Thema
In diesem Artikel wird erläutert, wie Sie Richtlinien für die Verwaltung mobiler Geräte (MDM) für Android-Geräte in NinjaOne konfigurieren und verwalten.
Umgebung
NinjaOne Mobile Device Management (MDM)
Beschreibung
Die Funktionalität der Android-Richtlinien hängt davon ab, wie Sie das Gerät in NinjaOne Mobile Device Management (MDM) registrieren. Richtlinien übernehmen die vollständige Kontrolle über Geräte, die ausschließlich für geschäftliche Zwecke genutzt werden; wenn es sich um ein privates Gerät handelt, können einige Richtlinieneinstellungen, wie z. B. Einschränkungen, begrenzt sein.
Sie müssen die Android-MDM-Anwendung aktivieren, bevor Sie die Android-MDM-Richtlinie konfigurieren können. Weitere Informationen finden Sie unter „Android-MDM-Anwendung aktivieren “.
Wählen Sie ein Thema aus, um fortzufahren:
- Typen der Registrierung mobiler Geräte
- Neue Richtlinie erstellen
- Richtlinie konfigurieren
- Weitere Ressourcen
Typen der Mobilgeräte-Registrierung
Nachdem Sie MDM aktiviert und Ihr Apple- oder Android-Konto registriert haben, können Sie ein mobiles Gerät hinzufügen und den Registrierungstyp als „Persönliche Nutzung“, „Keine persönliche Nutzung erlaubt“ oder „Spezialgerät“ kategorisieren.
Persönliche Nutzung (im persönlichen Besitz): Ein Gerät im persönlichen Besitz wird in der Regel als „Bring Your Own Device“ (BYOD)-Registrierung betrachtet. NinjaOne hat nur eingeschränkten Zugriff auf Geräteinformationen und -aktionen.
NinjaOne registriert diese Geräte über die Android Device Policy-Anwendung oder über einen Link auf einem bereits aktiv genutzten Gerät. NinjaOne ermöglicht es einer Organisation dann, die Anwendungen und Daten ausschließlich innerhalb des Arbeitsprofils zu verwalten, ohne Einblick in oder Verwaltung des persönlichen (oder übergeordneten) Profils.
Sie können diesen Registrierungstyp auch für unternehmensgeeignete, privat genutzte (COPE) Geräte verwenden. Weitere Informationen finden Sie unter NinjaOne MDM: Hinzufügen eines unternehmensgeeigneten, privat genutzten (COPE) Android-Geräts zu NinjaOne. Bei diesen Geräten kontrollieren Arbeitgeber die Daten- und Sicherheitsrichtlinien innerhalb des Arbeitsprofils. Außerhalb des Arbeitsprofils bleibt das Gerät für den privaten Gebrauch geeignet.
- Keine private Nutzung erlaubt (für geschäftliche Zwecke oder unternehmenseigen): Diese Geräte sind unternehmenseigen und ausschließlich für geschäftliche Zwecke registriert, ohne Trennung in ein Arbeitsprofil.
- Das Unternehmen hat uneingeschränkte Kontrolle über Apps, Einstellungen und Konfigurationen und kann das Gerät vollständig löschen, ohne sich um den Verlust persönlicher Daten sorgen zu müssen.
- NinjaOne blockiert private Konten und die Installation nicht autorisierter Apps gemäß den Richtlinien.
- Benutzer können in der Regel keine grundlegenden Geräteeinstellungen ändern.
- Dediziertes Gerät (kein bestimmter Benutzer): Diese Nutzungsart ähnelt der Option „Keine private Nutzung erlaubt“, jedoch ist das Gerät nicht mit einem einzelnen Benutzer verknüpft und es wird keine private Nutzung oder Authentifizierung über die Unternehmensidentität erwartet. Weitere Informationen finden Sie im speziellen Leitfaden zur Gerätebereitstellung der Android-API (externer Link).
Neue Richtlinie erstellen
- Navigieren Sie in NinjaOne zu „Administration“ → „Richtlinien“, wählen Sie dann „MDM-Richtlinien“ aus dem Dropdown-Menü aus und klicken Sie auf „MDM-Richtlinie hinzufügen“.
