Sophos Mobile Control Administratorhilfedocs.sophos.com/esg/smc/7-0/admin/de-de/PDF/smc_7_ahdeu.pdf · 2 Über Sophos Mobile Control Sophos Mobile Control Sophos Mobile Control ist

Sophos Mobile ControlAdministratorhilfe

7Produktversion:

Inhalt

1 Über diese Hilfe..................................................................................................................6

2 Über Sophos Mobile Control..............................................................................................7

3 Über die Sophos Mobile Control Konsole...........................................................................9

3.1 Benutzeroberfläche..............................................................................................9

3.2 Tabellen-Ansichten.............................................................................................10

3.3 Voraussetzungen................................................................................................10

3.4 Benutzerrollen....................................................................................................10

3.5 An der Sophos Mobile Control Konsole anmelden.............................................11

3.6 Von der Sophos Mobile Control Konsole abmelden...........................................12

3.7 Ändern Ihres Kennworts.....................................................................................12

3.8 Kennwort wiederherstellen.................................................................................12

4 Wichtige Schritte für das Management von Geräten mit Sophos Mobile Control.............13

5 Dashboard........................................................................................................................14

6 Berichte............................................................................................................................15

7 Aufträge............................................................................................................................16

7.1 Aufträge überwachen..........................................................................................16

8 Allgemeine Einstellungen.................................................................................................20

8.1 Persönliche Einstellungen konfigurieren.............................................................20

8.2 Kennwortrichtlinien konfigurieren.......................................................................21

8.3 Einstellungen der SMC-App konfigurieren.........................................................22

8.4 Baidu Cloud Push aktivieren..............................................................................22

8.5 Einstellungen für iOS konfigurieren....................................................................23

8.6 Poll-Intervall für Windows-Geräte konfigurieren.................................................23

8.7 E-Mail konfigurieren............................................................................................24

8.8 Kontaktdetails für technische Unterstützung konfigurieren.................................24

8.9 Kundeneigenschaften definieren........................................................................24

9 Self Service Portal konfigurieren......................................................................................26

9.1 Self-Service-Portal-Gruppen bei interner Benutzerverwaltung erstellen............26

9.2 Self-Service-Portal-Einstellungen konfigurieren.................................................27

9.3 Verfügbare Self-Service-Portal-Einstellungen....................................................28

9.4 Self-Service-Portal-Benutzer verwalten..............................................................31

10 Systemeinstellungen......................................................................................................36

10.1 Ihre Lizenzen prüfen.........................................................................................36

10.2 Zertifikate für den Apple Push Notification Service..........................................36

10.3 iOS-AirPlay-Wiedergabegeräte konfigurieren...................................................40

2

10.4 Samsung-Knox-Lizenz......................................................................................41

10.5 SCEP konfigurieren..........................................................................................41

10.6 Benutzerverzeichnis konfigurieren....................................................................42

11 Compliance-Richtlinien...................................................................................................43

11.1 Compliance-Richtlinie erstellen........................................................................43

11.2 Verfügbare Compliance-Regeln........................................................................45

11.3 Compliance-Richtlinie einer Gerätegruppe zuweisen.......................................49

11.4 Geräte auf Compliance-Verstöße prüfen..........................................................50

12 Geräte............................................................................................................................51

12.1 Geräte hinzufügen............................................................................................51

12.2 Geräte registrieren............................................................................................53

12.3 Geräte deregistrieren........................................................................................57

12.4 Geräte verwalten..............................................................................................58

12.5 Apple DEP........................................................................................................63

13 Gerätegruppen...............................................................................................................71

13.1 Gerätegruppe erstellen.....................................................................................71

13.2 Gerätegruppen löschen....................................................................................71

14 Profile und Richtlinien.....................................................................................................72

14.1 Profil oder Richtlinie erstellen...........................................................................72

14.2 Mit Apple Configurator erstellte iOS-Geräteprofile importieren........................73

14.3 Provisionierungsprofile für iOS-Apps importieren............................................74

14.4 Komplexitätsregeln für Windows-Desktop-Kennwörter.....................................74

14.5 Unterstützung von Samsung Knox...................................................................75

14.6 Platzhalter in Profilen und Richtlinien...............................................................75

14.7 Profil auf Geräten installieren...........................................................................76

14.8 Eine Richtlinie Geräten zuweisen.....................................................................76

14.9 Profil entfernen.................................................................................................77

14.10 Profile und Richtlinien herunterladen.............................................................77

14.11 Konfigurationen für Android-Geräteprofile......................................................78

14.12 Konfigurationen für Android-for-Work-Richtlinien...........................................96

14.13 Konfigurationen für Sophos-Container-Richtlinien für Android.....................106

14.14 Konfigurationen für Mobile-Security-Richtlinien............................................115

14.15 Konfigurationen für Knox-Container-Profile..................................................116

14.16 Konfigurationen für iOS-Geräteprofile..........................................................120

14.17 Konfigurationen für Sophos-Container-Richtlinien für iOS...........................147

14.18 Konfigurationen für Windows-Mobile-Richtlinien..........................................157

14.19 Konfigurationen für Windows-Desktop-Richtlinien........................................166

15 Auftragspakete.............................................................................................................172

15.1 Auftragspaket erstellen...................................................................................172

3

15.2 Verfügbare Auftragstypen für Android.............................................................173

15.3 Verfügbare Auftragstypen für iOS...................................................................176

15.4 Auftragspakete duplizieren.............................................................................178

15.5 Auftragspakete an einzelne Geräte oder Gerätegruppen übertragen............179

16 Apps.............................................................................................................................180

16.1 App hinzufügen...............................................................................................180

16.2 App installieren...............................................................................................182

16.3 App deinstallieren...........................................................................................182

16.4 Verwaltete iOS-Apps.......................................................................................183

16.5 Über Apple VPP erworbene Apps verwalten..................................................184

16.6 VPN pro App und Einstellungen für iOS-Apps konfigurieren..........................189

17 App-Gruppen................................................................................................................191

17.1 App-Gruppe erstellen.....................................................................................191

17.2 App-Gruppe importieren.................................................................................192

18 Unternehmensdokumente............................................................................................193

18.1 Unternehmensdokumente hinzufügen............................................................193

19 Android for Work...........................................................................................................195

19.1 Android for Work einrichten............................................................................195

19.2 Android for Work konfigurieren.......................................................................199

19.3 Android-for-Work-Benutzer verwalten.............................................................200

19.4 Geräte bei Android for Work registrieren........................................................201

19.5 Arbeitsprofil sperren.......................................................................................201

19.6 Arbeitsprofil vom Gerät entfernen...................................................................201

19.7 Benutzerinitiiertes Entfernen des Arbeitsprofils..............................................202

19.8 Berufliche Apps..............................................................................................202

20 Administratoren erstellen..............................................................................................209

21 Nachricht an Geräte senden........................................................................................210

22 Advanced-Lizenz..........................................................................................................211

23 Sophos Mobile Security verwalten...............................................................................212

23.1 Antivirus-Einstellungen für Sophos Mobile Security konfigurieren.................212

23.2 Webfilter-Einstellungen für Sophos Mobile Security konfigurieren.................214

23.3 Compliance-Regeln für Sophos Mobile Security definieren...........................215

23.4 Scan-Resultate von Sophos Mobile Security anzeigen..................................215

24 Sophos-Container-Apps verwalten...............................................................................217

24.1 Sophos-Container-Kennwort zurücksetzen....................................................218

24.2 Sophos-Container sperren und entsperren....................................................218

24.3 Synchronisierung des Unternehmens-Schlüsselbundes................................219

25 Glossar.........................................................................................................................221

26 Technischer Support.....................................................................................................223

4

27 Rechtliche Hinweise.....................................................................................................224

5

1 Über diese HilfeDiese Hilfe beschreibt die Benutzung der Sophos Mobile Control Konsole.

Weitere Informationen finden Sie in folgenden Dokumenten:

■ Eine Beschreibung der Installation von Sophos Mobile Control Installation finden Sie inder Sophos Mobile Control Installationsanleitung. Dieses Dokument ist für Sophos MobileControl as a Service nicht relevant.

■ Informationen zur Benutzung der Sophos Mobile Control Konsole als Superadministratorfür die Kundenverwaltung finden Sie im englischsprachigen Dokument Sophos MobileControl Super Administrator Guide. Dieses Dokument ist für Sophos Mobile Control as aService nicht relevant.

■ Eine Beschreibung der wichtigsten Schritte für die Erstkonfiguration finden Sie in derSophos Mobile Control Schnellstart-Anleitung und in der Sophos Mobile Control as aService Schnellstart-Anleitung.

■ Informationen zum Self Service Portal finden Sie in der Sophos Mobile Control Benutzerhilfe.

Bezeichnungen

In dieser Hilfe werden folgende Bezeichnungen verwendet:

■ Sofern nicht anders angegeben, bezieht sich der Ausdruck Windows Mobile auf dieWindows-10-Editionen Mobile und Mobile Enterprise sowie auf Windows Phone 8.1.

■ Sofern nicht anders angegeben, beziehen sich die Ausdrücke Windows Desktop undWindows 10 Desktop auf die Windows-10-Editionen Pro, Enterprise, Education und Home.

■ Sofern nicht anders angegeben, wird bei allen Prozeduren vorausgesetzt, dass Sie bereitsals Administrator an der Sophos Mobile Control Konsole angemeldet sind.

6

Sophos Mobile Control

https://www.sophos.com/de-de/medialibrary/PDFs/documentation/smc_7_ig_eng_installation.pdf

https://www.sophos.com/de-de/medialibrary/PDFs/documentation/smc_7_ag_eng_superadmin.pdf


https://www.sophos.com/de-de/medialibrary/PDFs/documentation/smc_7_sg_eng_startup.pdf



http://docs.sophos.com/esg/smc/7-0/ssp/de-de/desktop/index.htm

2 Über Sophos Mobile Control


Sophos Mobile Control ist eine Verwaltungssoftware für Mobilgeräte wie Smartphones undTablets, und für Geräte mit einem Windows-10-Desktop-Betriebssystem. Indem Sie Ihre Appsund Sicherheitseinstellungen mit Sophos Mobile Control verwalten, schützen Sie IhreUnternehmensdaten.

Sophos Mobile Control besteht aus einer Server- und einer Client-Komponente.

Der Server ist die Kernkomponente von Sophos Mobile Control. Er verfügt über eineWeb-Schnittstelle, mit der Sie Sophos Mobile Control und die registrierten Geräte verwalten.

Die Client-Komponente ist eine App, die auf den Geräten installiert wird. Sie unterstützt eineOver-the-Air-Einrichtung und wird über die Web-Schnittstelle des Servers von Sophos MobileControl konfiguriert.

Mit dem Sophos Mobile Control Self Service Portal für Ihre Benutzer können Sie den Aufwandfür die IT verringern, indem Sie die Benutzer dazu berechtigen, ihre eigenen Geräte zuregistrieren und andere Aufgaben auszuführen, ohne sich an den Helpdesk wenden zumüssen.

Mit Sophos Mobile Control können Sie außerdem folgende mobile Apps verwalten: SophosMobile Security, Sophos Secure Workspace und Sophos Secure Email. Hierfür wird eineSMC-Advanced-Lizenz benötigt.

Sophos Mobile Security

Sophos Mobile Security ist eine Sicherheits-App für Geräte mit Android-Betriebssystem. Mitden neuesten Daten von SophosLabs werden Ihre Apps automatisch gescannt, wenn Sie sieinstallieren. Diese Antivirus-Funktionalität schützt Sie vor bösartigen Programmen, die zuDatenverlusten und unvorhergesehenen Kosten führen können.

Sophos Secure Workspace

Sophos Secure Workspace ist eine App für Geräte mit Android oder iOS, die einen gesichertenArbeitsbereich bereitstellt, um Dokumente zu verwalten, zu bearbeiten, zu teilen, zuverschlüsseln, zu entschlüsseln, oder um auf sie in einem Browser zuzugreifen. Die Dokumentekönnen bei verschiedenen Speicheranbietern abgelegt sein oder von Ihrem Unternehmenverteilt werden. Die App ist dafür entwickelt, Sie vor jeglichem Datenverlust zu schützen,sogar, wenn Ihr Gerät gestohlen wird oder wenn Sie Dateien unabsichtlich an einen falschenEmpfänger senden.

Dateien können nahtlos entschlüsselt und angezeigt werden. Dateien aus anderen Appskönnen verschlüsselt und anschließend zu einem der unterstützen Cloud-Speicheranbieternhochgeladen oder lokal in Sophos Secure Workspace gespeichert werden.

Mit Sophos Secure Workspace können Sie mit SafeGuard Cloud Storage oder SafeGuardData Exchange verschlüsselte Dateien lesen. SafeGuard Cloud Storage und SafeGuard DataExchange sind Module von SafeGuard Enterprise oder einer der verschiedenenProdukteditionen.

7

Administratorhilfe

Sophos Secure Workspace enthält auch die Komponente Corporate Browser, einenWebbrowser, mit dem Sie gesichert auf firmeninterne Intranetseiten oder auf andere erlaubteSeiten zugreifen können. Dieser Zugriff wird über Richtlinien gesteuert, die Sie in SophosMobile Security anlegen.

Sophos Secure Email

Sophos Secure Email ist eine App für Geräte mit Android oder iOS, die einen sicherenContainer zur Verwaltung Ihrer E-Mails, Ihres Kalenders und Ihrer Kontakte bereitstellt. AlleDaten sind verschlüsselt und vor dem Zugriff durch Dritte geschützt.

8


3 Über die Sophos Mobile Control KonsoleDie Sophos Mobile Control Konsole ist das zentrale Instrument für die Geräteverwaltung mitSophos Mobile Control. Sie ist die Web-Schnittstelle für den für die Geräteverwaltung benutztenServer. Mit der Web-Konsole können Sie eine unternehmensweite Richtlinie für dieGerätenutzung implementieren und sie auf die in Sophos Mobile Control registrierten Geräteanwenden.

In der Sophos Mobile Control Konsole können Sie folgende Aufgaben durchführen:

■ Das System konfigurieren, zum Beispiel persönliche oder plattformspezifische Einstellungen.

■ Compliance-Regeln konfigurieren und Aktionen festlegen, die ausgeführt werden, wennGeräte nicht mehr den festgelegten Regeln entsprechen. Siehe Compliance-Richtlinien(Seite 43).

■ Geräte in Sophos Mobile Control registrieren. Siehe Geräte hinzufügen (Seite 51).

■ Neue Geräte provisionieren. Siehe Geräte registrieren (Seite 53).

■ App-Pakete auf registrierten Geräten installieren. Siehe Apps (Seite 180).

■ Profile und Sicherheitsrichtlinien für Geräte definieren. Siehe Profile und Richtlinien (Seite72).

■ Auftragspakete zum Bündeln mehrerer Aufgaben erstellen und sie in einem Arbeitsschrittauf Geräte übertragen. Siehe Auftragspakete (Seite 172).

■ Einstellungen für das Self Service Portal konfigurieren. Siehe Self Service Portalkonfigurieren (Seite 26).

■ administrative Aufgaben bei Geräten durchführen, zum Beispiel das Kennwort für Gerätezurücksetzen, Geräte bei Verlust oder Diebstahl sperren oder zurücksetzen, Gerätederegistrieren. Siehe Geräte verwalten (Seite 58).

■ Berichte erstellen und anzeigen. Siehe Berichte (Seite 15).

3.1 BenutzeroberflächeDie Benutzeroberfläche der Sophos Mobile Control Konsole ist unterteilt in eine Kopfleiste,einen seitlichen Menübereich und den Hauptbereich. Im Hauptbereich werden je nachgewähltem Menüpunkt unterschiedliche Seiten der Sophos Mobile Control Konsole angezeigt.

■ Kopfleiste

Im rechten Teil der Kopfleiste befinden sich die folgenden Links:

■ Ihr Kontoname und der Kundenname.

■ Die Schaltfläche Hilfe zum Öffnen der Online-Hilfe in einem separaten Browser-Fenster.

■ Die Schaltfläche Abmelden zum Abmelden von der Sophos Mobile Control Konsole.

■ Menübereich

Über das Hauptmenü auf der linken Seite greifen Sie auf die verschiedenen funktionalenBereiche von Sophos Mobile Control zu.

Hinweis: Auf welche Bereiche Sie zugreifen können, hängt von Ihrer zugewiesenenAdministrator-Rolle ab. Siehe Benutzerrollen (Seite 10).

9

Administratorhilfe

3.2 Tabellen-AnsichtenAuf vielen Seiten der Sophos Mobile Control Konsole werden die Informationen in Tabellenformdargestellt.

Diese Tabellen haben einheitliche, interaktive Bedienelemente.

Oberhalb der Tabelle:

■ Verwenden Sie das Symbol Spalten ein- oder ausblenden, um die Sichtbarkeit einzelnerTabellenspalten zu konfigurieren.

■ Geben Sie im Feld Alle Felder durchsuchen einen Text ein, um nur Zeilen anzuzeigen,die diesen Text (in einer beliebigen Spalte) enthalten. Beachten Sie, dass Datumswertenach ihrem internen Format yyyy-mm-dd gefiltert werden.

Innerhalb der Tabelle:

■ Klicken Sie auf eine Spaltenüberschrift, um die Tabellenzeilen nach dieser Eigenschaftzu sortieren. Klicken Sie erneut, um die Sortierreihenfolge umzukehren.

■ Klicken Sie auf das blaue Dreieck neben einem Eintrag, um Aktionen für diesen Eintragauszuführen, wie zum Beispiel Anzeigen, Bearbeiten, Löschen.

Unterhalb der Tabelle:

■ Verwenden Sie die Navigationsschaltflächen, um eine bestimmte Tabellenseite anzuzeigen.

■ Verwenden Sie das Symbol Export, um entweder die gesamte Tabelle oder die aktuellangezeigte Tabellenseite als Microsoft-Excel-Datei oder als CSV-Datei zu exportieren.Wenn ein Filter aktiv ist, werden nur die aktuell sichtbaren Zeilen exportiert.

3.3 VoraussetzungenUm die Sophos Mobile Control Konsole verwenden zu können:

■ Sie benötigen einen mit dem Internet verbundenen Computer mit einem Webbrowser.Informationen zu den unterstützten Browsern und den relevanten Versionen finden Sie inden Sophos Mobile Control Release Notes.

■ Der Superadministrator hat einen Kunden angelegt, d.h. einen Mandant, dessen Gerätein Sophos Mobile Control verwaltet werden. Weitere Informationen finden Sie imenglischsprachigen Dokument Sophos Mobile Control Super Administrator Guide.

Hinweis: Für Sophos Mobile Control as a Service wird ein Kunde vordefiniert.Superadministratoren werden für Sophos Mobile Control as a Service nicht unterstützt.

■ Sie benötigen ein Sophos Mobile Control Benutzerkonto und die relevanten Anmeldedatenfür die Anmeldung an der Sophos Mobile Control Konsole. Die Anmeldedaten bestehenaus Kunde, Benutzer und Kennwort. Weitere Informationen finden Sie in An der SophosMobile Control Konsole anmelden (Seite 11).

3.4 BenutzerrollenBenutzer in Sophos Mobile Control Control besitzen unterschiedliche Rollen. Sie weisen dieseRollen zu, wenn Sie neue Administratoren anlegen. Siehe Administratoren erstellen (Seite209).

10



Die in der Sophos Mobile Control Konsole verfügbaren Module und Funktionen hängen vonder Rolle ab.

Sie können folgende Rollen zuweisen:

BeschreibungRolle

Diese Rolle hat die Berechtigung, alle verfügbaren Aktionenauszuführen.

Administrator

Diese Rolle ist zur Durchführung von Aktionen berechtigt, die fürdie Registrierung und Verwaltung von Geräten erforderlich sind. Die

Limited Administrator

Berechtigungen umfassen jedoch nicht grundlegende Einstellungenoder das Hinzufügen weiterer Administratoren.

Diese Rolle kann die Geräteliste anzeigen und kann Berichteerstellen.Verwenden Sie diese Rolle zum Beispiel für einen Auditor

Reporting

oder einen Angestellten, der die Einstellungen von Sophos MobileControl dokumentieren muss.

Diese Rolle ist für Angestellte vorgesehen, die für das Hochladen,Aktualisieren oder Löschen von Dokumenten über die Funktion

Content admin

Dokumente verantwortlich sind. Diese Rolle wird üblicherweisePersonen außerhalb der IT-Abteilung zugewiesen. Die Rechte sindso gesetzt, dass die Einsichtsmöglichkeiten beschränkt sind undnur der Zugriff auf das Menü Dokumente möglich ist.

Diese Rolle ist nur für Support-Zwecke gedacht. Sie hat nureingeschränkte Berechtigungen (z. B. Installation von

Helpdesk

Softwarepaketen). Diese Rolle hat keinen Zugriff auf kritischeFunktionen, wie die Definition von Einstellungen und das Erstellen,Löschen oder Bearbeiten von Geräten/Gerätegruppen, Paketen undProfilen.

Diese Rolle kann App-Gruppen verwalten. Ein typischer Anwenderist ein Administrator, der auf die Webservice-Schnittstelle von

App Group Administrator

Sophos Mobile Control zugreift, um App-Gruppen zu erstellen, zuaktualisieren oder zu lesen.

Wenn Sie weitere Rollen benötigen, wenden Sie sich bitte an das Sophos Support-Team.

3.5 An der Sophos Mobile Control Konsole anmelden1. Öffnen Sie die Webadresse der Sophos Mobile Control Konsole in Ihrem Webbrowser.

2. Geben Sie im Anmeldedialog den Kundennamen und Ihre Anmeldeinformationen (Nameund Kennwort) ein. Klicken Sie anschließend auf Anmeldung.

Das Dashboard des Kunden wird angezeigt.

Hinweis: Wenn Sie sich zum ersten Mal an der Sophos Mobile Control Konsole anmelden,werden Sie aufgefordert, Ihr Kennwort zu ändern.

11

Administratorhilfe

Hinweis: Ihr Administrator kann im Anmeldedialog Meldungen anzeigen, zum Beispiel, umauf Aktualisierungen oder Wartungsarbeiten hinzuweisen. Klicken Sie auf eine Meldung, umdiese vollständig anzuzeigen.

3.6 Von der Sophos Mobile Control Konsole abmeldenZum Abmelden von der Sophos Mobile Control Konsole klicken Sie im Seitenkopf aufAbmelden.

3.7 Ändern Ihres KennwortsNachdem Sie sich an der Sophos Mobile Control Konsole angemeldet haben, können Sie IhrKennwort jederzeit ändern:

1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Allgemeinund klicken Sie anschließend auf die Registerkarte Kennwort ändern.

2. Geben Sie das alte Kennwort sowie ein neues Kennwort ein und bestätigen Sie das neueKennwort.

3. Klicken Sie auf Speichern.

3.8 Kennwort wiederherstellenFalls Sie Ihr Kennwort für die Sophos Mobile Control Konsole vergessen haben, können Siees zurücksetzen.

1. Klicken Sie im Dialogfeld Anmeldung der Sophos Mobile Control Konsole auf Kennwortvergessen?

Das Dialogfeld Kennwort zurücksetzen wird angezeigt.

2. Geben Sie Ihre Informationen in die Felder Kunde und Benutzer ein und klicken Sie aufKennwort zurücksetzen.

Sie erhalten eine E-Mail mit einem Link zum Zurücksetzen Ihres Kennworts.

3. Klicken Sie auf den Link.

Das Dialogfeld Kennwort ändern wird angezeigt.

4. Geben Sie ein neues Kennwort ein, bestätigen Sie es und klicken Sie auf Kennwortändern.

Ihr Kennwort wird geändert und Sie werden an der Sophos Mobile Control Konsole angemeldet.

12


4 Wichtige Schritte für das Managementvon Geräten mit Sophos Mobile ControlAbhängig von den für Ihr Unternehmen relevanten Gerätetypen, Sicherheitsrichtlinien undspezifischen Anforderungen bietet Sophos Mobile Control eine breite Palette vonMobile-Device-Management-Funktionen.

Die wichtigsten Schritte für das Geräte-Management mit Sophos Mobile Control sind:

■ Compliance-Regeln für Geräte konfigurieren. Siehe Compliance-Richtlinien (Seite 43).

■ Gerätegruppen erstellen. Siehe Gerätegruppe erstellen (Seite 71).

Gerätegruppen dienen zur Kategorisierung von Geräten. Wir empfehlen, Geräte zugruppieren. Da sich Aufträge auch für Gerätegruppen statt für Einzelgeräte ausführenlassen, können Sie Geräte so effizient verwalten.

■ Geräte registrieren und provisionieren. Siehe Geräte hinzufügen (Seite 51) und Geräteregistrieren (Seite 53).

Geräte können entweder von Administratoren über die Sophos Mobile Control Konsole,oder von Gerätebenutzern über das Self Service Portal registriert und provisioniert werden.

■ Profile und Sicherheitseinstellungen für Geräte einrichten. Siehe Profile und Richtlinien(Seite 72).

■ Auftragspakete erstellen. Siehe Auftragspakete (Seite 172).

■ Konfigurieren der im Self Service Portal verfügbaren Funktionen. Siehe Self Service Portalkonfigurieren (Seite 26).

■ Neue oder aktualisierte Profile und Sicherheitseinstellungen auf registrierte Geräteanwenden.

13

Administratorhilfe

5 DashboardHinweis: Dieser Abschnitt beschreibt das Dashboard für reguläre Administratoren. BeimSuperadministrator wird das Dashboard für die Verwaltung von Kunden verwendet. Siehedas englischsprachige Dokument Sophos Mobile Control Super Administrator Guide.

Das konfigurierbare Dashboard ist die Startansicht von Sophos Mobile Control. Es bieteteinen schnellen Überblick auf die wichtigsten Informationen. Es enthält mehrere Widgets, dieInformationen liefern über:

■ Geräte, alle oder nach Gruppen unterteilt

■ Compliance-Status nach Plattform oder für alle Geräte

■ Managed-Status nach Plattform oder für alle Geräte

■ SSP-Registrierungsstatus

■ Plattformversionen, die in Verwendung sind

Außerdem gibt es ein spezielles Widget Gerät hinzufügen, mit dem derGeräteregistrierungs-Assistent aufgerufen wird. Siehe Mit dem Geräteregistrierungs-Assistentneue Geräte zuweisen und registrieren (Seite 54).

Sie haben folgende Möglichkeiten, das Dashboard anzupassen:

■ Um ein Widget hinzuzufügen, klicken Sie auf Widget hinzufügen.

■ Um ein Widget zu entfernen, klicken Sie auf die Schaltfläche Schließen in der Titelleistedes Widgets.

■ Um die Seite auf das Standardlayout zurückzusetzen, klicken Sie auf Standard-Layoutwiederherstellen.

■ Um die Position der Widgets auf der Seite zu ändern, ziehen Sie die Titelleiste einesWidgets.

14



6 BerichteIn Sophos Mobile Control können Sie verschiedene Berichte aus den folgenden Bereichenerstellen:

■ Geräte

■ Apps und Dokumente

■ Compliance-Verstöße

■ Malware

So erstellen Sie einen Bericht:

1. Klicken Sie im Abschnitt INFORMATION der Menüleiste auf Berichte, und klicken Sieanschließend auf den Namen des gewünschten Berichts.

2. Klicken Sie im Dialog Format auswählen auf eines der verfügbaren Symbole, um dasAusgabeformat auszuwählen:

■ Klicken Sie auf , um den Bericht als Microsoft-Excel-Datei zu exportieren.■ Klicken Sie auf , um den Bericht als CSV-Datei zu exportieren.

Die Berichtdatei wird abhängig von den Download-Einstellungen Ihres Webbrowsers aufIhrem Computer gespeichert.

15

Administratorhilfe

7 AufträgeDie Seite Auftragsstatus enthält eine Übersicht der von Ihnen erstellten oder gestartetenAufträge mit ihrem aktuellen Status.

Sie können alle Ihre Aufträge überwachen und bei Problemen eingreifen. Sie könnenbeispielsweise einen Auftrag löschen, der offensichtlich nicht abgeschlossen werden kann,aber das Gerät blockiert.

Um einen Auftrag zu löschen, klicken Sie auf das Löschen-Symbol neben dem Auftrag.

Sie können Aufträge nach Typ und Status filtern, und sie nach Gerätenamen, Paketnamen,Ersteller und Auftragsdatum sortieren.

7.1 Aufträge überwachenIn der Sophos Mobile Control Konsole können Sie alle vorhandenen Aufträge für Geräteüberwachen.

■ Die Seite Aufträge zeigt alle noch nicht abgeschlossenen und fehlgeschlagenen Aufträgesowie die abgeschlossenen Aufträge der letzten Tage an. Die Seite Auftragsstatus wirdautomatisch aktualisiert. Sie können somit den Fortschritt der Aufträge verfolgen.

■ Die Seite Auftragsdetails zeigt allgemeine Informationen zu einem Auftrag aus der SeiteAufträge oder der Seite Auftragsarchiv.

■ Die Seite Auftragsarchiv zeigt alle Aufträge.

7.1.1 Nicht abgeschlossene, fehlgeschlagene und kürzlich abgeschlosseneAufträge anzeigen

1. Klicken Sie im Abschnitt INFORMATION der Menüleiste auf Aufträge.

2. Die Spalte Status auf der Seite Auftragsansicht zeigt den Auftragsstatus an, zum BeispielEndgültig fehlgeschlagen.

3. Im Feld Aktualisierungsintervall (in Sek.) können Sie auswählen, wie oft die SeiteAuftragsstatus aktualisiert werden soll.

4. Um weitere Details zu einem Auftrag einzusehen, klicken Sie auf das AnzeigenLupensymbol neben den gewünschten Auftrag.

Die Seite Auftragsdetails wird angezeigt. Neben allgemeinen Informationen zum Auftrag(zum Beispiel Gerätename, Paketname, Ersteller) zeigt diese Ansicht die Status, die einbestimmter Auftrag durchlaufen hat, inklusive Zeitstempel und Fehlercodes. WennKommandos vom Gerät auszuführen sind, wird auf der Seite Auftragsdetails zusätzlicheine Schaltfläche Details angezeigt.

16


5. Falls verfügbar, klicken Sie auf Details, um die vom Gerät auszuführenden Kommandoseinzusehen.

Die an das Gerät geschickten Kommandos sind Teil des Auftrags. Sie werden von derSMC-App oder vom MDM-Client ausgeführt. Die Ergebnisse, die Erfolg oder Fehlschlagangeben, werden an den Server zurück gesendet. Ist kein Fehler aufgetreten, so lautetder Fehlercode "0". Ist ein Kommando fehlgeschlagen, so wird der entsprechendeFehlercode angezeigt. Meistens werden auch Informationen dazu angezeigt, was denFehlschlag verursacht haben könnte.

6. Um zur Seite Auftragsdetails zurückzukehren, klicken Sie auf Zurück.

7.1.2 Auftragsarchiv anzeigen

1. Klicken Sie im Abschnitt INFORMATION der Menüleiste auf Aufträge.

2. Klicken Sie auf der Seite Auftragsstatus auf Auftragsarchiv.

Die Seite Auftragsarchiv wird angezeigt. Sie zeigt alle abgeschlossenen undfehlgeschlagenen Aufträge im System.

3. Auf dieser Seite können Sie folgende Aufgaben durchführen:

■ Klicken Sie auf Neu laden, um die Seite Auftragsarchiv zu aktualisieren.■ Löschen Sie einen Auftrag aus dem Archiv , indem Sie auf das Löschen-Symbol neben

dem relevanten Auftrag klicken.■ Wählen Sie mehrere Aufträge aus und klicken Sie auf Gewählte löschen, um sie aus

dem Archiv zu löschen.

Um zur Seite Auftragsstatus zurückzugehen, klicken Sie in der Menüleiste auf Aufträge.

7.1.3 Auftragsstatus

Die folgende Tabelle bietet einen Überblick der Auftragsstatus, die auf den SeitenAuftragsstatus und Auftragsarchiv angezeigt werden.

Jedem Status ist eine Farbe zugeordnet, welche die Statuskategorie anzeigt.

BeschreibungStatusFarbschlüssel

Auftrag wurde erstellt.Angenommen

Auftrag wird später wiederholt.Wiederholung geplant

Auftrag wurde gestartet.Gestartet

Auftragsausführung wird vorbereitet.In Bearbeitung

Auftragspaket-Ausführung wird vorbereitet.Auftragspaket wird bearbeitet

SMC App wurde benachrichtigt.Benachrichtigt

SMC App hat das Paket oder die Kommandos erhalten.Befehle gesendet

17

Administratorhilfe

BeschreibungStatusFarbschlüssel

SMC App hat geantwortet und die Auswertung desErgebnisses wurde gestartet.

Ergebnisauswertunggestartet

Ergebnisauswertung hat ergeben, dass noch nicht alleErgebnisse des Kommandos empfangen wurden.

Ergebnis unvollständig

Eine Benutzer-Aktion auf dem Gerät steht aus.Warte auf Benutzer-Aktion

Auftrag wartet darauf, dass das Gerät entsperrt wird (nurfür iOS).

Gerät ist gesperrt

Paket wurde installiert oder die Kommandos wurdenerfolgreich ausgeführt.

Hinweis: Für die Ersteinrichtung (Provisionierung) derApp „Sophos Mobile Control“ muss der Auftrag mit demStatus „Installiert“ beendet werden.

Erfolgreich

Die App „Sophos Mobile Control“ wurde erfolgreichinstalliert. Das Gerät ist nun provisioniert.

Installiert

Ergebnisauswertung konnte nicht durchgeführt werden.Ergebnisauswertungfehlgeschlagen

Nicht alle Kommandos des Auftrags konnten erfolgreichausgeführt werden.

Auftrag teilweisefehlgeschlagen

Auftrag wird später erneut gestartet.Verschoben

Auftrag ist fehlgeschlagen und wird später wiederholt.Fehlgeschlagen (wirdwiederholt)

Auftrag ist fehlgeschlagen und wird nicht wiederholt.Auftrag fehlgeschlagen

Auftrag ist fehlgeschlagen und kann nicht wiederholtwerden.

Endgültig fehlgeschlagen

Auftrag ist Teil eines Auftragspakets und wurde nochnicht ausgeführt.

Nicht gestartet

Eine AirPlay-Sitzung wurde angefordert (nur für iOS).Sitzung angefordert

Der Server hat keine Information zum Auftragsstatus.Unbekannt

KategorieFarbschlüssel

Öffnen

18


KategorieFarbschlüssel

In Bearbeitung

Erfolgreich

Fehlgeschlagen

Sonstiges

19

Administratorhilfe

8 Allgemeine EinstellungenAuf der Seite Allgemeine Einstellungen können Sie einige grundlegende Einstellungen fürSophos Mobile Control konfigurieren.

8.1 Persönliche Einstellungen konfigurierenDamit Sie die Sophos Mobile Control Konsole möglichst effizient nutzen können, lässt sichdie Benutzeroberfläche so anpassen, dass nur die Plattformen, mit denen Sie arbeitenmöchten, angezeigt werden.

Hinweis: Die Konfiguration der Plattformen ändern Sie lediglich die Ansicht des aktuellangemeldeten Benutzers. Sie können an dieser Stelle keine Funktionen deaktivieren.

1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Allgemeinund klicken Sie anschließend auf die Registerkarte Persönlich.

20


2. Konfigurieren Sie folgende Einstellungen:

BeschreibungOption

Wählen Sie die Sprache für die Sophos Mobile Control Konsoleaus.

Sprache

Wählen Sie die Zeitzone für die Datumsanzeige.Zeitzone

Wählen Sie das Maßsystem für Längenwerte aus (Metrisch oderImperial).

Maßsystem

Wählen Sie die maximale Anzahl an Tabellenzeilen aus, die proSeite angezeigt werden sollen.

Datensätze pro Tabellenseite

Wählen Sie dieses Kontrollkästchen, um alle verfügbarenInformationen über das Gerät anzuzeigen. Die RegisterkartenBenutzerdefinierte Eigenschaften und Interne Eigenschaftenwerden der Seite Gerät anzeigen hinzugefügt.

Erweiterte Gerätedetailsanzeigen

Wählen Sie die Plattformen aus, die Sie für den Kunden verwaltenwollen:

Aktivierte Plattformen

Android

iOS

Windows Mobile (beinhaltet Windows Phone 8.1 undWindows 10 Mobile)

Windows Desktop

Die Benutzeroberfläche der Sophos Mobile Control Konsole wirdentsprechend der ausgewählten Plattformen angepasst. Eswerden nur Ansichten und Features angezeigt, die für dieausgewählten Plattformen relevant sind.

Hinweis: Die Liste der verfügbaren Plattformen richtet sich nachden Einstellungen aus der Super-Administrator-Konfiguration.Weitere Informationen finden Sie im englischsprachigen DokumentSophos Mobile Control Super Administrator Guide.


8.2 Kennwortrichtlinien konfigurierenUm die Sicherheit von Kennwörtern durchzusetzen, konfigurieren Sie Kennwortrichtlinien fürBenutzer der Sophos Mobile Control Konsole und des Self Service Portal.

Hinweis: Die Kennwortrichtlinien gelten nicht für Benutzer eines externenLDAP-Verzeichnisses. Informationen zur externen Benutzerverwaltung finden Sie imenglischsprachigen Dokument Sophos Mobile Control Super Administrator Guide.

1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Allgemeinund klicken Sie anschließend auf die Registerkarte Kennwortrichtlinien.

2. Unter Regeln können Sie Anforderungen an Kennworte definieren, zum Beispiel dieMindestanzahl der Kleinbuchstaben, Großbuchstaben oder Ziffern, damit das Kennwortgültig ist.

21

Administratorhilfe



3. Konfigurieren Sie unter Einstellungen folgende Einstellungen:

a) Änderungsintervall (Tage): Geben Sie die Kennwort-Gültigkeitsdauer in Tagen ein(zwischen 1 und 730), oder lassen Sie das Feld leer, wenn Kennworte nicht ablaufensollen.

b) Anzahl der letzten Kennwörter, die nicht benutzt werden dürfen: Wählen Sie einenWert zwischen 1 und 10, oder wählen Sie ---, um diese Einschränkung zu deaktivieren.

c) Maximale Anzahl fehlerhafter Loginversuche: Wählen Sie die maximale Anzahl anfehlgeschlagenen Login-Versuchen bevor das Konto gesperrt wird (zwischen 1 und10), oder wählen Sie ---, um unbegrenzt viele Login-Versuche zuzulassen.


8.3 Einstellungen der SMC-App konfigurierenAuf der Registerkarte SMC App der Seite Allgemeine Einstellungen konfigurieren SieEinstellungen für die App „Sophos Mobile Control“ auf Android-, iOS- undWindows-Mobile-Geräten.

1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Allgemeinund klicken Sie anschließend auf die Registerkarte SMC App.


BeschreibungOption

Entfernen Sie die Schaltfläche Deregistrieren in der App „SophosMobile Control“, um zu verhindern, dass Benutzer ihr Gerät ausder App heraus deregistrieren.

Hinweis: Um eine Deregistrierung durch den Benutzer vollständigzu verhindern, deaktivieren Sie zusätzlich die Option Gerätderegistrieren in den Einstellungen für das Self Service Portal.Siehe Self-Service-Portal-Einstellungen konfigurieren (Seite 27).

Deregistrierung über die Appdeaktivieren


8.4 Baidu Cloud Push aktivierenSophos Mobile Control verwendet den Dienst Google Cloud Messaging (GCM), umPush-Benachrichtigungen an Android-Geräte zu senden, damit diese sich mit dem SophosMobile Control Server verbinden. In China funktioniert GCM wahrscheinlich nicht. SophosMobile Control kann darum zusätzlich Baidu Cloud Push verwenden, einen chinesischenDienst für Push-Benachrichtigungen.

Falls Sie Android-Geräte verwalten, die sich in China befinden, aktivieren Sie folgendermaßenBaidu Cloud Push:

1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Allgemeinund klicken Sie anschließend auf die Registerkarte Android.

2. Wählen Sie im Abschnitt Baidu Cloud Push die Option Baidu Cloud Push aktivierenaus.


22


Wenn Baidu Cloud Push aktiviert ist, sendet Sophos Mobile Control allePush-Benachrichtigungen sowohl über GCM als auch über Baidu Cloud Push.

8.5 Einstellungen für iOS konfigurierenAuf der Registerkarte iOS der Seite Allgemeine Einstellungen konfigurieren Sie spezielleEinstellungen für iOS-Geräte.

1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Allgemeinund klicken Sie anschließend auf die Registerkarte iOS.


BeschreibungOption

Wählen Sie Aktivieren aus, um bei betreuten Geräten eineAktivierungssperre bei Bedarf umgehen zu können.

Wenn diese Option ausgewählt ist, ruft Sophos Mobile Controleinen Umgehungs-Code ab, wenn es sich mit einem betreutenGerät synchronisiert, bei dem eine Aktivierungssperre eingerichtetist. Bei Bedarf können Sie auf der Seite Gerät anzeigen desGerätes die Aktion Aktivierungssperre-Umgehung ausführen,um die Aktivierungssperre zu entfernen, wenn das Gerätzurückgesetzt und neu bereitgestellt werden soll.

Die Aktivierungssperre ist eine Sicherheitsfunktion von iOS, umim Falle eines Geräteverlustes oder Diebstahls eine neueGeräte-Aktivierung zu verhindern. Normalerweise benötigen Siedie bei der Einrichtung angegebene Apple-ID und das Kennwort,um eine Aktivierungssperre zu entfernen. Mit Hilfe derAktivierungssperre-Umgehung können Sie die Aktivierungssperreentfernen, indem Sie lediglich den Umgehungs-Code angeben.

Aktivierungssperre-Umgehung

Wählen Sie Aktivieren aus, um iOS-Geräte unter dem Namenzu verwalten, der im Gerät konfiguriert ist.

Wenn diese Option aktiviert ist, liest Sophos Mobile Control denGerätenamen bei jeder Synchronisierung.

Wenn diese Option deaktiviert ist, legen Sie den Gerätenamenbei der Registrierung fest.

Gerätenamen synchronisieren


8.6 Poll-Intervall für Windows-Geräte konfigurierenFür Windows-Geräte können Sie das Poll-Intervall konfigurieren, in dem sich derWindows-MDM-Client mit dem Sophos Mobile Control Server verbindet. Normalerweiseverwendet der Server Push-Benachrichtungen, um sich mit den Clients zu verbinden. Pollingwird nur zur Sicherheit verwendet, falls der Push Notification Service nicht verfügbar ist.

23

Administratorhilfe

Hinweis: Die Standardwerte sind in den meisten Fällen ausreichend. Kürzere Intervallewirken sich negativ auf Akkulaufzeit und Datenverbrauch aus und verursachen eine höhereServer-Last.

1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Allgemeinund klicken Sie anschließend auf die Registerkarte Windows.

2. Wählen Sie Poll-Intervalle für die verschiedenen Windows-Betriebssysteme aus. Siekönnen individuelle Einstellungen vornehmen für:

■ Geräte mit Windows 10 Mobile und Windows Phone 8.1■ Geräte mit Windows 10 Desktop


8.7 E-Mail konfigurierenAuf der Registerkarte E-Mail-Konfiguration konfigurieren Sie die Einstellungen für E-Mails,die von Sophos Mobile Control an die Benutzer verschickt werden.

1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Allgemeinund klicken Sie anschließend auf die Registerkarte E-Mail-Konfiguration.

2. Wählen Sie in der Liste Sprache die Sprache aus, in der die E-Mails verschickt werden.

3. Geben Sie im Feld Absendername den Namen ein, der als E-Mail-Absender verwendetwird.


8.8 Kontaktdetails für technische UnterstützungkonfigurierenUm Benutzer bei Fragen oder Problemen zu unterstützen, können Sie ihnen dieKontaktinformationen für die technische Unterstützung mitteilen. Die Informationen, die Siehier eingeben, werden in der App „Sophos Mobile Control“ und im Self Service Portal angezeigt.

1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Allgemeinund klicken Sie anschließend auf die Registerkarte Technischer Kontakt.

2. Geben Sie die erforderlichen Informationen für den technischen Kontakt ein.


8.9 Kundeneigenschaften definierenSie können für jeden Kunden spezifische Eigenschaften definieren.

Wenn Sie eine Eigenschaft Meine Eigenschaft festlegen, können Sie in Profilen undRichtlinien den Platzhalter %_CUSTPROP(Meine Eigenschaft)_% verwenden, um denWert der Eigenschaft zu referenzieren. Sie können dies zum Beispiel verwenden, um Domänenzu referenzieren, die nur für den Kunden gelten.

Einzelheiten finden Sie in Platzhalter in Profilen und Richtlinien (Seite 75).

So definieren Sie eine Kundeneigenschaft:

1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Allgemeinund klicken Sie anschließend auf die Registerkarte Kundeneigenschaft.

2. Klicken Sie auf Kundeneigenschaft hinzufügen.

24


3. Geben Sie einen Name und einen Wert für die neue Eigenschaft ein.

4. Klicken Sie auf Anwenden, um die Eigenschaft zu erstellen.

5. Klicken Sie auf Speichern, um die Kundeneinstellungen zu speichern.

25

Administratorhilfe

9 Self Service Portal konfigurierenMit dem Self Service Portal können Sie IT-Aufwände reduzieren, indem Sie den Benutzernermöglichen, eigenständig Geräte zu registrieren und andere Aufgaben auszuführen, ohnedazu den Helpdesk zu kontaktieren.

Über die Menüleiste können Sie Einstellungen für die Verwendung des Self Service Portalkonfigurieren. Zum Beispiel:

■ Für welche Plattformen Geräte registriert werden können.

■ Welche Funktionen verfügbar sind.

■ Welche Benutzer berechtigt sind, das Self Service Portal zu verwenden.

9.1 Self-Service-Portal-Gruppen bei internerBenutzerverwaltung erstellenSelf Service Portal Konfigurationen werden auf Gruppen von Self Service Portal Benutzernangewendet. Mit der internen Benutzerverwaltung können Sie Self Service Portal Gruppenerstellen und ihnen Benutzer zuweisen. Für weitere Informationen zur Benutzerverwaltungsiehe Self-Service-Portal-Benutzer verwalten (Seite 31).

Hinweis: Die interne Benutzerverwaltung steht nur dann für einen Kunden zur Verfügung,wenn sie vom Superadministrator aktiviert wurde. Weitere Informationen finden Sie imenglischsprachigen Dokument Sophos Mobile Control Super Administrator Guide. BeachtenSie, dass dies nicht für Sophos Mobile Control as a Service gilt. Superadministratoren werdenfür Sophos Mobile Control as a Service nicht unterstützt. Informationen darüber, wie Sie dieMethoden für die Benutzerverwaltung für Sophos Mobile Control as a Service festlegen, findenSie unter Self-Service-Portal-Benutzerverwaltung konfigurieren (Seite 31).

So erstellen Sie eine Self Service Portal Gruppe:

1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Benutzer.

Die Seite Benutzer anzeigen wird angezeigt.

2. Klicken Sie auf Benutzergruppen anzeigen.

Die Seite Benutzergruppen anzeigen wird angezeigt.

3. Klicken Sie auf Gruppe erstellen.

Die Seite Gruppe bearbeiten wird angezeigt.

4. Geben Sie im Feld Name einen Namen für die neue Self Service Portal Gruppe ein.


Die neue Benutzergruppe für das Self Service Portal wird auf der Seite Benutzergruppenanzeigen angezeigt. Wenn Sie neue Benutzer erstellen, können Sie diese der Gruppezuweisen. Wenn Sie Self Service Portal Einstellungen definieren, können Sie die Gruppeauswählen und Ihr die Einstellungen zuweisen.

26



9.2 Self-Service-Portal-Einstellungen konfigurieren1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung und klicken

Sie anschließend auf Self Service Portal.

Die Seite Self Service Portal wird angezeigt.

2. Konfigurieren Sie auf der Registerkarte Konfiguration folgende Einstellungen:

a) Wählen Sie in der Liste Maximale Anzahl an Geräten die maximale Anzahl an Gerätenaus, die ein Benutzer im Self Service Portal registrieren kann. Hierdurch wirdgewährleistet, dass die Anzahl verfügbarer Lizenzen nicht überschritten wird.

b) Wählen Sie in der Liste Vorauswahl Gerätebesitzer aus, ob neue Geräte alsFirmengeräte oder als Privatgeräte eingestuft werden, und ob die Benutzer dieseEinstellung ändern dürfen, wenn sie ihre Geräte über das Self Service Portal registrieren.Sie können eine der folgenden Einstellungen auswählen:

■ Keine Vorauswahl: Der Besitzertyp wird im Self Service Portal nicht vorausgewählt.Benutzer können den Gerätetyp auswählen.

■ Firmengerät (vorausgewählt): Im Self Service Portal ist Firmengerätvorausgewählt. Benutzer können diese Einstellung in Privatgerät ändern.

■ Firmengerät (fest): Gerätetyp kann nicht ausgewählt werden. Als Besitzer wirdFirma angezeigt.

■ Privatgerät (vorausgewählt): Im Self Service Portal ist Privatgerät vorausgewählt.Benutzer können diese Einstellung in Firmengerät ändern.

■ Privatgerät (fest): Gerätetyp kann nicht ausgewählt werden. Als Besitzer wird Privatangezeigt.

c) Wählen Sie unter Verfügbare Funktionen die Funktionen aus, die Benutzern im SelfService Portal zur Verfügung stehen sollen. Die Funktionen variieren je nachGeräteplattform. Siehe Verfügbare Self-Service-Portal-Einstellungen (Seite 28).

3. Konfigurieren Sie auf der Registerkarte Nutzungsbedingungen eine Mobil-Richtlinie,einen Haftungshinweis oder eine Vereinbarung. Dieser Text wird im ersten Schritt angezeigt,wenn Benutzer ihre Geräte registrieren. Benutzer müssen diesem Text zustimmen, bevorsie fortfahren können.

Für den Text werden HTML-Formatierungs-Tags unterstützt. Der Text wird entsprechendim jeweiligen Browser angezeigt.

4. Konfigurieren Sie auf der Registerkarte Installations-Abschlusstext den Text, der imSelf Service Portal nach der automatischen Installation angezeigt wird. Mit diesem Textkönnen Sie den Benutzern die nächsten Schritte mitteilen, zum Beispiel die Konfigurationdes Servers in der iOS-App oder die Konfiguration der E-Mail-App bei Android.

Für den Text werden HTML-Formatierungs-Tags unterstützt. Der Text wird entsprechendim ausgewählten Browser angezeigt.

5. Konfigurieren Sie auf der Registerkarte Gruppeneinstellungen die Gruppeneinstellungen,zum Beispiel die Gerätegruppen, zu denen registrierte Geräte hinzugefügt werden, unddas Auftragspaket, welches auf die Geräte übertragen wird.

Wichtig: Aufgrund der komplexen Konfigurationsmöglichkeiten der Gruppeneinstellungenempfehlen wir, dass Sie die Geräteregistrierung mit verschiedenen Benutzergruppentesten, bevor Sie die Einstellungen Ihren Benutzern zur Verfügung stellen.

a) Klicken Sie auf Hinzufügen.

27

Administratorhilfe

Die Seite Gruppeneinstellungen bearbeiten wird angezeigt.

b) Geben Sie einen Name für die Self Service Portal Konfigurationsgruppe ein.

c) Geben Sie im Feld Verzeichnisgruppe die Self Service Portal Gruppe ein, die Sie inder internen oder externen Benutzerverwaltung definiert haben, oder die Active DirectoryGruppe mit ihrem vollen LDAP-Pfad oder Platzhaltern. In diesem Feld können Sie denPlatzhalter * als erstes, letztes oder einziges Zeichen verwenden, um mehrere Gruppenanzugeben. Zum Beispiel: Geben Sie Dev* ein, um alle Gruppen anzugeben, die mitder Zeichenfolge Dev beginnen. Geben Sie * ein, um alle verfügbaren Gruppenanzugeben.

d) Wählen Sie aus, ob die Texte, die auf den Registerkarten Nutzungsbedingungen undInstallations-Abschlusstext konfiguriert sind, angezeigt werden sollen.

e) Wählen Sie in den Spalten Einrichtungspaket - Firmengeräte und Einrichtungspaket- Privatgeräte das Auftragspaket (für Android und iOS) bzw. die Richtlinie (für WindowsMobile und Windows Desktop) aus, die auf Firmengeräten und Privatgeräten ausgeführtwerden soll.

f) Wählen Sie in der Spalte Aktiv die Plattformen aus, die im Self Service Portal verfügbarsein sollen.

Damit Sie eine Plattform auswählen können, müssen Sie erst ein Einrichtungspaketauswählen.

g) Wählen Sie in der Spalte Einfügen in Gerätegruppe die Gruppe, zu der das Geräthinzugefügt werden soll.

Hinweis: In der Menüleiste ist eine Gerätegruppe Default verfügbar. Wenn Sie nochkeine eigenen Gerätegruppen definiert haben, können Sie Geräte zu dieser Gruppehinzufügen. Weitere Informationen finden Sie in Gerätegruppen (Seite 71).

h) Klicken Sie auf Anwenden.

6. Die Seite Self Service Portal wird angezeigt. Klicken Sie auf Speichern.

Hinweis: Als Superadministrator können Sie auch einen Standard-Kunden festlegen, andem sich die Benutzer im Self Service Portal anmelden. Weitere Informationen finden Sie imenglischsprachigen Dokument Sophos Mobile Control Super Administrator Guide. BeachtenSie, dass dies nicht für Sophos Mobile Control as a Service unterstützt wird.Superadministratoren werden für Sophos Mobile Control as a Service nicht unterstützt.

9.3 Verfügbare Self-Service-Portal-EinstellungenDie folgende Tabelle zeigt die Funktionen des Self Service Portal, die Sie aktivieren oderdeaktivieren können (siehe Self-Service-Portal-Einstellungen konfigurieren (Seite 27)) unddie jeweils unterstützten Geräteplattformen.

WindowsDesktop

WindowsMobile

iOSAndroidBeschreibungEinstellung

Mit dieser Funktion könnenBenutzer ihre Geräte beiVerlust oder Diebstahl orten.

Gerätestandortbestimmen

28



WindowsDesktop

WindowsMobile


Mit dieser Funktion könnenBenutzer ihre Geräte beiVerlust oder Diebstahlsperren.

Gerät sperren

Mit dieser Funktion könnenBenutzer ihre Geräte neukonfigurieren, wenn SophosMobile Control vom Gerät

Neukonfiguration

entfernt wurde, das Gerätjedoch noch registriert ist.

Mit dieser Funktion könnenBenutzer die vorhandenenCompliance-Verstöße ihrerGeräte anzeigen.

Compliance-Verstößeanzeigen

Mit dieser Funktion könnenBenutzer ihre Geräte manuellmit dem Sophos MobileControl Server

Daten aktualisieren

synchronisieren. Dies ist zumBeispiel nützlich, wenn dasGerät längere Zeitausgeschaltet war und dahernicht mit dem Serversynchronisiert wurde. Indiesem Fall entspricht dasGerät möglicherweise nichtden Compliance-Regeln undmuss mit dem Serversynchronisiert werden, damites die Regeln wieder erfüllt.

Mit dieser Funktion könnenBenutzer das Kennwort fürdas Entsperren desBildschirms zurücksetzen.

Kennwortzurücksetzen

Für Geräte mit Android undiOS wird ein temporäresKennwort im Self ServicePortal angezeigt. Das Gerätkann nur mit diesemKennwort entsperrt werden.Nach dem Entsperren kannder Benutzer ein neuesKennwort festlegen. FüriOS-Geräte wird dasKennwort vollständiggelöscht. Der Benutzer mussinnerhalb von 60 Minuten einneues Kennwort definieren.

29

Administratorhilfe

WindowsDesktop

WindowsMobile


Mit dieser Funktion könnenBenutzer Ihre registriertenGeräte bei Verlust oderDiebstahl auf den

Zurücksetzen

Auslieferungszustandzurücksetzen. Alle Daten aufdem Gerät werden gelöscht.

Auf Geräten, die bei Androidfor Work registriert sind, wirdnur das Arbeitsprofil entfernt.Das Gerät selber wird nichtzurückgesetzt.

Mit dieser Funktion könnenBenutzer Gerätederegistrieren, die nicht mehrbenutzt werden. Dies ist zum

Gerät deregistrieren

Beispiel nützlich, wenn dieAnzahl an Geräten, dieBenutzer im Self ServicePortal registrieren können,begrenzt ist, oder wennBenutzer ein neues Geräterhalten.

Mit dieser Funktion könnenBenutzer deregistrierteGeräte löschen.

Nicht verwaltetesGerät löschen

Mit dieser Funktion könnenBenutzer ihrApp-Protection-Kennwort aufAndroid Geräten

App-Protection-Kennwortzurücksetzen

zurücksetzen. DasApp-Protection-Kennwortschützt definierte Apps undmuss jedes Mal eingegebenwerden, wenn Benutzerdiese Apps starten. DasKennwort wird gelöscht unddie Benutzer müssen einneues Kennwort definieren.

Mit dieser Funktion könnenBenutzer dasSophos-Container-Kennwortzurücksetzen. Das

Sophos-Container-Kennwortzurücksetzen

Sophos-Container-Kennwortmuss jedes Mal eingegebenwerden, wenn Benutzer eineder Container-Apps starten.Das Kennwort wird gelöschtund die Benutzer müssen einneues Kennwort definieren.

