zum Verwalten von Abrechnungen, zur Einrichtung der Plattform (Android Management und Apple Management) sowie optionale Verzeichnis-/Token-Integrationen.

Lizenzhinweis (läuft ab / abgelaufen)

Wenn Ihre Lizenz läuft ab, abgelaufen oder gekündigt wird, wird ein auffälliger Hinweis oben auf der Seite angezeigt. Abhängig von Ihrem Abonnementstatus bietet er entweder eine Abrechnung verwalten-Funktion (Stripe-Kundenportal) oder eine Lizenz kaufen-Funktion.

Wenn die Lizenz abläuft, ist das Konto auf die Geräteabmeldung beschränkt. Nach der Gnadenfrist kann das Konto gekündigt werden, und Geräte können automatisch abgemeldet werden.

Kontoinformationen

Die Kontoinformationen-Karte zeigt schreibgeschützte Felder:

• Benutzername
• Name des Unternehmens
• Unternehmens-ID

Passwort ändern

Wenn Sie nicht mit Google oder Apple angemeldet sind, zeigt die Karte auch eine Passwort ändern Aktion. Dies öffnet einen Dialog, um den Passwortänderungsvorgang fortzusetzen.

Lizenzinformationen

Die Lizenzinformationen-Ansicht zeigt den aktuellen Lizenzstatus und die Anzahl Ihrer Geräte. Sie bietet außerdem Optionen, um den Vertrieb zu kontaktieren, die Abrechnung zu verwalten oder eine Lizenz zu erwerben.

• Lizenzstatus: wird als aktiv oder abgelaufen (mit einem Symbol und einem Tooltip) angezeigt.
• Kostenlose Testphase: wird angezeigt, wenn das Konto sich aktuell in der Testphase befindet.
• Lizenzierten Geräte: Maximale Anzahl von Geräten, die durch die Lizenz erlaubt sind. Der Benötigen Sie mehr Geräte?-Link öffnet eine Nachricht, um den Support zu kontaktieren.
• Nächster geplanter Verlängerungstermin: Wird für aktive Abonnements angezeigt, die sich automatisch verlängern. Andernfalls zeigt die Karte das Ablaufdatum.

Android-Geräteverwaltung

Die Android-Geräteverwaltung-Karte zeigt den Status der Android-Geräteverwaltung für Ihr Unternehmen. Wenn die Android-Geräteverwaltung noch nicht konfiguriert ist, bietet die Karte eine Android-Geräteverwaltung einrichten-Aktion, die den Konfigurationsvorgang startet.

Konfigurierter Zustand

Wenn Android Management konfiguriert ist, kann die Karte Folgendes anzeigen:

• Management-ID
• Synchronisiert mit Google Workspace (ein Hinweis wird angezeigt, wenn die Verzeichnis-Synchronisierung aktiv ist)
• Einstellungen für das verwaltete Google Play-Konto (Link zu den Google Play-Administrator-Einstellungen, falls zutreffend)
• Google Admin-Konsole (Link, falls zutreffend)
• Synchronisieren mit Google Workspace (wird angezeigt, wenn die Verzeichnissynchronisierung nicht konfiguriert ist; öffnet das Anleitungsfenster am unteren Rand der Seite).

Apple-Geräteverwaltung

Die Karte für Apple Device Management zeigt den Status der Apple-Geräteverwaltung (MDM) für Ihr Unternehmen. Wenn die Apple-Verwaltung noch nicht konfiguriert ist, bietet die Karte eine Aktion zum Einrichten der Apple-Verwaltung, die den Konfigurationsassistenten öffnet.

Konfigurierter Zustand

Wenn die Apple-Verwaltung konfiguriert ist, kann die Karte Folgendes anzeigen:

• Apple-ID
• Ablaufdatum des Apple Push-Zertifikats: Zeigt das Ablaufdatum und ein Symbol an. Wenn das Zertifikat abläuft oder abgelaufen ist, ist das Symbol anklickbar und öffnet Anweisungen zur Verlängerung.
• Ablaufdatum des Apple Business Manager Tokens: Zeigt das Ablaufdatum des Tokens an (mit einem anklickbaren Symbol, wenn eine Aktion erforderlich ist).
• VPP-Token: Zeigt den Namen der Organisation und das Ablaufdatum für das Apple Volume Purchase Program-Token an (mit einem anklickbaren Badge, wenn eine Aktion erforderlich ist).
• Apple Business Manager Portal: Der Link wird angezeigt, wenn ein ABM-Token vorhanden ist.
• Synchronisieren mit Apple Business Manager und Synchronisieren mit Apple Volume Purchase Program: wird angezeigt, wenn Token fehlen.