- Wählen Sie eine Geräterolle aus, geben Sie die Richtliniendetails ein und aktivieren Sie den Schalter „Richtlinie aktiviert “. Die von Ihnen ausgewählte Rolle bestimmt, welche Richtlinien Sie als übergeordnete Richtlinie festlegen können. Weitere Informationen finden Sie im Abschnitt „Details zu vererbten Richtlinien “ dieses Artikels. Klicken Sie anschließend auf „Erstellen“.
Details zu vererbten Richtlinien
NinjaOne unterstützt die Richtlinienvererbung für MDM-Richtlinien. Die von Ihnen ausgewählte Rolle bestimmt, welche Richtlinien als übergeordnete Richtlinie dienen können. Sie müssen eine MDM-spezifische Rolle auswählen, um eine MDM-spezifische Eltern-Kind-Richtlinienbeziehung zu erstellen.
NinjaOne zeigt in der neuen Richtlinie das Tag „Vererbt“ an, zusammen mit einer Option zum Überschreiben einzelner Einstellungen. Um zu den vererbten Einstellungen zurückzukehren, bewegen Sie den Mauszeiger über den Namen der Richtlinie und klicken Sie auf „Vererbte Richtlinien“.
Wichtige Hinweise
- Vererbte Richtlinien können keine Anwendungen, WLAN-Konfigurationen oder Android-Richtliniendurchsetzungen entfernen. Stattdessen müssen Sie diese Elemente im Konfigurationseditor deaktivieren.
- Durch die Deaktivierung ändert sich der Status in der Spalte zu „Inaktiv“ und die Bezeichnung „Vererbt“ ändert sich zu „Überschrieben“.
Richtlinie konfigurieren
Befolgen Sie diese Schritte, um eine neue Richtlinie zu konfigurieren oder die Konfigurationseinstellungen einer bestehenden Richtlinie zu bearbeiten.
- Navigieren Sie zu „Administration“ → „Richtlinien“ → „MDM-Richtlinien“ und wählen Sie dann die Richtlinie in der Liste aus.
- Verwenden Sie die Konfigurationslinks, um auf die Einstellungen für die folgenden Kategorien zuzugreifen. In diesem Artikel werden die Einstellungen für jede Kategorie in den folgenden Tabellen beschrieben.
- Passwort
- Einschränkungen
- Anwendungen
- Persönliche Nutzung
- Netzwerk
- Sicherheit
- Durchsetzung von Richtlinien
- Standortverfolgung
Die verfügbaren Konfigurationsoptionen können je nach dem für das Gerät ausgewählten Registrierungstyp variieren. Weitere Informationen finden Sie im Abschnitt „Registrierungstypen für mobile Geräte “ dieses Artikels.
Passwort
Mit den Passcode-Einstellungen können Sie Passcodes zum Entsperren von Geräten und Profilen festlegen und deren Verwendung vorschreiben.
Erläuterung der Passwortoptionen
In der folgenden Tabelle finden Sie Informationen zu den einzelnen Passwort-Konfigurationsoptionen.
| Einstellung | Beschreibung |
|---|---|
| Gerätebereich und Profilbereich | Legen Sie den Passcode auf dem Gerät, im Arbeitsprofil oder in beiden fest. |
| Aktiviert | Aktivieren Sie diesen Schalter, um die Eingabe eines Passcodes zu erfordern. |
| Passwort zum Entsperren erforderlich | Wählen Sie aus, ob das Gerät nach jeder Zeitüberschreitung oder täglich einen Passcode zum Entsperren benötigt. |
| Länge des Verlaufs | Geben Sie die Anzahl der zuvor verwendeten Passwörter an, die NinjaOne speichert und deren erneute Auswahl verhindert. |
| Maximale Anzahl fehlgeschlagener Passwortversuche vor dem Löschen | Legen Sie die Anzahl der Passwortversuche fest, bevor NinjaOne das Gerät löscht. Das Maximum beträgt 100. |
| Maximales Alter (Tage) | Legen Sie das maximale Alter eines Passworts (in Tagen) fest, nach dessen Ablauf NinjaOne ein neu erstelltes Passwort verlangt. |
| Passwortqualität | Wählen Sie die Kriterien für eine akzeptable Passwortstärke aus. |
Anzeigen des Passwortstatus im Geräte-Dashboard
NinjaOne zeigt Informationen zu den Passcode-Einstellungen imGeräte-Dashboard → Details → Sicherheit an.