30


WindowsDesktop

WindowsMobile


Mit dieser Funktion könnenBenutzer eine bereitsinstallierte App „SophosMobile Control“ neukonfigurieren.

SMC-App neukonfigurieren

9.4 Self-Service-Portal-Benutzer verwaltenSophos Mobile Control bietet verschiedene Arten der Verwaltung vonSelf-Service-Portal-Benutzern:

■ Interne Benutzerverwaltung: Mit der internen Benutzerverwaltung können Sie Benutzererstellen, indem Sie diese manuell zu Sophos Mobile Control hinzufügen oder aus einerCSV-Datei importieren.

■ Externe Benutzerverwaltung: Mit der externer Benutzerverwaltung können Sie Gerätezu Gruppen und Profilen auf der Grundlage der Directory-Zugehörigkeit zuweisen.

Die Art der Benutzerverwaltung ist kundenspezifisch. Bei lokalen Installationen von SophosMobile Control wird sie vom Superadministrator definiert, wenn ein Kunde erstellt wird. BeiSophos Mobile Control as a Service definieren Sie die Art, bevor Sie den ersten Benutzerhinzufügen. Siehe Self-Service-Portal-Benutzerverwaltung konfigurieren (Seite 31).

9.4.1 Self-Service-Portal-Benutzerverwaltung konfigurieren

Hinweis: Bei lokalen Installationen von Sophos Mobile Control wird die Benutzerverwaltungfür das Self Service Portal vom Superadministrator festgelegt, wenn ein Kunde erstellt wird.Siehe das englischsprachige Dokument Sophos Mobile Control Super Administrator Guide.

1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung und klickenSie anschließend auf Systemeinstellungen.

Die Seite Systemeinstellungen wird angezeigt.

2. Wechseln Sie in die Registerkarte Benutzerverzeichnis.Wählen Sie in dieser Registerkarteunter die Datenquelle für die mit Sophos Mobile Control zu verwaltenden Self ServicePortal (SSP) Benutzer aus:

■ Kein Verzeichnis. SSP, benutzerspezifische Profile und LDAP-Administratorensind nicht verfügbar.

■ Wählen Sie Internes Verzeichnis, um die interne Benutzerverwaltung für Benutzerdes Sophos Mobile Control Self Service Portal zu verwenden.

■ Wählen Sie Externes LDAP-Verzeichnis, um externe Benutzerverwaltung für Benutzerdes Sophos Mobile Control Self Service Portal zu verwenden.

Klicken Sie auf Externes Benutzerverzeichnis (LDAP) konfigurieren, um dieServerdaten anzugeben. Siehe Externes Benutzerverzeichnis anbinden (Seite 32).

31

Administratorhilfe


Wenn Sie Internes Verzeichnis oder Externes LDAP-Verzeichnis ausgewählt haben,wird die ausgewählte Option und die Option Kein Verzeichnis. SSP, benutzerspezifischeProfile und LDAP-Administratoren sind nicht verfügbar auf der RegisterkarteBenutzerverzeichnis angezeigt. Wenn Sie Ihre Auswahl nachträglich ändern möchten,wählen Sie zuerst Kein Verzeichnis. SSP, benutzerspezifische Profile undLDAP-Administratoren sind nicht verfügbar, damit alle Optionen zur Verfügung stehen.

Hinweis: Die Benutzerverwaltungskonfiguration kann nicht geändert werden, solangeGeräte mit dem Verzeichnis verbunden sind. Wenn Sie versuchen, die Konfiguration zuändern, während noch Geräte verbunden sind, wird eine Fehlermeldung angezeigt.

9.4.1.1 Externes Benutzerverzeichnis konfigurierenWenn Sie ein externes LDAP-Verzeichnis für die Verwaltung der Benutzerkonten für dieSophos Mobile Control Konsole und für das Self Service Portal verwenden, müssen Sie dieVerbindung zu diesem Verzeichnis konfigurieren, damit Sophos Mobile Control dieBenutzerdaten vom LDAP-Server abrufen kann. Bei lokalen Installationen von Sophos MobileControl macht dies der Superadministrator beim Erstellen eines Kunden.

Hinweis: Zwischen dem LDAP-Verzeichnis und Sophos Mobile Control findet keineSynchronisierung statt. Sophos Mobile Control greift auf das LDAP-Verzeichnis nur zu, umBenutzerinformationen nachzuschlagen. Änderungen an einem LDAP-Benutzerkonto wirkensich nicht auf die Sophos Mobile Control Datenbank aus, und umgekehrt.

1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung >Systemeinstellungen, und klicken Sie anschließend auf die RegisterkarteBenutzerverzeichnis.

2. Wählen Sie Externes LDAP-Verzeichnis aus.

3. Klicken Sie auf Externes Benutzerverzeichnis (LDAP) konfigurieren, um die Serverdatenanzugeben.

4. Konfigurieren Sie auf der Seite LDAP-Server-Details die folgenden Einstellungen:

a) Wählen Sie den LDAP-Typ aus. Sophos Mobile Control unterstützt:

■ Active Directory

■ IBM Domino

■ NetIQ eDirectory

■ Red Hat Directory Server

■ Zimbra

b) Geben Sie im Feld Primäre URL die URL des primären Verzeichnisservers ein. Siekönnen die Server-IP-Adresse oder den Servernamen eingeben.Wählen Sie SSL aus,um SSL für die Serververbindung zu verwenden. Für Sophos Mobile Control as aService kann SSL nicht deaktiviert werden.

c) Optional: Geben Sie im Feld Sekundäre URL die URL eines Verzeichnisservers ein,auf den ausgewichen wird, falls der primäre Server nicht erreichbar ist. Sie können dieServer-IP-Adresse oder den Servernamen eingeben. Wählen Sie SSL aus, um SSLfür die Serververbindung zu verwenden. Für Sophos Mobile Control as a Service kannSSL nicht deaktiviert werden.

d) Geben Sie im Feld Benutzer einen Benutzer ein, der für Nachschlage-Operationenauf dem Verzeichnisserver verwendet wird. Sophos Mobile Control verwendet diesesKonto, wenn es sich mit dem Verzeichnisserver verbindet.

32


Für Active Directory müssen Sie außerdem die relevante Domäne eingeben. FolgendeFormate werden unterstützt:

■ <domain>\<user name>

■ <Benutzername>@<Domain>.<Domain-Code>

Hinweis: Aus Sicherheitsgründen empfehlen wir, dass Sie einen Benutzer angeben,der nur Leserechte auf dem Verzeichnisserver hat, aber keine Schreibrechte.

e) Geben Sie im Feld Kennwort das Kennwort für den Benutzer ein.

Klicken Sie auf Next.

5. Geben Sie auf der Seite Suchbasis den Distinguished Name (DN) des Suchbasisobjektsein.

Das Suchbasisobjekt definiert den Ausgangspunkt im LDAP-Verzeichnis für die Suchenach einem Benutzer oder einer Benutzergruppe.

6. Definieren Sie auf der Seite Suchfelder, welche Verzeichnisfelder zum Auflösen derPlatzhalter %_USERNAME_% und %_EMAILADDRESS_% in Profilen und Richtlinienverwendet werden. Geben Sie die gewünschten Feldnamen ein oder wählen Sie dieseaus den Listen Benutzername und E-Mail aus.

Hinweis: Die Listen enthalten nur Felder, die für den aktuell am LDAP-Verzeichnisangemeldeten Benutzer konfiguriert sind, d.h. für den zuvor in Schritt 7.d angegebenenBenutzer.Wenn zum Beispiel kein E-Mail-Feld für diesen Benutzer konfiguriert ist, müssenSie den gewünschten Wert manuell in das Feld E-Mail eintragen.

Für Active Directory gelten diese Feld-Zuordnungen:

■ Benutzername: sAMAccountName

■ Vorname: givenName

■ Nachname: sn

■ E-Mail: mail

7. Geben Sie auf der Seite SSP-Konfiguration an, welche Benutzer sich am Self ServicePortal anmelden dürfen. Geben Sie die relevanten Informationen im Feld SSP-Gruppeein. Sie haben folgende Möglichkeiten:

■ Geben Sie ein Sternchen * ein, damit sich alle authentifizierten Verzeichnisbenutzeram Self Service Portal anmelden dürfen.

■ Geben Sie den Namen einer auf dem Verzeichnis-Server definierten Gruppe ein, damitsich alle Mitglieder dieser Gruppe am Self Service Portal anmelden dürfen. Wenn Siedie Gruppe eingegeben haben, klicken Sie auf Gruppe finden, um den Gruppennamenin einen Distinguished Name (DN) aufzulösen.

■ Lassen Sie das Feld leer, damit sich keine Benutzer des Verzeichnis-Servers am SelfService Portal anmelden dürfen. Hierdurch wird die externe Benutzerverwaltung nurfür die Sophos Mobile Control Konsole verwendet, aber nicht für das Self Service Portal.

Hinweis:

Die Gruppe, die Sie hier angeben, ist unabhängig von der Verzeichnisgruppe, die Sie aufder Registerkarte Gruppeneinstellungen der Seite Self Service Portal definieren. Mitden Einstellungen dort definieren Sie Auftragspakete, Gruppenzugehörigkeit in SophosMobile Control und die für jede Verzeichnisgruppe verfügbaren Geräteplattformen.

8. Klicken Sie auf Anwenden.

9. Klicken Sie auf der Registerkarte Benutzerverzeichnis auf Speichern.

33

Administratorhilfe

9.4.2 Self-Service-Portal-Benutzer bei interner Benutzerverwaltungerstellen

Voraussetzung: Die interne Benutzerverwaltung ist für den Kunden, an dem Sie angemeldetsind, aktiviert. Für lokale Installationen erfolgt dies durch den Superadministrator in derKundenverwaltung.Weitere Informationen finden Sie im englischsprachigen Dokument SophosMobile Control Super Administrator Guide.

Beachten Sie, dass dies nicht für Sophos Mobile Control as a Service gilt. Superadministratorenwerden für Sophos Mobile Control as a Service nicht unterstützt. Informationen darüber, wieSie die Methoden für die Benutzerverwaltung für Sophos Mobile Control as a Service festlegen,finden Sie unter Self-Service-Portal-Benutzerverwaltung konfigurieren (Seite 31).


Die Seite Benutzer anzeigen wird angezeigt.

2. Klicken Sie auf Benutzer erstellen.

Die Seite Benutzer bearbeiten wird angezeigt.

3. Wählen Sie das Kontrollkästchen Willkommens-E-Mail senden aus.

4. Geben Sie folgende Informationen ein:

a) Benutzername

b) Vorname

c) Nachname

d) E-Mail-Adresse

e) Gruppen (optional)

Klicken Sie auf Anzeigen, um alle verfügbaren Benutzergruppen anzuzeigen, undwählen Sie eine Gruppe aus.


Der neue Self Service Portal Benutzer wird auf der Seite Benutzer anzeigen angezeigt. EineWillkommen-E-Mail wird an den neuen Benutzer gesendet.

Wenn Sie auf das blaue Dreieck neben dem betreffenden Benutzer klicken, können Sie dieBenutzerinformationen anzeigen (Anzeigen) oder den Benutzer Bearbeiten oder Löschen.

Hinweis: Wenn Sie auf einen Benutzernamen klicken, wird die Seite Benutzer anzeigenangezeigt. Diese Seite enthält eine Schaltfläche Willkommens-E-Mail erneut senden, mitder Sie die E-Mail erneut senden können, falls der Benutzer diese nicht erhalten oder verlorenhat.

9.4.3 Self-Service-Portal-Benutzer bei interner Benutzerverwaltungimportieren

Voraussetzung: Die interne Benutzerverwaltung ist für den Kunden, an dem Sie angemeldetsind, aktiviert.

■ Für lokale Installationen von Sophos Mobile Control finden Sie weitere Hinweise imenglischsprachigen Dokument Sophos Mobile Control Super Administrator Guide.

■ Für Sophos Mobile Control as a Service finden Sie weitere Hinweise inSelf-Service-Portal-Benutzerverwaltung konfigurieren (Seite 31).

34





Bei interner Benutzerverwaltung können Sie neue Self Service Portal Benutzer hinzufügen,indem Sie Daten von bis zu 500 Benutzern aus einer UTF-8-kodierte CSV-Datei importieren.

Hinweis: Verwenden Sie einen Text-Editor, um die CSV-Datei zu bearbeiten. Wenn SieMicrosoft Excel verwenden, werden die eingegebenen Werte u. U. nicht korrekt aufgelöst.Achten Sie beim Speichern darauf, dass die Datei die Endung .csv besitzt.

Tipp: Auf der Seite Benutzer importieren steht eine Musterdatei mit den korrektenSpaltennamen und der richtigen Spaltenreihenfolge zum Download zur Verfügung.

So importieren Sie Benutzer aus einer CSV-Datei:

1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Benutzerverwaltung unddann auf Benutzer importieren.

2. Wählen Sie auf der Seite Benutzer importieren die Option Willkommens-E-Mail sendenaus.

3. Klicken Sie auf Datei hochladen und navigieren Sie anschließend zu der vorbereitetenCSV-Datei.

Die Einträge werden aus der Datei eingelesen und angezeigt.

4. Wenn die Daten nicht korrekt oder inkonsistent formatiert sind, kann die gesamte Dateinicht importiert werden. Beachten Sie in diesem Fall die Fehlermeldungen, die neben denbetroffenen Einträgen angezeigt werden, korrigieren Sie die CSV-Datei und laden Sie sieerneut hoch.

5. Klicken Sie auf Fertigstellen, um die Benutzerkonten anzulegen.

Die Benutzer werden importiert und auf der Seite Benutzer anzeigen angezeigt. Per E-Mailerhalten sie ihre Anmeldeinformationen für das Self Service Portal.

35

Administratorhilfe

10 Systemeinstellungen

10.1 Ihre Lizenzen prüfenSophos Mobile Control beruht auf einer benutzerbasierten Lizenzregelung. Eine einzelneBenutzerlizenz ist für alle Geräte gültig, die dem betreffenden Benutzer zugewiesen sind. FürGeräte, die keinem Benutzer zugewiesen sind, ist jeweils eine Lizenz erforderlich.

So überprüfen Sie Ihre verfügbaren Lizenzen:

1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung >Systemeinstellungen.

2. Klicken Sie auf der Seite Systemeinstellungen auf die Registerkarte Lizenzen.

Die folgenden Informationen werden angezeigt:

■ Maximale Anzahl von Lizenzen: Maximale Anzahl von Gerätebenutzern (und nichtzugewiesenen Geräten), die verwaltet werden können.

Falls der Superadministrator für einen Kunden keinen Höchstwert angegeben hat, ist dieLizenzanzahl durch die Gesamtzahl für den Sophos Mobile Control Server begrenzt.

■ Genutzte Lizenzen: Anzahl der verwendeten Lizenzen.

■ Gültig bis: Das Lizenzablaufdatum.

Wenn Sie Fragen zu den Lizenzinformationen haben, oder wenn die angezeigten InformationenIhrer Meinung nach nicht korrekt sind, wenden Sie sich an Ihren Sophos Vertriebspartner.

Hinweis: Zur Benachrichtigung über den bevorstehenden Ablauf von Lizenzen sendet SophosMobile Control mehrere E-Mail-Erinnerungen an alle Administratoren, beginnend 30 Tagevor dem Ablaufdatum.

10.2 Zertifikate für den Apple Push Notification ServiceUm das integrierte Mobile Device Management (MDM) Protocol von iOS-Geräten verwendenzu können, muss Sophos Mobile Control den Apple Push Notification Service (APNs) zumTriggern der Geräten benutzen.

APNs-Zertifikate haben eine Gültigkeit von einem Jahr. Zur Benachrichtigung über denbevorstehenden Ablauf des Zertifikats sendet Sophos Mobile Control mehrereE-Mail-Erinnerungen an die Administratoren, beginnend 30 Tage vor dem Ablaufdatum.

Die folgenden Abschnitte beschreiben die Voraussetzungen und die nötigen Schritte, umZugang zu den APNs-Servern mit Ihrem eigenen Client-Zertifikat zu bekommen.

10.2.1 Voraussetzungen

Für die Kommunikation mit dem Apple Push Notification Service (APNs) mussTCP-Datenverkehr über folgende Ports erlaubt werden:

■ Der Sophos Mobile Control Server muss sich mit gateway.push.apple.com:2195TCP (17.0.0.0/8) verbinden.

36


■ Jedes iOS-Gerät, das ausschließlich über eine WLAN-Verbindung verfügt, muss sich mit*.push.apple.com:5223 TCP (17.0.0.0/8) verbinden können.

10.2.2 APNs-Zertifikat erstellen

Diese Prozedur setzt voraus, dass Sie noch kein Zertifikat für den Apple Push NotificationService (APNs) zu Sophos Mobile Control hochgeladen haben.

Informationen zur Erneuerung eines vorhandenen Zertifikats finden Sie in APNs-Zertifikaterneuern (Seite 37).

Tipp: Sie können dasselbe Zertifikat für mehrere Kunden verwenden. Siehe APNs-Zertifikatin einen anderen Kunden kopieren (Seite 39).

1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung >Systemeinstellungen und klicken Sie anschließend auf die Registerkarte iOS APNs.

Führen Sie anhand der Anleitung auf der Registerkarte die notwendigen Schritte durch,um ein Zertifikat bei Apple anzufordern und es zu Sophos Mobile Control hochzuladen.

2. Klicken Sie im Schritt Certificate Signing Request herunterladen auf CSR herunterladen.

Hierdurch wird die CSR-Datei apple.csr auf Ihrem Computer gespeichert. Die CSR-Dateigilt nur für den aktuellen Kunden.

3. Sie benötigen eine Apple-ID. Auch wenn Sie bereits eine Apple-ID haben, empfehlen wirIhnen, für den Gebrauch mit Sophos Mobile Control eine separate ID zu verwenden.Klicken Sie im Schritt Apple-ID erstellen auf Neue Apple-ID erstellen.

Hierdurch wird die Apple-Internetseite geöffnet, auf der Sie eine Apple-ID für IhrUnternehmen erstellen können.

Hinweis: Verwahren Sie die Anmeldedaten an einem sicheren Ort, auf den auch IhreArbeitskollegen zugreifen können. Ihr Unternehmen benötigt diese Anmeldedaten jedesJahr, um das Zertifikat zu erneuern.

4. Als Referenz tragen Sie Ihre neue Apple-ID im Feld Apple-ID oben auf der RegisterkarteiOS APNs ein.

Wenn Sie das Zertifikat jährlich erneuern, müssen Sie dazu immer dieselbe Apple-IDverwenden.

5. Klicken Sie im Schritt APNs-Zertifikat erstellen oder erneuern auf Apple PushCertificates Portal.

Hierdurch wird das Apple Push Certificates Portal geöffnet.

6. Melden Sie sich mit Ihrer Apple-ID an und laden Sie die CSR-Datei apple.csr hoch.

7. Laden Sie die APNs-Zertifikatdatei mit der Endung .pem herunter und speichern Sie diese.

8. Klicken Sie im Schritt APNs-Zertifikat hochladen auf Zertifikat hochladen und wählenSie die Datei mit der Endung .pem aus, die Sie vom Apple Push Certificates Portal erhaltenhaben.

9. Klicken Sie auf Speichern, um das APNs-Zertifikat zu Sophos Mobile Control hinzuzufügen.

Sophos Mobile Control liest das Zertifikat ein und zeigt die Zertifikatdetails auf der RegisterkarteiOS APNs an.

10.2.3 APNs-Zertifikat erneuern

Diese Prozedur setzt voraus, dass Sie schon ein Zertifikat für den Apple Push NotificationService (APNs) zu Sophos Mobile Control hochgeladen haben, das abläuft und erneuertwerden muss.

37

Administratorhilfe

Informationen zum Erstellen und Hochladen eines neuen Zertifikats finden Sie inAPNs-Zertifikat erstellen (Seite 37).

Wichtig: Es ist wichtig, dass Sie im Apple-Portal das korrekte APNs-Zertifikat zum Erneuernauswählen. Falls Sie ein falsches Zertifikat erneuern, müssen Sie möglicherweise sämtlicheiOS-Geräte erneut registrieren.


2. Klicken Sie im Schritt Certificate Signing Request herunterladen auf CSR herunterladen.

Hierdurch wird die CSR-Datei apple.csr auf Ihrem Computer gespeichert.

3. Überspringen Sie den Schritt Apple-ID erstellen. Dieser Schritt ist nur erforderlich, wennSie erstmalig ein APNs-Zertifikat für Sophos Mobile Control erstellen.

4. Klicken Sie im Schritt APNs-Zertifikat erstellen oder erneuern auf Apple PushCertificates Portal.

Hierdurch wird das Apple Push Certificates Portal geöffnet.

5. Melden Sie sich mit Ihrer Apple ID an. Dies muss dieselbe ID sein, die Sie auch bei dererstmaligen Erstellung des Zertifikats verwendet haben.

6. Klicken Sie im Apple Push Certificates Portal auf Renew neben Ihrem Sophos MobileControl APNs-Zertifikat.

7. Laden Sie die zuvor erzeugte CSR-Datei apple.csr hoch.

8. Laden Sie die APNs-Zertifikatdatei mit der Endung .pem herunter und speichern Sie diese.

9. Klicken Sie im Schritt APNs-Zertifikat hochladen auf Zertifikat hochladen und wählenSie die Datei mit der Endung .pem aus, die Sie vom Apple Push Certificates Portal erhaltenhaben.


11. Wenn Sie als Superadministrator angemeldet sind, werden in einem weiteren Dialog alleKunden aufgeführt, die dasselbe APNs-Zertifikat wie der Superadministrator-Kundeverwenden, d.h. ein Zertifikat mit demselben Topic.

■ Klicken Sie auf Für alle betroffenen Kunden speichern, um das APNs-Zertifikat füralle diese Kunden zu erneuern.

■ Klicken Sie auf Nur für den Superadministrator-Kunden speichern, um dasAPNs-Zertifikat nur für den Superadministrator-Kunden zu erneuern.

Wichtig:

Falls folgende Meldung angezeigt wird, erneuern Sie nicht das richtige Zertifikat:

Das Topic des neuen Zertifikats stimmt nicht mit dem alten Zertifikat überein. Wenn mit dem vorherigen Zertifikat Geräte eingerichtet worden sind, müssen diese erneut eingerichtet werden. Wollen Sie Ihre Änderungen wirklich speichern?

Diese Meldung macht Sie darauf aufmerksam, dass Sie dabei sind, ein neues APNs-Zertifikatmit einer abweichenden Kennung zu erstellen. Wenn Sie die Meldung bestätigen, könnenalle vorhandenen iOS-Geräte nicht mehr verwaltet werden und Sie müssen diese erneutregistrieren.

Informationen, wie Sie das richtige Zertifikat ermitteln, finden Sie in Zu erneuerndesAPNs-Zertifikat identifizieren (Seite 39).

38


10.2.4 APNs-Zertifikat in einen anderen Kunden kopieren

Sie können ein Zertifikat für den Apple Push Notification Service (APNs) in einen anderenKunden derselben oder einer anderen Installation von Sophos Mobile Control kopieren.

Wichtig: Falls am Kopierziel bereits ein APNs-Zertifikat vorhanden ist, ist es wichtig, dassdie Zertifikateigenschaft Topic des zu kopierenden Zertifikats mit dem Topic des vorhandenenZertifikats übereinstimmt. Falls Sie ein falsches Zertifikat kopieren, müssen Sie möglicherweisesämtliche iOS-Geräte des Kunden erneut registrieren.

Quell-Zertifikat herunterladen:

1. Melden Sie sich an der Sophos Mobile Control Konsole an. Verwenden Sie dieZugangsdaten eines Administrators für den Kunden, dessen APNs-Zertifikat Sie kopierenwollen.


3. Notieren Sie sich den Wert für Topic, der bei den Zertifikatdetails angezeigt wird.

4. Klicken Sie auf Zertifikat als PKCS#12-Datei herunterladen.

5. Im Bestätigungsdialog wird das Kennwort für die Zertifikat-Datei angezeigt. Notieren Siesich dieses Kennwort und klicken Sie anschließend auf Herunterladen.

Die Zertifikatdatei apns_cert.p12 wird auf Ihrem Computer gespeichert.

Zertifikat zum Ziel hochladen:

6. Melden Sie sich an der Sophos Mobile Control Konsole an. Verwenden Sie dieZugangsdaten eines Administrators für den Kunden, zu dem Sie das Zertifikat hochladenwollen.


8. Falls bereits ein Zertifikat vorhanden ist, überprüfen Sie, dass der Wert für Topic mit demWert des zu kopierenden Zertifikats übereinstimmt.

9. Klicken Sie im Schritt APNs-Zertifikat hochladen auf Zertifikat hochladen und suchenSie nach der Datei apns_cert.p12, die Sie zuvor heruntergeladen haben.

10. Geben Sie das Kennwort ein und klicken Sie auf Anwenden.


10.2.5 Zu erneuerndes APNs-Zertifikat identifizieren

Wenn Sie, wie in APNs-Zertifikat erneuern (Seite 37) beschrieben, Ihr Zertifikat für den ApplePush Notification Service (APNs) erneuern, ist es wichtig, dass Sie im Apple-Portal das richtigeAPNs-Zertifikat zum Erneuern auswählen.

Dieser Abschnitt beschreibt, wie Sie das aktuell auf den Sophos Mobile Control Serverhochgeladene APNs-Zertifikat identifizieren.

Ermitteln Sie die Zertifikat-Kennung:

1. Melden Sie sich an der Sophos Mobile Control Konsole an. Verwenden Sie dieZugangsdaten eines Administrators für den Kunden, dessen APNs-Zertifikat erneuertwerden muss.


3. Im Abschnitt Inhalt des Apple Push Notification (APN) Keystores werden die Detailsdes hochgeladenen APNs-Zertifikats angezeigt.

39

Administratorhilfe

4. Notieren Sie sich den für Topic angezeigten Wert.

Dies ist die Zertifikat-Kennung.

Identifizieren Sie das Zertifikat:

5. Öffnen Sie in Ihrem Webbrowser die URL des Apple Push Certificates Portal,https://identity.apple.com/pushcert/.

Falls Sie den Microsoft Internet Explorer verwenden und Probleme mit bestimmtenFunktionen des Apple-Portals haben, empfehlen wir Ihnen, stattdessen eine aktuelleVersion der Webbrowser Firefox, Opera, Chrome oder Safari zu verwenden.

6. Melden Sie sich mit Ihrer Apple-ID an, die Sie auch bei der erstmaligen Erstellung desZertifikats verwendet haben.

7. Klicken Sie in der Liste der APNs-Zertifikate auf das Symbol Zertifikat-Info nebeneinem Zertifikat.

Die Zertifikatdetails werden angezeigt.

8. Ermitteln Sie, welcher Wert im Feld Subject DN nach der Zeichenkette UID= steht. Wenndieser Wert mit der Kennung übereinstimmt, die Sie in der Sophos Mobile Control Konsoleermittelt haben, haben Sie das richtige Zertifikat identifiziert.

10.2.6 APNs-Verbindung von Geräten überprüfen

Unter iOS können Benutzer der App „Sophos Mobile Control“ überprüfen, ob ihre Geräte sichmit dem Apple Push Notification Service (APNs) verbinden können.

1. Tippen Sie in der App „Sophos Mobile Control“ auf das Symbol Information, um die AnsichtÜber zu öffnen.

2. Tippen Sie auf APNs überprüfen.

Die App versucht, eine Verbindung zum Apple-APNs-Server aufzubauen. Dies kann bis zu5 Sekunden dauern.

Wenn Sie einen Hinweis erhalten, dass der APNs-Server erreicht werden konnte, kann dasGerät Kommandos vom Sophos Mobile Control Server mittels APNs erhalten.

Wenn Sie einen Hinweis erhalten, dass der APNs-Server nicht erreicht werden konnte, istdie APNs-Kommunikation in Ihrem Netzwerk nicht möglich. In diesem Fall kann Sophos MobileControl keine iOS-Geräte verwalten. Um dies zu beheben, müssen Sie sicherstellen, dassdie in Voraussetzungen (Seite 36) beschriebenen Voraussetzungen erfüllt sind.

10.3 iOS-AirPlay-Wiedergabegeräte konfigurierenMit Sophos Mobile Control können Sie das Spiegeln von Inhalten per AirPlay zwischen einemiOS-Gerät und einem vordefinierten AirPlay-Wiedergabegerät (zum Beispiel AppleTV) remoteauslösen.

Hinweis: AirPlay funktioniert nur innerhalb eines Netzwerks.

Sie können die Wiedergabegeräte für die Spiegelung per AirPlay definieren.

1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung und danachauf Systemeinstellungen. Navigieren Sie anschließend zu der Registerkarte iOS AirPlay.

2. Klicken Sie im Abschnitt AirPlay-Wiedergabegeräte auf AirPlay-Wiedergabegeräteerstellen.

Die Seite AirPlay-Wiedergabegerät wird angezeigt.

40


https://identity.apple.com/pushcert/

3. Geben Sie den Gerätename (Pflichteingabe) und die MAC-Adresse (optional) ein. Fallsnotwendig, geben Sie das Kennwort für das AirPlay-Wiedergabegerät ein.


Das Gerät wird unter AirPlay-Wiedergabegeräte auf der Registerkarte iOS AirPlay derSeite Systemeinstellungen angezeigt.


Sie können die Spiegelung per AirPlay zwischen einem iOS-Gerät und diesemWiedergabegerät auslösen, indem Sie auf der Seite Gerät anzeigen für das gewünschteGerät im Menü Aktionen auf Request AirPlay-Wiedergabe anfordern klicken.

10.4 Samsung-Knox-LizenzWenn Ihr Unternehmen eine Samsung-Knox-Premium-Lizenz erworben hat, geben Sie aufder Registerkarte Samsung-Knox-Lizenz den Lizenzschlüssel, die Lizenzanzahl und dasAblaufdatum ein, um den Knox-Container auf Ihren Samsung-Knox-Geräten mit SophosMobile Control zu verwalten.

10.5 SCEP konfigurierenSie können Simple Certificate Enrollment Protocol (einfaches Zertifikat-Registrierungs-Protokoll,kurz SCEP) konfigurieren, um Zertifikate bereitzustellen. Auf diese Weise können GeräteZertifikate über SCEP bei einer Zertifizierungsstelle beziehen.

In der Sophos Mobile Control Konsole können Sie alle Einstellungen festlegen, die für denZugriff auf einen CA-Server über SCEP erforderlich sind.

Die für Geräte benötigten SCEP-Einstellungen legen Sie bei Android und iOS in einemGeräteprofil und bei Windows Mobile in einer Richtlinie fest.

10.5.1 Voraussetzungen

Um das Simple Certificate Enrollment Protocol (SCEP) nutzen zu können, müssen diefolgenden Voraussetzungen erfüllt sein:

■ In der Netzwerk-Umgebung muss eine SCEP-fähige Windows-CA vorhanden sein.

■ Die Anmeldedaten für einen Benutzer, der einen Challange-Code erstellen kann, sindverfügbar.

■ Der Sophos Mobile Control Server hat http- oder https-Zugriff auf die folgenden Adressen:

■ https://YOUR-SCEP-SERVER/CertSrv/MSCEP_ADMIN

■ https://YOUR-SCEP-SERVER/CertSrv/MSCEP

10.5.2 SCEP konfigurieren

1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung undanschließend auf Systemeinstellungen. Navigieren Sie anschließend zu der RegisterkarteSCEP.

41

Administratorhilfe

2. Machen Sie die folgenden Angaben:

a) Geben Sie im Feld SCEP Server URL https://IHR-SCEP-SERVER/CertSrv/MSCEPein.

b) Geben Sie im Feld Challenge URL https://IHR-SCEP-SERVER/CertSrv/MSCEP_ADMINein.

Hinweis: Wenn Sie einen Windows 2003-Server als SCEP-Server verwenden, gebenSie https://IHR-SCEP-SERVER/CertSrv/MSCEP ein.

c) Geben Sie in den Feldern Benutzer und Kennwort die Zugangsdaten des Benutzersein, der einen Challenge-Code erstellen kann.

Hinweis: Geben Sie im Feld Benutzer einen Benutzer ein, der über die erforderlichenBerechtigungen für die Bereitstellung von Zertifikaten verfügt. Verwenden Sie dasfolgende Anmeldeformat: benutzername@domain

d) Wählen Sie im Feld Challenge-Zeichen die Zeichenklassen aus, die für dasChallenge-Kennwort verwendet werden.

e) Akzeptieren Sie im Feld Challenge-Länge die Standardlänge.

f) Optional: Deaktivieren Sie die Option HTTP-Proxy verwenden, damit Sophos MobileControl für Verbindungen mit dem SCEP-Server den HTTP-Proxy umgeht. Diese Optionist nur verfügbar, wenn der HTTP-Proxy aktiviert ist.

Bei lokalen Installationen kann der Superadministrator einen HTTP-Proxy konfigurieren,den Sophos Mobile Control für ausgehende HTTP- und SSL-Verbindungen verwendet.Siehe das englischsprachige Dokument Sophos Mobile Control Super AdministratorGuide.

Bei Sophos Mobile Control as a Service ist der HTTP-Proxy immer aktiviert.


Sophos Mobile Control testet die Verbindung zu Ihrem SCEP-Server.

Um mittels SCEP ein Profil zu übertragen, müssen Sie eine Konfiguration vom Typ SCEP zueinem Geräteprofil (für Android oder iOS) oder einer Richtlinie (für Windows Mobile) hinzufügen.

10.6 Benutzerverzeichnis konfigurierenAuf der Registerkarte Benutzerverzeichnis können Sie die Einstellungen für dieBenutzerverwaltung ändern. Weitere Informationen finden Sie unterSelf-Service-Portal-Benutzer verwalten (Seite 31) und im englischsprachigen DokumentSophos Mobile Control Super Administrator Guide.

42




11 Compliance-RichtlinienMit Compliance-Richtlinien können Sie:

■ Bestimmte Funktionen eines Gerätes erlauben, verbieten oder erzwingen.

■ Aktionen definieren, die ausgeführt werden, wenn gegen eine Compliance-Regel verstoßenwird.

Sie können mehrere Compliance-Richtlinien erstellen und unterschiedlichen Gerätegruppenzuweisen. Somit können Sie verschiedene Sicherheitsstufen auf Ihre verwalteten Geräteanwenden.

Tipp: Wenn Sie sowohl Firmengeräte als auch Privatgeräte verwalten wollen, empfehlenwir, zumindest für diese beiden Gerätetypen unterschiedliche Compliance-Richtlinien zudefinieren.

Hinweis: Es gibt zwei vordefinierte Compliance-Richtlinien. Diese basieren auf denSicherheitsstandards HIPAA und PCI DSS.

11.1 Compliance-Richtlinie erstellenSo erstellen Sie Compliance-Richtlinien:

1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Compliance-Richtlinien.

2. Klicken Sie auf der Seite Compliance-Richtlinien die Schaltfläche Compliance-Richtlinieerstellen.

3. Geben Sie einen Name und eine optionale Beschreibung für die neueCompliance-Richtlinie ein.

Die Seite Compliance-Richtlinien enthält einzelne Registerkarten für jede Geräteplattform,die für den Kunden aktiviert ist. Wiederholen Sie die folgenden Schritte für alle benötigtenPlattformen.

4. Stellen Sie sicher, dass das Kontrollkästchen Plattform aktivieren aktiviert ist.

Wenn dieses Kontrollkästchen nicht aktiviert ist, werden die Geräte der Plattform nicht aufCompliance überprüft.

5. Konfigurieren Sie unter Regel die Compliance-Regeln für die ausgewählte Plattform.

Jede Compliance-Regel hat ein festgelegtes Schwere-Level (hoch, mittel, niedrig), dasdurch blaue Balken dargestellt wird. Die erlaubt Ihnen, die Wichtigkeit jeder Regel zubeurteilen und so eine angemessene Aktion für den Fall eines Regelverstoßes zu definieren.

Wenn Sie App-Gruppen definiert haben, können Sie diese den Regeln Erlaubte Apps,Unzulässige Apps und Vorgeschriebene Apps zuweisen.

43

Administratorhilfe

6. Definieren Sie unter Wenn gegen die Regel verstoßen wird, welche Aktionen bei einemRegelverstoß ausgeführt werden:

BeschreibungOption

E-Mail-Zugriff verweigern.

Diese Aktion kann nur ausgeführt werden, wenn derSuperadministrator eine Verbindung zum internen oder zumexternen EAS-Proxy konfiguriert hat. Siehe das englischsprachigeDokument Sophos Mobile Control Super Administrator Guide.

E-Mail verbieten

Sophos Secure Workspace und Secure Email deaktivieren. Dieswirkt sich auf den durch diese Apps verwalteten Zugang zuDokumenten, E-Mails und Internet aus.

Diese Aktion kann nur ausgeführt werden, wenn Sie eine Lizenzvom Typ SMC Advanced aktiviert haben.

Diese Option ist nur für Android-Geräte und Apple-iOS-Geräterelevant.

Container sperren

Netzwerkzugriff verbieten.

Diese Aktion kann nur ausgeführt werden, wenn derSuperadministrator Network Access Control konfiguriert hat. Siehedas englischsprachige Dokument Sophos Mobile Control SuperAdministrator Guide.

Netzwerkzugriff verbieten

Compliance-E-Mails an ausgewählte Empfänger senden.

Die Liste der Empfänger und der Zeitplan sind gemeinsam füralle Compliance-Richtlinien definiert. Siehe weiter unten in diesemAbschnitt.

Admin benachrichtigen

Übermitteln Sie ein bestimmtes Auftragspaket an das Gerät(optional).

Wählen Sie ein Auftragspaket aus der Liste aus oder wählen SieKeine aus, um kein Auftragspaket zu übertragen, wenn einRegelverstoß festgestellt wird.

Wichtig: Bei falscher Anwendung werden durch Auftragspaketeunter Umständen Geräte falsch konfiguriert oder sogar auf denAuslieferungszustand zurückgesetzt. Für die Zuweisung derrichtigen Auftragspakete zu Compliance-Richtlinien istweitreichende Erfahrung mit dem System notwendig.

Auftragspaket übertragen

7. Wenn Sie alle Einstellungen für alle erforderlichen Plattformen vorgenommen haben klickenSie Speichern um die Compliance-Richtlinie zu speichern.

Die neue Richtlinie wird auf der Seite Compliance-Richtlinien angezeigt.

44





8. Wenn Sie die Aktion Admin benachrichtigen für eine der Compliance-Regeln ausgewählthaben, klicken Sie Einstellungen für Compliance-E-Mails um Empfänger und Zeitplanfür die Compliance-E-Mails anzugeben.

Als Empfänger können Sie entweder den Namen eines Administrators oder eine gültigeE-Mail-Adresse eingeben.

Hinweis: Dies sind allgemeine Einstellungen, die für alle Compliance-Regeln gelten, beidenen Admin benachrichtigen ausgewählt ist.

9. Klicken Sie auf Speichern, um die Compliance-E-Mail-Einstellungen zu speichern.

11.2 Verfügbare Compliance-RegelnDie folgende Tabelle zeigt die Compliance-Regeln, die Sie für die einzelnen Plattformen unterRegel auf der betreffenden Registerkarte Geräterichtlinien auswählen können.

WindowsDesktop

WindowsMobile


Legen Sie fest, welcheAktionen ausgeführt werden,wenn ein Gerät nicht mehrden Status „Verwaltet“ hat.

Status „Verwaltet“erforderlich

Geben Sie dieMindestversion der App„Sophos Mobile Control“ ein,die auf dem Gerät installiertsein muss.

Minimale Version derSMC-App

Wählen Sie aus, ob Gerätemit Root-Rechten zulässigsind.

Hinweis: Bei Sony-Gerätenmit Enterprise API 4 oder

Rootrechte erlaubt

höher und beiSamsung-Geräten mit Knox5.5 oder niedriger beinhaltetdas auch Geräte, die von derjeweiligen MDM-API alsInsecure klassifiziert werden,zum Beispiel, weil derBootloader entsperrt ist.

Wählen Sie aus, ob Apps ausunbekannten Quellen erlaubtsind.

Apps ausunbekannten Quellenerlaubt

Wählen Sie aus, ob ADB(Android Debug Bridge)erlaubt ist.

Android DebugBridge (ADB) erlaubt

45

Administratorhilfe

WindowsDesktop

WindowsMobile


Wählen Sie aus, obJailbroken-Geräte zulässigsind.

Jailbreak erlauben

Wählen Sie aus, ob einGerätekennwort oder eineandere Art der Displaysperre(zum Beispiel Muster oderPIN) erforderlich ist.

Bei Android umfasst dies dieDisplaysperre-Arten Muster,

Kennworterforderlich

PIN und Passwort, aber nichtWischen.

Wählen Sie die kleinsteerforderlicheBetriebssystemversion aus.

Min. OS-Version

Wählen Sie die größteerlaubteBetriebssystemversion aus.

Max. OS-Version

Geben Sie das maximaleIntervall zwischenSynchronisierungsvorgängenfür Geräte an.

Max.Synchronisierungsabstand

Geben Sie das maximaleZeitintervall für dieSynchronisierung der App„Sophos Mobile Control“ an.

MaximalesSynchronisierungsintervallder SMC-App

Dieses Feld wird nur dannangezeigt, wenn für denKunden Sophos MobileSecurity verfügbar ist. Für

Max.SMSec-Scanintervall

weitere Informationen sieheSophos Mobile Securityverwalten (Seite 212). Indiesem Feld können Sie denHöchstabstand zwischenMalware Scans angeben, dievon der App „Sophos MobileSecurity“ auf dem Gerätdurchgeführt werden.

Sophos Mobile Securitybenötigt auf dem Gerätbestimmte Berechtigungen,um korrekt zu funktionieren.

Ablehnung vonSMSec-Berechtigungenerlaubt

Der Benutzer muss dieseBerechtigungen bei derApp-Installation gewähren.

46


WindowsDesktop

WindowsMobile


Wählen Sie aus, ob dieVerweigerung der benötigtenBerechtigungen einCompliance-Verstoß ist.

Dieses Feld wird nur dannangezeigt, wenn für denKunden Sophos MobileSecurity verfügbar ist.

Wählen Sie aus, obMalware-Apps erlaubt sind.

Malware-Appserlaubt


Wählen Sie aus, obverdächtige Apps erlaubtsind.

Verdächtige Appserlaubt


Wählen Sie aus, ob PUAs(Potentially Unwanted Apps)auf Geräten zulässig sind.

PUAs erlaubt

Wählen Sie aus, ob fürGeräte Verschlüsselungerforderlich ist.

Benutzer mit Android 5 oderhöher müssen bei der

Verschlüsselungerforderlich

Einrichtung einerDisplaysperre zusätzlich dieEinstellung PIN zum Startendes Gerätes erforderlichoder Passwort zum Startendes Gerätes erforderlichaktivieren. Siehe den SophosKnowledgebase-Artikel123947.

Wählen Sie aus, ob fürGeräte Daten-Roamingzulässig ist.

Daten-Roamingerlauben

Diese Einstellung beziehtsich auf die LokalisierenFunktion. Legen Sie fest, obder Benutzer der App

Berechtigung fürStandortbestimmungerforderlich

47

Administratorhilfe

http://www.sophos.com/de-de/support/knowledgebase/123947.aspx



WindowsDesktop

WindowsMobile


„Sophos Mobile Control“ beider Installation gestattenmuss, Ortsdaten abzurufen,damit das Gerätrichtlinienkonform ist.

Die App „Sophos MobileControl“ benötigt auf demGerät bestimmteBerechtigungen, um korrekt

Ablehnung vonSMC-Berechtigungenerlaubt

zu funktionieren. DerBenutzer muss dieseBerechtigungen bei derApp-Installation gewähren.

Wählen Sie aus, ob dieVerweigerung der benötigtenBerechtigungen einCompliance-Verstoß ist.

Standortdienste müssenaktiviert sein und von derApp „Sophos Mobile Control“verwendet werden dürfen.

Für Windows Mobile betrifftdiese Regel nur Geräte mitWindows Phone 8.1.

App kannStandortbestimmungausführen

Sophos Mobile SecuritybenötigtNutzungsdatenzugriff, umsicherzustellen, dass

Berechtigung fürProzesskontrolleerforderlich

blockierte Apps nicht geöffnetwerden können undgeschützte Apps nach einemKennwort fragen.

Wählen Sie aus, ob dieVerweigerung desNutzungsdatenzugriffs einCompliance-Verstoß ist.

Sie können entwederErlaubte Apps oderUnzulässige Apps angeben.Wählen Sie zunächst aus der

Erlaubte Apps /Unzulässige Apps

ersten Liste die gewünschteOption aus, und wählen Sieanschließend aus derzweiten Liste die App-Gruppeaus, welche die erlaubtenoder unzulässigen Appsenthält. Informationen zurErstellung von App-Gruppen

48


WindowsDesktop

WindowsMobile


finden Sie in App-Gruppen(Seite 191).

Wenn Sie Erlaubte Appsangeben, sind nur dieaufgeführten Apps erlaubt.Wenn andere Apps erkanntwerden, ist das Gerät nichtmehr richtlinienkonform.

Hinweis:Android-System-Apps sindautomatisch erlaubt.

Wenn Sie UnzulässigeApps angeben, ist das Gerätnicht mehr richtlinienkonform,falls diese Apps erkanntwerden.

Geben Sie Apps an, dieinstalliert sein müssen.Wählen Sie die App-Gruppemit den erforderlichen Apps

VorgeschriebeneApps

aus der Liste aus.Informationen zur Erstellungvon App-Gruppen finden Siein App-Gruppen (Seite 191).

DieWindows-Defender-EinstellungEchtzeitschutz musseingeschaltet sein.

Windows Defendermuss eingeschaltetsein

Das Gerät ist nichtrichtlinienkonform, wennWindows DefenderWarnungen anzeigt.

Windows Defenderdarf keine Problememelden

Windows Defender muss dieneuestenAntispyware-Definitionenverwenden.

Windows-Defender-Definitionenmüssen aktuell sein

11.3 Compliance-Richtlinie einer Gerätegruppe zuweisen1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Gerätegruppen.

Die Seite Gerätegruppen wird angezeigt.

2. Klicken Sie auf das blaue Dreieck neben der Gerätegruppe, der Sie eine Geräte-Richtliniezuweisen wollen, und klicken Sie anschließend auf Bearbeiten.

Die Gerätegruppe Default ist standardmäßig vorhanden. Für weitere Informationen zumErstellen eigener Gerätegruppen siehe Gerätegruppe erstellen (Seite 71).

49

Administratorhilfe

3. Wählen Sie unter Compliance-Richtlinien in den Feldern Firmengeräte und Privatgerätedie Compliance-Richtlinie aus, die angewendet werden sollen.


Die ausgewählten Geräterichtlinien werden auf der Seite Gerätegruppen für die jeweiligeGerätegruppe unter Compliance-Richtlinie (Firmengeräte) und Compliance-Richtlinie(Privatgeräte) angezeigt.

11.4 Geräte auf Compliance-Verstöße prüfenWenn Sie Compliance-Regeln konfiguriert haben, können Sie prüfen, ob registrierte Gerätedie Regeln erfüllen.

1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Compliance-Richtlinien.

Die Seite Compliance-Richtlinien wird angezeigt.

2. Klicken Sie auf Jetzt prüfen.

Alle registrierten Geräte werden nach den unter Compliance-Richtlinie definierten Regelngeprüft. Die festgelegten Aktionen werden ausgeführt. Das Tortendiagramm auf der SeiteDashboard wird entsprechend aktualisiert.

50


12 Geräte

12.1 Geräte hinzufügenSie können Geräte auf folgende Weisen zu Sophos Mobile Control hinzufügen:

■ Geräte manuell hinzufügen. Siehe Gerät hinzufügen (Seite 51).

■ Geräte aus einer CSV-Datei importieren. Siehe Geräte importieren (Seite 52).

■ Mit dem Geräteregistrierungs-Assistent ein Gerät zu Sophos Mobile Control hinzufügen,es einem Benutzer zuweisen, es registrieren, und ein Registrierungs-Auftragspaketübertragen. Siehe Mit dem Geräteregistrierungs-Assistent neue Geräte zuweisen undregistrieren (Seite 54).

■ Benutzern ermöglichen, Geräte eigenständig über das Self Service Portal zu registrieren.Siehe Self Service Portal konfigurieren (Seite 26). Dieses Portal verringert den Aufwandfür die IT, weil die Benutzer Aufgaben ausführen können, ohne sich an das Helpdeskwenden zu müssen. Die Geräte werden durch das Ausführen vordefinierter Auftragspaketeprovisioniert. Siehe Auftragspakete (Seite 172).

Zur Vereinfachung der Geräteverwaltung empfehlen wir Ihnen, Geräte in Gerätegruppen zuorganisieren. Siehe Gerätegruppen (Seite 71).

12.1.1 Gerät hinzufügen

Wir empfehlen, dass Sie eine oder mehrere Gerätegruppen erstellen, bevor Sie das ersteGerät zu Sophos Mobile Control hinzufügen. Um die Geräteverwaltung zu vereinfachen,können Sie jedes Gerät einer Gerätegruppe zuweisen. Siehe Gerätegruppe erstellen (Seite71).

So fügen Sie ein neues Gerät zu Sophos Mobile Control hinzu:

1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte.

Die Seite Geräte wird angezeigt.

2. Klicken Sie auf Hinzufügen und wählen Sie anschließend im Menüabschnitt Gerät manuellhinzufügen die Plattform aus.

Die Seite Gerät bearbeiten wird angezeigt.

3. Geben Sie auf der Seite Gerät bearbeiten die folgenden Gerätedetails an:

a) Geben Sie im Feld Name einen eindeutigen Namen für das neue Gerät ein.

b) Geben Sie im Feld Beschreibung eine Beschreibung für das neue Gerät ein.

c) Wählen Sie unter Besitzer die Option Firma oder Privat.

d) Geben Sie im Feld E-Mail-Adresse eine E-Mail-Adresse ein.

e) Geben Sie im Feld Telefonnummer die Telefonnummer des neuen Gerätes ein. GebenSie die Telefonnummer in internationalem Format ein, zum Beispiel +491701234567.

f) Wählen Sie unter Gerätegruppe die Gerätegruppe, zu der das Gerät hinzugefügtwerden soll.

51

Administratorhilfe

Hinweis: Hier steht eine Default Gerätegruppe zur Verfügung. Wenn Sie noch keineeigenen Gerätegruppen definiert haben, können Sie Geräte zu dieser Gruppehinzufügen. Für weitere Informationen zum Erstellen eigener Gerätegruppen sieheGerätegruppe erstellen (Seite 71).

4. Um dem Gerät einen Benutzer zuzuweisen, klicken Sie auf das SymbolBenutzerzuweisung bearbeiten neben dem Feld Benutzer und klicken Sieanschließend auf Benutzer zuweisen. Weitere Informationen finden Sie unter Benutzereinem Gerät zuweisen (Seite 61).

5. Um benutzerdefinierte Eigenschaften zum Gerät hinzuzufügen, wechseln Sie auf dieRegisterkarte Benutzerdefinierte Eigenschaften und klicken Sie auf BenutzerdefinierteEigenschaft hinzufügen. Für weitere Informationen siehe BenutzerdefinierteGeräteeigenschaften (Seite 62).

6. Wenn Sie alle erforderlichen Gerätedetails angegeben haben, klicken Sie auf Speichern.

Das neue Gerät wird zu Sophos Mobile Control hinzufügt und auf der Seite Geräte unterVERWALTEN angezeigt. Sie können das Gerät nun provisionieren und verwalten.

Hinweis: Wenn Sie konfiguriert haben, dass Sophos Mobile Control den Gerätenamen voniOS-Geräten mit dem Gerät synchronisiert (siehe Einstellungen für iOS konfigurieren (Seite23)), wird der Name, den Sie im Feld Name eingegeben haben, durch den auf dem Gerätkonfigurierten Namen ersetzt.

12.1.2 Gerät duplizieren

Sie können in Sophos Mobile Control neue Geräte durch Duplizieren bereits vorhandenerGeräte anlegen.

Hinweis: Sie können nur Geräte duplizieren, die nicht gerade bearbeitet werden. Die Kopienwerden mit „Copy of“ und dem Namen des Originalprofils benannt. Sie können die Namender Geräte nach Ihren Anforderungen ändern.



2. Klicken Sie auf das Gerät, das Sie duplizieren wollen.

Die Seite Gerät anzeigen wird angezeigt.

3. Klicken Sie auf Aktionen und anschließend auf Dieses Gerät duplizieren.

Das Gerät wird dupliziert und auf der Seite Geräte angezeigt. Sie können das duplizierteGerät nun bearbeiten. Um das Gerät zu bearbeiten, klicken Sie auf das daneben stehendeblaue Dreieck und dann auf Bearbeiten.

12.1.3 Geräte importieren

Sie können neue Geräte hinzufügen, indem Sie die Daten von bis zu 500 Geräten aus einerUTF-8-kodierte CSV-Datei importieren.


Hinweis: Die in der CSV-Datei enthaltenen Benutzer müssen schon in Sophos Mobile Controlangelegt worden sein.

52


Tipp: Auf der Seite Geräte importieren steht eine Musterdatei mit den korrektenSpaltennamen und der richtigen Spaltenreihenfolge zum Download zur Verfügung.

So importieren Sie Geräte aus einer CSV-Datei:


2. Klicken Sie auf der Seite Geräte auf Hinzufügen > Geräte importieren.

3. Klicken Sie auf der Seite Geräte importieren auf Datei hochladen und navigieren Sieanschließend zu der vorbereiteten CSV-Datei.



5. Klicken Sie auf Fertigstellen, um die Geräte anzulegen.

Die in der CSV-Datei aufgeführten Geräte werden importiert und auf der Seite Devicesangezeigt. Anschließend können Sie die Geräte registrieren und konfigurieren.

12.2 Geräte registrierenNachdem Sie in der Sophos Mobile Control Konsole neue Geräte hinzugefügt haben, müssendiese bei Sophos Mobile Control registriert werden. Sie haben folgende Möglichkeiten:

■ Sie können einzelne, nicht verwaltete Geräte mit der Funktion Geräte registrieren.WeitereInformationen finden Sie unter Einzelne Geräte registrieren (Seite 54).

■ Sie können den Geräteregistrierungs-Assistent verwenden, um ein Gerät zu Sophos MobileControl hinzuzufügen, es einem Benutzer zuzuweisen, es zu registrieren, und einRegistrierungs-Auftragspaket zu übertragen. Siehe Mit dem Geräteregistrierungs-Assistentneue Geräte zuweisen und registrieren (Seite 54).

Hinweis: Bei Bedarf können Sie den Geräteregistrierungs-Assistent oder die Methodeder automatischen Registrierung verwenden, um iOS-Geräte zu registrieren, auf denenkeine Apple-ID eingerichtet ist. Dies ist zum Beispiel nützlich, um ein Gerät vor derÜbergabe an einen Endbenutzer vorzukonfigurieren. See iOS-Geräte ohne Apple-IDregistrieren (Seite 56).

Für eine effiziente Registrierung und Konfiguration mehrerer Geräte empfehlen wir folgendeMethoden:

■ Sie können die Aufträge zusammenfassen, die erforderlich sind, Geräte zu registrieren,erforderliche Richtlinien zuzuweisen und Apps zu installieren (zum Beispiel verwalteteApps im Falle von iOS-Geräten).Weitere Informationen finden Sie in Auftragspakete (Seite172).

■ Sie können Benutzern ermöglichen, Geräte im Self Service Portal zu registrieren. NehmenSie hierzu bei der Konfiguration der Einstellungen für die Benutzung des Self ServicePortal ein Auftragspaket für die Registrierung auf. Weitere Informationen dazu, wie Siedie für die Registrierung erforderlichen Auftragspakete erstellen, finden Sie in der SophosMobile Control Schnellstart-Anleitung bzw. in der Sophos Mobile Control as a ServiceSchnellstart-Anleitung. Für weitere Informationen zum Auswählen des Auftragspakets inden Self Service Portal Einstellungen siehe Self-Service-Portal-Einstellungen konfigurieren(Seite 27).

53

Administratorhilfe





12.2.1 Einzelne Geräte registrieren



2. Wählen Sie das gewünschte Gerät aus, klicken Sie auf Aktionen und dann auf Einrichten.

Hinweis: Sie können mehrere Geräte zum Einrichten auswählen.

3. Klicken Sie auf Ja, wenn Sie gefragt werden, ob Sie die ausgewählten Geräte einrichtenmöchten.

Der Einrichtungsauftrag wird gestartet und auf der Seite Auftragsansicht angezeigt. EineE-Mail mit Registrierungsanweisungen wird an den Benutzer verschickt.

12.2.2 Verwenden des Geräteregistrierungs-Assistent, um neue Gerätezuzuweisen und zu registrieren

Mit dem Geräteregistrierungs-Assistent können Sie auf einfache Weise neue Geräteregistrieren. Er führt Sie durch die folgenden Arbeitsschritte:

■ Neues Gerät zu Sophos Mobile Control hinzufügen.

■ Optional: Dem Gerät einen Benutzer zuweisen.

■ Gerät registrieren.

■ Optional: Ein Auftragspaket an das Gerät übermitteln.

So starten Sie den Geräteregistrierungs-Assistent:

1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte und klicken Sieanschließend auf Hinzufügen > Registrierungs-Assistent.

