IT-Administratoren können die mit einem Gerät verbundene Richtlinie nach der Anmeldung ändern. Allerdings kann jedes Gerät jeweils nur mit einer einzigen Richtlinie verknüpft werden.
Während des Anmeldevorgangs (der Bereitstellung) werden die erforderlichen Verwaltungs-Komponenten automatisch installiert und konfiguriert. Bei Android-Geräten umfasst dies typischerweise die Android Device Policy-App (und, je nach Konfiguration, die Cerberus Enterprise-Begleit-App). Bei Apple-Geräten wird die Verwaltung über MDM angewendet, sobald das Gerät angemeldet ist. Infolgedessen wird die entsprechende Richtlinie automatisch auf das Gerät angewendet, und alle zugehörigen Regeln werden durch das Plattform-Management-System durchgesetzt.Eine Richtlinie kann auf viele Geräte angewendet werden. Wenn Sie eine Richtlinie ändern, werden alle zugehörigen Geräte automatisch aktualisiert.
# Einrichtung # Einrichtung von Android Management Um Android-Geräte mit Cerberus Enterprise zu verwalten, müssen Sie zuerst Ihr Unternehmen mit Google Android Enterprise verbinden.Der Einrichtungsprozess dauert normalerweise einige Minuten und erfordert eine **E-Mail-Adresse Ihres Unternehmens** (zum Beispiel *name@enterprise.com*).
## Was passiert während der Einrichtung? - Sie werden zu Google Android Enterprise weitergeleitet. - Sie melden sich mit Ihrer Arbeits-E-Mail-Adresse an. - Google erstellt das Android Management-Konto für Ihr Unternehmen. - Sie werden zurück zu Cerberus Enterprise geleitet, um die Einrichtung abzuschließen. ## Wichtige Informationen Bitte verwenden Sie eine E-Mail-Adresse Ihres Unternehmens und keine private Gmail-Adresse. Diese E-Mail wird verwendet, um Ihr Google Admin-Konto für Android Management zu erstellen. ## Nächste Schritte Nach Abschluss der Einrichtung einen [**Enrollment-Token**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/enrollment-token "Enrollment tokens") erstellen und die geeignete Bereitstellungsmethode für das Gerät auswählen. # Apple Management-Einrichtung (APNs) Um Apple-Geräte zu verwalten, benötigt Cerberus Enterprise das Apple Push Notification Service (APNs)-Zertifikat.Verwenden Sie die Apple ID, die mit Ihrem Unternehmen verknüpft ist. Das APNs-Zertifikat ist ein Jahr gültig und muss jährlich erneuert werden, um die Geräteverwaltung fortzusetzen.
## Schritt 1: Laden Sie die CSR-Datei herunter Im Dashboard den Apple-Management-Einrichtungsprozess starten und die vom Cerberus Enterprise generierte, vom Anbieter signierte Certificate Signing Request (CSR)-Datei herunterladen. ## Schritt 2: Erstellen Sie das Push-Zertifikat im Apple-Portal - Melden Sie sich mit Ihrer Apple ID im Apple Push Certificates Portal an. - Klicken Sie auf *"Zertifikat erstellen"*. - Laden Sie die CSR-Datei aus Schritt 1 hoch. - Laden Sie das erstellte Push-Zertifikat herunter. Portal-Link: [https://identity.apple.com/](https://identity.apple.com/ "Apple Push Certificates Portal") ## Schritt 3: Laden Sie das Push-Zertifikat hoch Laden Sie das Push-Zertifikat, das Sie von Apple heruntergeladen haben, zurück in Cerberus Enterprise hoch, um die Einrichtung abzuschließen.Wenn das APNs-Zertifikat abläuft, funktioniert die Geräteverwaltung für Apple-Geräte nicht mehr, bis das Zertifikat erneuert wird.
## Nächste Schritte Nachdem APNs konfiguriert wurde, können Sie mit der Registrierung von Apple-Geräten fortfahren. Fahren Sie mit [**Apple-Gerätebereitstellung**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/apple-bereitstellungsubersicht "Apple provisioning overview"). # Überblick über die Gerätebereitstellung Cerberus Enterprise unterstützt die Geräteverwaltung sowohl für Android- als auch für Apple-Plattformen. Sie können jede Plattform unabhängig voneinander konfigurieren, je nachdem, welche Geräte Sie registrieren möchten. ## 1. Richten Sie die Plattforminstallation im Dashboard ab Bevor Sie Geräte registrieren, richten Sie die Plattforminstallation im Cerberus Enterprise-Dashboard ein. Wenn Ihr Konto noch nicht konfiguriert ist, führt Sie das Dashboard durch die erforderlichen Schritte. ### Android-Einrichtung (Google Android Enterprise) Für die vollständige Android-Einrichtungsprozedur, lesen Sie [**Android Management setup**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/einrichtung-von-android-management "Android Management setup"). - Gehen Sie zum Anmeldebildschirm und wählen Sie **Android Management einrichten**. - Sie werden zu Google weitergeleitet, um sich mit einem **Arbeitskonto** anzumelden und Android Enterprise zu autorisieren. - Nach der Autorisierung werden Sie zurück zu Cerberus Enterprise weitergeleitet, um die Einrichtung abzuschließen. ### Apple-Einrichtung (APNs-Push-Zertifikat) Für die vollständige Einrichtung von Apple, lesen Sie [**Apple Management setup (APNs)**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/apple-management-einrichtung-apns "Apple Management setup (APNs)"). - Gehen Sie zum Anmeldebildschirm und wählen Sie **Einrichtung von Apple Management**. - Laden Sie die CSR-Datei von Cerberus Enterprise herunter. - Erstellen Sie das APNs-Zertifikat im Apple Push Certificates Portal und laden Sie das resultierende Zertifikat herunter. - Laden Sie das heruntergeladene Zertifikat zurück in Cerberus Enterprise hoch, um die Verwaltung von Apple-Geräten zu aktivieren. ## 2. Geräte registrieren Nach Abschluss der Plattformkonfiguration wählen Sie die Registrierungsmethode, die zu Ihrem Gerätebesitzmodell und dem Betriebssystem passt. ### Android-Registrierung Für Android wird die Registrierung über [**Registrierungstoken**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/enrollment-token "Enrollment tokens"). Wählen Sie die passende Methode, je nachdem, ob das Gerät privat oder geschäftlich genutzt wird. - Für privat genutzte Geräte (BYOD / Arbeitsprofil): [folgen Sie dieser Anleitung](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/gerate-die-von-privatpersonen-genutzt-werden "Personally-owned devices"). - Firmenbesitz (Dienst- und Privatnutzung / Arbeitsprofil): [folgen Sie dieser Anleitung](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/gerate-die-dem-unternehmen-gehoren-und-sowohl-fur-die-arbeit-als-auch-fur-den-personlichen-gebrauch-bestimmt-sind "Company-owned devices for work and personal use"). - Geräte, die dem Unternehmen gehören (nur für geschäftliche Zwecke / vollständig verwaltet oder dediziert): [Folgen Sie dieser Anleitung](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/gerate-die-dem-unternehmen-gehoren-und-ausschliesslich-fur-geschaftliche-zwecke-bestimmt-sind "Company-owned devices for work use only"). - Zero-touch: [Folgen Sie dieser Anleitung](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/null-konfiguration "Zero-touch"). ### Apple-Registrierung Für Apple beginnen Sie mit der Konfiguration von APNs gemäß der oben beschriebenen Anleitung und folgen dann den [**Apple-Einrichtungsrichtlinien**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/apple-bereitstellungsubersicht "Apple provisioning overview"). # Gerätebereitstellung - Android # Unterstützte Geräte Im Allgemeinen sind alle Geräte mit Android 6 oder höher und Google Play Services mit Cerberus Enterprise kompatibel. Für eine bessere Benutzererfahrung empfehlen wir die Verwendung von Geräten, die die [Anforderungen von Android Enterprise](https://androidenterprisepartners.withgoogle.com/devices/) erfüllen.Einige Funktionen sind auf bestimmte Android-Versionen beschränkt oder können sich je nach Betriebssystemversion unterschiedlich verhalten. Weitere Informationen zu einer bestimmten Funktion finden Sie im Abschnitt [Richtlinien](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/chapter/richtlinien-android "Policies") der Dokumentation.
Cerberus Enterprise unterstützt sowohl von Unternehmen gestellte als auch privat genutzte Geräte und zwei Verwaltungsmodi: Gerätebesitzer und Profilbesitzer. **Privat** genutzte Geräte können über ein **Arbeitsprofil** verwaltet werden. Dies ermöglicht eine BYOD-Lösung, indem die Arbeitsdaten und -anwendungen der Mitarbeiter von persönlichen Daten und -anwendungen getrennt gehalten werden, was sowohl die Sicherheit als auch den Datenschutz verbessert. Diese Option ist geeignet für Geräte, die bereits im Besitz von Mitarbeitern sind und die Sie für den geschäftlichen Gebrauch in Ihre Organisation einbinden möchten. **Firmenbesessene** Geräte können ebenfalls über ein Arbeitsprofil verwaltet werden, aber Sie können auch die **vollständig verwaltete** Option wählen, die eine strengere Kontrolle über das Gerät ermöglicht. Firmenbesessene Geräte mit einem Arbeitsprofil sind geeignet, wenn Sie Mitarbeitern Unternehmensgeräte für die Arbeit zur Verfügung stellen, während gleichzeitig eine private Nutzung erlaubt wird. Vollständig verwaltete Geräte eignen sich besser für Geräte, die ausschließlich für geschäftliche Zwecke verwendet werden müssen, oder für **dedizierte Geräte** (COSU, corporate-owned single-use), wie z. B. Terminals. Weitere Informationen zur Gerätebereitstellung finden Sie auf der [Seite "Gerätebereitstellung" ](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/uberblick-uber-die-geratebereitstellung "Device provisioning overview").Der Tab "Android-Registrierungstoken" ist nur verfügbar, nachdem Sie die [**Android Management setup**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/einrichtung-von-android-management "Android Management setup") abgeschlossen haben.
## Wo finde ich die Anmelde-Token? Im Dashboard öffnen Sie **Anmelde-Token**. Je nach Konfiguration Ihres Kontos können auf der Seite mehrere Reiter angezeigt werden (Android-Token, Google-Sign-in-Anmeldung, manuelle Apple-Anmeldung und automatisierte Apple-Geräteanmeldung).Wenn Ihr Android Enterprise von einer verwalteten Google-Domain (Google Workspace) unterstützt wird, kann das Dashboard auch einen Reiter "**Authentifizierung mit Google-Anmeldung**" anzeigen. Für Details zur Aktivierung und Verwendung finden Sie weitere Informationen unter [**Authentifizierung mit Google-Anmeldung**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/authentifizieren-sie-mit-der-google-anmeldung "Authenticate Using Google enrollment").
## Liste der Anmelde-Token (Android) Der Tab "Android-Token" zeigt eine Tabelle aller Token. Durch Klicken auf eine Zeile wird die Detailseite des Tokens geöffnet. ### Spalten - **ID**: interner Token-Identifikator. - **Status**: **Verfügbar**, **Verwendet** (Einmal-Token bereits verwendet) oder **Abgelaufen**. - **Ablaufdatum**: Ablaufdatum und -uhrzeit oder **niemals**. - **Richtlinie**: Die dem Token zugewiesene Richtlinie (der UI-Tooltipp zeigt ebenfalls die Richtlinien-ID). - **Private Nutzung**: Erlaubt / Nicht erlaubt / Exklusives Gerät. - **Erlaubte Nutzung**: Mehrfach oder nur einmalig. - **Benutzer**: Optionaler Benutzer, der Geräten zugewiesen werden kann, die mit einem Token registriert wurden. ### Aktionen - Jede Zeile hat eine Löschfunktion (**Registrierungstoken löschen**). Das Löschen ist deaktiviert, wenn die Lizenz abgelaufen ist. - Die Tabelle unterstützt die Auswahl mehrerer Zeilen: Sie können den Auswahmodus aktivieren, mehrere Token auswählen und diese mit **Ausgewählte Token löschen** löschen. - Verwenden Sie die Aktualisierungsfunktion, um die Liste neu zu laden. Die Tabelle ist paginiert (10/25/50 Elemente pro Seite). ## Erstellen Sie einen neuen Registrierungstoken Im Tab "Android-Token" klicken Sie auf **Neuen Registrierungstoken erstellen**, um die Seite zur Token-Erstellung zu öffnen. Wenn Ihre Lizenz abgelaufen ist, ist die Schaltfläche "Erstellen" deaktiviert. ### Token-Optionen #### 1. Richtlinie **Erforderlich.** Die Richtlinie wird automatisch auf alle Geräte angewendet, die mit diesem Token registriert wurden. Wählen Sie eine Ihrer [**Android-Richtlinien**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/chapter/richtlinien-android "Policies"). Wenn Sie noch keine Richtlinie haben, erstellen Sie zuerst eine. #### 2. Benutzer Optional. Wenn eingestellt, werden neu registrierte Geräte automatisch diesem Benutzer zugeordnet. #### 3. Persönliche Nutzung Legt fest, ob die persönliche Nutzung auf einem Gerät erlaubt ist, das mit diesem Anmelde-Token konfiguriert wurde: - **Erlaubt**: Geeignet für privat genutzte Geräte (Arbeitsprofil) und firmeneigene Geräte für geschäftliche und private Nutzung. - **Nicht erlaubt**: Geeignet für firmeneigene Geräte, die ausschließlich für geschäftliche Zwecke verwendet werden (vollständig verwaltet). - **Dediziertes Gerät**: Geeignet für Kiosk- oder spezielle Geräte (das Gerät ist nicht mit einem einzelnen Benutzer verknüpft). #### 4. Erlaubte Nutzungsmöglichkeiten Wählen Sie, ob das Token mehrfach (**mehrmals**) oder nur einmal (**nur einmal**) verwendet werden darf. #### 5. Ablaufdatum Wählen Sie die Einheit für das Ablaufdatum (**Minuten**, **Stunden**, **Tage** oder **Nie**). Wenn kein Wert für "Nie" ausgewählt wurde, geben Sie den Ablaufwert ein. Der zulässige Bereich hängt von der ausgewählten Einheit ab und kann bis zu 10.000 Tage betragen. ### Optionen für die Gerätebereitstellung (nur QR-Code) Diese zusätzlichen Optionen sind im QR-Code enthalten und werden während der Bereitstellung von vollständig verwalteten Geräten angewendet, die durch Scannen des QR-Codes registriert wurden. Sie gelten nicht für Arbeitsprofile oder Geräte, die mit der Registrierungs-URL oder dem Token registriert wurden. #### Wi-Fi-Konfiguration Verwenden Sie dies, um ein Gerät automatisch mit einem Wi-Fi-Netzwerk während der Einrichtung zu verbinden, sodass es die Verwaltungs-App herunterladen und initialisieren kann. Verfügbare Felder sind **SSID**, **Versteckter SSID**, **Sicherheit** und (falls erforderlich) **Passphrase**. Sie können auch einen HTTP-Proxy (**Proxy**) konfigurieren und, abhängig vom Modus, **Host**/**Port**, **PAC-URI** und **Host für die Proxy-Umgehung** festlegen. #### Andere Optionen Weitere Optionen umfassen **die Ländereinstellung**, **die Zeitzone** und **die Option, die Verschlüsselung zu überspringen**. ## Details zum Anmelde-Token Wenn Sie ein Token öffnen, zeigt die Detailseite die Token-Konfiguration und Nutzungsdetails an: - **Status**, **Ablaufdatum**, **Verwendung**, **Persönliche Nutzung**, und **Erlaubte Nutzungen**. - **Token**: Der Rohwert des Anmelde-Tokens (kopiermöglich). - **Anmelde-URL**: Eine Google Android Enterprise Anmelde-URL (zum Kopieren und Versenden per E-Mail). - **QR-Code**: Wird auf der rechten Seite der Seite angezeigt und dient zur Registrierung von Geräten mit vollständiger Verwaltung.Für detaillierte Anleitungen zur Gerätekonfiguration, folgen Sie den Android-Einrichtungsrichtlinien: [**Privatgeräte**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/gerate-die-von-privatpersonen-genutzt-werden "Personally-owned devices"), [**Firmenbesitzene Geräte für Arbeit und Privat**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/gerate-die-dem-unternehmen-gehoren-und-sowohl-fur-die-arbeit-als-auch-fur-den-personlichen-gebrauch-bestimmt-sind "Company-owned devices for work and personal use"), [**Firmenbesitzene Geräte nur für den beruflichen Gebrauch**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/gerate-die-dem-unternehmen-gehoren-und-ausschliesslich-fur-geschaftliche-zwecke-bestimmt-sind "Company-owned devices for work use only"), und [**Zero-Touch**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/null-konfiguration "Zero-touch").
# Geräte, die von Privatpersonen genutzt werden| Android-Version |
| 6.0+ |
| Android-Version |
| 6.0+ |
| Android-Version |
| 6.0+ |
| Android-Version |
| 8.0+ |
| Android-Version |
| 7.0+ |
| Android-Version |
| 5.1+ |
| Android-Version | Arbeitsbereich | Vollständig verwaltetes Gerät | Exklusiv zugewiesenes Gerät |
| 8.0+ (Pixel 7.1+) | ✓ | ✓ | ✓ |
Diese Funktion ist nur für Android-Geräte verfügbar, die in einer verwalteten Google-Domäne (Google Workspace) registriert sind.
## Wo finde ich das? Im Dashboard öffnen Sie **Enrollment-Token** und wählen Sie den Reiter **Authentifizierung mit Google Enrollment**. Der Reiter wird nur angezeigt, wenn Android Management konfiguriert ist und die Google Workspace-Integration für Ihr Unternehmen verfügbar ist. ## Aktivieren (oder deaktivieren) Sie die Google-Authentifizierung Die Google-Authentifizierung ist über die **Google Admin-Konsole** aktiviert. Nachdem Sie die Einstellung geändert haben, kehren Sie zu Cerberus Enterprise zurück und verwenden Sie **Status aktualisieren**, um die aktuelle Konfiguration neu zu laden. 1. Melden Sie sich mit einem Administrator-Konto in Ihrer [**Google Admin-Konsole**](https://admin.google.com/) an. 2. Öffnen Sie **Geräte**. 3. Gehen Sie zu **Mobile Geräte und Endpunkte** → **Einstellungen** → **Integrationen von Drittanbietern**. 4. Finden Sie die **Android EMM-Integration** für Cerberus Enterprise und öffnen Sie diese. 5. Klicken Sie auf **Verwalten von EMM-Anbietern**. 6. Aktivieren Sie **Authentifizierung mit Google**, um die Google-Authentifizierung für die Anmeldung zu aktivieren oder zu deaktivieren. 7. Klicken Sie auf **Speichern**. 8. Gehen Sie zurück zum Cerberus Enterprise-Dashboard und klicken Sie auf **Status aktualisieren** im Reiter **Authentifizierung mit Google-Registrierung**. ## Google-Authentifizierungs-Registrierungstoken Wenn die Google-Authentifizierung aktiviert ist, zeigt das Dashboard ein spezielles Registrierungstoken, das für diesen Registrierungsmodus verwendet wird. Die Seite kann einen **QR-Code**, einen **Registrierungstoken-Wert** und eine **Registrierungs-URL** anzeigen (die kopiert und per E-Mail versendet werden kann). ### Wichtige Optionen - **Persönliche Nutzung zulassen**: Steuert, ob das Token Geräte sowohl für geschäftliche als auch für private Zwecke (Work-Profile-Szenarien) oder nur für geschäftliche Zwecke (vollständig verwaltete/dedizierte Szenarien) registrieren kann. - **Fallback-Standardrichtlinie**: Die Richtlinie, die angewendet wird, wenn dem Benutzer, der das Gerät registriert, keine spezifische Google-Authentifizierungs-Standardrichtlinie zugewiesen ist. ### Richtlinien-Interaktion Die Richtlinieneinstellung **Authentifizierung bei der Einrichtung des Arbeitskontos** (workAccountSetupConfig.authenticationType) steuert, wie Benutzer während der Einrichtung des Arbeitskontos authentifiziert werden, aber die Einstellung in der Google Admin-Konsole **Authentifizierung mit Google** und der Typ des Anmelde-Tokens können dennoch eine Authentifizierung erfordern. Für Geräte, die bereits registriert sind, gilt diese Richtlinie nur, wenn das Gerät mit einem verwalteten Google Play-Konto verwaltet wird (d. h. die Registrierung erfolgte ohne **Authentifizierung mit Google**).Einige Aktionen (z. B. das Ändern von Token-Optionen) können deaktiviert sein, wenn die Lizenz abgelaufen ist.
## Ein Gerät registrieren Während der Registrierung wird der Benutzer aufgefordert, sich mit seinem Google Workspace-Konto zu authentifizieren. Nach einer erfolgreichen Registrierung wird das Gerät mit dem authentifizierten Benutzer verknüpft. ### Arbeitsprofil (persönlich genutzte Geräte) - Teilen Sie die **Anmelde-URL** mit dem Benutzer. Wenn der Benutzer sie auf seinem Android-Gerät öffnet, wird er durch die Einrichtung des Arbeitsprofils und die Google-Authentifizierung geführt. - Alternativ kann der Benutzer die Einrichtung über die Android-Einstellungen starten und den Assistenten zur Konfiguration des Arbeitsprofils auswählen. Anschließend wird er aufgefordert, den QR-Code zu scannen oder den Anmelde-Token einzugeben. ### Geräte, die dem Unternehmen gehören - **Methode mit QR-Code**: Bei einem neuen oder auf Werkseinstellungen zurückgesetzten Gerät mehrmals an derselben Stelle auf den Bildschirm tippen, bis der QR-Code-Aufforderung angezeigt wird, und dann den im Dashboard angezeigten QR-Code scannen. - **Methode zur Geräteidentifizierung** (wenn das Scannen von QR-Codes nicht möglich ist): Folgen Sie dem Einrichtungsassistenten, verbinden Sie sich mit einem Wi-Fi-Netzwerk und geben Sie dann, wenn Sie zur Anmeldung aufgefordert werden, **afw#setup** ein und fahren Sie mit dem Scannen des QR-Codes oder der Eingabe des Registrierungstokens fort. Authentifizieren Sie sich anschließend mit dem Google Workspace-Konto, wenn Sie dazu aufgefordert werden. Für allgemeine Android-Einrichtungsprozesse (Arbeitsprofil vs. vollständig verwaltetes Gerät) finden Sie weitere Informationen in den Standard-Android-Registrierungsseiten dieses Handbuchs. # Gerätebereitstellung - Apple # Apple-Bereitstellungsübersicht Cerberus Enterprise unterstützt die Registrierung und Verwaltung von Apple-Geräten. Für die Apple-Bereitstellung ist ein APNs-Zertifikat erforderlich, und die Registrierung kann mit verschiedenen Methoden durchgeführt werden. ## Voraussetzung: Konfigurieren Sie die Apple-Verwaltung (APNs) Bevor Sie ein Apple-Gerät registrieren, konfigurieren Sie [**die Apple-Verwaltung (APNs)**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/apple-management-einrichtung-apns "Apple Management setup (APNs)"). ## Wählen Sie eine Anmeldemethode ### Manuelle Anmeldung (Anmeldeprofil) Diese Methode bietet eine Anmelde-URL und eine Konfigurationsprofil-Datei (mobileconfig), die Sie auf dem Gerät installieren. Lesen Sie die [**Apple manuelle Anmeldung**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/manuelle-apple-gerateregistrierung-registrierungsprofil "Apple manual enrollment"). ### Automatische Geräteanmeldung (ADE) Diese Methode integriert sich in Apple Business Manager, um die Anmeldung für gerätebasierte Geräte zu automatisieren. Lesen Sie [**Apple Automated Device Enrollment (ADE)**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/apple-automated-device-enrollment-ade "Apple Automated Device Enrollment").Sie können die manuelle Registrierung und ADE parallel nutzen, abhängig von Ihrer Geräteflotte und Ihrem Beschaffungsprozess.