Einschränkungen
NinjaOne bezieht die meisten Android-Richtlinienbeschränkungen direkt aus der Android Management API, die entsprechende JSON-Darstellungen und Definitionen bereitstellt. In diesem Abschnitt können Sie Gerätefunktionen, Sicherheit und Konnektivität aktivieren oder deaktivieren.
- NinjaOne überträgt nur Werte an ein Gerät, die gegenüber den Standardeinstellungen geändert wurden.
- Wenn das Gerät mit einem Arbeitsprofil registriert wurde, wendet NinjaOne Einschränkungen nur auf dieses Profil an.
Erläuterung der Einschränkungsoptionen
In der folgenden Tabelle finden Sie Informationen zu den Konfigurationsoptionen für Einschränkungen.
| Kategorie | Beschreibung |
|---|---|
| Funktionalität | Einschränkung von Gerätefunktionen, wie z. B.:
|
| Anwendung | Steuerung von App-Parametern wie:
|
| Sicherheit und Datenschutz | Steuern Sie die Möglichkeit, Funktionen auszuführen, die die Gerätesicherheit oder den Datenschutz beeinträchtigen, darunter:
|
| Netzwerk & Internet | Steuerung der Netzwerknutzung des Geräts, einschließlich:
|
Anwendungen
Der Abschnitt „Anwendungen“ verfügt über drei Registerkarten: „Verwaltete Apps“, „Kiosk-Einstellungen“ und „Erweitert“.
| Registerkarte | Beschreibung |
|---|---|
| Verwaltung | Wählen Sie bestimmte Anwendungen aus, die auf Mobilgeräten installiert oder blockiert werden sollen. |
| Kiosk-Einstellungen | Aktivieren Sie die native Android-Kiosk-Umgebung und zeigen Sie alle bereitgestellten Anwendungen an, die der zugewiesenen Richtlinie hinzugefügt wurden. |
| Erweitert | Fügen Sie erweiterte Konfigurationen hinzu, mit denen unterstützte Anwendungen aktiviert werden können, um Systemaktionen auszuführen oder auf Kategorien zuzugreifen. Beispiel: Festlegen einer Standard-Home- oder Launcher-App. |
Weitere Informationen zum Hinzufügen und Ändern dieser Anwendungen finden Sie unter MDM: Android-Anwendungsverwaltung.
Persönliche Nutzung
Mit den Konfigurationsoptionen im Abschnitt „Persönliche Nutzung “ können Sie Richtlinien für das persönliche Profil des übergeordneten Geräts steuern.
Erläuterung der Optionen für die private Nutzung
In der folgenden Tabelle finden Sie Informationen zu den Konfigurationsoptionen für die private Nutzung.
| Kategorie | Beschreibung |
|---|---|
| Profilübergreifende Richtlinien, die auf das Gerät angewendet werden | Richtlinien, die sowohl für das private als auch für das geschäftliche Profil gelten, darunter:
|
| Richtlinien zur privaten Nutzung (nur für unternehmensgeführte Geräte) | Legen Sie die folgenden Funktionen für die private Nutzung fest:
|
| Verwaltete persönliche Anwendungen | Mit diesen Optionen können Sie den persönlichen Google Play Store auf bestimmte Anwendungen beschränken oder den vollständigen Zugriff auf den Store gewähren. |
Netzwerk
In diesem Abschnitt können Sie die Netzwerkeinstellungen für das Gerät verwalten, einschließlich der Einrichtung von Proxys und der Angabe autorisierter WLAN-Netzwerke.