Tipp: Alternativ können Sie den Geräteregistrierungs-Assistent auch starten, indem Sieim Dashboard auf das Widget Gerät hinzufügen klicken.

2. Auf der Seite Suchparameter für Benutzer eingeben können Sie entweder Suchkriterienfür den Benutzer eingeben, dem das Gerät zugewiesen werden soll, oderBenutzerzuweisung überspringen auswählen, um ein Gerät vorerst ohneBenutzerzuweisung zu registrieren.

Klicken Sie Weiter um fortzufahren.

3. Wenn Sie Suchparameter eingegeben haben, zeigt der Assistent eine Liste passenderBenutzer an.

Wählen Sie den gewünschten Benutzer aus und klicken Sie auf Weiter.

54


4. Konfigurieren Sie auf der Seite Gerätedetails die folgenden Einstellungen:

BeschreibungOption

Das Betriebssystem des Gerätes. Sie können nur eine Plattformauswählen, die für den Kunden, an den Sie angemeldet sind,aktiviert ist.

Plattform

Ein eindeutiger Name, unter dem das Gerät in Sophos MobileControl verwaltet werden soll.

Name

Eine optionale Beschreibung des Gerätes.Beschreibung

Eine optionale Telefonnummer. Geben Sie die Telefonnummerin internationalem Format an, zum Beispiel +491701234567.

Telefonnummer

Die E-Mail-Adresse, an welche die Registrierungsanleitunggesendet wird.

E-Mail-Adresse

Wählen Sie den Gerätebesitzer: entweder Firma oder Privat.Besitzer

Wählen Sie die Gerätegruppe, zu der das Gerät hinzugefügtwerden soll. Wenn Sie noch keine Gerätegruppe erstellt haben,können Sie die Gerätegruppe Default wählen, die immer verfügbarist.

Gerätegruppe

Wenn Sie fertig sind, klicken Sie auf Weiter.

5. Wählen Sie auf der Seite Paketauswahl ein Auftragspaket, das nach der Registrierungan das Gerät übermittelt werden soll, oder wählen Sie Nur Gerät registrieren um dasGerät zu registrieren ohne ein Paket zu senden.

Hinweis: Es werden nur Auftragspakete angezeigt, die einen Auftrag Registrierungenthalten.

Wenn Sie fertig sind, klicken Sie auf Weiter. Das Gerät wird zu Sophos Mobile Controlhinzugefügt.

6. Folgen Sie den Anweisungen auf der Seite Registrierung, um die App „Sophos MobileControl“ auf dem Gerät zu installieren und die Registrierung abzuschließen.

7. Wach dem erfolgreichen Abschluss der Registrierung klicken Sie auf Fertigstellen, umden Geräteregistrierungs-Assistent zu schließen.

Hinweis:

■ Nachdem Sie alle Einstellungen vorgenommen haben, können Sie denGeräteregistrierungs-Assistent schließen, ohne darauf warten zu müssen, dass dieSchaltfläche Fertigstellen erscheint. Ein Registrierungsauftrag wird erstellt und imHintergrund ausgeführt.

■ Wenn Sie ein Auftragspaket ausgewählt haben, dass nach der Registrierung auf das Gerätübertragen wird, können Sie auf der Seite Auftragsstatus den Auftragsstatus überwachen.Siehe Nicht abgeschlossene, fehlgeschlagene und kürzlich abgeschlossene Aufträgeanzeigen (Seite 16).

■ Wenn Sie konfiguriert haben, dass Sophos Mobile Control den Gerätenamen voniOS-Geräten mit dem Gerät synchronisiert (siehe Einstellungen für iOS konfigurieren (Seite

55

Administratorhilfe

23)), wird der Name, den Sie im Feld Name eingegeben haben, durch den auf dem Gerätkonfigurierten Namen ersetzt.

12.2.3 iOS-Geräte automatisch registrieren

Sie können iOS-Geräte so konfigurieren, dass sie sich während der Geräteaktivierungautomatisch bei Sophos Mobile Control registrieren. Dazu müssen Sie die Geräte mit Hilfeder Software Apple Configurator 2 dem MDM-Server von Sophos Mobile Control zuweisen.Wenn die Benutzer die Geräte erstmalig einschalten, startet der iOS-Einrichtungsassistent.Während der Einrichtung werden die Geräte automatisch bei Sophos Mobile Control registriert.

Hinweis: Detaillierte Informationen zu Apple Configurator 2 finden Sie in der AppleConfigurator 2 Hilfe.

So konfigurieren Sie die automatische Registrierung von iOS-Geräten bei Sophos MobileControl:

1. Zur Vorbereitung der automatischen Registrierung müssen Sie einmalig eine Gerätegruppeerstellen, die Geräten zugewiesen wird, die sich automatisch bei Sophos Mobile Controlregistrieren. Wählen Sie in den Eigenschaften der Gerätegruppe die OptioniOS-Auto-Registrierung aktivieren aus. Siehe Gerätegruppe erstellen (Seite 71).

2. Notieren Sie sich die URL, die im Feld URL für Auto-Registrierung angezeigt wird.

Sie benötigen diese URL bei der Konfiguration von Geräten mit Apple Configurator 2.

3. Verbinden Sie das iOS-Gerät, das Sie für die automatische Registrierung konfigurierenwollen, mit einem USB-Anschluss eines Mac-Computers, auf dem Apple Configurator 2installiert ist.

4. Verwenden Sie in Apple Configurator 2 den Vorbereitungsassistent, um dieGerätekonfiguration einzurichten.

5. Wählen Sie Manuelle Registrierung aus und geben Sie anschließend dieRegistrierungs-URL der Gerätegruppe ein.

6. Folgen Sie den weiteren Schritten des Vorbereitungsassistent. Optional können Sie folgendeBereiche der Geräteaktivierung konfigurieren:

■ Gerät als betreut definieren (Supervision mode).■ Computer festlegen, mit denen sich das Gerät per USB koppeln darf.■ Bei betreuten Geräten eine Betreuungsidentität (Supervision Identity) erstellen oder

auswählen.■ Schritte des iOS-Einrichtungsassistent deaktivieren.

Nachdem Sie die Konfiguration abgeschlossen haben, übergeben Sie das Gerät an denBenutzer. Wenn der Benutzer das Gerät erstmalig einschalten, wird die iOS-Einrichtung unddie Registrierung bei Sophos Mobile Control so durchgeführt, wie Sie es konfiguriert haben.

Tipp: Standardmäßig verwaltet Sophos Mobile Control die automatisch registrierten Geräteunter einem Namen, der aus der Geräte-ID und dem Gerätetyp gebildet wird. Alternativ kannSophos Mobile Control den Namen verwenden, der auf dem Gerät konfiguriert ist. Siehe dieOption Gerätename synchronisieren in Einstellungen für iOS konfigurieren (Seite 23).

12.2.4 iOS-Geräte ohne Apple-ID registrieren

Sie können ein iOS-Gerät bei Sophos Mobile Control registrieren, auf dem noch keine Apple-IDeingerichtet ist. Dies ist zum Beispiel nützlich, um Geräte vor der Übergabe an einenEndbenutzer vorzukonfigurieren.

56


http://help.apple.com/configurator/?lang=de/

http://help.apple.com/configurator/?lang=de/

Das Standard-Registrierungsverfahren beinhaltet die Installation der App „Sophos MobileControl“ auf dem Gerät. Da die App aus dem App Store installiert wird und für den Zugriff aufden App Store eine Apple-ID erforderlich ist, müssen Sie vor der Registrierung das Gerät miteiner Apple-ID verknüpfen.

Alternativ können Sie ein iOS-Gerät auch registrieren, ohne die App „Sophos Mobile Control“zu installieren. In diesem Fall müssen Sie das Gerät nicht mit einer Apple-ID verknüpfen. Diesist auf folgende Weisen möglich:

■ Mit der automatischen Registrierung. Siehe iOS-Geräte automatisch registrieren (Seite56).

■ Mit dem Geräteregistrierungs-Assistent. Siehe Mit dem Geräteregistrierungs-Assistentneue Geräte zuweisen und registrieren (Seite 54).

Gehen Sie im Geräteregistrierungs-Assistent folgendermaßen vor:

1. Wählen Sie auf der Seite Registrierung die Registerkarte Registrierung ohne Apple-IDaus.

2. Öffnen Sie im Webbrowser des Gerätes die Registrierungs-URL. Dies öffnet dasRegistrierungsformular von Sophos Mobile Control.

3. Geben Sie in diesem Formular das Token ein und klicken Sie anschließend aufRegistrieren.

4. Folgen Sie den auf dem Gerät angezeigten Anweisungen, um dasRegistrierungs-Auftragspaket zu installieren.

12.3 Geräte deregistrierenSie können Geräte deregistrieren, wenn sie nicht mehr benutzt werden, z. B. wenn der Benutzerein neues Gerät erhält. Dies ist zum Beispiel nützlich, wenn Sie die Anzahl an Geräten, dieein Benutzer über das Self Service Portal registrieren kann, begrenzt haben.


Die Seite Geräte wird angezeigt. Diese zeigt alle Geräte, die für diesen Kunden bei SophosMobile Control registriert sind.

2. Wählen Sie das gewünschte Gerät aus, klicken Sie auf Aktionen und klicken Sieanschließend auf Deregistrieren.

Eine Meldung wird angezeigt, die Sie zur Bestätigung des Deregistrierungsvorgangsauffordert.

Hinweis: Sie können mehrere Geräte auswählen, die deregistriert werden.

3. Klicken Sie auf Ja.

Das Gerät ist deregistriert. Dadurch werden folgende Vorgänge ausgelöst:

Android-Geräte:

■ Der Sophos Mobile Control Geräteadministrator wird deaktiviert.

■ Die Server-Anmeldedaten und alle weiteren erhaltenen Daten werden entfernt.

■ Die Container-Apps (Sophos Secure Workspace und Sophos Secure Email) sowie dieApp „Sophos Mobile Security“ werden zurückgesetzt.

iOS-Geräte:

■ Alle Profile werden entfernt.

■ Alle verwalteten Apps werden entfernt.

57

Administratorhilfe

■ Alle über Mobile Device Management erhaltenen Zertifikate werden entfernt.

■ Die Container-Apps (Sophos Secure Workspace und Sophos Secure Email) werdenzurückgesetzt.

12.4 Geräte verwaltenIn der Menüleiste können Sie unter VERWALTUNG > Geräte und Gerätegruppen Geräteund Gerätegruppen verwalten und eine Reihe von administrativen Aufgaben ausführen.Nachdem Sie Geräte zu Sophos Mobile Control hinzugefügt haben, können Sie zum Beispiel:

■ Gerätedetails anzeigen und bearbeiten.

■ E-Mail-Zugriff für Geräte erlauben oder verbieten.

■ Geräte per Fernzugriff sperren oder entsperren.

■ Geräte-Kennwörter zurücksetzen.

■ Geräte bei Verlust oder Diebstahl per Fernzugriff in den Auslieferungszustand zurücksetzen.

■ Geräte deregistrieren (Android und iOS).

■ Geräte löschen.

12.4.1 Geräte anzeigen



2. Klicken Sie auf den Namen des gewünschten Gerätes.

Die Seite Gerät anzeigen für das ausgewählte Gerät wird angezeigt.

Tipp:

Auf der Seite Geräte können Sie sich zusätzliche Informationen anzeigen lassen, indem Sieauf bestimmte Elemente zeigen:

■ Zeigen Sie auf das Symbol "Nicht verwaltet" eines Gerätes, um den genauen Status wieDeregistriert oder Abgemeldet anzuzeigen.

■ Zeigen Sie auf das Symbol "Nicht richtlinienkonform“ eines Gerätes, um den Schweregrad(hoch, mittel, niedrig) anzuzeigen.

12.4.1.1 Die Seite „Gerät anzeigen“Auf der Seite Gerät anzeigen werden alle relevanten Informationen für ein einzelnes Gerätangezeigt.

Im oberen Teil der Seite können Sie auf einen Blick die wichtigsten Geräteinformationensehen.

Im unteren Teil der Seite werden in mehreren Registerkarten detaillierte Geräteinformationenangezeigt. Die angezeigten Registerkarten und Informationen hängen von der Geräteplattformab.

■ Profile (Android, iOS)

Zeigt die auf dem Gerät installierten Profile an (inklusive Provisionierungsprofile).

58


Die Registerkarte enthält auch Befehle für die Installation oder Deinstallation von Profilenauf Geräten.

■ Richtlinien

Zeigt die dem Gerät zugewiesenen Richtlinien an.

Auf dieser Registerkarte steht die Schaltfläche Richtlinie zuweisen zur Verfügung, umeine Richtlinie einem Gerät zuzuweisen.

■ Geräteeigenschaften

Zeigt die Geräteeigenschaften wie z. B. Eigenschaften für Modell, Modellname oderBetriebssystemversion an. Bei Android-Geräten werden Smartphones ermittelt, die „rooted“sind, und die relevante Eigenschaft wird angezeigt. Bei iOS-Geräten werden Smartphonesmit „Jailbreak“ ermittelt. Die relevante Eigenschaft wird in der Ansicht angezeigt.

■ Benutzerdefinierte Eigenschaften

Zeigt benutzerdefinierte Geräteeigenschaften an. Dies sind die Eigenschaften, die Sieselbst anlegen können. Benutzerdefinierte Geräteeigenschaften können zum Beispiel inPlatzhaltern verwendet werden, wenn kein Active Directory zur Verfügung steht. WennSie ein Gerät bearbeiten, können Sie hier auch benutzerspezifische Informationenhinzufügen.

■ Interne Eigenschaften

Zeigt interne Geräteeigenschaften, z. B. die IMEI, oder ob Active-Sync-Datenverkehrerlaubt ist.

■ Compliance-Verstöße

Diese Registerkarte wird nur für Geräte angezeigt, die gegen Compliance-Regeln verstoßen.Angezeigt werden die Compliance-Verstöße des Gerätes und die deshalb ausgeführtenMaßnahmen.

Diese Maßnahmen werden bei der Konfiguration von Compliance-Richtlinien festgelegt.Siehe Compliance-Richtlinie erstellen (Seite 43).

■ Installierte Apps (Android, iOS)

Zeigt die auf dem Gerät installierte Software.

Für iOS-Geräte werden in der Spalte Verwaltet auf der Registerkarte Installierte Appsdie verwalteten Apps angezeigt. Mit Sophos Mobile Control können Sie solche Apps aufiOS-Geräte übertragen und sie auch stillschweigend, d.h. ohne Benutzerinteraktion, wiederentfernen.

Für Android-Geräte unterscheidet Sophos Mobile Control zwischen System-Apps undApps, die der Benutzer auf dem Gerät installiert hat.

In der Spalte Größe wird der Speicherbedarf für die App selber angezeigt. In der SpalteDaten wird der zusätzliche Speicherbedarf der App anzeigt, zum Beispiel für Nutzerdaten,Konfigurationen oder Ähnliches.

Mit der Schaltfläche App installieren können Sie Software auf dem Gerät installieren. Siekönnen auch verwaltete Apps von iOS-Geräten entfernen, indem Sie auf das LöschenSymbol neben der relevanten App klicken.

■ System-Apps (Android)

Zeigt die Android-System-Apps auf dem Gerät an.

59

Administratorhilfe

Hinweis: System-Apps können nicht vom Gerät entfernt werden.

■ Knox-Apps (Android)

Diese Registerkarte enthält die Apps, die vom Benutzer im Samsung-Knox-Containerinstalliert wurden.

■ Knox-System-Apps (Android)

Diese Registerkarte enthält die System-Apps, die im Samsung-Knox-Container installiertsind.

■ Scan-Ergebnisse (Android)

Diese Registerkarte ist nur dann verfügbar, wenn für den Kunden, bei dem Sie angemeldetsind, die Sophos Mobile Security-Funktionalität zur Verfügung steht. Die Registerkartezeigt die Ergebnisse des letzten Sophos Mobile Security Scan-Vorgangs auf dem Gerät.Sophos Mobile Security ist eine Sicherheits-App für Android-Geräte, die Geräte vorschädlichen Apps schützt und Benutzer beim Erkennen von App-Berechtigungen unterstützt,die möglicherweise ein Sicherheitsrisiko darstellen. Die App kann mit Sophos MobileControl verwaltet werden. Für weitere Informationen siehe Sophos Mobile Security verwalten(Seite 212).

■ Zertifikate

Zeigt die auf dem Gerät benutzten Zertifikate an.

■ Aufträge

Diese Registerkarte zeigt alle noch nicht abgeschlossenen und fehlgeschlagenen Aufträgesowie die abgeschlossenen Aufträge der letzten Tage an. Diese Aufträge werden Ihnenauch auf der Seite Auftragsstatus angezeigt, zusammen mit den Aufträgen aller anderenGeräte. Siehe Aufträge überwachen (Seite 16).

Von der Seite Gerät anzeigen können Sie direkt auf die Seite Gerät bearbeiten wechseln.Um das angezeigte Gerät zu bearbeiten, klicken Sie auf Bearbeiten.

12.4.1.2 Erweiterten Gerätefilter verwendenMit dem erweiterten Gerätefilter können Sie die Gerätelisten nach Ihren Anforderungen filtern.

So wenden Sie den Gerätefilter an:

1. Klicken Sie im Titelbereich der Seite Geräte auf die Schaltfläche Erweiterter Filter(Lupensymbol).

Das Dialogfeld Gerätefilter: Filter ist nicht aktiv wird angezeigt.

2. Legen Sie die Filterkriterien fest.

3. Wenn Sie die erforderlichen Kriterien ausgewählt haben, klicken Sie auf Filtern.

Der Filter wird aktiviert und die Geräteliste wird neu geladen. Das Lupensymbol im Titelbereichändert seine Farbe von Blau zu Grün. Dadurch wird angezeigt, dass der Filter aktiv ist. Umden Filter aufzuheben, klicken Sie erneut auf Erweiterter Filter und dann im Filterdialog aufAufheben.

Hinweis: Denken Sie daran, Filter manuell wieder aufzuheben, wenn sie nicht mehr benötigtwerden. Andernfalls enthalten Listen oder Berichte unter Umständen nicht die erwartetenErgebnisse.

60


12.4.2 Geräte bearbeiten



2. Klicken Sie auf das blaue Dreieck neben dem gewünschten Gerät und dann auf Bearbeiten.

Die Seite Gerät bearbeiten für das ausgewählte Gerät wird angezeigt.

3. Nehmen Sie die notwendigen Änderungen vor (zum Beispiel Installation oder Entfernenvon Software auf der Registerkarte Installierte Apps). Klicken Sie anschließend aufSpeichern.

Ihre Änderungen werden auf das bearbeitete Gerät angewendet.

Hinweis: An Eigenschaften vorgenommene Änderungen treten erst in Kraft, nachdem Sieauf Speichern geklickt haben. Wenn Sie die vorgenommenen Änderungen nicht speichern,haben sie keinerlei Auswirkungen.

12.4.2.1 Benutzer einem Gerät zuweisen1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte.

2. Klicken Sie auf der Seite Geräte auf das blaue Dreieck neben dem gewünschten Gerätund dann auf Bearbeiten.

3. Klicken Sie auf der Seite Gerät bearbeiten auf das Symbol Benutzerzuweisungbearbeiten neben dem Feld Benutzer und klicken Sie anschließend auf dengewünschten Eintrag in der Auswahlliste:

■ Um einem Gerät ohne Benutzerzuweisung einen Benutzer zuzuweisen, klicken Sie aufGerät einem Benutzer zuweisen.

■ Um einem Gerät mit bestehender Benutzerzuweisung einen anderen Benutzerzuzuweisen, klicken Sie auf Gerät einem anderen Benutzer zuweisen.

4. Geben Sie im Schritt Suchparameter für Benutzer eingeben des Zuweisungsdialogseinen oder mehrere Suchparameter ein, um die im nächsten Schritt angezeigte Liste derBenutzer zu filtern. Geben Sie zum Beispiel einen Namen oder Teilnamen ein.

5. Wählen Sie im Schritt Benutzer auswählen den gewünschten Benutzer aus und klickenSie anschließend auf Anwenden.

6. Klicken Sie auf der Seite Gerät bearbeiten auf Speichern.

12.4.2.2 Benutzerzuweisung für ein Gerät aufheben1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte.

2. Klicken Sie auf der Seite Geräte auf das blaue Dreieck neben dem gewünschten Gerätund dann auf Bearbeiten.

3. Klicken Sie auf der Seite Gerät bearbeiten auf das Symbol Benutzerzuweisungbearbeiten neben dem Feld Benutzer und klicken Sie anschließend auf Zuweisungdes Benutzers zum Gerät aufheben.

4. Klicken Sie im Bestätigungsdialog auf Ja.


61

Administratorhilfe

12.4.2.3 Benutzerdefinierte GeräteeigenschaftenSie können für einzelne Geräte benutzerdefinierte Eigenschaften festlegen.

Wenn Sie eine Eigenschaft Meine Eigenschaft festlegen, können Sie in Profilen undRichtlinien den Platzhalter %_DEVPROP(Meine Eigenschaft)_% verwenden, um den Wertder Eigenschaft zu referenzieren. Mit einer benutzerdefinierten Geräteeigenschaft könnenSie zum Beispiel den Benutzer referenzieren, der dem Gerät zugewiesen ist.

Einzelheiten finden Sie in Platzhalter in Profilen und Richtlinien (Seite 75).

Hinweis:

■ Sie können keine benutzerdefinierte Geräteeigenschaft mit dem gleichen Namen wie eineStandard-Geräteeigenschaft erstellen.

■ Wenn Sie ein Gerät wie in Gerät duplizieren (Seite 52) beschrieben duplizieren, besitztdas neue Gerät dieselben benutzerdefinierten Eigenschaften wie das Ausgangsgerät.

■ Neben den hier beschriebenen benutzerdefinierten Geräteeigenschaften können Sie auchbenutzerdefinierte Kundeneigenschaften festlegen. Siehe Kundeneigenschaften definieren(Seite 24).

So definieren Sie eine benutzerdefinierte Geräteeigenschaft:

1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Allgemein.Stellen Sie sicher, dass auf der Registerkarte Persönlich die Option ErweiterteGerätedetails anzeigen aktiviert ist.



3. Klicken Sie auf das blaue Dreieck neben dem gewünschten Gerät und dann auf Bearbeiten.

4. Wechseln Sie auf der Seite Gerät bearbeiten auf die Registerkarte BenutzerdefinierteEigenschaften und klicken Sie auf Benutzerdefinierte Eigenschaft hinzufügen.

5. Geben Sie einen Name und einen Wert für die neue benutzerdefinierte Geräteeigenschaftein.

6. Klicken Sie auf Anwenden, um die Eigenschaft zu erstellen.

7. Klicken Sie auf Speichern, um die Änderungen für das Gerät zu speichern.

12.4.2.4 Netzwerkzugriff konfigurierenDamit Sie den Netzwerkzugriff für ein Gerät konfigurieren können, muss Network AccessControl (NAC) in Sophos Mobile Control aktiviert werden.

Bei lokalen Installation wird NAC vom Superadministrator aktiviert. Siehe das englischsprachigeDokument Sophos Mobile Control Super Administrator Guide.

Bei Sophos Mobile Control as a Service ist NAC immer aktiviert.

Sie können den Netzwerkzugriff für ein Gerät auf zwei Weisen konfigurieren:

1. Netzwerkzugriff immer erlauben oder sperren.2. Netzwerkzugriff grundsätzlich erlauben, aber sperren, wenn das Gerät nicht

richtlinienkonform ist.

Hinweis: Sophos Mobile Control schränkt den Netzwerkzugriff nicht selbst ein. Stattdessenstellt es einen Status Netzwerk verbieten zur Verfügung, der von einer externen NAC-Softwarewie zum Beispiel Sophos UTM verwendet werden kann, um die Netzwerkkommunikation zublockieren.

62



So konfigurieren Sie den Netzwerkzugriff für ein Gerät:


2. Wählen Sie auf der Seite Geräte die Geräte aus, für die Sie den Netzwerkzugriffsmoduseinstellen wollen.

3. Klicken Sie auf Aktionen und anschließend auf Netzwerkzugriff.

4. Wählen Sie den Netzwerkzugriffsmodus aus:

■ Erlauben: Netzwerkzugriff ist für die ausgewählten Geräte erlaubt.■ Sperren: Netzwerkzugriff ist für die ausgewählten Geräte gesperrt.■ Automatischer Modus: Netzwerkzugriff für die ausgewählten Geräte wird durch den

Compliance-Status der Geräte festgelegt.

5. Klicken Sie auf Ja, um die Änderungen zu speichern.

Informationen, wie Sie den Netzwerkzugriff in Compliance-Richtlinien konfigurieren, findenSie in Compliance-Richtlinie erstellen (Seite 43).

12.4.3 Gerät sperren

Sie können Geräte, die von Sophos Mobile Control verwaltet werden, sperren. Dadurch wirddie Bildschirmsperre aktiviert.


2. Klicken Sie auf der Seite Geräte auf das blaue Dreieck neben dem Gerät, das Sie sperrenoder entsperren wollen, und klicken Sie anschließend auf Anzeigen.

3. Klicken Sie auf der Seite Gerät anzeigen auf Aktionen > Sperren.

Ein Auftrag zum Aktiveren der Bildschirmsperre wird erstellt und an das Gerät übertragen.Benutzer müssen ihr Gerätekennwort eingeben (bzw. PIN oder Muster), um das Gerät zuentsperren.

Sie können den Auftragsstatus auf der Seite Auftragsstatus anzeigen.

12.5 Apple DEPMit dem Apple-Programm zur Geräteregistrierung (Device Enrollment Program, kurz DEP)können Sie iOS-Geräte (und OS-X-Geräte) in größeren Mengen kaufen und in IhremUnternehmen bereitstellen. DEP vereinfacht mit folgenden Funktionen die Bereitstellung vonMobilgeräten:

■ Konfigurierbarer Aktivierungsprozess.

■ Drahtlose Aktivierung des Betreuungsmodus (Supervision mode).

■ Over-The-Air-Konfiguration.

■ Automatische Registrierung von iOS-Geräten bei Sophos Mobile Control während derGeräteaktivierung.

Tipp: Detaillierte Informationen zu DEP finden Sie auf der Apple-Website unterhttp://www.apple.com/de/business/programs/.

Vorbereitungsschritte

Um die Verwaltung von DEP-Geräten mit Sophos Mobile Control einzurichten, führen Sieeinmalig die folgenden Schritte aus:

63

Administratorhilfe

http://www.apple.com/de/business/programs/

1. Erstellen Sie im Apple-DEP-Web-Portal einen virtuellen MDM-Server und verknüpfen Siediesen mit Sophos Mobile Control. Siehe Virtuellen MDM-Server einrichten (Seite 64).

2. Erstellen Sie in Sophos Mobile Control ein oder mehrere DEP-Profile, mit denenverschiedene, DEP-spezifische Geräteeigenschaften konfiguriert werden. Mit einemDEP-Profil können Sie außerdem den iOS-Einrichtungsassistent anpassen, der nach demersten Einschalten eines Gerätes startet. Siehe DEP-Profil erstellen (Seite 65).

Bereitstellungsschritte

Der typische Ablauf zur Bereitstellung gekaufter DEP-Geräte beinhaltet die folgenden Schritte:

1. Kaufen Sie die Geräte von Apple oder einem zugelassenen DEP-Händler.2. Weisen Sie im Apple-DEP-Portal die Geräte dem Sophos Mobile Control MDM-Server zu.

Informationen zu diesem und dem folgenden Schritt finden Sie in DEP-Geräte bereitstellen(Seite 68).

3. Weisen Sie in der Sophos Mobile Control Konsole den Geräten ein DEP-Profil zu.4. Verteilen Sie die Geräte an Ihre Benutzer.5. Wenn die Benutzer die Geräte erstmalig einschalten, startet der angepasste

iOS-Einrichtungsassistent.Während der Einrichtung werden die Geräte bei Sophos MobileControl registriert und der Benutzer wird dem Gerät zugewiesen.

6. Bei Bedarf können Sie zusätzliche Auftragspakete auf die Geräte übertragen, um dieProvisionierung zu vervollständigen.

12.5.1 Virtuellen MDM-Server einrichten

Voraussetzung: Diese Prozedur setzt voraus, dass Sie sich bereits für das Apple-Programmzur Geräteregistrierung (DEP) registriert haben und ein Administratorkonto für dasApple-DEP-Webportal eingerichtet haben.

Hinweis: Detaillierte Informationen zur DEP-Registrierung finden Sie auf derApple-DEP-Website unter http://www.apple.com/de/business/programs/ oder in der Hilfe zuden Apple Bereitstellungsprogrammen.

Tipp: Wenn Sie sich bereits für das Apple-Programm für Volumenlizenzen (VPP) registrierthaben, können Sie dieselbe Apple-ID auch für DEP verwenden.

Um Apple DEP mit Sophos Mobile Control verwenden zu können, müssen Sie imApple-DEP-Webportal einen virtuellen MDM-Server erstellen und mit dem Sophos MobileControl Server verknüpfen. Dies beinhaltet einen Verifizierungsprozess, um eine sichereVerbindung zwischen Sophos Mobile Control und dem Apple-DEP-Webservice herzustellen.

So richten Sie einen virtuellen MDM-Server für Sophos Mobile Control ein:

1. Melden Sie sich an der Sophos Mobile Control Konsole an. Verwenden Sie dieZugangsdaten eines Administrators für den Kunden, für den Sie DEP-Geräte verwaltenwollen.

2. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung >Systemeinstellungen und klicken Sie anschließend auf die Registerkarte Apple DEP.

3. Klicken Sie auf Öffentlichen Schlüssel herunterladen, um den öffentlichen Schlüsselvon Sophos Mobile Control für Apple DEP herunterzuladen.

Die Datei wird abhängig von den Download-Einstellungen Ihres Webbrowsers auf IhremComputer gespeichert.

4. Rufen Sie in einem Browser-Fenster das Apple-DEP-Webportal unterhttps://deploy.apple.com auf.

Sie können hierzu den Link Apple-DEP-Webportal in Sophos Mobile Control klicken.

64


http://www.apple.com/de/business/programs/

https://help.apple.com/deployment/programs/?lang=de


5. Melden Sie sich am Apple-DEP-Webportal mit der Apple-ID Ihres Unternehmens an.

6. Navigieren Sie zu Device Enrollment Program > Server verwalten und klicken Sieanschließend auf MDM-Server hinzufügen.

7. Geben Sie einen Namen für den MDM-Server ein, zum Beispiel Sophos MobileControl.

8. Laden Sie im nächsten Schritt die Datei mit dem öffentlichen Schlüssel hoch, die Sie zuvorvon Sophos Mobile Control heruntergeladen haben.

9. Laden Sie im nächsten Schritt das Server-Token herunter.

Anschließend können Sie sich vom DEP-Portal abmelden.

10. Klicken Sie in Sophos Mobile Control auf der Registerkarte Apple DEP auf Datei hochladenund wählen Sie das Server-Token aus, das Sie vom Apple-DEP-Portal heruntergeladenhaben.

Die Details Ihres virtuellen MDM-Servers werden angezeigt.

11. Klicken Sie auf Speichern, um Ihre Änderungen zu speichern.

Das DEP-Server-Token ist ein Jahr gültig. Zur Benachrichtigung über den bevorstehendenAblauf des Tokens sendet Sophos Mobile Control mehrere E-Mail-Erinnerungen an alleAdministratoren, beginnend 30 Tage vor dem Ablaufdatum.

Wichtig: Wenn Sie im Apple-DEP-Webportal ein neues Server-Token erstellen, müssen Siedieselbe Apple-ID verwenden, die Sie für die Erstausstellung des Tokens verwendet haben.

12.5.2 DEP-Profil erstellen

Bevor Sie DEP-Profile erstellen können, müssen Sie das Apple-Programm zurGeräteregistrierung (DEP) einrichten. Siehe Virtuellen MDM-Server einrichten (Seite 64).

Ein DEP-Profil wird einem DEP-Gerät zugewiesen und vom Apple-Server während derGeräteaktivierung ausgewertet. Es enthält folgende Informationen:

■ Den MDM-Server (also Sophos Mobile Control), mit dem das Gerät verwaltet wird.

■ Konfigurationseinstellungen für die Registrierung bei Sophos Mobile Control.

■ Eine Liste der Host-Geräte, mit denen das Gerät gekoppelt werden darf.

■ Benutzerdefinierte Einstellungen für den iOS-Einrichtungsassistent, der nach dem erstenEinschalten eines Gerätes startet.

Bei Bedarf können Sie mehrere DEP-Profile erstellen, um verschiedene Einrichtungs- undKonfigurations-Einstellungen für Ihre DEP-Geräte zu verwenden.

So erstellen Sie ein DEP-Profil:

1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Allgemeinund klicken Sie anschließend auf die Registerkarte Apple-DEP-Profile.

2. Klicken Sie auf Hinzufügen.

3. Geben Sie im Dialog DEP-Profil bearbeiten einen Namen und optional eine Beschreibungfür das DEP-Profil ein.

4. Optional: Wählen Sie in der Liste Gerätegruppe eine Gerätegruppe aus, die Gerätenzugewiesen wird, wenn diese bei Sophos Mobile Control registriert werden.

Informationen zu Gerätegruppen finden Sie in Gerätegruppen (Seite 71).

Hinweis: Wir empfehlen, zur Vereinfachung der Geräteverwaltung eine eigeneGerätegruppe für DEP-Geräte zu verwenden.

65

Administratorhilfe

5. Optional: Wählen Sie in der Liste Auftragspaket ein Auftragspaket aus, das an Geräteübertragen wird, wenn diese bei Sophos Mobile Control registriert werden.

Die Liste enthält alle iOS-Auftragspakete, die keinen Registrierungsauftrag enthalten.

Informationen zu Auftragspaketen finden Sie in Auftragspakete (Seite 172).

6. Auf der Registerkarte Registrierung können Sie folgende Einstellungen vornehmen:

BeschreibungOption

Das Gerät ist betreut (Supervision mode).Gerät betreuen

Der Benutzer kann das Sophos Mobile Control Registrierungsprofilüber die iOS-Benutzeroberfläche entfernen.

Diese Option kann nur für betreute Geräte deaktiviert werden.

Benutzer kann MDM-Profilentfernen

Die App „Sophos Mobile Control“ wird auf dem Gerät installiert.

Wenn Sie diese Option aktivieren, müssen Sie außerdem auf derRegisterkarte iOS-Einrichtung die Option „Apple-ID“überspringen deaktivieren. Dies stellt sicher, dass Sophos MobileControl die App aus dem App Store installieren kann.

Hinweis: Alternativ, falls Sie sich für das Apple-Programm fürVolumenlizenzen (VPP) registriert haben, kann die App „SophosMobile Control“ als VPP-App installiert werden, auch wenn dasGerät nicht mit einer Apple-ID verknüpft ist. Die Geräte müssenden Status Verwaltet haben und iOS 9 oder höher verwenden.Siehe VPP-Apps automatisch zuweisen (Seite 187).

SMC-App installieren

Der Benutzer kann den Einrichtungsschritt überspringen, in demdas Sophos Mobile Control Registrierungsprofil angewendet wird.

Benutzer kann Zuweisung desMDM-Profils überspringen

Während der Registrierung bei Sophos Mobile Control wird derBenutzer nach seinen Anmeldeinformationen für das Self ServicePortal gefragt und anschließend dem Gerät zugewiesen.

Mit dieser Option können Sie eine automatische Zuweisung desBenutzers zum Gerät vornehmen.

Gerätebenutzer zuweisen

66


7. Auf der Registerkarte iOS-Einrichtung können Sie Schritte des iOS-Einrichtungsassistentdeaktivieren, der nach dem ersten Einschalten eines Gerätes startet.

Hinweis: Diese Einstellungen wirken sich nur auf die iOS-Einrichtung aus. Wenn Sieeinen Konfigurationsschritt deaktivieren, kann der Benutzer trotzdem die jeweiligeEinstellung nachträglich vornehmen. Um eine Funktion vollständig zu deaktivieren,verwenden Sie eine Konfiguration Einschränkungen. Siehe Konfiguration„Einschränkungen“ (iOS-Geräteprofil) (Seite 122).

BeschreibungOption

Der Einrichtungsschritt Apps & Daten wird nicht angezeigt. DerBenutzer kann keine Daten aus einem iCloud- oder iTunes-Backupwiederherstellen, oder Daten von einem Android-Gerät übertragen.

„Apps & Daten“ überspringen

Im Einrichtungsschritt Apps & Daten ist die Option Daten vonAndroid übertragen nicht verfügbar. Der Benutzer kann keineDaten von einem Android-Gerät übertragen.

Sie können diese Option nur aktivieren, wenn Sie auch „Apps &Daten“ überspringen aktivieren.

„Daten von Androidübertragen“ deaktivieren

Der Einrichtungsschritt Diagnostics wird nicht angezeigt. DieÜbermittlung von Diagnose- und Nutzungsdaten an Apple istdeaktiviert.

„Diagnostics“ überspringen

Der Einrichtungsschritt Ortungsdienste wird nicht angezeigt. DerBenutzer kann keine Ortungsdienste aktivieren.

„Ortungsdienste“überspringen

Der Einrichtungsschritt Siri wird nicht angezeigt. Der Benutzerkann Siri nicht einrichten.

„Siri“ überspringen

Der Einrichtungsschritt Anzeigezoom wird nicht angezeigt. DerBenutzer kann die Bildschirmansicht nicht ändern.

„Anzeigezoom“ überspringen

Der Einrichtungsschritt Apple-ID wird nicht angezeigt. DerBenutzer kann sich nicht mit seiner Apple-ID an Apple-Dienstenanmelden.

„Apple-ID“ überspringen

Der Einrichtungsschritt Apple Pay wird nicht angezeigt. DerBenutzer kann keine Kreditkarten- oderGuthabenkarten-Informationen für das Bezahlen mit Apple Payin Stores oder Apps hinzufügen.

„Apple Pay“ überspringen

Der Einrichtungsschritt Touch ID wird nicht angezeigt. DerBenutzer kann keinen Fingerabdruck als Passcode-Ersatzeinrichten.

„Touch ID“ überspringen

Der Einrichtungsschritt Code erstellen wird nicht angezeigt. DerBenutzer kann keinen Passcode zum Entsperren des Geräteseinrichten.

„Code erstellen“überspringen

Der Einrichtungsschritt Nutzungsbedingungen wird nichtangezeigt.

„Nutzungsbedingungen“überspringen

67

Administratorhilfe

8. Auf der Registerkarte Support-Informationen können Sie folgende Einstellungenvornehmen:

BeschreibungOption

Der Name der Abteilung oder des Standorts, der mit dem Profilverbunden ist.

Dieser Name wird mit weiteren Informationen angezeigt, wennder Benutzer während der Geräteeinrichtung auf ÜberKonfiguration klickt.

Abteilung

Die Support-Telefonnummer für Ihr Unternehmen.

Das Feld ist mit der Telefonnummer aus den Kontaktdetails fürtechnische Unterstützung vorausgefüllt. Siehe Kontaktdetails fürtechnische Unterstützung konfigurieren (Seite 24).

Hinweis: Die Telefonnummer wird im DEP-Profil gespeichert,ist aber für den Gerätebenutzer nicht verfügbar.

Telefonnummer

Die Support-E-Mail-Adresse für Ihr Unternehmen.

Das Feld ist mit der E-Mail-Adresse aus den Kontaktdetails fürtechnische Unterstützung vorausgefüllt. Siehe Kontaktdetails fürtechnische Unterstützung konfigurieren (Seite 24).

Hinweis: Die E-Mail-Adresse wird im DEP-Profil gespeichert, istaber für den Gerätebenutzer nicht verfügbar.

E-Mail

9. Auf der Registerkarte USB-Kopplung legen Sie Computer fest, mit denen sich das Gerätper USB koppeln darf.

Dies kann verwendet werden, um das Gerät mit iTunes zu synchronisieren oder es mitApple Configurator zu verwalten.

■ Um USB-Verbindungen mit beliebigen Host-Computern zuzulassen, wählen SieUSB-Kopplung mit beliebigen Host-Computern erlauben aus.

■ Um USB-Verbindungen zu verbieten oder auf bestimmte Computer zu beschränken,deaktivieren Sie USB-Kopplung mit beliebigen Host-Computern erlauben und ladenSie anschließend für jeden Computer, für den Sie die USB-Kopplung erlauben wollen,eine Zertifikatdatei hoch.

10. Nachdem Sie alle Registerkarten im Dialog DEP-Profil bearbeiten konfiguriert haben,klicken Sie auf Anwenden, um das DEP-Profil zu speichern.

11. Um das Profil allen neuen DEP-Geräten zuzuweisen, denen kein Profil manuell zugewiesenwurde, wählen Sie es in der Liste Standard-DEP-Profil für neue Geräte aus.

Wenn Sie Keine auswählen, müssen Sie neuen DEP-Geräten ein DEP-Profil manuellzuweisen wie in DEP-Geräte bereitstellen (Seite 68) beschrieben. Andernfalls werdenDEP-Geräte bei der Aktivierung nicht bei Sophos Mobile Control registriert.

12. Klicken Sie auf Speichern, um Ihre Änderungen zu speichern.

12.5.3 DEP-Geräte bereitstellen

Führen Sie diese Prozedur aus, um Ihre Geräte mit Apple DEP zu verbinden und bei SophosMobile Control zu registrieren.

68


Sie können Geräte verwalten, die Sie entweder bei Apple oder bei einem zugelassenenDEP-Händler erworben haben. Bevor Sie Geräte mit Apple DEP verbinden können, müssenSie den Händler am Apple-DEP-Portal einrichten.

Hinweis: Normalerweise führen Sie diese Prozedur aus, bevor Sie die DEP-Geräte an IhreBenutzer übergeben und diese die Geräte aktivieren und verwenden.

Hinweis: Detaillierte Informationen zum Apple-DEP-Portal finden Sie in der Hilfe zu denApple Bereitstellungsprogrammen.

So weisen Sie Ihre Geräte Sophos Mobile Control zu und weisen ihnen ein DEP-Profil zu:

1. Geben Sie in Ihrem Webbrowser die URL https://deploy.apple.com ein, um dasWebportal für die Apple-Bereitstellungsprogramme zu öffnen, und melden Sie sichanschließend mit der Apple-ID Ihres Unternehmens an.

2. Navigieren Sie zu Device Enrollment Program > Geräte verwalten.

3. Wählen Sie im Punkt Geräte auswählen nach Ihre neuen Geräte über die Seriennummeroder die Bestellnummer aus, oder laden Sie eine CSV-Datei mit den Seriennummern hoch.

Hinweis: Falls Sie die Geräte bei einem Händler erworben haben, sind diese innerhalbvon 24 Stunden, nachdem der Händler Ihre Bestellung an Apple übermittelt hat, imDEP-Portal verfügbar.

4. Wählen Sie im Punkt Aktion auswählen die Option Server zuweisen aus und wählenSie anschließend den virtuellen MDM-Server aus, den Sie für Sophos Mobile Controleingerichtet haben, wie in Virtuellen MDM-Server einrichten (Seite 64) beschrieben.

5. Klicken Sie auf OK, um die Zuweisung auszuführen.

Anschließend können Sie sich vom DEP-Portal abmelden.

Wenn Sie ein Standard-DEP-Profil eingerichtet haben wie in DEP-Profil erstellen (Seite 65)beschrieben, können Sie die weiteren Schritte überspringen.

6. Melden Sie sich an der Sophos Mobile Control Konsole an. Verwenden Sie dieZugangsdaten eines Administrators für den Kunden, für den Sie DEP-Geräte verwaltenwollen.

7. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte und klicken Sieanschließend auf Apple DEP.

Auf der Seite Apple-DEP-Geräte sind alle Geräte aufgelistet, denen Sie Sophos MobileControl im Apple-DEP-Webportal zugewiesen haben.

8. Falls Geräte nicht angezeigt werden, die Sie erst vor Kurzem zugewiesen haben, klickenSie auf Mit dem Apple-DEP-Portal synchronisieren.

Hinweis: Um die Belastung des Apple-DEP-Servers zu begrenzen, müssen Sie nachjeder Synchronisierung eine kurze Zeit warten, bevor Sie erneut synchronisieren können.

9. Wählen Sie die neuen Geräte aus und klicken Sie anschließend auf Aktionen > Profilzuweisen.

10. Wählen Sie im Bestätigungsdialog das DEP-Profil aus, das Sie den Geräten zuweisenwollen, und klicken Sie anschließend auf OK.

Wenn die erworbenen Geräte in Ihrem Unternehmen eintreffen, können Sie sie an IhreBenutzer übergeben. Es ist keine weitere Konfiguration erforderlich. Wenn die Benutzer dieGeräte erstmalig einschalten, werden die iOS-Einrichtung und die Registrierung bei SophosMobile Control so durchgeführt, wie Sie es im zugewiesenen DEP-Profil konfiguriert haben.

Wenn Sie im Profil die Option Benutzer zuweisen ausgewählt haben wie in DEP-Profilerstellen (Seite 65) beschrieben, werden die Benutzer automatisch ihren Geräten zugewiesen.

69

Administratorhilfe



12.5.4 DEP-Geräte verwalten

DEP-Geräte werden in Sophos Mobile Control genauso wie Nicht-DEP-Geräte verwaltet.Siehe Geräte verwalten (Seite 58).

DEP-Geräten können Sie zusätzlich ein DEP-Profil zuweisen. Das DEP-Profil wird vomApple-Server während der Geräteaktivierung ausgewertet. Siehe DEP-Profil erstellen (Seite65).

Hinweis: Da ein DEP-Profil nur für die Geräteaktivierung verwendet wird, wirkt sich eineÄnderung des zugewiesenen DEP-Profils erst aus, wenn das Gerät zurückgesetzt und neuaktiviert wird.

So ändern Sie das DEP-Profil eines Gerätes:

1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Geräte und klicken Sieanschließend auf Apple DEP.

Auf der Seite Apple-DEP-Geräte sind alle Geräte aufgelistet, denen Sie Sophos MobileControl im Apple-DEP-Webportal zugewiesen haben.

2. Klicken Sie auf Mit dem Apple-DEP-Portal synchronisieren, um die DEP-Informationenzu aktualisieren.

Hinweis: Um die Belastung des Apple-DEP-Servers zu begrenzen, wird die Option Mitdem Apple-DEP-Portal synchronisieren nach jeder Synchronisierung deaktiviert undsteht erst nach ein paar Minuten wieder zur Verfügung.

3. Wählen Sie die Geräte aus, denen Sie ein anderes DEP-Profil zuweisen wollen.

4. Klicken Sie auf Aktionen > Profil zuweisen.

5. Wählen Sie im Bestätigungsdialog das DEP-Profil aus, das Sie den Geräten zuweisenwollen, und klicken Sie anschließend auf OK.

70


13 GerätegruppenGerätegruppen dienen zur Kategorisierung von Geräten. Da sich Aufgaben auch fürGerätegruppen statt für Einzelgeräte ausführen lassen, können Sie Geräte so effizientverwalten.

Ein Gerät gehört jeweils immer exakt zu einer Gerätegruppe. Sie weisen ein Gerät einerGerätegruppe zu, wenn Sie es in Sophos Mobile Control anlegen.

Tipp: Gruppieren Sie nur Geräte mit demselben Betriebssystem. Gruppen lassen sich dadurchleichter für Installationen und andere betriebssystemspezifische Aufgaben verwenden.

13.1 Gerätegruppe erstellen1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Gerätegruppen und klicken

Sie anschließend auf Gerätegruppe anlegen.

2. Geben Sie auf der Seite Gerätegruppe bearbeiten Name und Beschreibung für dieneue Gerätegruppe ein.

3. Wählen Sie unter Compliance-Richtlinien in den Listen Firmengeräte und Privatgerätedie Compliance-Richtlinie aus, die angewendet werden soll.


Hinweis: Die Einstellungen für die Gerätegruppen enthalten die OptioniOS-Auto-Registrierung aktivieren. Mit dieser Option können Sie iOS-Geräte mit demApple Configurator bereitstellen. Siehe iOS-Geräte automatisch registrieren (Seite 56)

Die neue Gerätegruppe wird angelegt und auf der Seite Gerätegruppen angezeigt.

13.2 Gerätegruppen löschen1. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste auf Gerätegruppen.

2. Klicken Sie auf der Seite Gerätegruppen auf das blaue Dreieck neben der zu löschendenGerätegruppe, und klicken Sie anschließend auf Löschen.

3. Wählen Sie im Bestätigungsdialog eine der verbleibenden Gerätegruppen aus, der dieGeräte der aktuellen Gerätegruppe zugewiesen werden.

Diese Auswahl ist nur verfügbar, wenn der aktuellen Gerätegruppe Geräte zugewiesensind.

4. Klicken Sie auf Ja, um die Gerätegruppe zu löschen.

Hinweis: Wenn nur eine Gerätegruppe vorhanden ist und dieser Geräte zugewiesen sind,können Sie die Gerätegruppe nicht löschen.

71

Administratorhilfe

14 Profile und Richtlinien

Profile

Profile sind Einstellungen, die Sie festlegen und anschließend auf einem Gerät oder einerGerätegruppe installieren.

Für die Installation eines Profils auf einem oder mehreren Geräten erstellt Sophos MobileControl einen Auftrag und führt ihn zu einem festgelegten Zeitpunkt aus. Wenn Sie ein Profilaktualisieren, müssen Sie es erneut installieren, damit die geänderten Einstellungen auf demGerät wirksam werden.

Es gibt folgende Arten von Profilen:

Konfigurationen für Android-Geräteprofile (Seite 78)Konfigurationen für Android-for-Work-Richtlinien (Seite 96)Konfigurationen für Knox-Container-Profile (Seite 116)Konfigurationen für iOS-Geräteprofile (Seite 120)

Richtlinien

Richtlinien sind Einstellungen, die Sie festlegen und anschließend einem Gerät oder einerGerätegruppe zuweisen. Sie können einem Gerät nicht zwei Richtlinien desselben Typszuweisen.

Wenn Sie einem Gerät eine Richtlinie zuweisen, löst dies eine Synchronisierung aus und dieEinstellungen werden sofort angewendet. Zugewiesene Richtlinien werden jedes Malaktualisiert, wenn sich ein Gerät mit dem Sophos Mobile Control Server verbindet. Dahermuss eine Richtlinie nicht explizit erneut angewendet werden, wenn Sie diese aktualisieren.

Es gibt folgende Arten von Richtlinien:

Konfigurationen für Sophos-Container-Richtlinien für Android (Seite 106)Konfigurationen für Mobile-Security-Richtlinien (Seite 115)Konfigurationen für Sophos-Container-Richtlinien für iOS (Seite 147)Konfigurationen für Windows-Mobile-Richtlinien (Seite 157)Konfigurationen für Windows-Desktop-Richtlinien (Seite 166)

14.1 Profil oder Richtlinie erstellenProfile und Richtlinien bestehen aus einer oder mehrerer Konfigurationen. Indem SieKonfigurationen hinzufügen, definieren Sie den Aufgabenbereich des Profils bzw. der Richtlinie,d.h. die auf den Geräten verwalteten Bereiche.

1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Profile, Richtlinien undklicken Sie anschließend auf die Plattform, für die Sie ein Profil oder eine Richtlinie erstellenwollen.

72


2. Klicken Sie auf der Seite Profile und Richtlinien auf Erstellen.Wenn es für eine Plattformmehrere Arten von Profilen oder Richtlinien gibt, öffnet Erstellen ein Menü, aus dem Siedie gewünschte Option auswählen können.

Eine Liste der verfügbaren Profile und Richtlinien finden Sie in Profile und Richtlinien (Seite72).

3. Geben Sie einen Namen, eine Version und eine Beschreibung ein.

Pflichtfelder sind mit einem roten Sternchen (*) markiert.

4. Sophos-Container-Richtlinien enthalten immer eine Konfiguration Allgemein. Diese wirdautomatisch hinzugefügt. Klicken Sie auf der Seite Richtlinie bearbeiten auf Allgemein,um die Konfiguration anzuzeigen und bei Bedarf anzupassen.

5. Android-for-Work-Richtlinien enthalten immer eine Konfiguration Einschränkungen. Diesewird automatisch der Richtlinie hinzugefügt. Klicken Sie auf der Seite Richtlinie bearbeitenauf Einschränkungen, um die Konfiguration anzuzeigen und bei Bedarf anzupassen.

6. Um weitere Konfiguration zu dem Profil oder der Richtlinie hinzuzufügen, klicken Sie aufKonfiguration hinzufügen und wählen Sie anschließend die gewünschte Konfigurationaus.

Hinweis: Einige Konfigurationen werden nur für bestimmte Betriebssystemversionen oderGerätemerkmale unterstützt. Solche Einschränkungen sind in Sophos Mobile Control durchblaue Label gekennzeichnet.

7. Konfigurieren Sie auf der Einstellungsseite der Konfiguration die gewünschtenEinstellungen.

8. Optional: Wiederholen Sie die vorhergehenden Schritte, um weitere Konfigurationenhinzuzufügen.

9. Wenn Sie alle erforderlichen Konfigurationen hinzugefügt haben, klicken Sie auf Speichern.

Das Profil oder die Richtlinie wird erstellt. Informationen, wie Sie das Profil oder die Richtlinieauf Geräte anwenden, finden Sie in Profil auf Geräten installieren (Seite 76) bzw. RichtlinieGeräten zuweisen (Seite 76).

14.2 Mit Apple Configurator erstellte iOS-GeräteprofileimportierenSie können mit dem Apple Configurator erstellte Profile in Sophos Mobile Control importieren.

Der Apple Configurator kann vom App Store heruntergeladen werden.

Hinweis: Geräteprofile werden auf dieselbe Weise importiert wie Provisionierungsprofile fürselbstentwickelte iOS-Apps. Wenn Sie eine Profildatei hochladen, analysiert Sophos MobileControl den Inhalt und verarbeitet die beiden Profilarten entsprechend.

1. Nachdem Sie ein Profil im Apple Configurator erstellt haben, exportieren Sie es(unverschlüsselt und unsigniert) und speichern Sie es auf Ihrem Computer.

2. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Profile, Richtlinien >Apple iOS.

3. Klicken Sie auf der Seite Profile und Richtlinien auf Erstellen > Profil importieren.

Die Seite Profil bearbeiten wird angezeigt.

4. Geben Sie in den jeweiligen Feldern einen Namen, eine Beschreibung und optional eineVersion für das neue Profil ein.

5. Klicken Sie auf Datei hochladen und navigieren Sie zu der Datei, die Sie auf IhremComputer gespeichert haben. Wählen Sie diese aus und klicken Sie auf Öffnen.

73

Administratorhilfe


Das Profil wird erstellt. Es kann auf Geräten installiert werden. Siehe Profil auf Geräteninstallieren (Seite 76).

14.3 Provisionierungsprofile für iOS-Apps importierenWenn Sie eigene iOS-Apps entwickeln, erstellen Sie Provisionierungsprofile, um Ihre Appsüber eine IPA-Datei installieren zu können anstatt über den App Store. Sie können dieseProvisionierungsprofile auf den Sophos Mobile Control Server hochladen, um sie anschließendan Ihre Geräte zu verteilen.

Details zu Provisionierungsprofilen finden Sie in der iOS Developer Library.

Hinweis: Sie importieren Provisionierungsprofile auf dieselbe Weise wie mit dem AppleConfigurator erstellte Geräteprofile. Wenn Sie eine Profildatei hochladen, analysiert SophosMobile Control den Inhalt und verarbeitet die beiden Profilarten entsprechend.

1. Nachdem Sie in Ihrer iOS-Entwicklungsumgebung ein Provisionierungsprofil erstellt haben,speichern Sie dieses auf Ihrem Computer.

2. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Profile, Richtlinien >Apple iOS.

3. Klicken Sie auf der Seite Profile und Richtlinien auf Erstellen > Profil importieren.

Die Seite Profil bearbeiten wird angezeigt.

4. Geben Sie in den jeweiligen Feldern einen Namen, eine Beschreibung und optional eineVersion für das neue Profil ein.

5. Klicken Sie auf Datei hochladen und navigieren Sie zu der Datei, die Sie auf IhremComputer gespeichert haben. Wählen Sie diese aus und klicken Sie auf Öffnen.


Das Profil wird erstellt. Es kann auf Geräten installiert werden. Siehe Profil auf Geräteninstallieren (Seite 76).

14.4 Komplexitätsregeln für Windows-Desktop-KennwörterBei Windows-Desktop-Geräten gelten feste Regeln für die Kennwortkomplexität (z.B. Länge,Anzahl von Groß- oder Kleinbuchstaben), die nicht über eine Richtlinie in Sophos MobileControl festgelegt werden können. Es gelten unterschiedlicher Regeln für lokale und fürMicrosoft-Konten.

Lokale Konten■ Kennwort darf nicht den Anmeldenamen oder mehr als zwei aufeinanderfolgende Zeichen

des Benutzernamens enthalten.

■ Kennwort muss sechs oder mehr Zeichen lang sein.

■ Kennwort muss Zeichen aus drei der folgenden vier Kategorien enthalten:

■ Großbuchstaben A-Z (Lateinisches Alphabet)

■ Kleinbuchstaben a-z (Lateinisches Alphabet)

■ Ziffern 0-9

■ Sonderzeichen (!, $, #, %, etc.)

74


Microsoft-Konten■ Kennwort muss acht oder mehr Zeichen lang sein.

■ Kennwort muss Zeichen aus zwei der folgenden vier Kategorien enthalten:



■ Ziffern 0-9

■ Sonderzeichen (!, $, #, %, etc.)