Für die Apple-Verwaltung ist die Einrichtung des APNs-Zertifikats erforderlich. Wenn erforderlich, lesen Sie die Anleitung zur Apple-Verwaltung (APNs).

Einstellungen & Datenschutz

Die Einstellungen & Datenschutz-Karte enthält eine Option zur Einstellung von Marketingpräferenzen sowie Links zu den Nutzungsbedingungen und der Datenschutzerklärung. Verwenden Sie Einstellungen speichern, um Änderungen anzuwenden (ein Fortschrittsbalken wird angezeigt, während die Einstellungen gespeichert werden).

Feedback senden

Wenn für das Konto Abonnements aktiviert sind, kann die Seite eine Feedback senden-Karte mit Links zu: Funktionswünschen und externen Bewertungsplattformen anzeigen.

Integrierte Anleitungen zur Einrichtung und Verlängerung

Am unteren Rand der Seite kann das Dashboard je nach aktuellem Status erweiterbare Anleitungsbereiche anzeigen (z. B. wenn ein Zertifikat/Token fehlt oder abläuft).

Erneuern Sie das Apple Push-Zertifikat (APNs)

Wenn das APNs-Zertifikat abläuft oder abgelaufen ist, zeigt die Seite ein Panel mit Schritten zum Herunterladen einer CSR-Datei, zum Erneuern des Zertifikats im Apple-Portal und zum Hochladen des neuen Zertifikats in Cerberus Enterprise.

Synchronisieren mit Apple Business Manager (ABM)

Wenn das ABM-Token fehlt, abgelaufen ist oder bald abläuft, zeigt die Seite ein Panel mit den Schritten, um ein Token von Apple Business Manager herunterzuladen und in Cerberus Enterprise hochzuladen.

Synchronisieren mit dem Apple Volume Purchase Program (VPP)

Wenn das VPP-Token fehlt, abgelaufen ist oder bald abläuft, zeigt die Seite ein Panel mit Schritten, wie Sie ein Content-Token von Apple Business Manager herunterladen und in Cerberus Enterprise hochladen können.

Synchronisieren mit Google Workspace

Wenn die Synchronisierung mit dem Google Workspace-Verzeichnis nicht konfiguriert ist, wird ein Panel angezeigt, das die Integration erklärt und einen Autorisierungsbutton bereitstellt. Außerdem werden die erforderlichen Google OAuth-Bereiche aufgelistet: https://www.googleapis.com/auth/admin.directory.user.readonly.

Für die anfängliche Android-Einrichtung, siehe Android Management einrichten.

Mandantenfähigkeit

Mehrtenanten-Übersicht

Der Mehrtenancy-Bereich ist für Managed Service Provider (MSP) und Unternehmensadministratoren verfügbar, die mehrere Kundenunternehmen mit einem einzigen Login verwalten. Dieses Kapitel erläutert das Unternehmensbereichsmodell, den Wechsel zwischen Unternehmen, die Verwaltung von verwalteten Unternehmen und Subkonten.

Um ein Multi-Tenancy-Konto anzufordern, kontaktieren Sie enterprise@cerberusapp.com.

Kernkonzepte

• Haupt-Mehrfachmandanten-Konto: Das primäre Manager-Konto, das auf den globalen Mehrfachmandanten-Arbeitsbereich zugreifen kann.
• Teil-Konto: ein delegiertes Manager-Konto, das vom Haupt-Konto erstellt wurde, mit wählbaren Unternehmenszuordnungen.
• Ausgewählte Unternehmenskontext: Der aktuell im Dashboard für den täglichen Betrieb geöffnete Unternehmenskontext.
• Delegation: Eine vom Unternehmensverantwortlichen erteilte Berechtigung, die einem Manager-Konto den Zugriff und die Verwaltung dieses Unternehmens ermöglicht.