Erläuterung der Netzwerkeinstellungen
In der folgenden Tabelle erfahren Sie mehr über die Netzwerkkonfigurationsoptionen.
| Einstellung | Beschreibung |
|---|---|
| Manuelle Proxy-Einrichtung | Richten Sie einen Proxy-Server für den Internetzugang ein. Durch die Aktivierung des direkten Proxys werden alle auf dem Gerät eingerichteten WLAN-Netzwerke deaktiviert. Weitere Informationen finden Sie im Abschnitt „Konfigurieren der WLAN-SSID-Einstellungen“ in NinjaOne MDM: Android-Registrierungsprofile. |
| WLAN-Netzwerkliste | Um ein WLAN-Netzwerk hinzuzufügen, klicken Sie auf „WLAN-Netzwerk hinzufügen“, geben Sie dann den Konfigurationsnamen und den WLAN-Namen (SSID) ein und wählen Sie den entsprechenden Sicherheitstyp aus. |
Sicherheit
Im Abschnitt „Sicherheit“ können Systemadministratoren das Gerät verschlüsseln, Entwicklereinstellungen verwalten, festlegen, wie Daten für die Arbeit übertragen werden, und vieles mehr.
Die Sicherheitseinstellungen sind in folgende Kategorien unterteilt:
- Allgemein
- Regeln für private Schlüssel
- Benutzerdefinierte Benachrichtigungen
Erläuterung der allgemeinen Sicherheitseinstellungen
In der folgenden Tabelle erfährst du mehr über die allgemeinen Sicherheitseinstellungen.
| Einstellung | Beschreibung |
|---|---|
| Unterstützte Mindestversion von Android (API-Level) | Legen Sie die minimal zulässige Android-API-Stufe fest. |
| Maximale Zeit bis zur Sperrung (Sekunden) | Wählen Sie die Anzahl der Sekunden aus, die vergehen müssen, bevor das Gerät gesperrt wird und der Benutzer zur Eingabe des Passworts aufgefordert wird. |
| Konfiguration der Benutzeranmeldedaten deaktiviert | Verhindern Sie, dass Benutzer die Speicherung oder Verwendung von Benutzernamen und Passwörtern für die Authentifizierung verwalten können. |
| Verschlüsselungsrichtlinie | Aktivieren Sie die Richtlinie, um ein Passwort zu erfordern. |
| Anpassungen der Tastensperre deaktiviert | Sperren Sie Bildschirmelemente wie Widgets, Benachrichtigungen, Kamerazugriff und andere Tools, wenn das Gerät gesperrt ist. |
| Modus „An Netzteil angeschlossen“ | Erzwingen Sie, dass der Bildschirm des Geräts unter bestimmten Bedingungen aktiv bleibt (z. B. beim Anschluss an das Stromnetz, beim kabellosen Laden oder bei einer USB-Verbindung). Bei Verwendung dieser Einstellung empfehlen wir, die Option „Maximale Zeit bis zur Sperrung“ zu deaktivieren, damit sich das Gerät nicht selbst sperrt, während es eingeschaltet bleibt. |
| Entwicklereinstellungen | Aktivieren Sie Entwickleroptionen wie Systemverhalten, Schnelleinstellungen und sicheres Booten. Weitere Informationen zu den Android-Entwicklereinstellungen finden Sie unter „Entwickleroptionen auf dem Gerät konfigurieren“ (externer Link). |
| Zulässige Eingabemethoden | Konfigurieren Sie eine Liste mit Paketnamen für Eingabemethoden oder Tastatur-Apps. |
| Zulässige Barrierefreiheitsdienste | Legen Sie fest, welche Barrierefreiheitsdienste auf einem Gerät verwendet werden dürfen, und blockieren Sie alle anderen. Beachten Sie, dass dies die Barrierefreiheit für Gerätebenutzer beeinträchtigen kann, die auf bestimmte Dienste angewiesen sind. |
| Erweiterung für Speicher-Tagging | Diese Einstellung steuert die Memory Tagging Extension (MTE), eine Hardware-Implementierung von getaggtem Speicher, und wird ab Android 14 unterstützt. |
| Inhalte an Hilfs-Apps senden | Erlauben Sie kontextbezogene Inhalte über die aktuelle App oder den aktuellen Bildschirmstatus, um Apps wie Gemini zu unterstützen, die unter Android 15+ unterstützt werden. Deaktivieren Sie diese Einstellung, um die Weitergabe von Inhalten zu verhindern. |
| Auf die Whitelist gesetzte Konten für den Schutz vor Zurücksetzen auf Werkseinstellungen | Legen Sie fest, welche Google-Konten ein Gerät entsperren können, wenn der Schutz vor Zurücksetzen auf Werkseinstellungen ausgelöst wird. |
| Regeln für private Schlüssel | Mit den Einstellungen für private Schlüsselregeln können Sie private Schlüssel für die Authentifizierung in NinjaOne MDM erstellen und verwalten.