14.5 Unterstützung von Samsung KnoxSie können Ihre Samsung-Knox-Geräte mit Sophos Mobile Control verwalten.

Hinweis: Um Samsung-Knox-Geräte verwalten zu können, müssen Sie in Sophos MobileControl unter Systemeinstellungen einen von Samsung ausgestelltenKnox-Advanced-Lizenzschlüssel eingeben.

Information zur Konfiguration des Knox-Containers auf Samsung-Geräten finden Sie inKonfigurationen für Knox-Container-Profile (Seite 116).

Informationen zur Installation von Apps in einen Samsung-Knox-Container finden Sie in Apphinzufügen (Seite 180).

Zur Verwaltung Ihrer Samsung-Knox-Geräte können Sie Auftragspakete für die folgendenAktionen erstellen:

■ Knox-Container: sperren

■ Knox-Container: entsperren

■ Knox-Container: Kennwort zurücksetzen

■ Knox-Container: entfernen (entfernt den Container und alle zugehörigen Einstellungenvom Gerät)

Informationen zum Erstellen eines Auftragspakets für Samsung-Knox-Geräte finden Sie inAuftragspaket erstellen (Seite 172).

14.6 Platzhalter in Profilen und RichtlinienProfile und Richtlinien können Platzhalter enthalten, die zum Zeitpunkt der Auftragsausführungdurch die eigentlichen Daten ersetzt werden. Sie können folgende Platzhalter in Profilenverwenden:

■ Platzhalter für Benutzerinformationen:

■ %_EMAILADDRESS_%

■ %_USERNAME_%

■ Platzhalter für Geräteeigenschaften:

■ %_DEVPROP(Eigenschaftsname)_%

75

Administratorhilfe

Eigenschaftsname ist entweder eine Standardeigenschaft oder einebenutzerdefinierte Eigenschaft des Gerätes. Siehe BenutzerdefinierteGeräteeigenschaften (Seite 62).

■ Platzhalter für Kundeneigenschaften:

■ %_CUSTPROP(Eigenschaftsname)_%

Siehe Kundeneigenschaften definieren (Seite 24).

14.7 Profil auf Geräten installieren1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Profile, Richtlinien und

klicken Sie anschließend auf eine Geräteplattform, die Profile unterstützt:

■ Android■ Apple iOS

Die Seite Profile und Richtlinien für die ausgewählte Plattform wird angezeigt.

2. Klicken Sie auf das blaue Dreieck neben dem Profil, das installiert werden soll, und danachauf Installieren.

Die Seite Geräte auswählen wird angezeigt.


■ Wählen Sie einzelne Geräte aus, auf denen Sie die App installieren wollen.■ Klicken Sie auf Gerätegruppen auswählen und wählen Sie anschließend eine oder

mehrere Gerätegruppen aus.

4. Wenn Sie Ihre Auswahl getroffen haben, klicken Sie auf Weiter.

Die Seite Ausführungszeit wählen wird angezeigt.

5. Wählen Sie unter Datum die Option Sofort oder geben Sie ein Datum und eine Uhrzeitfür die Ausführung des Auftrags an.

6. Klicken Sie auf Fertigstellen.

Die Auftragsstatus Ansicht wird angezeigt.

Das Profil wird zum angegebenen Zeitpunkt auf den ausgewählten Geräten installiert.

Hinweis: Sie können ein Profil auch folgendermaßen installieren:

■ Erstellen Sie ein Auftragspaket, das einen Auftrag Profil installieren oder Richtliniezuweisen enthält und übertragen Sie dieses Auftragspaket an die gewünschten Geräteoder Gerätegruppen.

■ Öffnen Sie auf der Seite Gerät anzeigen des Gerätes die Registerkarte Profile und klickenSie auf Profil installieren.

14.8 Eine Richtlinie Geräten zuweisen1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Profile, Richtlinien und

klicken Sie anschließend auf eine Geräteplattform, die Richtlinien unterstützt:

■ Android

76


■ Apple iOS■ Windows Mobile■ Windows Desktop


2. Klicken Sie auf das blaue Dreieck neben der Richtlinie, die zugewiesen werden soll, unddanach auf Zuweisen.



■ Wählen Sie einzelne Geräte aus, denen die Richtlinie zugewiesen werden soll.■ Klicken Sie auf Gerätegruppen auswählen und wählen Sie eine oder mehrere

Gerätegruppen für die Zuweisung der Richtlinie aus.

4. Wenn Sie Ihre Auswahl getroffen haben, klicken Sie auf Fertigstellen.

Die Richtlinie wird den ausgewählten Geräten zugewiesen und ein Synchronisierungsvorgangwird ausgelöst.

Hinweis: Sie können eine Richtlinie auch folgendermaßen zuweisen:

■ Erstellen Sie ein Auftragspaket, das einen Auftrag Profil installieren oder Richtliniezuweisen enthält und übertragen Sie dieses Auftragspaket an die gewünschten Geräteoder Gerätegruppen.

■ Öffnen Sie auf der Seite Gerät anzeigen des Gerätes die Registerkarte Richtlinien undklicken Sie auf Richtlinie zuweisen.

Hinweis: Richtlinien können nicht von einem Gerät entfernt werden. Um eine Richtlinie zudeaktivieren, müssen Sie dem Gerät eine andere Richtlinie zuweisen.

14.9 Profil entfernenSie können ein Profil auf eine der beiden folgenden Weisen von einem Gerät entfernen:

■ Öffnen Sie auf der Seite Gerät anzeigen des Gerätes die Registerkarte Profile. KlickenSie auf das blaue Dreieck neben dem Profil, das Sie entfernen wollen, und klicken Sieanschließend auf Entfernen.

■ Erstellen Sie ein Auftragspaket mit einem Auftrag Profil entfernen und übertragen Siedieses an die gewünschten Geräte oder Gerätegruppen.

14.10 Profile und Richtlinien herunterladenSie können Profile und Richtlinien, die Sie in der Sophos Mobile Control Konsole konfigurierthaben, herunterladen. Dies ist zum Beispiel nützlich, wenn Sie die definierten Einstellungenan den Sophos Support weitergeben möchten.

1. Gehen Sie in der Menüleiste zu Profile, Richtlinien und klicken Sie auf eineGeräteplattform.


2. Klicken Sie auf den Namen des gewünschten Profils bzw. der gewünschten Richtlinie.

Die Seite Profil anzeigen bzw. die Seite Richtlinie anzeigen wird angezeigt.

3. Klicken Sie auf Herunterladen.

77

Administratorhilfe

Das Profil bzw. die Richtlinie wird folgendermaßen auf Ihrem lokalen Computer gespeichert:

■ iOS-Profile werden als XML-Plist-Dateien mit der Endung .mobileconfig gespeichert.

■ Android-Profile werden als XML-Dateien mit der Endung .smcprofile gespeichert.

■ Android- und iOS-Richtlinien werden als JSON-Dateien gespeichert.

■ Windows-Mobile-Richtlinien werden als XML-Dateien mit der Endung.windowsphoneconfig gespeichert.

■ Windows-Desktop-Richtlinien werden als XML-Dateien mit der Endung.windowsdesktopconfig gespeichert.

14.11 Konfigurationen für Android-GeräteprofileMit einem Android-Geräteprofil konfigurieren Sie verschiedene Bereiche von Android-Geräten,wie zum Beispiel Kennwortrichtlinien, Einschränkungen oder WLAN-Einstellungen.

Informationen zur Erstellung eines Geräteprofils finden Sie in Profil oder Richtlinie erstellen(Seite 72).

14.11.1 Konfiguration „Kennwortrichtlinien“ (Android-Geräteprofil)Mit der Konfiguration „Kennwortrichtlinien“ definieren Sie Kennwortregeln für Geräte.

Hinweis: Einige Einstellungen werden nur für bestimmte Betriebssystemversionen oderGerätemerkmale unterstützt. Solche Einschränkungen sind in Sophos Mobile Control durchblaue Label gekennzeichnet.

Kennworttyp

Wenn Sie die Konfiguration Kennwortrichtlinien auswählen, wird die Liste Kennworttypangezeigt. Wählen Sie in dieser Liste die Art des Kennworts, dass Sie definieren wollen:

BeschreibungEinstellung/Feld

Benutzer müssen eine Displaysperre einrichten.Für die Displaysperre sind die Typen Muster, PIN

Beliebig

und Passwort erlaubt. Weitere Einschränkungenbestehen nicht.

Benutzer müssen eine Displaysperre vom TypPasswort einrichten. Zahlen sind erlaubt, aber es

Alphabetisch

muss mindestens auch ein Buchstabe enthaltensein. Sie können eine Mindestzeichenanzahlfestlegen. Siehe die nachfolgende Tabelle.

Benutzer müssen eine Displaysperre vom Typ PINoder Passwort einrichten. Sie können eine

PIN

Mindestzeichenanzahl festlegen. Siehe dienachfolgende Tabelle.

78



Benutzer müssen eine Displaysperre vom TypPasswort einrichten. Das Kennwort muss sowohl

Alphanumerisch

Buchstaben als auch Ziffern enthalten. Sie könneneine Mindestzeichenanzahl festlegen. Siehe dienachfolgende Tabelle.


Komplex

Buchstaben als auch Ziffern enthalten. Sie könneneine Mindest-Gesamtzeichenanzahl und eineMindestanzahl an Ziffern, Klein- undGroßbuchstaben und Sonderzeichen festlegen.Siehe die nachfolgenden beiden Tabellen.

Wenn Sie Alphabetisch, PIN, Alphanumerisch oder Komplex auswählen, werden diefolgenden Felder angezeigt:


Die Mindestanzahl an Zeichen, die ein Kennwortenthalten muss.

Minimale Länge des Kennworts

Die Zeit (in Minuten), nach der das Gerät gesperrtwird, wenn es nicht benutzt wird. Das Gerät lässtsich durch Eingabe des Kennworts entsperren.

Inaktivitätsdauer bis zur Abfrage desKennworts

Fordert eine Änderung des Kennworts imangegebenen Intervall. Wertebereich: 0 (keineKennwortänderung erforderlich) bis 730 Tage.

Gültigkeitsdauer des Kennworts in Tagen

Die maximale Anzahl fehlgeschlagenerKennwort-Eingabeversuche, nach der das Gerätzurückgesetzt wird.

Maximale Anzahl fehlerhafter Loginversuche,bis das Gerät zurückgesetzt wird

Die Anzahl alter Kennwörter, die vom Systemgespeichert werden.Wenn ein Benutzer ein neues

Anzahl der letzten Kennwörter, die nichtbenutzt werden dürfen

Kennwort festlegt, wird es nicht akzeptiert, falls esmit einem bereits benutzten Kennwortübereinstimmt. Wertebereich: 1 bis 5 oder keinWert.

Wenn Sie Komplex auswählen, werden zusätzlich die folgenden Felder angezeigt:

79

Administratorhilfe


Die Mindestanzahl an Buchstaben, die einKennwort enthalten muss.

Minimale Anzahl von Buchstaben

Die Mindestanzahl Kleinbuchstaben, die einKennwort enthalten muss.

Minimale Anzahl von Kleinbuchstaben

Die Mindestanzahl Großbuchstaben, die einKennwort enthalten muss.

Minimale Anzahl von Großbuchstaben

Die Mindestanzahl nicht-alphabetischer Zeichen(zum Beispiel & oder !), die ein Kennwortmindestens enthalten muss.

Minimale Anzahl von Zeichen, die keinBuchstabe sind

Die Mindestanzahl an Ziffern, die ein Kennwortenthalten muss.

Minimale Anzahl von Ziffern

Die Mindestanzahl an Sonderzeichen (zum Beispiel!"§$%&/()=,.-;:_@<>) ein Kennwort mindestensenthalten muss.

Minimale Anzahl von Sonderzeichen

14.11.2 Konfiguration „Einschränkungen“ (Android-Geräteprofil)Mit der Konfiguration „Einschränkungen“ definieren Sie Einschränkungen für Geräte.

Sicherheit


Benutzer müssen ihre Geräte verschlüsseln.Verschlüsselung erzwingen

Nachdem das Profil auf einem Gerät installiert wurde,wird der Benutzer aufgefordert, die SD-Karte zuverschlüsseln.

Hinweis: Bei manchen Geräten kann der Benutzer denVerschlüsselungsvorgang abbrechen. In diesem Fall wird

Verschlüsselung von SD-Kartenerzwingen

er beim nächsten Einbinden der SD-Karte erneutaufgefordert.

Wenn das Kontrollkästchen deaktiviert ist, sind in denGeräteeinstellungen die Optionen zur schnellenVerschlüsselung nicht verfügbar.

Schnellverschlüsselung erlauben

80



Wenn das Kontrollkästchen deaktiviert ist, könnenBenutzer ihre Geräte nicht auf die Werkseinstellungenzurücksetzen.

Auf Werkseinstellungen zurücksetzenerlauben

Wenn das Kontrollkästchen deaktiviert ist, könnenBenutzer die Entwickleroptionen nicht ändern.

Entwickleroptionen erlauben

Wenn das Kontrollkästchen deaktiviert ist, könnenBenutzer ihre Geräte nicht im Safe-Modus starten.

Safe-Modus erlauben

Wenn das Kontrollkästchen deaktiviert ist, istUSB-Debugging deaktiviert.

Hinweis: Für Sony-Geräte mit Enterprise API Version 9oder höher gilt: Wenn das Kontrollkästchen

USB-Debuggen erlauben

USB-Debuggen erlauben deaktiviert ist, sind keineEntwickleroptionen verfügbar.

Wenn das Kontrollkästchen deaktiviert ist, sind alle Artenvon Firmware-Updates (wie Over-The-Air, Download etc.)deaktiviert.

Firmware-Wiederherstellung erlauben

Wenn das Kontrollkästchen deaktiviert ist, könnenBenutzer keine Systemsicherung durchführen. Google

Sicherung erlauben

Backup ist deaktiviert. Andere Backup-Verfahren (zumBeispiel Sophos Mobile Control Backups) sind weiterhinverfügbar.

Wenn das Kontrollkästchen deaktiviert ist, könnenBenutzer keine Geräteeinstellungen ändern. Je nachGerät wird das Symbol für die Einstellungen entfernt.

Einstellungen ändern erlauben

Wenn das Kontrollkästchen deaktiviert ist, könnenBenutzer die Zwischenablage nicht verwenden.

Hinweis: Diese Einstellung gilt nur für Geräte mit Android4.2.2 oder höher.

Zwischenablage erlauben

Benutzer können Inhalte aus einer App kopieren und ineine andere App einfügen.

Wenn das Kontrollkästchen deaktiviert ist, verwendet jedeApp eine eigene Zwischenablage.

Gemeinsame Zwischenablage aktivieren

Diese Einstellung ist nur verfügbar, wenn SieZwischenablage erlauben aktivieren.

Wenn das Kontrollkästchen deaktiviert ist, könnenBenutzer keine Aufnahmen des Bildschirminhalts machen.

Bildschirmaufnahme erlauben

81

Administratorhilfe


Wenn das Kontrollkästchen deaktiviert ist, könnenBenutzer in den Android-Entwickleroptionen keine Appfür simulierte Standorte einrichten.

Simulierte Standorte erlauben

Wenn das Kontrollkästchen deaktiviert ist, sind keineOver-The-Air Firmware-Updates möglich.

Over-The-Air Firmware-Aktualisierungerlauben

Wenn das Kontrollkästchen deaktiviert ist, könnenBenutzer keine Audioaufnahmen durchführen.

Audioaufnahmen erlauben

Wenn das Kontrollkästchen deaktiviert ist, könnenBenutzer keine Videoaufnahmen durchführen.

Videoaufnahmen erlauben

Fotoaufnahmen sowie das Abspielen von Videos sindmöglich.

Wenn das Kontrollkästchen deaktiviert ist, sind in denGeräteeinstellungen die Optionen zur Aktivierungssperrenicht verfügbar.

Aktivierungssperre erlauben

Wenn das Kontrollkästchen deaktiviert ist, ist dieSamsung-App „S Beam“ nicht verfügbar.

S Beam erlauben

Wenn das Kontrollkästchen deaktiviert ist, ist dieSamsung-App „S Voice“ nicht verfügbar.

S Voice erlauben

Wenn das Kontrollkästchen deaktiviert ist, ist die FunktionTeilen über deaktiviert.

„Teilen über“ erlauben

Konten


Wenn das Kontrollkästchen deaktiviert ist, kann auf denGeräten nur ein einzelnes Benutzerkonto eingerichtet

Mehrere Benutzerkonten erlauben

werden. Benutzer oder andere Apps können keineweiteren Benutzerkonten erstellen.

Wenn das Kontrollkästchen deaktiviert ist, könnenBenutzer keine E-Mail-Konten hinzufügen.

Dies betrifft nicht das Erstellen von Konten über einGeräteprofil.

Hinzufügen neuer E-Mail-Kontenerlauben

Wenn das Kontrollkästchen deaktiviert ist, könnenBenutzer nicht das Google-Konto von ihren Gerätenentfernen.

Entfernen des Google-Kontos erlauben

82



Wenn das Kontrollkästchen deaktiviert ist, werdenGoogle-Konten nicht automatisch synchronisiert. Benutzer

Auto-Sync für Google-Konten erlauben

können aber weiterhin eine manuelle Synchronisierungdurchführen, zum Beispiel über die App Gmail.

Netzwerk und Kommunikation


Wenn das Kontrollkästchen deaktiviert ist, könnenBenutzer nicht den Flugmodus aktivieren.

Flugmodus erlauben

Wenn das Kontrollkästchen deaktiviert ist, ist dieSynchronisierung bei Mobilfunk-Roaming deaktiviert.

Synchronisierung bei Roaming erlauben

Es sind nur Notrufe möglich. Sonstige Anrufe werdengesperrt.

Nur Notrufe erlauben

Bei Roaming ist die automatische Datensynchronisierungdeaktiviert. Dies gilt für alle eingerichteten Konten, wiezum Beispiel Google oder Exchange.

Bei Roaming nur manuellsynchronisieren

Benutzer können mobile Datenverbindungen nichtdeaktivieren.

Mobile Datenverbindung erzwingen

Wenn das Kontrollkästchen deaktiviert ist, könnenBenutzer keine SMS senden.

SMS erlauben

Wenn das Kontrollkästchen deaktiviert ist, sind beiRoaming keine mobilen Datenverbindungen möglich.

Datenverbindungen bei Roamingerlauben

Wenn das Kontrollkästchen deaktiviert ist, sind beiRoaming keine Sprachanrufe möglich.

Sprachanrufe bei Roaming erlauben

Wenn das Kontrollkästchen deaktiviert ist, könnenBenutzer kein Limit für mobile Daten einstellen.

Mobildatenlimit für Benutzer erlauben

Wenn das Kontrollkästchen deaktiviert ist, könnenBenutzer keine VPN-Verbindungen verwenden.

VPN erlauben

Wenn das Kontrollkästchen deaktiviert ist, ist keineDatenübertragung über „Wi-Fi Direct“ möglich.

Wi-Fi Direct erlauben

83

Administratorhilfe


Wenn das Kontrollkästchen deaktiviert ist, ist keineDatenübertragung über „Android Beam“ möglich. Diesbetrifft auch die Samsung-App „S Beam“.

Android Beam erlauben

Wenn das Kontrollkästchen deaktiviert ist, ist keineDatenübertragung über Miracast möglich.

Miracast-Richtlinie erlauben

Wenn das Kontrollkästchen deaktiviert ist, ist Bluetoothdeaktiviert.

Bluetooth erlauben

Wenn das Kontrollkästchen deaktiviert ist, ist NFC (NearField Communication) deaktiviert.

NFC erlauben

Wenn das Kontrollkästchen deaktiviert ist, sind keineWLAN-Verbindungen möglich.

WLAN erlauben

Tethering


Wenn das Kontrollkästchen deaktiviert ist, ist keinTethering möglich. Dies beinhaltet Tethering über WLAN,USB und Bluetooth.

Hinweis: Wenn das Kontrollkästchen deaktiviert ist,haben die Einstellungen WLAN-Tethering erlauben,

Tethering erlauben

USB-Tethering erlauben und Bluetooth-Tetheringerlauben keine Wirkung.

Wenn das Kontrollkästchen deaktiviert ist, ist keinWLAN-Tethering (WLAN-Hotspot) möglich.

WLAN-Tethering erlauben

Wenn das Kontrollkästchen deaktiviert ist, ist keinUSB-Tethering möglich.

USB-Tethering erlauben

Wenn das Kontrollkästchen deaktiviert ist, ist keinBluetooth-Tethering möglich.

Bluetooth-Tethering erlauben

Der Benutzer kann die Einstellungen des WLAN-Hotspotskonfigurieren.

Konfigurieren von WLAN-Tetheringerlauben

84


Hardware


Wenn das Kontrollkästchen deaktiviert ist, ist die Kameranicht verfügbar.

Kamera erlauben

Für Standortabfragen werden GPS-Informationenverwendet.

GPS für Standortabfragen erzwingen

Wenn das Kontrollkästchen deaktiviert ist, können in denGeräten keine SD-Karten verwendet werden.

SD-Karte erlauben

Wenn das Kontrollkästchen deaktiviert ist, könnenBenutzer keine Apps vom internen Speicher auf dieSD-Karte verschieben.

Verschieben von Apps auf SD-Karteerlauben

Wenn das Kontrollkästchen deaktiviert ist, kann nicht aufeine unverschlüsselte SD-Karte geschrieben werden.

Schreiben auf SD-Karte erlauben

Wenn das Kontrollkästchen deaktiviert ist, ist das Mikrofonnicht verfügbar.

Mikrofon erlauben

USB-Speichermodus und USB-Media-Player sind auf denGeräten verfügbar.

USB erlauben

Wenn das Kontrollkästchen deaktiviert ist, ist das MTPO(Media Transfer Protocol) nicht verfügbar. Da Android

USB-Media-Player erlauben

MTP für die Datenübertragung per USB verwendet, istauch keine Datenübertragungen per USB möglich.

Anwendungen


Wenn das Kontrollkästchen deaktiviert ist, könnenBenutzer keine Apps installieren.

Installation von Apps erlauben

Wenn das Kontrollkästchen deaktiviert ist, könnenBenutzer keine Apps deinstallieren.

Deinstallation von Apps erlauben

Wenn das Kontrollkästchen deaktiviert ist, könnenBenutzer nur signierte APK-Dateien installieren.

Installation unsignierter Apps erlauben

85

Administratorhilfe


Wenn das Kontrollkästchen deaktiviert ist, ist die AppGoogle Play Store nicht verfügbar.

Hinweis: Diese Einstellung gilt nur für Geräte mit Android4.2.2 oder höher.

Play Store erlauben

Wenn das Kontrollkästchen deaktiviert ist, könnenBenutzer Apps nur über die App Google Play Storeinstallieren.

Apps aus unbekannten Quellen erlauben

Wenn das Kontrollkästchen deaktiviert ist, ist der nativeBrowser nicht verfügbar. Browser-Apps von Drittanbieternsind nicht betroffen.

Nativen Browser erlauben

Wenn das Kontrollkästchen deaktiviert ist, können Appskeine Absturzberichte senden.

App-Absturzberichte erlauben

Wenn das Kontrollkästchen deaktiviert ist, könnenBenutzer nicht den Display-Hintergrund ändern.

Hintergrundbild-Wechsel erlauben

Wenn das Kontrollkästchen deaktiviert ist, ist die Kamerabei aktiver Displaysperre nicht verfügbar.

Kamera auf Sperrbildschirm erlauben

Wenn das Kontrollkästchen deaktiviert ist, sind bei aktiverDisplaysperre keine Widgets verfügbar.

Widgets auf Sperrbildschirm erlauben

Auf einem Samsung-Knox-Gerät werden standardmäßigKontaktinformationen angezeigt, wenn der Benutzer im

Knox-Kontaktinformationen für privateAnrufe erlauben

privaten Modus einen Anruf von einem Knox-Kontakterhält.

Wenn das Kontrollkästchen deaktiviert ist, werden imprivaten Modus keine Knox-Kontaktinformationenangezeigt.

Der Benutzer kann für den nativen Browser dieAutovervollständigung aktivieren. Wenn die

Autovervollständigung im Browsererlauben

Autovervollständigung aktiviert ist, können WebseitenVorschläge für das Ausfüllen von Formularen machen.

Wenn das Kontrollkästchen deaktiviert ist, ist dieAutovervollständigung deaktiviert und die entsprechendeBrowser-Einstellung ist nicht verfügbar.

Der Benutzer kann für den nativen Browser Cookiesaktivieren.Wenn Cookies aktiviert sind, können WebseitenCookies auf dem Gerät speichern.

Wenn das Kontrollkästchen deaktiviert ist, sind Cookiesdeaktiviert und die entsprechende Browser-Einstellungist nicht verfügbar.

Cookies im Browser erlauben

86



Der Benutzer kann für den nativen Browser JavaScriptaktivieren. Wenn JavaScript aktiviert ist, könnenWebseiten JavaScript-Code auf dem Gerät ausführen.

Wenn das Kontrollkästchen deaktiviert ist, ist JavaScriptdeaktiviert und die entsprechende Browser-Einstellungist nicht verfügbar.

JavaScript im Browser erlauben

Der Benutzer kann für den nativen Browser Popupsaktivieren.Wenn Popups aktiviert sind, können Webseitenneue Browserfenster öffnen.

Wenn das Kontrollkästchen deaktiviert ist, sind Popupsdeaktiviert und die entsprechende Browser-Einstellungist nicht verfügbar.

Popups im Browser erlauben

Der Benutzer kann Datums- und Zeiteinstellungen ändern.Ändern von Datums- undZeiteinstellungen erlauben

Sie können entweder Erlaubte Apps oder UnzulässigeApps konfigurieren. Wählen Sie zunächst aus der ersten

Erlaubte Apps / Unzulässige Apps

Liste die gewünschte Option aus, und wählen Sieanschließend aus der zweiten Liste die App-Gruppe aus,welche die erlaubten oder unzulässigen Apps enthält.

Diese Einschränkungen betreffen nicht dieApp-Installationen, die vom Sophos Mobile Control Serverinitiiert werden.

Informationen zur Erstellung von App-Gruppen finden Siein App-Gruppen (Seite 191).

14.11.3 Konfiguration „Knox-Premium-Einschränkungen“(Android-Geräteprofil)Mit der Konfiguration „Knox-Premium-Einschränkungen“ definieren Sie Einschränkungen fürSamsung-Knox-Geräte. Diese Einschränkungen gelten für das Gerät, nicht für denKnox-Container.

BeschreibungOption

Das Gerät prüft automatisch, ob Firmware-Updatesverfügbar sind. Benutzer können dies nicht in denGeräteeinstellungen ändern.

Optionen für automatische Firmware-Updateserlauben

Beim Starten des Gerätes wird die Datenpartitionnur entschlüsselt, wenn Binary und Kernel offizielle

ODE-Trusted-Boot-Verifizierung aktivieren

Versionen des Geräteherstellers sind, d.h., wenndas Gerät nicht „rooted“ ist.

87

Administratorhilfe

BeschreibungOption

Wenn das Kontrollkästchen deaktiviert ist, wirdbeim Starten die Datenpartition immerentschlüsselt.

Es können keine Apps installiert werden, dieGeräteadministrator-Rechte benötigen. Dies betrifft

Installation einer anderen Administrations-Appverhindern

nicht die Apps, die von Sophos Mobile Controlinstalliert werden.

Geräteadministrator-Rechte für Apps können nichtaktiviert werden.

Aktivierung einer anderen Administrations-Appverhindern

Auf den Geräten wird der Common-Criteria-Modus(CC Mode) aktiviert. Dies stellt sicher, dass die

Common-Criteria-Modus erlauben

Geräte die im Mobile Device FundamentalsProtection Profile (MDFPP) festgelegtenSicherheitseinstellungen erfüllen.

Hinweis: Der CC Mode wird nur angewendet,wenn folgende Bedingungen erfüllt sind:

Die Geräteverschlüsselung ist aktiviert.

Die Schnellverschlüsselung ist deaktiviert.

Die Verschlüsselung des externen Speichersist aktiviert.

Eine maximale Anzahl fehlerhafterAnmeldeversuche ist festgelegt, nach der dasGerät zurückgesetzt wird.

Der Zertifikat-Widerruf ist aktiviert.

Kennworthistorie (d.h., Verwendung desselbenKennworts nach Ablauf der Gültigkeit) istdeaktiviert.

14.11.4 Konfiguration „App Protection“ (Android-Geräteprofil)Mit der Konfiguration „App Protection“ definieren Sie Anforderungen an Kennwörter, um Appszu schützen.

Wenn App Protection aktiv ist, muss der Benutzer ein Kennwort definieren, wenn er einegeschützte App zum ersten Mal starten. Nach einem fehlgeschlagenen Anmeldeversuch kannder nächste Versuch erst nach einer Wartezeit erfolgen.

Wenn App Protection auf einem Gerät aktiv ist, steht im Menü Aktionen der Seite Gerätanzeigen das Kommando App-Protection-Kennwort zurücksetzen zur Verfügung. Außerdemkann der Benutzer das Kennwort für App Protection im Self Service Portal zurücksetzen.

88



Die minimalen Anforderungen an das vomBenutzer zu definierende Kennwort, zum Beispiel6-Zeichen Kennwort.

Komplexität des Kennworts

Nach Ablauf der Toleranzfrist können Apps nurnoch durch Eingabe eines Kennworts entsperrtwerden.

Gültigkeitsdauer in Minuten

Wählen Sie die App-Gruppe aus, welche die Appsenthält, die mit einem Kennwort geschützt werden.

Informationen zur Erstellung von App-Gruppenfinden Sie in App-Gruppen (Seite 191).

App-Gruppe

14.11.5 Konfiguration „App Control“ (Android-Geräteprofil)Mit der Konfiguration „App Control“ legen Sie fest, welche Apps auf einem Gerät nicht gestartetwerden dürfen. Hiermit können Sie zum Beispiel unerwünschte Apps blockieren, die vomGerätehersteller vorinstalliert worden sind und nicht deinstalliert werden können.


Wählen Sie die App-Gruppe aus, welche dieblockierten Apps enthält.


App-Gruppe

14.11.6 Konfiguration „Exchange ActiveSync“ (Android-Geräteprofil)Mit der Konfiguration „Exchange ActiveSync“ definieren Sie Benutzereinstellungen für IhrenMicrosoft Exchange Server.


Der Kontoname.Kontoname

Die Adresse des Microsoft Exchange Servers.

Hinweis: Wenn Sie den SMC-EAS-Proxyverwenden, geben Sie die URL desSMC-Proxy-Servers ein.

Exchange-ActiveSync-Host

Die Domäne für dieses Konto.Domäne

89

Administratorhilfe


Der Benutzername für dieses Konto.

Wenn Sie die Variable %_USERNAME_% verwenden,wird diese durch den jeweiligen Benutzernamenersetzt.

Benutzer

Die E-Mail-Adresse des Kontos.

Wenn Sie die Variable %_EMAILADDRESS_%verwenden, wird diese durch die jeweiligeE-Mail-Adresse ersetzt.

E-Mail-Adresse

Ein Absendername für das Konto.


Absender

Das Kennwort für dieses Konto.

Wenn Sie dieses Feld leer lassen, müssen Benutzerdas Kennwort auf ihren Geräten eingeben.

Kennwort

Der Zeitraum, für den E-Mails synchronisiert werden.

Wenn Sie einen Zeitraum angeben, werden nurE-Mail-Nachrichten innerhalb dieses Zeitraums mitdem Posteingang auf den Geräten synchronisiert.

Synchronisierungszeitraum

Der zeitliche Abstand zwischen zweiSynchronisierungsvorgängen.

Synchronisierungsintervall

Die gesamte Kommunikation erfolgt über SSL(Secure Socket Layer).

Wir empfehlen, dieses Kontrollkästchen zuaktivieren.

SSL

Das Konto wird als Standard-E-Mail-Kontoverwendet.

Standardkonto

Für die Kommunikation mit dem E-Mail-Server sindalle Zertifikate zugelassen.

Alle Zertifikate erlauben

Das Client-Zertifikat für die Verbindung zuActiveSync.

Client-Zertifikat

E-Mail-Weiterleitung erlauben.E-Mail-Weiterleitung erlauben

E-Mails im HTML-Format sind zugelassen.HTML-Format erlauben

Die maximale Größe einer einzelnenE-Mail-Nachricht (1, 3, 5, 10, Unbegrenzt).

Max. Größe von Anhängen in MB

90



Die zu synchronisierenden Inhalte.Inhalte

Hinweis:

Bei Sony-Geräten mit Enterprise API Version 6.x oder niedriger ist es wichtig, dass dieBenutzerinformation des Exchange-ActiveSync-Kontos mit dem Benutzer übereinstimmt, derdem Gerät zugewiesen ist.

Auf diesen Geräten ist der SMC-Client nicht in der Lage, die ActiveSync-ID an den Server zuschicken.Wenn ein Gerät zum ersten Mal eine Anfrage an den EAS-Proxy von Sophos MobileControl sendet, ist die vom E-Mail-Client übermittelte ActiveSync-ID in Sophos Mobile Controlnicht bekannt. Um die Benutzerdaten zu verifizieren, sucht der EAS-Proxy in Sophos MobileControl nach einem Gerät mit unbekannter ActiveSync-ID, dem ein Benutzer zugeordnet ist,der mit dem vom E-Mail-Client übermittelten Benutzer übereinstimmt. Wird ein solches Gerätgefunden, wird ihm die ActiveSync-ID zugewiesen und die E-Mail-Anfrage wird an denExchange-Server weitergeleitet. Andernfalls wird die Anfrage abgewiesen.

Einzelheiten hierzu finden Sie im Sophos Knowledgebase-Artikel 121360.

14.11.7 Konfiguration „WLAN“ (Android-Geräteprofil)Mit der Konfiguration „WLAN“ legen Sie Einstellungen für die Verbindung mitWLAN-Netzwerken fest.


Die ID des WLAN-Netzwerks.SSID

Der Sicherheitstyp des WLAN-Netzwerks:Sicherheitstyp

Keine

WEP

WPA/WPA2

EAP/PEAP

EAP/TLS

EAP/TTLS

Wenn Sie WEP oder WPA/WPA2 auswählen, wirdein Feld Kennwort angezeigt. Geben Sie dasrelevante Kennwort ein.

Wenn Sie eine der EAP-Einstellungen auswählen,werden die Felder Identität, Anonyme Identitätund Kennwort angezeigt. Geben Sie dieerforderlichen EAP-Informationen ein.

Wenn Sie EAP/PEAP oder EAP/TTLS auswählen,wird zusätzlich das Feld Phase 2-Autorisierungangezeigt. Wählen Sie die Art der Autorisierung:

PAP

CHAP

91

Administratorhilfe

https://www.sophos.com/de-de/support/knowledgebase/121360.aspx


MSCHAP

MSCHAPv2

14.11.8 Konfiguration „VPN“ (Android-Geräteprofil)Mit der Konfiguration „VPN“ definieren Sie VPN-Einstellungen für Netzwerkverbindungen.


Der Name der Verbindung, der auf dem Gerät angezeigt wird.Verbindungsname

Der Host-Name oder die IP-Adresse des Servers.Server

Der Typ der VPN-Verbindung:Verbindungstyp

L2TP/IPsec (PSK)

Wenn Sie diesen Typ auswählen, werden die Felder Benutzer, Kennwortund L2TP/IPsec (PSK) angezeigt. Geben Sie den Benutzer und dasKennwort ein. Geben Sie im Feld L2TP/IPsec (PSK) den Pre-shared Keyfür die Authentisierung ein.

L2TP/IPsec (Zertifikat)

Wenn Sie diesen Typ auswählen, werden die Felder Client-Zertifikat,Root-Zertifikat, Benutzer und Kennwort angezeigt. Wählen Sie in denFeldern Client-Zertifikat und Root-Zertifikat die relevanten Zertifikate.Geben Sie außerdem den Benutzer und das zugehörige Kennwort ein.

14.11.9 Konfiguration „Root-Zertifikat“ (Android-Geräteprofil)Mit der Konfiguration „Root-Zertifikat“ installieren Sie ein Root-Zertifikat auf Geräten.

Navigieren Sie im Feld Datei zu dem relevanten Zertifikat und klicken Sie auf Datei hochladen.Der Name des Zertifikats wird im Feld Zertifikatsname angezeigt.

Hinweis: Das hier hochgeladene Zertifikat ist nur für dieses Profil verfügbar. Wenn SieZertifikate in anderen Profilen benötigen, müssen Sie diese erneut hochladen.

14.11.10 Konfiguration „Client-Zertifikat“ (Android-Geräteprofil)Mit der Konfiguration „Client-Zertifikat“ installieren Sie ein Client-Zertifikat auf Android-Geräten.

Navigieren Sie im Feld Datei zu dem relevanten Zertifikat und klicken Sie auf Datei hochladen.Der Name des Zertifikats wird im Feld Zertifikatsname angezeigt. Geben Sie das Kennwortfür das ausgewählte Zertifikat ein.


92


14.11.11 Konfiguration „SCEP“ (Android-Geräteprofil)Mit der Konfiguration „SCEP“ ermöglichen Sie es Geräten, mittels SCEP (Simple CertificateEnrollment Protocol) Zertifikate von einer CA (Certificate Authority) anzufordern.

Hinweis: Bevor Sie eine Konfiguration vom Typ SCEP hinzufügen können, müssen Siezunächst mit einer Konfiguration vom Typ Root-Zertifikat das CA-Zertifikat des SCEP-Servershochladen.


Die Webadresse des CA-Servers.

Verwenden Sie die Variable %_SCEPPROXYURL_%,um auf die Server-URL zu verweisen, die auf der

URL

Registerkarte SCEP der SeiteSystemeinstellungen konfiguriert ist.

Der Name, unter dem das Zertifikat inAuswahldialogen angezeigt wird.

Dies sollte ein einprägsamer Name sein, über dendas Zertifikat identifiziert werden kann. Zum

Aliasname

Beispiel können Sie denselben Wert wie für dasFeld Betreff verwenden, nur ohne den VorsatzCN=.

Der Name des Zertifikatempfängers (Entity), zumBeispiel eine Person oder ein Gerät.

Sie können Platzhalter für Benutzerdaten undGeräteeigenschaften verwenden.

Betreff

Der eingegebene Wert - nach Ersetzung derPlatzhalter -, muss ein gültiger Namenswert gemäßX.500-Standard sein.

Zum Beispiel:

Geben Sie CN=%_USERNAME_% ein, um einenBenutzer zu spezifizieren.

Geben SieCN=%_DEVPROP(serial_number)_% ein,um ein Gerät zu spezifizieren.

Einzelheiten zu den verfügbaren Platzhalternfinden Sie in Platzhalter in Profilen und Richtlinien(Seite 75).

Konfigurieren Sie bei Bedarf einen SubjectAlternative Name (SAN). Wählen Sie einen derverfügbaren SAN-Typen aus.

Typ des Subject Alternative Name (SAN)

Falls Sie einen SAN-Typ ausgewählt haben, gebenSie den SAN-Wert ein.

Wert des Subject Alternative Name (SAN)

NT-Benutzeranmeldename

93

Administratorhilfe


Die Webadresse, unter der dasChallenge-Kennwort vom SCEP-Serverangefordert wird.

Verwenden Sie die Variable %_CACHALLENGE_%,um auf die Challenge-URL zu verweisen, die auf

Challenge

der Registerkarte SCEP der SeiteSystemeinstellungen konfiguriert ist.

Das CA-Zertifikat.

Wählen Sie das Zertifikat aus der Liste aus. DieListe enthält alle Zertifikate aus Konfigurationenvom Typ Root-Zertifikat im aktuellen Profil.

Root-Zertifikat

Die Größe des öffentlichen Schlüssels imausgestellten Zertifikat.

Stellen Sie sicher, dass der Wert mit dem Wertübereinstimmt, der auf dem SCEP-Serverkonfiguriert ist.

Schlüsselgröße

Wenn Sie dieses Kontrollkästchen aktivieren, kannder öffentliche Schlüssel als digitale Signaturverwendet werden.

Als digitale Signatur verwenden

Wenn Sie dieses Kontrollkästchen aktivieren, kannder öffentliche Schlüssel zur Datenverschlüsselungverwendet werden.

Für Verschlüsselung verwenden

14.11.12 Konfiguration „Zugangspunkt (APN)“ (Android-Geräteprofil)Mit der Konfiguration „Zugangspunkt (APN)“ konfigurieren Sie einen Zugangspunkt (AccessPoint Name) für Mobilgeräte. Eine APN-Konfiguration legt fest, wie sich Geräte mit einemMobilfunknetz verbinden.

Wichtig: Wir empfehlen, die benötigten Einstellungen von Ihrem Netzbetreiber zu erfragen.Wenn Sie Als Standard-Zugangspunkt verwenden auswählen und die Einstellungenfehlerhaft sind, kann das Gerät keine mobilen Daten empfangen.

Hinweis: Außer dem Feld APN sind alle Einstellungen optional. Sie sollten nur jeneEinstellungen konfigurieren, die von Ihrem Mobilfunkbetreiber benötigt werden.


Der Zugangspunkt, den das Gerät angibt, wennes sich mit dem Mobilfunknetz verbindet.

Dies muss ein vom Netzbetreiber akzeptierterZugangspunkt sein. Andernfalls kann dieVerbindung nicht aufgebaut werden.

APN

94



Ein optionaler Name, der auf dem Gerät zusätzlichzum APN angezeigt wird.

Benutzerfreundlicher Name

Adresse und Portnummer des HTTP-Servers, derfür Web-Datenverkehr verwendet wird.

Proxy-Server und -Port

Ein Benutzername und Kennwort für dieVerbindung mit dem Zugangspunkt.

Benutzername, Benutzer-Kennwort

Der WAP-Gateway-Server.Server

Das Multimedia Messaging Service Center(MMSC).

MMSC

Adresse und Portnummer des HTTP-Servers, derfür die Kommunikation mit dem MMSC verwendetwird.

MMS-Proxy-Server und -Port

Mit MCC und MNC legen Sie einen Netzbetreiberfest.

Der Zugangspunkt wird nur für diesenNetzbetreiber verwendet.

Mobile Country Code (MCC), Mobile NetworkCode (MNC)

Die Authentifizierungsmethode fürPPP-Verbindungen.

Authentifizierung-Typ

Die Datenarten für diesen APN.

Um den APN für alle Datenarten zu verwenden,tragen Sie * ein oder lassen das Feld leer.

APN-Typ

Die vom Netzbetreiber verwendete Radio AccessTechnology (RAT).

Träger

Das vom Netzbetreiber unterstützteNetzwerkprotokoll.

Protokoll

Das vom Netzbetreiber unterstützteNetzwerkprotokoll bei Roaming in fremdenMobilfunknetzen.

Roaming-Protokoll

Wählen Sie diese Option aus, um den APN alsStandard zu verwenden.

Wenn Sie mehrere Konfigurationen Zugangspunkt(APN) verwenden, dürfen Sie diese Option nur ineiner Konfiguration auswählen.

Als Standard-Zugangspunkt verwenden

95

Administratorhilfe

14.11.13 Konfiguration „Kiosk-Modus“ (Android-Geräteprofil)Mit der Konfiguration „Kiosk-Modus“ definieren Sie Einschränkungen für Geräte, um einenKiosk-Modus zu realisieren.

Um eine App festzulegen, die ausgeführt wird, wenn das Profil auf ein Gerät übertragen wird,klicken Sie auf Quelle auswählen und gehen Sie anschließend auf eine der folgenden Weisenvor:

■ Wählen Sie Benutzerdefiniert aus und geben Sie eine App-Kennung ein.

■ Wählen Sie App-Liste aus und wählen Sie anschließend in der Liste Kennung eine Appaus. Die Liste enthält alle Apps, die Sie auf der Seite Apps konfiguriert haben. Siehe Apphinzufügen (Seite 180).

■ Wählen Sie Keine aus, um keine festgelegte App im Kiosk-Modus auszuführen. DieKiosk-Modus-Einschränkungen werden auf das Gerät übertragen, aber es wird keine Appgestartet.

Unter Optionen deaktivieren Sie Hardware- und Software-Funktionen, die im Kiosk-Modusdeaktiviert sein sollen.

Wenn das Profil auf ein Gerät übertragen wird, wird die festgelegte App gestartet. Der Benutzerkann jedoch die App verlassen und das Gerät normal verwenden, falls Sie keine derverfügbaren Hardware- oder Software-Funktionen deaktiviert haben. Um tatsächlich einenKiosk-Modus zu realisieren, müssen Sie mindestens die Kontrollkästchen SchaltflächeStartbildschirm erlauben und Task-Manager erlauben deaktivieren.

Hinweis:

■ Die festgelegte App muss auf dem Gerät vorhanden sein. Ist dies nicht der Fall, verbleibendie zu übertragenden Aufträge im Status Unvollständig, bis die App installiert worden ist.Um die App zu installieren, erstellen Sie zum Beispiel ein Auftragspaket mit einem AuftragApp installieren und übertragen dieses an Ihre Geräte.

■ Wenn Sie für Samsung-Knox-Geräte eine App angeben wollen, muss dies eine LauncherApp sein. Launcher Apps stellen einen alternativen Android-Desktop bereit.

■ Für Sony-Geräte mit Enterprise API Version 9 oder niedriger gilt: Wenn Sie eines derKontrollkästchen Lautstärke erhöhen erlauben, Lautstärke verringern erlauben oderStummschalten erlauben deaktivieren, werden alle Gerätetasten zum Steuern derLautstärke deaktiviert.

14.12 Konfigurationen für Android-for-Work-RichtlinienMit einer Android-for-Work-Richtlinie konfigurieren Sie das Arbeitsprofil eines Gerätes.

Informationen zur Erstellung einer Android-for-Work-Richtlinie finden Sie in Profil oder Richtlinieerstellen (Seite 72).

14.12.1 Konfiguration „Kennwortrichtlinien“ (Android-for-Work-Richtlinie)Mit der Konfiguration „Kennwortrichtlinien“ definieren Sie Kennwortregeln für das Arbeitsprofil.

Hinweis: Einige Einstellungen werden nur für bestimmte Betriebssystemversionen oderGerätemerkmale unterstützt. Solche Einschränkungen sind in Sophos Mobile Control durchblaue Label gekennzeichnet.

96


Kennworttyp




Beliebig



Alphabetisch



PIN



Alphanumerisch



Komplex








97

Administratorhilfe























14.12.2 Konfiguration „Einschränkungen“ (Android-for-Work-Richtlinie)Mit der Konfiguration „Einschränkungen“ konfigurieren Sie Einschränkungen und zugehörigeEinstellungen für Android for Work.

98


Sicherheit


Benutzer können den Bildschirminhalt von beruflichenApps aufnehmen.


Benutzer können im Arbeitsprofil Zertifikate installierenoder deinstallieren.

Benutzer dürfen Anmeldeinformationbearbeiten

Benutzer können Text aus einer beruflichen App kopierenund in eine private App einfügen.

Das Einfügen von Text aus einer privaten App in eineberufliche App ist immer möglich.

Arbeits-Zwischenablage darf in privateApps kopiert werden

Benutzer können die Android-Funktion „Smart Lock“aktivieren, durch die das Gerät in bestimmten Situationenautomatisch entsperrt wird.

Smart Lock erlauben

Berufliche Apps können auf die Ortungsdienste desGerätes zugreifen.

Wenn das Kontrollkästchen deaktiviert ist, könnenberufliche Apps selbst dann nicht auf Ortungsdienste

„Standort teilen“ erlauben

zugreifen, wenn der Benutzer die Einstellung „Standortteilen“ aktiviert hat.

Internet-Links, auf die der Benutzer in einer beruflichenApp tippt, können in einer privaten App geöffnet werden.

Internet-Links dürfen in privaten Appsgeöffnet werden

Benutzer können die Debugging-Funktionen in denAndroid-Entwicklereinstellungen aktivieren.

Debuggen erlauben

Benutzer können das Gerät mit ihrem Fingerabdruckentsperren.

Entsperren mit Fingerabdruck erlauben

Konten


Benutzer können im Arbeitsprofil Konten hinzufügen oderentfernen, zum Beispiel App-Konten.

Benutzer können in keinem Fall das Google-Konto ausdem Arbeitsprofil entfernen.

Kontenverwaltung erlauben

99

Administratorhilfe

Netzwerk und Kommunikation


Benutzer können Android Beam (NFC-Datenübertragung)verwenden, um Daten aus beruflichen Apps zu senden.

Android Beam erlauben

Benutzer können für berufliche Apps VPN-Verbindungenverwenden.

VPN erlauben

Hardware


Berufliche Apps können auf die Kamera zugreifen.Kamera erlauben

Anwendungen


Benutzer können berufliche Apps deinstallieren.Deinstallation von Apps erlauben

Wenn das Kontrollkästchen deaktiviert ist, könnenBenutzer berufliche Apps nur aus dem Google Play Store

Installation von Apps aus unbekanntenQuellen erlauben

installieren, nicht aus unbekannten Quellen oder überAndroid Debug Bridge (ADB).

Wenn das Kontrollkästchen deaktiviert ist, könnenBenutzer für berufliche Apps folgende Aufgaben nichtausführen:

App-Verwaltung erlauben

Apps deinstallieren

Apps deaktivieren

Apps beenden

App-Cache leeren

App-Daten löschen

Einstellung Standardmäßig öffnen löschen

100



Ein unternehmensspezifischer Hinweis, der dem Benutzerbei Funktionen angezeigt wird, die Sie deaktiviert haben.

Hinweis: Wenn der Text länger als 200 Zeichen ist, wirder möglicherweise abgeschnitten.

Hinweis (kurz)

Zusätzlicher Hinweistext. Der Text wird angezeigt, wennder Benutzer bei Anzeige des kurzen Hinweistextes aufWeitere Informationen tippt.

Hinweis: Dieser Text wird außerdem auf der SeiteGeräteadministrator für die App Sophos Mobile Controlangezeigt.

Hinweis (lang)

14.12.3 Konfiguration „App Protection“ (Android-for-Work-Richtlinie)Mit der Konfiguration „App Protection“ definieren Sie Anforderungen an Kennwörter, mit denenberufliche Apps geschützt werden, d.h. Apps, die im Arbeitsprofil installiert sind.

Wenn App Protection aktiv ist, muss der Benutzer ein Kennwort definieren, wenn er einegeschützte App zum ersten Mal starten. Nach einem fehlgeschlagenen Anmeldeversuch kannder nächste Versuch erst nach einer Wartezeit erfolgen.

Wenn App Protection auf einem Gerät aktiv ist, steht im Menü Aktionen der Seite Gerätanzeigen das Kommando App-Protection-Kennwort zurücksetzen zur Verfügung. Außerdemkann der Benutzer das Kennwort für App Protection im Self Service Portal zurücksetzen.


Die minimalen Anforderungen an das vomBenutzer zu definierende Kennwort, zum Beispiel6-Zeichen Kennwort.


Nach Ablauf der Toleranzfrist können Apps nurnoch durch Eingabe eines Kennworts entsperrtwerden.


Wählen Sie die App-Gruppe aus, welche die Appsenthält, die mit einem Kennwort geschützt werden.


App-Gruppe

14.12.4 Konfiguration „App Control“ (Android-for-Work-Richtlinie)Mit der Konfiguration „App Control“ legen Sie fest, welche beruflichen Apps auf einem Gerätnicht gestartet werden dürfen.

101

Administratorhilfe


Wählen Sie die App-Gruppe aus, welche dieblockierten Apps enthält.


App-Gruppe

14.12.5 Konfiguration „App-Berechtigungen“ (Android-for-Work-Richtlinie)Mit der Konfiguration „App-Berechtigungen“ legen Sie fest, was passiert, wenn eine beruflicheApp während der Ausführung eine Berechtigung anfordert.


Die Standard-Reaktion auf zukünftigeBerechtigungsanforderungen von beruflichen Appswährend der Ausführung:

Standard-Einstellungen fürBerechtigungen

Abfragen: Apps fordern den Benutzer auf, dieBerechtigung zu gewähren.

Auto-Bestätigen: Alle Berechtigungsanforderungenwährend der App-Ausführung werden automatischgewährt.

Auto-Verweigern: Alle Berechtigungsanforderungenwährend der App-Ausführung werden automatischverweigert.

Der Benutzer kann die Berechtigung nicht nachträglichändern.

Sie können bestimmte Berechtigungen für einzelne Appsgewähren oder verweigern. Klicken Sie auf Hinzufügen

App-spezifische Berechtigungsanfragenzur Laufzeit

und konfigurieren Sie anschließend die Einstellungen füreine App:

Geben Sie im Feld Kennung die interne App-Kennungein.

Wählen Sie für jede Berechtigung das gewünschteVerhalten aus:

Auswählbar: Der Benutzer kann die Berechtigunggewähren oder verweigern.

Zugelassen: Die Berechtigung wird zugelassen undkann vom Benutzer nicht verweigert werden.

Verweigert: Die Berechtigung wird verweigert undkann vom Benutzer nicht zugelassen werden.

102


14.12.6 Konfiguration „Exchange ActiveSync“ (Android-for-Work-Richtlinie)Mit der Konfiguration „Exchange ActiveSync“ definieren Sie Benutzereinstellungen für IhrenMicrosoft Exchange Server. Diese Einstellungen gelten für die App Gmail im Arbeitsprofil.









Benutzer



E-Mail-Adresse



Absender



Kennwort






SSL



103

Administratorhilfe


Das Client-Zertifikat für die Verbindung zuActiveSync.

Client-Zertifikat

14.12.7 Konfiguration „Root-Zertifikat“ (Android-for-Work-Richtlinie)Mit der Konfiguration „Root-Zertifikat“ installieren Sie ein Root-Zertifikat auf Geräten. DasZertifikat steht beruflichen Apps zur Verfügung, d.h. Apps, die im Arbeitsprofil installiert sind.



14.12.8 Konfiguration „Client-Zertifikat“ (Android-for-Work-Richtlinie)Mit der Konfiguration „Client-Zertifikat“ installieren Sie ein Client-Zertifikat auf Android-Geräten.Das Zertifikat steht beruflichen Apps zur Verfügung, d.h. Apps, die im Arbeitsprofil installiertsind.



14.12.9 Konfiguration „SCEP“ (Android-for-Work-Richtlinie)Mit der Konfiguration „SCEP“ ermöglichen Sie es Geräten, mittels SCEP (Simple CertificateEnrollment Protocol) Zertifikate von einer CA (Certificate Authority) anzufordern. DieseZertifikate stehen beruflichen Apps zur Verfügung, d.h. Apps, die im Arbeitsprofil installiertsind.





URL




Aliasname

104






Betreff


Zum Beispiel:











Challenge


Das CA-Zertifikat.


Root-Zertifikat



Schlüsselgröße

105

Administratorhilfe






14.13 Konfigurationen für Sophos-Container-Richtlinien fürAndroidMit einer Sophos-Container-Richtlinie konfigurieren Sie Einstellungen für dieSophos-Container-Apps Sophos Secure Email und Sophos Secure Workspace.

Informationen zur Erstellung einer Sophos-Container-Richtlinie finden Sie in Profil oderRichtlinie erstellen (Seite 72).

14.13.1 Konfiguration „Allgemein“ (Sophos-Container-Richtlinie für Android)Mit der Konfiguration „Allgemein“ definieren Sie Einstellungen für alle Sophos-Container-Apps,sofern anwendbar.


Benutzer müssen ein zusätzliches Kennworteingeben, um eine Sophos-Container-App zu

Sophos-Container-Kennwort aktivieren

starten. Sobald die erste Container-App gestartetwird nachdem die Konfiguration angewendetwurde, muss das Kennwort definiert werden.Dieses Kennwort gilt für alle Container-Apps.

Die minimale Komplexität des Kennworts für denSophos-Container. Sicherere Kennwörter sind


immer erlaubt. Kennwörter (eine Kombinationnumerischer und alphanumerischer Zeichen)werden generell als sicherer angesehen als PINs(nur numerische Zeichen).

Beliebig: Sophos-Container-Kennwörterunterliegen keinen Einschränkungen.

4-Ziffern-PIN

6-Ziffern-PIN

4-Zeichen-Kennwort

6-Zeichen-Kennwort

8-Zeichen-Kennwort

10-Zeichen-Kennwort

106



Die Anzahl an Tagen, die ein Kennwort verwendetwerden kann, bevor der Benutzer aufgefordert wird,es zu ändern.


Die erlaubte Anzahl fehlgeschlagenerAnmeldeversuche, bevor die Container-Apps

Fehlgeschlagene Anmeldungen bis Sperre

gesperrt werden. Gesperrte Apps müssen voneinem Administrator entsperrt werden. Fallskonfiguriert, können die Apps auch vom Benutzerim Self Service Portal entsperrt werden.

Benutzer können die App mit ihrem Fingerabdruckentsperren.

Fingerabdruck erlauben

Die Zeitspanne, während der keinSophos-Container-Kennwort eingegeben werden


muss, wenn eine Container-App wieder imVordergrund angezeigt wird.

Die Toleranzfrist gilt für alle Container-Apps.Während der Toleranzfrist können Sie zwischenden Apps wechseln, ohne das Kennwort erneuteingeben zu müssen.

Sie können 1, 2, 5, 10, 15 Minuten auswählen.

Wenn das Gerät gesperrt wird, wird auch derSophos-Container gesperrt.