Navigationsmodell

Wenn kein Unternehmenskontext ausgewählt ist, zeigt die seitliche Navigation Multi-Mandanten-Bereiche wie Unternehmen und, für Hauptkonten, Unterkonten. Nach dem Auswählen eines Unternehmens wechselt das Dashboard zur Standard-Single-Enterprise-Navigation (Startseite, Benutzer, Geräte, Anmeldung, Richtlinien und mehr).

Besitz und Delegation

Jedes verwaltete Unternehmen hat einen Eigentümer. Der Eigentümer kann immer auf dieses Unternehmen zugreifen. Nicht-Eigentümer-Managerkonten können ein Unternehmen nur dann zugreifen, wenn eine Delegation erteilt wurde.

Der Eigentümer und der Delegierungsstatus werden direkt auf den Unternehmens-Karten angezeigt, um den Zugriffsbereich vor dem Betreten eines Unternehmens explizit zu machen.

Lizenz- und Abrechnungsaktionen

Multi-tenancy views expose license status, device limits, und Unternehmensabrechnungsaktionen. Abhängig vom Status des Unternehmensabonnements und Ihren Berechtigungen kann die Karte Abrechnung verwalten oder Lizenz erwerben.

Für Unternehmen, die von einem Multi-Tenant-Konto erstellt wurden, wird die Lizenzierung von Multi-Tenant-Benutzern verwaltet. Das Hauptkonto kann die Lizenzierung immer verwalten, während Unterkonten die Lizenzierung nur dann verwalten können, wenn das Hauptkonto Lizenz verwalten für dieses Unterkonto aktiviert.

Seiten in diesem Kapitel

• Verwaltete Unternehmen: Suche, Filter, Kartendetails und Unternehmensgründung.
• Enterprise-Umschaltung: Top-Switcher-Verhalten und Gültigkeitsbereich-Übergänge.
• Teilkonten: delegierte Betreiber, Zuweisungen und Berechtigungsmanagement.

Verwaltete Unternehmen

Die Unternehmen-Seite (Übersicht → Unternehmen) ist das Kontrollzentrum für den Zugriff auf verwaltete Unternehmen. Sie listet alle Unternehmen auf, die für Ihr Multi-Tenant-Konto sichtbar sind, und ermöglicht Ihnen das Filtern, die Einsicht in die Eigentümerschaft/Delegierung, das Eingeben eines Unternehmenskontexts und das Erstellen neuer verwalteter Unternehmen (nur Stammeinrichtungen).

Suchen und Filter

• Suche Unternehmens: Filterung nach Unternehmensname oder Unternehmens-ID.
• Delegation: Alle, Delegiert oder Nicht delegiert.
• Lizenzstatus: Alle, Gültig, Ablaufend, Abgelaufen oder Beendet.

Unternehmenskarten

Jede Unternehmenskarte zeigt wichtige Verwaltungsinformationen:

• Lizenzstatus mit Icon-Badge und kontextbezogenem Tooltip.
• Lizenzierte Geräte (Unternehmensgerätelimit).
• Nächster geplanter Erneuerungstermin oder Ablaufdatum, abhängig vom Abonnementstatus.
• Delegationsstatus ( Eigentümer, Gewährt oder Nicht gewährt).
• Anzeigename und Benutzername.

Kürzlich ausgewählte Unternehmen

Unternehmen, die Sie kürzlich aufgerufen haben, sind in einem Kürzlich ausgewählte Abschnitt befestigt, um wiederholtes Kontextwechseln zu beschleunigen.

Unternehmensaktionen

• Geben Sie Unternehmen ein: Öffnet den ausgewählten Unternehmenskontext, wenn die Delegation/Besitz Zugriff erlaubt.
• Abrechnung verwalten: Öffnet die Abrechnungsverwaltung für Unternehmen, wenn verfügbar und erlaubt.
• Lizenz erwerben: öffnet den Unternehmenslizenzkauf, wenn die Abrechnung nicht aktiv ist.