|
Erläuterung der benutzerdefinierten Benachrichtigungseinstellungen
In der folgenden Tabelle erfahren Sie mehr über benutzerdefinierte Nachrichteneinstellungen.
| Einstellung | Beschreibung |
|---|---|
| Benutzerdefinierte Benachrichtigungen | Erstellen Sie benutzerdefinierte Meldungen für Benutzer in der Sicherheitsverwaltung, wenn diese versuchen, Aktionen auf dem Gerät auszuführen. Klicken Sie auf „Sprache hinzufügen“, um die Meldung in einer von NinjaOne unterstützten Sprache hinzuzufügen.
|
| Konfiguration der Systemaktualisierung | Legen Sie einen Update-Konfigurationstyp fest:
|
| Einfrierzeiträume | Legen Sie einen jährlich wiederkehrenden Zeitraum fest, in dem Over-the-Air-System-Updates (OTA) verschoben werden, um die auf einem Gerät ausgeführte Betriebssystemversion „einzufrieren“ oder anzuhalten.
|
Richtliniendurchsetzung
Die Richtliniendurchsetzung ermöglicht es Ihnen, Regeln festzulegen, die das Verhalten definieren, wenn eine Richtlinie nicht auf ein Gerät angewendet werden kann. Sie können beispielsweise den Zugriff auf eine bestimmte Einstellung entweder im Arbeitsprofil oder auf dem gesamten Gerät für eine bestimmte Anzahl von Tagen sperren. Wenn bestimmte Aspekte der Richtlinie nicht erfolgreich angewendet werden, gibt es eine zusätzliche Option, das Gerät zu löschen.
Richtliniendurchsetzung anwenden
Führen Sie die folgenden Schritte aus, um eine neue Richtliniendurchsetzung einzurichten:
- Klicken Sie unter „Richtliniendurchsetzung“ auf „Hinzufügen“.
- Das Fenster „Neue Richtliniendurchsetzung hinzufügen “ wird geöffnet. Geben Sie die folgenden Informationen ein:
| Einstellung | Beschreibung |
|---|---|
| Einstellungsname | Wählen Sie die Funktion aus, die Sie blockieren möchten. Eine Erläuterung der einzelnen Einstellungsnamen finden Sie in der Tabelle „Erläuterung der Einstellungsnamen“ in diesem Artikel. |
| Blockierungsbereich | Blockieren Sie den Zugriff auf Apps und Daten auf einem firmeneigenen Gerät oder in einem Arbeitsprofil. Diese Aktion löst außerdem eine Benachrichtigung für den Benutzer aus, die, sofern möglich, Informationen zur Behebung des Compliance-Problems enthält. |
| Sperren nach Tagen | Optional können Sie ein bestimmtes Datum festlegen, an dem die Einstellung eine bestimmte Anzahl von Tagen nach dem Speichern der Richtlinienänderungen blockiert wird. |
| Nach Tagen löschen | Setzen Sie ein firmeneigenes Gerät zurück oder löschen Sie ein Arbeitsprofil nach einer bestimmten Anzahl von Tagen. |
| FRP beibehalten | Behalten Sie den Schutz vor Zurücksetzen auf die Werkseinstellungen für persönliche Profile bei (optional). |
Erläuterung der Einstellungsnamen
Eine Übersicht über die einzelnen Einstellungsnamen finden Sie in der folgenden Tabelle.