Wenn das Kontrollkästchen deaktiviert ist, wird derSophos-Container nur nach Ablauf der Toleranzfristgesperrt.

Mit Gerät sperren

Die Zeitspanne, innerhalb derer Benutzer eineSophos-Container-App verwenden können, ohne

Letzte Verbindung zum Server

dass eine Verbindung zum Sophos Mobile ControlServer aufgebaut wurde.

Wenn eine Sophos-Container-App aktiviert wirdund innerhalb der definierten Zeitspanne keinenKontakt mit dem Server hatte, wird einSperrbildschirm angezeigt. Der Benutzer kann dieApp durch Tippen auf Wiederholen entsperren.Hierdurch verbindet sich die App mit dem Server.Kann die Verbindung aufgebaut werden, wird dieApp entsperrt. Falls nicht, wird der Zugriffverweigert.

Bei jedem Zugriff: Eine Serververbindung istimmer notwendig und die App wird gesperrt,wenn der Server nicht erreichbar ist.

1 Stunde: Eine Serververbindung istnotwendig, wenn die App eine Stunde oderspäter nach der letzten erfolgreichenSerververbindung aktiviert wird.

3 Stunden

107

Administratorhilfe


6 Stunden

12 Stunden

1 Tag

3 Tage

1 Woche

Ohne: Keine regelmäßige Verbindung istnotwendig.

In diesem Feld definieren Sie, wie oft Benutzereine der Sophos-Container-Apps starten können,

Offline-Starts ohne Serververbindung

ohne dass eine Serververbindung aufgebautwurde.

Hinweis: Diese Einstellung setzt voraus, dass einSophos-Container-Kennwort eingerichtet ist.

Es wird mitgezählt, wie oft Benutzer dasSophos-Container-Kennwort eingeben. Wenn derZähler die definierte Anzahl überschreitet, wirdderselbe Sperrbildschirm wie für die LetzteVerbindung zum Server Einstellung angezeigt.Der Zähler wird zurückgesetzt, wenn eineVerbindung zum Sophos Mobile Control Serverhergestellt wird.

Unbegrenzt: Es ist keine Serververbindungnotwendig.

0: Das Starten der App ohne Serververbindungist nicht möglich.

1: Nach einem Start der App ist eineerfolgreiche Serververbindung notwendig.

3

5

10

20

Die Container-Apps können auf Geräten laufen,die „rooted“ sind, d.h. bei denen der Root-Zugriffaktiviert wurde.

Rootrechte erlaubt

App-Nutzungs-Beschränkungen

Hier können Sie Beschränkungen für die Nutzung der Sophos-Container-Apps festlegen. Klicken Sieauf Hinzufügen, um Beschränkungen einzugeben.

Spezifizieren Sie über Längen- und Breitengradeinen Ausgangspunkt sowie einen Abstand,

Räumliche Beschränkungen

innerhalb dessen die Sophos-Container-Appsverwendet werden können.

108



Geben Sie über eine Anfangs- und eine Endzeiteine Zeitspanne an, innerhalb derer die

Zeitliche Beschränkungen

Sophos-Container-Apps verwendet werdenkönnen. Sie können auch spezifizieren, an welchenWochentagen die Apps verwendet werden können.

Geben Sie WLAN-Netzwerke an, mit denen dasGerät verbunden sein muss, damit die

WLAN-Beschränkungen

Sophos-Container-Apps verwendet werdenkönnen.

Das Gerät muss tatsächlich mit einem deraufgeführten Netzwerke verbunden sein. Es reichtnicht aus, dass eines der aufgeführten Netzwerkevom Gerät gefunden wird.

Wichtig: Wir empfehlen, sich nicht aufWLAN-Beschränkungen als einzigenSicherheitsmechanismus zu verlassen, daWLAN-Namen sehr leicht gefälscht werden können(Wi-Fi Spoofing).

14.13.2 Konfiguration „Corporate Email“ (Sophos-Container-Richtlinie fürAndroid)Mit der Konfiguration „Corporate Email“ definieren Sie Benutzereinstellungen für Ihren MicrosoftExchange Server. Diese Einstellungen gelten für die App Sophos Secure Email, wenn dieseim Sophos-Container installiert ist.







Benutzer



E-Mail-Adresse


109

Administratorhilfe


Die Adresse für E-Mails, die über die Funktion„Kontaktiere Support“ gesendet werden.

Support-E-Mail-Kontakt

Benutzer können Exchange-Kontakte inklusiveTelefonnummer als lokale Kontakte auf das Gerät

Kontakte auf das Gerät exportieren

übertragen. Diese Kontakte werden von SophosSecure Email synchronisiert. Es wird der Nameund die Telefonnummer übertragen. Auf dieseWeise kann der Benutzer bei eingehenden AnrufenFirmenkontakte identifizieren. Beachten Sie, dassauch nach einem Zurücksetzen der App „SophosSecure Email“ per Fernzugriff diese Informationenim lokalen Gerätespeicher verfügbar bleiben.

Diese Einstellung regelt die Anzeige vonE-Mail-Benachrichtigungen undTerminerinnerungen in Sophos Secure Email.

Wenn das Kontrollkästchen aktiviert ist:

Benachrichtigungseinstellungen anzeigen

Der Benutzer kann E-Mail-Benachrichtigungenein- und ausschalten.

Terminerinnerungen sind ausgeschaltet.

Wenn das Kontrollkästchen deaktiviert ist:

E-Mail-Benachrichtigungen undTerminerinnerungen sind deaktiviert.

Hinweis: Falls Sie die Anzeige vonBenachrichtigungen auf verlorenen odergestohlenen Geräten als Sicherheitsrisikobetrachten, sollten Sie das Kontrollkästchendeaktivieren.

Wenn Sie das Kontrollkästchen aktivieren, sindunterhalb von Anhängen die Schaltflächen

Anhänge öffnen

Speichern und Öffnen verfügbar. Speichern leitetden Anhang an Sophos Secure Workspace weiter,Öffnen öffnet die Datei in Sophos Secure Email.Wenn Sophos Secure Email die Datei nicht öffnenkann, kann der Benutzer auswählen, an welcheApp sie weitergeleitet wird.

Wenn Sie das Kontrollkästchen deaktivieren,können Anhänge weder geöffnet noch an andereApps weitergeleitet werden.

Klicken Sie auf Hinzufügen, um Einstellungen füreine zukünftige Version von Sophos Secure Emailzu konfigurieren.

Wichtig: Konfigurieren Sie diese Einstellungennur, wenn Sie vom Sophos-Support dazuaufgefordert werden.

Hinzufügen

110


14.13.3 Konfiguration „Corporate Documents“ (Sophos-Container-Richtliniefür Android)Mit der Konfiguration „Corporate Documents“ konfigurieren Sie Einstellung für die FunktionCorporate Documents der App Sophos Secure Workspace.

Online-Speicher konfigurieren

Für jeden Speicheranbieter können Sie die folgenden Einstellungen separat definieren:


Der Speicheranbieter ist in der App verfügbar.Aktivieren

Benutzer können Dateien vom Speicheranbieterzur Liste Favoriten der App hinzufügen, um sieoffline zu verwenden.

Offline

Benutzer können die Funktion Teilen fürverschlüsselte Dateien verwenden, um sie mitanderen Apps zu teilen.

Verschlüsselt teilen

Benutzer können die Funktion Teilen fürunverschlüsselte Dateien verwenden, um sie mitanderen Apps zu teilen.

Unverschlüsselt teilen

Benutzer können Teile aus Dokumenten kopierenund in anderen Apps einfügen.

Zwischenablage

Einstellungen für Unternehmens-Anbieter

Für Speicheranbieter vom Typ WebDAV, auch als Unternehmens-Anbieter bezeichnet, könnenSie zentral die Server-Einstellungen und Anmeldeinformationen definieren. Diese könnenvon den Benutzern nicht geändert werden.

Einstellungen, die Sie nicht zentral definieren, können vom Benutzer im entsprechendenApp-Dialog eingegeben werden.

Beispielsweise können Sie den Server und das Benutzerkonto zentral einstellen, aber dasKennwort-Feld undefiniert lassen. Benutzer müssen dann das Kennwort eingeben, um Zugriffauf den Speicheranbieter zu bekommen.


Der Anbietername, wie er in der App SophosSecure Workspace angezeigt wird.

Name

111

Administratorhilfe


Geben Sie in diesem Feld Folgendes ein:Server

Die URL des Root-Ordners auf demWebDAV-Server für Corporate Documents.

Die URL des Root-Ordners auf demWebDAV-Server.

Verwenden Sie das folgende Format:https://server.company.com

Nur das Protokoll https wird unterstützt.

Der Anmeldename für den Server. Sie könnenauch die Variable %_USERNAME_% verwenden.

Benutzername

Das Anmeldekennwort.Kennwort

Der Ordner, in den Dokumente hochgeladenwerden.

Zielordner

Weitere Einstellungen


Aktiviert die Funktion Dokumente, umUnternehmensdokumente auf sichere Weiseauszutauschen.

Dokumente aktivieren

Die minimale Komplexität von Passphrasen fürVerschlüsselungsschlüssel. SichererePassphrasen sind immer erlaubt.

Sie können folgende Einstellungen auswählen:


4-Zeichen-Kennwort

6-Zeichen-Kennwort

8-Zeichen-Kennwort

10-Zeichen-Kennwort

14.13.4 Konfiguration „Corporate Browser“ (Sophos-Container-Richtlinie fürAndroid)Mit der Konfiguration „Corporate Browser“ konfigurieren Sie Einstellung für die FunktionCorporate Browser der App Sophos Secure Workspace.

112


Mit Corporate Browser können Sie auf sichere Weise auf Intranetseiten Ihres Unternehmensund andere erlaubte Seiten zugreifen. Sie definieren Domänen sowie Lesezeichen innerhalbvon Domänen.

Jedes Lesezeichen gehört zu einer bestimmten Domäne. Wenn Sie mit dem BefehlLesezeichen hinzufügen ein Lesezeichen definieren, wird automatisch ein Domäneneintragerstellt, falls dieser nicht existiert.

Einstellungen für Domänen


Die Domäne, die Sie erlauben wollen.URL

Benutzer können Text aus Corporate Browserkopieren und in anderen Apps einfügen.

Kopieren/Einfügen erlauben

Benutzer können Anhänge herunterladen oder anandere Apps weiterleiten.

„Öffnen mit“ erlauben

Benutzer können ihre Kennwörter in CorporateBrowser speichern.

Kennwort-Speichern erlauben

Einstellungen für Lesezeichen


Der Name für das Lesezeichen.Name

Die Webadresse für das Lesezeichen.URL

14.13.5 Konfiguration „Client-Zertifikat“ (Sophos-Container-Richtlinie fürAndroid)Mit der Konfiguration „Client-Zertifikat“ installieren Sie ein Client-Zertifikat auf Geräten. DasZertifikat steht den Apps „Sophos Secure Email“ und „Sophos Secure Workspace“ zurVerfügung, wenn diese im Sophos-Container installiert sind.



113

Administratorhilfe

14.13.6 Konfiguration „Root-Zertifikat“ (Sophos-Container-Richtlinie fürAndroid)Mit der Konfiguration „Root-Zertifikat“ installieren Sie ein Root-Zertifikat auf Geräten. DasZertifikat steht den Apps „Sophos Secure Email“ und „Sophos Secure Workspace“ zurVerfügung, wenn diese im Sophos-Container installiert sind.



14.13.7 Konfiguration „SCEP“ (Sophos-Container-Richtlinie für Android)Mit der Konfiguration „SCEP“ ermöglichen Sie es Geräten, mittels SCEP (Simple CertificateEnrollment Protocol) Zertifikate von einer CA (Certificate Authority) anzufordern. DieseZertifikate stehen der App Sophos Secure Workspace zur Verfügung, wenn diese imSophos-Container installiert ist.





URL




Aliasname




Betreff


Zum Beispiel:


114












Challenge


Das CA-Zertifikat.


Root-Zertifikat



Schlüsselgröße





14.14 Konfigurationen für Mobile-Security-RichtlinienMit einer Mobile-Security-Richtlinie konfigurieren Sie Einstellungen für die App „Sophos MobileSecurity“.

Detaillierte Informationen zu Mobile-Security-Richtlinien finden Sie in folgenden Abschnitten:

115

Administratorhilfe

Antivirus-Einstellungen für Sophos Mobile Security konfigurieren (Seite 212)Webfilter-Einstellungen für Sophos Mobile Security konfigurieren (Seite 214)

14.15 Konfigurationen für Knox-Container-ProfileMit einem Knox-Container-Profil konfigurieren Sie Einstellungen für den Knox-Container aufSamsung-Geräten.

Informationen zur Erstellung eines Knox-Container-Profils finden Sie in Profil oder Richtlinieerstellen (Seite 72).

14.15.1 Konfiguration „Kennwortrichtlinien“ (Knox-Container-Profil)

Kennworttyp




Beliebig



Alphabetisch



PIN



Alphanumerisch



Komplex


116



























117

Administratorhilfe




Biometrische Authentisierung


Falls vom Gerät unterstützt, kann der Benutzer denKnox-Container mittels Fingerabdruck-Authentisierungentsperren.

Fingerabdruck-Authentisierung erlauben

Falls vom Gerät unterstützt, kann der Benutzer denKnox-Container mittels Iris-Authentisierung entsperren.

Iris-Authentisierung erlauben

14.15.2 Konfiguration „Einschränkungen“ (Knox-Container-Profil)


Benutzer können den Bildschirminhalt von Apps imSamsung-Knox-Container aufnehmen.


Apps im Samsung-Knox-Container können auf die Kamerazugreifen.

Kamera erlauben

Das Kopieren von Inhalten in die Zwischenablage ist nichteingeschränkt.

Zwischenablage erlauben

Die von manchen Apps verwendete Funktion Teilen überist verfügbar.

„Teilen über“ erlauben

Apps im Samsung-Knox-Container können auf dasMikrofon zugreifen.

Mikrofon erlauben

Benutzer müssen die sichere Tastatur verwenden.Verwendung der sicheren Tastaturerzwingen

Benutzer können zusätzlich zu den über ein SophosMobile Control Profil konfigurierten Konten weitereE-Mail-Konten hinzufügen.

Hinzufügen neuer E-Mail-Kontenerlauben

Private Apps können auf Daten aus demSamsung-Knox-Container zugreifen.

Daten-Export erlauben

118



Private Dateien können in den Samsung-Knox-Containerkopiert oder verschoben werden.

Kopieren von Dateien in den Containererlauben

Sie können entweder Erlaubte Apps oder UnzulässigeApps konfigurieren. Wählen Sie zunächst aus der ersten


Liste die gewünschte Option aus, und wählen Sieanschließend aus der zweiten Liste die App-Gruppe aus,welche die erlaubten oder unzulässigen Apps enthält.

Diese Einschränkungen betreffen nicht dieApp-Installationen, die vom Sophos Mobile Control Serverinitiiert werden.

Informationen zur Erstellung von App-Gruppen finden Siein App-Gruppen (Seite 191).

14.15.3 Konfiguration „Exchange ActiveSync“ (Knox-Container-Profil)









Benutzer



E-Mail-Adresse



Absender

119

Administratorhilfe




Kennwort








SSL

Das Konto wird als Standard-E-Mail-Kontoverwendet.

Standardkonto



E-Mail-Weiterleitung erlauben.E-Mail-Weiterleitung erlauben

E-Mails im HTML-Format sind zugelassen.HTML-Format erlauben

Die maximale Größe einer einzelnenE-Mail-Nachricht (1, 3, 5, 10, Unbegrenzt).

Max. Größe von Anhängen in MB


14.16 Konfigurationen für iOS-GeräteprofileMit einem iOS-Geräteprofil konfigurieren Sie verschiedene Bereiche von iOS-Geräten, wiezum Beispiel Kennwortrichtlinien, Einschränkungen oder WLAN-Einstellungen.

Informationen zur Erstellung eines Geräteprofils finden Sie in Profil oder Richtlinie erstellen(Seite 72).

14.16.1 Konfiguration „Kennwortrichtlinien“ (iOS-Geräteprofil)Mit der Konfiguration „Kennwortrichtlinien“ definieren Sie Kennwortregeln für Geräte.

120



Benutzer dürfen aufeinanderfolgende oderwiederholte Zeichen in ihrem Kennwortverwenden, zum Beispiel 1111 oder abcde.

Einfache Werte erlauben

Kennwort muss mindestens einen Buchstabenoder eine Ziffer enthalten.

Alphanumerische Werte erforderlich

Gibt an, wie viele Zeichen ein Kennwortmindestens enthalten muss.


Gibt an, wie viele nicht-alphanumerische Zeichen(zum Beispiel & oder !) ein Kennwort mindestensenthalten muss.

Mindestanzahl von komplexen Zeichen



In diesem Feld können Sie den Höchstwertfestlegen, den der Benutzer auf dem Gerät

Automatische Sperre (Minuten)

konfigurieren darf. Mit der automatischen Sperrewird festgelegt, wann (in Minuten) das Gerät nachNichtbenutzung gesperrt werden soll.

In diesem Feld können Sie festlegen, wie vielealte Kennwörter gespeichert und mit neu

Anzahl der letzten Kennwörter, die nicht benutztwerden dürfen

definierten Kennwörtern verglichen werden.Wennein Benutzer ein neues Kennwort festlegt, wird esnicht akzeptiert, falls es mit einem bereitsbenutzten Kennwort übereinstimmt.Wertebereich:1 bis 50 oder 0 (keine Kennworthistorie).

In diesem Feld können Sie den Höchstwertfestlegen, den der Benutzer auf dem Gerät

Toleranzfrist für Gerätesperrung

konfigurieren darf. Mit der Toleranzfrist für dieGerätesperrung legen Sie fest, wie lange nacheiner Sperre das Gerät ohne Kennwort entsperrtwerden kann. Wenn Sie Ohne auswählen, kannder Benutzer einen beliebigen verfügbarenZeitraum wählen. Wenn Sie Sofort auswählen,müssen Benutzer immer, wenn sie ihre Geräteentsperren, ein Kennwort eingeben.

In diesem Feld können Sie die Höchstanzahl anfehlgeschlagenen Eingabeversuchen für das


Kennwort eingeben. Nach Erreichen derHöchstanzahl wird das Gerät zurückgesetzt. Nachsechs fehlgeschlagenen Versuchen wird eineZeitverzögerung verhängt. Ein erneuter Versuchkann erst nach Ablauf der Verzögerungunternommen werden. Diese Verzögerung wirdmit jedem fehlgeschlagenen Versuch größer. Nachdem letzten fehlgeschlagenen Versuch werdenalle Daten und Einstellungen sicher vom Gerätentfernt. Die Zeitverzögerung startet nach dem

121

Administratorhilfe


sechsten Versuch.Wenn Sie also diesen Wert auf6 oder einen niedrigeren Wert setzen, wird keineVerzögerung ausgelöst. In diesem Fall wird dasGerät zurückgesetzt, sobald die maximale Anzahlan Fehlversuchen überschritten ist.

14.16.2 Konfiguration „Einschränkungen“ (iOS-Geräteprofil)Mit der Konfiguration „Einschränkungen“ definieren Sie Einschränkungen für Geräte.

Gerät


Wenn das Kontrollkästchen deaktiviert ist, ist der AppStore nicht verfügbar und sein Symbol wird vom

Installation von Apps erlauben

Home-Bildschirm entfernt. Benutzer können keine Appsüber den App Store, über iTunes oder Apple Configuratorinstallieren oder aktualisieren.

Wenn das Kontrollkästchen deaktiviert ist, ist der AppStore nicht verfügbar und sein Symbol wird vom

App-Installation über dieBenutzeroberfläche erlauben

Home-Bildschirm entfernt. Benutzer können weiterhinApps über iTunes oder Apple Configurator installierenoder aktualisieren.

Wenn das Kontrollkästchen deaktiviert ist, ist die Kameranicht verfügbar und das Symbol der Kamera-App wird

Verwendung der Kamera erlauben

vom Home-Bildschirm entfernt. Benutzer können wederFotos machen noch Videos aufzeichnen oder FaceTimebenutzen.

Benutzer können Videotelefonie über FaceTimedurchführen.

FaceTime erlauben

Benutzer können Aufnahmen des Bildschirminhaltsmachen.


Wenn das Kontrollkästchen deaktiviert ist, synchronisierensich Geräte bei Mobilfunk-Roaming nur dann, wenn derBenutzer auf ein Konto zugreift.

Automatische Synchronisierung beiRoaming erlauben

Wenn das Kontrollkästchen deaktiviert ist, könnenBenutzer Siri, Sprachbefehle oder die Diktierfunktion nichtverwenden.

Siri erlauben

122



Wenn das Kontrollkästchen deaktiviert ist, müssenBenutzer ihre Geräte durch Eingabe ihres Kennwortsentsperren, damit sie Siri benutzen können.

Siri erlauben, während das Gerätgesperrt ist

Wenn das Kontrollkästchen deaktiviert ist, führt Siri keineWebsuche durch.

Websuche für Siri erlauben

Wenn das Kontrollkästchen deaktiviert ist, könnenBenutzer das Filtern von anstößiger Sprache für Sirideaktivieren.

Filtern von anstößiger Sprache für Sirierzwingen

Wenn das Kontrollkästchen deaktiviert ist, sind Anrufemittels Sprachkommandos nicht möglich, wenn das Gerätmit einem Kennwort gesperrt ist.

Hinweis: Falls kein Gerätekennwort konfiguriert ist, sindAnrufe mittels Sprachkommandos immer möglich.

Sprachwahl bei gesperrtem Geräterlauben

Passbook-Benachrichtigungen werden auch beigesperrtem Gerät angezeigt.

Passbook bei Gerätesperre erlauben

Benutzer können In-App-Käufe durchführen.In-App-Käufe erlauben

Benutzer müssen für Käufe ihr Apple-ID-Kennworteingeben.

Wenn das Kontrollkästchen deaktiviert ist, könnenBenutzer innerhalb einer kurzen Toleranzfrist mehrere

Benutzer muss für alle Einkäufe dasStore-Kennwort eingeben

Käufe durchführen, ohne ihr Kennwort jedes Mal neueinzugeben.

Benutzer können im Game Center Multiplayer-Spielespielen.

Mehrspielermodus erlauben

Wenn das Kontrollkästchen deaktiviert ist, ist GameCenter nicht verfügbar.

Game Center erlauben

Benutzer können im Game Center Freunde hinzufügen.Hinzufügen von Game-Center-Freundenerlauben

Wenn das Kontrollkästchen deaktiviert ist, können dieEinstellungen der App „Meine Freunde suchen“ nichtgeändert werden.

Änderung der „Freundesuchen“-Einstellungen erlauben

Wenn das Kontrollkästchen deaktiviert ist, ist einDatenaustausch per Kabel (Host Pairing) deaktiviert,

USB-Kopplung erlauben

außer mit dem „Supervision Host“. Wenn keinSupervision-Host-Zertifikat konfiguriert ist, ist kein HostPairing möglich.

123

Administratorhilfe


Wenn das Kontrollkästchen deaktiviert ist, kann dasGeräte nicht mit einer Apple Watch gekoppelt werden.

Kopplung mit Apple Watch erlauben

Für bereits gekoppelte Apple-Watch-Geräte wird dieKopplung aufgehoben.

Inhalte können mittels AirDrop geteilt werden.AirDrop erlauben

Wenn das Kontrollkästchen deaktiviert ist, ist dasKontrollzentrum bei aktiver Displaysperre nicht verfügbar.

Zugriff auf das Kontrollzentrum imSperrbildschirm erlauben

Wenn das Kontrollkästchen deaktiviert ist, ist dieMitteilungszentrale bei aktiver Displaysperre nichtverfügbar.

Zugriff auf die Mitteilungszentrale imSperrbildschirm erlauben

Wenn das Kontrollkästchen deaktiviert ist, ist dieHeute-Ansicht bei aktiver Displaysperre nicht verfügbar.

Zugriff auf die Heute-Ansicht imSperrbildschirm erlauben

Die App „News“ ist verfügbar.News erlauben

PKI-Aktualisierungen sind „Over-the-Air“ möglich.Over-the-air PKI Updates erlauben

Benutzer können in iBooks Bücher kaufen.Einkauf von Büchern in iBooks erlauben

Wenn das Kontrollkästchen deaktiviert ist, sind iBooksmit anstößigem Inhalt gesperrt.

Einkauf von Büchern mit anstößigenInhalten in iBooks erlauben

Benutzer können Konfigurationsprofile installieren.Installation von Konfigurationsprofilendurch den Benutzer erlauben

Benutzer können mit iMessage SMS senden oderempfangen.

iMessage erlauben

Benutzer können Apps vom Gerät entfernen.Deinstallation von Apps erlauben

Wenn das Kontrollkästchen deaktiviert ist, ist auf der Seite„Zurücksetzen“ die Option Inhalte und Einstellungenlöschen nicht verfügbar.

Löschen aller Inhalte und Einstellungenerlauben

Wenn das Kontrollkästchen deaktiviert ist, führt Spotlightkeine Internetsuche durch.

Internetsuchergebnis für Spotlighterlauben

Wenn das Kontrollkästchen deaktiviert ist, ist auf der Seite„Zurücksetzen“ die Option Einschränkungen aktivierennicht verfügbar.

Aktivierung der Beschränkungsoptionerlauben

Die Apple-Integrations-Funktion „Handoff“ ist verfügbar.Mit „Handoff“ können Benutzer die Bearbeitung von

Handoff erlauben

Dokumenten, E-Mails oder Nachrichten, die sie auf einem

124



Gerät begonnen haben, auf einem anderen Gerätfortsetzen.

Benutzer können den Gerätenamen ändern.Ändern des Gerätenamens erlauben

Benutzer können das Hintergrundbild ändern.Hintergrundbild-Änderung erlauben

Benutzer können Tastenkürzel verwenden.Tastenkürzel erlauben

Wenn das Kontrollkästchen deaktiviert ist, werden Apps,die auf anderen Geräten erworben wurden, nicht

Automatisches Herunterladen von Appserlauben

automatisch heruntergeladen. Dies betrifft nicht dieAktualisierung bereits vorhandener Apps.

Der Dienst „Apple Music“ ist verfügbar.Apple Music erlauben

Der Dienst „Apple Music Radio“ ist verfügbar.Apple Music Radio erlauben

Benutzer können die Bluetooth-Einstellungen ändern.Ändern der Bluetooth-Einstellungenerlauben

Firmendaten


Mit dieser Einstellungen definieren Sie eineEinschränkung für das Öffnen von Dokumenten mit

Öffnen von Dokumenten nur innerhalbvon verwalteten Apps/Konten erlauben

Apps/Konten (zum Beispiel einem Firmen-E-Mail-Konto),die von Sophos Mobile Control verwaltet werden.

Wenn Benutzer über ein von Sophos Mobile Controlverwaltetes E-Mail-Konto und von Sophos Mobile Controlverwaltete Apps auf Ihren Geräten verfügen, können dieAnhänge aus dem verwalteten E-Mail-Konto nur mitverwalteten Apps geöffnet werden. Auf diese Weisekönnen Sie verhindern, dass Unternehmensdokumentemit nicht verwalteten Apps geöffnet werden.

Mit dieser Einstellungen definieren Sie eineEinschränkung für das Öffnen von Dokumenten mit

Öffnen von Dokumenten nur innerhalbvon nicht verwalteten Apps/Kontenerlauben Apps/Konten (zum Beispiel einem privaten E-Mail-Konto),

die nicht von Sophos Mobile Control verwaltet werden.

Wenn Benutzer über ein nicht durch Sophos MobileControl verwalteten E-Mail-Konto und nicht Sophos MobileControl verwaltete Apps auf Ihren Geräten verfügen,können die Anhänge aus dem nicht verwaltetenE-Mail-Konto nur mit nicht verwalteten Apps geöffnet

125

Administratorhilfe


werden. Auf diese Weise können Sie verhindern, dasspersönliche Dokumente mit verwalteten Apps geöffnetwerden.

Mittels AirDrop geteilte Dokumente sind keine verwaltetenDokumente.

Verwendung von AirDrop-Dokumentenals nicht verwaltete Dokumenteerzwingen

Verwaltete Apps können iCloud für die Synchronisierungverwenden.

Verwalteten Apps die Synchronisierungmit iCloud erlauben

Enterprise-Books werden gesichert.Sicherung für Enterprise-Books erlauben

Notizen und Hervorhebungen in Enterprise-Books werdensynchronisiert.

Enterprise Books Notes undHighlights-Sync erlauben

Anwendungen


Wenn das Kontrollkästchen deaktiviert ist, ist der iTunesStore nicht verfügbar und sein Symbol wird vom

Verwendung des iTunes Store erlauben

Home-Bildschirm entfernt. Benutzer können Inhalte wederin der Vorschau ansehen, noch kaufen oderherunterladen.

Wenn das Kontrollkästchen deaktiviert ist, ist der BrowserSafari nicht verfügbar und sein Symbol wird vom

Verwendung von Safari erlauben

Home-Bildschirm entfernt. Dies verhindert auch, dassBenutzer Webclips öffnen.

Wenn das Kontrollkästchen deaktiviert ist, werden inSafari Webformulare nicht automatisch ausgefüllt.

Automatisches Ausfüllen aktivieren

Safari blockiert Popups.Pop-Up-Fenster blockieren

Webseiten können JavaScript-Code auf dem Gerätausführen.

JavaScript im Browser erlauben

In diesem Feld legen Sie fest, ob Cookies akzeptiertwerden:

Cookies akzeptieren

Immer

Nie

Von besuchten Webseiten

126



Benutzer können für einzelne Apps die Einstellungen fürmobile Datenverbindungen ändern.

Änderung der Einstellungen für mobileDatenverbindungen pro App erlauben

Sie können entweder Erlaubte Apps oder UnzulässigeApps angeben.Wählen Sie zunächst aus der ersten Liste


die gewünschte Option aus, und wählen Sie anschließendaus der zweiten Liste die App-Gruppe aus, welche dieerlaubten oder unzulässigen Apps enthält. Informationenzur Erstellung von App-Gruppen finden Sie inApp-Gruppen (Seite 191).

iCloud


Benutzer können ein Geräte-Backup in iCloud machen.Sicherung erlauben

Benutzer können Dokumente in iCloud speichern.Dokumentensynchronisierung erlauben

Wenn das Kontrollkästchen deaktiviert ist, könnenBenutzer den iCloud-Dienst „Fotostream“ nicht aktivieren.

Hinweis: Wenn Sie ein Konfigurationsprofil installieren,dass die Benutzung von Fotostream einschränkt, werden

Fotostream erlauben

Fotostream-Fotos vom Gerät entfernt. Fotos werden nichtaus dem Fotoordner an Fotostream gesendet. Wennkeine anderen Kopien dieser Fotos existieren, gehendiese verloren.

Benutzer können die iCloud-Fotomediathek verwenden.iCloud-Fotomediathek erlauben

Benutzer können ihre Fotostreams anderen Benutzernzur Betrachtung freigeben und freigegebene Fotostreamsanderer Benutzer betrachten.

Freigegebene Fotostreams erlauben

Die iCloud-Funktion für die Synchronisierung vonKennwörtern über verschiedene iOS- und OS-X-Gerätehinweg ist verfügbar.

Schlüsselbundsynchronisierungerlauben

127

Administratorhilfe

Sicherheit und Privatsphäre


Wenn das Kontrollkästchen deaktiviert ist, werden keineiOS-Diagnosedaten an Apple gesendet.

Senden von Diagnosedaten an Appleerlauben

Wenn das Kontrollkästchen deaktiviert ist, werdenBenutzer nicht gefragt, ob sie einem Zertifikat vertrauen

Annehmen nicht vertrauenswürdigerTLS-Zertifikate durch Benutzer erlauben

möchten, das nicht verifiziert werden kann. DieseEinstellung gilt für Safari, Mail-Kontakte undKalender-Konten.

Enterprise-Apps wird vertraut.Enterprise-Apps vertrauen

Benutzer können ein Gerätekennwort definieren, ändernund löschen.

Kennwort-Änderung erlauben

Wenn das Kontrollkästchen deaktiviert ist, könnenBenutzer keine Konten bearbeiten. Das Menü Konten istnicht verfügbar.

Kontoänderungen erlauben

Wenn das Kontrollkästchen deaktiviert ist, kann das Gerätnicht per Touch ID entsperrt werden.

Touch ID zum Entsperren des Geräteserlauben

Apps für anonyme Benutzerdaten, die für dieAdressierung von Werbung verwendet werden, sind nichtmehr verfügbar.

Beschränken von Ad-Tracking erzwingen

Benutzer müssen iTunes-Backups verschlüsseln.Verschlüsselte Sicherungen erzwingen

Inhaltsbewertung


Wenn das Kontrollkästchen deaktiviert ist, werden imiTunes Store keine anstößigen Musik- oder Video-Inhalte

Anstößige Musik und Podcasts erlauben

angezeigt. Anstößige Inhalte werden von den jeweiligenAnbietern, zum Beispiel Plattenfirmen, bei der Auflistungim iTunes Store entsprechend gekennzeichnet.

14.16.3 Konfiguration „Roaming-/Hotspot-Einstellungen“ (iOS-Geräteprofil)Mit der Konfiguration „Roaming-/Hotspot-Einstellungen“ definieren Sie Einstellungen fürRoaming-Verbindungen und für persönliche Hotspots.

128


Hinweis: Benutzer können diese Einstellungen auf ihren Geräten jederzeit ändern.


Sprach-Roaming ist verfügbar.Sprach-Roaming aktivieren

Daten-Roaming ist verfügbar.Daten-Roaming aktivieren

Der Benutzer kann das Gerät als persönlichenHotspot konfigurieren.

Persönlichen Hotspot aktivieren

14.16.4 Konfiguration „Exchange ActiveSync“ (iOS-Geräteprofil)Mit der Konfiguration „Exchange ActiveSync“ definieren Sie Benutzereinstellungen für IhrenMicrosoft Exchange Server.









Benutzer



E-Mail-Adresse



Kennwort




129

Administratorhilfe




SSL

Der Benutzer kann E-Mails von diesem Konto in einanderes verschieben. Dies erlaubt Benutzern

Verschieben erlauben

außerdem, ein anderes Konto für das Antworten aufoder das Weiterleiten von Nachrichten aus diesemKonto zu verwenden.

Das Konto wird in die iCloud-Synchronisierungkürzlich verwendeter Adressen mit anderen Geräteneinbezogen.

Synchronisierung letzter Adressen erlauben

Für das Senden von Nachrichten mit diesem Kontokann nur die App „Mail“ verwendet werden. Das

Nur mit Mail verwenden

Konto kann nicht als Absender-Konto für mit anderenApps erstellten Nachrichten (zum Beispiel Fotosoder Safari) verwendet werden.

Das Identitäts-Zertifikat für die Verbindung zuActiveSync.

Die Liste enthält alle Zertifikate aus Konfigurationenvom Typ Client-Zertifikat im aktuellen Profil.

Identitätszertifikat

14.16.5 Konfiguration „WLAN“ (iOS-Geräteprofil)Mit der Konfiguration „WLAN“ legen Sie Einstellungen für die Verbindung mitWLAN-Netzwerken fest.


Die ID des WLAN-Netzwerks.SSID

Automatisch mit dem Zielnetzwerk verbinden.Automatisch verbinden

Das Zielnetzwerk ist nicht offen oder ist unsichtbar.Unsichtbares Netzwerk

Der Sicherheitstyp des WLAN-Netzwerks:Sicherheitstyp

Keine

WEP

WPA/WPA2

Beliebig (persönlich)

Firmen-WEP

130



Firmen-WPA/WPA2

Beliebig (firmenweit)

Wenn Sie WEP, WPA/WPA2 oder Beliebig(persönlich) auswählen, wird ein Feld Kennwortangezeigt. Geben Sie das relevante Kennwort ein.

Wenn Sie Firmenweiter WEP, FirmenweiterWPA/WPA2 oder Beliebig (firmenweit) auswählen,werden die Registerkarten Protokolle,Authentifizierung und Vertrauen angezeigt.

Konfigurieren Sie auf der Registerkarte Protokollefolgende Einstellungen:

Geben Sie unter Akzeptierte EAP-Typen dieEAP-Verfahren an, die für die Authentisierungverwendet werden sollen. Je nach den hierausgewählten Typen lassen sich die Werte im FeldInnere Identität (TTLS) auswählen.

Konfigurieren Sie unter EAP-FAST dieEinstellungen für dieEAP-FAST-Protected-Access-Anmeldedaten.

Konfigurieren Sie auf der RegisterkarteAuthentifizierung Einstellungen für dieClient-Authentifizierung:

Geben Sie im Feld Benutzer den Benutzernamenfür die Verbindung zu dem WLAN-Netzwerk ein.

Wählen Sie Kennwort bei jedem Verbindenabfragen aus, wenn das Kennwort für jedeVerbindung abgefragt und mit der Authentifizierungübertragen werden soll.

Geben Sie im Feld Kennwort das relevanteKennwort ein.

Wählen Sie in der Liste Identitätszertifikat dasZertifikat für die Verbindung zu demWLAN-Netzwerk aus.

Hinweis: Das Zertifikat, das verwendet werdensoll, muss in einer Client-Zertifikat-Konfigurationangegeben werden.

Geben Sie im Feld Externe Identität die externsichtbare ID (für TTLS, PEAP und EAP-FAST) ein.

Konfigurieren Sie auf der Registerkarte VertrauenEinstellungen für die Server-Authentifizierung:

Wählen Sie die vertrauenswürdigen Zertifikate aus derListe aus.

Hinweis: Sie müssen die Zertifikate in einerKonfiguration Root-Zertifikat angeben.

Wählen Sie in dieser Liste die Proxy-Einstellungen fürdie WLAN-Verbindung aus:

Proxy

Keine

131

Administratorhilfe


Manuell

Automatisch

Wenn Sie Manuell auswählen, werden die FelderServer und Port, Authentifizierung und Kennwortangezeigt. Geben Sie die erforderlichenProxy-Informationen ein. Wenn Sie Automatischauswählen, wird das Feld Proxy-Server-URLangezeigt. Geben Sie die URL des Proxy-Servers ein.

14.16.6 Konfiguration „VPN“ (iOS-Geräteprofil)Mit der Konfiguration „VPN“ definieren Sie VPN-Einstellungen für Netzwerkverbindungen.


Der Name der Verbindung, der auf dem Gerätangezeigt wird.

Verbindungsname


Cisco AnyConnect

IPSec (Cisco)

F5

Check Point

SSL (benutzerdefiniert)

Je nach hier gewähltem Verbindungstyp werdenauf der Seite VPN unterschiedliche Eingabefelderangezeigt.

Die benutzerdefinierte Kennung imReverse-DNS-Format.

Identifier (Reverse-DNS-Format)(Verbindungstyp SSL (benutzerdefiniert))

Der Host-Name oder die IP-Adresse des Servers.Server (alle Verbindungstypen)

Das Benutzer-Konto für die Authentisierung derVerbindung.

Konto (alle Verbindungstypen)

Falls Ihr Anbieter benutzerdefinierteVerbindungseinstellungen spezifiziert hat, gebenSie diese hier ein.

Um eine Eigenschaft einzugeben, klicken Sie aufHinzufügen und geben Sie anschließend im

Benutzerdefinierte Daten (Verbindungstyp SSL(benutzerdefiniert))

Dialogfeld den Schlüssel und den Wert derEigenschaft ein.

132



Die VPN-Verbindung wird für den gesamtenDatenverkehr verwendet.

Alle Daten über VPN übertragen

Geben Sie die Gruppe ein, die für dieAuthentisierung der Verbindung erforderlich seinkann.

Gruppe (Verbindungstyp Cisco AnyConnect)

Wählen Sie die Art der Benutzer-Authentisierungfür die Verbindung aus:

Benutzer-Authentifizierung (VerbindungstypCisco AnyConnect, F5, Custom SSL)

Wenn Sie Kennwort auswählen, wird unterhalbdes Feldes Benutzer-Authentifizierung einFeld Kennwort angezeigt. Geben Sie dasKennwort für die Authentisierung ein.

Wenn Sie Zertifikat auswählen, wird unterhalbdes Feldes Benutzer-Authentifizierung einFeld Zertifikat angezeigt. Wählen Sie einZertifikat aus.

Die Art der Geräte-Authentifizierung:Geräte-Authentifizierung (Verbindungstyp IPSec(Cisco))

Schlüssel (Shared Secret)/Gruppenname

Wenn Sie diese Option auswählen, werden dieFelder Gruppenname, Schlüssel (SharedSecret), Hybrid-Authentifizierung verwendenund Kennwort verlangen unter dem FeldGeräte-Authentifizierung angezeigt. GebenSie die erforderlichenAuthentisierungsinformationen in den FeldernGruppenname und Schlüssel (Shared Secret)ein. Wählen Sie je nach AnforderungHybrid-Authentifizierung verwenden undKennwort verlangen.

Zertifikat

Wenn Sie diese Option auswählen, werden dieFelder Zertifikat und Inklusive Benutzer-PINunter dem Feld Geräte-Authentifizierungangezeigt. Wählen Sie in der Liste Zertifikatdas erforderliche Zertifikat aus. Wählen SieInklusive Benutzer-PIN aus, um dieBenutzer-PIN in die Geräteauthentisierungeinzubeziehen.

Die Proxy-Einstellungen für die Verbindung:Proxy (alleVerbindungstypen)

Keine

Manuell

Wenn Sie diese Option wählen, werden dieFelder Server und Port, Authentifizierungund Kennwort angezeigt. Geben Sie im FeldServer und Port die gültige Adresse und denPort des Proxy-Servers ein. Geben Sie im Feld

133

Administratorhilfe


Authentifizierung den Benutzernamen für dieVerbindung zum Proxy-Server ein. Geben Sieim Feld Kennwort das Kennwort für dieVerbindung zum Proxy-Server ein.

Automatisch

Wenn Sie diese Option wählen, wird das FeldProxyserver-URL angezeigt. Geben Sie dieURL des Servers mit der Proxy-Einstellung indiesem Feld ein.

14.16.7 Konfiguration „VPN pro App“ (iOS-Geräteprofil)Mit der Konfiguration „VPN pro App“ definieren Sie VPN-Einstellungen für die Unterstützungdes iOS-Features „VPN pro App“.

Sie können konfigurieren, dass bestimmte Apps beim Starten automatisch eineVPN-Verbindung verwenden. Somit können Sie zum Beispiel sicherstellen, das von verwaltetenApps übermittelte Daten über VPN übertragen werden.

Wenn Sie Konfigurationen „VPN pro App“ eingerichtet haben, können Sie auf der Seite Paketbearbeiten einer Applikation eine Konfiguration auswählen. Siehe VPN pro App undEinstellungen für iOS-Apps konfigurieren (Seite 189).


Der Name der Verbindung, der auf dem Gerätangezeigt wird.

Verbindungsname


Cisco AnyConnect

F5

Check Point

SSL (benutzerdefiniert)

Je nach hier gewähltem Verbindungstyp werdenauf der Seite VPN unterschiedliche Eingabefelderangezeigt.

Die benutzerdefinierte Kennung imReverse-DNS-Format.

Identifier (Reverse-DNS-Format) (VerbindungstypSSL (benutzerdefiniert))

Der Host-Name oder die IP-Adresse des Servers.Server (alle Verbindungstypen)

Das Benutzer-Konto für die Authentisierung derVerbindung.

Konto (alle Verbindungstypen)

134



Falls Ihr Anbieter benutzerdefinierteVerbindungseinstellungen spezifiziert hat, gebenSie diese hier ein.

Um eine Eigenschaft einzugeben, klicken Sie aufHinzufügen und geben Sie anschließend im

Benutzerdefinierte Daten (Verbindungstyp SSL(benutzerdefiniert))

Dialogfeld den Schlüssel und den Wert derEigenschaft ein.

Geben Sie in diesem Feld die Gruppe ein, die fürdie Authentisierung der Verbindung erforderlichsein kann.

Gruppe (Verbindungstyp Cisco AnyConnect)

Die VPN-Verbindung wird für den gesamtenDatenverkehr verwendet.

Alle Daten über VPN übertragen

Wählen Sie in dieser Liste die Art derBenutzer-Authentisierung für die Verbindung aus:

Benutzer-Authentifizierung (VerbindungstypCisco AnyConnect, F5, Custom SSL)

Kennwort

Wenn Sie diese Option auswählen, wird unterdem Feld Benutzer-Authentifizierung ein FeldKennwort angezeigt. Geben Sie das Kennwortfür die Authentisierung ein.

Zertifikat

Wenn Sie diese Option auswählen, wird unterdem Feld Benutzer-Authentifizierung ein FeldZertifikat angezeigt. Wählen Sie ein Zertifikataus.

Wählen Sie in dieser Liste die Art derGeräte-Authentisierung aus:

Geräte-Authentifizierung (Verbindungstyp IPSec(Cisco))

Schlüssel (Shared Secret)/Gruppenname

Wenn Sie diese Option auswählen, werden dieFelder Gruppenname, Schlüssel (SharedSecret), Hybrid-Authentifizierung verwendenund Kennwort verlangen unter dem FeldGeräte-Authentifizierung angezeigt. GebenSie die erforderlichenAuthentisierungsinformationen in den FeldernGruppenname und Schlüssel (SharedSecret) ein. Wählen Sie je nach AnforderungHybrid-Authentifizierung verwenden undKennwort verlangen.

Zertifikat

Wenn Sie diese Option auswählen, werden dieFelder Zertifikat und Inklusive Benutzer-PINunter dem Feld Geräte-Authentifizierungangezeigt. Wählen Sie in der Liste Zertifikatdas erforderliche Zertifikat aus. Wählen SieInklusive Benutzer-PIN aus, um die

135

Administratorhilfe


Benutzer-PIN in die Geräteauthentisierungeinzubeziehen.

Wählen Sie in dieser Liste die Proxy-Einstellungenfür die Verbindung aus:

Proxy (alleVerbindungstypen)

Keine

Manuell

Wenn Sie diese Option wählen, werden dieFelder Server und Port, Authentifizierungund Kennwort angezeigt. Geben Sie im FeldServer und Port die gültige Adresse und denPort des Proxy-Servers ein. Geben Sie im FeldAuthentifizierung den Benutzernamen für dieVerbindung zum Proxy-Server ein. Geben Sieim Feld Kennwort das Kennwort für dieVerbindung zum Proxy-Server ein.

Automatisch


Der VPN-Verbindungstyp.Provider-Typ

App-Proxy: Netzwerkdatenverkehr wird durcheinen VPN-Tunnel in der Applikationsschichtgesendet.

Paket-Tunnel: Netzwerkdatenverkehr wirddurch einen VPN-Tunnel in derNetzwerkschicht gesendet.

In diesem Feld können Sie eine Liste vonZeichenfolgen eingeben, um Domänen zuspezifizieren.

Wenn eine Domäne, auf die eine der Zeichenfolgenpasst, in Safari oder in einer anderen Browser-Appgeöffnet wird, wird die VPN-Verbindung verwendet.

Safari-Domänen

Verwenden Sie eine neue Zeile für jedeDomänen-Zeichenfolge.

Domänen werden gemäß der folgenden Regelnmit den Zeichenfolgen verglichen:

Punkte am Anfang und Ende werden ignoriert.Beispiel: Die Zeichenfolge .beispiel.compasst auf dieselben Domänen wie dieZeichenfolge beispiel.com.

Jeder Namensteil einer Zeichenfolge muss aufeinen vollständigen Namensteil einer Domänepassen. Beispiel: Die Zeichenfolge

136



beispiel.com passt auf die Domänewww.beispiel.com, aber nicht aufwww.mein-beispiel.com.

Zeichenfolgen, die aus einem einzelnenNamensteil bestehen, passen nur auf genaudiese Domäne. Beispiel: Die Zeichenfolgebeispiel passt auf die Domäne beispiel,aber nicht auf www.beispiel.com.

14.16.8 Konfiguration „Single-Sign-On“ (iOS-Geräteprofil)Mit der Konfiguration „Single-Sign-On“ definieren Sie Einstellungen für das Single-Sign-Onfür Drittanbieter-Apps.


Eine Bezeichnung für das Konto.Name

Der „Kerberos Principal“-Name.

Wenn Sie keinen Wert eingeben, muss derBenutzer den Namen eingeben, wenn das Profilauf dem Gerät installiert wird.

Kerberos-Principal-Name

Der „Kerberos Realm“-Name.

Sie müssen den Namen in Großbuchstabeneingeben.

Realm

14.16.9 Konfiguration „Kioskmodus“ (iOS-Geräteprofil)Mit der Konfiguration „Kioskmodus“ definieren Sie Einstellungen für den Kioskmodus. Indiesem Modus kann nur eine einzige App verwendet werden.


Wählen Sie aus, wie Sie die App für den Kioskmodusfestlegen wollen:

Quelle auswählen

App-Liste: Wählen Sie die App aus einer Liste der fürden Kunden verfügbaren iOS-Apps aus.

Benutzerdefiniert: Geben Sie manuell die Bundle-IDder App ein.

137

Administratorhilfe


Die App für den Kioskmodus.

Wählen Sie entweder eine App aus der Liste aus odergeben Sie eine Bundle-ID ein.

Kennung

Touch-Gesten sind nicht verfügbar.Touchscreen deaktivieren

Die Bildschirmorientierung kann nicht geändert werden.Bildschirmrotation deaktivieren

Die Gerätetasten zur Lautstärkesteuerung sind nichtverfügbar.

Lautstärketasten deaktivieren

Der Lautlos-Modus kann nicht aktiviert werden.Lautlos-Schalter deaktivieren

Die Standby-Taste ist nicht verfügbar.Standby-Taste deaktivieren

Die automatische Bildschirmsperre, mit der das Gerätnach einer bestimmten Inaktivitätsdauer in denStandbymodus wechselt, ist deaktiviert.

Automatische Bildschirmsperredeaktivieren

Die Funktion „VoiceOver“ ist verfügbar.VoiceOver aktivieren

Die Funktion „Zoom“ ist verfügbar.Zoom aktivieren

Die Funktion „Farben umkehren“ ist verfügbar.„Farben umkehren“ aktivieren

Die Funktion „AssistiveTouch“ ist verfügbar.AssistiveTouch aktivieren

Die Funktion „Auswahl sprechen“ ist verfügbar.„Auswahl sprechen“ aktivieren

Die Funktion „Mono-Audio“ ist verfügbar.Mono-Audio aktivieren

Der Benutzer kann die Funktion „VoiceOver“ anpassen.VoiceOver

Der Benutzer kann die Funktion „Zoom“ anpassen.Zoom

Der Benutzer kann die Funktion „Farben umkehren“anpassen.

Farben umkehren

Der Benutzer kann die Funktion „AssistiveTouch“anpassen.

AssistiveTouch

14.16.10 Konfiguration „Webclip“ (iOS-Geräteprofil)Mit der Konfiguration „Webclip“ definieren Sie Webclips, die zum Home-Bildschirm hinzugefügtwerden.Webclips bieten schnellen Zugriff auf favorisierte Webseiten. Sie können jedoch zumBeispiel auch einen Webclip mit einer Support-Telefonnummer hinzufügen, damit die Benutzerschnell den Helpdesk kontaktieren können.

138



Eine Beschreibung des Webclips.Beschreibung

Die Webadresse des Webclips.URL

Wenn das Kontrollkästchen deaktiviert ist, kannder Benutzer den Webclip nicht entfernen. Der

Darf entfernt werden

Webclip kann nur durch Entfernen des Profils, dasden Webclip installiert hat, entfernt werden.

Der Webclip wird auf dem Gerät bildschirmfüllendgeöffnet. Ein bildschirmfüllender Webclip öffnet dieURL als Web App.

Bildschirmfüllend

14.16.11 Konfiguration „Zugangspunkt (APN)“ (iOS-Geräteprofil)Mit der Konfiguration „Zugangspunkt (APN)“ konfigurieren Sie einen Zugangspunkt (AccessPoint Name) für iOS-Geräte. Eine APN-Konfiguration legt fest, wie sich Geräte mit einemMobilfunknetz verbinden.

Hinweis: Die Konfiguration Zugangspunkt (APN) ist veraltet. Stattdessen sollten Sie dieKonfiguration Mobilfunk verwenden. Siehe Konfiguration „Mobilfunk“ (iOS-Geräteprofil) (Seite143).

Wichtig: Wenn diese Einstellungen nicht korrekt sind, kann das Gerät nicht auf Daten überein Mobilnetzwerk zugreifen. Wenn Sie die Einstellungsänderungen rückgängig machenwollen, müssen Sie das Profil vom Gerät entfernen.


Der Zugangspunkt, den das Gerät angibt, wennes sich mit dem Mobilfunknetz mittels GPRSverbindet.


APN

Der Nutzername für den Zugangspunkt.

Hinweis: iOS unterstützt für ZugangspunkteBenutzernamen mit bis zu 64 Zeichen.

Benutzername für Zugangspunkt

Das Kennwort für den Zugangspunkt.

Hinweis: iOS unterstützt für ZugangspunkteKennwörter mit bis zu 64 Zeichen.

Kennwort für Zugangspunkt

Die Adresse und die Portnummer desProxy-Servers.


139

Administratorhilfe

14.16.12 Konfiguration „Webfilter“ (iOS-Geräteprofil)Mit der Konfiguration „Webfilter“ definieren Sie unzulässige URLs und erlaubte URLs mitLesezeichen.


Wenn Sie das Kontrollkästchen aktivieren, könnenSie eine Liste mit blockierten URLs definieren, aufdie nicht zugegriffen werden kann.

Klicken Sie auf Weiter, um die Seite Typ desWebfilters auswählen anzuzeigen. Auf dieserSeite können Sie einzelne URLs hinzufügen.

Unzulässige URLs

Verwenden Sie eine neue Zeile für jede URL.

Wenn Sie das Kontrollkästchen aktivieren, könnenSie erlaubte URLs mit Lesezeichen definieren, die

Erlaubte URLs mit Lesezeichen

im Browser Safari verfügbar sind. Alle anderenWebsites werden blockiert.

Klicken Sie auf Weiter, um die Seite Webfilteranzuzeigen. Klicken Sie auf Hinzufügen, umindividuelle URLs als Lesezeichen zu definieren.

14.16.13 Konfiguration „Globaler HTTP-Proxy“ (iOS-Geräteprofil)Mit der Konfiguration „Globaler HTTP-Proxy“ definieren Sie einen Unternehmens-Proxy-Server.


Wählen Sie die Proxy-Einstellungen für dieVerbindung aus:

Globaler HTTP-Proxy

Manuell

Wenn Sie diese Option wählen, werden dieFelder Server und Port, Authentifizierungund Kennwort angezeigt. Geben Sie im FeldServer und Port die gültige Adresse und denPort des Proxy-Servers ein. Geben Sie im FeldAuthentifizierung den Benutzernamen für dieVerbindung zum Proxy-Server ein. Geben Sieim Feld Kennwort das Kennwort für dieVerbindung zum Proxy-Server ein.

Automatisch


140


14.16.14 Konfiguration „Root-Zertifikat“ (iOS-Geräteprofil)Mit der Konfiguration „Root-Zertifikat“ installieren Sie ein Root-Zertifikat auf Geräten.



14.16.15 Konfiguration „Client-Zertifikat“ (iOS-Geräteprofil)Mit der Konfiguration „Client-Zertifikat“ installieren Sie ein Client-Zertifikat auf iOS-Geräten.



14.16.16 Konfiguration „SCEP“ (iOS-Geräteprofil)Mit der Konfiguration „SCEP“ ermöglichen Sie es Geräten, mittels SCEP (Simple CertificateEnrollment Protocol) Zertifikate von einer CA (Certificate Authority) anzufordern.




URL

Registerkarte SCEP der Seite Systemeinstellungenkonfiguriert ist.

Ein Name, der von der Zertifizierungsstelleverstanden wird. Der Name kann zum Beispiel zur

CA-Name

Unterscheidung zwischen Instanzen verwendetwerden.



Betreff


Zum Beispiel:


Geben SieCN=%_DEVPROP(serial_number)_% ein, umein Gerät zu spezifizieren.

141

Administratorhilfe


Einzelheiten zu den verfügbaren Platzhaltern findenSie in Platzhalter in Profilen und Richtlinien (Seite75).






Die Webadresse, unter der das Challenge-Kennwortvom SCEP-Server angefordert wird.

Verwenden Sie die Variable %_CACHALLENGE_%,um auf die Challenge-URL zu verweisen, die auf der

Challenge


Die Anzahl an Wiederholungsversuchen, falls derServer mit dem Status Pending antwortet.

Wiederholungen

Die Zeit in Sekunden zwischen zweiWiederholungsversuchen.

Wiederholungsverzögerung



Schlüsselgröße





14.16.17 Konfiguration „Verwaltete Domänen“ (iOS-Geräteprofil)Mit der Konfiguration „Verwaltete Domänen“ definieren Sie verwaltete Domänen für iOS-Geräte.

Wenn Domänen verwaltet werden, können Dateien, die in Safari von bestimmten Webseitenheruntergeladen werden, nur in Apps geöffnet werden, die mittels MDM auf dem Gerätinstalliert worden sind.

Sie können verwaltete E-Mail-Domänen und Web-Domänen eingeben. Geben Sie eineDomäne pro Zeile ein.