Wer kann Lizenzen verwalten

Für Unternehmen, die von einem Multi-Tenant-Konto erstellt wurden, wird die Lizenzverwaltung von Multi-Tenant-Benutzern gesteuert. Das Hauptkonto kann immer die Abrechnung und Lizenzaktionen für diese Unternehmen verwalten.

Unterkonten können Abrechnung und Lizenzaktionen nur verwalten, wenn das Hauptkonto die Lizenz verwalten Berechtigung auf der Unterkonten Seite gewährt.

Managed Enterprise erstellen

Haupt-Multi-Tenant-Konten können Managed Enterprise erstellen von der unteren Aktionsleiste aus.

• Der Enterprise-Name ist erforderlich.
• Die Erstellung eines unternehmensspezifischen Admin-Benutzers steuert den Besitzermodus.
• Wenn aktiviert, Benutzername für den Administrator (E-Mail-Format) und Name des Administrators erforderlich sind.
• Vor der Erstellung fasst ein Bestätigungsdialog die Operation zusammen und warnt bei Bedarf, dass temporäre Zugangsdaten per E-Mail an den neuen Administrator-Benutzer gesendet werden.

Besitzermodus

• Unternehmen-Admin aktiviert: der neue Admin-Benutzer besitzt das Unternehmen und kann die Verwaltung an Ihr Multi-Tenant-Konto delegieren.
• Pro-Unternehmens-Administrator deaktiviert: das Unternehmen gehört direkt Ihrem Multi-Tenant-Konto.

Unternehmensspeicherplatz

Wenn das Konto die konfigurierte Unternehmensquotum erreicht, wird die Erstellung gesperrt und das Formular zeigt eine Support-Kontaktmeldung mit der aktuellen und maximalen Unternehmensanzahl an.

Wenn die Unternehmensquotum erreicht ist, können Sie keine zusätzlichen verwaltete Unternehmen erstellen, bis Ihr Limit erhöht wurde.

Unternehmensumstellung

Der Unternehmenswechsler in der oberen Symbolleiste ermöglicht es Nutzern mit Multi-Tenancy, zwischen delegierten Unternehmen zu wechseln, ohne sich abzumelden. Er ist verfügbar, wenn mindestens ein Unternehmenskontext ausgewählt werden kann.

Schalterverhalten

• Der Trigger zeigt den aktuellen Unternehmensnamen (oder die Unternehmens-ID, falls kein Name verfügbar ist).
• Das Menü listet delegierte/zugreifbare Unternehmen auf und kennzeichnet das aktuelle Unternehmen als bereits ausgewählt.
• Während des Wechsels werden Umschaltaktionen vorübergehend deaktiviert, um gleichzeitige Bereichsänderungen zu verhindern.

Verlassen Sie das Unternehmen

Das Umschaltmenü enthält Verlassen Sie das Unternehmen, wodurch der aktuelle Unternehmenskontext gelöscht und Sie zur globalen Multi-Tenancy-Arbeitsumgebung zurückkehren.

Kontext zurücksetzen-Regeln

Der Wechsel des Unternehmens oder der Verlassen des Unternehmens setzt den Dashboard-Umfang zurück. Unternehmensspezifische Seiten und Daten werden für den neu ausgewählten Kontext aktualisiert, und die Menüanzeige passt sich an, je nachdem, ob ein Unternehmen ausgewählt ist.

Nutzen Sie den Umschalter für schnelle Änderungen des operativen Kontexts, aber überprüfen Sie den ausgewählten Unternehmensnamen, bevor Sie sensible Aktionen wie Richtlinienaktualisierungen oder Gerätebefehle ausführen.

Unterkonten

Die Unterkonten Seite (Dashboard → Unterkonten) ist für Haupt-Multi-Mandanten-Konten verfügbar. Sie ermöglicht die Erstellung delegierter Manager-Benutzer, die Zuweisung verwalteter Unternehmen, die Steuerung von Abrechnungsberechtigungen und die Pflege von Unterkonten-Zugangsdaten.

Unterkontenliste

Jede Unterkontenkarte zeigt Identität und Verwaltungsoptionen:

• Name und Benutzername/E-Mail-Adresse.
• Verwaltete Unternehmen-Mehrfachauswahl-Zuweisung.
• Kann die Berechtigung zum Verwalten der Lizenz ein- und ausschalten.
• Passwort zurücksetzen und Löschen-Aktionen.