# Manuelle Apple-Geräteregistrierung (Registrierungsprofil) Cerberus Enterprise unterstützt die manuelle Registrierung von Apple-Geräten mithilfe einer Registrierungs-URL und einer Profil-Datei.Die manuelle Registrierung ist verfügbar, wenn Apple Management (APNs) konfiguriert ist. Wenn Sie die APNs-Einrichtung noch nicht abgeschlossen haben, lesen Sie [**Apple Management setup (APNs)**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/apple-management-einrichtung-apns "Apple Management setup (APNs)").
## Rufen Sie die Anmelde-URL und das Profil ab - Öffnen Sie den **Anmelde-**bereich im Dashboard und wählen Sie den **Tab für die manuelle Apple-Anmeldung (Anmeldeprofil)**. - Kopieren Sie die **Anmelde-URL** oder verwenden Sie die "per E-Mail versenden"-Funktion. - Laden Sie das **Anmelde-Profil** (mobileconfig-Datei) herunter. ## So registrieren Sie ein iPhone oder iPad iOS/iPadOS 15.0 oder höher 1. Senden Sie die Enrollment-Profil-Datei (*enroll.mobileconfig*) an das Gerät, oder öffnen Sie die Enrollment-URL im Safari-Browser auf dem Gerät. 2. Öffnen Sie auf dem Gerät *Einstellungen* → *Profil heruntergeladen* → *Installieren* und befolgen Sie dann die Anweisungen. 3. Nach der Anmeldung können Sie den Status in *Einstellungen* → *Allgemein* → *VPN & Geräteverwaltung* (oder *Profile & Geräteverwaltung*).Installieren Sie nur Enrollment-Profile, die Sie von Ihrem Cerberus Enterprise-Dashboard erhalten haben.
# Apple Automated Device Enrollment (ADE) Automated Device Enrollment (ADE) integriert sich mit Apple Business Manager (ABM), um firmeneigene Geräte automatisch zu registrieren, wenn sie zum ersten Mal eingeschaltet werden (oder nach einem Werksreset).ADE erfordert zunächst die Konfiguration von Apple Management (APNs). Falls erforderlich, lesen Sie [**die Anleitung zur Einrichtung von Apple Management (APNs)**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/apple-management-einrichtung-apns "Apple Management setup (APNs)").
## Wie können Geräte automatisch registrieren? 1. Geräte Ihrem Apple Business Manager-Konto hinzufügen. 2. Nachdem Sie neue Geräte zu Ihrem ABM-Konto hinzugefügt haben, synchronisieren Sie diese in Cerberus Enterprise im Bereich **Geräte** mit der Aktion **Synchronisieren aus ABM**. 3. Erstellen Sie ein ADE-Profil im Dashboard unter **Anmeldung** → **Apple Automated Device Enrollment (ADE)** → **Neues ADE-Profil**. 4. Weisen Sie ein ADE-Profil einem Gerät über das Feld "**ADE-Profil**" auf der Detailseite des Geräts zu. ## Einstellungen für ADE-Profile (Überblick) Ein ADE-Profil steuert, wie das Gerät registriert wird und wie der Setup-Assistent funktioniert. In Cerberus Enterprise umfasst ein ADE-Profil einen Namen, eine optionale anfängliche Richtlinie und einige Registrierungsoptionen. ### Profilname Ein für den Benutzer lesbarer Name für das Profil (zum Beispiel *Standard-ADE-Profil*). ### Richtlinie Die Richtlinie galt anfänglich für registrierte Geräte. Sie können eine Richtlinie zuweisen, wenn Sie ein neues ADE-Profil erstellen. ### Anmeldeoptionen - **MDM-Entfernung**: Steuert, ob das MDM-Profil vom Gerät entfernt werden kann. - **Gerätekopplung erlauben**: Steuert, ob die Gerätekopplung erlaubt ist (von Apple in iOS 13 veraltet). - **Automatische Assistenten-Konfiguration**: Konfiguriert den Setup-Assistenten automatisch und führt ihn durch alle Bildschirme. - **Warten, bis das Gerät konfiguriert ist**: Blockiert den Setup-Assistenten, bis der Server das Gerät als konfiguriert markiert. - **Pflichtfeld**: verhindert das Überspringen der Profilinstallation während der Einrichtung. - **Mehrbenutzer (Shared iPad)**: Konfiguriert das Gerät für den Modus "Shared iPad". - **Überwacht**: Fordert die Überwachung für das Gerät an.Nachdem einem Gerät ein ADE-Profil zugewiesen wurde, ist es bereit für die automatische Registrierung.
# Überblick über Richtlinien Der Bereich **Richtlinien** im Dashboard (*Dashboard* → *Richtlinien*) zeigt alle Richtlinien in Ihrem Konto an und ermöglicht es Ihnen, diese zu erstellen, zu kopieren, zu bearbeiten und zu löschen. ## Richtlinienliste Die Richtlinien werden in einer Tabelle angezeigt. Durch Klicken auf eine Zeile wird der entsprechende Richtlinien-Editor geöffnet. ### Spalten - **Id**: interne Richtlinien-Kennung. - **MDM**: die Plattform für die Richtlinie (Android oder Apple). - **Name**: Name der Richtlinie. - **Beschreibung**: Beschreibung der Richtlinie. - **Geräte**: Anzahl der aktuell dieser Richtlinie zugewiesenen Geräte. ### Filter und Suche - Wenn sowohl Android-Management als auch Apple-Management konfiguriert sind, können Sie die Liste nach **Alle**, **Android** oder **Apple** filtern. - Sie können die Funktion "**Suche**" aktivieren und nach Richtlinien anhand ihres Namens oder ihrer Beschreibung suchen. ### Aktualisieren und Paginierung - Verwenden Sie die Aktualisierungsfunktion, um die Liste neu zu laden. - Die Tabelle ist paginiert (10/25/50 Elemente pro Seite). ## Eine neue Richtlinie erstellen Am unteren Rand der Seite "Richtlinien" können Sie eine neue Richtlinie erstellen. Je nachdem, welche Plattform in Ihrem Konto konfiguriert ist, sehen Sie möglicherweise eine oder beide dieser Optionen: - **Neue Android-Richtlinie erstellen** - **Erstellen Sie eine neue Richtlinie für Apple-Geräte**Wenn Ihre Lizenz abgelaufen ist, werden die Erstellung von Richtlinien (und andere Schreibvorgänge) deaktiviert.
## Richtlinien kopieren und löschen Jede Richtlinienzeile hat ein Aktionenmenü, das eine Option zum **Richtlinie kopieren** sowie eine Option zum **Richtlinie löschen** enthält. ### Warnhinweise zum Löschen von Richtlinien Beim Löschen einer Richtlinie können je nach Verwendung der Richtlinie zusätzliche Warnhinweise im Dashboard angezeigt werden. - Wenn die Richtlinie Geräten zugewiesen ist, führt das Löschen dazu, dass diese Geräte abgemeldet werden und ihre Apps sowie Daten gelöscht werden. - Wenn die Richtlinie Enrollment-Token zugewiesen ist, können diese Token möglicherweise die Registrierung nicht mehr abschließen. - Wenn die Richtlinie als Standard für die Google-Authentifizierungsregistrierung festgelegt ist (global oder für bestimmte Benutzer), kann das Löschen dazu führen, dass Registrierungen fehlschlagen. ### Mehrere Richtlinien löschen Die Liste der Richtlinien unterstützt die Auswahl mehrerer Einträge, um diese in einem Schritt zu löschen. Im Mehrfachauswahlmodus können Sie mehrere Richtlinien auswählen und diese mit einer einzigen Aktion löschen.Die Massenlöschfunktion ist nur aktiviert, wenn alle ausgewählten Richtlinien zur selben Plattform gehören (entweder alle für Android oder alle für Apple).
## Nächste: Richtlinieneinstellungen bearbeiten Die Liste der Richtlinien ist der Ausgangspunkt. Um Richtlinieneinstellungen zu konfigurieren, verwenden Sie die entsprechende Editor-Dokumentation: [**Richtlinien → Android**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/chapter/richtlinien-android "Android policies") und [**Richtlinien → Apple**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/chapter/richtlinien-apple "Apple policies").Richtlinien, auf die sich Enrollment-Token beziehen, werden automatisch während der Geräteanmeldung angewendet.
# Richtlinien - Android # Zusammenfassung Android-Richtlinien sind die zentralen Elemente des Systems: Sie definieren die Regeln, die auf verwalteten Geräten angewendet und durchgesetzt werden. Sie können Ihre Richtlinien im Abschnitt **Richtlinien** des Dashboards einsehen und neue erstellen. Um eine Android-Richtlinie zu öffnen, klicken Sie auf die entsprechende Zeile in der Tabelle: das System öffnet die Seite "**Richtlinien-Editor**". Eine Richtlinie kann mit einem [Anmelde-Token](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/enrollment-token "Enrollment tokens") verknüpft werden, sodass sie automatisch auf Geräte während des Bereitstellungsprozesses angewendet wird. Sie können auch die einem Gerät zugewiesene Richtlinie nach der Bereitstellung ändern.Jedes Gerät kann jeweils nur mit einer einzigen Richtlinie verknüpft werden.
Viele Richtlinienoptionen gelten nur für bestimmte Gerätetypen (vollständig verwaltet, dediziert, Arbeitsbereich) und Android-Versionen. Nicht unterstützte Einstellungen können vom Gerät ignoriert werden oder als nicht konform gemeldet werden.
## Layout des Richtlinien-Editors Der Richtlinien-Editor ist als eine Reihe von erweitbaren Abschnitten aufgebaut. Am oberen Rand der Seite können Sie jederzeit Folgendes bearbeiten: - **Name** (erforderlich) - **ID** (nur lesbar) - **Beschreibung** (optional) Die folgenden Abschnitte entsprechen den Bedienfeldern des Richtlinien-Editors (z. B.: App-Verwaltung, Sicherheit, Netzwerk, System, Private Nutzung, Richtlinien für mehrere Profile und mehr). Verwenden Sie die Kapitel dieser Anleitung, um jedes Bedienfeld im Detail zu verstehen. ## Speichern, löschen und zugeordnete Geräte Verwenden Sie **Speichern**, um Ihre Änderungen anzuwenden. Der Button ist deaktiviert, wenn es keine ausstehenden Änderungen gibt oder wenn die Lizenz abgelaufen ist. Wenn Sie eine bestehende Richtlinie geöffnet haben (sie hat eine ID), zeigt die Seite eine **Richtlinie löschen**-Aktion und eine **Verbundene Geräte**-Liste am unteren Rand, sodass Sie sehen können, wie viele Geräte die Richtlinie derzeit verwenden. # App-Verwaltung In diesem Abschnitt können Sie Richtlinien für die Verfügbarkeit, Installation, Aktualisierung und das Berechtigungsmanagement von Apps festlegen.Verwaltete Google Play-Konten werden automatisch erstellt, wenn Geräte eingerichtet werden.
#### 1. Play Store-Modus Dieser Modus steuert, welche Apps dem Benutzer im Play Store angezeigt werden und wie sich das Gerät verhält, wenn Apps aus der Richtlinie entfernt werden. **Whitelist (Standard)**: Nur Apps, die in der Richtlinie enthalten sind, sind verfügbar, und alle Apps, die nicht in der Richtlinie enthalten sind, werden automatisch vom Gerät deinstalliert. Der Play Store zeigt nur verfügbare Apps an. **Blacklist**: Alle Apps sind verfügbar, und Apps, die nicht auf dem Gerät sein sollen, müssen explizit in der App-Richtlinie als **gesperrt** gekennzeichnet werden. Der Play Store zeigt alle Apps an, außer den gesperrten. #### 2. Richtlinie für nicht vertrauenswürdige Apps Die Richtlinie für nicht vertrauenswürdige Apps (Apps aus unbekannten Quellen), die auf dem Gerät durchgesetzt wird. Diese Option steuert die Android-Systemeinstellung, die bestimmt, ob ein Benutzer Apps außerhalb des Play Store installieren kann (Sideloading). **Nicht zulassen (Standard)**: Deaktivieren Sie die Installation von Apps aus unbekannten Quellen auf dem gesamten Gerät. **Nur für das persönliche Profil**: Bei Geräten mit einem Arbeits-Profil, erlauben Sie die Installation von Apps aus unbekannten Quellen nur im persönlichen Profil des Geräts. **Erlauben**: Erlaubt die Installation nicht vertrauenswürdiger Apps auf dem gesamten Gerät. #### 3. Google Play Protect Ob die App-Überprüfung durch Google Play Protect erzwungen wird. **Erzwingen (Standard)**: Aktiviert die App-Überprüfung zwangsweise. **Benutzerwahl**: Ermöglicht dem Benutzer die Auswahl, ob die App-Überprüfung aktiviert werden soll. #### 4. Standard-Berechtigungsrichtlinie Die Richtlinie für die Vergabe von Berechtigungsanfragen an Apps zur Laufzeit. **Aufforderung (Standard)**: Fordert den Benutzer auf, eine Berechtigung zu erteilen. **Berechtigung erteilen**: Eine Berechtigung automatisch erteilen. **Verweigern**: Eine Berechtigung automatisch verweigern. #### 5. App-Funktionen Legt fest, ob Apps auf vollständig verwalteten Geräten oder in Arbeitsbereichen Berechtigungen für den Zugriff auf App-Funktionen anfordern dürfen. Erfordert Android 16 oder höher. **Erlaubt (Standard)**: Apps auf vollständig verwalteten Geräten oder in Arbeitsbereichen können App-Funktionen freigeben. **Nicht erlaubt**: Apps auf vollständig verwalteten Geräten oder in Arbeitsbereichen können keine App-Funktionen freigeben. #### 6. Installierte, deaktivierte Apps Ob die Installation von Apps durch den Benutzer deaktiviert ist. #### 7. Deinstallation von Apps deaktiviert Ist die Deinstallation von Anwendungen durch den Benutzer deaktiviert? #### 8. Berechtigungsrichtlinien Explizite Berechtigungen oder Gruppenfreigaben bzw. -verweigerungen für alle Apps. Diese Werte überschreiben die Einstellung der **Standard-Berechtigungsrichtlinie**. Verwenden Sie **die Berechtigungsrichtlinie**, um Einträge zu erstellen und diese mit der Löschfunktion zu entfernen. Jeder Eintrag enthält: **Android-Berechtigung/Gruppe**: Die Android-Berechtigung oder -Gruppe (erforderlich), z. B. **android.permission.READ\_CALENDAR** oder **android.permission\_group.CALENDAR**. **Richtlinie**: Erlauben / Verweigern / Abfragen (verwendet dieselben Richtlinienoptionen wie die **Standardberechtigungsrichtlinie**). #### 9. Anwendungen Liste der Anwendungen, die in der Richtlinie enthalten sein müssen. Das Verhalten des Inhalts der Liste hängt vom Wert ab, der für den **Google Play Store-Modus** eingestellt wurde. Wenn der **Play Store-Modus** auf **Whitelist** eingestellt ist, sind nur Apps verfügbar, die in der Richtlinie enthalten sind, und alle Apps, die nicht in der Richtlinie enthalten sind, werden automatisch vom Gerät entfernt. Wenn der **Play Store-Modus** auf "**Blacklist**" eingestellt ist, sind alle Apps verfügbar, und alle Apps, die nicht auf dem Gerät sein sollten, müssen explizit in der Anwendungsrichtlinie als **gesperrt** markiert werden. Um eine neue App hinzuzufügen, klicken Sie auf die **Anwendungen hinzufügen** Schaltfläche (oder das **Anwendungen hinzufügen** Symbol), wählen Sie dann die App aus dem Play Store und klicken Sie auf die **Auswählen** Schaltfläche in der App-Karte.Alle Apps, die im Play Store Ihres Landes veröffentlicht sind, können standardmäßig ausgewählt werden. Um eigene private oder Web-Apps auszuwählen, müssen Sie diese zuerst in das System hochladen. Weitere Informationen finden Sie auf der [**Private Apps**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/private-apps "Private apps")-Seite.
Jede App kann mit ihren eigenen Einstellungen konfiguriert werden, die visuell in einer Karte dargestellt sind: ##### 9.1. Installationsart Der Art der Installation, die für eine App durchgeführt werden soll. **Verfügbar**: Die App kann installiert werden. **Vorinstalliert**: Die App wird automatisch installiert und kann vom Benutzer entfernt werden. **Vorgeinstalliert**: Die App wird automatisch installiert und kann nicht vom Benutzer entfernt werden. **Blockiert**: Die App ist gesperrt und kann nicht installiert werden. Wenn die App unter einer früheren Richtlinie installiert war, wird sie deinstalliert. **Erforderlich für die Einrichtung**: Die App wird automatisch installiert und kann vom Benutzer nicht entfernt werden. Sie verhindert den Abschluss der Einrichtung, bis die Installation abgeschlossen ist. **Kioskmodus**: Die App wird automatisch im Kioskmodus installiert. Sie wird als bevorzugte Start-App festgelegt und für den Sperrmodus zugelassen. Die Gerätekonfiguration wird erst abgeschlossen, wenn die App installiert ist. Nach der Installation können Benutzer die App nicht deinstallieren. Sie können diesen **Installationsmodus** nur für eine App pro Richtlinie festlegen. Wenn dieser Parameter in der Richtlinie vorhanden ist, wird die Statusleiste automatisch deaktiviert. Weitere Informationen finden Sie auf der entsprechenden [**Seite zum Kioskmodus**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/kioskmodus "Kiosk mode"). ##### 9.2. Installationsbeschränkungen Definiert eine Reihe von Einschränkungen für die App-Installation. Wenn mehrere Einschränkungen ausgewählt sind, müssen alle erfüllt sein, damit die App installiert werden kann.Diese Option wird nur angezeigt, wenn der **Installationsmodus** auf **Vorinstalliert** oder **Erzwungene Installation** eingestellt ist.