142


Hinweis: Wenn ein Eintrag für eine verwaltete Web-Domäne eine Portnummer enthält,werden nur Adressen mit dieser Portnummer als verwaltet berücksichtigt. Andernfalls werdennur die Standardports als verwaltet berücksichtigt (Port 80 für http und 443 für https).

14.16.18 Konfiguration „Mobilfunk“ (iOS-Geräteprofil)Mit der Konfiguration „Mobilfunk“ definieren Sie Einstellungen auf iOS-Geräten fürMobilfunknetze.

Hinweis: Eine Konfiguration vom Typ „Mobilfunk“ kann nicht auf Geräten installiert werden,auf denen bereits eine Konfiguration „Access Point Name (APN)“ vorhanden ist.


PAP

CHAP

Authentifizierung

Der Zugangspunkt, den das Gerät angibt, wennes sich mit dem Mobilfunknetz mittels GPRSverbindet.


APN

Der Nutzername für den Zugangspunkt.

Hinweis: iOS unterstützt für ZugangspunkteBenutzernamen mit bis zu 64 Zeichen.

Benutzername für Zugangspunkt

Das Kennwort für den Zugangspunkt.

Hinweis: iOS unterstützt für ZugangspunkteKennwörter mit bis zu 64 Zeichen.

Kennwort für Zugangspunkt

Die Adresse und die Portnummer desProxy-Servers.


14.16.19 Konfiguration „CalDAV“ (iOS-Geräteprofil)Mit der Konfiguration „CalDAV“ konfigurieren Sie die Synchronisierung von Kalenderdatenmit einem CalDAV-Server. Sie können so zum Beispiel Google Kalender mit einem iOS-Gerätsynchronisieren.


Der auf dem Gerät angezeigte Name des CalDAV-Kontos.Kontoname

143

Administratorhilfe


Hostname oder IP-Adresse und (optional) der Port desCalDAV-Servers.

Geben Sie zum Beispiel für Google Kalender folgendes ein:

Konto-Host-Name und -Port

calendar.google.com:443

Falls vom CalDAV-Server benötigt, geben Sie die PrincipalURL der Kalender-Ressource ein.

Geben Sie zum Beispiel folgendes ein, um einen anderenals den Haupt-Kalender eines Google-Kontos zusynchronisieren:

Principal URL

https://apidata.googleusercontent.com/caldav/

v2/calendar_id/user

wobei calendar_id die ID des Kalenders ist, den Siesynchronisieren wollen. Wenn Sie Google Kalender in IhremWebbrowser öffnen, wird die Kalender-ID in denKalendereinstellungen angezeigt. Einzelheiten finden Sie inder Hilfe zu Google Kalender.

Die Anmeldeinformationen des CalDAV-Kontos.

Geben Sie zum Beispiel für Google Kalender dieAnmeldeinformationen des Google-Kontos ein.

Benutzername, Kennwort

14.16.20 Konfiguration „CardDAV“ (iOS-Geräteprofil)Mit der Konfiguration „CardDAV“ konfigurieren Sie die Synchronisierung von Kontaktdatenmit einem CardDAV-Server. Sie können so zum Beispiel Google Kontakte mit einem iOS-Gerätsynchronisieren.


Der auf dem Gerät angezeigte Name des CardDAV-Kontos.Kontoname

Hostname oder IP-Adresse und (optional) der Port desCardDAV-Servers.

Geben Sie zum Beispiel für Google Kontakte folgendes ein:

Konto-Host-Name und -Port

google.com

Falls vom CardDAV-Server benötigt, geben Sie die PrincipalURL der Kontakte-Ressource ein.

Zum Beispiel unterstützt die Google-CardDAV-API folgendePrincipal URL:

Principal URL

https://www.googleapis.com/carddav/ v1/principals/[email protected]

144



wobei account_name der Name des Google-Kontos ist.

Die Anmeldeinformationen des CardDAV-Kontos.

Geben Sie zum Beispiel für Google Kontakte dieAnmeldeinformationen des Google-Kontos ein.

Benutzername, Kennwort

14.16.21 Konfiguration „IMAP/POP“ (iOS-Geräteprofil)Mit der Konfiguration „IMAP/POP“ fügen Sie ein E-Mail-Konto für IMAP oder POP auf demiOS-Gerät hinzu.


Der auf dem Gerät angezeigte Name des E-Mail-Kontos.Kontoname

Der Typ des E-Mail-Servers für eingehende E-Mails.

Entweder IMAP oder POP.

Typ des Accounts

Der für ausgehende E-Mails verwendete Benutzername.

Wenn Sie die Variable %_USERNAME_% verwenden, wirddiese durch den jeweiligen Benutzernamen ersetzt.

Angezeigter Benutzername


Wenn Sie die Variable %_EMAILADDRESS_% verwenden,wird diese durch die jeweilige E-Mail-Adresse ersetzt.

E-Mail-Adresse

Der Benutzer kann E-Mails von diesem Konto in ein anderesverschieben. Dies erlaubt Benutzern außerdem, ein anderes

Verschieben erlauben

Konto für das Antworten auf oder das Weiterleiten vonNachrichten aus diesem Konto zu verwenden.

Das Konto wird in die Synchronisierung der Liste zuletztverwendeter Adressen einbezogen.

Synchronisierung letzter Adressenerlauben

Für das Senden von Nachrichten mit diesem Konto kann nurdie App „Mail“ verwendet werden. Das Konto kann nicht als

Nur mit Mail verwenden

Absender-Konto für mit anderen Apps erstellten Nachrichten(zum Beispiel Fotos oder Safari) verwendet werden.

Apple Mail Drop für dieses Konto erlauben.Mail Drop erlauben

Unterstützung des Verschlüsselungsstandards S/MIME.S/MIME aktivieren

145

Administratorhilfe


Die für E-Mail-Signierung und -Verschlüsselung verwendetenZertifikate.

Um ein Zertifikat auszuwählen, müssen Sie dieses zunächstin einer Konfiguration Client-Zertifikat des aktuellen Profilshochladen.

Signaturzertifikat

Verschlüsselungszertifikat

Der Benutzer bei jeder ausgehenden E-Mail entscheiden, obsie verschlüsselt gesendet werden soll oder nicht.

Benutzer darf unverschlüsselteE-Mails senden

Eingehende E-Mail

Hostname oder IP-Adresse und Port desPosteingangsservers.

E-Mail-Server und -Port

Der Benutzername für die Verbindung mit demPosteingangsserver.

Benutzername

Die Authentisierungsmethode für die Verbindung mit demPosteingangsserver.


Das Kennwort für die Verbindung mit demPosteingangsserver (falls erforderlich).

Kennwort

Secure Sockets Layer für eingehende E-Mails verwenden.SSL

Ausgehende E-Mail

Hostname oder IP-Adresse und Port desPostausgangsservers.

E-Mail-Server und -Port

Der Benutzername für die Verbindung mit demPostausgangsserver.

Benutzername

Die Authentisierungsmethode für die Verbindung mit demPostausgangsserver.


Das Kennwort für die Verbindung mit demPostausgangsserver (falls erforderlich).

Kennwort

Das selbe Kennwort wie für den Posteingangsserververwenden.

Das selbe Kennwort wie füreingehende E-Mail verwenden

Secure Sockets Layer für ausgehende E-Mails verwenden.SSL

14.16.22 Konfiguration „Netzwerk-Nutzungsregeln“ (iOS-Geräteprofil)Mit der Konfiguration „Netzwerk-Nutzungsregeln“ legen Sie für verwaltete Apps fest, wieDatenverbindungen in Mobilfunknetzen verwendet werden dürfen.

146


Allgemeine Regeln

Unter Regeln für alle verwalteten Apps legen Sie Einstellungen für verwaltete Apps imAllgemeinen fest.


Verwaltete Apps dürfen Datenverbindungen inMobilfunknetzen verwenden.

Mobilfunkdaten erlauben

Verwaltete Apps dürfen Datenverbindungen bei Roaming infremden Mobilfunknetzen verwenden.

Daten-Roaming erlauben

Ausnahmen

Ausnahmen überschreiben die allgemeinen Regeln.Verwenden Sie Ausnahme hinzufügen,um Regeln zu definieren, die für eine bestimmte App-Gruppe gelten.


Wählen Sie eine App-Gruppe aus. Die abweichendenEinstellungen gelten für alle in der Gruppe enthaltenen Apps.

App-Gruppe

Verwaltete Apps in der ausgewählten App-Gruppe dürfenDatenverbindungen in Mobilfunknetzen verwenden.

Mobilfunkdaten erlauben

Verwaltete Apps in der ausgewählten App-Gruppe dürfenDatenverbindungen bei Roaming in fremden Mobilfunknetzenverwenden.

Daten-Roaming erlauben

Hinweis: Für jede App-Gruppe können Sie nur eine Ausnahmeregel anlegen.

14.17 Konfigurationen für Sophos-Container-Richtlinien füriOSMit einer Sophos-Container-Richtlinie konfigurieren Sie Einstellungen für dieSophos-Container-Apps Sophos Secure Email und Sophos Secure Workspace.

Informationen zur Erstellung einer Sophos-Container-Richtlinie finden Sie in Profil oderRichtlinie erstellen (Seite 72).

14.17.1 Konfiguration „Allgemein“ (Sophos-Container-Richtlinie für iOS)Mit der Konfiguration „Allgemein“ definieren Sie Einstellungen für alle Sophos-Container-Apps,sofern anwendbar.

147

Administratorhilfe


Benutzer müssen ein zusätzliches Kennworteingeben, um eine Sophos-Container-App zu

Sophos-Container-Kennwort aktivieren

starten. Sobald die erste Container-App gestartetwird nachdem die Konfiguration angewendetwurde, muss das Kennwort definiert werden.Dieses Kennwort gilt für alle Container-Apps.

Die minimale Komplexität des Kennworts für denSophos-Container. Sicherere Kennwörter sind


immer erlaubt. Kennwörter (eine Kombinationnumerischer und alphanumerischer Zeichen)werden generell als sicherer angesehen als PINs(nur numerische Zeichen).

Beliebig: Sophos-Container-Kennwörterunterliegen keinen Einschränkungen.

4-Ziffern-PIN

6-Ziffern-PIN

4-Zeichen-Kennwort

6-Zeichen-Kennwort

8-Zeichen-Kennwort

10-Zeichen-Kennwort

Die Anzahl an Tagen, die ein Kennwort verwendetwerden kann, bevor der Benutzer aufgefordert wird,es zu ändern.


Die erlaubte Anzahl fehlgeschlagenerAnmeldeversuche, bevor die Container-Apps

Fehlgeschlagene Anmeldungen bis Sperre

gesperrt werden. Gesperrte Apps müssen voneinem Administrator entsperrt werden. Fallskonfiguriert, können die Apps auch vom Benutzerim Self Service Portal entsperrt werden.

Benutzer können die App mit ihrem Fingerabdruckentsperren.

Fingerabdruck erlauben

Die Zeitspanne, während der keinSophos-Container-Kennwort eingegeben werden


muss, wenn eine Container-App wieder imVordergrund angezeigt wird.

Die Toleranzfrist gilt für alle Container-Apps.Während der Toleranzfrist können Sie zwischenden Apps wechseln, ohne das Kennwort erneuteingeben zu müssen.

Sie können 1, 2, 5, 10, 15 Minuten auswählen.

148



Wenn das Gerät gesperrt wird, wird auch derSophos-Container gesperrt.

Wenn das Kontrollkästchen deaktiviert ist, wird derSophos-Container nur nach Ablauf der Toleranzfristgesperrt.

Mit Gerät sperren

Die Zeitspanne, innerhalb derer Benutzer eineSophos-Container-App verwenden können, ohne

Letzte Verbindung zum Server

dass eine Verbindung zum Sophos Mobile ControlServer aufgebaut wurde.

Wenn eine Sophos-Container-App aktiviert wirdund innerhalb der definierten Zeitspanne keinenKontakt mit dem Server hatte, wird einSperrbildschirm angezeigt. Der Benutzer kann dieApp durch Tippen auf Wiederholen entsperren.Hierdurch verbindet sich die App mit dem Server.Kann die Verbindung aufgebaut werden, wird dieApp entsperrt. Falls nicht, wird der Zugriffverweigert.

Bei jedem Zugriff: Eine Serververbindung istimmer notwendig und die App wird gesperrt,wenn der Server nicht erreichbar ist.

1 Stunde: Eine Serververbindung istnotwendig, wenn die App eine Stunde oderspäter nach der letzten erfolgreichenSerververbindung aktiviert wird.

3 Stunden

6 Stunden

12 Stunden

1 Tag

3 Tage

1 Woche

Ohne: Keine regelmäßige Verbindung istnotwendig.

In diesem Feld definieren Sie, wie oft Benutzereine der Sophos-Container-Apps starten können,

Offline-Starts ohne Serververbindung

ohne dass eine Serververbindung aufgebautwurde.

Hinweis: Diese Einstellung setzt voraus, dass einSophos-Container-Kennwort eingerichtet ist.

Es wird mitgezählt, wie oft Benutzer dasSophos-Container-Kennwort eingeben. Wenn derZähler die definierte Anzahl überschreitet, wirdderselbe Sperrbildschirm wie für die LetzteVerbindung zum Server Einstellung angezeigt.Der Zähler wird zurückgesetzt, wenn eineVerbindung zum Sophos Mobile Control Serverhergestellt wird.

149

Administratorhilfe


Unbegrenzt: Es ist keine Serververbindungnotwendig.

0: Das Starten der App ohne Serververbindungist nicht möglich.

1: Nach einem Start der App ist eineerfolgreiche Serververbindung notwendig.

3

5

10

20

Die Container-Apps können auf Geräten mitJailbreak laufen.

Jailbreak erlaubt

App-Nutzungs-Beschränkungen

Hier können Sie Beschränkungen für die Nutzung der Sophos-Container-Apps festlegen. Klicken Sieauf Hinzufügen, um Beschränkungen einzugeben.

Spezifizieren Sie über Längen- und Breitengradeinen Ausgangspunkt sowie einen Abstand,

Räumliche Beschränkungen

innerhalb dessen die Sophos-Container-Appsverwendet werden können.

Geben Sie über eine Anfangs- und eine Endzeiteine Zeitspanne an, innerhalb derer die

Zeitliche Beschränkungen

Sophos-Container-Apps verwendet werdenkönnen. Sie können auch spezifizieren, an welchenWochentagen die Apps verwendet werden können.

Geben Sie WLAN-Netzwerke an, mit denen dasGerät verbunden sein muss, damit die

WLAN-Beschränkungen

Sophos-Container-Apps verwendet werdenkönnen.

Das Gerät muss tatsächlich mit einem deraufgeführten Netzwerke verbunden sein. Es reichtnicht aus, dass eines der aufgeführten Netzwerkevom Gerät gefunden wird.

Wichtig: Wir empfehlen, sich nicht aufWLAN-Beschränkungen als einzigenSicherheitsmechanismus zu verlassen, daWLAN-Namen sehr leicht gefälscht werden können(Wi-Fi Spoofing).

150


14.17.2 Konfiguration „Corporate Email“ (Sophos-Container-Richtlinie füriOS)Mit der Konfiguration „Corporate Email“ definieren Sie Benutzereinstellungen für Ihren MicrosoftExchange Server. Diese Einstellungen gelten für die App Sophos Secure Email, wenn dieseim Sophos-Container installiert ist.







Benutzer



E-Mail-Adresse


Die Adresse für E-Mails, die über die Funktion„Kontaktiere Support“ gesendet werden.

Support-E-Mail-Kontakt

Der Inhalt von Eingabefeldern wird geschützt.Auto-Vervollständigung und Auto-Korrektur werden

Sichere Textfelder verwenden

in der App „Sophos Secure Email“ deaktiviert, umzu verhindern, dass sensible Daten imGerätespeicher abgelegt werden.

Benutzer können Exchange-Kontakte inklusiveTelefonnummer als lokale Kontakte auf das Gerät

Kontakte auf das Gerät exportieren

übertragen. Diese Kontakte werden von SophosSecure Email synchronisiert. Es wird der Nameund die Telefonnummer übertragen. Auf dieseWeise kann der Benutzer bei eingehenden AnrufenFirmenkontakte identifizieren. Beachten Sie, dassauch nach einem Zurücksetzen der App „SophosSecure Email“ per Fernzugriff diese Informationenim lokalen Gerätespeicher verfügbar bleiben.

Diese Option regelt die Anzeige vonE-Mail-Benachrichtigungen undTerminerinnerungen in Sophos Secure Email.

Wenn die Option aktiviert ist:

Benachrichtigungsdetails anzeigen

151

Administratorhilfe


E-Mail-Benachrichtigungen werden mitAbsender und Betreff angezeigt.

Terminerinnerungen werden mit Uhrzeit, Ortund Titel angezeigt.

Wenn die Option deaktiviert ist:

E-Mail-Benachrichtigungen sind deaktiviert.

Terminerinnerungen werden nur mit Uhrzeitangezeigt.

Hinweis: Falls Sie die Anzeige vonBenachrichtigungen auf verlorenen odergestohlenen Geräten als Sicherheitsrisikobetrachten, sollten Sie Benachrichtigungsdetailsdeaktivieren.

Benutzer können Texte aus Sophos Secure Emailweder kopieren noch ausschneiden.

In Zwischenablage kopieren verbieten

Benutzer können E-Mail-Anhänge speichern oderin anderen Apps öffnen.

Externe Viewer erlauben

Wählen Sie bei Bedarf die maximale E-Mail-Größefür Sophos Secure Email aus der Liste aus.

Maximale E-Mail-Größe

Wenn Sie diese Option aktivieren, sind unterhalbvon Anhängen die Schaltflächen Speichern und

Anhänge öffnen

Öffnen verfügbar. Speichern leitet den Anhangan Sophos Secure Workspace weiter, Öffnenöffnet die Datei in Sophos Secure Email. WennSophos Secure Email die Datei nicht öffnen kann,kann der Benutzer auswählen, an welche App sieweitergeleitet wird.

Wenn Sie die Option deaktivieren, könnenAnhänge weder geöffnet noch an andere Appsweitergeleitet werden.

Klicken Sie auf Hinzufügen, um Einstellungen füreine zukünftige Version von Sophos Secure Emailzu konfigurieren.

Wichtig: Konfigurieren Sie diese Einstellungennur, wenn Sie vom Sophos-Support dazuaufgefordert werden.

Hinzufügen

152


14.17.3 Konfiguration „Corporate Documents“ (Sophos-Container-Richtliniefür iOS)

Online-Speicher konfigurieren

Für jeden Speicheranbieter können Sie die folgenden Einstellungen separat definieren:


Der Speicheranbieter ist in der App verfügbar.Aktivieren

Benutzer können Dateien vom Speicheranbieterzur Liste Favoriten der App hinzufügen, um sieoffline zu verwenden.

Offline

Benutzer können die Funktion Teilen fürverschlüsselte Dateien verwenden, um sie mitanderen Apps zu teilen.

Verschlüsselt teilen

Benutzer können die Funktion Teilen fürunverschlüsselte Dateien verwenden, um sie mitanderen Apps zu teilen.

Unverschlüsselt teilen

Benutzer können Teile aus Dokumenten kopierenund in anderen Apps einfügen.

Zwischenablage

Einstellungen für Unternehmens-Anbieter

Für Speicheranbieter vom Typ Egnyte und WebDAV, auch als Unternehmens-Anbieterbezeichnet, können Sie zentral die Server-Einstellungen und Anmeldeinformationen definieren.Diese können von den Benutzern nicht geändert werden.

Einstellungen, die Sie nicht zentral definieren, können vom Benutzer im entsprechendenApp-Dialog eingegeben werden.

Beispielsweise können Sie den Server und das Benutzerkonto zentral einstellen, aber dasKennwort-Feld undefiniert lassen. Benutzer müssen dann das Kennwort eingeben, um Zugriffauf den Speicheranbieter zu bekommen.


Der Anbietername, wie er in der App SophosSecure Workspace angezeigt wird.

Name

153

Administratorhilfe


Geben Sie in diesem Feld Folgendes ein:Server

Die URL des Root-Ordners auf demWebDAV-Server für Corporate Documents.

Die URL des Root-Ordners auf demEgnyte-Server.

Die URL des Root-Ordners auf demWebDAV-Server.

Verwenden Sie das folgende Format:https://server.company.com

Geben Sie in diesem Feld den Benutzernamen fürden entsprechenden Server ein.

Benutzername

Geben Sie in diesem Feld das Kennwort für dasentsprechende Konto ein.

Kennwort

Geben Sie in diesem Feld den Zielordner für dasentsprechende Konto ein.

Zielordner

Weitere Einstellungen


Aktiviert die Funktion Dokumente, umUnternehmensdokumente auf sichere Weiseauszutauschen.

Dokumente aktivieren

Die minimale Komplexität von Passphrasen fürVerschlüsselungsschlüssel. SichererePassphrasen sind immer erlaubt.

Sie können folgende Einstellungen auswählen:


4-Zeichen-Kennwort

6-Zeichen-Kennwort

8-Zeichen-Kennwort

10-Zeichen-Kennwort

14.17.4 Konfiguration „Corporate Browser“ (Sophos-Container-Richtlinie füriOS)Mit der Konfiguration „Corporate Browser“ konfigurieren Sie Einstellung für die FunktionCorporate Browser der App Sophos Secure Workspace.

154


Mit Corporate Browser können Sie auf sichere Weise auf Intranetseiten Ihres Unternehmensund andere erlaubte Seiten zugreifen. Sie definieren Domänen sowie Lesezeichen innerhalbvon Domänen.

Jedes Lesezeichen gehört zu einer bestimmten Domäne. Wenn Sie mit dem BefehlLesezeichen hinzufügen ein Lesezeichen definieren, wird automatisch ein Domäneneintragerstellt, falls dieser nicht existiert.

Einstellungen für Domänen


Die Domäne, die Sie erlauben wollen.URL

Benutzer können Text aus Corporate Browserkopieren und in anderen Apps einfügen.

Kopieren/Einfügen erlauben

Benutzer können Anhänge herunterladen oder anandere Apps weiterleiten.

„Öffnen mit“ erlauben

Benutzer können ihre Kennwörter in CorporateBrowser speichern.

Kennwort-Speichern erlauben

Einstellungen für Lesezeichen


Der Name für das Lesezeichen.Name

Die Webadresse für das Lesezeichen.URL

14.17.5 Konfiguration „Client-Zertifikat“ (Sophos-Container-Richtlinie für iOS)Mit der Konfiguration „Client-Zertifikat“ installieren Sie ein Client-Zertifikat auf Geräten. DasZertifikat steht den Apps „Sophos Secure Email“ und „Sophos Secure Workspace“ zurVerfügung, wenn diese im Sophos-Container installiert sind.



155

Administratorhilfe

14.17.6 Konfiguration „Root-Zertifikat“ (Sophos-Container-Richtlinie für iOS)Mit der Konfiguration „Root-Zertifikat“ installieren Sie ein Root-Zertifikat auf Geräten. DasZertifikat steht den Apps „Sophos Secure Email“ und „Sophos Secure Workspace“ zurVerfügung, wenn diese im Sophos-Container installiert sind.



14.17.7 Konfiguration „SCEP“ (Sophos-Container-Richtlinie für iOS)Mit der Konfiguration „SCEP“ ermöglichen Sie es Geräten, mittels SCEP (Simple CertificateEnrollment Protocol) Zertifikate von einer CA (Certificate Authority) anzufordern. DieseZertifikate stehen der App Sophos Secure Workspace zur Verfügung, wenn diese imSophos-Container installiert ist.





URL




Aliasname




Betreff


Zum Beispiel:



156











Challenge


Das CA-Zertifikat.


Root-Zertifikat



Schlüsselgröße





14.18 Konfigurationen für Windows-Mobile-RichtlinienMit einer Windows-Mobile-Richtlinien konfigurieren Sie verschiedene Bereiche vonWindows-Mobile-Geräten, wie zum Beispiel Kennwortrichtlinien, Einschränkungen oderWLAN-Einstellungen.

Informationen zur Erstellung einer Windows-Mobile-Richtlinie finden Sie in Profil oder Richtlinieerstellen (Seite 72).

157

Administratorhilfe

14.18.1 Konfiguration „Kennwortrichtlinien“ (Windows-Mobile-Richtlinie)Mit der Konfiguration „Kennwortrichtlinien“ definieren Sie Kennwortregeln für Geräte.


Wählen Sie die Art des Kennworts, dass Siedefinieren wollen:

Kennworttyp

Alphanumerisch

Alphanumerisch oder numerisch

Kennwörter dürfen aufeinanderfolgende oderwiederholte Zeichnen enthalten, zum Beispielabcde oder 1111.

Einfache Werte erlauben



Die maximale Anzahl fehlgeschlagenerAnmeldeversuche, nach der das Gerätzurückgesetzt wird.

Geben Sie einen Wert zwischen 1 und 999 ein,oder geben Sie 0 ein, um diese Einschränkung zudeaktivieren.

Maximale Anzahl an Fehlversuchen

Die Zeit (in Minuten), nach der das Gerät gesperrtwird, wenn es nicht benutzt wird. Der Benutzerkann das Gerät entsperren.


Inaktivitätszeit in Minuten bis zur Abfrage desKennworts



Kennwort festlegt, wird es nicht akzeptiert, falls esmit einem bereits benutzten Kennwortübereinstimmt.


Die Anzahl an Tagen, nach denen Benutzer ihrKennwort ändern müssen.



Die Mindestanzahl nicht-alphanumerischer Zeichen(zum Beispiel & oder !), die ein Kennwort enthaltenmuss.

Minimale Anzahl verschiedener Zeichentypen

158



Benutzer dürfen die Toleranzfrist festlegen,innerhalb derer keine erneute Kennworteingabeerfolgen muss.

Festlegen der Toleranzfrist bis zur erneutenKennworteingabe erlauben

14.18.2 Konfiguration „Einschränkungen“ (Windows-Mobile-Richtlinie)Mit der Konfiguration „Einschränkungen“ definieren Sie Einschränkungen für Geräte.

Gerät


Benutzer können nicht auf die SD-Karte zugreifen.Dies betrifft nicht den Zugriff durch Apps.

SD-Karte verbieten

Die Verschlüsselung des internen Speichers istaktiviert.

Wichtig: Wenn auf einem Gerät dieVerschlüsselung des internen Speichers aktiviert

Unverschlüsseltes Gerät verbieten

ist, können Sie dies nicht mehr über eine Richtliniedeaktivieren.

Hinweis: Auf dem Gerät muss zuvor BitLockeraktiviert worden sein, damit die Richtlinieangewendet werden kann.

Auf dem Sperrbildschirm des Gerätes werdenkeine Action-Center-Benachrichtigungen angezeigt.

Action-Center-Benachrichtigungen auf demSperrbildschirm verbieten

Hinzufügen aller Arten von E-Mail-Konten sowievon Exchange-, Office 365- undOutlook.com-Konten nicht erlauben.

Manuelles Hinzufügen vonNicht-Microsoft-E-Mail-Konten verbieten

Das Microsoft-Konto ist das Systemkonto, das fürSynchronisierung, Backup und den Storeverwendet wird.

Microsoft-Konto-Verbindung verbieten

Der Windows-Entwicklermodus ist deaktiviert.Entwicklerfunktionen verbieten

Der Windows-App-Store ist nicht verfügbar.Windows Store verbieten

Der Browser Microsoft Edge ist nicht verfügbar.Nativen Browser verbieten

159

Administratorhilfe


Die Datenschutz-Einstellung Apps dieVerwendung meiner Kamera erlauben istdeaktiviert.

Kamera verbieten

Wählen Sie aus, ob das Gerät Diagnose- undTelemetriedaten senden kann:

Telemetrie

Erlaubt

Erlaubt, außer für sekundäreDatenanforderungen

Nicht erlaubt

Verschiedenes


Die Zwischenablage ist nicht verfügbar.Kopieren und Einfügen verbieten

Cortana ist deaktiviert.Cortana verbieten

Benutzer können Dateien auf dem Gerät nicht alsOffice-Dateien speichern.

Als Office-Dateien speichern verbieten

Bildschirmaufnahmen sind deaktiviert.Bildschirmaufnahme verbieten

Office-Dateien können nicht geteilt werden.Teilen von Office-Dateien verbieten

Geräteeinstellungen können nicht mit anderenWindows-Geräten synchronisiert werden.

„Einstellungen synchronisieren“ verbieten

Audioaufzeichnungen sind deaktiviert.Audioaufzeichnungen verbieten

WLAN


WLAN-Verbindungen sind deaktiviert.WLAN verbieten

ICS (Internet Connection Sharing) ist deaktiviert.Tethering verbieten

160



Das Gerät verbindet sich nicht automatisch mitWLAN-Hotspots.

WLAN-Optimierung (Hotspot-Autoverbindung)verbieten

Das Gerät sendet keine Informationen bezüglichWLAN-Verbindungen.

Hotspot-Reporting verbieten

Benutzer können keine WLAN-Verbindungenkonfigurieren. Dies betrifft nicht die von SophosMobile Control konfigurierten Verbindungen.

Manuelle Konfiguration verbieten

Konnektivität


NFC (Near Field Communication) ist deaktiviert.NFC verbieten

Bluetooth ist deaktiviert.Bluetooth verbieten

USB-Verbindungen zwischen dem Gerät undeinem Computer zur Synchronisierung von Dateien

USB-Verbindung verbieten

oder zur Verwendung von Entwicklertools für dieInstallation oder das Debugging von Apps sindnicht verfügbar. Dies betrifft nicht das Laden desGeräteakkus über USB.

Roaming und Kosten


Datenverbindungen über fremde Mobilfunknetzesind deaktiviert.

Daten-Roaming verbieten

VPN-Verbindungen über Mobilfunknetze sinddeaktiviert.

VPN über Mobilfunk verbieten

VPN-Verbindungen über fremde Mobilfunknetzesind deaktiviert.

VPN-Roaming über Mobilfunk verbieten

161

Administratorhilfe



Bing Vision speichert nicht die Bilder, die es beiSuchvorgängen anfertigt.

Bing Vision das Speichern von Bildern aus derSuche verbieten

Für die Suche werden keine Standortinformationenverwendet.

Standortbestimmung bei der Suche verbieten

Benutzer können nicht manuell Root-Zertifikateoder vorläufige CA-Zertifikate installieren.

Manuelle Installation von Root-Zertifikatenverbieten

Alle Datenschutzeinstellungen in der Kategorie„Standort“ sind deaktiviert. Apps können nicht den

Standortbestimmung verbieten

Standortdienst verwenden. Wenn diese Optionaktiviert ist, kann auch Sophos Mobile Controlkeine Standortbestimmung durchführen.

Wählen Sie den Grad der Suchergebnis-Filterungauf den Geräten aus:

SafeSearch-Einstellung

Moderat: Moderates Filtern von erotischenInhalten. Gültige Suchergebnisse werden nichtgefiltert.

Streng: Maximales Filtern von erotischenInhalten.

Deregistrierung


Benutzer können das Gerät nicht über dieSystemsteuerung oder über Tastenkombinationenauf den Auslieferungszustand zurücksetzen.

Auf Werkseinstellungen zurücksetzen verbieten

Benutzer können das Arbeitsplatzkonto nichtlöschen.

Manuelle MDM-Deregistrierung verbieten

14.18.3 Konfiguration „Exchange ActiveSync“ (Windows-Mobile-Richtlinie)Mit der Konfiguration „Exchange ActiveSync“ definieren Sie Benutzereinstellungen für IhrenMicrosoft Exchange Server.

162










Benutzer



E-Mail-Adresse



Kennwort








SSL


14.18.4 Konfiguration „WLAN“ (Windows-Mobile-Richtlinie)Mit der Konfiguration „WLAN“ legen Sie Einstellungen für die Verbindung mitWLAN-Netzwerken fest.

163

Administratorhilfe


Geben Sie in diesem Feld die ID desWLAN-Netzwerks ein.

SSID

Die Verbindung wird automatisch hergestellt.Automatisch verbinden


Wählen Sie den Sicherheitstyp aus der Liste aus.Wenn Sie WPA-PSK oder WPA2-PSK auswählen,müssen Sie das Kennwort angeben.

Sicherheitstyp

Wenn Sie Manuell aus der Liste auswählen,müssen Sie einen Server und einen Port angeben.

Proxy

14.18.5 Konfiguration „App-Einschränkungen“ (Windows-Mobile-Richtlinie)Mit der Konfiguration „App-Einschränkungen“ legen Sie Apps fest, die auf den Geräten erlaubtsind oder blockiert werden.


Enthält eine Liste bestimmter Apps, die vomBenutzer auf dem Gerät installiert und verwendet

Erlaubte Apps

werden dürfen. Benutzer können keine Appsinstallieren oder verwenden, die nicht explizitaufgeführt sind.

Verwenden Sie Erlaubte Apps, wenn die Appsbekannt sind, die erlaubt werden sollen, und alleanderen Apps blockiert werden sollen.

Enthält eine Liste bestimmter Apps, die vomBenutzer auf dem Gerät nicht installiert werden

Unzulässige Apps

dürfen. Benutzer können alle Apps installieren, dienicht explizit aufgeführt sind.

Verwenden Sie Unzulässige Apps, wenn die Appsbekannt sind, die blockiert werden sollen, und alleanderen Apps erlaubt werden sollen.

Wählen Sie die App-Gruppe aus, welche die Appsenthält, die erlaubt oder blockiert werden sollen.

Hinweis: Die App-Gruppe muss zuvor erstelltworden sein. Siehe App-Gruppen (Seite 191).

App-Gruppe

14.18.6 Konfiguration „Root-Zertifikat“ (Windows-Mobile-Richtlinie)Mit der Konfiguration „Root-Zertifikat“ installieren Sie ein Root-Zertifikat auf Geräten.

164




14.18.7 Konfiguration „SCEP“ (Windows-Mobile-Richtlinie)Mit der Konfiguration „SCEP“ ermöglichen Sie es Geräten, mittels SCEP (Simple CertificateEnrollment Protocol) Zertifikate von einer CA (Certificate Authority) anzufordern.


Eine Beschreibung der Konfiguration.Beschreibung



URL




Betreff


Zum Beispiel:


Geben SieCN=%_DEVPROP(serial_number)_% ein, umein Gerät zu spezifizieren.

Einzelheiten zu den verfügbaren Platzhaltern findenSie in Platzhalter in Profilen und Richtlinien (Seite75).

Konfigurieren Sie bei Bedarf einen oder mehrereWerte für den Subject Alternative Name (SAN).

Klicken Sie auf Hinzufügen und geben Sieanschließend einen SAN-Typ und einen SAN-Wertein.

Subject Alternative Name

Die Webadresse, unter der das Challenge-Kennwortvom SCEP-Server angefordert wird.

Verwenden Sie die Variable %_CACHALLENGE_%,um auf die Challenge-URL zu verweisen, die auf der

Challenge


165

Administratorhilfe


Das CA-Zertifikat.

Wählen Sie das Zertifikat aus der Liste aus. Die Listeenthält alle Zertifikate aus Konfigurationen vom TypRoot-Zertifikat im aktuellen Profil.

Root-Zertifikat

Die Anzahl an Wiederholungsversuchen, falls derServer mit dem Status Pending antwortet.

Wiederholungen

Die Zeit in Sekunden zwischen zweiWiederholungsversuchen.

Wiederholungsverzögerung



Schlüsselgröße





Wählen Sie einen oder mehrere Hash-Algorithmenaus, die vom SCEP-Server unterstützt werden.

Hash-Algorithmus

14.19 Konfigurationen für Windows-Desktop-RichtlinienMit einer Windows-Desktop-Richtlinie konfigurieren Sie verschiedene Bereiche vonWindows-Desktop-Geräten, wie zum Beispiel Kennwortrichtlinien, Einschränkungen oderWLAN-Einstellungen.

Informationen zur Erstellung einer Windows-Desktop-Richtlinie finden Sie in Profil oderRichtlinie erstellen (Seite 72).

14.19.1 Konfiguration „Kennwortrichtlinien“ (Windows-Desktop-Richtlinie)Mit der Konfiguration „Kennwortrichtlinien“ definieren Sie Kennwortregeln für Geräte.

Hinweis: Bei Windows-Desktop-Geräten gelten feste Regeln für die Kennwortkomplexität(z.B. Länge, Anzahl von Groß- oder Kleinbuchstaben), die nicht über eine Richtlinie in SophosMobile Control festgelegt werden können. Einzelheiten hierzu finden Sie in Komplexitätsregelnfür Windows-Desktop-Kennwörter (Seite 74).

Hinweis: Kennwortrichtlinien können einem Windows-Desktop-Gerät nicht zugewiesenwerden, wenn weitere lokale Benutzer auf dem Gerät eingerichtet sind (zusätzlich zu dembei Sophos Mobile Control registrierten Benutzer), von denen mindestens einer nicht berechtigtist, sein Kennwort zu ändern.

166



Die maximale Anzahl fehlgeschlagenerAnmeldeversuche, nach der das Gerätzurückgesetzt wird.


Maximale Anzahl an Fehlversuchen

Die Zeit (in Minuten), nach der das Gerät gesperrtwird, wenn es nicht benutzt wird. Der Benutzerkann das Gerät entsperren.


Inaktivitätszeit in Minuten bis zur Abfrage desKennworts



Kennwort festlegt, wird es nicht akzeptiert, falls esmit einem bereits benutzten Kennwortübereinstimmt.


Die Anzahl an Tagen, nach denen Benutzer ihrKennwort ändern müssen.



14.19.2 Konfiguration „Einschränkungen“ (Windows-Desktop-Richtlinie)Mit der Konfiguration „Einschränkungen“ definieren Sie Einschränkungen für Geräte.

Gerät


Benutzer können nicht auf die SD-Karte zugreifen.Dies betrifft nicht den Zugriff durch Apps.

SD-Karte verbieten

Hinzufügen aller Arten von E-Mail-Konten sowievon Exchange-, Office 365- undOutlook.com-Konten nicht erlauben.

Manuelles Hinzufügen vonNicht-Microsoft-E-Mail-Konten verbieten

Der Windows-Entwicklermodus ist deaktiviert.Entwicklerfunktionen verbieten

167

Administratorhilfe


Die Datenschutz-Einstellung Apps dieVerwendung meiner Kamera erlauben istdeaktiviert.

Kamera verbieten

Die Einstellung Formulareinträge speichern imWebbrowser Edge ist deaktiviert und kann vomBenutzer nicht aktiviert werden.

Wenn das Kontrollkästchen deaktiviert ist, ist dieEinstellung aktiviert und kann vom Benutzer nichtdeaktiviert werden.

Auto-Ausfüllen in Edge deaktivieren

Die F12-Entwicklertools im Webbrowser Edge sindnicht verfügbar.

Edge-F12-Entwicklertools deaktivieren

Die Einstellung Popups blockieren imWebbrowser Edge ist deaktiviert und kann vomBenutzer nicht aktiviert werden.

Wenn das Kontrollkästchen deaktiviert ist, ist dieEinstellung aktiviert und kann vom Benutzer nichtdeaktiviert werden.

Edge-Popupblocker deaktivieren

Die relevanten Bereiche in derWindows-Systemsteuerung sind nicht verfügbar.

Einstellungen „AutoPlay“ deaktivieren

Einstellungen „Datum und Uhrzeit“ deaktivieren Der Benutzer kann diese Einstellungen nichtändern, nachdem die Richtlinie dem Gerätzugewiesen wurde.

Hinweis: Einstellungen „AutoPlay“deaktivieren wirkt sich nicht auf angeschlosseneGeräte wie zum Beispiel Mobiltelefone aus.

Einstellungen „Sprachen“ deaktivieren

Einstellungen „Netzbetrieb und Energiesparen“deaktivieren

Einstellungen „Region“ deaktivieren

Einstellungen „Anmeldeoptionen“ deaktivieren

Einstellungen „VPN“ deaktivieren

Einstellungen „Arbeitsplatzzugriff“ deaktivieren

Einstellungen „Konten“ deaktivieren

Wählen Sie aus, ob das Gerät Diagnose- undTelemetriedaten senden kann:

Telemetrie

Erlaubt

Erlaubt, außer für sekundäreDatenanforderungen

Nicht erlaubt

168


Verschiedenes


Cortana ist deaktiviert.Cortana verbieten

Geräteeinstellungen können nicht mit anderenWindows-Geräten synchronisiert werden.

„Einstellungen synchronisieren“ verbieten

Die Windows-Einstellung Tipps zu Windowsanzeigen ist deaktiviert und nicht verfügbar.

Windows-Tipps deaktivieren

WLAN


ICS (Internet Connection Sharing) ist deaktiviert.Tethering verbieten

Das Gerät verbindet sich nicht automatisch mitWLAN-Hotspots.

WLAN-Optimierung (Hotspot-Autoverbindung)verbieten

Konnektivität


Bluetooth ist deaktiviert.Bluetooth verbieten



Für die Suche werden keine Standortinformationenverwendet.

Standortbestimmung bei der Suche verbieten

169

Administratorhilfe

Deregistrierung


Benutzer können das Arbeitsplatzkonto nichtlöschen.

Manuelle MDM-Deregistrierung verbieten

14.19.3 Konfiguration „Exchange ActiveSync“ (Windows-Desktop-Richtlinie)Mit der Konfiguration „Exchange ActiveSync“ definieren Sie Benutzereinstellungen für IhrenMicrosoft Exchange Server.

Wichtig: Wenn Sie mehrere Exchange-ActiveSync-Konten einrichten, können die Gerätemöglicherweise nur E-Mails von einem dieser Konten abrufen. Dies passiert typischerweise,wenn die Konten auf unterschiedlichen ActiveSync-Servern liegen und auf diesen Servernunterschiedliche Postfachrichtlinien definiert sind. Da Windows-Desktop-Geräte nur eineeinzelne Postfachrichtlinie erzwingen können, schlägt die Verbindung zu Konten fehl, die eineabweichende Richtlinie verwenden.









Benutzer



E-Mail-Adresse



Kennwort

170










SSL


14.19.4 Konfiguration „WLAN“ (Windows-Desktop-Richtlinie)


Geben Sie in diesem Feld die ID desWLAN-Netzwerks ein.

SSID

Die Verbindung wird automatisch hergestellt.Automatisch verbinden


14.19.5 Konfiguration „Root-Zertifikat“ (Windows-Desktop-Richtlinie)Mit der Konfiguration „Root-Zertifikat“ installieren Sie ein Root-Zertifikat auf Geräten.



171

Administratorhilfe

15 AuftragspaketeMit Auftragspaketen können Sie mehrere Aufträge in einer Transaktion bündeln. Somit könnenSie alle Aufträge bündeln, die für die Registrierung und Konfiguration eines Gerätes notwendigsind:

■ Gerät registrieren.

■ Erforderliche Richtlinien anwenden.

■ Erforderliche Apps installieren (zum Beispiel verwaltete Apps bei iOS-Geräten).

■ Erforderliche Profile anwenden.

Sie können auch Wipe-Befehle in Auftragspakete einbeziehen, um Geräte, die gegenCompliance-Regeln verstoßen (zum Beispiel wegen Jailbreak oder Root-Zugriff), auf denAuslieferungszustand zurückzusetzen. Weitere Informationen finden Sie inCompliance-Richtlinien (Seite 43).

15.1 Auftragspaket erstellen1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Auftragspakete und

wählen Sie Android oder Apple iOS aus.

2. Klicken Sie auf der Seite Auftragspakete auf Auftragspaket erstellen.

Die Seite Auftragspaket bearbeiten wird angezeigt.

3. Geben Sie in den jeweiligen Feldern einen Namen und, optional, eine Version und eineBeschreibung für das neue Auftragspaket ein.

4. Wenn Sie die Option Auswählbar als Compliance-Aktion auswählen, kann dasAuftragspaket auf ein Mobilgerät übertragen werden, wenn gegen eine Compliance-Regelverstoßen wird. Siehe Compliance-Richtlinien (Seite 43).

Hinweis: Diese Option ist deaktiviert, wenn Sie ein vorhandenes Auftragspaket bearbeiten,das bereits als Compliance-Aktion verwendet wird.

5. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Auftragspakete undwählen Sie Android oder Apple iOS aus.

6. Klicken Sie auf Auftrag erstellen.

7. Wählen Sie den Auftragstyp und klicken Sie auf Weiter.

Die nächste Ansicht hängt vom gewählten Auftragstyp ab. In jeder Ansicht können Sieeigene aussagekräftige Auftragsnamen angeben. Diese Auftragsnamen werden währendder Installation im Self Service Portal angezeigt.

8. Folgen Sie den Schritten im Assistent, um den gewünschten Auftrag hinzuzufügen. KlickenSie auf Anwenden, um den Auftrag zu erstellen.

Eine Beschreibung der verfügbaren Auftragstypen finden Sie in Verfügbare Auftragstypenfür Android (Seite 173) und Verfügbare Auftragstypen für iOS (Seite 176).

9. Optional: Fügen Sie weitere Aufgaben zu dem Auftragspaket hinzu.

Tipp: Mit den Sortier-Pfeilsymbolen auf der rechten Seite der Aufträge Liste können Siedie Installationsreihenfolge für die Aufträge festlegen.

172


10. Wenn Sie alle erforderlichen Aufträge zum Auftragspaket hinzugefügt haben, klicken Sieauf der Seite Auftragspaket bearbeiten auf Speichern.

Das Auftragspaket steht für die Übertragung zur Verfügung. Es wird auf der SeiteAuftragspakete angezeigt.

Hinweis: Wenn Sie ein vorhandenes Auftragspaket bearbeiten, das als Einrichtungspaketin den Self Service Portal-Einstellungen verwendet wird, kann der Einrichtungsauftrag nichtgelöscht werden. Siehe Self-Service-Portal-Einstellungen konfigurieren (Seite 27).

15.2 Verfügbare Auftragstypen für AndroidFür Android-Auftragspakete sind die folgenden Auftragstypen verfügbar:

Registrieren

Wenn der Auftrag an Geräte übertragen wird, wird eine Registrierungs-E-Mail an dieE-Mail-Adressen gesendet, die für die einzelnen Geräte konfiguriert sind. Benutzer müssendie in der E-Mail beschriebenen Schritte ausführen, um ihr Gerät zu registrieren.

Wenn der Auftrag an ein Gerät übertragen wird, das bereits registriert ist, wird keineRegistrierungs-E-Mail gesendet.

Profil installieren oder Richtlinie zuweisen

Wählen Sie aus der Liste der verfügbaren Profile und Richtlinien ein Profil oder eine Richtlinieaus. Informationen, wie Sie Profile oder Richtlinien zu dieser Liste hinzufügen, finden Sie inProfile und Richtlinien (Seite 72).

Wenn der Auftrag an Geräte übertragen wird, wird das Profil stillschweigend installiert, d.h.ohne Benutzerinteraktion, bzw. die Richtlinie wird stillschweigend zugewiesen.

Sie können einem Auftragspaket mehrere Aufträge dieses Typs hinzufügen.

Profil entfernen

Wählen Sie unter Quelle auswählen den Eintrag Profile und wählen Sie anschließend einProfil aus der Liste aus.

Neben den Profilen, die auf dem Sophos Mobile Control Server verfügbar sind, werden in derListe auch Profile angezeigt, die auf einem verwalteten Gerät in Verwendung sind.

Sie können auch Profile entfernen, die nicht in der Liste enthalten sind.Wählen Sie Kennungaus und geben Sie anschließend die Kennung eines Profils ein, das Sie von Geräten entfernenwollen.

Wenn der Auftrag an Geräte übertragen wird, wird das Profil stillschweigend entfernt.


Hinweis: Eine Sophos-Container-Richtlinie oder eine Mobile-Security-Richtlinie kann nichtauf diese Weise von Geräten entfernt werden. Verwenden Sie stattdessen die GeräteaktionSophos-Container deregistrieren bzw. SMSec deregistrieren. Dadurch wird auch diejeweils zugehörige Richtlinie vom Gerät entfernt.

173

Administratorhilfe

App installieren

Wählen Sie eine App aus der Liste der verfügbaren Apps aus. Informationen, wie Sie Appszu dieser Liste hinzufügen, finden Sie in App hinzufügen (Seite 180).

Wenn der Auftrag an Geräte übertragen wird, erhalten die Benutzer auf ihren Geräten eineBenachrichtigung darüber, dass Sophos Mobile Control eine App installieren möchte. Benutzerkönnen auf OK tippen, um die Installation durchzuführen, oder auf Nicht jetzt, um nach Ablaufeiner kurzen Zeitspanne erneut aufgefordert zu werden.

Falls Benutzer auf OK tippen, aber dann im nächsten Schritt auf Abbrechen tippen, schlägtder Auftrag fehl.

Falls die App bereits auf einem Gerät installiert ist, das den Auftrag erhält, wird sie aktualisiert.


Berufliche App installieren

Dieser Auftragstyp ist verfügbar, wenn Sie Android for Work für den Kunden konfigurierthaben.

Wählen Sie eine App aus der Liste der verfügbaren beruflichen Apps aus. Informationen, wieSie Apps zu dieser Liste hinzufügen, finden Sie in Berufliche App bearbeiten (Seite 203).

Der Installationsauftrag wird an Google gesendet. Die eigentliche Installation der App aufdem Gerät wird von Google verwaltet. Auf der Seite Auftragsstatus wird der Auftragsstatusals erfolgreich angezeigt, sobald er an Google gesendet wurde.


Alternativ können Sie berufliche Apps auch über die Seite Apps für Android for Workinstallieren. Siehe Berufliche App installieren (Seite 206).

Informationen zur Deinstallation von beruflichen Apps von Geräten finden Sie in BeruflicheApp deinstallieren (Seite 206).

App entfernen

Wählen Sie in Quelle auswählen den Eintrag Apps, um aus der Liste der verfügbaren Appseine App auszuwählen, die entfernt werden soll.

Neben den Apps, die auf dem Sophos Mobile Control Server verfügbar sind, werden in derListe auch Apps angezeigt, die auf einem verwalteten Gerät in Verwendung sind -ausgenommen Android-System-Apps und vom Gerätehersteller vorinstallierte Apps.

Sie können auch Apps entfernen, die nicht in der Liste enthalten sind. Wählen Sie Kennungaus und geben Sie anschließend den Paketnamen der App ein, die Sie von Geräten entfernenwollen. Wenn Sie Knox-Container-App auswählen, wird die App aus demSamsung-Knox-Container entfernt.

Wenn der Auftrag an Geräte übertragen wird, erhalten die Benutzer auf ihren Geräten eineBenachrichtigung darüber, dass Sophos Mobile Control eine App entfernen möchte. Benutzerkönnen auf OK tippen, um die Installation durchzuführen, oder auf Nicht jetzt, um nach Ablaufeiner kurzen Zeitspanne erneut aufgefordert zu werden.

Falls Benutzer auf OK tippen, aber dann im nächsten Schritt auf Abbrechen tippen, schlägtder Auftrag fehl.

174


Falls die App nicht auf einem Gerät installiert ist, das den Auftrag erhält, wird keineBenachrichtigung angezeigt.


Nachricht senden

Geben Sie einen Text ein, der auf den Geräten angezeigt werden soll.

Wenn der Auftrag an Geräte übertragen wird, wird der Hinweistext in einemBenachrichtigungsfenster angezeigt. Benutzer können frühere Nachrichten auf der SeiteNachrichten der App „Sophos Mobile Control“ anzeigen.


Deregistrieren

Wenn der Auftrag an Geräte übertragen wird, werden diese von Sophos Mobile Controlderegistriert. Siehe Geräte deregistrieren (Seite 57). Die Gerätebenutzer müssen der Aktionnicht zustimmen.

Sie können in einem Auftragspaket einen Auftrag Deregistrieren nicht zusammen mit einemAuftrag Zurücksetzen verwenden.

Zurücksetzen

Wenn der Auftrag an Geräte übertragen wird, werden diese auf den Auslieferungszustandzurückgesetzt. Die Gerätebenutzer müssen der Aktion nicht zustimmen.

Wichtig: Verwenden Sie diesen Auftragstyp mit Bedacht. Auf den Geräten, die den Auftragerhalten, werden sämtliche Daten ohne Benutzerzustimmung gelöscht.

Hinweis: Wenn ein Auftrag vom Typ Zurücksetzen an ein Gerät übertragen wird, das beiAndroid for Work registriert ist, werden nur das Arbeitsprofil und alle beruflichen Apps entfernt.


Knox-Container: sperren

Wenn der Auftrag an ein Samsung-Gerät übertragen wird, das Samsung Knox unterstützt,wird der Knox-Container gesperrt.

Wenn der Auftrag an ein Gerät übertragen wird, das Samsung Knox nicht unterstützt, schlägtder Auftrag fehl.

Knox-Container: entsperren

Wenn der Auftrag an ein Samsung-Gerät übertragen wird, das Samsung Knox unterstützt,wird der Knox-Container entsperrt.


175

Administratorhilfe

Knox-Container: Kennwort zurücksetzen

Wenn der Auftrag an ein Samsung-Gerät übertragen wird, das Samsung Knox unterstützt,wird das Knox-Container-Kennwort zurückgesetzt. Benutzer müssen ein neues Kennwortfestlegen, um den Knox-Container zu entsperren.


Knox-Container: entfernen

Wenn der Auftrag an ein Samsung-Gerät übertragen wird, das Samsung Knox unterstützt,wird der Knox-Container (inklusive aller zugehörigen Einstellungen) entfernt.


SMSec-Scan auslösen

Wenn der Auftrag an Geräte übertragen wird, wird die App „Sophos Mobile Security“stillschweigend angewiesen, das Gerät auf Malware und PUAs (Potentially Unwanted Apps)zu scannen.

Dieser Auftrag kann nur ausgeführt werden, wenn Sophos Mobile Security von Sophos MobileControl verwaltet wird, d.h., wenn dem Gerät eine Mobile-Security-Richtlinie zugewiesen ist.Siehe Sophos Mobile Security verwalten (Seite 212).

Falls der Auftrag an ein Gerät übertragen wird, auf dem Sophos Mobile Security nicht vonSophos Mobile Control verwaltet wird, d.h., wenn dem Gerät keine Mobile-Security-Richtliniezugewiesen ist, verbleibt der Auftrag im Status Wiederholung geplant.

15.3 Verfügbare Auftragstypen für iOSFür iOS-Auftragspakete sind die folgenden Auftragstypen verfügbar:

Registrieren

Wenn der Auftrag an Geräte übertragen wird, wird eine Registrierungs-E-Mail an dieE-Mail-Adressen gesendet, die für die einzelnen Geräte konfiguriert sind. Benutzer müssendie in der E-Mail beschriebenen Schritte ausführen, um ihr Gerät zu registrieren.

Wenn der Auftrag an ein Gerät übertragen wird, das bereits registriert ist, wird keineRegistrierungs-E-Mail gesendet.

Profil installieren oder Richtlinie zuweisen

Wählen Sie aus der Liste der verfügbaren Profile und Richtlinien ein Profil oder eine Richtlinieaus. Informationen, wie Sie Profile oder Richtlinien zu dieser Liste hinzufügen, finden Sie inProfile und Richtlinien (Seite 72).

Wenn der Auftrag an Geräte übertragen wird, wird das Profil stillschweigend installiert, d.h.ohne Benutzerinteraktion, bzw. die Richtlinie wird stillschweigend zugewiesen.


176


Profil entfernen

Wählen Sie unter Quelle auswählen den Eintrag Profile und wählen Sie anschließend einProfil aus der Liste aus.


Sie können auch Profile entfernen, die nicht in der Liste enthalten sind.Wählen Sie Kennungaus und geben Sie anschließend die Kennung eines Profils ein, das Sie von Geräten entfernenwollen.

Wenn der Auftrag an Geräte übertragen wird, wird das Profil stillschweigend entfernt.


Hinweis: Eine Sophos-Container-Richtlinie kann nicht auf diese Weise von Geräten entferntwerden. Verwenden Sie stattdessen die Geräteaktion Sophos-Container deregistrieren.Dadurch wird auch die zugehörige Richtlinie vom Gerät entfernt.

Provisionierungsprofil installieren

Wählen Sie ein App-Provisionierungsprofil aus der Liste der verfügbaren Profile aus.Informationen, wie Sie Profile zu dieser Liste hinzufügen, finden Sie in Provisionierungsprofilefür iOS-Apps importieren (Seite 74).

Wenn der Auftrag an Geräte übertragen wird, wird das Provisionierungsprofil stillschweigendinstalliert.

Provisionierungsprofil entfernen

Wählen Sie unter Quelle auswählen den Eintrag Profile und wählen Sie anschließend einProvisionierungsprofil aus der Liste aus.


Sie können auch Provisionierungsprofile entfernen, die nicht in der Liste enthalten sind.Wählen Sie Kennung aus und geben Sie anschließend die Kennung eines Profils ein, dasSie von Geräten entfernen wollen.

Wenn der Auftrag an Geräte übertragen wird, wird das Provisionierungsprofil stillschweigendentfernt.

App installieren

Wählen Sie eine App aus der Liste der verfügbaren Apps aus. Informationen, wie Sie Appszu dieser Liste hinzufügen, finden Sie in App hinzufügen (Seite 180).

Wenn der Auftrag an Geräte übertragen wird, erhalten die Benutzer auf ihren Geräten eineBenachrichtigung darüber, dass Sophos Mobile Control eine App installieren möchte. Benutzerkönnen auf Installieren tippen, um die Installation durchzuführen, oder auf Abbrechen, umdie Installation abzulehnen.

Falls Benutzer die Installation ablehnen, schlägt der Auftrag fehl.