Zugewiesene verwaltete Unternehmen

Unternehmenszuordnungen werden über das verwaltete Unternehmen Mehrfachauswahlfeld bearbeitet. Wenn du den Auswähler nach Änderungen schließt, fragt das Dashboard nach einer Bestätigung, bevor Änderungen gespeichert werden.

Lizenzverwaltung Berechtigung

Die Lizenzverwaltung-Umschaltung steuert, ob ein Unterkonto auf Unternehmensabrechnungs-/Lizenzverwaltungsaktionen zugreifen kann.

Für Unternehmen, die über das Multi-Tenancy-Konto erstellt wurden, hat das Hauptkonto immer Lizenzverwaltungsrechte. Unterkonten erhalten Lizenzverwaltungsrechte erst, wenn diese Option vom Hauptkonto aktiviert wird.

Passwort zurücksetzen

Passwort zurücksetzen generiert ein neues, temporäres Passwort und sendet es nach Bestätigung an das Unterkonto per E-Mail.

Unterkonto löschen

Das Löschen eines Unterkontos erfordert eine Bestätigung und entfernt dauerhaft den delegierten Zugriff für dieses Konto.

Unterkonto erstellen

Verwenden Sie das untere Bedienfeld Unterkonto erstellen, um einen neuen delegierten Manager hinzuzufügen.

• E-Mail: erforderlich und als E-Mail-Format validiert.
• Name: Erforderlicher Anzeigename.
• Lizenz verwalten: optionale anfängliche Abrechnungserlaubnis.
• Vor der Erstellung warnt ein Bestätigungsdialog, dass eine E-Mail mit einem temporären Passwort an die angegebene Adresse gesendet wird.

Erkenntnisse

Hier sind einige Artikel, die näher beleuchten, wie MDM Ihrem Unternehmen helfen kann:

Was ist Kioskmodus? Ein Leitfaden zum Absichern von Android- und Apple-Geräten für Unternehmen

Kioskmodus verwandelt Standard-Smartphones und Tablets in fokussierte Business-Tools. Cerberus Enterprise unterstützt Unternehmen dabei, Geräte auf eine App oder einen kleinen Satz genehmigter Apps zu beschränken, für Anwendungsfälle wie Retail-POS-Systeme, Check-in für Gäste und Flottennavigation, während diese spezialisierten Geräte einfacher abzusichern, zu unterstützen und im großen Maßstab zu verwalten sind.

So wählen Sie die richtige MDM-Lösung: Eine 7-Punkte-Checkliste für kleine Unternehmen

Es ist einfacher, eine MDM-Lösung später im Kaufprozess auszuwählen, wenn der Vergleich praxisnah bleibt. Diese Checkliste hilft kleinen Unternehmen, Anbieter anhand der sieben Kriterien zu bewerten, die in realen Implementierungen normalerweise am wichtigsten sind: Sicherheit, Android- und Apple-Unterstützung, Benutzerfreundlichkeit für schlanke Teams, Skalierbarkeit, Datenschutzgrenzen, Gesamtbetriebskosten und die tägliche Supportierbarkeit.

Eine sichere und fokussierte digitale Lernumgebung schaffen: Ein Leitfaden zu MDM für Schulen K-12

Schulgeräte funktionieren am besten, wenn sie den Fokus auf das Lernen behalten. Cerberus Enterprise hilft K-12-Organisationen, Schülergeräte durch verwaltete Apps, Kiosk-Einschränkungen, standardisierte gemeinsame oder geliehene Geräte-Setups und Remote-Wiederherstellungsmaßnahmen zu fokussieren, die Verluste, Abweichungen und Unterrichtsstörungen reduzieren.

Ausrüstung Ihrer Außendienstmitarbeiter: So steigert MDM die Effizienz und Sicherheit vor Ort

Außendienstmitarbeiter verlassen sich bei der Arbeit vor Ort auf mobile Geräte für Zeitpläne, Servicehinweise, technische Referenzen, Kundenhistorie und Auftragsaktualisierungen. Cerberus Enterprise unterstützt dabei, diese Geräte durch verwaltete Apps, standardisierte Gerätevorlagen, Fernsupport-Befehle und standortbezogene Einblicke bereit zu halten, die die Dispositionskoordination verbessern und gleichzeitig die Sicherheit im Außendienst erhöhen können.