**Netzwerk ohne Datenvolumen**: Installieren Sie die App nur, wenn das Gerät mit einem Netzwerk ohne Datenvolumen verbunden ist (z. B. Wi-Fi). **Laden**: Installieren Sie die App nur, wenn das Gerät gerade aufgeladen wird. **Leerlauf**: Installieren Sie die App nur, wenn das Gerät sich im Leerlauf befindet. ##### 9.3. Automatischer Update-Modus Steuert den automatischen Update-Modus für die App. **Standardmäßig**: Die App wird automatisch mit geringer Priorität aktualisiert, um die Auswirkungen auf den Benutzer zu minimieren. Die App wird aktualisiert, wenn alle folgenden Bedingungen erfüllt sind: (1) das Gerät wird nicht aktiv genutzt, (2) das Gerät ist mit einem Netzwerk ohne Datenverbrauch verbunden, (3) das Gerät wird geladen. Der Benutzer wird innerhalb von 24 Stunden nach der Veröffentlichung eines neuen Updates durch den Entwickler über ein neues Update informiert, danach wird die App beim nächsten Mal aktualisiert, wenn die oben genannten Bedingungen erfüllt sind. **Verschoben**: Die App wird maximal 90 Tage lang nicht automatisch aktualisiert, nachdem sie veraltet ist. 90 Tage nachdem die App veraltet ist, wird die neueste verfügbare Version automatisch mit niedriger Priorität installiert (siehe **Standard-**Auto-Update-Modus). Nach dem Update wird die App nicht erneut automatisch aktualisiert, bis sie 90 Tage nach dem erneuten Veralten aktualisiert ist. Der Benutzer kann die App jederzeit manuell aus dem Play Store aktualisieren. **Hohe Priorität**: Die App wird so schnell wie möglich aktualisiert. Es werden keine Einschränkungen angewendet. Das Gerät wird sofort über eine neue Aktualisierung informiert, sobald diese verfügbar ist. ##### 9.4. Minimale Versionsnummer Die minimale Version der App, die auf dem Gerät ausgeführt wird. Wenn ein Wert festgelegt ist, versucht das Gerät, die App auf mindestens diese Versionsnummer zu aktualisieren. Wenn die App nicht auf dem neuesten Stand ist, enthält das Gerät einen **Nicht-Konformitäts-Hinweis** mit **Nicht-Konformitäts-Grund**, der auf **APP\_NOT\_UPDATED** gesetzt ist. Die App muss bereits im Google Play Store mit einer Versionsnummer veröffentlicht sein, die größer oder gleich diesem Wert ist. Maximal 20 Apps dürfen pro Richtlinie eine minimale Versionsnummer angeben. ##### 9.5. Delegierte Berechtigungen Die Berechtigungen, die der App von der Android-Geräterichtlinie zugewiesen wurden. Sie können anderen Apps eine Auswahl an speziellen Android-Berechtigungen gewähren: **Zertifikatsinstallation**: Ermöglicht den Zugriff auf die Installation und Verwaltung von Zertifikaten. **Verwaltete Konfigurationen**: Ermöglicht den Zugriff auf die Verwaltung von verwalteten Konfigurationen. **Deinstallation blockieren**: Ermöglicht den Zugriff auf die Funktion zum Blockieren der Deinstallation. **Berechtigungen**: Ermöglicht den Zugriff auf die Berechtigungsrichtlinie und den Status der Berechtigungsvergabe. **Paketberechtigungen**: Ermöglicht den Zugriff auf den Status der Paketberechtigungen. **System-App**: Ermöglicht den Zugriff zum Aktivieren von System-Apps. ##### 9.6. Bevorzugtes Netzwerk Der bevorzugte Netzwerkdienst, der für diese App verwendet werden soll. Wenn dieser Wert festgelegt ist, verwendet die App bei Verfügbarkeit den angegebenen Unternehmens-Netzwerkslice für ihre Verbindungen. Dieser muss mit einem in der **5G-Netzwerkslice-Konfiguration** des **Mobilfunk-**Bereichs konfigurierten Netzwerkslice übereinstimmen. 9.7. Standard-Berechtigungsrichtlinie Die Standardrichtlinie gilt für alle Berechtigungen, die von der App angefordert werden. Falls angegeben, überschreibt dies die auf Richtlinienebene definierte **Standardberechtigungsrichtlinie**, die für alle Apps gilt. Sie überschreibt jedoch nicht die **Berechtigungsrichtlinien**, die für alle Apps gelten. **Aufforderung (Standard)**: Fordert den Benutzer auf, eine Berechtigung zu erteilen. **Berechtigung erteilen**: Eine Berechtigung automatisch erteilen. **Verweigern**: Eine Berechtigung automatisch verweigern. ##### 9.8. Verbundene Arbeits- und persönliche Anwendungen Steuert, ob die App über die Work- und Personalprofile eines Geräts hinweg kommunizieren darf, vorbehaltlich der Zustimmung des Benutzers (Android 11+). **Nicht erlaubt (Standard)**: Verhindert die Kommunikation der App zwischen verschiedenen Profilen. **Erlaubt**: Ermöglicht der App die Kommunikation zwischen verschiedenen Profilen, nachdem die Benutzererlaubnis erteilt wurde. ##### 9.9. Ausnahme für die Always-On-VPN-Sperre Gibt an, ob die App Netzwerkverbindungen nutzen darf, wenn kein VPN verbunden ist und die **Sperre aktiviert** ist. Nur auf Geräten mit Android 10 und höher unterstützt. **Erzwungen (Standard)**: Die App respektiert die Einstellung für das Always-On-VPN, die aktiviert wurde. **Ausgenommen**: Die App unterliegt nicht der Einstellung für das Always-On-VPN. ##### 9.10. Arbeitsbereich-Widgets Gibt an, ob die im Arbeitsbereich installierte App erlaubt ist, Widgets zum Home-Bildschirm hinzuzufügen. **Erlaubt**: Die Anwendung darf Widgets zum Home-Bildschirm hinzufügen. **Nicht erlaubt**: Die Anwendung darf keine Widgets zum Home-Bildschirm hinzufügen. ##### 9.11. Benutzereinstellungen für die Steuerung Gibt an, ob die Benutzersteuerung für eine bestimmte App zulässig ist. Die Benutzersteuerung umfasst Benutzeraktionen wie das erzwungene Beenden und Löschen von App-Daten (Android 11+). Wenn für eine App **extensionConfig** aktiviert ist, ist die Benutzersteuerung unabhängig von dieser Einstellung nicht zulässig. Bei Kiosk-Apps können Sie mit **Erlaubt** die Benutzersteuerung aktivieren. **Nicht spezifiziert**: Verwendet das Standardverhalten der App, um zu bestimmen, ob die Benutzersteuerung erlaubt oder verboten ist. **Erlaubt**: Die App erlaubt die Benutzersteuerung. **Nicht erlaubt**: Die App erlaubt keine Benutzersteuerung. ##### 9.12. Deaktiviert Ob die App deaktiviert ist. Wenn die App deaktiviert ist, bleiben die App-Daten erhalten. ##### 9.13. Credential-Anbieter erlauben Ob die App als Anmeldeinformationsanbieter auf Android 14 und höher verwendet werden darf. ##### 9.14. Konfigurationsverwaltung Um die verwalteten Einstellungen der App zu konfigurieren, klicken Sie auf die Schaltfläche "**Verwaltete Konfiguration aktivieren**. Wenn für die App bereits eine verwaltete Konfiguration festgelegt ist, können Sie diese mit der Schaltfläche "**Verwaltete Konfiguration** ändern oder mit der Schaltfläche "**Konfiguration entfernen** löschen.**Die Option "Verwaltete Konfiguration"** ist nur für Apps verfügbar, die diese Funktionalität unterstützen.
##### 9.15. Berechtigungsrichtlinien Explizite Berechtigungen, die für die App gewährt oder verweigert werden. Diese Werte überschreiben die **Standardberechtigungsrichtlinie** und die **Berechtigungsrichtlinien**, die für alle Apps gelten. Verwenden Sie **die Richtlinie zur Berechtigungsverwaltung**, um eine oder mehrere Berechtigungsregeln für die App-Karte hinzuzufügen, und entfernen Sie diese mit der Löschfunktion. ##### 9.16. Verfolgen Sie IDs Liste der Test-IDs für die geschlossene Testphase der App, auf die ein Gerät zugreifen kann. Wenn mehrere Test-IDs ausgewählt sind, erhalten die Geräte die neueste Version unter allen verfügbaren Testversionen. Wenn keine Test-IDs ausgewählt sind, haben die Geräte nur Zugriff auf die Produktionsversion der App.**Die Option "Track-IDs"** ist nur für Apps verfügbar, die mindestens eine Track-ID für Ihr Unternehmen bereitstellen. Weitere Informationen zum Hinzufügen Ihres Unternehmens zu einem geschlossenen Testprogramm für eine bestimmte App finden Sie [hier](https://developers.google.com/android/management/apps#distribute_apps_for_closed_testing).
#### 10. Standardmäßige Anwendungseinstellungen Standard-Apps für unterstützte Typen festlegen. Wenn für mindestens einen Typ eine Standard-App festgelegt ist, können Benutzer in diesem Profil keine Standard-Apps ändern.Es ist nur eine Standard-App-Einstellung pro **Standard-App-Typ** erlaubt. Die Liste der Standard-Anwendungen darf keine Duplikate enthalten.
##### 10.1. Standard-App-Typ Wählen Sie die App-Kategorie aus, die Sie konfigurieren möchten (z. B. Browser, Wählprogramm, SMS, Wallet oder Assistent). Die Verfügbarkeit hängt von der Android-Version und dem Verwaltungsmodus ab. ##### 10.2. Standardmäßige Anwendungsbereiche Wählen Sie aus, wo die Standard-App angewendet werden soll (vollständig verwaltet, Arbeitsbereich oder privater Bereich). Nur die für den ausgewählten Typ unterstützten Bereiche können ausgewählt werden.Wenn keiner der ausgewählten Bereiche für den Verwaltungsmodus des Geräts relevant ist, meldet das Gerät einen Nicht-Konformitäts-Hinweis.
##### 10.3. Voreinstellungen für Anwendungen Liste der Apps, die als Standard für den ausgewählten Typ festgelegt werden können. Die zuerst installierte und geeignete App wird als Standard festgelegt.Wenn die Berechtigungen "**Vollständig verwaltet**" oder "**Arbeitsprofil**" umfassen, muss jede App auch in der Liste der "**Anwendungen**" vorhanden sein, wobei der "**Installationsmodus**" nicht auf "**Blockiert**" eingestellt sein darf.
#### 11. Auswahl des privaten Schlüssels Ermöglicht die Anzeige einer Benutzeroberfläche auf einem Gerät, damit der Benutzer einen privaten Schlüssel-Alias auswählen kann, falls keine passenden Regeln in **Regeln für die Auswahl des privaten Schlüssels** vorhanden sind.Für Geräte mit Android-Versionen vor P kann das Aktivieren dieser Einstellung dazu führen, dass Unternehmensschlüssel anfällig werden.
#### 12. Wählen Sie Regeln für private Schlüssel Steuert den Zugriff von Apps auf private Schlüssel. Die Regel bestimmt, welcher private Schlüssel, falls vorhanden, von Android Device Policy für die angegebene App gewährt wird. Der Zugriff wird entweder gewährt, wenn die App KeyChain.choosePrivateKeyAlias (oder eine der Varianten) aufruft, um einen privaten Schlüssel-Alias für eine bestimmte URL anzufordern, oder für Regeln, die nicht URL-spezifisch sind (d.h. wenn urlPattern nicht gesetzt ist oder leer ist oder .\* lautet), direkt, sodass die App KeyChain.getPrivateKey aufrufen kann, ohne vorher KeyChain.choosePrivateKeyAlias aufrufen zu müssen. Wenn eine App KeyChain.choosePrivateKeyAlias aufruft und mehr als eine choosePrivateKeyRules übereinstimmt, bestimmt die letzte übereinstimmende Regel, welcher Schlüssel-Alias zurückgegeben wird. Verwenden Sie **Regel für privaten Schlüssel hinzufügen**, um Dateneinträge zu erstellen und diese mit der Löschfunktion zu entfernen. ##### 12.1. Alias für den privaten Schlüssel Der Alias des privaten Schlüssels, der verwendet werden soll. ##### 12.2. Muster für die URL Das URL-Muster, das mit der URL der Anfrage verglichen wird. Wenn es nicht gesetzt oder leer ist, werden alle URLs abgeglichen. Dabei wird die reguläre Ausdrucks-Syntax von java.util.regex.Pattern verwendet. ##### 12.3. Paketnamen Die Paketnamen, auf die diese Regel angewendet wird. Der Hash des Signaturzertifikats für jede App wird mit dem von Play bereitgestellten Hash abgeglichen. Wenn keine Paketnamen angegeben sind, wird der Alias allen Apps zur Verfügung gestellt, die KeyChain.choosePrivateKeyAlias oder eine seiner Varianten aufrufen (aber nicht ohne den Aufruf von KeyChain.choosePrivateKeyAlias, auch auf Android 11 und höher). Jede App mit der gleichen Android-UID wie ein hier angegebenes Paket hat Zugriff, wenn sie KeyChain.choosePrivateKeyAlias aufruft. Verwenden Sie **Paketnamen hinzufügen**, um Einträge hinzuzufügen und sie mit der Löschfunktion zu entfernen.Um eine App zu löschen, klicken Sie auf das **Papierkorb-**Symbol, das sich am unteren Rand der App-Karte befindet.
Wi-Fi-Einstellungen können vom System bereitgestellt und verwaltet werden, über die **Wi-Fi-Einstellungen**. Je nach Wert, der bei **Wi-Fi-Konfiguration** eingestellt ist, haben Benutzer möglicherweise eingeschränkte oder keine Kontrolle über das Hinzufügen/Ändern von Netzwerken.
## Zustand des drahtlosen Geräts #### 1. Wi-Fi-Status Steuert den aktuellen Wi-Fi-Status und ermöglicht dem Benutzer, diesen zu ändern. **Benutzerwahl (Standard)**: Der Benutzer darf Wi-Fi aktivieren/deaktivieren. **Aktiviert**: Wi-Fi ist eingeschaltet und der Benutzer darf es nicht deaktivieren (Android 13+). **Deaktiviert**: Wi-Fi ist ausgeschaltet, und der Benutzer darf es nicht aktivieren (Android 13+). #### 2. Mindest-Sicherheitsstufe für Wi-Fi Die minimale erforderliche Sicherheitsstufe für Wi-Fi-Netzwerke, mit denen sich das Gerät verbinden kann. Unterstützt ab Android 13 für vollständig verwaltete Geräte und Arbeitsprofile auf firmeneigenen Geräten. **Offenes Netzwerk (Standard)**: Das Gerät kann mit allen Arten von Wi-Fi-Netzwerken verbunden werden. **Persönliches Netzwerk**: Verhindert die Nutzung offener Wi-Fi-Netzwerke; erfordert mindestens eine persönliche Sicherheitsfunktion (z. B. WPA2-PSK). **Unternehmensnetzwerk**: Erfordert Unternehmens-EAP-Netzwerke; verbietet Wi-Fi-Netzwerke mit einem niedrigeren Sicherheitsniveau. **Unternehmensnetzwerk mit 192 Bit**: Erfordert Unternehmensnetzwerke mit 192 Bit; die strengste Option. #### 3. Status von Ultra-Weitband (UWB) Steuert den Status der Ultra-Weitband-Einstellung und ob der Benutzer sie aktivieren oder deaktivieren kann. **Benutzerwahl (Standard)**: Der Benutzer kann Ultra-Weitband aktivieren oder deaktivieren. **Deaktiviert**: UWB ist deaktiviert und der Benutzer kann diese Einstellung über die Einstellungen nicht ändern (Android 14+). ## Gerätekonnektivitätsverwaltung #### 4. Bluetooth-Freigabe Steuert, ob das Teilen über Bluetooth erlaubt ist. **Erlaubt**: Bluetooth-Freigabe ist erlaubt (standardmäßig bei vollständig verwalteten Geräten, Android 8+). **Nicht erlaubt**: Bluetooth-Freigabe ist nicht erlaubt (standardmäßig für verwaltete Profile, Android 8+). #### 5. Wi-Fi konfigurieren Steuert die Berechtigungen zur Konfiguration von Wi-Fi. Je nach gewählter Option hat der Benutzer volle, eingeschränkte oder keine Kontrolle über die Konfiguration von Wi-Fi-Netzwerken. **Wi-Fi-Konfiguration zulassen (Standard)**: Der Benutzer darf Wi-Fi-Netzwerke konfigurieren. **Wi-Fi-Konfiguration verbieten**: Das Hinzufügen neuer Wi-Fi-Konfigurationen ist nicht zulässig. Der Benutzer kann zwischen bereits konfigurierten Netzwerken wechseln (Android 13+; vollständig verwaltete und firmeneigenen Arbeitsumgebungen). **Das Konfigurieren von Wi-Fi verbieten**: Verhindert das Konfigurieren von Wi-Fi-Netzwerken. Bei vollständig verwalteten Geräten werden benutzerkonfigurierte Netzwerke entfernt und nur Netzwerke beibehalten, die über **Wi-Fi-Konfigurationen** konfiguriert wurden. Bei firmeneigenen Arbeitsumgebungen bleiben bestehende Netzwerke unverändert, aber Benutzer können keine Wi-Fi-Netzwerke hinzufügen, entfernen oder ändern.Wenn die Wi-Fi-Konfiguration deaktiviert ist und das Gerät beim Start keine Verbindung herstellen kann, kann das System die **Notfallverbindung** anzeigen, damit der Benutzer sich vorübergehend verbinden und die Richtlinie aktualisieren kann.
#### 6. Einstellungen für Wi-Fi Direct Steuerelemente zum Konfigurieren und Verwenden von Wi-Fi Direct-Einstellungen. Unterstützt auf firmeneigenen Geräten mit Android 13 und höher. **Erlauben (Standard)**: Der Benutzer darf Wi-Fi Direct verwenden. **Deaktivieren**: Der Benutzer darf Wi-Fi Direct nicht verwenden. #### 7. Einstellungen für den mobilen Hotspot Steuert die Einstellungen für die mobile Hotspot-Funktion. Je nach gewählter Einstellung kann die Nutzung verschiedener Formen der mobilen Hotspot-Funktion teilweise oder vollständig eingeschränkt werden. **Alle Verbindungsarten zulassen (Standard)**: Ermöglicht die Konfiguration und Nutzung aller Verbindungsarten. **Wi-Fi-Tethering deaktivieren**: Verhindert, dass der Benutzer Wi-Fi als Hotspot nutzt (bei Android-Geräten ab Version 13 im Besitz des Unternehmens). **Alle Verbindungsfreigabe-Optionen deaktivieren**: Verhindert alle Arten von Verbindungsfreigabe (vollständig verwaltet + firmeneigene Arbeitsumgebungen). #### 8. Wi-Fi SSID-Richtlinie Einschränkungen, zu welchen Wi-Fi SSIDs sich das Gerät verbinden kann (diese Einstellung beeinflusst nicht, welche Netzwerke auf dem Gerät konfiguriert werden können). Unterstützt auf firmeneigenen Geräten mit Android 13 oder höher. **SSID-Sperrliste (Standard)**: Das Gerät kann sich nicht mit Wi-Fi-Netzwerken verbinden, deren SSID in dieser Liste aufgeführt ist, kann aber mit anderen Netzwerken verbunden werden. **SSID-Zulassungsliste**: Das Gerät kann sich nur mit den in dieser Liste aufgeführten Wi-Fi-Netzwerken verbinden. Die SSID-Liste darf nicht leer sein. Verwenden Sie **"SSID hinzufügen"**, um Einträge hinzuzufügen. Je nach ausgewähltem Richtlinientyp wird die Liste als Liste der zulässigen oder der verbotenen SSIDs interpretiert. Im Policy Editor-Interface wird die SSID-Liste als **Zulässige Wi-Fi-SSIDs** für Erlaubnislisten und als **Verbotene Wi-Fi-SSIDs** für Sperrlisten bezeichnet. #### 9. Wi-Fi-Roaming-Einstellungen Konfigurieren Sie den Wi-Fi-Roaming-Modus pro SSID. Verwenden Sie **Hinzufügen der Wi-Fi-Roaming-Einstellungen**, um Einträge zu erstellen. Jeder Eintrag enthält: **SSID**: Der SSID, für den die Roaming-Einstellungen gelten (erforderlich). **Wi-Fi-Roaming-Modus**: Standard / Deaktiviert / Aggressiv. Die Optionen "Deaktiviert" und "Aggressiv" erfordern Android 15 oder höher und werden nur auf vollständig verwalteten Geräten und Unternehmensprofilen auf firmeneigenen Geräten unterstützt. ## Netzwerkbeschränkungen #### Bluetooth deaktiviert Ob Bluetooth deaktiviert ist. Bevorzugen Sie diese Einstellung gegenüber „Bluetooth-Konfiguration deaktiviert“, da „Bluetooth-Konfiguration deaktiviert“ vom Benutzer umgangen werden kann. #### 11. Bluetooth-Kontaktfreigabe deaktiviert Ob die Bluetooth-Kontaktfreigabe deaktiviert ist. #### 12. Bluetooth-Konfiguration deaktiviert Ob die Bluetooth-Konfiguration deaktiviert ist. #### 13. Netzwerk-Reset deaktiviert Ob das Zurücksetzen der Netzwerkeinstellungen deaktiviert ist. #### 14. Ausgehendes Beam deaktiviert Ob die Verwendung von NFC zum Übertragen von Daten von Apps deaktiviert ist. ## VPN #### 15. Immer verbunden VPN-App Geben Sie einen Paketnamen für das "Always On VPN" an, um sicherzustellen, dass Daten von den konfigurierten verwalteten Apps immer über ein VPN übertragen werden.Hinweis: Diese Funktion erfordert die Installation eines VPN-Clients, der sowohl die "Always On"- als auch die VPN-Funktionen pro App unterstützt.
#### 16. VPN-Sperre Verhindert Netzwerkzugriff, wenn keine VPN-Verbindung besteht. #### 17. VPN-Konfiguration deaktiviert Ob die VPN-Konfiguration deaktiviert ist. ## Proxy- und Netzwerkdienste #### 18. Bevorzugter Netzwerkdienst Aktiviert den bevorzugten Netzwerkdienst für das Arbeitskonto. Beispielsweise kann ein Unternehmen eine Vereinbarung mit einem Mobilfunkanbieter haben, die besagt, dass Arbeitsdaten über einen speziellen Mobilfunkdienst für Unternehmen übertragen werden (z. B. einen dedizierten Kanal in 5G-Netzwerken). Dies hat keine Auswirkungen auf vollständig verwaltete Geräte. **Deaktiviert**: Der bevorzugte Netzwerkdienst ist im Arbeitsbereich deaktiviert. **Aktiviert**: Der bevorzugte Netzwerkdienst ist im Arbeitsbereich aktiviert.Wenn Sie Network Slicing im Unternehmensbereich verwenden, konfigurieren Sie außerdem **5G-Netzwerk-Slicing-Konfiguration** im Bereich **Mobilfunk** der Richtlinie und weisen Sie Apps mithilfe ihrer **Bevorzugte Netzwerk**-Einstellung einem Slice zu.
#### 19. Empfohlener globaler Proxy Der netzwerkunabhängige globale HTTP-Proxy. Proxies sollten in der Regel pro Netzwerk in den WLAN-Einstellungen konfiguriert werden. Ein globaler Proxy kann für ungewöhnliche Konfigurationen, z. B. allgemeine interne Filterung, nützlich sein. Der globale Proxy ist nur eine Empfehlung, und einige Apps können ihn ignorieren. **Deaktiviert** **Direkter Proxy** **Automatische Proxy-Konfiguration (PAC)** ##### 19.1. Host Der Host des direkten Proxys. ##### 19.2. Port Der Port des direkten Proxys. ##### 19.3. PAC-URI Die URI des PAC-Skripts, das zur Konfiguration des Proxys verwendet wird. ##### 19.4. Ausgeschlossene Hosts Für einen direkten Proxy sind dies die Hosts, für die der Proxy umgangen wird. Hostnamen dürfen Platzhalter enthalten, z. B. **\*.example.com**. Verwenden Sie **Hinzufügen ausgeschlossener Hosts**, um Einträge hinzuzufügen (nur für direkten Proxy verfügbar). ## WLAN-Konfigurationen Definieren Sie WLAN-Netzwerkkonfigurationen, die das System auf Geräten anwendet. Verwenden Sie **Hinzufügen einer WLAN-Konfiguration**, um einen Eintrag zu erstellen, und entfernen Sie ihn mit der Löschfunktion. #### 20. Felder für die Wi-Fi-Konfiguration Jede Konfiguration beinhaltet: **Konfigurationsname**: Erforderlich. **SSID**: Erforderlich. **Automatische Verbindung**: Legt fest, ob automatisch eine Verbindung zu dem Netzwerk hergestellt werden soll, wenn es in Reichweite ist. **Schneller Übergang**: Gibt an, ob der Client versuchen soll, den schnellen Übergang (IEEE 802.11r-2008) für das Netzwerk zu verwenden. **Verstecktes SSID**: Gibt an, ob das SSID übertragen wird. **MAC-Adress-Randomisierung**: Hardware oder Automatisch (Android 13+). ##### 20.1. Sicherheit Wi-Fi-Sicherheitsoptionen: **WEP-PSK**: WEP (vorgegebener Schlüssel). **WPA‑PSK**: WPA/WPA2/WPA3-Personal (Vorgegebener Schlüssel). **WPA‑EAP**: WPA/WPA2/WPA3-Enterprise (Erweitertes Authentifizierungsprotokoll). **WPA3-Modus mit 192-Bit-Verschlüsselung**: Ein WPA‑EAP-Netzwerk, das nur den WPA3-Modus mit 192-Bit-Verschlüsselung zulässt. ##### 20.2. Passphrase (vorgegebener Schlüssel) Wird angezeigt, wenn die Sicherheit auf **WEP-PSK** oder **WPA-PSK** eingestellt ist. Die Passphrase ist erforderlich. ##### 20.3. EAP-Methode (Enterprise) Wird angezeigt, wenn die Sicherheit auf **WPA‑EAP** oder **WPA3 192-Bit-Modus** eingestellt ist. Wählen Sie eine EAP-Außenmethode: **EAP-TLS** **EAP-TTLS** **PEAP** **EAP‑SIM** **EAP‑AKA** ##### 20.4. Authentifizierung in Phase 2 Wird für das Tunneling von äußeren Methoden (**EAP‑TTLS** und **PEAP**) angezeigt. **MSCHAPv2** **PAP** ##### 20.5. EAP-Anmeldedaten von Benutzern Wenn aktiviert, wendet das System automatisch EAP-Anmeldedaten auf Geräten pro Benutzer an. Sie können Benutzeranmeldedaten im Abschnitt **Benutzer** konfigurieren. ##### 20.6. Client-Zertifikat Für **EAP‑TLS** können Sie ein Client-Zertifikat zuweisen, das für die Wi-Fi-Authentifizierung verwendet wird. Weitere Informationen finden Sie auf der Seite [**Zertifikatsverwaltung**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/zertifikatsverwaltung "Certificate management"). Wenn ein Zertifikat bereits zugewiesen ist, können Sie mit "**Zertifikat öffnen**" dieses anzeigen oder mit "**Zertifikat ändern**" ein anderes auswählen. Alternativ können Sie einen **Client-Zertifikats-Schlüsselpaar-Alias** angeben, der auf ein im Android-Schlüsselbund gespeichertes Client-Zertifikat verweist und für die Wi-Fi-Authentifizierung verwendet wird.Wenn sowohl das **Client-Zertifikat** als auch der **Alias für das Client-Zertifikats-Schlüsselpaar** angegeben sind, wird der Alias für das Schlüsselpaar ignoriert.