Falls die App bereits auf einem Gerät installiert ist, das den Auftrag erhält, wird sie aktualisiert.


177

Administratorhilfe

App entfernen

Wählen Sie in Quelle auswählen den Eintrag Apps, um aus der Liste der verfügbaren Appseine App auszuwählen, die entfernt werden soll.

Neben den Apps, die auf dem Sophos Mobile Control Server verfügbar sind, werden in derListe auch Apps angezeigt, die auf einem verwalteten Gerät in Verwendung sind -ausgenommen iOS-System-Apps.

Sie können auch Apps entfernen, die nicht in der Liste enthalten sind. Wählen Sie Kennungaus und geben Sie anschließend die Bundle-ID der App ein, die Sie von Geräten entfernenwollen.

Wenn der Auftrag an Geräte übertragen wird, wird die App stillschweigend entfernt.


Nachricht senden

Geben Sie einen Text ein, der auf den Geräten angezeigt werden soll.

Wenn der Auftrag an Geräte übertragen wird, wird der Hinweistext in einemBenachrichtigungsfenster angezeigt. Benutzer können frühere Nachrichten auf der SeiteNachrichten der App „Sophos Mobile Control“ anzeigen.


Deregistrieren

Wenn der Auftrag an Geräte übertragen wird, werden diese von Sophos Mobile Controlderegistriert. Siehe Geräte deregistrieren (Seite 57). Die Gerätebenutzer müssen der Aktionnicht zustimmen.


Zurücksetzen

Wenn der Auftrag an Geräte übertragen wird, werden diese auf den Auslieferungszustandzurückgesetzt. Die Gerätebenutzer müssen der Aktion nicht zustimmen.

Wichtig: Verwenden Sie diesen Auftragstyp mit Bedacht. Auf den Geräten, die den Auftragerhalten, werden sämtliche Daten ohne Benutzerzustimmung gelöscht.


15.4 Auftragspakete duplizierenDa das Erstellen eines Auftragspakets zeitaufwändig sein kann, können Sie bereits vorhandeneAuftragspakete duplizieren. Diese Funktion ist hilfreich, wenn mehrere umfangreicheAuftragspakete mit ähnlichen Aufträgen erforderlich sind. Es müssen dann nur wenige Aufträgegelöscht oder hinzugefügt werden.

178


Hinweis: Sie können Auftragspakete nur dann duplizieren, wenn sie nicht gleichzeitigbearbeitet werden. Die Kopien werden mit „Copy of“ und dem Namen des Originalprofilsbenannt. Sie können die Namen der Pakete nach Ihren Anforderungen ändern.

1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Auftragspakete undwählen Sie Android oder Apple iOS aus.

Die Seite Auftragspakete wird angezeigt.

2. Klicken Sie auf das blaue Dreieck neben dem Auftragspaket, das Sie duplizieren möchten,und dann auf Duplizieren.

Das Auftragspaket wird dupliziert und auf der Seite Auftragspakete angezeigt. Sie könnendas duplizierte Auftragspaket nun bearbeiten. Um das Auftragspaket zu bearbeiten, klickenSie auf das daneben stehende blaue Dreieck und dann auf Bearbeiten.

15.5 Auftragspakete an einzelne Geräte oderGerätegruppen übertragen1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Auftragspakete und

wählen Sie Android oder Apple iOS aus.

Die Seite Auftragspakete wird angezeigt.

2. Klicken Sie auf das blaue Dreieck neben dem betreffenden Auftrag und dann aufÜbertragen.



■ Wählen Sie einzelne Geräte aus, an die das Auftragspaket übertragen werden soll.■ Klicken Sie auf Gerätegruppen auswählen, um die Seite Gerätegruppen auswählen

zu öffnen. Wählen Sie dann eine oder mehrere Gerätegruppen für die Übertragungdes Auftragspakets aus.

4. Wenn Sie Ihre Auswahl getroffen haben, klicken Sie auf Weiter.

Die Seite Ausführungszeit wählen wird angezeigt.

5. Wählen Sie unter Datum die Option Sofort oder geben Sie ein Datum und eine Uhrzeitfür die Ausführung dieses Auftrags an.


Die Auftragsstatus Ansicht wird angezeigt.

Das Auftragspaket wird zum angegebenen Zeitpunkt auf die ausgewählten Geräte übertragen.

179

Administratorhilfe

16 AppsSie konfigurieren Apps in Sophos Mobile Control, damit diese von der Sophos Mobile ControlKonsole aus (Administrator-initiiert) oder von der App „Sophos Mobile Control“ aus(Benutzer-initiiert) installiert werden können.

Sie haben folgende Möglichkeiten, eine App in Sophos Mobile Control verfügbar machen:

■ Sie laden das App-Paket auf den Sophos Mobile Control Server hoch. Diese Option istnicht für Windows-Mobile-Apps verfügbar.

■ Sie geben den Link zu der App im jeweiligen App Store an.

Eine Beschreibung beider Verfahren finden Sie im Abschnitt App hinzufügen (Seite 180).

Um eine App auf einem Gerät zu installieren, erstellen Sie ein Auftragspaket, das einen AuftragApp installieren enthält. Für Android- und iOS-Geräte können Sie ein solches Auftragspaketdirekt auf der Seite Apps erstellen. Siehe App installieren (Seite 182).

Hinweis:

Damit App-Pakete, die auf dem Sophos Mobile Control Server gespeichert sind, installiertwerden können, im Gegensatz zur Installation aus dem jeweiligen App-Store, müssen diefolgenden Bedingungen erfüllt sein:

■ Android: Auf den Geräten muss die Android-Sicherheitseinstellung Unbekannte Herkunftaktiviert sein. Falls Unbekannte Herkunft deaktiviert ist während Sie versuchen, eineAPK-Datei zu installieren, erhalten die Benutzer von der App „Sophos Mobile Control“einen Hinweis, wie sie diese Einstellung aktivieren können. Diese Einschränkung gilt nichtfür Geräte mit LG GATE, Samsung Knox oder Sony Enterprise API.

■ iOS: Die App-Installation über IPA-Dateien ist nur für selbstentwickelte Apps möglich.Wenn die App fertiggestellt ist und verteilt werden kann, müssen Sie einProvisionierungsprofil für die App erstellen dieses auf den Geräten verfügbar machen,entweder, indem Sie es vorab separat installieren, oder, indem Sie es in die IPA-Datei derApp integrieren. Sie können Sophos Mobile Control verwenden, um Provisionierungsprofilean Ihre iOS-Geräte zu verteilen. Siehe Provisionierungsprofile für iOS-Apps importieren(Seite 74). Details zu Provisionierungsprofilen finden Sie in der iOS Developer Library.

16.1 App hinzufügenSie stellen eine App für die Installation zur Verfügung, indem Sie entweder das App-Pakethochladen oder den App-Link im jeweiligen App Store angeben.

1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Apps und wählen Sieanschließend die Plattform aus, für die Sie eine App hinzufügen wollen.

2. Klicken Sie auf der Seite Apps auf App hinzufügen und wählen Sie dann folgendes aus:

■ Android-Paket oder iOS-Paket, um die App durch Hochladen der APK-Datei (fürAndroid) oder der IPA-Datei (für iOS) hinzuzufügen.

■ Android-Link, iOS-Link oder Windows Mobile-Link, um die App durch Angabe desLinks im jeweiligen App Store hinzuzufügen.

Auf der nächsten Seite konfigurieren Sie die App-Details.

Hinweis: Für iOS-Links können Sie auf In iTunes suchen klicken, um in deriTunes-Datenbank nach der App zu suchen. Wenn Sie in den Suchergebnissen eine App

180


auswählen, werden die relevanten Felder auf der Seite iOS-Link bearbeiten mit denentsprechenden Werten aus iTunes ausgefüllt.

3. Geben Sie einen Name für die neue App ein.

4. Optional: Geben Sie für App-Pakete eine Version ein, die im Enterprise App Storeangezeigt wird.

Für App-Links für als Version Google Play Store bzw. App Store angezeigt. ImEnterprise App Store wird die jeweilige Versionsnummer aus dem App-Store angezeigt.

5. Optional: Geben Sie im Feld Kennung die interne App-Kennung ein.

Lassen Sie dieses Feld leer, falls Sie die genaue App-Kennung nicht kennen. In denmeisten Fällen kann Sophos Mobile Control den Wert aus der App ermitteln und füllt diesesFeld automatisch aus.

6. Optional: Geben Sie im Feld App-Kategorie eine Kategorie ein, zum Beispiel Empfohlen.

Wen Sie die App, wie im nächsten Schritt beschrieben, im Enterprise App Store verfügbarmachen, wird die App in einem Abschnitt mit diesem Titel aufgeführt.

7. Sie können die App im Enterprise App Store verfügbar machen, damit die Installation vomBenutzer initiiert werden kann. Klicken Sie neben Verfügbar für Gerätegruppen aufAnzeigen und wählen Sie eine oder mehrere Gerätegruppen aus, für welche die App imEnterprise App Store aufgeführt wird.

8. Wenn Sie für iOS-Geräte SMC-verwaltete Installation auswählen, wird die App alsverwaltete App installiert.

Einige Einstellungen in Geräteprofilen sind nur für verwaltete Apps verfügbar.

Hinweis: Die Einstellung SMC-verwaltete Installation beeinflusst nur Apps, die vomBenutzer über den Enterprise App Store installiert werden. Apps, die Sie von der SophosMobile Control Konsole aus installieren, sind immer verwaltet.

Informationen zu verwalteten Apps finden Sie in Verwaltete iOS-Apps (Seite 183).

9. Optional: Geben Sie im Feld Beschreibung eine Beschreibung ein, die im Enterprise AppStore angezeigt wird.

Hinweis: Innerhalb Ihres Beschreibungstextes können Sie den Platzhalter%_appstoretext_% verwenden. Im Enterprise App Store wird dann die jeweiligeApp-Beschreibung aus Google Play oder dem App Store angezeigt.

10. Klicken Sie neben Betriebssysteme auf Anzeigen und wählen Sie dieBetriebssystemversionen aus, für welche die App aufgeführt wird.

11. Wenn Sie für Samsung-Knox-Geräte In Knox-Container installieren auswählen, wirddie App im Knox-Container installiert.

Diese Option ist nur verfügbar, wenn auf der Seite Systemeinstellungen einSamsung-Knox-Premium-Lizenzschlüssel konfiguriert ist.

12. Konfigurieren Sie die App-Quelle.

■ Für App-Links geben Sie im Feld Link die URL der App im jeweiligen App Store ein.

Um die URL zu bestimmen, klicken Sie auf den Link unterhalb des Feldes Link, umden App Store in einer neuen Browser-Registerkarte zu öffnen, und navigieren Sie zuder gewünschten App. Kopieren Sie anschließend die URL aus der Adresszeile in dasFeld Link.

181

Administratorhilfe

■ Für App-Pakete klicken Sie auf Datei hochladen, um die App auf den Sophos MobileControl Server hochzuladen. Navigieren Sie zu der APK-Datei (für Android) oder derIPA-Datei (für iOS) und klicken Sie auf Öffnen.

Hinweis:

Die Dateigröße des Pakets darf einen festgelegten Wert nicht übersteigen.

Bei lokalen Installation wird dieser Wert von Ihrem Superadministrator festgelegt. BeiSophos Mobile Control as a Service beträgt der Wert 100 MB pro Paket.

13. Nachdem Sie die App-Details konfiguriert haben, klicken Sie auf Speichern, um dieApp-Einstellungen zu speichern und auf die Seite Apps zurückzukehren.

Die App steht für die Installation zur Verfügung. Sie wird auf der Seite Apps angezeigt. FallsSie das Feld Verfügbar für Gerätegruppen konfiguriert haben, wird die App auch imEnterprise App Store der App „Sophos Mobile Control“ angezeigt und kann von dort von denBenutzern installiert werden. Der Installationsvorgang läuft ohne oder nur mit sehr geringerBenutzerinteraktion.

16.2 App installierenHinweis: Dieser Abschnitt gilt nur für Android- und iOS-Geräte.

Eine App, die Sie wie in App hinzufügen (Seite 180) beschrieben zu Sophos Mobile Controlhinzugefügt haben, können Sie manuell auf ausgewählten Geräten oder Gerätegruppeninstallieren.

1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Apps und klicken Sieanschließend auf Android oder Apple iOS.

2. Klicken Sie auf der Seite Apps auf das blaue Dreieck neben der gewünschten App unddann auf Installieren.

3. Wählen Sie die Geräte aus, auf denen Sie die App installieren wollen. Gehen Sie auf eineder folgenden Weisen vor:

■ Wählen Sie einzelne Geräte aus.■ Klicken Sie auf Gerätegruppen auswählen und wählen Sie anschließend eine oder



4. Geben Sie auf der Seite Ausführungszeit wählen den Zeitpunkt an, zu dem die Appinstalliert wird:

■ Für eine sofortige Ausführung wählen Sie Sofort aus.■ Für eine geplante Ausführung wählen Sie Datum aus und geben Sie anschließend

Datum und Uhrzeit ein.


Die ausgewählte App wird zum festgelegten Zeitpunkt auf den ausgewählten Geräten installiert.

Auf betreuten (supervised) iOS-Geräten und auf Android-Geräten, auf denen die App „SophosSamsung Plugin“ installiert ist, werden Apps stillschweigend, d.h. ohne Benutzer-Interaktion,installiert.

16.3 App deinstallierenHinweis: Dieser Abschnitt gilt nur für Android- und iOS-Geräte.

182


Eine App, die Sie wie in App hinzufügen (Seite 180) beschrieben zu Sophos Mobile Controlhinzugefügt haben, können Sie manuell von ausgewählten Geräten oder Gerätegruppendeinstallieren.

1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Apps und klicken Sieanschließend auf Android oder Apple iOS.

2. Klicken Sie auf der Seite Apps auf Deinstallieren.

3. Wählen Sie die Geräte aus, von denen Sie die App deinstallieren wollen. Gehen Sie aufeine der folgenden Weisen vor:




4. Wählen Sie auf der Seite App auswählen die gewünschte App aus.

5. Geben Sie auf der Seite Ausführungszeit wählen den Zeitpunkt an, zu dem die Appdeinstalliert wird:




Die ausgewählte App wird zum festgelegten Zeitpunkt von den ausgewählten Gerätendeinstalliert.

Auf betreuten (supervised) iOS-Geräten werden verwaltete Apps stillschweigend, d.h. ohneBenutzer-Interaktion, deinstalliert.

Tipp: Alternativ können Sie mit der folgenden Methode eine App von einem einzelnen Gerätdeinstallieren: Öffnen Sie die Seite Gerät anzeigen für das gewünschte Gerät, wechseln Sieauf die Registerkarte Installierte Apps und klicken Sie auf das Mülleimer-Symbol neben demApp-Namen.

16.4 Verwaltete iOS-AppsWenn Sie iOS-Apps zu Sophos Mobile Control hinzufügen, können Sie einstellen, ob dieseauf den Geräten der Benutzer verwaltet oder nicht verwaltet installiert werden.

Verwaltete Apps haben folgende Eigenschaften:

■ Wenn Benutzer eine verwaltete App im Enterprise App Store auswählen, wird einInstallationsauftrag erstellt, der von Sophos Mobile Control bearbeitet wird.Wenn Benutzerdagegen eine nicht verwaltete App auswählen, werden Sie für die Installation zum AppleApp Store weitergeleitet.

■ Sie können verwaltete Apps von der Sophos Mobile Control Konsole aus deinstallieren.Für nicht verwaltete Apps ist dies nicht möglich.

■ Auf betreuten (supervised) iOS-Geräten werden verwaltete Apps stillschweigend, d.h.ohne Benutzer-Interaktion, installiert und deinstalliert.

■ In iOS-Geräteprofilen sind einige Einstellungen nur für verwaltete Apps verfügbar.

■ Wenn ein iOS-Gerät bei Sophos Mobile Control deregistriert wird, werden alle verwaltetenApps automatisch vom Gerät entfernt. Nicht verwaltete Apps bleiben auf dem Gerät.

183

Administratorhilfe

Ob eine App verwaltet oder nicht verwaltet installiert wird, ergibt sich aus folgenden Regeln:

■ Apps, die Sie von der Sophos Mobile Control Konsole aus installieren, sind immer verwaltet.

■ Apps, die der Benutzer über den App Store installiert, sind immer nicht verwaltet.

■ Apps, die der Benutzer über den Enterprise App Store installiert, sind verwaltet, wenn Siein den App-Eigenschaften die Einstellung SMC-verwaltete Installation aktiviert haben.Siehe App hinzufügen (Seite 180).

Um den Status einer App auf einem Gerät festzustellen, öffnen Sie die Seite Gerät anzeigenfür das Gerät und wechseln Sie zu der Registerkarte Installierte Apps. Siehe Die Seite „Gerätanzeigen“ (Seite 58).

Tipp: Sie können Apps, die vom Benutzer nicht verwaltet installiert wurden, in verwalteteApps umwandeln. Konfigurieren Sie hierzu die App in Sophos Mobile Control als verwaltetund erstellen Sie anschließend einen Installationsauftrag. Da die App bereits installiert ist,wird sie nicht erneut installiert. Allerdings ändert sich der Status von nicht verwaltet in verwaltet.

16.5 Über Apple VPP erworbene Apps verwaltenMit dem Apple-Programm für Volumenlizenzen (Volume Purchase Program, kurz VPP) könnenSie iOS-Apps in großen Mengen kaufen und diese im Unternehmen bereitstellen.

Wenn eine über Apple VPP abgewickelte Bestellung abgeschlossen ist, können Sie ein sToken(Service-Token) herunterladen, das die Lizenzen für die erworbenen Apps enthält.

In Sophos Mobile Control können Sie die im sToken enthaltenen Lizenzen Ihren Benutzernzur Verfügung stellen, indem Sie diese dazu einladen, autorisierte Apple-VPP-Benutzer zuwerden. Nachdem die Benutzer die Einladung akzeptiert haben, sind sie autorisierteVPP-Benutzer und Sie können ihnen VPP-Apps zuweisen. Benutzer können zugewieseneApps mittels iTunes auf ihren Geräten installieren.

Sie können VPP-Apps auch Geräten zuweisen. Dazu muss auf den Geräten iOS 9 oder höherinstalliert sein. Geräte müssen nicht zu VPP eingeladen werden. Sie installieren einezugewiesene VPP-App auf einem Gerät mittels Sophos Mobile Control.

Für die Einladung von Benutzern zur VPP-Autorisierung gibt es unterschiedlicheVorgehensweisen, je nachdem, ob Sie in Sophos Mobile Control eine interne oder externeBenutzerverwaltung verwenden. Die Anleitungen in diesem Abschnitt gelten für beide Fälle.

Informationen zur internen und externen Benutzerverwaltung finden Sie im englischsprachigenDokument Sophos Mobile Control Super Administrator Guide.

Detaillierte Informationen zur Registrierung und zur Benutzung von Apple VPP finden Sieunter http://www.apple.com/de/business/vpp/.

Detaillierte Informationen, wie Sie VPP-Apps Benutzern oder Geräten zuweisen, finden Siein VPP-Apps automatisch zuweisen (Seite 187) und VPP-Apps manuell zuweisen (Seite 188).

16.5.1 VPP sToken einrichten

Um in Sophos Mobile Control Lizenzen für Apps bereitzustellen, die Sie über dasApple-Programm für Volumenlizenzen (VPP) erworben haben, müssen Sie ein sToken(Service-Token) einrichten.


2. Klicken Sie auf der Seite Systemeinstellungen auf die Registerkarte Apple VPP.

184



http://www.apple.com/business/vpp/

3. Klicken Sie auf den Link Apple iTunes VPP Portal.

Dies öffnet das Apple-VPP-Webportal in einem neuen Browser-Fenster.

4. Wählen Sie auf dieser Webseite den Punkt Unternehmen aus.

5. Geben Sie im Dialog Store für Unternehmen: Anmeldung Ihre Apple-ID und Ihr Kennwortein.

6. Navigieren Sie zu der Seite Account Summary und klicken Sie auf Download Token.

Das sToken wird generiert und, abhängig von den Download-Einstellungen IhresWebbrowsers, auf Ihrem lokalen Computer in einer Textdatei mit Endung .vpptokengespeichert.

7. Optional: Verschieben Sie die sToken-Datei an einen Ort, auf den Sie von der SophosMobile Control Konsole aus zugreifen können.

8. Gehen Sie in der Sophos Mobile Control Konsole zurück zu der Registerkarte Apple VPP,klicken Sie auf Datei hochladen, wählen Sie die sToken-Datei aus und klicken Sieanschließend auf Öffnen.

Sophos Mobile Control liest die Datei ein und füllt die Felder Organisation undAblaufdatum mit den Angaben aus dem sToken.

9. In der Liste VPP-Apps automatisch bei der Installation zuweisen können Sie dieautomatische Zuweisung von VPP-Apps konfigurieren. Siehe VPP-Apps automatischzuweisen (Seite 187).

10. Optional: Füllen Sie die weiteren Felder auf der Registerkarte Apple VPP aus.

Im Feld Country (Land) geben Sie Ihren zweistelligen Landescode ein, zum Beispiel DEfür Deutschland.


Hinweis: Zur Benachrichtigung über den bevorstehenden Ablauf des sToken sendet SophosMobile Control mehrere E-Mail-Erinnerungen an alle Administratoren, beginnend 30 Tagevor dem Ablaufdatum.

16.5.2 Benutzer zu Apple VPP einladen

Bevor Sie Benutzer zum Apple-Programm für Volumenlizenzen (VPP) einladen können,müssen Sie ein sToken einrichten. Siehe VPP sToken einrichten (Seite 184).


2. Auf der Seite Benutzer anzeigen können Sie alle oder einzelne Benutzer zu Apple VPPeinladen:

■ Um alle Benutzter einzuladen:

1. Klicken Sie oben auf der Seite Benutzer anzeigen auf Benutzer zu Apple VPPeinladen.

2. Klicken Sie im Bestätigungsdialog auf Ja.

■ Um einen einzelnen Benutzer einzuladen:

1. Klicken Sie auf den gewünschten Benutzernamen.2. Klicken Sie auf der Seite Benutzer anzeigen auf Benutzer zum VPP einladen.3. Klicken Sie im Bestätigungsdialog auf Ja.

185

Administratorhilfe

■ Um einen einzelnen Benutzer einzuladen, wenn Sie eine externe Benutzerverwaltungverwenden und der Benutzer noch keine Geräte registriert hat:

1. Klicken Sie oben auf der Seite Benutzer anzeigen auf Benutzer suchen und zuApple VPP einladen.

2. Geben Sie im Dialog Benutzer suchen entweder einen Namen oder eineE-Mail-Adresse ein, um nach dem Benutzer zu suchen.

3. Wählen Sie in der Liste der Suchergebnisse den Benutzer aus, den Sie zu AppleVPP einladen wollen.


Sophos Mobile Control schickt eine Einladungs-E-Mail an alle betroffenen Benutzer.

Die Benutzer müssen den Link aus der Einladungs-E-Mail verwenden, um ihrApple-iTunes-Konto mit Apple VPP zu verknüpfen. Danach können sie die von IhremUnternehmen lizenzierten Apps installieren und verwenden.

Hinweis:

Wenn Sie ein externes Benutzerverzeichnis verwenden und alle Benutzer zu Apple VPPeinladen, werden Benutzer, für die keine E-Mail-Adresse hinterlegt ist, zwar für Apple VPPregistriert. Sie erhalten aber nicht den Link, mit dem sie ihr Apple-iTunes-Konto mit AppleVPP verknüpfen können.

Information, wie Sie in diesem Fall den Registrierungsprozess für Apple VPP abschließenkönnen, finden Sie in Benutzer ohne E-Mail-Adresse zu Apple VPP einladen (Seite 186).

16.5.3 Benutzer ohne E-Mail-Adresse zu Apple VPP einladen

Voraussetzung: Diese Prozedur setzt ein Superadministrator-Konto voraus und gilt dahernicht für Sophos Mobile Control as a Service.

Wenn Sie Benutzer aus einem externen Benutzerverzeichnis wie in Benutzer zu Apple VPPeinladen (Seite 185) beschrieben zu Apple VPP einladen, werden Benutzer, für die keineE-Mail-Adresse hinterlegt ist, zwar für Apple VPP registriert. Sie erhalten aber nicht den Link,mit dem sie ihr Apple-iTunes-Konto mit Apple VPP verknüpfen können.

Führen Sie in diesem Fall die folgenden Schritte aus, um die Apple-VPP-Registrierungabzuschließen.

1. Melden Sie sich als Sophos Mobile Control Superadministrator an und laden Sie dieLogdateien des Servers herunter.

Siehe das englischsprachige Dokument Sophos Mobile Control Super Administrator Guide.

2. Ermitteln Sie anhand der Logdateien die betroffenen Benutzerkonten.

3. Klicken Sie im Abschnitt VERWALTUNG der Menüleiste der Sophos Mobile ControlKonsole auf Benutzer.

4. Klicken Sie auf der Seite Benutzer anzeigen auf den Namen eines der betroffenenBenutzer.

5. Klicken Sie auf der Seite Benutzer anzeigen auf Einladungslink anzeigen.

Bei externen Benutzern ohne E-Mail-Adresse wird hierdurch keine Einladungs-E-Mailverschickt, sondern es wird der Einladungslink in einem Benachrichtigungsfenster angezeigt.

6. Teilen Sie diesen Link dem Benutzer mit.

7. Wiederholen Sie dies für alle betroffenen Benutzer.

Die Benutzer müssen den Link verwenden, um ihr Apple-iTunes-Konto mit Apple VPP zuverknüpfen.

186



16.5.4 Apple-VPP-Benutzer verwalten

Wenn Sie wie in VPP sToken einrichten (Seite 184) beschrieben ein Apple VPP sTokeneingerichtet haben, enthält die Seite Benutzer anzeigen einen Abschnitt Apple Programmfür Volumenlizenzen (VPP).

In diesem Abschnitt können Sie die folgenden Aufgaben ausführen, um den VPP-Status einesBenutzers anzuzeigen oder zu bearbeiten:

■ Apple-VPP-Benutzerstatus anzeigen. Mögliche Werte sind:

■ Nicht registriert: Der Benutzer wurde noch nicht zu Apple VPP eingeladen.

■ Registriert: Der Benutzer wurde zu Apple VPP eingeladen, hat sein Apple-iTunes-Kontoaber noch nicht mit Apple VPP verknüpft.

■ Verbunden: Der Benutzer hat sein Apple-iTunes-Konto mit Apple VPP verknüpft undkann VPP-Apps installieren.

■ Vom Benutzer installierte VPP-Apps anzeigen.

■ Den Benutzer zu Apple VPP einladen, indem Sie auf Benutzer zu VPP einladen klicken.

In der Regel wird eine E-Mail mit einem Einladungslink an den Benutzer verschickt. Wennim Benutzerkonto keine E-Mail-Adresse hinterlegt ist, wird der Einladungslink in einemHinweisfenster angezeigt.

■ Eine erneute Einladungs-E-Mail verschicken, falls der Benutzer die initiale E-Mail nichterhalten oder verloren hat, indem Sie auf Einladungs-E-Mail erneut senden klicken.

■ Die Registrierung des Benutzers zu Apple VPP aufheben, indem Sie auf VPP-Registrierunglöschen klicken.

16.5.5 VPP-Apps automatisch zuweisen

Standardmäßig werden Apps, die Sie über das Apple-Programm für Volumenlizenzen (VPP)erworben haben, automatisch dem Gerät zugewiesen, auf dem die App installiert wird. Wenndas Gerät die Zuweisung von VPP-Apps nicht unterstützt, wird die App dem Benutzerzugewiesen, der dem Gerät zugewiesen ist.

Hinweis: Die Zuweisung von VPP-Apps unterstützen nur Geräte, die den Status Verwaltethaben und iOS 9 oder höher verwenden.

Sie können diese Reihenfolge umkehren und Benutzerzuweisungen gegenüberGerätezuweisungen bevorzugen. Sie können auch die automatische Zuweisung deaktivierenund VPP-Apps stattdessen manuell zuweisen. Siehe VPP-Apps manuell zuweisen (Seite 188).

Die automatische Zuweisung von VPP-Apps wird pro Kunde konfiguriert.


2. Klicken Sie auf der Seite Systemeinstellungen auf die Registerkarte Apple VPP.

3. Wählen Sie in der Liste VPP-Apps automatisch bei der Installation zuweisen diegewünschte Option aus:

■ Bevorzugt an Gerät: Sofern das Gerät dies unterstützt, wird die VPP-App dem Gerätzugewiesen. Andernfalls wird die App dem Benutzer zugewiesen, der dem Gerätzugewiesen ist. Falls kein Benutzer dem Gerät zugewiesen ist, schlägt dieApp-Zuweisung fehl.

187

Administratorhilfe

■ Bevorzugt an Benutzer: Sofern dem Gerät ein Benutzer zugewiesen ist, wird dieVPP-App dem Benutzer zugewiesen. Andernfalls wird die App dem Gerät zugewiesen.Wenn das Gerät die Zuweisung von VPP-Apps nicht unterstützt, schlägt die Zuweisungfehl.

■ Deaktiviert: VPP-Apps werden nicht automatisch zugewiesen. Wenn Sie diese Optionauswählen, müssen Sie VPP-Apps manuell zuweisen.

16.5.6 VPP-Apps manuell zuweisen

Dieser Abschnitt beschreibt die manuelle Zuweisung einzelner VPP-Apps. Standardmäßigwerden Apps, die Sie über das Apple-Programm für Volumenlizenzen (VPP) erworben haben,automatisch dem Gerät zugewiesen, auf dem die App installiert wird. Siehe VPP-Appsautomatisch zuweisen (Seite 187).

Sie können Apps, die Sie über das Apple-Programm für Volumenlizenzen (VPP) erworbenhaben, Benutzern oder Geräten zuweisen. Nachdem Sie eine VPP-App einem Benutzerzugewiesen haben, der mit Apple VPP verbundenen ist, kann dieser die App auf alleniOS-Geräten installieren, die mit seiner Apple-ID verbunden sind. Nachdem Sie eine VPP-Appeinem Gerät zugewiesen haben, können Sie Sophos Mobile Control verwenden, um die Appauf dieses Gerät zu übertragen.

So weisen Sie eine VPP-App Benutzern oder Geräten zu:

1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Apps > Apple iOS.

Dies öffnet die Seite Apps, auf der alle Apps aufgelistet sind, die Sie zu Sophos MobileControl hinzugefügt haben.

2. Um Apps hinzuzufügen, die Sie über Apple VPP erworben haben, klicken Sie auf VPP-Appsimportieren.

Hierdurch werden vom Apple-VPP-Server Informationen zu Ihren Apps abgerufen und,falls erforderlich, neue App-Einträge in Sophos Mobile Control erstellt.

3. Klicken Sie auf das blaue Dreieck neben der VPP-App, die Sie Benutzern oder Gerätenzuweisen wollen, und klicken Sie anschließend auf Bearbeiten.

4. Klicken Sie auf der Seite iOS-Link bearbeiten auf Anzeigen neben der OptionVPP-Lizenzen.

Dies öffnet den Dialog VPP-Lizenzen.

5. Um die App einem oder mehreren Benutzern zuzuweisen, klicken Sie auf VPP-Benutzerund wählen Sie anschließend die gewünschten Benutzer aus.

Die Liste enthält alle Benutzer mit dem VPP-Status Registriert oder Verbunden.

6. Um die App einem oder mehreren Geräten zuzuweisen, klicken Sie auf Geräte und wählenSie anschließend die gewünschten Geräte aus.

Die Liste enthält alle Geräte mit iOS 9 oder höher und dem Status Verwaltet.

7. Klicken Sie auf Anwenden, um die Änderungen zu bestätigen und den DialogVPP-Lizenzen zu schließen.

8. Klicken Sie auf Speichern, um die Änderungen zu speichern und um die App-Zuweisungmit dem Apple-VPP-Server zu synchronisieren.

Tipp: Um Änderungen, die Sie im Dialogfeld VPP-Lizenzen gemacht haben, zu verwerfen,klicken Sie auf Anwenden, um das Dialogfeld zu schließen, und klicken Sie anschließendauf Zurück, um die Seite iOS-Link bearbeiten zu verlassen, ohne die Änderungen in dieDatenbank zu speichern.

188


Zugewiesene App auf einem Gerät installieren:

■ Nachdem die App einem Benutzer zugewiesen ist, wird Sie auf allen seinen Geräten inder iTunes-Ansicht Einkäufe aufgeführt. Von dort kann der Benutzer die App installieren.

■ Nachdem die App einem Gerät zugewiesen ist, können Sie sie mit Sophos Mobile Controlinstallieren. Siehe App installieren (Seite 182).

App-Zuweisung aufheben:

■ Öffnen Sie wie zuvor beschrieben das Dialogfeld VPP-Lizenzen und deaktivieren Sie dieAuswahl für die gewünschten Benutzer oder Geräte.

Hinweis: Da der Status von VPP-Apps durch den Apple-VPP-Server verwaltet wird, dauertes möglicherweise einige Zeit, bis Änderungen, die Sie in Sophos Mobile Control machen,auf den Geräten sichtbar werden.

16.5.7 VPP-Lizenzinformationen synchronisieren

Aus Gründen der Leistungsfähigkeit verwaltet Sophos Mobile Control eine lokale Kopie derVPP-Lizenzinformationen. Sie können Sophos Mobile Control anweisen, die VPP-Informationenvom Apple-VPP-Server neu zu laden.

Hinweis: Sie müssen die VPP-Informationen nur dann neu laden, wenn die für eine Appangezeigten Lizenz-Informationen falsch sind.

1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung >Systemeinstellungen und klicken Sie anschließend auf die Registerkarte Apple VPP.

2. Klicken Sie auf VPP-Cache löschen.

Sophos Mobile Control verwirft die lokalen VPP-Informationen für den Kunden undsynchronisiert die Daten mit dem VPP-Server von Apple.

Hinweis: Informationen, wie Sie die Lizenzinformationen für eine VPP-App anzeigen, findenSie in VPP-Apps manuell zuweisen (Seite 188).

16.6 VPN pro App und Einstellungen für iOS-AppskonfigurierenFür iOS-Apps können Sie zur Unterstützung der iOS Funktion Per App VPN ein VPN proApp auswählen. Mit diesem Feature lassen sich Apps so konfigurieren, dass sie beim Startenautomatisch eine VPN-Verbindung herstellen. Sie können außerdem Einstellungen für dieApp konfigurieren, die auf dem Gerät während der App-Installation bereitgestellt werden.

Voraussetzungen:

■ Damit Sie ein App-spezifisches VPN auswählen können, müssen Sie eine Konfigurationvom Typ VPN pro App in einem iOS-Konfigurationsprofil definieren. Siehe Konfiguration„VPN pro App“ (iOS-Geräteprofil) (Seite 134).

■ Damit Sie Einstellungen definieren können, müssen Ihnen der erforderliche Parameterund der Parametertyp bekannt sein.

1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Apps und klicken Sieanschließend auf Apple iOS.

2. Klicken Sie auf der Seite Apps auf das blaue Dreieck neben der gewünschten App undklicken Sie anschließend auf Installieren.

3. Klicken Sie auf der Seite iOS-Link bearbeiten bzw. iOS-Paket bearbeiten auf Anzeigenneben dem Feld Einstellungen und VPN.

189

Administratorhilfe

4. Wählen Sie auf der Seite Einstellungen und VPN bearbeiten die gewünschte Konfigurationaus der Liste VPN pro App aus, um zu definieren, mit welchem VPN sich die App verbindensoll.

5. Um Managed Einstellungen hinzuzufügen, klicken Sie auf Parameter anlegen.

6. Konfigurieren Sie im Dialog Konfigurationsparameter folgende Einstellungen:

a) Geben Sie im Feld Parameter den erforderlichen Parameter ein, zum BeispielSMC_URL.

b) Geben Sie im Feld Wert den Parameterwert ein, zum Beispiel smc.sophos.com.

c) Wählen Sie in der Liste Typ den Parametertyp aus: String, Bool, Integer oder Real.

d) Klicken Sie auf Anwenden.

Die verwalteten Einstellungen werden auf der Seite Einstellungen und VPN bearbeitenangezeigt.

7. Klicken Sie auf der Seite Einstellungen und VPN bearbeiten auf Anwenden.


Das ausgewählte VPN pro App wird angewendet, wenn sich die App mit VPN verbindet. DieEinstellungen werden während der App-Installation auf die Geräte übertragen.

190


17 App-GruppenIn Sophos Mobile Control können Sie App-Gruppen erstellen, um Listen von Apps für Profile,Geräte-Richtlinien und Compliance-Richtlinien zu definieren.

App-Gruppen werden in den folgenden Bereichen verwendet:

■ In der Konfiguration App Protection von Android-Geräteprofilen.

■ In der Konfiguration App Control von Android-Geräteprofilen.

■ In der Konfiguration Einschränkungen von Android-Geräteprofilen, iOS-Geräteprofilenund Knox-Container-Profilen.

■ In der Konfiguration App-Einschränkungen von Windows Mobile Richtlinien.

■ In Compliance-Richtlinien zur Angabe von Listen für erlaubte, unzulässige und erforderlicheApps.

17.1 App-Gruppe erstellen1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf App-Gruppen und wählen

Sie anschließend die Plattform aus, für die Sie eine Gruppe anlegen wollen.

2. Klicken Sie auf der Seite App-Gruppen auf App-Gruppe erstellen.

3. Geben Sie auf der Seite App-Gruppe bearbeiten im Feld Name einen Namen für dieneue App-Gruppe ein und klicken Sie anschließend auf App hinzufügen.

4. Im Dialogfeld App bearbeiten können Sie entweder eine App aus einer Liste auswählen,oder benutzerdefinierte App-Daten eingeben.

■ Um eine App aus einer Liste auszuwählen, klicken Sie auf App-Liste und wählen Sieanschließend eine App aus der Liste aller Apps aus, die auf den Geräten installiertsind, die für die ausgewählte Plattform verwaltet werden.

■ Um benutzerdefinierte App-Daten für eine Android-App einzugeben, klicken Sie aufBenutzerdefiniert und konfigurieren Sie anschließend folgende Informationen:

■ Name: Ein beliebiger Name, um die App identifizieren zu können.

■ Kennung: Der Paketname der App. Sie können den Paketnamen anhand der URLder App in Google Play ermitteln. Zum Beispiel hat die Android-App „Sophos MobileControl“ im deutschen Google Play Store die URLhttps://play.google.com/store/apps/details?id=com.sophos.mobilecontrol.client.android&hl=deund der Paketname lautet com.sophos.mobilecontrol.client.android.

■ Um benutzerdefinierte App-Daten für eine iOS-App einzugeben, klicken Sie aufBenutzerdefiniert und konfigurieren Sie anschließend folgende Informationen:


■ Kennung: Die Bundle-ID der App.

191

Administratorhilfe

■ Um benutzerdefinierte App-Daten für eine Windows-Mobile-App einzugeben, klickenSie auf Benutzerdefiniert und konfigurieren Sie anschließend folgende Informationen:


■ Link: Die URL der App im Windows Store. Zum Beispiel hat die Windows-App„Sophos Mobile Control“ im deutschen Windows Store die URLhttps://www.microsoft.com/de-de/store/apps/mobile-control/9nblggh0g04v.

■ GUID: Falls Sie die GUID der App kennen, können Sie diese anstatt des Linkseingeben. Andernfalls lassen Sie dieses Feld leer.

5. Nachdem Sie eine App aus der Liste ausgewählt haben oder benutzerdefinierte App-Dateneingegeben haben, klicken Sie auf Hinzufügen, um sie zu der App-Gruppe hinzuzufügen.

6. Optional: Fügen Sie weitere Apps zu der App-Gruppe hinzu.

7. Wenn Sie fertig sind, klicken Sie auf Speichern, um die App-Gruppe zu speichern.

17.2 App-Gruppe importierenSie können eine App-Gruppe erstellen, indem Sie die Daten von bis zu 10.000 Apps aus einerUTF-8-kodierte CSV-Datei importieren.


Tipp: Auf der Seite Apps importieren steht eine Musterdatei mit den korrekten Spaltennamenund der richtigen Spaltenreihenfolge zum Download zur Verfügung.

So importieren Sie Apps aus einer CSV-Datei und fügen sie einer App-Gruppe hinzu:

1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf App-Gruppen und wählenSie anschließend die Plattform aus, für die Sie eine Gruppe anlegen wollen.

2. Klicken Sie auf der Seite App-Gruppen auf App-Gruppe erstellen.

3. Geben Sie auf der Seite App-Gruppe bearbeiten im Feld Name einen Namen für dieneue App-Gruppe ein und klicken Sie anschließend auf App importieren.

4. Klicken Sie auf der Seite Apps importieren auf Datei hochladen und navigieren Sieanschließend zu der vorbereiteten CSV-Datei.



6. Klicken Sie auf Fertigstellen, um die Apps zu der App-Gruppe hinzuzufügen.

7. Klicken Sie auf der Seite App-Gruppe bearbeiten auf Speichern.

192


18 UnternehmensdokumenteHinweis: Für diese Funktion benötigen Sie eine Lizenz vom Typ SMC Advanced.

In Sophos Mobile Control können Sie Dateien hochladen, damit diese an die Geräte IhrerBenutzer verteilt werden.

■ In Sophos Mobile Control verwaltete Dokumente werden automatisch dem BereichUnternehmensdokumente von Sophos Secure Workspace hinzugefügt.

■ Im Unternehmensdokumente-Store auf dem Gerät wird die Kategorie, die für jedesDokument definiert werden kann, als Ordner angezeigt.

■ Wenn Sophos Secure Workspace nicht von Sophos Mobile Control verwaltet wird, ist derUnternehmensdokumente-Store nicht sichtbar.

■ Auf Dokumente in Unternehmensdokumente besteht nur Lesezugriff. Diese können inSophos Secure Workspace nicht bearbeitet und erneut hochgeladen werden.

So verteilen Sie Unternehmensdokumente:

1. Installieren Sie die App „Sophos Secure Workspace“ auf den Geräten. Siehe Apps (Seite180).

2. Weisen Sie eine Sophos-Container-Richtlinie mit einer Konfiguration Corporate Documentszu.

3. Laden Sie Dokumente zu Sophos Mobile Control hoch.

18.1 Unternehmensdokumente hinzufügenVoraussetzung: Sie haben eine Lizenz vom Typ SMC Advanced aktiviert.

So verteilen Sie Dokumente an Geräte:

1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Dokumente.

Die Seite Dokumente wird angezeigt.

2. Klicken Sie auf Dokument hinzufügen.

Die Seite Dokument bearbeiten wird angezeigt.

3. Geben Sie eine Kategorie für das Dokument ein.

■ Die Kategorie ist der Name des Ordners, in dem das Dokument imUnternehmensdokumente-Store auf dem Gerät angezeigt wird.

■ Es können mehrere Dateien derselben Kategorie zugewiesen sein.

■ Wenn Sie dieses Feld leer lassen, wird die Datei im Root-Ordner vonUnternehmensdokumente angezeigt.

193

Administratorhilfe

4. Legen Sie die Einstellungen für das Dokument fest:

■ Wählen Sie In die Zwischenablage kopieren aus, um Benutzern zu erlauben, dasDokument in die Zwischenablage zu kopieren.

■ Wählen Sie Dokument teilen aus, um Benutzern zu erlauben, das Dokument zu teilen.

■ Wählen Sie Dokument offline verwenden aus, um Benutzern zu erlauben, einenFavorit für das Dokument zu erstellen.

Wenn ein Klartext-Dokument aus Unternehmensdokumente als Favorit markiert ist,wird es verschlüsselt in der App „Sophos Secure Workspace“ gespeichert. Wenn dasTeilen des Dokuments erlaubt ist, wird die verschlüsselte Favoriten-Datei automatischentschlüsselt, bevor sie an andere Apps weitergeleitet wird. Wenn Sie dasKontrollkästchen Dokument offline verwenden aktivieren, werden Offline-Kopien, diesich bereits in der Liste Favoriten von Sophos Secure Workspace befinden, automatischbei der nächsten Synchronisierung entfernt.

5. Klicken Sie auf Anzeigen neben Zugewiesene Gruppen und wählen Sie die Gruppe aus,die Zugriff auf das Dokument haben soll.

6. Fügen Sie eine Beschreibung für das Dokument hinzu.

7. Klicken Sie auf Datei hochladen und navigieren Sie zu dem Dokument. Wählen Sie esaus und klicken Sie auf Öffnen.

Die Dateigröße des Dokuments darf einen festgelegten Wert nicht übersteigen.

Bei lokalen Installation wird dieser Wert von Ihrem Superadministrator festgelegt. BeiSophos Mobile Control as a Service beträgt der Wert 5 MB pro Dokument.

8. Wiederholen Sie diesen Schritt für alle Dokumente, die Sie verteilen möchten.

Das Dokument wird der Dokumentenliste hinzugefügt. Es wird an die Benutzer verteilt, diees sich in der App „Sophos Secure Workspace“ anschauen können.

194


19 Android for WorkAndroid for Work ist ein Programm von Google, das dazu dient, private und berufliche Datenauf einem Android-Gerät zu trennen.

Wenn Sie Ihr Unternehmen für Android for Work registriert haben, können Sie Sophos MobileControl als externen EMM-Anbieter (Enterprise-Mobility-Management-Anbieter) für IhreAndroid-for-Work-Domäne einrichten.

Android for Work unterstützt unterschiedliche Bereitstellungs-Szenarien. Sophos MobileControl verwendet das Szenario BYOD (Bring Your Own Device):

■ Die Benutzer müssen auf Ihren Geräten ein Arbeitsprofil erstellen.

■ Das Arbeitsprofil wird mit dem primären Geräteprofil, d.h. dem privaten Profil, verknüpft.Das private Profil kann dann auf den Inhalt des Arbeitsprofils zugreifen.

■ Sophos Mobile Control verwaltet den Inhalt des Arbeitsprofils. Es registriert sich auf demGerät als Profilbesitzer (Profile Owner).

■ Wenn ein Gerät bei Android for Work registriert ist, sind alle Apps im Arbeitsprofil (inklusiveder App „Sophos Mobile Control“) mit einem Aktentaschensymbol gekennzeichnet.

■ Benutzer verwenden die mit dem Aktentaschensymbol gekennzeichnete Version der App„Google Play Store“, um berufliche Apps aus Google Play for Work zu installieren.

■ Mit Sophos Mobile Control können Sie Inhalt und Layout von Google Play for Workkonfigurieren.

Verwandte LinksAndroid for Work Help Center (externer Link)

19.1 Android for Work einrichtenSie müssen Android for Work zunächst für einen Kunden einrichten, um die Funktionen fürAndroid for Work zu aktivieren.

1. Registrieren Sie eine Android-for-Work-Domäne bei Google.2. Erstellen Sie ein Unternehmens-Dienstkonto und konfigurieren Sie die APIs, die für die

Kommunikation mit den Google-Diensten benötigt werden.3. Verbinden Sie Sophos Mobile Control mit Ihrer Android-for-Work-Domäne.

19.1.1 Domäne bei Google registrierenAls erste Phase der Einrichtung von Android for Work registrieren Sie eine Domäne bei Google(Managed Google Domain), erstellen einen Domänen-Administrator (Managed Google Account)und bestätigen Ihre Domänen-Inhaberschaft.

Hinweis: Falls Sie bereits eine Managed Google Domain registriert haben, zum Beispiel,weil Sie sich für „G Suite“ (vormals „Google Apps“) angemeldet haben, können Sie diesen

195

Administratorhilfe

https://support.google.com/work/android#topic=6151012

Abschnitt überspringen. Aktivieren Sie Android for Work für Ihre Domäne stattdessen in derGoogle-Admin-Konsole.

1. Klicken Sie auf den nachfolgenden Linkhttps://www.google.com/a/signup/?enterprise_product=ANDROID_WORK&hl=de, um sichfür Android for Work anzumelden.

2. Tragen Sie im Webformular die erforderlichen Informationen ein.

■ Im Abschnitt Über Ihr Unternehmen tragen Sie in Geschäftliche Domainadressedie Domäne ein, die als Managed Google Domain verwendet wird.Verwenden Sie zumBeispiel die Domäne Ihres Sophos Mobile Control Servers.

Hinweis: Falls Sie Android for Work für mehrere Kunden in Sophos Mobile Controlkonfigurieren wollen, müssen Sie für jeden Kunden eine eigene Domäne verwenden.

■ Im Abschnitt Ihr Google Admin-Konto tragen Sie die Anmeldedaten für einen neuenDomänen-Administrator ein.

Hinweis: Notieren Sie sich die Anmeldedaten. Sie benötigen diese im weiteren Verlaufder Einrichtung von Android for Work.

3. Klicken Sie die Schaltfläche zum Erstellen eines neuen Kontos.

Es öffnet sich die Google-Admin-Konsole mit der Seite zum Einrichten von Android forWork.

Tipp: Sie können diese Seite auch manuell öffnen: Öffnen Sie die nachfolgendeWebadresse https://admin.google.com und melden Sie sich mit den Anmeldeinformationendes Domänen-Administrators an, den Sie erstellt haben.

4. Starten Sie in der Google-Admin-Konsole die Prozedur zur Bestätigung IhrerDomänen-Inhaberschaft.

Folgen Sie den Anweisungen von Google, um Ihre Domäne zu bestätigen.

Nachdem Sie Ihre Domänen-Inhaberschaft bestätigt haben, erhalten Sie ein Token, mit demSie Ihre Android-for-Work-Domäne mit Ihrem EMM-Anbieter (also mit Sophos Mobile Control)verbinden.

Als nächstes müssen Sie ein Google-Dienstkonto erstellen und die für Android for Workbenötigten APIs konfigurieren. Siehe Google-Dienstkonto konfigurieren (Seite 196).

19.1.2 Google-Dienstkonto konfigurierenAls zweite Phase der Einrichtung von Android for Work erstellen und konfigurieren Sie einGoogle-Dienstkonto.

Voraussetzung: Sie haben ein Administratorkonto für Ihre Android-for-Work-Domäne.

Ein Google-Dienstkonto ist ein spezielles Google-Konto, das von Anwendungen benutzt wird.Dieses Konto wird von Sophos Mobile Control verwendet, um mit denAndroid-for-Work-Diensten von Google zu kommunizieren.

Erstellen Sie ein Projekt:

1. Klicken Sie auf den nachfolgenden Link https://console.developers.google.com/apis/library,um die Google-API-Konsole zu öffnen. Melden Sie sich mit den AnmeldeinformationenIhres Domänen-Administratorkontos an.

2. Klicken Sie in der Titelzeile der Google-API-Konsole auf Projekt > Projekt erstellen.

Wenn Sie zuvor bereits ein Projekt erstellt haben, wird in der Titelzeile der Projektnameangezeigt anstatt das Wort Projekt.

196


https://www.google.com/a/signup/?enterprise_product=ANDROID_WORK&hl=de

https://admin.google.com

https://console.developers.google.com/apis/library

3. Geben Sie im Dialogfeld Neues Projekt einen Projektnamen ein, zum Beispiel Androidfor Work und klicken Sie anschließend auf Erstellen.

Benötigte APIs aktivieren:

4. Klicken Sie in der seitlichen Menüleiste auf Bibliothek und geben Sie anschließend adminsdk im Suchfeld ein.

5. Klicken Sie in der Ergebnisliste auf Admin SDK.

6. Klicken Sie oben auf der Seite Admin SDK auf Aktivieren.

7. Klicken Sie erneut auf Bibliothek und wiederholen Sie die vorherigen drei Schritte für dieGoogle Play EMM API.

Geben Sie dieses Mal emm im Suchfeld ein.

Dienstkonto erstellen:

8. Klicken Sie auf der Seite Google Play EMM API auf Zu den Anmeldedaten.

9. Klicken Sie in Schritt 1 der Seite Anmeldedaten zu Projekt hinzufügen auf den LinkDienstkonto.

10. Klicken Sie auf der Seite Dienstkonten auf Dienstkonto erstellen.

11. Geben Sie im Dialogfeld Dienstkonto erstellen die folgenden Einstellungen ein:

a) Geben Sie in Name des Dienstkontos einen Namen ein, um das Konto zu identifizieren,zum Beispiel Android for Work.

b) Wählen Sie Neuen privaten Schlüssel bereitstellen aus und wählen Sie anschließendJSON aus.

c) Wählen Sie Domainweite G Suite-Delegation aktivieren aus.

d) Geben Sie in Produktname für den Zustimmungsbildschirm zum Beispiel Androidfor Work ein.

Wenn Sie auf Erstellen klicken, wird der private Schlüssel für Ihr Dienstkonto erzeugt undauf Ihrem Computer in einer JSON-Datei gespeichert.

Hinweis: Verwahren Sie die JSON-Datei an einem sicheren Ort. Sie benötigen die Datei,um Sophos Mobile Control mit Ihrer Android-for-Work-Domäne zu verbinden.

API-Zugriff konfigurieren:

12. Klicken Sie auf den nachfolgenden Link https://admin.google.com, um dieGoogle-Admin-Konsole zu öffnen. Melden Sie sich mit den Zugangsdaten IhresDomänen-Administrators an.

13. Klicken Sie auf Sicherheit und anschließend auf Erweiterte Einstellungen.

Tipp: Sie müssen möglicherweise zunächst auf Mehr anzeigen klicken, um ErweiterteEinstellungen anzuzeigen.

14. Klicken Sie auf API-Client-Zugriff verwalten.

15. Öffnen Sie in einem Texteditor die JSON-Datei und kopieren Sie den Wert von client_idin das Feld Client-Name.

Beispiel: Ihre JSON-Datei enthält die Zeile

"client_id": "123456789",

Geben Sie 123456789 im Feld Client-Name ein.

197

Administratorhilfe


16. Geben Sie im Feld Ein oder mehrere API-Bereiche die folgenden beiden URLs ein, mitKomma getrennt:

https://www.googleapis.com/auth/admin.directory.user,https://www.googleapis.com/auth/androidenterprise

17. Klicken Sie auf Autorisieren.

Sie können nun Sophos Mobile Control mit Ihrer Android-for-Work-Domäne verbinden. SieheSophos Mobile Control mit Ihrer Domäne verbinden (Seite 198).

19.1.3 Sophos Mobile Control mit Ihrer Domäne verbindenAls dritte Phase der Einrichtung von Android for Work verbinden Sie Sophos Mobile Controlmit Ihrer Android-for-Work-Domäne.

Voraussetzungen:

■ Sie haben ein Administratorkonto für Ihre Android-for-Work-Domäne.

■ Sie haben Ihre Domänen-Inhaberschaft bestätigt.

■ Sie haben die APIs für Android for Work aktiviert.

■ Sie haben ein Dienstkonto für Android for Work erstellt.

1. Melden Sie sich an der Sophos Mobile Control Konsole an. Verwenden Sie dieZugangsdaten eines Administrators für den Kunden, für den Sie Android for Work einrichtenwollen.

2. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Allgemeinund klicken Sie anschließend auf die Registerkarte Android.

3. Klicken Sie unter Android for Work auf Konfigurieren.

4. Dies öffnet ein Dialogfeld. Konfigurieren Sie folgende Einstellungen:

Ihre bei Google bestätigteAndroid-for-Work-Domäne.

Unternehmens-Domäne

Der Name Ihres Domänen-Administratorkontos.Dies ist der Administrator, den Sie erstellt haben,als Sie Ihre Android-for-Work-Domäne beiGoogle registriert haben.

Domänen-Administrator

Das Token, das Sie von Google erhalten haben,nachdem Sie Ihre Domänen-Inhaberschaftbestätigt haben.

Das Token wird Ihnen angezeigt, wenn Sie sichan der Google-Admin-Konsole(https://admin.google.com) mit denZugangsdaten des Domänen-Administratorsanmelden und Sicherheit > Android for WorkEinstellungen aufrufen.

EMM-Token

5. Klicken Sie auf Datei hochladen und suchen Sie die JSON-Datei, die Sie von Googleheruntergeladen haben, als Sie das Dienstkonto für Android for Work erstellt haben.

6. Klicken Sie auf Verbinden.

7. Klicken Sie auf der Registerkarte Android auf Speichern.

198



Sophos Mobile Control kontaktiert den Google-Webservice, um sich als EMM-Anbieter mitIhrer Android-for-Work-Domäne zu verbinden.

Als letzte Phase der Einrichtung von Android for Work müssen Sie dieGoogle-EMM-Einstellungen konfigurieren. Siehe EMM-Einstellungen konfigurieren (Seite 199).

19.1.4 EMM-Einstellungen konfigurierenAls letzte Phase der Einrichtung von Android for Work konfigurieren Sie dieGoogle-EMM-Einstellungen.

Voraussetzung: Sie haben Sophos Mobile Control mit Ihrer Android-for-Work-Domäneverbunden.

1. Klicken Sie auf den nachfolgenden Link https://admin.google.com, um dieGoogle-Admin-Konsole zu öffnen. Melden Sie sich mit den Zugangsdaten IhresDomänen-Administrators an.

2. Klicken Sie auf Sicherheit und danach auf EMM-Anbieter für Android verwalten.

Tipp: Sie müssen möglicherweise zunächst auf Mehr anzeigen klicken, um EMM-Anbieterfür Android verwalten anzuzeigen.

3. Wählen Sie unter Allgemeine Einstellungen die Option EMM-Richtlinien aufAndroid-Geräten erzwingen aus.

Damit ist die Einrichtung von Android for Work abgeschlossen.