Jenseits der Karte: MDM für intelligentes Fuhrparkmanagement und mehr Fahrersicherheit

Fuhrparkabläufe sind auf mobile Geräte für Navigation, Disposition, Messaging, Protokollierung und Außendienstaktivitäten angewiesen. Cerberus Enterprise unterstützt Sie dabei, diese Geräte auf genehmigte Arbeitsabläufe zu fokussieren – durch verwaltete Apps, Kiosk- und Geräte-spezifische Steuerelemente, sichere Kommunikationsrichtlinien, Fernwartung und standortbezogene Überwachung, die Ausfallzeiten reduzieren und sichereres Fahren unterstützen kann.

Wie geografische Zäune, Live-Tracking und Standortkarten Unternehmenseinsatz verbessern

Standortbezogene Funktionen in Cerberus Enterprise helfen Organisationen, von einfacher Geräteübersicht zu praktischer operativer Kontrolle überzugehen. Regelmäßige Standortberichte, Live-Tracking, Geofence-Übergänge und interaktive Karten können Logistik, Außendienst, Gesundheitswesen, Einzelhandel, Bauwesen und andere verteilte Teams unterstützen, die einen besseren Einblick benötigen, wo Arbeit stattfindet und wann Geräte wichtige Bereiche betreten oder verlassen.

Wie Multi-Tenancy MSPs hilft, MDM-Dienste zu skalieren und neue Einnahmequellen zu schaffen

Multi-Tenancy ermöglicht es MSPs, Resellern und Organisationen mit mehreren Unternehmen, mehrere Unternehmen von einem einzigen Cerberus Enterprise-Konto aus zu verwalten, während jede Umgebung getrennt bleibt. Dieses Modell reduziert den betrieblichen Aufwand, verbessert die Skalierbarkeit des Services und unterstützt delegierten Zugriff über Unterkonten und explizite, kundenkontrollierte Administration. Es schafft außerdem stärkere Geschäftsmöglichkeiten für Anbieter, die Softwarelizenzen mit Onboarding, Support, Compliance und Managed Mobility Services kombinieren möchten.

Verbesserung der Unternehmensabläufe mit MDM-Lösungen

Mobile Device Management zentralisiert die Kontrolle über Unternehmensgeräte, vereinfacht die Registrierung, Konfiguration und Wartung. Automatisierte Bereitstellung und Massenvorgänge reduzieren den manuellen IT-Aufwand und gewährleisten konsistente Richtlinien auf allen Geräten. Sicherheitsfunktionen wie Verschlüsselung, Compliance-Überwachung und Remote-Löschung schützen Unternehmensdaten. Insgesamt steigert MDM die Produktivität und reduziert gleichzeitig Supportkosten und betriebliche Komplexität.

Erweiterte Sicherheit in Android Enterprise Management

Android Enterprise verwendet ein Arbeitskonto, um geschäftliche Apps und Daten von persönlichen Inhalten auf demselben Gerät zu trennen. Diese Containerisierung schafft separate, verschlüsselte Umgebungen, die unabhängig von IT-Administratoren verwaltet werden. Sicherheitsrichtlinien können die gemeinsame Nutzung von geschäftlichen Daten steuern, ohne persönliche Apps zu beeinträchtigen. Die Architektur schützt Geschäftsdaten, selbst wenn persönliche Anwendungen kompromittiert werden.

Apple iPhone MDM und automatisierte Anmeldung

Apples MDM-Framework ermöglicht die zentrale Verwaltung von iPhones in Unternehmensumgebungen. In Kombination mit Apple Business Manager können sich Geräte bei der ersten Aktivierung automatisch anmelden und konfigurieren. Administratoren können Unternehmensanwendungen stillschweigend bereitstellen und konfigurieren, Sicherheitseinstellungen erzwingen und die Einhaltung überwachen. Diese Automatisierung gewährleistet eine konsistente Gerätekonfiguration und reduziert Setup-Fehler.