##### 20.7. Identität Identität des Benutzers. Für Tunneling von äußeren Protokollen (PEAP, EAP‑TTLS) wird dies zur Authentifizierung innerhalb des Tunnels verwendet, und **die anonyme Identität** wird für die EAP-Identität außerhalb des Tunnels verwendet. Für nicht-tunnelnde äußere Protokolle wird dies für die EAP-Identität verwendet. ##### 20.8. Anonyme Identität Nur für Tunneling-Protokolle: Dies gibt die Identität des Benutzers an, der dem äußeren Protokoll präsentiert wird. ##### 20.9. Passwort Passwort des Benutzers. Wenn nicht angegeben, wird der Benutzer aufgefordert, ein Passwort einzugeben. ##### 20.10. Server-CA-Zertifikate Liste der CA-Zertifikate, die zur Überprüfung der Zertifikatskette des Hosts verwendet werden. Mindestens ein CA-Zertifikat muss übereinstimmen. Weitere Informationen finden Sie auf der [**Zertifikatsverwaltung**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/zertifikatsverwaltung "Certificate management")-Seite. Verwenden Sie **das Hinzufügen des Server-CA-Zertifikats**, um Einträge hinzuzufügen und sie mit der Löschfunktion zu entfernen. ##### 20.11. Das Domänenpräfix stimmt überein Eine Liste von Einschränkungen für den Server-Domänennamen. Die Einträge werden als Suffix-Übereinstimmungsanforderungen für den/die DNS-Namen des alternativen Betreffnamens eines Authentifizierungsserver-Zertifikats verwendet. # System In diesem Abschnitt können Sie systembezogene Richtlinien konfigurieren. #### 1. Minimale API-Version Die minimale zulässige Android API-Version. #### 2. Verschlüsselungsrichtlinie Ob die Verschlüsselung aktiviert ist. **Standardwert**: Dieser Wert wird ignoriert, d. h. keine Verschlüsselung erforderlich. **Aktiviert ohne Passwort**: Verschlüsselung erforderlich, aber kein Passwort erforderlich, um das Gerät zu starten. **Aktiviert mit Passwort**: Verschlüsselung erforderlich, ein Passwort ist zum Starten des Geräts notwendig. #### 3. Automatische Datums- und Uhrzeit-Synchronisierung Ist die automatische Datums-, Zeit- und Zeitzonensynchronisierung für Geräte, die dem Unternehmen gehören, aktiviert? **Benutzerwahl (Standard)**: Ob die automatische Datums-, Zeit- und Zeitzonensynchronisierung aktiviert ist, wird vom Benutzer festgelegt. **Erzwungen**: Erzwingen Sie die automatische Datums-, Zeit- und Zeitzonensynchronisierung auf dem Gerät. #### 4. Entwickleroptionen Steuert den Zugriff auf die Entwicklereinstellungen: Entwickleroptionen und sicherer Start. **Deaktiviert (Standard)**: Deaktiviert alle Entwicklereinstellungen und verhindert, dass der Benutzer darauf zugreifen kann. **Erlaubt**: Ermöglicht alle Entwicklereinstellungen. Der Benutzer kann auf diese zugreifen und sie optional konfigurieren. #### 5. Modus für Common Criteria Steuerelemente für den Common Criteria Modus – Sicherheitsstandards, die im Common Criteria for Information Technology Security Evaluation (CC) definiert sind. Durch das Aktivieren des Common Criteria Modus werden bestimmte Sicherheitskomponenten auf einem Gerät erhöht (z. B. AES-GCM-Verschlüsselung von Bluetooth Long Term Keys, zusätzliche Validierung für einige Netzwerkzertifikate und kryptografische Richtlinieneintegritätsprüfungen). Der Common Criteria Modus wird nur auf firmeneigenen Geräten mit Android 11 oder höher unterstützt. Warnung: Der Common Criteria Modus erzwingt ein striktes Sicherheitsmodell, das in der Regel nur für hochsensible Organisationen erforderlich ist. Die normale Gerätefunktionalität kann beeinträchtigt werden; aktivieren Sie ihn nur, wenn dies erforderlich ist. **Deaktiviert (Standard)**: Deaktiviert den Common Criteria Modus. **Aktiviert**: Aktiviert den Common Criteria Modus. #### 6. Memory Tagging Extension (MTE) Steuert die Memory Tagging Extension (MTE) auf dem Gerät. **Benutzereinstellung (Standard)**: Der Benutzer kann MTE auf dem Gerät aktivieren oder deaktivieren (sofern vom Gerät unterstützt). **Erzwungen**: MTE ist aktiviert und der Benutzer darf diese Einstellung nicht ändern (Android 14+; unterstützt auf vollständig verwalteten Geräten und in Arbeitsbereichen auf geräteeigenen Geräten). **Deaktiviert**: MTE ist deaktiviert und der Benutzer darf diese Einstellung nicht ändern (Android 14+; unterstützt nur auf vollständig verwalteten Geräten). #### 7. Inhalts-Schutz Aktiviert den Inhalts-Schutz (der nach betrügerischen Apps sucht). Dies wird ab Android 15 unterstützt. **Deaktiviert (Standard)**: Der Inhalts-Schutz ist deaktiviert und der Benutzer kann dies nicht ändern. **Erzwungen**: Der Inhalts-Schutz ist aktiviert und kann vom Benutzer nicht geändert werden (Android 15+). **Benutzerwahl**: Der Inhalts-Schutz wird nicht durch die Richtlinie gesteuert; der Benutzer kann dies selbst bestimmen (Android 15+). #### 8. Inhaltsunterstützung Steuert, ob AssistContent an privilegierte Apps wie Assistenten-Apps (z. B. Circle to Search) gesendet werden darf. AssistContent enthält Screenshots und Informationen über eine App, z. B. den Paketnamen. Dies wird ab Android 15 unterstützt. **Erlaubt (Standard)**: Assist-Inhalte dürfen an eine privilegierte App gesendet werden (Android 15+). **Nicht erlaubt**: Das Senden von Assist-Inhalten an eine privilegierte App ist blockiert (Android 15+). #### 9. Windows deaktivieren Ob das Erstellen von Fenstern zusätzlich zu den Anwendungsfenstern deaktiviert ist. Diese Option verhindert die Anzeige der folgenden System-Benutzeroberflächen: Benachrichtigungen und Snackbars, Telefonaktivitäten (z. B. eingehende Anrufe) und Prioritäts-Telefonaktivitäten (z. B. laufende Anrufe), Systemwarnungen, Systemfehler und System-Overlays. #### 10. Netzwerk-Notausgang Ob die Netzwerk-Notausgangsfunktion aktiviert ist. Wenn beim Starten des Geräts keine Netzwerkverbindung hergestellt werden kann, fordert die Notausgangsfunktion den Benutzer auf, sich vorübergehend mit einem Netzwerk zu verbinden, um die Gerätekonfiguration zu aktualisieren. Nach dem Anwenden der Konfiguration wird die temporäre Netzwerkverbindung vergessen, und das Gerät startet den Startvorgang fort. Dies verhindert, dass das Gerät keine Netzwerkverbindung herstellen kann, wenn im letzten Konfigurationsprofil kein geeignetes Netzwerk vorhanden ist, oder wenn sich das Gerät in einem App-Lock-Task-Modus befindet oder der Benutzer anderweitig nicht auf die Geräteeinstellungen zugreifen kann. #### 11. Standardaktivitäten Eine Liste von Standardaktivitäten zur Verarbeitung von Intents, die einem bestimmten Intent-Filter entsprechen. Beispielsweise können IT-Administratoren mit dieser Funktion festlegen, welche Browser-App automatisch Web-Links öffnet oder welche Launcher-App beim Tippen auf die Home-Taste verwendet wird. Verwenden Sie **Standardaktivität hinzufügen**, um Einträge zu erstellen. Innerhalb eines Eintrags verwenden Sie **Aktion hinzufügen** und **Kategorie hinzufügen**, um den Intent-Filter zu erstellen. ##### 11.1. Empfänger-Aktivität Die Aktivität, die als Standard-Intent-Handler verwendet werden soll. Dies sollte ein Name einer Android-Komponente sein, z. B. com.android.enterprise.app/.MainActivity. Alternativ kann der Wert auch der Paketname einer App sein, wodurch Android Device Policy eine geeignete Aktivität aus der App zur Verarbeitung des Intents auswählt. ##### 11.2. Aktion Die Aktionen, die im Filter übereinstimmen müssen. Wenn Aktionen im Filter enthalten sind, muss die Aktion einer Absicht einer dieser Werte entsprechen, um übereinzustimmen. Wenn keine Aktionen enthalten sind, wird die Aktion der Absicht ignoriert. ##### 11.3. Kategorie Die Kriterienkategorien, die im Filter übereinstimmen müssen. Eine Kriterienkategorie enthält die Kategorien, die sie benötigt, und alle diese Kategorien müssen im Filter enthalten sein, damit eine Übereinstimmung erzielt wird. Mit anderen Worten: Das Hinzufügen einer Kategorie zum Filter hat keinen Einfluss auf die Übereinstimmung, es sei denn, diese Kategorie ist in der Kriterienkategorie selbst angegeben. #### 12. Erlaubte Eingabemethoden Gibt die zulässigen Eingabemethoden an. **Alle zulässigen**: Es werden keine Einschränkungen angewendet. Alle Eingabemethoden sind erlaubt. **Nur System**: Nur die vom System integrierten Eingabemethoden sind zulässig. **Nur vom System und bereitgestellte**: Nur die vom System integrierten und bereitgestellten Eingabemethoden sind zulässig. ##### 12.1. Erlaubte Eingabemethoden Ermöglichte Paketnamen für Eingabemethoden. Gilt nur, wenn **Erlaubte Eingabemethoden** auf **Nur System- und angegebene** eingestellt ist. Verwenden Sie **die Option zum Hinzufügen einer Eingabemethode**, um Einträge hinzuzufügen und entfernen Sie sie mit der Löschfunktion. #### 13. Erlaubte Bedienhilfen Legt die zulässigen Barrierefreiheitsdienste fest. **Alle zulässigen**: Jeder Barrierefreiheitsdienst kann verwendet werden. **Nur System-**: Nur die vom System integrierten Barrierefreiheitsdienste können verwendet werden. **Nur System- und angegebene**: Nur die angegebenen und die in das System integrierten Bedienhilfen können verwendet werden. ##### 13.1. Erlaubte Barrierefreiheitsdienste Erlaubte Barrierefreiheitsdienste. Gilt nur, wenn **Erlaubte Barrierefreiheitsdienste** auf **Nur System- und angebotene** eingestellt ist. Verwenden Sie den **Barrierefreiheitsdienst zum Hinzufügen** und entfernen Sie Einträge mit der Löschfunktion. #### 14. Systemaktualisierungsrichtlinie Konfiguration für die Verwaltung von Systemupdates. **Standard**: Das Gerät verhält sich beim Update standardmäßig so, dass der Benutzer Systemupdates akzeptieren muss. **Automatisch**: Installiert die Updates automatisch, sobald eine neue Version verfügbar ist. **Im Zeitfenster**: Installiert Updates automatisch innerhalb eines definierten Wartungszeitfensters. Dies konfiguriert auch Play-Apps so, dass sie innerhalb dieses Zeitfensters aktualisiert werden. Dies wird dringend für Geräte im Kiosk-Modus empfohlen, da dies die einzige Möglichkeit ist, Apps, die dauerhaft im Vordergrund fixiert sind, mit Play zu aktualisieren. **Verschieben**: Automatischer Update-Vorgang kann um maximal 30 Tage verschoben werden. ##### 14.1. Wartungsfenster (Nur für Fenster) Wenn "**Richtlinie für Systemupdates**" auf "**Grafische Oberfläche**" eingestellt ist, können Sie das tägliche Wartungsfenster mit den Feldern "**von**" und "**bis**" festlegen. ##### 14.2. Systemupdate-Sperrzeiten Ein jährlich wiederkehrender Zeitraum, in dem Over-the-Air (OTA)-Systemupdates verschoben werden, um die auf einem Gerät laufende Betriebssystemversion zu fixieren. Um ein dauerhaftes Einfrieren des Geräts zu vermeiden, muss jeder Fixierungszeitraum durch mindestens 60 Tage getrennt sein. Jeder Fixierungszeitraum darf nicht länger als 90 Tage dauern. Verwenden Sie **"System-Update-Sperrzeit festlegen"**, um Einträge zu erstellen. #### 15. Standardmäßige Anmeldeinformationsanbieter Steuert, welche Apps unter Android 14 und höher als Anmeldeinformationsanbieter fungieren dürfen. **Nicht erlaubt (Standard)**: Apps, bei denen die credentialProviderPolicy nicht angegeben ist, dürfen nicht als Anmeldeinformationsanbieter fungieren. **Nicht zulässig, außer für Systemanwendungen**: Apps, bei denen die `credentialProviderPolicy` nicht angegeben ist, dürfen nicht als Anmeldeinformationsanbieter fungieren, außer für die standardmäßigen Anmeldeinformationsanbieter des Geräteherstellers. # Standort und Geofence Dieses Panel gruppiert die Android-Richtlinien-Einstellungen, die die Standortmeldungen, die Standortdurchsetzung und die Geofence-Definitionen steuern. Verwenden Sie es, wenn Sie möchten, dass Cerberus Enterprise Standortdaten erfasst oder erkennt, wenn Geräte konfigurierte Bereiche betreten oder verlassen. ## Standortmeldungen ### Standort melden Aktiviert die Standortbestimmungsberichterstattung für Geräte. Standortdaten, die über diese Einstellung erfasst werden, werden von der [**Standortkarte im Dashboard**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/dashboard-standortkarte "Dashboard location map"), der Geräteübersicht-Standorthistorie und der Geofencing-Verarbeitung verwendet.Bei Geräten, die nicht vollständig verwaltet werden, können Standortdaten weiterhin davon abhängen, dass die Cerberus Enterprise-App die erforderlichen Standortberechtigungen besitzt und die Standortdienste auf dem Gerät aktiviert sind.
### Standortmodus Steuert die Standortfunktion für dienstlich gestellte Geräte. - **Benutzerwahl**: Standortdienste werden nicht durch die Richtlinie eingeschränkt. - **Erzwungen**: Standortdienste sind auf dem Gerät aktiviert. - **Deaktiviert**: Standortdienste sind auf dem Gerät deaktiviert. ### Standortfreigabe deaktiviert Deaktiviert die Standortfreigabe für Arbeits-Apps. Bei geräteeigenen Profilen wirkt sich dies auf das Arbeitsprofil aus. Bei vollständig verwalteten Geräten wird die Standortfunktion für das gesamte Gerät deaktiviert und der Geräte-Standortmodus außer Kraft gesetzt. ## Automatisches Verhalten bei aktiven Geozäunen Aktive Geozäune benötigen Standortmeldungen, um zu funktionieren. Wenn mindestens ein Geozäun aktiv ist, hält Cerberus Enterprise die zugehörigen Standorteinstellungen automatisch konsistent. - **Die Standortmeldung** wird erzwungen, während aktive Geozäune vorhanden sind. - **Standortmodus** wird auf **Erzwungen** gesetzt. - **Die Ortungsfreigabe deaktiviert** wird erzwungen. Wenn Sie versuchen, **Standort melden** zu deaktivieren, während eine oder mehrere Geofences aktiv sind, zeigt Cerberus Enterprise einen Bestätigungsdialog an. Wenn Sie fortfahren, werden alle aktiven Geofences in der Richtlinie deaktiviert. ## Geofence-Liste Eine Richtlinie kann bis zu **10 Geofences** enthalten. Geofence-Namen müssen innerhalb der Richtlinie eindeutig sein. Verwenden Sie **Geofence hinzufügen**, um einen neuen Eintrag zu erstellen. Jedes Geofence enthält diese Hauptfelder: - **Name**: erforderlich und eindeutig. - **Latitude** und **Longitude**: der Mittelpunkt des Bereichs. - **Radius (m)**: erforderlich, von **100** bis **10000** Meter. - **Beschreibung**: optionale Notizen für Administratoren. - **Berichteingabe** und **Berichteausgang**: wählen Sie aus, welche Übergangsereignisse generiert werden sollen. - **Aktiv**: aktiviert oder deaktiviert den geografischen Zaun, ohne ihn zu löschen.Mindestens eines von **Report enter** oder **Report exit** muss für jeden geografischen Zaun aktiviert bleiben.
## Kartenbearbeitungswerkzeuge Jede Geofence-Karte enthält eine Kartenansicht des Bereichs. Sie können die Geometrie direkt aus der Karte oder aus den numerischen Feldern bearbeiten. - Klicken Sie auf die Karte, um den Geofence-Mittelpunkt zu verschieben, wenn die Bearbeitung des Bereichs freigeschaltet ist. - Verwenden Sie die **Aktuelle Position** Schaltfläche, um die Karte auf Ihre aktuelle Browserposition zu zentrieren. - Verwenden Sie die **Recenter map** Schaltfläche, um die bevorzugte Ansicht für dieses Geofence wiederherzustellen. - Verwenden Sie die Schloss-Schaltfläche, um unbeabsichtigte Änderungen an der Geofence-Geometrie zu verhindern. ## Wo Geofencedaten angezeigt werden Geofence-Übergänge können im Android [**Geräteübersicht**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/gerateubersicht "Device overview") Seite, im **Geofence** Reiter des Standort-Panels gefunden werden. Dieser Reiter zeigt Übergänge auf einer speziellen Karte zusammen mit Filtertools und der Übergangsliste. # Benutzerverwaltung ##### Benutzer hinzufügen (deaktiviert) Gibt an, ob das Hinzufügen neuer Benutzer und Profile deaktiviert ist. Bei Geräten, bei denen managementMode auf **DEVICE\_OWNER** eingestellt ist, wird dieses Feld ignoriert, und der Benutzer darf keine Benutzer hinzufügen oder entfernen. ##### Kontenänderungen deaktiviert Ob das Hinzufügen oder Entfernen von Konten deaktiviert ist. ##### Benutzeranmeldedaten-Konfiguration deaktiviert Ob die Konfiguration der Benutzeranmeldedaten deaktiviert ist. ##### Benutzer deaktivieren entfernen Ob das Entfernen anderer Benutzer deaktiviert ist. ##### Benutzer-Symbol festlegen deaktiviert Ob das Ändern des Benutzer-Symbols deaktiviert ist. ##### Hintergrundbild festlegen deaktiviert Ob das Ändern des Hintergrundbilds deaktiviert ist. ##### Authentifizierung für die Einrichtung des Arbeitskontos Steuert, wie Benutzer bei der Einrichtung eines Arbeitskontos authentifiziert werden. Diese Option ist nur für Android-Unternehmensstrukturen verfügbar, die von einer verwalteten Google-Domain (Google Workspace) unterstützt werden. Während der Gerätekonfiguration/Registrierung beeinflusst diese Richtlinie, ob eine Anmeldung für ein Arbeitskonto erforderlich ist, aber die Einstellung "**Authentifizierung mit Google**" in der Google Admin-Konsole sowie der Typ des Registrierungstokens können weiterhin eine Authentifizierung erfordern. Für Geräte, die bereits registriert sind, gilt diese Richtlinie nur, wenn das Gerät über ein verwaltetes Google Play-Konto verwaltet wird (d. h. wenn es ohne **Authentifizierung mit Google** registriert wurde). Für weitere Details und zur Fehlerbehebung, siehe [**Authentifizierung mit Google**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/authentifizieren-sie-mit-der-google-anmeldung "Authenticate Using Google enrollment"). ##### Blockierte Kontotypen Kontotypen, die der Benutzer nicht verwalten kann. Diese Option verhindert, dass Benutzer Geräte nicht genehmigte Konten hinzufügen. Verwenden Sie **Kontoart für Sperrung hinzufügen**, um eine oder mehrere Kontoarten hinzuzufügen. Jeder Eintrag hat ein **Kontotypfeld** (erforderlich). Geben Sie eine Zeichenkette wie z. B. **com.google** ein. Entfernen Sie einen Eintrag mit der Löschfunktion. # Privatnutzung Beim [Bereitstellen](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/gerate-die-dem-unternehmen-gehoren-und-sowohl-fur-die-arbeit-als-auch-fur-den-personlichen-gebrauch-bestimmt-sind "Company-owned devices for work and personal use") eines dienstlich genutzten Geräts für Arbeit und Privat, können Sie bestimmte Regeln festlegen, um die Nutzung des Geräts durch den Benutzer außerhalb des Arbeitsbereichs einzuschränken.Dieser Abschnitt gilt nur für dienstlich genutzte Geräte mit Arbeitsprofil. Er hat keine Auswirkungen auf vollständig verwaltete oder privat genutzte Geräte.
Diese Einstellung hängt von der auf Richtlinien-Ebene festgelegten Option **App-Funktionen** ab (im Bereich App-Verwaltung). Wenn "App-Funktionen" auf **Nicht zulässig** eingestellt ist, lehnt die API App-Funktionen zwischen Profilen ab, die auf **Zulässig** eingestellt sind.