19.2 Android for Work konfigurierenDamit Ihre Benutzer ihre Geräte bei Android for Work registrieren können, müssen Sie diefolgenden Konfigurationsaufgaben durchführen:

1. Erstellen Sie eine Android-for-Work-Richtlinie und konfigurieren Sie mindestens dieKonfiguration Einschränkungen. Siehe Konfigurationen für Android-for-Work-Richtlinien(Seite 96).

2. Erstellen Sie ein Auftragspaket, das auf ein Gerät übertragen wird, wenn ein Benutzer esim Self Service Portal bei Android for Work registriert. Das Auftragspaket muss mindestenseinen Auftrag Registrieren und einen Auftrag Profil installieren oder Richtlinie zuweisenfür eine Android-for-Work-Richtlinie enthalten. Sie können unterschiedliche Auftragspaketefür Firmengeräte und Privatgeräte verwenden. Siehe Auftragspaket erstellen (Seite 172).

3. Legen Sie in den Einstellungen für das Self Service Portal fest, ob die Registrierung beiAndroid for Work optional oder vorgeschrieben ist, wenn Benutzer ein Gerät bei SophosMobile Control registrieren. Siehe Geräteregistrerung bei Android for Work konfigurieren(Seite 199).

19.2.1 Geräteregistrierung bei Android for Work konfigurierenIhre Benutzer verwenden das Self Service Portal, um ihre Geräte bei Android for Work zuregistrieren. Als Administrator konfigurieren Sie in Sophos Mobile Control, ob die Registrierungbei Android for Work optional oder vorgeschrieben ist, und welche Auftragspakete an dieGeräte übertragen werden.

Voraussetzungen

■ Sie haben Android for Work für den Kunden eingerichtet.

■ Sie haben ein Auftragspaket für die Geräteregistrierung bei Android for Work erstellt. DasAuftragspaket muss mindestens einen Auftrag Registrieren und einen Auftrag Profil

199

Administratorhilfe


installieren oder Richtlinie zuweisen für eine Android-for-Work-Richtlinie enthalten. Siekönnen unterschiedliche Auftragspakete für Firmengeräte und Privatgeräte verwenden.

1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung > Self ServicePortal und klicken Sie anschließend auf die Registerkarte Gruppeneinstellungen.

2. Klicken Sie auf das blaue Dreieck neben der Self-Service-Portal-Gruppe, für die Sie dieGeräteregistrierung bei Android for Work konfigurieren wollen, und klicken Sie anschließendauf Bearbeiten. Oder erstellen Sie eine neue Gruppe.

Die Self-Service-Portal-Gruppe muss für die Plattform „Android“ konfiguriert sein.

Details zur Self-Service-Portal-Konfiguration finden Sie in Self-Service-Portal-Einstellungenkonfigurieren (Seite 27).

3. Wählen Sie zumindest in einer der Spalten Einrichtungspaket - Firmengeräte undEinrichtungspaket - Privatgeräte ein Auftragspaket aus, das auf Firmen- bzw.Privatgeräten ausgeführt wird.

4. Wählen Sie in Android for Work - Firmengeräte und Android for Work - Privatgeräteaus, ob die Registrierung erforderlich oder optional ist.

■ Optional: Benutzer können wählen, ob sie ihr Gerät nur bei Sophos Mobile Controlregistrieren, oder zusätzlich bei Android for Work.

■ Erforderlich: Die Registrierung bei Android for Work ist zwingend erforderlich.


6. Klicken Sie auf der Registerkarte Gruppeneinstellungen auf Speichern.

19.3 Android-for-Work-Benutzer verwaltenEin Benutzer benötigt ein Konto vom Typ Managed Google Account, um ein Gerät bei Androidfor Work zu registrieren. Dieses Konto ist mit der Android-for-Work-Domäne verknüpft, dieSie bei Google registriert haben.

Kontonamen für Android for Work haben die Form von E-Mail-Adressen, zum Beispielbenutzer@ihre_android_for_work_domain.

Wenn ein Benutzer im Self Service Portal ein Gerät bei Android for Work registriert, prüftSophos Mobile Control, ob auf dem Google-Server bereits ein Android-for-Work-Konto fürdiesen Benutzer existiert. Dazu wird der linke Teil der E-Mail-Adresse, die für den Benutzerin Sophos Mobile Control angelegt ist, mit Ihrer Android-for-Work-Domäne kombiniert. Fallsein Konto mit diesem Namen nicht existiert, erstellt Sophos Mobile Control es.

Beispiel: Die E-Mail-Adresse des Benutzers in Sophos Mobile Control lautetbenutzer@ihre_firma.com und Ihre Android-for-Work-Domäne lautetihre_android_for_work_domain. In diesem Fall sucht Sophos Mobile Control auf demGoogle-Server nach einem Konto benutzer@ihre_android_for_work_domain.

Abgesehen von dem Anlegen eines Android-for-Work-Kontos bei der Registrierung verwaltetSophos Mobile Control nicht den Lebenszyklus von Konten. Wenn Sie ein Benutzerkonto inSophos Mobile Control löschen, bleibt das Android-for-Work-Konto des Benutzers erhalten.

Sie können die Android-for-Work-Konten für Ihre Domäne in der Google-Admin-Konsoleverwalten. Falls erforderlich, können Sie GADS (Google Apps Directory Sync) verwenden,um Android-for-Work-Konten auf Basis Ihres LDAP-Verzeichnisses zu erstellen.

Verwandte LinksGoogle-Admin-Konsole (externer Link)Über Google Apps Directory Sync (externer Link)

200



https://support.google.com/a/answer/106368

19.4 Geräte bei Android for Work registrierenIhre Benutzer registrieren ihre Geräte bei Android for Work im Self Service Portal, zusammenmit der Registrierung bei Sophos Mobile Control. Eine Registrierung bei Android for Worküber die Sophos Mobile Control Konsole ist nicht möglich.

Allerdings können Sie in der Sophos Mobile Control Konsole das Gerät eines Benutzers vonAndroid for Work deregistrieren, zum Beispiel, um Unternehmensdaten vom Gerät zu entfernen,wenn es verloren gegangen ist oder gestohlen wurde.

Hinweis: Sophos Mobile Control unterstützt die Registrierung bei Android for Work für Gerätemit Android 6 oder höher.

19.5 Arbeitsprofil sperrenAuf Geräten, die bei Android for Work registriert sind, können Sie das Arbeitsprofil sperrenoder entsperren. Wenn Sie ein Arbeitsprofil sperren, sind keine beruflichen Apps mehrverfügbar und es werden auch keine Benachrichtigungen von beruflichen Apps angezeigt.

Tipp: Benutzer können das Arbeitsprofil über die Schnelleinstellungsleiste ihres Gerätessperren, zum Beispiel im Urlaub.


2. Klicken Sie auf das blaue Dreieck neben dem Gerät, auf dem Sie das Arbeitsprofil sperrenoder entsperren wollen, und klicken Sie anschließend auf Anzeigen.

3. Klicken Sie auf Aktionen > Container-Zugriff festlegen.

4. Wählen Sie die Zugriffsrechte aus.

■ Sperren: Das Arbeitsprofil ist gesperrt. Benutzer können nicht mehr auf Apps oderDaten innerhalb des Arbeitsprofils zugreifen.

■ Erlauben: Das Arbeitsprofil ist entsperrt.■ Automatischer Modus: Das Arbeitsprofil ist gesperrt, wenn das Gerät gegen eine

Compliance-Regel verstößt, bei der die Aktion Container sperren aktiviert ist. Dies istdas Standardverhalten, wenn Sie keine Zugriffsrechte festgelegt haben.


Das Gerät wird mit dem Sophos Mobile Control Server synchronisiert. Dadurch wird dieEinstellung auf dem Gerät angewendet.

19.6 Arbeitsprofil vom Gerät entfernenAuf Geräten, die bei Android for Work registriert sind, können Sie das Arbeitsprofil entfernen.So können Sie zum Beispiel Unternehmensdaten vom Gerät entfernen, falls es verloren gehtoder gestohlen wird.

Wenn Sie das Arbeitsprofil von einem Gerät entfernen, werden auch alle Work-Apps, inklusiveder App „Sophos Mobile Control“, entfernt. In der Sophos Mobile Control Konsole wird dasGerät mit dem Status Deregistriert angezeigt.


2. Klicken Sie auf das blaue Dreieck neben dem Gerät, von dem Sie das Arbeitsprofil entfernenwollen, und klicken Sie anschließend auf Anzeigen.

3. Klicken Sie auf Aktionen > Android for Work zurücksetzen.

201

Administratorhilfe

Ein Auftrag zum Entfernen des Arbeitsprofils wird erstellt und an das Gerät übertragen. Siekönnen den Auftragsstatus auf der Seite Auftragsstatus anzeigen.

Hinweis: Falls der Benutzer das Arbeitsprofil bereits manuell entfernt hat, schlägt der Auftragfehl, da das Gerät ihn nicht mehr empfangen kann.

Um das Gerät erneut bei Android for Work zu registrieren, muss der Benutzer dieRegistrierungsprozedur im Self Service Portal wiederholen.

19.7 Benutzerinitiiertes Entfernen des ArbeitsprofilsBenutzer sind in der Lage, das Arbeitsprofil von ihren Geräten entfernen. Dies kann absichtlichals auch versehentlich geschehen.Wenn das Arbeitsprofil auf diese Weise entfernt wird, kannSophos Mobile Control dies nicht erkennen. Der Gerätestatus wird weiterhin als Verwaltet(Android for Work) angezeigt.

Nachdem der Benutzer das Arbeitsprofil entfernt hat, kann sich das Gerät nicht mehr mit demSophos Mobile Control Server synchronisieren.

Tipp: Sie können den Bericht Geräte, die sich in den letzten 7 Tagen nicht synchronisierthaben verwenden, um potentiell betroffene Geräte zu identifizieren.

Falls das Arbeitsprofil versehentlich entfernt wurde, können Sie das Gerät erneut bei Androidfor Work registrieren:

1. Sie löschen das Gerät aus Sophos Mobile Control.2. Der Benutzer führt im Self Service Portal eine erneute Registrierung durch.

19.8 Berufliche AppsBerufliche Apps sind Apps, die mit Android for Work kompatibel sind.

Sie verwenden Google Play for Work, um die beruflichen Apps auszuwählen, die IhrenAndroid-for-Work-Benutzern zur Verfügung stehen. Ihre Benutzer installieren diese Apps überdie App „Google Play Store“ in ihrem Arbeitsprofil.

Um Ihren Benutzern berufliche Apps zur Verfügung zu stellen, müssen Sie die folgendenAufgaben in Google Play for Work und in Sophos Mobile Control durchführen:

1. In Google Play for Work wählen Sie die Apps für Ihre Android-for-Work-Domäne aus. Diesbeinhaltet:■ Die App genehmigen.■ App-Lizenzen erwerben.■ App-Berechtigungen akzeptieren.

Siehe Berufliche App genehmigen (Seite 203).

2. In Sophos Mobile Control konfigurieren Sie die App. Dies beinhaltet:■ Den Ort festlegen, an dem die App in der App „Google Play Store“ auf den Geräten

der Benutzer angezeigt wird.■ Benutzerdefinierte App-Einstellungen konfigurieren, falls die App dies unterstützt.■ Für kostenpflichtige Apps Benutzern eine Lizenz für die App zuweisen.

Siehe Berufliche App bearbeiten (Seite 203).

202


19.8.1 Berufliche App genehmigen

1. Öffnen Sie den Google Play for Work Store (https://play.google.com/work) und meldenSie sich mit Ihrem Google-Administratorkonto an.

2. Wählen Sie im Google Play for Work Store die App aus, die Sie für Ihre Benutzer einrichtenwollen.

3. Klicken Sie auf Genehmigen (bei kostenlosen Apps) bzw. auf Kaufen (bei kostenpflichtigenApps).

Hinweis: Kostenpflichtige Apps für Android for Work sind derzeit nur in den USA und inKanada verfügbar.

4. Wenn die App Berechtigungen erfordert, müssen Sie diese für Ihr Unternehmen akzeptieren.

Wenn Ihre Benutzer die App installieren, werden sie nicht aufgefordert, Berechtigungenzuzulassen.

5. Für kostenpflichtige Apps geben Sie die Lizenz-Anzahl und die Bezahlmethode ein.

Hinweis: Falls Sie während des Kaufvorgangs eine Fehlermeldung erhalten, überprüfenSie in der Google-Admin-Konsole, ob die Google-Bezahldienste für Ihre Domäne oder IhrKonto aktiviert sind.

Die App ist nun für Ihre Domäne genehmigt. Benutzer sind aber noch nicht in der Lage, dieApp zu installieren. Sie müssen erst noch den Zuweisungsvorgang in Sophos Mobile Controlfertigstellen. Siehe Berufliche App bearbeiten (Seite 203).

Hinweis: Wenn durch die Aktualisierung einer beruflichen App zusätzliche Berechtigungenerforderlich werden, müssen Sie diesen zustimmen, bevor Ihre Benutzer die App aktualisierenkönnen. Klicken Sie im Menü von Google Play for Work auf Aktualisierungen, um neueBerechtigungen anzuzeigen und zu akzeptieren.

Verwandte LinksGoogle Play for Work (externer Link)Google-Admin-Konsole (externer Link)Google Play for Work Help Center (externer Link)

19.8.2 Berufliche App bearbeiten

Nachdem Sie eine App in Google Play for Work genehmigt haben, müssen Sie die App inSophos Mobile Control konfigurieren, um sie Ihren Benutzern zur Verfügung zu stellen.

1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Apps und klicken Sieanschließend auf Android.

2. Klicken Sie auf der Seite Apps auf Apps für Android for Work.

Dies öffnet die Seite Apps für Android for Work, auf der die beruflichen Apps angezeigtwerden, die Sie in Google Play for Work genehmigt haben.

3. Klicken Sie auf App-Liste von Google abrufen, um Änderungen zu laden, die Sie inGoogle Play for Work gemacht haben. Nach der Synchronisierung können Benutzer dieApps über die in Ihrem Arbeitsprofil befindliche App Google Play Store installieren.

4. Klicken Sie auf das blaue Dreieck neben der gewünschten App und dann auf Bearbeiten.

203

Administratorhilfe

https://play.google.com/work

https://play.google.com/work


https://support.google.com/googleplay/work

5. Definieren Sie in den Feldern Seite und App-Kategorie die Position der App in der App„Google Play Store“ auf den Geräten der Benutzer:

a) Wählen Sie in der Liste Seite aus, auf welcher Seite die App angezeigt wird. Die Wertesind von Sophos Mobile Control vorkonfiguriert und können nicht geändert werden.

b) Geben Sie im Feld App-Kategorie den Namen einer Kategorie ein, unter der die Appangezeigt wird.

Sobald Sie im Feld App-Kategorie die ersten Zeichen eintippen, wird Ihnen eine Listepassender Kategorien angezeigt.Wenn Sie eine nicht vorhandene Kategorie eingeben,wird diese erstellt.

6. Bei kostenpflichtigen Apps enthält die Seite Berufliche App bearbeiten ein Feld Lizenzen.Klicken Sie neben dem Feld Lizenzen auf Anzeigen, um die Lizenzinformationen für dieApp anzuzeigen oder zu bearbeiten.

Es dauert möglicherweise einige Sekunden, bis Sophos Mobile Control dieLizenzinformationen von Google abgerufen hat.

a) Im Dialogfeld Lizenzen wird die Anzahl der zugewiesenen und verfügbaren Lizenzenangezeigt, sowie die Android-for-Work-Benutzer, denen eine Lizenz zugewiesen ist.

b) Wählen Sie Benutzer aus, um ihnen eine Lizenz für die App zuzuordnen, oder entfernenSie Benutzer, um ihnen die Lizenz zu entziehen. Klicken Sie auf Anwenden, um denDialog Lizenzen zu schließen.

7. Bei Apps, die eine verwaltete Konfiguration bieten, enthält die Seite Berufliche Appbearbeiten eine Schaltfläche App-Einstellungen. Klicken Sie auf diese Schaltfläche, umdie verfügbaren Einstellungen anzuzeigen oder zu bearbeiten.

Informationen zu den verfügbaren Einstellungen finden Sie in der Dokumentation, die vomjeweiligen Entwickler der App bereitgestellt wird.

8. Klicken Sie auf der Seite Berufliche App bearbeiten auf Speichern, um Ihre Änderungenzu speichern.

9. Klicken Sie auf der Seite Apps für Android for Work auf Konfiguration an Googlesenden, um die geänderten Layouteinstellungen und App-Einstellungen an Google zusenden.

Hinweis: Wenn Sie diesen letzten Schritt überspringen, wird die App-Konfiguration nurlokal in Sophos Mobile Control gespeichert. Die Konfiguration wird nicht an Googleübertragen und steht Ihren Benutzern nicht zur Verfügung.

Nachdem die Daten an den Google-Server gesendet worden sind, steht die berufliche Appin der App „Google Play Store“ im Arbeitsprofil zur Verfügung. Kostenlose Apps stehen allenIhren Benutzern zur Verfügung, kostenpflichtige Apps nur Benutzern, denen Sie eine Lizenzzugeordnet haben.

19.8.3 Einstellungen für berufliche Apps


Der externe Name der App, wie er im Google Playfor Work Store angezeigt wird.

Titel

Der interne Name der App.Product ID

204



Der Kostentyp:Preismodell

Kostenlos

Kostenlos mit In-App-Käufen

Kostenpflichtig

VerteilungsartÖffentlich (über Google bereitgestellt): DieApp ist im Google Play for Work Store öffentlichverfügbar.

Privat (über Google bereitgestellt): Eine vonIhnen entwickelte App, die nur für Benutzer inIhrer Android-for-Work-Domäne verfügbar ist.Die APK-Datei ist zu Google Play for Workhochgeladen.

Privat (intern bereitgestellt):Wie Privat (überGoogle bereitgestellt), aber die APK-Dateiwird von Ihrem lokalen Server installiert. GooglePlay for Work verwaltet nur die Verteilung derApp.

Die Webadresse der App in Google Play for Workbeziehungsweise in Google Play.

Klicken Sie auf den Link, um die jeweilige Seite ineinem neuen Browserfenster zu öffnen.

Google Play for Work URL, Google Play URL

Die Seite, auf der die App auf dem Gerät in derApp „Google Play Store“ erscheint.

Die Werte sind von Sophos Mobile Controlvorkonfiguriert und können nicht geändert werden.

Seite

Der Name der Kategorie, unter der die App aufdem Gerät in der App „Google Play Store“erscheint.

App-Kategorie

Klicken Sie neben Lizenzen auf Anzeigen, um dieLizenzinformationen für die App anzuzeigen oderzu bearbeiten.

Diese Einstellung ist nur für kostenpflichtige Appsverfügbar.

Lizenzen

Klicken Sie auf App-Einstellungen, umApp-spezifische Einstellungen anzuzeigen oderzu bearbeiten.

Informationen zu den verfügbaren Einstellungenfinden Sie in der Dokumentation, die vomjeweiligen Entwickler der App bereitgestellt wird.

App-Einstellungen

Diese Einstellung ist nur verfügbar, wenn die Appeine verwaltete Konfiguration unterstützt.

205

Administratorhilfe

19.8.4 Berufliche App installieren

Nachdem Sie in Google Play for Work eine berufliche App genehmigt haben und IhrenBenutzern Lizenzen zugewiesen haben, können Sie die App auf einzelnen Geräten oderGerätegruppen installieren.

Hinweis: Benutzer können genehmigte Apps über die App „Google Play Store“ in ihremArbeitsprofil installieren.



3. Klicken Sie auf das blaue Dreieck neben der gewünschten App und dann auf Installieren.

4. Wählen Sie die Geräte aus, auf denen Sie die App installieren wollen. Gehen Sie auf eineder folgenden Weisen vor:




5. Geben Sie auf der Seite Ausführungszeit wählen den Zeitpunkt an, zu dem die Appinstalliert wird:




Der Installationsauftrag wird an Google gesendet. Die eigentliche Installation der App aufdem Gerät wird von Google verwaltet. Auf der Seite Auftragsstatus wird der Auftragsstatusals erfolgreich angezeigt, sobald er an Google gesendet wurde.

19.8.5 Berufliche App deinstallieren

Sie können eine berufliche App von ausgewählten Geräten oder Gerätegruppen deinstallieren.



3. Klicken Sie auf der Seite Apps für Android for Work auf Deinstallieren.

4. Wählen Sie die Geräte aus, von denen Sie die App deinstallieren wollen. Gehen Sie aufeine der folgenden Weisen vor:




5. Wählen Sie auf der Seite App auswählen die gewünschte App aus.

6. Geben Sie auf der Seite Ausführungszeit wählen den Zeitpunkt an, zu dem die Appdeinstalliert wird:

■ Für eine sofortige Ausführung wählen Sie Sofort aus.

206


■ Für eine geplante Ausführung wählen Sie Datum aus und geben Sie anschließendDatum und Uhrzeit ein.


Ein Auftrag zur Deinstallation der App wird an einen Google-Dienst gesendet. Das eigentlicheEntfernen der App vom Gerät wird von Google verwaltet. Auf der Seite Auftragsstatus wirdder Auftragsstatus als erfolgreich angezeigt, sobald er an Google gesendet wurde.

Tipp: Alternativ können Sie mit der folgenden Methode eine App von einem einzelnen Gerätdeinstallieren: Öffnen Sie die Seite Gerät anzeigen für das gewünschte Gerät, wechseln Sieauf die Registerkarte Installierte Apps und klicken Sie auf das Mülleimer-Symbol neben demApp-Namen.

19.8.6 Lizenzen für berufliche Apps

Indem Sie Benutzern Lizenzen für kostenpflichtige berufliche Apps zuweisen, definieren Sie,welche Apps für einen Benutzer zur Verfügung stehen.

Sie weisen Benutzern nur Lizenzen für kostenpflichtige Apps zu. Kostenlose Apps, die Sie inGoogle Play for Work genehmigt haben, stehen automatisch allen Ihren Benutzern zurVerfügung, sobald Sie die Liste Ihrer Apps von Google nach Sophos Mobile Controlsynchronisiert haben.

Tipp: Für App-Installationen, die vom Administrator initiiert werden, brauchen Sie keineLizenzen zuzuordnen. Wenn Sie eine berufliche App wie in Berufliche App installieren (Seite206) beschrieben installieren, wird eine Lizenz aus Ihrem Lizenzpool automatisch den jeweiligenBenutzern zugewiesen.

Sie konfigurieren die Zuordnung von Lizenzen auf der Seite Berufliche App bearbeiten.Siehe Berufliche App bearbeiten (Seite 203).

19.8.7 Layout von Google Play for Work

Sie können festlegen, an welcher Position in der App „Google Play Store“ eine berufliche Appangezeigt wird.

Die konfigurierbaren Layout-Elemente sind Seiten und Kategorien.

■ Seiten sind benannte, vertikal scrollbare Ansichten. Seiten und Seitennamen sind vonSophos Mobile Control vordefiniert.

■ Kategorien sind benannte, horizontal scrollbare Unterabschnitte einer von Ihnen definiertenSeite. Google bezeichnet diese Kategorien auch als Cluster.

■ Jede Kategorie gehört zu einer bestimmten Seite und jede App gehört zu einer bestimmtenKategorie.

■ Seiten, auf denen sich keine App befindet, werden nicht angezeigt.

■ Sie können maximal 30 Kategorien pro Seite und 100 Apps pro Kategorie konfigurieren.

Für jede App definieren Sie die Seite und optional die Kategorie, in der die App in der App„Google Play Store“ auf den Geräten angezeigt wird. Standardmäßig werden Apps auf derSeite Sonstiges angezeigt.

Sie konfigurieren das Layout von Google Play for Work auf der Seite Berufliche Appbearbeiten. Siehe Berufliche App bearbeiten (Seite 203).

207

Administratorhilfe

19.8.8 Konfigurierbare berufliche Apps

Eine berufliche App kann eine verwaltete Konfiguration anbieten. Diese Funktion wird vomjeweiligen Entwickler der App bereitgestellt und erlaubt Ihnen, benutzerdefinierte Einstellungenfür die App zu konfigurieren.

Wenn die App eine verwaltete Konfiguration unterstützt, wird in Google Play for Work auf derSeite App ein Hinweis Diese App bietet eine verwaltete Konfiguration angezeigt.

Sie konfigurieren die Einstellungen der App auf der Seite Berufliche App bearbeiten. SieheBerufliche App bearbeiten (Seite 203).

19.8.9 Private und selbst gehostete Apps

Alle beruflichen Apps, die Ihren Benutzern zur Verfügung stehen sollen, müssen über GooglePlay for Work bereitgestellt werden.

■ Öffentliche berufliche Apps sind Apps, die allen Benutzer mit einemGoogle-Play-for-Work-Konto zur Verfügung stehen.

■ Private berufliche Apps sind Apps, die Sie selbst entwickelt haben und die nur denBenutzern in Ihrer Domäne zur Verfügung stehen.

■ Selbst gehostete berufliche Apps sind private Apps, deren Paketdatei (d.h. die APK-Datei)auf einem Server Ihres Unternehmens liegt anstatt auf dem Google-Server. Allerdingsmüssen bei selbst gehosteten Apps die Store-Metadaten der App zu Google hochgeladenwerden, damit die App über Google Play for Work bereitgestellt werden kann.

Informationen zu privaten beruflichen Apps finden Sie auf der Website Android for WorkDeveloper (externer Link).

208


https://developer.android.com/work/index.html

https://developer.android.com/work/index.html

20 Administratoren erstellen1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung >

Administratoren, um die Seite Administratoren anzeigen zu öffnen, und klicken Sieanschließend auf Administrator erstellen.

2. Konfigurieren Sie auf der Seite Administrator bearbeiten die Kontodaten für denAdministrator.

■ Wenn für den Kunden Externes LDAP-Verzeichnis als Benutzerverzeichnis eingestelltist, können Sie auf Benutzer mittels LDAP nachschlagen klicken, um ein vorhandenesLDAP-Konto auszuwählen.

■ Wenn Sie kein externes Benutzerverzeichnis verwenden, geben Sie die relevantenInformationen für Anmeldename, Vorname, Nachname, E-Mail-Adresse undKennwort ein.

Das Kennwort, das Sie angeben, ist nur einmal gültig. Der Administrator muss das Kennwortbei der ersten Anmeldung ändern.

Hinweis: Der Anmeldename darf nur folgende Zeichen enthalten:



■ Ziffern 0-9

■ Die Zeichen !._-#

3. Wählen Sie aus der Liste Rolle eine der vorhandenen Rollen aus.

Über die Rolle werden die Zugriffsrechte des neuen Administrators in Sophos MobileControl definiert. Siehe Benutzerrollen (Seite 10).

4. Klicken Sie auf Speichern, um das Administrator-Konto anzulegen.

Der neue Administrator wird angelegt und auf der Seite Administratoren anzeigen angezeigt.Geben Sie die Benutzeranmeldedaten (Benutzer, Kunde und einmal zu verwendendesKennwort) an den neuen Benutzer weiter. Der neue Benutzer kann sich an der Sophos MobileControl Konsole anmelden und wird zum Ändern seines Kennworts aufgefordert.

209

Administratorhilfe

21 Nachricht an Geräte sendenSie können eine selbstdefinierte Nachricht an verwaltete Geräte senden.

Hinweis: Sie können keine Nachrichten an Windows-Desktop-Geräte senden.



2. Wählen Sie ein oder mehrere Geräte aus, klicken Sie auf Aktionen und anschließend aufNachricht senden.

3. Geben Sie im Dialog Mitteilungstext eingeben den zu sendenden Text ein.

Die Nachricht kann bis zu 500 Zeichen enthalten. Unterhalb des Textfeldes wird dieverbleibende Zeichenanzahl angezeigt.


210


22 Advanced-LizenzWenn Sie eine Lizenz vom Typ SMC Advanced aktivieren, können Sie folgende zusätzlichenFunktionen verwenden:

■ Die Apps Sophos Secure Workspace und Secure Email verwalten. SieheSophos-Container-Apps verwalten (Seite 217).

■ Die App „Sophos Mobile Security“ auf Android-Geräten verwalten. Siehe Sophos MobileSecurity verwalten (Seite 212).

Nachdem Sie Ihren Lizenzschlüssel erhalten haben, müssen Sie die Lizenz aktivieren.

Eine Lizenz vom Typ SMC Advanced für lokale Installationenaktivieren

Für lokale Installationen von Sophos Mobile Control werden die Lizenzen vomSuperadministrator in der Kundenverwaltung verwaltet. Weitere Informationen finden Sie imenglischsprachigen Dokument Sophos Mobile Control Super Administrator Guide.

Eine Lizenz vom Typ SMC Advanced für Sophos Mobile Control as aService aktivieren

Navigieren Sie in der Sophos Mobile Control Konsole zu EINSTELLUNGEN > Einrichtung >Systemeinstellungen > Lizenz und geben Sie im Feld Advanced-Lizenzschlüssel IhrenLizenzschlüssel ein.

211

Administratorhilfe


23 Sophos Mobile Security verwaltenHinweis: Für diese Funktion benötigen Sie eine Lizenz vom Typ SMC Advanced.

Sophos Mobile Security ist eine Sicherheits-App für Android-Geräte, die Geräte vor schädlichenApps schützt und Benutzer beim Erkennen von App-Berechtigungen unterstützt, diemöglicherweise ein Sicherheitsrisiko darstellen. Seine Webfilter-Funktion erlaubt Ihnen,Websites nach Kategorien zu filtern und unpassende Inhalte zu blockieren.

So verwalten Sie die App „Sophos Mobile Security“ auf Geräten, die bei Sophos Mobile Controlregistriert sind:

■ Sie können Einstellungen für die App „Sophos Mobile Security“ auf allen verwaltetenGeräten ferngesteuert und zentral konfigurieren.

■ Sie können sicherstellen, dass die Sophos Mobile Security App auf den Geräten installiertist und in festgelegten Intervallen Scans durchführt. Sie können dies als Compliance-Regeldefinieren.

■ Sie können Scans bei bestimmten Geräten auslösen.

■ Sie können die Scan-Ergebnisse für Geräte anzeigen.

Weitere Informationen zu Sophos Mobile Security finden Sie in der Sophos Mobile SecurityHilfe.

23.1 Antivirus-Einstellungen für Sophos Mobile SecuritykonfigurierenVoraussetzung: Sie haben eine Lizenz vom Typ SMC Advanced aktiviert.

1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Profile, Richtlinien undklicken Sie anschließend auf Android.

Die Seite Profile und Richtlinien wird angezeigt.

2. Klicken Sie auf Erstellen und wählen Sie Mobile-Security-Richtlinie aus.

Die Seite Richtlinie bearbeiten wird angezeigt.

3. Geben Sie einen Name und eine Version für das neue Profil ein.

4. Geben Sie im Feld Beschreibung eine Beschreibung für das Profil ein.

5. Klicken Sie auf Konfiguration hinzufügen.

Die Seite Verfügbare Konfigurationen wird angezeigt.

6. Wählen Sie Antivirus und klicken Sie auf Weiter.

Die Einstellungen-Ansicht der Konfiguration wird angezeigt.

7. Wechseln Sie in die Antivirus Registerkarte.

8. Unter Allgemein können Sie folgende Einstellungen festlegen:

a) Legen Sie im Feld Cloud Scan-Modus fest, wann Sophos Mobile Security einen Scannach den aktuellen Malware-Informationen durchführen soll. Wählen Sie eine der

212


folgenden Optionen, um festzulegen, wann die Anwendung eine Cloud-Abfrage nutzensoll:

■ Immer

■ Nicht bei Roaming

■ Nur WLAN

Mit dieser Einstellung lässt sich der Datenverkehr der Anwendung steuern. Wenn Sieden Cloud Scan-Modus auf Nur WLAN einstellen, wird die Cloud-Abfrage nur danndurchgeführt, wenn das Gerät eine WLAN-Verbindung hat. Wenn Sie den CloudScan-Modus auf Nicht beim Roaming einstellen, wird keine Cloud-Abfragedurchgeführt, während das Gerät einen Roaming-Vorgang in einem fremden Netzwerkdurchführt.

b) Wählen Sie in der Liste Scan-Intervall aus, wie oft Scans ausgeführt werden sollen.

9. Unter Ziele können Sie folgende Einstellungen festlegen:

a) Wählen Sie System Apps scannen, um System Apps in die Scan-Vorgängeeinzubeziehen.

System Apps werden standardmäßig nicht gescannt, da diese durch dasAndroid-Betriebssystem geschützt sind und nicht vom Benutzer entfernt werden können.Sie können jedoch hier das Scannen von System Apps aktivieren.

b) Wenn Sie Speichermedien werden gescannt wählen, werden neben demstandardmäßigen Scan aller installierten Anwendungen auch alle Dateien auf SD-Karten,USB und anderen Speichermedien gescannt.

10. Unter PUAs können Sie Folgendes auswählen:

a) Wenn Sie PUAs erkennen wählen, wird ein Scan-Vorgang nach PUAs (PotentiallyUnwanted Applications) durchgeführt.

Potenziell unerwünschte Apps (PUAs) sind Apps, die zwar nicht schädlich sind, jedochfür Unternehmensnetzwerke als ungeeignet angesehen werden. Dazu gehörenbeispielsweise Adware, Dialer (Einwahlprogramme), Systemmonitore,Remote-Verwaltungs- und Hacking-Tools. Einige Apps, die unter PUAs fallen, könnenfür manche Benutzer jedoch hilfreich sein.

Wenn Sie diese Option wählen, erkennt Sophos Mobile Security potenziell unerwünschteApps im Rahmen von Scan-Vorgängen und benachrichtigt den Benutzer entsprechend.

b) Wählen Sie Benutzer darf Apps erlauben, damit die Benutzer Apps erlauben können,obwohl diese als PUAs erkannt wurden. Der Benutzer kann diese Apps als ignoriertkennzeichnen. In nachfolgenden Scans werden diese Apps nicht als PUAs angezeigt.

11. Unter Apps mit niedriger Reputation können Sie definieren, wie mit derartigen Appsumgegangen werden soll. Die Klassifizierung von Apps basiert auf Sophos Live ProtectionDaten. Unter Modus können Sie Folgendes auswählen:

a) Wählen Sie Erlauben, um das Scannen nach Apps niedriger Reputation auszuschalten.

b) Wählen Sie Warnen, um eine Warnung am Gerät anzuzeigen, wenn eine App niedrigerReputation erkannt wurde. Die Benutzer können dann wählen, wie die App behandeltwerden soll. Sie können sie zu einer Liste von erlaubten Apps hinzufügen, so dasskeine weiteren Warnungen angezeigt werden, wenn diese App erkannt wird.

c) Wählen Sie Blockieren aus, um zu verhindern, dass Apps niedriger Reputation gestartetwerden. Eine Warnung wird angezeigt, und der Benutzer kann die App nicht starten.

213

Administratorhilfe

12. Unter Echtzeitschutz können Sie Folgendes auswählen:

a) Wählen Sie Scan-Benachrichtigungen, um Scan-Benachrichtigungen auf dem Gerätzu erhalten.

b) Wählen Sie SD-Karte überwachen, um die SD-Karte auf Änderungen zu überprüfen.Wenn neue Dateien auf der SD-Karte gespeichert werden, werden diese gescannt.

13. Wenn die Scanergebnisse Apps enthalten, die gestartet werden dürfen, können Sie diesezur Liste der erlaubten Apps hinzufügen. Apps auf dieser Liste dürfen immer gestartetwerden. Die Apps werden nicht gemeldet.

Um eine solche App zu identifizieren, können Sie die Scan-Ergebnisse von Sophos MobileSecurity verwenden. Informationen hierzu finden Sie in Scan-Resultate von Sophos MobileSecurity anzeigen (Seite 215). Bevor Sie erlauben können, dass diese Apps auf den Gerätengestartet werden dürfen, müssen Sie sie zu einer App-Gruppe hinzufügen, wie inApp-Gruppen (Seite 191) beschrieben.

14. Um erlaubte Apps hinzuzufügen, wählen Sie die App-Gruppe aus, welche die erlaubtenApps enthält.


23.2 Webfilter-Einstellungen für Sophos Mobile SecuritykonfigurierenVoraussetzung: Sie haben eine Lizenz vom Typ SMC Advanced aktiviert.

Die App „Sophos Mobile Security“ schützt Sie vor Internetseiten mit schädlichem,unerwünschtem oder illegalem Inhalt.

Hinweis: Web Filtering funktioniert nur mit dem Android-Webbrowser, demSamsung-Webbrowser, dem ASUS-Webbrowser oder mit Google Chrome. Auf Geräten mitAndroid 6.0 oder höher werden außerdem Firefox, Opera und Opera Mini unterstützt.

1. Klicken Sie im Abschnitt KONFIGURATION der Menüleiste auf Profile, Richtlinien undklicken Sie anschließend auf Android.

Die Seite Profile und Richtlinien wird angezeigt.

2. Klicken Sie auf Erstellen und wählen Sie Mobile-Security-Richtlinie aus.

Die Seite Richtlinie bearbeiten wird angezeigt.

3. Geben Sie einen Name und eine Version für das neue Profil ein.

4. Geben Sie im Feld Beschreibung eine Beschreibung für das Profil ein.

5. Klicken Sie auf Konfiguration hinzufügen.

Die Seite Verfügbare Konfigurationen wird angezeigt.

6. Wählen Sie Webfilter und klicken Sie auf Weiter.

Die Seite Web-Filter wird angezeigt.

7. Geben Sie im Feld Schädliche Websites filtern an, ob Sie schädliche Websites Erlaubenwollen, ob Sie den Benutzer vor schädlichen Websites Warnen wollen, oder ob Sie dieseSites Blockieren wollen.

214


8. Unter Websites nach Kategorien filtern geben Sie für jede Kategorie an, ob Sie Zugriffauf Websites dieser Kategorie Erlauben wollen, ob Sie den Benutzer vor möglicherweiseschädlichem, unerwünschtem oder illegalen Inhalt Warnen wollen, oder ob Sie Websitesdieser Kategorie Blockieren wollen.

Websites werden basierend auf Daten von SophosLabs kategorisiert. Die Daten werdenlaufend aktualisiert.

9. Unter Website-Ausschlüsse können Sie Folgendes festlegen:

a) Erlaubte Domänen: Fügen Sie Domänen oder IP-Adressen hinzu, die auch dannerlaubt sind, wenn die Kategorie, der sie angehören, blockiert wird.

b) Blockierte Domänen: Fügen Sie Domänen oder IP-Adressen hinzu, die auch dannblockiert sind, wenn die Kategorie, der sie angehören, erlaubt wird.

Sie können Domänen-Namen oder IP-Adressen eingeben. Beispiel: www.firma.de,*.firma.de, 10.2.0.1, 10.2.0.1/24


Benutzer können die Einstellungen, die Sie in Sophos Mobile Control machen, nicht ändern.

23.3 Compliance-Regeln für Sophos Mobile SecuritydefinierenVoraussetzung: Sie haben eine Lizenz vom Typ SMC Advanced aktiviert.

Sie können Compliance-Regeln konfigurieren, die sich auf Sophos Mobile Security beziehen.

1. Fügen Sie eine neue Geräterichtlinie hinzu oder öffnen Sie eine bereits vorhandene zumBearbeiten. Weitere Informationen finden Sie in Compliance-Richtlinien (Seite 43).

2. Wechseln Sie in die Android Registerkarte.

3. Im Feld Max. SMSec-Scanintervall können Sie das maximale Scanintervall zwischenMalware-Scans angeben, die von der App „Sophos Mobile Security“ durchgeführt werden.

4. Wählen Sie in der Liste Ablehnung von SMSec-Berechtigungen erlaubt aus, ob dieAblehnung der erforderlichen Berechtigungen ein Compliance-Verstoß ist.

5. Wählen Sie in der Liste Malware Apps zugelassen aus, ob Malware-Apps erlaubt sind.

6. Wählen Sie in der Liste Verdächtige Apps zugelassen aus, ob verdächtige Apps erlaubtsind.

7. Wählen Sie in der Liste PUA zugelassen aus, ob PUAs (Potentially Unwanted Apps)erlaubt sind.

8. Wenn Sie alle erforderlichen Einstellungen konfiguriert haben, klicken Sie auf Speichern.

23.4 Scan-Resultate von Sophos Mobile Security anzeigenVoraussetzung: Sie haben eine Lizenz vom Typ SMC Advanced aktiviert.



2. Klicken Sie auf das blaue Dreieck neben dem gewünschten Gerät und dann auf Bearbeiten,oder klicken Sie auf dessen Namen.

Die Seite Gerät anzeigen oder die Seite Gerät bearbeiten wird angezeigt.

215

Administratorhilfe

3. Wechseln Sie in die Scan-Ergebnisse Registerkarte.

Diese Registerkarte zeigt die Sophos Mobile Security Scan-Ergebnisse. Die unsauberenPakete, zum Beispiel PUAs (Potentially Unwanted Apps), werden in einer Tabelle angezeigt.Unter Threat-Name können Sie auf die Links klicken, um weitere Informationen von SophosLabs zur den einzelnen Bedrohungen anzuzeigen.

4. Wechseln Sie auf die Registerkarte Compliance-Verstöße, um die mit denScan-Ergebnissen verbundenen Compliance-Verstöße zu sehen. Welche Verstößeangezeigt werden, richtet sich nach den Sophos Mobile Security Compliance-Regeln.

23.4.1 Liste erlaubter PUAs und Apps mit niedriger Reputation erstellen

Sie können die Scan-Ergebnisse verwenden, um eine Liste der erlaubten Apps zu erstellen.Die Liste gilt für alle Android-Geräte, auf denen die App „Sophos Mobile Security“ installiertist, in dem Kunden, an dem Sie angemeldet sind.

1. Wechseln Sie zur Registerkarte Scan-Ergebnisse eines Ihrer gescannten Geräte.

Die unsauberen Pakete werden in einer Tabelle angezeigt. Die Spalte Threat-Name zeigtan, ob das angezeigte Paket eine App niedriger Reputation, eine PUA oder Malware ist.Sie können auf die Links klicken, um weitere Informationen zur den einzelnen Bedrohungenvon SophosLabs abzurufen.

Gefundene Apps mit niedriger Reputation und PUAs haben ein blaues Häkchen-Symbollinks vom Paketnamen. Nur diese Apps können zur Liste der erlaubten Apps hinzugefügtwerden.

2. Klicken Sie auf das blaue Häkchen-Symbol, um die App zur Liste der erlaubten Appshinzuzufügen.

3. Klicken Sie im Dialogfeld auf Ja, um die Aktion zu bestätigen.

Die App wird zur Liste der erlaubten Apps hinzugefügt.

4. Wiederholen Sie diesen Schritt für alle Apps, die Sie hinzufügen möchten.

5. Um die Liste anzuzeigen, gehen Sie auf Einstellungen und klicken Sie auf Allgemein.

6. Klicken Sie auf Liste der erlaubten Apps anzeigen.

Alle Apps, die Sie hinzugefügt haben, werden angezeigt. Apps auf dieser Liste dürfen aufallen verwalteten Geräten gestartet werden. Die Apps werden nicht mehr gemeldet.

Wenn Sie auf Liste der erlaubten Apps löschen klicken, werden alle Listeneinträgegelöscht.

216


24 Sophos-Container-Apps verwaltenHinweis: Für diese Funktion benötigen Sie eine Lizenz vom Typ SMC Advanced.

Für eine bessere Trennung der Daten auf den mit Sophos Mobile Control verwalteten Gerätenstehen die Sophos-Container-Apps Sophos Secure Email und Sophos Secure Workspacezur Verfügung:

■ Sophos Secure Email ist eine App für Geräte mit Android oder iOS, die einen sicherenContainer zur Verwaltung Ihrer E-Mails, Ihres Kalenders und Ihrer Kontakte bereitstellt.

■ Sophos Secure Workspace ist eine App für Geräte mit Android oder iOS, die es Benutzernerlaubt, auf verschlüsselte Dateien zuzugreifen, die in der Cloud gespeichert sind. Dateienkönnen nahtlos entschlüsselt und angezeigt werden. Verschlüsselte Dateien können vonanderen Apps übergeben und zu einem der unterstützten Cloud-Speicheranbieterhochgeladen werden. Alternativ können die Dokumente lokal innerhalb der App gespeichertwerden.

Mit Sophos Secure Workspace können Sie mit SafeGuard Cloud Storage oder SafeGuardData Exchange verschlüsselte Dateien lesen. SafeGuard Cloud Storage und SafeGuardData Exchange sind Module von SafeGuard Enterprise oder einer der verschiedenenProdukteditionen. Mit diesen Modulen lassen sich Dateien mit einem lokalen Schlüsselverschlüsseln. Diese lokalen Schlüssel werden aus einer Passphrase abgeleitet, die voneinem Benutzer eingegeben wird. Sie können eine Datei nur dann entschlüsseln, wennSie die Passphrase kennen, mit der die Datei verschlüsselt wurde.

Durch den Sophos-Container wird folgendes verwaltet:

■ Zentral festgelegte Kennwort-Regeln

■ Kennwort-Regeln für alle Container-Apps

■ Single-Sign-On für alle Container-Apps

■ Dokumenteinstellungen für Sophos Secure Workspace

■ Browser-Einstellungen für Sophos Secure Workspace

■ Einstellungen für Sophos Secure Email

So verwalten Sie die Sophos-Apps mit Sophos Mobile Control:

■ Sie können die Einstellungen für die Sophos-Container-Apps auf allen verwalteten Gerätenzentral und per Fernzugriff in Sophos Mobile Control konfigurieren. Siehe Konfigurationenfür Sophos-Container-Richtlinien für Android (Seite 106) und Konfigurationen fürSophos-Container-Richtlinien für iOS (Seite 147).

■ Sie können sicherstellen, dass die Sophos-Container-Apps auf den Geräten installiertsind. Sie können dies als Compliance-Regel definieren.

■ Sie können die sichere Verteilung von Dokumenten aktivieren, indem Sie denSpeicheranbieter Unternehmensdokumente verwenden. Siehe Unternehmensdokumente(Seite 193).

■ Sie können die Synchronisierung des Unternehmens-Schlüsselbundes zwischen SophosSecure Workspace und Sophos SafeGuard Enterprise aktivieren. Dadurch haben Benutzerin ihrem Schlüsselbund in Sophos Secure Workspace auch Zugriff auf die Schlüssel ihresSafeGuard-Schlüsselbundes. Siehe Synchronisierung des Unternehmens-Schlüsselbundesaktivieren (Seite 219).

217

Administratorhilfe

Hinweis: Um die Sophos-Container-Apps verwalten zu können, müssen diese mit SophosMobile Control verteilt worden sein. Falls Benutzer bereits eine nicht verwaltete Version vonSophos Secure Workspace auf ihren Geräten installiert haben, müssen Sie diese zunächstdeinstallieren und anschließend die verwaltete Version installieren.

Weitere Informationen zu Sophos Secure Workspace finden Sie in der Hilfe zu Sophos SecureWorkspace.

24.1 Sophos-Container-Kennwort zurücksetzenVoraussetzung: Sie haben eine Lizenz vom Typ SMC Advanced aktiviert.

Hinweis: Dieser Abschnitt gilt nur für Geräte, denen eine Sophos-Container-Richtliniezugewiesen ist.

Sie können das Sophos-Container-Kennwort zurücksetzen. Das ist zum Beispiel hilfreich,wenn Benutzer ihr Kennwort vergessen haben. Wenn Sie ein Sophos-Container-Kennwortzurücksetzen, werden die Benutzer aufgefordert, ein neues Container-Kennwort festzulegen.



2. Klicken Sie auf das Gerät, für das Sie das Sophos-Container-Kennwort zurücksetzenwollen.

Die Seite Gerät anzeigen wird angezeigt.

3. Klicken Sie auf Aktionen.

Das Aktionen Menü wird angezeigt.

4. Klicken Sie auf Sophos-Container-Kennwort zurücksetzen.

5. Klicken Sie im Dialogfeld auf Ja, um die Aktion zu bestätigen.

Das Sophos-Container-Kennwort wird zurückgesetzt. Der Benutzer muss ein neuesSophos-Container-Kennwort eingeben.

24.2 Sophos-Container sperren und entsperrenVoraussetzung: Sie haben eine Lizenz vom Typ SMC Advanced aktiviert.

Hinweis: Dieser Abschnitt gilt nur für Geräte, denen eine Sophos-Container-Richtliniezugewiesen ist.

Sie können den Sophos-Container sperren oder entsperren, d.h. die Zugriffsrechte für dieSophos-Container-Apps und für im Container vorhandene Daten festlegen.


2. Klicken Sie auf der Seite Geräte auf das blaue Dreieck neben dem Gerät, auf dem Sieden Sophos-Container sperren oder entsperren wollen, und klicken Sie anschließend aufAnzeigen.

3. Klicken Sie auf der Seite Gerät anzeigen auf Aktionen > Sophos-Container-Zugrifffestlegen.

4. Im Dialogfeld zum Festlegen der Zugriffsrechte wählen Sie eine der folgenden Einstellungenaus:

■ Sperren: Der Sophos-Container wird gesperrt. Benutzer können den Sophos-Containernicht mehr verwenden.

218


■ Erlauben: Der Sophos-Container wird entsperrt.■ Automatischer Modus: Der Sophos-Container ist gesperrt, solange das Gerät gegen

eine Compliance-Regel verstößt, bei der die Aktion Container sperren aktiviert ist.Dies ist das Standardverhalten, wenn Sie keine Zugriffsrechte festgelegt haben.


Dies weist das Gerät an, sich mit dem Sophos Mobile Control Server zu synchronisieren. Beider Synchronisierung wird die Einstellung auf dem Gerät angewendet.

24.3 Synchronisierung desUnternehmens-SchlüsselbundesDurch die Synchronisierung des Unternehmens-Schlüsselbundes sind folgende zusätzlicheFunktionen in der App „Sophos Secure Workspace“ verfügbar:

■ Benutzer haben in ihrem Schlüsselbund in Sophos Secure Workspace(SSW-Schlüsselbund) auch Zugriff auf die Schlüssel ihres Schlüsselbundes aus SafeGuardEnterprise.

■ Benutzer der App können diese Schlüssel verwenden, um Dokumente zu entschlüsselnund zu betrachten, oder um Dokumente zu verschlüsseln.

■ Nachdem Sie die Schlüsselbund-Synchronisierung aktiviert haben, können Benutzerweiterhin lokale Schlüssel aus ihrem SSW-Schlüsselbund verwenden.

■ Benutzer können keine neuen lokale Schlüssel erstellen.

■ Aus Sicherheitsgründen werden beim Sperren des Sophos-Containers alle Schlüssel vomGerät entfernt, die aus dem SafeGuard-Schlüsselbund stammen.

24.3.1 Synchronisierung des Unternehmens-Schlüsselbundes aktivieren

Voraussetzungen:

■ Sie verwenden Sophos SafeGuard Enterprise 8.0.

■ Sie haben eine externe Benutzerverwaltung für das Self Service Portal konfiguriert, mitderselben Active-Directory-Benutzerdatenbank wie für SafeGuard Enterprise.

■ Sophos Secure Workspace wird von Sophos Mobile Control verwaltet. Hierfür wird eineSMC-Advanced-Lizenz benötigt.

Um die Synchronisierung des Unternehmens-Schlüsselbundes zu aktivieren, richten Sie eineVerbindung zwischen Sophos Mobile Control und Sophos SafeGuard Enterprise ein:

1. Klicken Sie im Abschnitt EINSTELLUNGEN der Menüleiste auf Einrichtung >Systemeinstellungen und klicken Sie anschließend auf die Registerkarte SGN.

2. Klicken Sie auf den Link Zertifikat, um das Zertifikat des Sophos Mobile Control Serversherunterzuladen.

3. Öffnen Sie das SafeGuard Management Center und navigieren Sie zu Extras >Konfigurationspakete.

4. Klicken Sie auf der Registerkarte Server auf Hinzufügen, wählen Sie die Zertifikatdateiaus und klicken Sie auf OK. Ändern Sie nicht den Wert im Feld Servername.

5. Optional: Wählen Sie Recovery via mobile aus, um die Synchronisierung von BitLockerund FileVault Wiederherstellungsschlüsseln mit der App „Sophos Secure Workspace“ zuaktivieren.

219

Administratorhilfe

6. Konfigurieren Sie auf der Registerkarte Pakete für Managed Clients folgendeEinstellungen:

■ Wählen Sie im Feld Name des Konfigurationspakets die Option Managed Client(Default) aus.

■ Wählen Sie im Feld Primärer Server Ihren SGN-Server aus.■ Wählen Sie im Feld Transportverschlüsselung die Option SSL aus.

7. Klicken Sie auf Konfigurationspaket erstellen.

8. Klicken Sie in der Sophos Mobile Control Konsole, auf der Registerkarte SGN, auf Dateihochladen, um das im SafeGuard Management Center erstellte Konfigurationspaket nachSophos Mobile Control hochzuladen.

9. Klicken Sie auf Speichern, um die Einstellungen für die SafeGuard-Integration zu speichern.

220


25 Glossar

Sie erstellen ein Auftragspaket, um mehrere Aufträge zu einemVorgang zu bündeln. Sie können alle Aufträge bündeln, die zurvollständigen Bereitstellung eines Gerätes notwendig sind.

Auftragspaket

Der Installationsvorgang der App „Sophos Mobile Control“ auf einemGerät.

Ersteinrichtung

Das zu verwaltende Gerät (zum Beispiel ein Smartphone oder Tablet,oder ein Gerät mit Windows 10).

Gerät

Der Mandant, der Geräte verwaltet.Kunde

Mit einer Lizenz vom Typ SMC Advanced können Sie die Apps„Sophos Mobile Security“, „Sophos Secure Workspace“ und „SophosSecure Email“ mit Sophos Mobile Control verwalten.

Lizenz SMCAdvanced

Ein App-Archiv auf dem Sophos Mobile Control Server. DerAdministrator kann in der Sophos Mobile Control Konsole Apps zum

Enterprise App Store

Enterprise App Store hinzufügen. Endbenutzer können diese Appsdann mit der App „Sophos Mobile Control“ auf ihren Geräteninstallieren.

Die Web-Benutzeroberfläche, über die Benutzer ihre eigenen Geräteregistrieren und andere Aufgaben ausführen können. Hierzu istkeine Unterstützung durch den Helpdesk erforderlich.

Self Service Portal

Abkürzung für Sophos Mobile Security.SMSec

Die App „Sophos Mobile Control“, die auf dem Gerät installiert ist.Sophos MobileControl Client

Die Web-Oberfläche, mit der Sie Geräte verwalten.Sophos MobileControl Konsole

Eine Sicherheits-App für Android-Geräte. Sie können diese App mitSophos Mobile Control verwalten, vorausgesetzt, eine Lizenz vomTyp SMC Advanced ist aktiviert.

Sophos MobileSecurity

Eine App für Geräte mit Android oder iOS, die eine geschützteArbeitsumgebung für die Verwaltung Ihrer E-Mails, Kontakte und

Sophos Secure Email

Kalender bereitstellt. Sie können diese App mit Sophos MobileControl verwalten, vorausgesetzt, eine Lizenz vom Typ SMCAdvanced ist aktiviert.

Eine App für Geräte mit Android oder iOS, die einen gesichertenArbeitsbereich bereitstellt, um Dokumente zu verwalten, zu

Sophos SecureWorkspace

bearbeiten, zu teilen, zu verschlüsseln, zu entschlüsseln, oder um

221

Administratorhilfe

auf sie in einem Browser zuzugreifen. Die Dokumente können beiverschiedenen Speicheranbietern abgelegt sein oder von IhremUnternehmen verteilt werden. Sie können diese App mit SophosMobile Control verwalten, vorausgesetzt, eine Lizenz vom Typ SMCAdvanced ist aktiviert.

222


26 Technischer SupportTechnischen Support zu Sophos Produkten können Sie wie folgt abrufen:

■ Besuchen Sie die Sophos Community unter community.sophos.com/ und suchen SieBenutzer mit dem gleichen Problem.

■ Durchsuchen Sie die Sophos Support Knowledgebase unterhttp://www.sophos.com/de-de.aspx.

■ Laden Sie die Produktdokumentation herunter unterwww.sophos.com/de-de/support/documentation.aspx.

■ Öffnen Sie ein Ticket bei unserem Support Teamunterhttps://secure2.sophos.com/support/contact-support/support-query.aspx.

223

Administratorhilfe

http://community.sophos.com

http://www.sophos.com/de-de/support.aspx

http://www.sophos.com/de-de/support/documentation.aspx

https://secure2.sophos.com/support/contact-support/support-query.aspx

27 Rechtliche HinweiseCopyright © 2011-2017 Sophos Limited. Alle Rechte vorbehalten.

Diese Publikation darf weder elektronisch oder mechanisch reproduziert, elektronischgespeichert oder übertragen, noch fotokopiert oder aufgenommen werden, es sei denn, Sieverfügen entweder über eine gültige Lizenz, gemäß der die Dokumentation in Übereinstimmungmit dem Lizenzvertrag reproduziert werden darf, oder Sie verfügen über eine schriftlicheGenehmigung des Urheberrechtsinhabers.

Sophos ist eine eingetragene Marke von Sophos Limited und Sophos Group. Alle anderenerwähnten Produkt- und Unternehmensnamen sind Marken oder eingetragene Marken derjeweiligen Inhaber.

Letzte Aktualisierung: 20170223

224