Mobile Device Management verstehen

Mobile Device Management bietet eine zentrale Plattform zur Überwachung, Sicherung und Steuerung mobiler Geräte, die auf Unternehmessysteme zugreifen. Kernfunktionen umfassen die Durchsetzung von Sicherheitsrichtlinien, die Verwaltung von Anwendungen sowie das Fernsperren oder Löschen verlorener Geräte. MDM hilft, Unternehmensdaten zu schützen und die Gerätekonformität aufrechtzuerhalten. Es ermöglicht Unternehmen jeder Größe, wachsende mobile Arbeitskräfte sicher zu verwalten.

Unternehmensmodelle für Gerätebereitstellung

Organisationen können verschiedene Gerätebesitzmodelle wie BYOD, CYOD, COPE, COBO und COSU nutzen. Jedes Modell gleicht Kosten, Benutzerflexibilität und Sicherheitskontrolle unterschiedlich aus. BYOD priorisiert die Benutzerfreundlichkeit, während COBO und COSU die Kontrolle und Sicherheit des Unternehmens maximieren. Die Wahl des richtigen Modells hängt von regulatorischen Anforderungen, den Bedürfnissen der Belegschaft und der IT-Managementkapazität ab.

MDM vs. EMM vs. UEM

MDM konzentriert sich auf die Verwaltung und Sicherung mobiler Geräte durch Richtlinien durchsetzung, Konfigurationskontrolle und Fernverwaltung. EMM erweitert diesen Umfang um die Verwaltung von Anwendungen und Inhalten, während UEM versucht, alle Endpunkte, einschließlich Laptops und Desktops, zu verwalten. Für viele KMU führen umfassende EMM- oder UEM-Suiten zu unnötiger Komplexität. In der Praxis decken robuste MDM-Funktionen oft die meisten mobilen Verwaltungsanforderungen ab.

MDM auf privaten Geräten und Mitarbeiterdatenschutz

Moderne MDM-Systeme verwenden Containerisierung, um berufliche und private Daten auf geräten der Mitarbeiter zu trennen. Arbeitgeber können nur die Arbeitsumgebung verwalten und überwachen, einschließlich Unternehmensanwendungen und Gerätekonformitätsinformationen. Persönliche Daten wie Fotos, Nachrichten und Browserverlauf bleiben für das Unternehmen nicht zugänglich. Diese technische Trennung ermöglicht sichere BYOD-Programme bei gleichzeitiger Wahrung der Mitarbeiterdatenschutz.

MDM-ROI und Geschäftswert

MDM sollte als strategische Investition und nicht als einfache Sicherheitsausgabe betrachtet werden. Es generiert finanzielle Erträge durch geringere Geräteverluste, niedrigere IT-Supportkosten und verbesserte betriebliche Effizienz. Automatisierte Verwaltung erhöht zudem die Mitarbeiterproduktivität und reduziert Ausfallzeiten. Darüber hinaus reduziert eine stärkere Sicherheit das Risiko und die finanziellen Auswirkungen von Datenschutzverletzungen.

HIPAA-konforme Gerätemanagement

Krankenhäuser müssen elektronische Patientendaten gemäß den HIPAA-Sicherheitsanforderungen schützen. MDM hilft bei der Durchsetzung von Verschlüsselung, Authentifizierungsrichtlinien, sicherer Datenübertragung und detaillierten Prüfprotokollen. Es ermöglicht auch die Fernlöschung und die zentrale Richtliniendurchsetzung für Geräte, die auf medizinische Systeme zugreifen. Diese Kontrollen reduzieren Compliance-Risiken und ermöglichen gleichzeitig mobile Workflows in Gesundheitseinrichtungen.

MDM für Einzelhandelsprozesse und Sicherheit

Einzelhandelsunternehmen verlassen sich auf mobile Geräte für POS-Systeme, Bestandsverwaltung und Abläufe im Geschäft. MDM stellt sicher, dass diese Geräte sicher, aktuell und konform mit Standards wie PCI-DSS bleiben. Die zentrale Verwaltung reduziert Ausfallzeiten und vereinfacht die Gerätebereitstellung an mehreren Standorten. Das Ergebnis ist eine verbesserte betriebliche Effizienz und ein geringeres Risiko von sicherheitsbezogenen Zahlungsvorfällen.