##### Kontakte aus dem Arbeitsbereich im persönlichen Profil Ob Kontakte, die im Arbeitsbereich gespeichert sind, in den Kontaktsuchen und eingehenden Anrufen des persönlichen Profils angezeigt werden können. **Erlaubt (Standard)**: Ermöglicht die Anzeige von Kontakten des Arbeitsbereichs im persönlichen Profil. **Deaktiviert**: Verhindert, dass persönliche Apps auf Kontakte des Arbeitsbereichs zugreifen und diese suchen können. **Nicht erlaubt, außer für System-**Anwendungen: Verhindert, dass die meisten privaten Apps auf Kontakte des Arbeitsbereichsprofils zugreifen, außer für die Standard-Telefon-, Nachrichten- und Kontakte-Apps des Geräteherstellers (Android 14+). Wenn die Kontakte für den Arbeitsbereich im persönlichen Profil konfiguriert sind, können Sie optional eine Liste von **ausgenommenen Paketnamen** definieren. Je nach ausgewähltem Modus verhalten sich diese Ausnahmen wie eine Zulassungs- oder Sperrliste für persönliche Apps. # Statusberichte In diesem Abschnitt können Sie konfigurieren, welche Daten vom Gerät abgerufen werden sollen. Die Statusdaten können im [**Gerätestatus**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/chapter/geratestatus "Device status")-Dashboard angezeigt werden. ##### Anwendungsberichte Sind Anwendungsberichte aktiviert? (Informationen über installierte Anwendungen werden angezeigt.)Diese Option ist vom System erforderlich (für die Integration mit der Begleit-App) und ist immer aktiviert; sie kann nicht deaktiviert werden.
##### Entfernte Apps einschließen Ob entfernte Apps in den App-Berichten enthalten sind. ##### Geräteeinstellungen Ob die Berichterstellung für Geräte-Einstellungen aktiviert ist. (Informationen zu sicherheitsrelevanten Geräte-Einstellungen auf dem Gerät.) ##### Software-Informationen Ob die Berichterstattung über Software-Informationen aktiviert ist. (Informationen zur Software des Geräts.) ##### Speicherinformationen Ist die Speicherberichterstattung aktiviert? (Ein Ereignis im Zusammenhang mit Speicher- und Speichermessungen.) ##### Netzwerkinformationen Ob die Berichterstellung von Netzwerkinformationen aktiviert ist. (Netzwerkinformationen des Geräts.) ##### Information anzeigen Ob die Anzeige von Berichten aktiviert ist. Berichtsdaten sind für persönlich genutzte Geräte mit Arbeitsumgebungen nicht verfügbar. (Anzeigeinformationen des Geräts.) ##### Energieverwaltungsereignisse Ob die Berichterstellung von Energieverwaltungsereignissen aktiviert ist. Daten sind für privat genutzte Geräte mit Arbeits-Profilen nicht verfügbar. ##### Gerätestatus Ob die Statusberichte für die Hardware aktiviert sind. Daten für Geräte, die sich im privaten Besitz befinden und nur ein Arbeitsbereich haben, sind nicht verfügbar. ##### Systemeigenschaften Ob die Berichterstellung von Systemeigenschaften aktiviert ist. ##### Modus für Common Criteria Ob die Berichterstellung im Common Criteria Modus aktiviert ist. # Sonstiges #### 1. Osterei-Spiel deaktiviert Ob das Osterei-Spiel in den Einstellungen deaktiviert ist. #### 2. Erste Bedienungshinweise überspringen Flag, um Hinweise beim ersten Gebrauch zu überspringen. Enterprise-Administratoren können die Systemempfehlung aktivieren, damit Apps ihr Benutzer-Tutorial und andere Einführungshinweise beim ersten Start überspringen. #### 3. Kurze Support-Nachricht Eine Nachricht, die dem Benutzer im Einstellungsbereich angezeigt wird, wenn eine Funktion vom Administrator deaktiviert wurde. Wenn die Nachricht länger als 200 Zeichen ist, kann sie abgeschnitten werden. #### 4. Längere Supportmeldung Eine Nachricht, die dem Benutzer im Bereich "Geräteadministratoren-Einstellungen" angezeigt wird. #### 5. Informationen zur Sperre durch den Gerätebesitzer Informationen zum Gerätebesitzer, die auf dem Sperrbildschirm angezeigt werden. #### 6. Einrichtungsschritte Aktionen, die während des Einrichtungsprozesses ausgeführt werden. Während der Registrierung können Sie den Benutzer auffordern, eine oder mehrere Apps zu öffnen, die für die Gerätekonfiguration erforderlich sind. Verwenden Sie die Option **Aktion zum Hinzufügen einrichten**, um Einträge zu erstellen, und entfernen Sie sie mit der Löschaktion. ##### 6.1. App starten Paketname der zu startenden App ##### 6.2. Titel Zeigt eine Nachricht für den Benutzer an, um zu erklären, warum die App gestartet werden muss. ##### 6.3. Beschreibung Zeigt eine Nachricht für den Benutzer an, um zu erklären, warum die App gestartet werden muss. #### 7. Sichtbarkeit des Anzeigenamens für Unternehmen Steuert, ob der Anzeigename des Unternehmens auf dem Gerät sichtbar ist (z. B. als Nachricht auf dem Sperrbildschirm bei geräteverwalteten Geräten). **Sichtbar (Standard)**: Der Anzeigename des Unternehmens ist auf dem Gerät sichtbar (wird auf Work Profiles unter Android 7+ und auf vollständig verwalteten Geräten unter Android 8+ unterstützt). **Versteckt**: Der Anzeigename des Unternehmens ist auf dem Gerät ausgeblendet. # Regeln zur Durchsetzung von Richtlinien Wenn ein Gerät oder ein Arbeitsbereich nicht mit einer der unten aufgeführten Richtlinien übereinstimmt, blockiert Android Device Policy standardmäßig die Nutzung des Geräts oder des Arbeitsbereichs - **Passwortanforderungen** - **Verschlüsselungsrichtlinie** - **Keyguard deaktiviert** - **Erlaubte Eingabemethoden** - **Erlaubte Bedienhilfen** Wenn das Gerät oder das Arbeitskonto auch nach 10 Tagen nicht mehr den Richtlinien entspricht, setzt die Android-Geräterichtlinie das Gerät auf die Werkseinstellungen zurück oder löscht das Arbeitskonto. In diesem Abschnitt können Sie die Standard-Richtlinien für die Durchsetzung der Compliance außer Kraft setzen oder neue hinzufügen. #### Regeln Liste der Regeln, die das Verhalten definieren, wenn eine bestimmte Richtlinie nicht auf ein Gerät angewendet werden kann. Verwenden Sie **Regel hinzufügen**, um eine neue Regel zu erstellen. Jede Regelkarte kann mit der Löschfunktion entfernt werden. ##### Name der Einstellung Die Top-Level-Richtlinie, die durchgesetzt werden soll. Zum Beispiel **Anwendungen** oder **Passwortrichtlinien**. **Erforderlich.** Der Wert muss mit einem unterstützten, übergeordneten Richtliniennamen übereinstimmen; andernfalls wird das Feld als ungültig markiert. ##### Sperren nach Tagen Anzahl der Tage, nach denen ein Gerät oder ein Arbeitsbereich gesperrt wird, wenn die Richtlinie nicht eingehalten wird. Um den Zugriff sofort zu sperren, setzen Sie den Wert auf 0. "**Sperren nach Tagen**" muss kleiner sein als "**Löschen nach Tagen**". Gilt nur für Geräte, die dem Unternehmen gehören. Erlaubter Bereich: 0–300. ##### Block-Scope Definiert den Gültigkeitsbereich einer Blockaktion. Nur für firmeneigene Geräte anwendbar. Standard (neue Regel): **Arbeitsprofil**. **Arbeitsprofil**: Die Blockierungsaktion wird nur auf Apps im Arbeitsprofil angewendet. Apps im privaten Profil sind nicht betroffen. **Gesamtes Gerät**: Die Blockieraktion wird für das gesamte Gerät angewendet, einschließlich der Apps im persönlichen Profil. ##### Daten löschen nach Tagen Anzahl der Tage, an denen ein Gerät oder ein Arbeitsbereich nicht den Richtlinien entspricht, bevor es gelöscht wird. **Anzahl der Tage bis zum Löschen** muss größer sein als **Anzahl der Tage bis zur Sperrung**. Nur für von der Firma gestellte Geräte gültig. **Erforderlich.** Standardwert (neue Regel): **1**. Erlaubter Bereich: 1–300. ##### Werksseitigen Schutz beibehalten Ob die Daten zum Werksreset-Schutz auf dem Gerät gespeichert bleiben. Diese Einstellung gilt nicht für Arbeitsprofile. Standard (neue Regel): aktiviert. # Richtlinien - Apple # Apple-Richtlinien Die Apple-Richtlinien definieren die Verwaltungseinstellungen, die Cerberus Enterprise über MDM auf Apple-Geräte anwendet. Diese Einstellungen werden im Dashboard im Apple-Richtlinien-Editor konfiguriert. ## Bevor Sie beginnen Für die Verwaltung von Apple-Geräten ist die Konfiguration von Apple Management (APNs) erforderlich. Wenn erforderlich, lesen Sie die [Seite zur Einrichtung von Apple Management (APNs)](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/apple-management-einrichtung-apns "Apple Management setup (APNs)"). ## Öffnen Sie den Apple Policy Editor Im Dashboard öffnen Sie **Richtlinien** und klicken Sie auf **Neue Apple-Richtlinie erstellen**. Um eine bestehende Apple-Richtlinie zu bearbeiten, klicken Sie auf die entsprechende Zeile in der Tabelle. ## Editoransicht Der Apple-Richtlinien-Editor ist als eine Reihe von erweiterten Abschnitten aufgebaut. Oben auf der Seite können Sie jederzeit Folgendes bearbeiten: - **Name** (erforderlich) - **ID** (nur lesbar) - **Beschreibung** (optional) ## Richtlinienbereiche Die folgenden Abschnitte entsprechen den aktuell im Apple Policy Editor verfügbaren Bereichen: - **App-Verwaltung**: Konfigurieren Sie app-bezogene Einschränkungen und verwalten Sie Apps. - **Passworteinstellungen**: Konfigurieren Sie Passwortrichtlinien und zugehörige Regeln. - **Sicherheit**: Steuern Sie Funktionen wie automatisches Entsperren und biometrisches Entsperren. - **iCloud**: Ermöglichen oder verbieten Sie bestimmte iCloud-Dienste (z. B. Backup, Schlüsselbund-Synchronisierung, Private Relay). - **Multimedia**: Erlauben oder verbieten Sie die Nutzung von Kamera und zugehörigen Funktionen. - **Mobilfunk**: Steuern Sie mobilfunkbezogene Einstellungen (App-Datenverbindungen, eSIM, Tarifänderungen). - **Netzwerk**: Steuern Sie AirDrop-, AirPrint- und AirPlay-Einstellungen sowie andere Verbindungseinstellungen. - **Konten**: Beschränken Sie die Änderung von Konten und konfigurieren Sie (optional) Google- und E-Mail-Konten.Viele Optionen im Apple-Richtlinien-Editor enthalten einen Tooltip, der Anforderungen und unterstützte Betriebssystemversionen dokumentiert.
## Speichern, löschen und zugeordnete Geräte Verwenden Sie **Richtlinie speichern**, um Ihre Änderungen anzuwenden. Die Schaltfläche ist deaktiviert, wenn es keine ausstehenden Änderungen gibt oder wenn die Lizenz abgelaufen ist. Beim Bearbeiten einer bestehenden Richtlinie zeigt die Seite außerdem eine **Richtlinie löschen**-Funktion. Der Editor kann eine **Verbundene Geräte**-Liste am unteren Rand anzeigen, sodass Sie sehen können, wie viele Geräte die Richtlinie derzeit verwenden. ## Nächste Seiten - Passcode: Konfigurieren Sie die Anforderungen für den Passcode und verwandte Sicherheitsoptionen. - Einschränkungen: Definieren Sie zulässige Funktionen und Betriebssystem-basierte Beschränkungen. - Apps und Profile: Konfigurieren Sie installierte Apps und Konfigurationsprofile. # Apple-Richtlinie: Passcode Der Bereich **Passcode-Einstellungen** steuert die Anforderungen an den Geräte-Passcode sowie zugehörige Sicherheitsregeln (z. B. Mindestlänge und Komplexität). ## Optionen Im Apple-Richtlinien-Editor werden Passcode-Optionen mithilfe einer Kombination aus Schaltern und numerischen Feldern konfiguriert. Viele Felder enthalten Tooltips, die unterstützte Betriebssystemversionen und Überwachungsanforderungen angeben. ### Passcode-Umschalter - **Passwort-Änderung beim nächsten Login**: Erzwingt ein Passwort-Zurücksetzen beim nächsten Benutzer-Login. - **Alphanumerischer Passcode erforderlich**: Erfordert mindestens einen Buchstaben und eine Zahl. - **Benötigt einen komplexen Passcode**: Erfordert einen "komplexen" Passcode (keine wiederholten/sequenziellen Muster und mindestens ein nicht-alphanumerisches Zeichen). - **Passcode erforderlich**: Erfordert einen Passcode ohne zusätzliche Anforderungen an Länge oder Qualität. Hinweis: Die Einstellung anderer Passcode-Optionen setzt implizit einen Passcode voraus. ### Numerische Felder - **GesetzteAnzahlVersucheZurücksetzenInMinuten**: Minuten, bevor der Zähler für fehlgeschlagene Versuche zurückgesetzt wird (erfordert MaximaleAnzahlFehlgeschlagenerVersuche). - **Maximale Anzahl fehlgeschlagener Versuche**: Anzahl der maximal zulässigen fehlgeschlagenen Versuche, bevor das Gerät gelöscht oder gesperrt wird (Bereich: 2–11). - **MaximaleKulanzzeitInMinuten**: Gibt an, wie lange ein Gerät entsperrt bleiben kann, ohne dass ein Passwort erforderlich ist (0 = keine Kulanzzeit). - **MaximaleInaktivitätszeitInMinuten**: Zeitspanne, nach der das Gerät bei Inaktivität gesperrt wird (Bereich: 0–15). - **MaximalePasswortalterInTagen**: Maximale Gültigkeitsdauer eines Passworts, bevor eine neue Eingabe erforderlich ist (Bereich: 0–730). - **MindestanzahlKomplexerZeichen**: Minimale Anzahl von "komplexen" Zeichen (Bereich: 0–4). - **Mindestlänge**: Minimale Länge des Passworts (Bereich: 0–16). - **Passwortwiederholungsbeschränkung**: Anzahl der gespeicherten Passwörter, um die Wiederverwendung alter Passwörter zu verhindern (Bereich: 1–50). # Apple-Richtlinie: Einschränkungen Der Abschnitt "Einschränkungen" steuert, welche Funktionen des Betriebssystems auf verwalteten Apple-Geräten erlaubt sind. Im Apple-Richtlinien-Editor werden diese Optionen als gruppierte Bedienfelder mit mehreren Umschaltoptionen angezeigt.Viele Einschränkungen werden nur von bestimmten Betriebssystemversionen unterstützt und erfordern möglicherweise verwaltete Geräte. Verwenden Sie die Tooltips im Dashboard, um detaillierte Informationen zu den Voraussetzungen zu erhalten.
## Sicherheit - **Automatische Entsperrung erlauben** - **Fingerabdruck für die Entsperrung zulassen** - **Fingerabdruck für die Entsperrung zulassen** ## iCloud - **iCloud-Adressbuch erlauben** - **iCloud-Backup zulassen** - **iCloud-Lesezeichen zulassen** - **iCloud-Kalender zulassen** - **iCloud-Desktop und -Dokumente zulassen** - **iCloud-Desktop und -Dokumente zulassen** - **iCloud Freeform erlauben** - **iCloud-Schlüsselbund-Synchronisierung aktivieren** - **iCloud Mail aktivieren** - **iCloud Notes aktivieren** - **iCloud-Fotos aktivieren** - **iCloud Private Relay aktivieren** - **iCloud-Erinnerungen zulassen** ## Multimedia - **Kamera aktivieren** - **Änderungen bei der Dateifreigabe zulassen** - **Änderungen bei der Dateifreigabe über USB-Laufwerke zulassen** ## Mobilfunk - **Änderung der Mobilfunkdaten für die App erlauben** - **Änderungen des Mobilfunkvertrags erlauben** - **Änderungen der eSIM-Einstellungen erlauben** - **eSIM-Ausgehende Übertragungen zulassen** ## Netzwerkfunktionen - **AirDrop erlauben** - **Eingehende AirPlay-Anfragen zulassen** - **AirPrint aktivieren** - **AirPrint-Anmeldeinformationen speichern zulassen** - **AirPrint iBeacon-Erkennung zulassen** - **Bluetooth-Änderungen zulassen** - **Bluetooth-Freigabe-Änderungen zulassen** - **Zugriff auf Netzwerkfreigaben für Dateien erlauben** - **Änderung der Internetfreigabe erlauben** ## Konten (Einschränkung) Das Konto-Panel enthält sowohl eine Einschränkung als auch (optional) eine Kontoeinrichtung. Der Einschränkungs-Schalter steuert, ob der Benutzer Systemkonten ändern kann. - **Änderung von Konten erlauben** # Apple-Richtlinie: Apps und Profile Dieser Abschnitt beschreibt, wie Sie verwaltete Anwendungen und Kontodaten für Apple-Geräte konfigurieren. ## App-Verwaltung Das Panel "**App-Verwaltung**" enthält sowohl allgemeine app-bezogene Einschränkungen als auch eine Liste der verwalteten Apps. ### Allgemeine App-Einschränkungen - **App-Clips erlauben** - **App-Installationen zulassen** - **App-Deinstallation zulassen** - **Automatische App-Downloads erlauben** - **Apps ausblenden erlauben** - **Apps sperren erlauben** - **In-App-Käufe erlauben** ### Verwaltete Apps Verwenden Sie **Anwendung hinzufügen**, um eine App zur Richtlinie hinzuzufügen. Jede verwaltete App wird als Karte angezeigt. Sie können die Karte erweitern, um ihre Einstellungen zu bearbeiten und die App mit der Löschfunktion zu entfernen. - **App Store ID**: Die App Store-Kennung der verwalteten App. - **Bundle-ID**: Die App-Bundle-Kennung. - **Installationsverhalten**: Steuert, ob die App installiert bleiben muss oder ob sie vom Benutzer installiert und deinstalliert werden kann. - **Zuweisung**: Art der Lizenzzuweisung. - **VPP-Lizenz**: Art der VPP-Lizenz, die für die Installation über den App Store verwendet wird. ## Konten Das **Konten**-Panel ermöglicht die Konfiguration von Konten, die auf verwalteten Geräten angewendet werden. Es enthält außerdem einen Schalter, um Änderungen an Konten einzuschränken. ### Einschränkung - **Kontoänderungen zulassen**: Wenn diese Option deaktiviert ist, können Benutzer keine Konten wie Apple-Konten oder Internetkonten ändern. ### Konten hinzufügen Verwenden Sie **Google-Konto hinzufügen** oder **E-Mail-Konto hinzufügen**, um Kontodaten zur Richtlinie hinzuzufügen. Jedes Konto wird als Karte mit seinen Konfigurationsfeldern angezeigt. ### Benutzerkonten und ihre Anmeldedaten Sowohl Google- als auch Mail-Kontokarten bieten einen **Anmeldedaten von Benutzern**-Umschalter. Wenn dieser aktiviert ist, werden die Anmeldedaten für jeden Benutzer einzeln angewendet. Wenn er deaktiviert ist, geben Sie die Kontoinformationen in der Richtlinie ein. ### Google-Kontoeinstellungen - **Anzeigename**: Der Name, der dem Benutzer für das Konto angezeigt wird. - **Google-E-Mail-Adresse**: Die E-Mail-Adresse des Benutzers. - **Vollständiger Name**: Der vollständige Name des Benutzers. ### E-Mail-Kontoeinstellungen E-Mail-Konten enthalten Identifikationsfelder sowie die Konfiguration für eingehende und ausgehende Server. Hostnamen sind erforderlich. - **Sichtbarer Name**: Der Name, der dem Benutzer für das E-Mail-Konto angezeigt wird. - **E-Mail-Adresse**: Die E-Mail-Adresse des Benutzers. - **Vollständiger Name**: Der vollständige Name des Benutzers. #### Eingehender Server - **Servertyp**: Mailprotokoll (z. B. IMAP oder POP). - **Authentifizierungsmethode**: Authentifizierungsmethode für den Server. - **IMAP-Pfadpräfix**: Wird nur angezeigt, wenn der Server-Typ IMAP ist. - **Host-Name**: erforderlich. - **Port**: Server-Port (1–65535). #### Ausgehender Server - **Authentifizierungsmethode** - **Host-Name**: erforderlich. - **Port**: Server-Port (1–65535). ### S/MIME-Optionen Für E-Mail-Konten können Sie auch die S/MIME-Verschlüsselungs- und Signatur-Einstellungen konfigurieren. #### Verschlüsselung - **S/MIME-Verschlüsselung** - **Benutzeridentität, die vom Benutzer überschrieben werden kann** - **Aktivierung des Nachrichten-spezifischen Schalters** - **Benutzer kann Einstellungen überschreiben** #### Anmelden - **S/MIME-Signatur** - **Benutzeridentität, die vom Benutzer überschrieben werden kann** - **Benutzer kann Einstellungen überschreiben**Optionen für Konten und Einschränkungen enthalten Tooltips im Dashboard, die Voraussetzungen und unterstützte Betriebssystemversionen dokumentieren.
# Gerätestatus # Geräteübersicht Öffnen Sie ein Gerät über das **Dashboard** → **Geräte**, indem Sie auf die Zeile des Geräts klicken. Der Seitentitel zeigt das Gerätemodell **(sofern verfügbar)** und die interne **ID**. ## Historische Daten im Vergleich zur aktuellen Anmeldung Wenn ein Gerät mehrere Anmeldungen hat, kann Cerberus Enterprise einen schreibgeschützten historischen Verlauf anzeigen. In diesem Fall wird ein **Banner mit den historischen Daten** angezeigt und eine Schaltfläche, um zu den aktuellen Anmeldedaten zurückzukehren. ## Top-Felder Der obere Bereich fasst die Geräteidentität, die Zuweisung und den Verwaltungsstatus zusammen. Einige Felder sind plattformspezifisch und werden nur für Android- oder Apple-Geräte angezeigt. - **ID** und **Modell**: schreibgeschützte Identifikatoren. - **Benutzer**: Zeigt den aktuell zugewiesenen Benutzer an (falls vorhanden). Über das Benutzermenü können Sie einen Benutzer **öffnen** oder **ändern**, oder einen Benutzer zuweisen, wenn keiner zugewiesen ist. - **Verwaltungsmodus** und **Besitzverhältnisse**: werden in der Benutzeroberfläche mit Tooltips angezeigt. - **Status**: aktueller Geräte-Status (mit Symbol und zusätzlichen Informationen im Tooltip). - **ADE-Profil** (nur für Apple-Geräte): zeigt das zugewiesene Automatische Geräte-Einrichtungs-Profil (falls vorhanden) und ermöglicht das Öffnen oder Ändern. - **Richtlinie**: Zeigt die zugewiesene Richtlinie und ermöglicht das Öffnen oder Ändern, oder weist eine Richtlinie zu, falls keine vorhanden ist. - **Richtlinienkonformitätsstatus** (wenn eine Richtlinie zugewiesen ist): Zeigt an, ob das Gerät den Richtlinien entspricht. - **Richtlinienversion** (wenn eine Richtlinie zugewiesen ist): Zeigt an, ob die neueste Version der Richtlinie auf dem Gerät angewendet ist. - **Registriert am** und **Letzter Statusbericht**: Zeitstempel für die Registrierung und den letzten Statusbericht. - **Abgemeldet am**: Wird angezeigt, wenn das Gerät abgemeldet wurde.Einige Daten und Bedienelemente sind nur verfügbar, wenn die entsprechende Kategorie in der Geräte-Richtlinie aktiviert ist. Weitere Informationen finden Sie im [**Status reporting**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/statusberichte "Status reporting") und [**Location and geofence**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/standort-und-geofence "Location and geofence") Bereich.