| Einstellung | Beschreibung |
|---|---|
| Anwendungen | Auf Anwendungen angewendete Richtlinien-Einstellungen. |
| Tastensperre deaktiviert | Deaktivieren Sie den Sperrbildschirm auf dem primären oder sekundären Display. |
| Zulässige Barrierefreiheitsdienste | Wenn das Feld nicht festgelegt ist, können alle Barrierefreiheitsdienste verwendet werden. Wenn das Feld festgelegt ist, können nur die Barrierefreiheitsdienste in dieser Liste und der systemeigene Barrierefreiheitsdienst verwendet werden. Insbesondere wenn das Feld leer gelassen wird, können nur die systemeigenen Barrierefreiheitsdienste verwendet werden. Sie können dieses Feld auf vollständig verwalteten Geräten und in Arbeitsprofilen festlegen. Bei Anwendung auf ein Arbeitsprofil wirkt sich die Option sowohl auf das persönliche Profil als auch auf das Arbeitsprofil aus. |
| Zulässige Eingabemethoden | Falls vorhanden, sind nur die Eingabemethoden zulässig, die von Paketen in dieser Liste bereitgestellt werden. Wenn dieses Feld vorhanden ist, die Liste jedoch leer ist, sind nur System-Eingabemethoden zulässig. |
| Mindest-API-Level | Legen Sie die minimal zulässige Android-API-Stufe fest. |
| Empfohlener globaler Proxy | Diese Einstellung steuert den netzwerkunabhängigen globalen HTTP-Proxy. In der Regel sollten Sie Proxys pro Netzwerk über die Optionen in der Netzwerkkonfiguration konfigurieren. Bei ungewöhnlichen Konfigurationen wie allgemeiner interner Filterung kann ein globaler HTTP-Proxy jedoch nützlich sein. Wenn der Proxy nicht verfügbar ist, kann der Netzwerkzugang unterbrochen werden. Der globale Proxy ist nur eine Empfehlung, und einige Apps ignorieren ihn möglicherweise. |
| Standortmodus | Legen Sie den Grad der aktivierten Standortbestimmung fest. |
| VPN-Paket immer aktiv | Legen Sie fest, ob die App eine Netzwerkverbindung herstellen darf, wenn das VPN nicht verbunden und aktiviert ist. Diese Einstellung wird nur auf Geräten mit Android 10 und höher unterstützt. |
| Bluetooth-Konfiguration deaktiviert | Deaktivieren Sie Bluetooth-Verbindungen zum und vom Mobilgerät. |
| Verschlüsselungsrichtlinie | Legen Sie die Verschlüsselungskonfiguration fest. |
| Berechtigungserteilungen | Erteilen oder verweigern Sie der App ausdrücklich Berechtigungen. |
| Passwortrichtlinien | Richtlinien für Passwortanforderungen. Das Feld „Passwortbereich“ in der Richtlinie kann für Arbeitsprofile oder vollständig verwaltete Geräte auf unterschiedliche Richtlinien eingestellt werden. |
| Erweiterte Sicherheitsüberschreibungen | Sicherheitsrichtlinien sind standardmäßig auf sichere Werte eingestellt. NinjaOne empfiehlt, keine der Standardwerte zu überschreiben, um die Sicherheitslage eines Geräts aufrechtzuerhalten. |
| Richtlinien für die private Nutzung | Richtlinien zur Verwaltung der privaten Nutzung auf einem unternehmenseigenen Gerät. |
| Profilübergreifende Richtlinien | Legen Sie fest, ob Daten aus einem Profil (privat oder geschäftlich) mit Apps im anderen Profil geteilt werden können. |
Bewegen Sie nach dem Festlegen der Richtlinien den Mauszeiger über die Richtlinie und klicken Sie auf das Aktionssymbol, um sie zu bearbeiten.
Standortverfolgung
Weitere Informationen finden Sie unter NinjaOne Mobile Device Management (MDM): Standortverfolgung.
Weitere Ressourcen
Weitere Informationen zur Verwaltung von Android-Geräten finden Sie im NinjaOne MDM: Ressourcenkatalog.