## Panels Der Geräte-Editor ist in erweiterbaren Abschnitten organisiert. Je nach Plattform und Status können Sie einen oder mehrere der folgenden Bereiche sehen: - **Standortkarte**: ein tabbed Bereich mit **Standort**verlauf für das aktuelle Gerät und, auf Android-Geräten, eine **Geofence**-Register für Geofence-Übergänge, wenn Geofencedaten verfügbar sind. - **Befehle**: Senden Sie Befehle an das Gerät und sehen Sie den Befehlsverlauf (plattformspezifisch). - **Sicherheitsstatus** (nur Android): Sicherheitsstatus, Play Integrity-Vergebnis und Sicherheitsrisiken. - **Anwendungsberichte** (nur Android): installierte Anwendungen und Feedback-/Fehlermeldungen. - **Verwaltete Anwendungen** (nur Apple): Status der verwalteten Apps und Installationsdetails. - **Details zur Nichteinhaltung**: werden angezeigt, wenn ein Gerät nicht den Richtlinien entspricht; listet die Richtlinieneinstellungen auf, die nicht eingehalten werden. - **Statusberichte**: Zusätzliche vom Gerät gemeldete Daten, dargestellt als eine Baumstruktur aus Kategorien und Werten. - **Einrichtungs-Historie**: vorherige Anmeldungen für dieses Gerät, dargestellt als Liste. ## Standregister im Standort-Panel Das **Standortkarten**-Panel verwendet jetzt Register, damit Standortverlauf und Geofence-Übergänge getrennt bleiben. - **Standort**: Zeigt Verlauf, Filter, eine Datumsbereichssuche, Standortmarkierungen, den Genauigkeitskreis und die Steuerelemente für die Live-Verfolgung des aktuellen Geräts. - **Geofence** (nur Android): Zeigt den Geofence-Übergangshistorie auf einer speziellen Karte, mit periodischen Filtern, einer optionalen Schaltfläche zum Anzeigen archivierter Geofences und einer Seitenleiste mit Übergängen. Für das vollständige Verhalten dieser Registerkarten, siehe [**Standortkarte**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/positionskarte "Location map"). ## Aktionen Am unteren Rand der Seite können Sie Daten aktualisieren und Aktionen ausführen, abhängig von der Plattform, dem Geräte-Status und dem Lizenzstatus. - **Aktualisieren Sie die Daten**: Laden Sie den Geräte-Eintrag neu. - **Gerät deaktivieren** / **Gerät aktivieren** (nur Android): verfügbar in unterstützten Zuständen. - **Gerät aus dem Verzeichnis entfernen**: Entfernt die Geräteverwaltung. Das genaue Verhalten hängt von der Plattform und dem Eigentümer ab (z. B. kann Android ein Arbeitsprofil löschen oder das Gerät auf Werkseinstellungen zurücksetzen). - **Gerät löschen**: Diese Option ist verfügbar, wenn das Gerät bereits abgemeldet wurde und sein Eintrag entfernt werden kann. # Befehle Der Geräte-Editor bietet ein **Befehle**-Panel, um Remote-Befehle an ein verwaltetes Gerät zu senden. Die verfügbaren Befehle hängen von der Plattform (Android oder Apple) und dem Geräte-Status ab.Wenn das Gerät nicht mit dem Internet verbunden ist, wird der Befehl übermittelt und ausgeführt, sobald das Gerät wieder eine Verbindung zum Internet herstellt. Bei Android-Befehlen können Sie den Parameter **Dauer** festlegen, um zu bestimmen, wie lange ein nicht übermittelte Befehl gültig bleibt.
## Android (AMAPI)-Befehle Für Android-Geräte enthält das Befehle-Panel ein **Dauer-**Feld (Wert + Einheit) und einen **Befehl-**Auswahl. Einige Befehle erfordern zusätzliche Parameter, die dynamisch angezeigt werden, wenn Sie den Befehl auswählen. ### Häufig verwendete Parameter - **Dauer**: wie lange der Befehl gültig ist, wenn er nicht sofort ausgeführt werden kann. - **Befehl**: Wählen Sie die auszuführende Aktion für das Gerät. ### Befehle mit zusätzlichen Feldern - **Passwort zurücksetzen**. Erfordert **Neues Passwort** und **Bestätigung des neuen Passworts**. Optionale Einstellungen sind: **Jetzt sperren**, **PIN-Eingabe erforderlich** und **Keine Anmeldeaufforderung beim Start**. - **App-Daten löschen**: erfordert den Ziel-**Paketnamen**. - **Gerät in den "Verloren"-Modus versetzen**: erfordert eine **Verlustmeldung** und unterstützt optionale Kontaktfelder (Straße, Firma, Telefonnummer, E-Mail-Adresse). - **Geräteinformationen anfordern**: erfordert die Auswahl, welche Geräteinformationen angefordert werden sollen. - **eSIM hinzufügen**: erfordert einen **Aktivierungscode** und einen **Aktivierungsstatus**. - **eSIM entfernen**: hierfür ist die eSIM **ICCID** erforderlich. - **Löschen**: unterstützt eine **Nachricht zur Begründung des Löschvorgangs** (die auf persönlichen Geräten für Benutzer angezeigt wird) sowie optionale Löschflags. ### Befehlsverlauf Unterhalb der Sende-Steuerelemente zeigt das Dashboard eine Tabelle mit der Befehlshistorie. Die Tabelle ist sortierbar und unterstützt die Paginierung. Einige Zeilen können erweitert werden, um zusätzliche Parameter oder Ausführungsdetails anzuzeigen. #### Android-Aktivitätsverlauf-Spalten - **Erstellungsdatum** - **Befehl** - **Gültigkeit** - **Status** - **Fehler** - **Ausführungsdatum** ## Apple (MDM) Befehle Für Apple-Geräte bietet das Bereich "Befehle" einen **Befehl**-Auswahldialog. Einige Befehle erfordern zusätzliche Eingaben. Wie bei Android wird unten eine Befehlshistoriktabelle angezeigt. ### Befehle mit zusätzlichen Feldern - **InstallApplication**: erfordert die Angabe der **Anwendungs-ID**. - **SendNotification**: erfordert eine **Benachrichtigungsnachricht** (maximale Länge: 200 Zeichen). #### Apple-Aktivitätsverlauf - **Erstellungsdatum** - **Befehl** - **Status** - **Gerätezustand** ## Aktualisieren Verwenden Sie die "Aktualisieren"-Funktion im Befehlspanel, um den Befehlsverlauf neu zu laden. # Positionskarte Diese Seite dokumentiert die gerätespezifischen Standorttools, die in [**Geräteübersicht**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/gerateubersicht "Device overview") verfügbar sind. Das Panel enthält einen **Standort**-Tab für Positionsverlauf und, bei Android-Geräten, einen **Geofence**-Tab für Geofence-Übergänge. ## Voraussetzungen Standortdaten werden nur angezeigt, wenn die Standortmeldung in der Geräte Richtlinie aktiviert ist. Um dies zu aktivieren, öffnen Sie die Richtlinie und schalten Sie **Standort und Geofence** → **Standort melden** ein. Weitere Details finden Sie unter [**Standort und Geofence**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/standort-und-geofence "Location and geofence").Bei Geräten, die nicht vollständig verwaltet werden, können Standortdaten weiterhin davon abhängen, dass die Cerberus Enterprise-App die erforderlichen Standortberechtigungen besitzt und die Standortdienste auf dem Gerät aktiviert sind.
Für die globale Mehrfachgeräte-Karte, die im Dashboard verfügbar ist, siehe [**Dashboard-Standortkarte**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/dashboard-standortkarte "Dashboard location map").
## Laden... Keine Daten vorhanden - Während Standortdaten geladen werden, zeigt das Panel eine Ladeanzeige auf der Karte. - Wenn das Gerät keine Standortdaten hat, zeigt das Panel eine Meldung mit **Keine Standortdaten verfügbar** an, zusammen mit einer Erinnerung, die Standortmeldung in der zugewiesenen Richtlinie zu aktivieren. - Wenn ein Datumsfilter aktiv ist und keine Übereinstimmungen gefunden werden, zeigt das Panel **Keine Daten für den ausgewählten Zeitraum verfügbar**. ## Standort-Registerkarte Öffnen Sie die **Standort**-Registerkarte, um den Verlauf für ein einzelnes Gerät einzusehen. Die verfügbaren Filter umfassen den letzten bekannten Standort, aktuelle Verlaufspannen, einen benutzerdefinierten Datumsbereich und die Live-Verfolgung. - **Letzter**: zeigt den zuletzt bekannten Standort. - **Heute**, **Letzte 7 Tage** und **Letzte 30 Tage**: zeigen aufgezeichnete Orte für den ausgewählten Zeitraum. - **Suche**: ermöglicht die Auswahl eines benutzerdefinierten Datumsbereichs. - **Live**: startet oder stoppt die Live-Verfolgung für das aktuelle Gerät. ## Details zum Symbol Wenn Sie auf einen Standortmarker klicken, öffnet sich ein Informationsfenster mit: - Der Zeitstempel des Standortdatensatzes. - Die angegebene **Genauigkeit** (in Metern). - Die gemeldete **Geschwindigkeit**, sofern das Gerät sie bereitstellt. - Die gemeldete **Kopfrichtung** oder -peilung, sofern das Gerät sie bereitstellt. ## Genauigkeitsbereich Wenn das Informationsfenster geöffnet ist, wird ein Genauigkeitsbereich um den Marker angezeigt. Der Radius des Kreises entspricht der angegebenen Genauigkeit (in Metern). Durch Schließen des Informationsfensters wird der Kreis ausgeblendet. ## Echtzeit-Tracking In the device history view, selecting the **Live** filter startet eine Echtzeit-Tracking-Anfrage für das spezifische Gerät. Cerberus Enterprise fragt nach einer Bestätigung, bevor die Anfrage gestartet wird. - Echtzeit-Tracking läuft für bis zu **15 Minuten**. - Das Gerät zeigt eine Benachrichtigung während der Live-Verfolgung an. - Während der Live-Verfolgung aktualisiert das Panel kontinuierlich den neuesten Standort, und der Live-Indikator bleibt sichtbar. - Die erneute Auswahl des Live-Filters ermöglicht das Beenden der Live-Verfolgung vor Ablauf des Timeouts. ## Geofence-Tab Auf Android-Geräten zeigt der zweite Tab Geofence-Übergänge an, die aus den in der zugewiesenen Richtlinie definierten Geofences generiert wurden. Dieser Tab ist verfügbar, wenn Geofence-Daten für das Gerät vorhanden sind. - Die Karte zeigt die aktuellen Geofence-Bereiche zusammen mit den aufgezeichneten Übergangspunkten. - Die Übergangsliste auf der rechten Seite ermöglicht es Ihnen, **Eingangs**- und **Ausgangs**ereignisse zu prüfen. - Die verfügbaren Filter sind **Heute**, **Letzte 7 Tage**, **Letzte 30 Tage** und eine benutzerdefinierte Datumsbereichssuche. - **Einschließlich archivierter** Übergänge, die sich auf frühere Geofence-Definitionen beziehen, die nicht mehr in der aktuellen Richtlinie vorhanden sind. ## Geofence-Übergangsdetails Die Auswahl einer Übergangsaktion öffnet ihre Details auf der Karte und hebt den entsprechenden Listeneintrag hervor. Wenn verfügbar, zeigt Cerberus Enterprise auch die Gerätekoordinaten und die gemeldete Genauigkeit für diese Übergangsaktion an. # Dashboard-Standortkarte Die Standortkarte im Dashboard bietet einen globalen Überblick über die zuletzt bekannte Position von Geräten, die Standortdaten melden. Öffnen Sie diese über **Dashboard**, um mehrere Geräte auf derselben Google Karte zu überprüfen. ## Voraussetzungen Ein Gerät erscheint auf dieser Karte nur, wenn die Standortmeldung in seiner zugewiesenen Richtlinie aktiviert ist. Um dies zu aktivieren, öffnen Sie die Richtlinie und schalten Sie **Standort und Geofence** → **Standort melden** ein. Weitere Details finden Sie unter [**Standort und Geofence**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/standort-und-geofence "Location and geofence").Bei Geräten, die nicht vollständig verwaltet werden, können Standortdaten weiterhin davon abhängen, dass die Cerberus Enterprise-App die erforderlichen Standortberechtigungen besitzt und die Standortdienste auf dem Gerät aktiviert sind.
Für die pro Gerät verfügbaren Historien und Geofence-Übergänge im Geräte-Editor, siehe [**Standortkarte**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/positionskarte "Location map").
## Laden... Keine Daten vorhanden - Während Standortdaten geladen werden, zeigt die Karte eine Ladeanzeige. - Wenn derzeit keine Geräte Standortdaten bereitstellen, wird eine **Keine Standortdaten verfügbar**-Meldung angezeigt. ## Marker und Cluster Jedes Gerät mit verfügbaren Standortdaten wird als Marker angezeigt. Wenn viele Geräte nahe beieinander liegen, werden Marker automatisch gruppiert, um die Übersichtlichkeit der Karte zu gewährleisten. Geräte, die sich aktuell in der Live-Verfolgung befinden, werden mit einem animierten Marker hervorgehoben, damit sie auf der Karte leichter zu erkennen sind. ## Kartenbedienung Wenn die Karte Gerätepositionen enthält, zeigt Cerberus Enterprise Aktionsschaltflächen in der oberen rechten Ecke der Karte an. - **Aktueller Standort**: verwendet deine Browser-Standortbestimmung, um die Karte zu deiner aktuellen Position zu verschieben und den Bereich der angegebenen Genauigkeit anzupassen. - **Karte zentrieren**: passt die Karte erneut an die aktuell angezeigten Geräte-Marker an. - **Verfolgung** in Echtzeit: erscheint, wenn ein oder mehrere Geräte in Echtzeit verfolgt werden, und zeigt an, wie viele aktuell aktiv sind. - **Live-Verfolgung stoppen**: Der Symbol-Button innerhalb des Live-Tracking-Elements stoppt die Live-Verfolgung für alle aktuell verfolgten Geräte nach einer Bestätigung. ## Details zum Symbol Ein Klick auf einen Marker öffnet ein Informationsfenster mit: - Das Gerät **Modell** und interne **Id**. - Der Zeitstempel des zuletzt gemeldeten Standorts. - Die gemeldete **Genauigkeit** in Metern. - Die angegebene **Geschwindigkeit**, falls verfügbar. - Der gemeldete **Titel** oder Kurs, falls verfügbar. Die Geräteidentifikator im Informationsfenster ist ein Link, der die entsprechende [**Geräteübersicht**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/gerateubersicht "Device overview")-Seite öffnet. ## Info-Fenster Aktionen Jedes Informationsfenster enthält außerdem Aktionsschaltflächen für das ausgewählte Gerät. - **Geräteverbindung**: Der Gerätename und die ID oben im Informationsfenster öffnen die entsprechende Geräteübersichtseite. - **Zoomen**: zentriert die Karte auf das ausgewählte Gerät und passt den gemeldeten Genauigkeitskreis enger um es herum an. - **Live**: startet die Live-Verfolgung für dieses Gerät. Wenn die Live-Verfolgung bereits aktiv ist, stoppt derselbe Button sie nach Bestätigung. - **Live-Verfolgung aktiv**: Wenn diese Statusleiste angezeigt wird, bedeutet dies, dass das ausgewählte Gerät bereits in Echtzeit verfolgt wird. ## Genauigkeitsbereich Wenn ein Marker ausgewählt wird, zeigt die Karte einen Genauigkeitskreis um den Standort an. Der Radius des Kreises entspricht der gemeldeten Genauigkeit. ## Echtzeit-Tracking-Verhalten Das Starten der Live-Verfolgung aus einem Informationsfenster sendet eine Echtzeit-Tracking-Anfrage an dieses Gerät. Cerberus Enterprise aktualisiert dann die Karte automatisch während der aktiven Sitzung. - Jede Live-Tracking-Sitzung läuft bis zu **15 Minuten**. - Das Gerät zeigt eine Benachrichtigung während der Live-Verfolgung an. - Die Live-Verfolgung kann entweder aus dem ausgewählten Geräte-Info-Fenster oder aus der globalen **Live-Verfolgung stoppen** Schaltfläche auf der Karte gestoppt werden. # Private Apps Von diesem Abschnitt des Dashboards aus können Sie Ihre eigenen privaten Android-Apps hochladen oder Web-Apps erstellen, die Sie auf Ihren Geräten verteilen können. Die einzigen Angaben, die Sie benötigen, sind der Titel und die APK-Datei der App. Private Apps werden automatisch für Ihr Unternehmen genehmigt und sind in der Regel innerhalb von 10 Minuten zur Verteilung bereit. Sie können insgesamt 15 private Apps pro Tag hochladen. Beachten Sie, dass auch Web-Apps zu dieser Gesamtzahl zählen. Wenn Sie zum ersten Mal eine private App veröffentlichen, benötigen Sie eine E-Mail-Adresse, um Benachrichtigungen von der Google Play Console über Ihre Apps und Ihr Google Play Entwicklerkonto zu erhalten. Außerdem erstellt Managed Play automatisch ein Google Play Entwicklerkonto im Namen Ihrer Organisation. Für dieses Konto fallen keine Anmeldegebühren an. Private Apps, die über den iFrame veröffentlicht werden: - Unterliegen nicht den gleichen Prüfungen wie andere Apps. Daher können sie nicht in öffentliche Apps umgewandelt werden. - Sind nicht übertragbar. Sie können den Besitz einer App nicht auf ein anderes Play Developer-Konto übertragen. Für weitere Details besuchen Sie bitte die [Google Play Hilfe für Geräte mit Management](https://support.google.com/googleplay/work/answer/9146439) # Zertifikatsverwaltung Das Dashboard enthält einen **Zertifikate**-Bereich, mit dem Sie Zertifikate importieren, anzeigen und löschen können. Durch Klicken auf eine Zeile in der Zertifikatsliste wird der Zertifikateditor geöffnet. ## Liste der Zertifikate Zertifikate werden in einer sortierbaren und paginierten Tabelle angezeigt. Die Liste enthält sowohl Client-Zertifikate als auch Zertifizierungsstellen (CAs). ### Filter Oben auf der Seite können Sie Filter mithilfe der Chip-Liste aktivieren. Einige Filter schließen sich gegenseitig aus. - **Alle**: Zeigt alle Zertifikate. - **Client**: Zeigt nur Client-Zertifikate. - **Zertifizierungsstelle (CA)**: Zeigt nur CA-Zertifikate. - **Suche**: Zeigt ein Textfeld (Beschriftung: **Name oder Dateiname**) an, um nach Zertifikatsnamen oder importierten Dateinamen zu suchen. - **Ohne Benutzer**: Zeigt Client-Zertifikate an, die nicht mit einem Benutzer verknüpft sind. ### Tabellenspalten - **Name** - **Typ** - **Ablaufdatum** - **Benutzer** (wird für Client-Zertifikate angezeigt) - **Importierter Dateiname** - **Importiertes Datum** ### Aktionen - **Zertifikat öffnen**: Klicken Sie auf eine Zeile, um den Zertifikateditor zu öffnen. - **Zertifikat löschen**: Diese Option ist nur verfügbar, wenn das Zertifikat nicht mit Benutzern/Richtlinien verknüpft ist und von keinen Geräten verwendet wird. Die Funktion kann auch deaktiviert sein, wenn die Lizenz abgelaufen ist. - **Auswahl mehrerer Zeilen**: Sie können die Auswahl mehrerer Zeilen aktivieren, um mehrere Zertifikate gleichzeitig zu löschen. Nur Zertifikate, die gelöscht werden können, können ausgewählt werden. - **Aktualisieren**: Lädt die Liste der Zertifikate neu. ## Zertifikate importieren Um Zertifikate zu importieren, klicken Sie auf **Zertifikat importieren** und wählen Sie eine oder mehrere Dateien aus. Die unterstützten Formate werden im Tooltip des Import-Buttons angezeigt. ### Clients Unterstütztes Format: Base64-kodiertes PKCS#12-Format (.p12 / .pfx). Client-Zertifikate identifizieren einen Benutzer oder ein Gerät im Unternehmensnetzwerk. Client-Zertifikate können einem bestimmten Benutzer zugeordnet werden. Jedes Client-Zertifikat kann optional einem bestimmten Benutzer zugewiesen werden: Dies ermöglicht die Verwendung der gleichen Wi-Fi EAP-Konfiguration auf vielen Geräten. Dies können Sie im Abschnitt [Netzwerkkonfiguration](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/netzwerkfunktionen "Networking") verwenden, wobei Sie die Option **EAP-Zugangsdaten von Benutzern** auswählen.Alternativ können Sie einem Benutzer ein Zertifikat von der Seite **Benutzer** zuweisen.
### Zertifizierungsstellen (CA) Unterstützte Formate: Base64-kodiertes X.509 (.crt / .pem / .cer / .der). CA-Zertifikate identifizieren eine Zertifizierungsstelle und signalisieren dem Gerät, dass alle von dieser Zertifizierungsstelle ausgestellten Zertifikate als vertrauenswürdig gelten sollen. Das Dashboard überprüft, ob ein importiertes X.509-Zertifikat eine CA-Zertifikat ist. ## Zertifikatseditor Wenn Sie ein Zertifikat öffnen, zeigt der Editor seine Hauptfelder sowie ein schreibgeschütztes **Zertifikatsinformationen**-Panel an. ### Hauptfelder - **Name** (erforderlich) - **ID** (nur lesbar) - **Typ** (schreibgeschützt) - **Ablaufdatum** (schreibgeschützt) - **Importdatum** (schreibgeschützt) - **Importierter Dateiname** (schreibgeschützt) ### Benutzerzuordnung (Client-Zertifikate) Für **Client**-Zertifikate zeigt der Editor ein **Benutzer**-Feld. Wenn ein Benutzer zugewiesen ist, ermöglicht ein Menü, den Benutzer zu **öffnen**, **ändern** oder **abzumelden**. Wenn kein Benutzer zugewiesen ist, können Sie einen Benutzer über die Schaltfläche "Benutzeraktion" zuweisen. ### Zertifikat löschen Die Löschfunktion ist deaktiviert, wenn das Zertifikat aktuell einem Benutzer zugeordnet ist oder in Richtlinien verwendet wird. Sie kann auch deaktiviert sein, wenn die Lizenz abgelaufen ist. # Geräte # Geräte Im Bereich **Geräte** des Dashboards (*Dashboard* → *Geräte*) werden alle registrierten Geräte in Ihrem Konto aufgelistet. Von dieser Seite aus können Sie die Liste filtern, einen Geräte-Eintrag öffnen und Aktionen für Geräte ausführen, z. B. das Deaktivieren oder Abmelden. ## Filter Oben auf der Seite können Sie mit der Chip-Liste einen oder mehrere Filter aktivieren. Die ausgewählten Chips zeigen die aktuell aktiven Filter an. ### Verfügbare Filter - **Alle**: Zeigt alle Geräte. - **Android**: Zeigt nur Android-Geräte. - **Apple**: Zeigt nur Apple-Geräte. - **Geräte des Unternehmens**: Zeigt nur Geräte, die dem Unternehmen gehören. - **Privat besessen**: Zeigt nur privat besessene Geräte. - **Profilinhaber**: Zeigt nur Geräte, die mit einem Android-Arbeitsprofil eingerichtet sind. - **Geräteadministrator**: Zeigt nur Android-Geräte, die vollständig verwaltet werden. - **Aktiv**: Zeigt Geräte im aktiven Zustand an. - **Konform**: Zeigt Geräte an, die den Richtlinien entsprechen. - **Nicht konform**: Zeigt Geräte an, die nicht den Richtlinien entsprechen. - **Sicher**: Zeigt Geräte mit einem sicheren Status an. - **Nicht sicher**: Zeigt Geräte mit einem unsicheren Status an. - **Richtlinie nicht aktualisiert**: Zeigt Geräte an, bei denen Richtlinienänderungen ausstehend sind. - **Status nicht aktualisiert**: Zeigt Geräte an, die ihren Status in den letzten 72 Stunden nicht gemeldet haben. - **Anwendungsfehler**: Zeigt Geräte an, deren Anwendungen Fehler gemeldet haben. - **Suche**: Aktiviert ein Textsuchfeld. ### Suche: Aktiviert ein Textsuchfeld Wenn Sie den **Such**-Filter aktivieren, erscheint ein Textfeld mit der Bezeichnung **ID, Modell oder Benutzer**. Die Liste wird automatisch aktualisiert, sobald Sie das Tippen beenden. ## Gerätetabelle Geräte werden in einer sortierbaren und paginierten Tabelle angezeigt. Durch Klicken auf eine Zeile wird der Geräteeditor geöffnet. ### Spalten - **ID**: Interne Geräte-ID. - **MDM**: Plattform (Android oder Apple). - **Modell**: Gerätemodell. - **Besitz**: Firmenbesitz oder Privatbesitz (mit Detailinformationen in der Tooltip). - **Verwaltungsmodus**: Betriebsmodus (mit Detailinformationen im Tooltip). - **Richtlinie**: aktuell zugewiesene Richtlinie. - **Benutzer**: zugeordnete Benutzerinformationen (Name, E-Mail-Adresse oder ID, abhängig von der Verfügbarkeit). - **Letzter Statusbericht**: Zeitstempel des aktuellsten Statusberichts (falls verfügbar). - **Status**: Geräte-Status (mit Details im Tooltip). - **Compliance**: Anzeige des Compliance-Status. - **Sicherheit**: Sicherheitsstatus (mit detaillierten Informationen in der Tooltip). - **Fehler bei Apps**: Anzeige für Fehler bei Apps. ### Aktualisieren und Paginierung - Verwenden Sie die Aktualisierungsfunktion, um die Liste neu zu laden. - Die Tabelle ist paginiert (10/25/50 Elemente pro Seite). ## Geräteaktionen Jede Gerätezeile kann Aktionen anbieten, abhängig von der Plattform und dem Geräte-Status. Einige Aktionen sind deaktiviert, wenn Ihre Lizenz abgelaufen oder gekündigt ist. ### Aktionen pro Gerät - **Gerät deaktivieren** / **Gerät aktivieren**: verfügbar für Android-Geräte in unterstützten Zuständen. - **Gerät aus dem Verzeichnis entfernen**: entfernt die Geräteverwaltung. Bei Android-Geräten kann dies dazu führen, dass das Arbeitskonto gelöscht oder das Gerät auf die Werkseinstellungen zurückgesetzt wird (abhängig vom Eigentümer); bei Apple-Geräten werden die Richtlinseinstellungen entfernt. - **Gerät entfernen**: verfügbar für Geräte, die bereits abgemeldet wurden (löscht den Eintrag aus dem System). ### Mehrfachauswahl Sie können die Mehrfachauswahl in der Aktionsleiste unterhalb der Tabelle aktivieren. Wenn aktiviert, können Sie mehrere Zeilen auswählen und Massenaktionen ausführen (deaktivieren, aktivieren, abmelden oder löschen), je nachdem, welche Geräte ausgewählt sind. ## Apple Business Manager-Synchronisierung Wenn Apple Management konfiguriert ist und ein Token für die automatische Geräteanmeldung vorhanden ist, kann die Seite die Aktion "**Geräte von ABM importieren**" anzeigen. ## Ein Gerät registrieren Verwenden Sie **Gerät registrieren**, um den Abschnitt für Registrierungstoken zu öffnen und ein neues Gerät zu registrieren. # Benutzer # Benutzer Der Bereich **Benutzer** im Dashboard (*Dashboard* → *Benutzer*) listet alle Benutzer auf, die in Ihrem Konto konfiguriert sind. Von dieser Seite aus können Sie Benutzer suchen, den Benutzereditor öffnen, neue Benutzer erstellen und Benutzer löschen, die derzeit nicht mit Geräten verknüpft sind. ## Suche: Aktiviert ein Textsuchfeld Oben auf der Seite befindet sich ein Suchfeld mit der Bezeichnung **Suche** und dem Platzhalter **Name, Benutzername oder E-Mail**. Die Liste wird automatisch aktualisiert, sobald Sie die Eingabe beenden. ## Benutzertabelle Benutzer werden in einer sortierbaren, paginierten Tabelle angezeigt. Ein Klick auf eine Zeile öffnet den Benutzereditor. ### Spalten - **ID**: interner Benutzerbezeichner. - **Vorname**: Benutzername. - **Nachname**: Benutzername. - **Benutzername**: Benutzername (oft ein Verzeichnisbenutzername). - **E-Mail**: E-Mail-Adresse des Benutzers. - **Geräte**: Anzahl der aktuell dem Benutzer zugeordneten Geräte. - **WLAN-Zertifikat**: Anzeige, ob ein WLAN-Zertifikat dem Benutzer zugewiesen ist. ### Aktualisieren und Paginierung - Die Aktualisierungsfunktion lädt die Liste neu. - Die Tabelle ist paginiert (10/25/50 Elemente pro Seite). ## Benutzeraktionen ### Neuen Benutzer erstellen Verwenden Sie **Neuen Benutzer erstellen**, um den Dialog zur Benutzererstellung zu öffnen. Diese Aktion ist deaktiviert, wenn Ihre Lizenz abgelaufen ist. ### Synchronisieren Sie Daten von Google Workspace Wenn die Synchronisierung mit dem Google Workspace-Verzeichnis für Ihr Konto verfügbar ist, wird auf der Seite Folgendes angezeigt: **Synchronisieren von Google Workspace**. Während der Synchronisierung wird ein Fortschrittsbalken angezeigt. ### Einen Benutzer löschen Sie können einen Benutzer nur dann löschen, wenn dieser nicht mit einem Gerät verknüpft ist (die Spalte **Geräte** muss 0 sein). Die Löschfunktion ist deaktiviert, wenn Ihre Lizenz abgelaufen oder gekündigt ist. ### Mehrfachauswahl und Massenlöschung Über die Aktionsleiste unterhalb der Tabelle können Sie die Mehrfachauswahl aktivieren. In diesem Modus können Sie mehrere Benutzer auswählen und diese in einem Schritt löschen. - **Berechtigung**: Nur Benutzer mit **Geräten** = 0 können für die Löschung ausgewählt werden. - **Alle auswählen**: Das Kontrollkästchen "**Alle**" wählt alle verfügbaren Zeilen auf der aktuellen Seite aus. - **Massentfernung**: Die Funktion **Benutzer löschen** ist deaktiviert, wenn keine Zeilen ausgewählt sind oder wenn Ihre Lizenz abgelaufen oder gekündigt ist. ## Wi-Fi-Zertifikate und EAP Die Spalte "**WLAN-Zertifikat**" zeigt an, ob einem Benutzer ein Zertifikat zugewiesen ist. Benutzerzertifikate werden typischerweise für WLAN-EAP-Konfigurationen (z. B. EAP-TLS) verwendet. Informationen zur Zertifikatszuweisung und -verwaltung finden Sie unter [**Zertifikatsverwaltung**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/zertifikatsverwaltung "Certificate management"). # Benutzer-Editor Der Benutzer-Editor ist verfügbar über *Dashboard* → *Benutzer*, indem Sie eine Benutzerzeile auswählen. Er ermöglicht die Bearbeitung von Benutzerdetails, die Konfiguration von Wi-Fi EAP-Zugangsdaten für einzelne Benutzer und die Anzeige der zugehörigen Geräte des Benutzers. ## Benutzerdetails Der obere Bereich enthält die wichtigsten Benutzerinformationen. Einige Felder sind erforderlich, und der Editor zeigt Validierungsfehler, wenn diese fehlen oder ungültig sind. - **ID**: schreibgeschützter Bezeichner. - **Vorname**: erforderlich. - **Nachname**: erforderlich. - **Benutzername**: erforderlich. - **E-Mail-Adresse**: erforderlich und muss eine gültige E-Mail-Adresse sein. - **Telefonnummer**: optional. - **Google-Konto**: optional und muss, falls angegeben, eine gültige E-Mail-Adresse sein. ## Google-Authentifizierung: Standardrichtlinie In Google Workspace-Umgebungen mit aktivierter Google-Authentifizierung kann der Editor die **Google-Authentifizierung: Standardrichtlinie** anzeigen. Dies ist die Richtlinie, die auf Geräte angewendet wird, die mit Google-Authentifizierung durch diesen Benutzer registriert wurden. - **Richtlinie ändern**: Öffnet den Dialog zur Richtlinienauswahl. - **Richtlinie öffnen**: Öffnet die ausgewählte Richtlinie im Richtlinien-Editor (wenn eine Richtlinie eingestellt ist). - Nachdem Sie eine neue Standardrichtlinie ausgewählt haben, müssen Sie den Benutzer speichern, um die Änderung anzuwenden. Der Editor zeigt eine Benachrichtigung, die Sie daran erinnert, zu speichern. ## Wi-Fi EAP-Zugangsdaten Der Bereich **WLAN EAP-Anmeldedaten** wird verwendet, um pro Benutzer spezifische Anmeldedaten zu konfigurieren, die automatisch auf den Geräten der Benutzer installiert werden, wenn deren zugewiesene Richtlinie eine WLAN EAP-Konfiguration enthält, die diese erfordert. Die WLAN EAP-Konfiguration ist Teil der Android-Richtlinie [Netzwerkkonfiguration](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/netzwerkfunktionen "Networking"). ### Client-Zertifikat Sie können einem Benutzer optional ein Client-Zertifikat zuweisen. Wenn ein Zertifikat zugewiesen wurde, wird es im Feld **Client-Zertifikat** angezeigt, und ein Menü bietet Aktionen. Wenn kein Zertifikat zugewiesen ist, wird im Feld **Kein Zertifikat zugewiesen** angezeigt, und Sie können eines zuweisen. - **Zertifikat zuweisen**: Öffnet den Dialog zur Zertifikatauswahl. - **Zertifikat öffnen**: Öffnet den Zertifikateditor. - **Zertifikat ändern**: Wählt ein anderes Client-Zertifikat aus. - **Zertifikat entfernen**: Entfernt das Zertifikat vom Benutzer. Das System entfernt das Zertifikat auch von allen Geräten, die mit diesem Benutzer verknüpft sind. Für den Import und die Verwaltung von Zertifikaten, siehe [**Zertifikatsverwaltung**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/zertifikatsverwaltung "Certificate management"). ### Identität, anonyme Identität und Passwort - **Identität**: Die Identität des Benutzers. Für das Tunneln von äußeren Protokollen (PEAP, EAP‑TTLS) wird dies innerhalb des Tunnels verwendet. - **Anonyme Identität**: Wird für das Tunneln äußerer Protokolle verwendet und stellt die außerhalb des Tunnels präsentierte Identität dar. Wenn sie nicht angegeben ist, wird standardmäßig eine leere Zeichenkette verwendet. - **Passwort**: Das Benutzerpasswort für EAP-Methoden, die es erfordern. Wenn es nicht angegeben ist, kann das Gerät den Benutzer auffordern. Eine Schaltfläche zum Anzeigen/Verbergen schaltet die Passwortsichtbarkeit um. ## Verbundene Geräte Der Bereich **Verbundene Geräte** zeigt die Liste der Geräte, die derzeit mit dem Benutzer verknüpft sind. Wenn der Benutzer ein oder mehrere verbundene Geräte hat, kann der Benutzer nicht gelöscht werden. ## Speichern und löschen - **Benutzer speichern**: Nur aktiviert, wenn das Formular gültig ist, ausstehende Änderungen vorhanden sind und die Lizenz aktiv ist. Ein Fortschrittsbalken wird angezeigt, während der Vorgang ausgeführt wird. - **Benutzer löschen**: Diese Option ist deaktiviert, wenn der Benutzer mit Geräten verknüpft ist oder wenn die Lizenz abgelaufen oder gekündigt ist. Wenn das Löschen zulässig ist, wird ein Bestätigungsdialog angezeigt. Wenn der Benutzer Enrollment-Token zugewiesen sind, warnt der Dialog, dass Geräte, die mit diesen Token registriert wurden, nicht mehr einem Benutzer zugeordnet sind. ## Warnung: Änderungen wurden noch nicht gespeichert Wenn Sie nicht gespeicherte Änderungen haben und die Seite verlassen möchten, fragt das Dashboard, ob Sie die Änderungen verwerfen möchten. # Konto # Einstellungen Die **Einstellungen**-Seite (*Übersicht* → *Einstellungen*) fasst Kontoinformationen und Lizenzdetails zusammen und bietet Aktionen zum Verwalten von Abrechnungen, zur Einrichtung der Plattform (Android Management und Apple Management) sowie optionale Verzeichnis-/Token-Integrationen. ## Lizenzhinweis (läuft ab / abgelaufen) Wenn Ihre Lizenz **läuft ab**, **abgelaufen** oder **gekündigt** wird, wird ein auffälliger Hinweis oben auf der Seite angezeigt. Abhängig von Ihrem Abonnementstatus bietet er entweder eine **Abrechnung verwalten**-Funktion (Stripe-Kundenportal) oder eine **Lizenz kaufen**-Funktion.Wenn die Lizenz abläuft, ist das Konto auf die Geräteabmeldung beschränkt. Nach der Gnadenfrist kann das Konto gekündigt werden, und Geräte können automatisch abgemeldet werden.
## Kontoinformationen Die **Kontoinformationen**-Karte zeigt schreibgeschützte Felder: - **Benutzername** - **Name des Unternehmens** - **Unternehmens-ID** ### Passwort ändern Wenn Sie nicht mit Google oder Apple angemeldet sind, zeigt die Karte auch eine **Passwort ändern** Aktion. Dies öffnet einen Dialog, um den Passwortänderungsvorgang fortzusetzen. ## Lizenzinformationen Die **Lizenzinformationen**-Ansicht zeigt den aktuellen Lizenzstatus und die Anzahl Ihrer Geräte. Sie bietet außerdem Optionen, um den Vertrieb zu kontaktieren, die Abrechnung zu verwalten oder eine Lizenz zu erwerben. - **Lizenzstatus**: wird als **aktiv** oder **abgelaufen** (mit einem Symbol und einem Tooltip) angezeigt. - **Kostenlose Testphase**: wird angezeigt, wenn das Konto sich aktuell in der Testphase befindet. - **Lizenzierten Geräte**: Maximale Anzahl von Geräten, die durch die Lizenz erlaubt sind. Der *Benötigen Sie mehr Geräte?*-Link öffnet eine Nachricht, um den Support zu kontaktieren. - **Nächster geplanter Verlängerungstermin**: Wird für aktive Abonnements angezeigt, die sich automatisch verlängern. Andernfalls zeigt die Karte das **Ablaufdatum**. ## Android-Geräteverwaltung Die **Android-Geräteverwaltung**-Karte zeigt den Status der Android-Geräteverwaltung für Ihr Unternehmen. Wenn die Android-Geräteverwaltung noch nicht konfiguriert ist, bietet die Karte eine **Android-Geräteverwaltung einrichten**-Aktion, die den Konfigurationsvorgang startet. ### Konfigurierter Zustand Wenn Android Management konfiguriert ist, kann die Karte Folgendes anzeigen: - **Management-ID** - **Synchronisiert mit Google Workspace** (ein Hinweis wird angezeigt, wenn die Verzeichnis-Synchronisierung aktiv ist) - **Einstellungen für das verwaltete Google Play-Konto** (Link zu den Google Play-Administrator-Einstellungen, falls zutreffend) - **Google Admin-Konsole** (Link, falls zutreffend) - **Synchronisieren mit Google Workspace** (wird angezeigt, wenn die Verzeichnissynchronisierung nicht konfiguriert ist; öffnet das Anleitungsfenster am unteren Rand der Seite). ## Apple-Geräteverwaltung Die **Karte für Apple Device Management** zeigt den Status der Apple-Geräteverwaltung (MDM) für Ihr Unternehmen. Wenn die Apple-Verwaltung noch nicht konfiguriert ist, bietet die Karte eine **Aktion zum Einrichten der Apple-Verwaltung**, die den Konfigurationsassistenten öffnet. ### Konfigurierter Zustand Wenn die Apple-Verwaltung konfiguriert ist, kann die Karte Folgendes anzeigen: - **Apple-ID** - **Ablaufdatum des Apple Push-Zertifikats**: Zeigt das Ablaufdatum und ein Symbol an. Wenn das Zertifikat abläuft oder abgelaufen ist, ist das Symbol anklickbar und öffnet Anweisungen zur Verlängerung. - **Ablaufdatum des Apple Business Manager Tokens**: Zeigt das Ablaufdatum des Tokens an (mit einem anklickbaren Symbol, wenn eine Aktion erforderlich ist). - **VPP-Token**: Zeigt den Namen der Organisation und das Ablaufdatum für das Apple Volume Purchase Program-Token an (mit einem anklickbaren Badge, wenn eine Aktion erforderlich ist). - **Apple Business Manager Portal**: Der Link wird angezeigt, wenn ein ABM-Token vorhanden ist. - **Synchronisieren mit Apple Business Manager** und **Synchronisieren mit Apple Volume Purchase Program**: wird angezeigt, wenn Token fehlen.Für die Apple-Verwaltung ist die Einrichtung des APNs-Zertifikats erforderlich. Wenn erforderlich, lesen Sie [**die Anleitung zur Apple-Verwaltung (APNs)**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/apple-management-einrichtung-apns "Apple Management setup (APNs)").
## Einstellungen & Datenschutz Die **Einstellungen & Datenschutz**-Karte enthält eine Option zur Einstellung von Marketingpräferenzen sowie Links zu den Nutzungsbedingungen und der Datenschutzerklärung. Verwenden Sie **Einstellungen speichern**, um Änderungen anzuwenden (ein Fortschrittsbalken wird angezeigt, während die Einstellungen gespeichert werden). ## Feedback senden Wenn für das Konto Abonnements aktiviert sind, kann die Seite eine **Feedback senden**-Karte mit Links zu: **Funktionswünschen** und externen Bewertungsplattformen anzeigen. ## Integrierte Anleitungen zur Einrichtung und Verlängerung Am unteren Rand der Seite kann das Dashboard je nach aktuellem Status erweiterbare Anleitungsbereiche anzeigen (z. B. wenn ein Zertifikat/Token fehlt oder abläuft). ### Erneuern Sie das Apple Push-Zertifikat (APNs) Wenn das APNs-Zertifikat abläuft oder abgelaufen ist, zeigt die Seite ein Panel mit Schritten zum Herunterladen einer CSR-Datei, zum Erneuern des Zertifikats im Apple-Portal und zum Hochladen des neuen Zertifikats in Cerberus Enterprise. ### Synchronisieren mit Apple Business Manager (ABM) Wenn das ABM-Token fehlt, abgelaufen ist oder bald abläuft, zeigt die Seite ein Panel mit den Schritten, um ein Token von Apple Business Manager herunterzuladen und in Cerberus Enterprise hochzuladen. ### Synchronisieren mit dem Apple Volume Purchase Program (VPP) Wenn das VPP-Token fehlt, abgelaufen ist oder bald abläuft, zeigt die Seite ein Panel mit Schritten, wie Sie ein Content-Token von Apple Business Manager herunterladen und in Cerberus Enterprise hochladen können. ### Synchronisieren mit Google Workspace Wenn die Synchronisierung mit dem Google Workspace-Verzeichnis nicht konfiguriert ist, wird ein Panel angezeigt, das die Integration erklärt und einen Autorisierungsbutton bereitstellt. Außerdem werden die erforderlichen Google OAuth-Bereiche aufgelistet: **https://www.googleapis.com/auth/admin.directory.user.readonly**.Für die anfängliche Android-Einrichtung, siehe [**Android Management einrichten**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/einrichtung-von-android-management "Android Management setup").
# Mandantenfähigkeit # Mehrtenanten-Übersicht Der **Mehrtenancy**-Bereich ist für Managed Service Provider (MSP) und Unternehmensadministratoren verfügbar, die mehrere Kundenunternehmen mit einem einzigen Login verwalten. Dieses Kapitel erläutert das Unternehmensbereichsmodell, den Wechsel zwischen Unternehmen, die Verwaltung von verwalteten Unternehmen und Subkonten.Um ein Multi-Tenancy-Konto anzufordern, kontaktieren Sie [**enterprise@cerberusapp.com**](mailto:enterprise@cerberusapp.com).
## Kernkonzepte - **Haupt-Mehrfachmandanten-Konto**: Das primäre Manager-Konto, das auf den globalen Mehrfachmandanten-Arbeitsbereich zugreifen kann. - **Teil-Konto**: ein delegiertes Manager-Konto, das vom Haupt-Konto erstellt wurde, mit wählbaren Unternehmenszuordnungen. - **Ausgewählte Unternehmenskontext**: Der aktuell im Dashboard für den täglichen Betrieb geöffnete Unternehmenskontext. - **Delegation**: Eine vom Unternehmensverantwortlichen erteilte Berechtigung, die einem Manager-Konto den Zugriff und die Verwaltung dieses Unternehmens ermöglicht. ## Navigationsmodell Wenn kein Unternehmenskontext ausgewählt ist, zeigt die seitliche Navigation Multi-Mandanten-Bereiche wie **Unternehmen** und, für Hauptkonten, **Unterkonten**. Nach dem Auswählen eines Unternehmens wechselt das Dashboard zur Standard-Single-Enterprise-Navigation (Startseite, Benutzer, Geräte, Anmeldung, Richtlinien und mehr). ## Besitz und Delegation Jedes verwaltete Unternehmen hat einen Eigentümer. Der Eigentümer kann immer auf dieses Unternehmen zugreifen. Nicht-Eigentümer-Managerkonten können ein Unternehmen nur dann zugreifen, wenn eine Delegation erteilt wurde.Der Eigentümer und der Delegierungsstatus werden direkt auf den Unternehmens-Karten angezeigt, um den Zugriffsbereich vor dem Betreten eines Unternehmens explizit zu machen.
## Lizenz- und Abrechnungsaktionen Multi-tenancy views expose license status, device limits, und Unternehmensabrechnungsaktionen. Abhängig vom Status des Unternehmensabonnements und Ihren Berechtigungen kann die Karte **Abrechnung verwalten** oder **Lizenz erwerben**. Für Unternehmen, die von einem Multi-Tenant-Konto erstellt wurden, wird die Lizenzierung von Multi-Tenant-Benutzern verwaltet. Das Hauptkonto kann die Lizenzierung immer verwalten, während Unterkonten die Lizenzierung nur dann verwalten können, wenn das Hauptkonto **Lizenz verwalten** für dieses Unterkonto aktiviert. ## Seiten in diesem Kapitel - [**Verwaltete Unternehmen**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/verwaltete-unternehmen "Managed enterprises"): Suche, Filter, Kartendetails und Unternehmensgründung. - [**Enterprise-Umschaltung**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/unternehmensumstellung "Enterprise switching"): Top-Switcher-Verhalten und Gültigkeitsbereich-Übergänge. - [**Teilkonten**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/unterkonten "Sub-accounts"): delegierte Betreiber, Zuweisungen und Berechtigungsmanagement. # Verwaltete Unternehmen Die **Unternehmen**-Seite (*Übersicht* → *Unternehmen*) ist das Kontrollzentrum für den Zugriff auf verwaltete Unternehmen. Sie listet alle Unternehmen auf, die für Ihr Multi-Tenant-Konto sichtbar sind, und ermöglicht Ihnen das Filtern, die Einsicht in die Eigentümerschaft/Delegierung, das Eingeben eines Unternehmenskontexts und das Erstellen neuer verwalteter Unternehmen (nur Stammeinrichtungen). ## Suchen und Filter - **Suche Unternehmens**: Filterung nach Unternehmensname oder Unternehmens-ID. - **Delegation**: **Alle**, **Delegiert** oder **Nicht delegiert**. - **Lizenzstatus**: **Alle**, **Gültig**, **Ablaufend**, **Abgelaufen** oder **Beendet**. ## Unternehmenskarten Jede Unternehmenskarte zeigt wichtige Verwaltungsinformationen: - **Lizenzstatus** mit Icon-Badge und kontextbezogenem Tooltip. - **Lizenzierte Geräte** (Unternehmensgerätelimit). - **Nächster geplanter Erneuerungstermin** oder **Ablaufdatum**, abhängig vom Abonnementstatus. - **Delegationsstatus** ( **Eigentümer**, **Gewährt** oder **Nicht gewährt**). - **Anzeigename** und Benutzername. ### Kürzlich ausgewählte Unternehmen Unternehmen, die Sie kürzlich aufgerufen haben, sind in einem **Kürzlich ausgewählte** Abschnitt befestigt, um wiederholtes Kontextwechseln zu beschleunigen. ## Unternehmensaktionen - **Geben Sie Unternehmen** ein: Öffnet den ausgewählten Unternehmenskontext, wenn die Delegation/Besitz Zugriff erlaubt. - **Abrechnung verwalten**: Öffnet die Abrechnungsverwaltung für Unternehmen, wenn verfügbar und erlaubt. - **Lizenz erwerben**: öffnet den Unternehmenslizenzkauf, wenn die Abrechnung nicht aktiv ist. ### Wer kann Lizenzen verwalten Für Unternehmen, die von einem Multi-Tenant-Konto erstellt wurden, wird die Lizenzverwaltung von Multi-Tenant-Benutzern gesteuert. Das Hauptkonto kann immer die Abrechnung und Lizenzaktionen für diese Unternehmen verwalten. Unterkonten können Abrechnung und Lizenzaktionen nur verwalten, wenn das Hauptkonto die **Lizenz verwalten** Berechtigung auf der [**Unterkonten**](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/unterkonten "Sub-accounts") Seite gewährt. ## Managed Enterprise erstellen Haupt-Multi-Tenant-Konten können **Managed Enterprise erstellen** von der unteren Aktionsleiste aus. - **Der Enterprise-Name** ist erforderlich. - **Die Erstellung eines unternehmensspezifischen Admin-Benutzers** steuert den Besitzermodus. - Wenn aktiviert, **Benutzername für den Administrator** (E-Mail-Format) und **Name des Administrators** erforderlich sind. - Vor der Erstellung fasst ein Bestätigungsdialog die Operation zusammen und warnt bei Bedarf, dass temporäre Zugangsdaten per E-Mail an den neuen Administrator-Benutzer gesendet werden. ### Besitzermodus - **Unternehmen-Admin aktiviert**: der neue Admin-Benutzer besitzt das Unternehmen und kann die Verwaltung an Ihr Multi-Tenant-Konto delegieren. - **Pro-Unternehmens-Administrator deaktiviert**: das Unternehmen gehört direkt Ihrem Multi-Tenant-Konto. ### Unternehmensspeicherplatz Wenn das Konto die konfigurierte Unternehmensquotum erreicht, wird die Erstellung gesperrt und das Formular zeigt eine Support-Kontaktmeldung mit der aktuellen und maximalen Unternehmensanzahl an.Wenn die Unternehmensquotum erreicht ist, können Sie keine zusätzlichen verwaltete Unternehmen erstellen, bis Ihr Limit erhöht wurde.
# Unternehmensumstellung Der Unternehmenswechsler in der oberen Symbolleiste ermöglicht es Nutzern mit Multi-Tenancy, zwischen delegierten Unternehmen zu wechseln, ohne sich abzumelden. Er ist verfügbar, wenn mindestens ein Unternehmenskontext ausgewählt werden kann. ## Schalterverhalten - Der Trigger zeigt den aktuellen Unternehmensnamen (oder die Unternehmens-ID, falls kein Name verfügbar ist). - Das Menü listet delegierte/zugreifbare Unternehmen auf und kennzeichnet das aktuelle Unternehmen als bereits ausgewählt. - Während des Wechsels werden Umschaltaktionen vorübergehend deaktiviert, um gleichzeitige Bereichsänderungen zu verhindern. ## Verlassen Sie das Unternehmen Das Umschaltmenü enthält **Verlassen Sie das Unternehmen**, wodurch der aktuelle Unternehmenskontext gelöscht und Sie zur globalen Multi-Tenancy-Arbeitsumgebung zurückkehren. ## Kontext zurücksetzen-Regeln Der Wechsel des Unternehmens oder der Verlassen des Unternehmens setzt den Dashboard-Umfang zurück. Unternehmensspezifische Seiten und Daten werden für den neu ausgewählten Kontext aktualisiert, und die Menüanzeige passt sich an, je nachdem, ob ein Unternehmen ausgewählt ist.Nutzen Sie den Umschalter für schnelle Änderungen des operativen Kontexts, aber überprüfen Sie den ausgewählten Unternehmensnamen, bevor Sie sensible Aktionen wie Richtlinienaktualisierungen oder Gerätebefehle ausführen.
# Unterkonten Die **Unterkonten** Seite (*Dashboard* → *Unterkonten*) ist für Haupt-Multi-Mandanten-Konten verfügbar. Sie ermöglicht die Erstellung delegierter Manager-Benutzer, die Zuweisung verwalteter Unternehmen, die Steuerung von Abrechnungsberechtigungen und die Pflege von Unterkonten-Zugangsdaten. ## Unterkontenliste Jede Unterkontenkarte zeigt Identität und Verwaltungsoptionen: - **Name** und **Benutzername/E-Mail-Adresse**. - **Verwaltete Unternehmen**-Mehrfachauswahl-Zuweisung. - **Kann die Berechtigung zum Verwalten der Lizenz** ein- und ausschalten. - **Passwort zurücksetzen** und **Löschen**-Aktionen. ## Zugewiesene verwaltete Unternehmen Unternehmenszuordnungen werden über das **verwaltete Unternehmen** Mehrfachauswahlfeld bearbeitet. Wenn du den Auswähler nach Änderungen schließt, fragt das Dashboard nach einer Bestätigung, bevor Änderungen gespeichert werden. ## Lizenzverwaltung Berechtigung Die **Lizenzverwaltung**-Umschaltung steuert, ob ein Unterkonto auf Unternehmensabrechnungs-/Lizenzverwaltungsaktionen zugreifen kann. Für Unternehmen, die über das Multi-Tenancy-Konto erstellt wurden, hat das Hauptkonto immer Lizenzverwaltungsrechte. Unterkonten erhalten Lizenzverwaltungsrechte erst, wenn diese Option vom Hauptkonto aktiviert wird. ## Passwort zurücksetzen **Passwort zurücksetzen** generiert ein neues, temporäres Passwort und sendet es nach Bestätigung an das Unterkonto per E-Mail. ## Unterkonto löschen Das Löschen eines Unterkontos erfordert eine Bestätigung und entfernt dauerhaft den delegierten Zugriff für dieses Konto. ## Unterkonto erstellen Verwenden Sie das untere Bedienfeld **Unterkonto erstellen**, um einen neuen delegierten Manager hinzuzufügen. - **E-Mail**: erforderlich und als E-Mail-Format validiert. - **Name**: Erforderlicher Anzeigename. - **Lizenz verwalten**: optionale anfängliche Abrechnungserlaubnis. - Vor der Erstellung warnt ein Bestätigungsdialog, dass eine E-Mail mit einem temporären Passwort an die angegebene Adresse gesendet wird. # Erkenntnisse Hier sind einige Artikel, die näher beleuchten, wie MDM Ihrem Unternehmen helfen kann: ## [Was ist Kioskmodus? Ein Leitfaden zum Absichern von Android- und Apple-Geräten für Unternehmen](https://enterprise.cerberusapp.com/de/insights/what-is-kiosk-mode-lock-down-android-apple-business) Kioskmodus verwandelt Standard-Smartphones und Tablets in fokussierte Business-Tools. Cerberus Enterprise unterstützt Unternehmen dabei, Geräte auf eine App oder einen kleinen Satz genehmigter Apps zu beschränken, für Anwendungsfälle wie Retail-POS-Systeme, Check-in für Gäste und Flottennavigation, während diese spezialisierten Geräte einfacher abzusichern, zu unterstützen und im großen Maßstab zu verwalten sind. ## [So wählen Sie die richtige MDM-Lösung: Eine 7-Punkte-Checkliste für kleine Unternehmen](https://enterprise.cerberusapp.com/de/insights/choose-right-mdm-solution-small-business-checklist) Es ist einfacher, eine MDM-Lösung später im Kaufprozess auszuwählen, wenn der Vergleich praxisnah bleibt. Diese Checkliste hilft kleinen Unternehmen, Anbieter anhand der sieben Kriterien zu bewerten, die in realen Implementierungen normalerweise am wichtigsten sind: Sicherheit, Android- und Apple-Unterstützung, Benutzerfreundlichkeit für schlanke Teams, Skalierbarkeit, Datenschutzgrenzen, Gesamtbetriebskosten und die tägliche Supportierbarkeit. ## [Eine sichere und fokussierte digitale Lernumgebung schaffen: Ein Leitfaden zu MDM für Schulen K-12](https://enterprise.cerberusapp.com/de/insights/k12-schools-mdm-safe-focused-digital-classroom) Schulgeräte funktionieren am besten, wenn sie den Fokus auf das Lernen behalten. Cerberus Enterprise hilft K-12-Organisationen, Schülergeräte durch verwaltete Apps, Kiosk-Einschränkungen, standardisierte gemeinsame oder geliehene Geräte-Setups und Remote-Wiederherstellungsmaßnahmen zu fokussieren, die Verluste, Abweichungen und Unterrichtsstörungen reduzieren. ## [Ausrüstung Ihrer Außendienstmitarbeiter: So steigert MDM die Effizienz und Sicherheit vor Ort](https://enterprise.cerberusapp.com/de/insights/field-technicians-mdm-onsite-efficiency-security) Außendienstmitarbeiter verlassen sich bei der Arbeit vor Ort auf mobile Geräte für Zeitpläne, Servicehinweise, technische Referenzen, Kundenhistorie und Auftragsaktualisierungen. Cerberus Enterprise unterstützt dabei, diese Geräte durch verwaltete Apps, standardisierte Gerätevorlagen, Fernsupport-Befehle und standortbezogene Einblicke bereit zu halten, die die Dispositionskoordination verbessern und gleichzeitig die Sicherheit im Außendienst erhöhen können. ## [Jenseits der Karte: MDM für intelligentes Fuhrparkmanagement und mehr Fahrersicherheit](https://enterprise.cerberusapp.com/de/insights/mdm-smarter-fleet-management-driver-safety) Fuhrparkabläufe sind auf mobile Geräte für Navigation, Disposition, Messaging, Protokollierung und Außendienstaktivitäten angewiesen. Cerberus Enterprise unterstützt Sie dabei, diese Geräte auf genehmigte Arbeitsabläufe zu fokussieren – durch verwaltete Apps, Kiosk- und Geräte-spezifische Steuerelemente, sichere Kommunikationsrichtlinien, Fernwartung und standortbezogene Überwachung, die Ausfallzeiten reduzieren und sichereres Fahren unterstützen kann. ## [Wie geografische Zäune, Live-Tracking und Standortkarten Unternehmenseinsatz verbessern](https://enterprise.cerberusapp.com/de/insights/geofences-live-tracking-location-maps) Standortbezogene Funktionen in Cerberus Enterprise helfen Organisationen, von einfacher Geräteübersicht zu praktischer operativer Kontrolle überzugehen. Regelmäßige Standortberichte, Live-Tracking, Geofence-Übergänge und interaktive Karten können Logistik, Außendienst, Gesundheitswesen, Einzelhandel, Bauwesen und andere verteilte Teams unterstützen, die einen besseren Einblick benötigen, wo Arbeit stattfindet und wann Geräte wichtige Bereiche betreten oder verlassen. ## [Wie Multi-Tenancy MSPs hilft, MDM-Dienste zu skalieren und neue Einnahmequellen zu schaffen](https://enterprise.cerberusapp.com/de/insights/multi-tenancy-mdm-msp-growth) Multi-Tenancy ermöglicht es MSPs, Resellern und Organisationen mit mehreren Unternehmen, mehrere Unternehmen von einem einzigen Cerberus Enterprise-Konto aus zu verwalten, während jede Umgebung getrennt bleibt. Dieses Modell reduziert den betrieblichen Aufwand, verbessert die Skalierbarkeit des Services und unterstützt delegierten Zugriff über Unterkonten und explizite, kundenkontrollierte Administration. Es schafft außerdem stärkere Geschäftsmöglichkeiten für Anbieter, die Softwarelizenzen mit Onboarding, Support, Compliance und Managed Mobility Services kombinieren möchten. ## [Verbesserung der Unternehmensabläufe mit MDM-Lösungen](https://enterprise.cerberusapp.com/de/insights/mdm-operativity) Mobile Device Management zentralisiert die Kontrolle über Unternehmensgeräte, vereinfacht die Registrierung, Konfiguration und Wartung. Automatisierte Bereitstellung und Massenvorgänge reduzieren den manuellen IT-Aufwand und gewährleisten konsistente Richtlinien auf allen Geräten. Sicherheitsfunktionen wie Verschlüsselung, Compliance-Überwachung und Remote-Löschung schützen Unternehmensdaten. Insgesamt steigert MDM die Produktivität und reduziert gleichzeitig Supportkosten und betriebliche Komplexität. ## [Erweiterte Sicherheit in Android Enterprise Management](https://enterprise.cerberusapp.com/de/insights/android-enterprise-security) Android Enterprise verwendet ein Arbeitskonto, um geschäftliche Apps und Daten von persönlichen Inhalten auf demselben Gerät zu trennen. Diese Containerisierung schafft separate, verschlüsselte Umgebungen, die unabhängig von IT-Administratoren verwaltet werden. Sicherheitsrichtlinien können die gemeinsame Nutzung von geschäftlichen Daten steuern, ohne persönliche Apps zu beeinträchtigen. Die Architektur schützt Geschäftsdaten, selbst wenn persönliche Anwendungen kompromittiert werden. ## [Apple iPhone MDM und automatisierte Anmeldung](https://enterprise.cerberusapp.com/de/insights/apple-iphone-mdm) Apples MDM-Framework ermöglicht die zentrale Verwaltung von iPhones in Unternehmensumgebungen. In Kombination mit Apple Business Manager können sich Geräte bei der ersten Aktivierung automatisch anmelden und konfigurieren. Administratoren können Unternehmensanwendungen stillschweigend bereitstellen und konfigurieren, Sicherheitseinstellungen erzwingen und die Einhaltung überwachen. Diese Automatisierung gewährleistet eine konsistente Gerätekonfiguration und reduziert Setup-Fehler. ## [Mobile Device Management verstehen](https://enterprise.cerberusapp.com/de/insights/understanding-mdm) Mobile Device Management bietet eine zentrale Plattform zur Überwachung, Sicherung und Steuerung mobiler Geräte, die auf Unternehmessysteme zugreifen. Kernfunktionen umfassen die Durchsetzung von Sicherheitsrichtlinien, die Verwaltung von Anwendungen sowie das Fernsperren oder Löschen verlorener Geräte. MDM hilft, Unternehmensdaten zu schützen und die Gerätekonformität aufrechtzuerhalten. Es ermöglicht Unternehmen jeder Größe, wachsende mobile Arbeitskräfte sicher zu verwalten. ## [Unternehmensmodelle für Gerätebereitstellung](https://enterprise.cerberusapp.com/de/insights/device-deployment-models) Organisationen können verschiedene Gerätebesitzmodelle wie BYOD, CYOD, COPE, COBO und COSU nutzen. Jedes Modell gleicht Kosten, Benutzerflexibilität und Sicherheitskontrolle unterschiedlich aus. BYOD priorisiert die Benutzerfreundlichkeit, während COBO und COSU die Kontrolle und Sicherheit des Unternehmens maximieren. Die Wahl des richtigen Modells hängt von regulatorischen Anforderungen, den Bedürfnissen der Belegschaft und der IT-Managementkapazität ab. ## [MDM vs. EMM vs. UEM](https://enterprise.cerberusapp.com/de/insights/mdm-emm-uem-difference) MDM konzentriert sich auf die Verwaltung und Sicherung mobiler Geräte durch Richtlinien durchsetzung, Konfigurationskontrolle und Fernverwaltung. EMM erweitert diesen Umfang um die Verwaltung von Anwendungen und Inhalten, während UEM versucht, alle Endpunkte, einschließlich Laptops und Desktops, zu verwalten. Für viele KMU führen umfassende EMM- oder UEM-Suiten zu unnötiger Komplexität. In der Praxis decken robuste MDM-Funktionen oft die meisten mobilen Verwaltungsanforderungen ab. ## [MDM auf privaten Geräten und Mitarbeiterdatenschutz](https://enterprise.cerberusapp.com/de/insights/mdm-personal-phone-privacy) Moderne MDM-Systeme verwenden Containerisierung, um berufliche und private Daten auf geräten der Mitarbeiter zu trennen. Arbeitgeber können nur die Arbeitsumgebung verwalten und überwachen, einschließlich Unternehmensanwendungen und Gerätekonformitätsinformationen. Persönliche Daten wie Fotos, Nachrichten und Browserverlauf bleiben für das Unternehmen nicht zugänglich. Diese technische Trennung ermöglicht sichere BYOD-Programme bei gleichzeitiger Wahrung der Mitarbeiterdatenschutz. ## [MDM-ROI und Geschäftswert](https://enterprise.cerberusapp.com/de/insights/mdm-roi-business-value) MDM sollte als strategische Investition und nicht als einfache Sicherheitsausgabe betrachtet werden. Es generiert finanzielle Erträge durch geringere Geräteverluste, niedrigere IT-Supportkosten und verbesserte betriebliche Effizienz. Automatisierte Verwaltung erhöht zudem die Mitarbeiterproduktivität und reduziert Ausfallzeiten. Darüber hinaus reduziert eine stärkere Sicherheit das Risiko und die finanziellen Auswirkungen von Datenschutzverletzungen. ## [HIPAA-konforme Gerätemanagement](https://enterprise.cerberusapp.com/de/insights/hipaa-compliant-device-management) Krankenhäuser müssen elektronische Patientendaten gemäß den HIPAA-Sicherheitsanforderungen schützen. MDM hilft bei der Durchsetzung von Verschlüsselung, Authentifizierungsrichtlinien, sicherer Datenübertragung und detaillierten Prüfprotokollen. Es ermöglicht auch die Fernlöschung und die zentrale Richtliniendurchsetzung für Geräte, die auf medizinische Systeme zugreifen. Diese Kontrollen reduzieren Compliance-Risiken und ermöglichen gleichzeitig mobile Workflows in Gesundheitseinrichtungen. ## [MDM für Einzelhandelsprozesse und Sicherheit](https://enterprise.cerberusapp.com/de/insights/retail-operations-mdm-security) Einzelhandelsunternehmen verlassen sich auf mobile Geräte für POS-Systeme, Bestandsverwaltung und Abläufe im Geschäft. MDM stellt sicher, dass diese Geräte sicher, aktuell und konform mit Standards wie PCI-DSS bleiben. Die zentrale Verwaltung reduziert Ausfallzeiten und vereinfacht die Gerätebereitstellung an mehreren Standorten. Das Ergebnis ist eine verbesserte betriebliche Effizienz und ein geringeres Risiko von sicherheitsbezogenen Zahlungsvorfällen.